¿Por qué TLS 1.3 desaprueba los grupos DHE personalizados?

7

Según el segundo borrador de la especificación TLS 1.3 , Los grupos DH personalizados han quedado en desuso. Como todos sabemos, los grupos DH codificados son vulnerables a un ataque de precomputación que permite el descifrado retroactivo. Dado que TLS 1.3 no deja de usar DH para el intercambio de claves por completo, me imagino que esto significa que volverá a los grupos estándar (por ejemplo, los grupos de Oakley). Teniendo esto en cuenta, ¿por qué TLS 1.3 desaprueba los grupos DH personalizados? ¿Por qué no hacer lo contrario y despreciar a los grupos estándar, o incluso desaprobar todo el intercambio de claves DH para dar paso a la ECC?

Quizás no entiendo lo que significa "grupos DH personalizados".

    
pregunta forest 19.03.2018 - 04:10
fuente

1 respuesta

6

Con TLS 1.2, el servidor primero necesitaba informar al cliente dentro del mensaje ServerKeyExchange sobre los parámetros del grupo DHE que admite. Sólo entonces el cliente podría actuar sobre estos. Con TLS 1.3, el cliente elige a partir de un conjunto de grupos nombrados desde el inicio. Dado que el cliente ahora elige los grupos en lugar del servidor, el intercambio de claves puede comenzar inmediatamente (toda la información se conoce desde el inicio), lo que corta un RTT completo del protocolo de enlace, lo que resulta en un mejor rendimiento.

Por supuesto, en teoría, uno todavía podría tener grupos personalizados de esta manera, solo que el cliente define estos grupos esta vez y no el servidor. No puedo encontrar ninguna información específica sobre por qué se eliminaron los grupos personalizados, pero pareció ocurrir durante una reunión intermedia a mediados de 2014 basada en este mensaje en la lista de correo TLS . No puedo encontrar ninguna información sobre esto en la reunión oficial en 03/2014 ni en la siguiente en 07/2014 .

Pero, algo de información en el documento Registros indiscretos: puertas traseras persistentes de Diffie-Hellman en TLS a partir de 2016 podría apuntar en la dirección correcta. Este documento analiza las puertas traseras que se pueden negar utilizando grupos DH personalizados y en VII. Discusión A. Estrategias de mitigación se discuten varias estrategias para prevenir tales puertas traseras, como deshabilitar el DHE por completo o usar solo grupos de DH bien conocidos (con nombre) similares a lo que se hace con ECC. Si eliminar DHE por completo no es una opción, tener la forma más fácil de manejar este problema es tener un conjunto fijo de parámetros DHE con nombre.

    
respondido por el Steffen Ullrich 19.03.2018 - 07:31
fuente

Lea otras preguntas en las etiquetas