¿Es posible SSL sobre HIP (Protocolo de identidad de host)?

Navega tus respuestas
1

En este breve resumen del Protocolo de Identidad del Host (HIP) Protocolo de Identidad del Host: El identificador / división de localizador para movilidad de host y multitarea se indica

  

La mayoría de las aplicaciones de Internet pueden ejecutarse sin modificaciones a través de HIP, aunque solo las nuevas aplicaciones compatibles con HIP que utilizan la interfaz de socket extendida pueden aprovechar mejor las nuevas funciones que proporciona HIP. Como HIP protege el tráfico de datos de la aplicación con IPsec que se encuentra lógicamente "profundo" dentro de la pila de redes, el desafío es proporcionar al usuario indicadores de seguridad adecuados y comprensibles para convencer al usuario de que la conexión, por ejemplo, a una banca El sitio web está protegido. Estos indicadores pueden desarrollarse como extensiones de aplicaciones (por ejemplo, un complemento de seguridad para el   Navegador Firefox) o dentro de una utilidad de administración HIP en todo el host que controla todos   aplicaciones.

la oración resaltada me dejó un tanto desconcertada, ya que indica indirectamente que los protocolos de capa superior que actualmente funcionan, como TLS, no funcionarán en HIP. Si funcionara, no necesitaríamos otra solución, ya que ya tenemos la autenticación del servidor resaltada en los navegadores. ¿Funcionará TLS a través de HIP?

Hasta ahora pensé que HIP introducirá modificaciones en TCP (vea la primera oración citada), pero por encima de eso, todo debería funcionar bien, ya que la arquitectura de la pila ip en capas hace que las capas no conectadas directamente sean transparentes, ¿no?

O es que TLS se convertirá en una capa de seguridad redundante , ya que HIP ya proporciona autenticación de host y encriptación de transporte con IPSec, por lo que debe evitarse TLS sobre HIP ( ralentiza y no proporciona seguridad adicional si HIP con autenticación de certificado adicional se está ejecutando). ¿Necesitamos una nueva forma de resaltar (HIP) los hosts autenticados? (o use el antiguo para no confundir al usuario)

    
pregunta jannikb 26.05.2015 - 23:43
fuente

2 respuestas

1

tl; dr: El último.

HIP introduce una capa adicional entre TCP e IP, y TLS funciona sobre TCP. No hay razón para que no funcione, sería solo una capa adicional de encriptación y autenticación.

HIP es un protocolo de capa de red, y sus direcciones son un subconjunto especial de direcciones IPv6. Cualquier comunicación a esas direcciones en un host que admita HIP queda asegurada por HIP. Uno de los desafíos es que actualmente las aplicaciones no tienen forma de saber si una comunicación de texto aparentemente simple hacia alguna dirección IPv6 se encripta silenciosamente por la pila de la red, por lo que no es posible indicarlo en la barra de direcciones del navegador. Simplemente comprobar si la dirección pertenece a ese bloque especial de IPv6 no es suficiente, ya que un host que no admite HIP podría tratar esas direcciones como direcciones IPv6 normales y enviar los paquetes de texto sin formato a la puerta de enlace predeterminada.

Otro desafío es que, dado que las Identidades de Host son autogeneradas, no existe una autoridad de certificación u otro tercero de confianza a quien se le pueda preguntar si una identidad realmente pertenece a dicha entidad del mundo real y se la muestra a los usuarios. Se puede lograr cierto nivel de confianza si los identificadores se transfieren a través de DNSSEC.

    
respondido por el scolphoy 28.05.2015 - 10:20
fuente
1

Cisco dice que HIP es una alternativa a TLS :

  

HIP proporciona una alternativa de capa de red al uso de sockets seguros   Capa / Seguridad de la capa de transporte (SSL / TLS) para la seguridad de la aplicación,   Que tiene sus ventajas e inconvenientes. HIP es una solución genérica que   Debería funcionar para cualquier protocolo de transporte, mientras que hasta hace poco TLS.   solo TCP soportado. HIP permite la movilidad del host y el multihoming, que   no es compatible con TLS. TLS se ejecuta sobre TCP, dejándolo vulnerable   a varios ataques TCP; por ejemplo, usando paquetes de reinicio falsificados (RST)   o DoS ataca con SYNs. Las aplicaciones deben ser diseñadas explícitamente para   use TLS, mientras que HIP puede proporcionar seguridad como complemento a los existentes   Aplicaciones tradicionales. Por otro lado, TLS no tiene un   problema al atravesar las cajas intermedias tradicionales, como los NAT y   Firewalls que necesitan atención especial para HIP. Ambos protocolos comparten   La característica de endosar la identidad del huésped. TLS confía en   Certificados emitidos por una de las Autoridades de Certificación conocidas,   mientras que HIP puede usar Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC)   [18] o una infraestructura PKI.

En cuanto a si es posible ejecutar TLS sobre HIPS, no parece posible. Hay un gran conflicto en las capas en las que interactúan.

    
respondido por el schroeder 27.05.2015 - 00:58
fuente

Lea otras preguntas en las etiquetas

¿Se puede usar la clave pública (hash) de EK de un TPM para la huella digital de un dispositivo? Por favor, ayude a aclarar el hashing de la contraseña - con sal, múltiples iteraciones de MD5 vs bcrypt / sha2, etc. [duplicar]