¿Cómo volver a emitir la clave secreta en Session Resumption?

Navega tus respuestas
0

enlace : Reanudación de sesión

(recorte)

  

el protocolo proporciona formas de reutilizar las credenciales existentes para volver a emitir   nuevas claves secretas para nuevas conexiones (nuevas conexiones TCP) o para   renovar las conexiones existentes.

Según el wiki de OpenSSL: podemos volver a emitir la clave secreta derivada del secreto maestro mediante la reanudación de la sesión.

Uso la reanudación de sesión basada en ticket de sesión. ¿Cómo puedo volver a emitir las claves secretas de las credenciales existentes?

    
pregunta Devang Kubavat 11.01.2017 - 05:40
fuente

1 respuesta

2

Creo que no puedes

No estoy seguro. Pero creo que si reanudas, entonces estás atascado con las llaves antiguas. Si quieres cambiar la clave, haz una de estas cosas:

  • Comience una nueva sesión de inmediato.
  • O, alternativamente, dentro de la sesión reanudada, use "renegociación de sesión" para cambiar la clave. Hay una versión original, insegura y actualizada, segura, de renegociación .

Actualizar
Este bit suena interesante. Pero realmente no lo entiendo. Parece que podrías hacer una "rekey-lite":

Reformateado generosamente desde la sección Client Hello del TLS 1.2 RFC :

El mensaje de ClientHello incluye un identificador de sesión de longitud variable.

Si no está vacío, el valor identifica una sesión entre el mismo cliente y servidor cuyos parámetros de seguridad el cliente desea reutilizar. El identificador de sesión PUEDE ser de

  1. una conexión anterior,
  2. esta conexión, o
  3. de otra conexión actualmente activa.

.

  • La segunda opción es útil si el cliente solo desea actualizar las estructuras aleatorias y los valores derivados de una conexión, y
  • la tercera opción hace posible establecer varias conexiones seguras independientes sin repetir el protocolo de protocolo de enlace completo.
respondido por el StackzOfZtuff 11.01.2017 - 06:30
fuente

Lea otras preguntas en las etiquetas

¿Cómo solicita una persona gmail.com de mi servidor? ¿Cómo implementar correctamente la conexión encriptada entre dos partes que confían entre sí con SSL?