¿Es seguro compartir un TLS Master Secret?

5

Estoy depurando un problema de comunicación TLS cliente / servidor con un proveedor de servidores de terceros. Para el lado del cliente, he capturado un volcado pcapng junto con el guardado a través de una utilidad similar a SSLKEYLOGFILE . ¿Puedo compartir los archivos para realizar un análisis de Wireshark?

El RFC 5246 describe que Master Secret se basa en una entrada pseudoaleatoria por sesión TLS. Por lo tanto, parece que debería ser seguro compartir y no exponer el riesgo de divulgación a otras sesiones.

Solo necesito asegurarme de no causar una infracción de seguridad.

    
pregunta Yuri 08.03.2018 - 12:59
fuente

1 respuesta

7

El (Pre-) Master-Secret es único por sesión TLS. Si desea que un tercero pueda descifrar un pcap específico con esta sesión TLS pero no cualquier otra cosa, es seguro darle este secreto a la parte, siempre que la sesión no se reutilice en ningún otro lugar.

Tenga en cuenta que una sesión TLS puede abarcar varias conexiones TCP. Para asegurarse de que la sesión ya no será reutilizada por el cliente, generalmente es suficiente para cerrar el cliente, es decir, el cliente generalmente no conserva la información de la sesión durante los reinicios. Pero también debe asegurarse de que el tercero no tenga acceso a otras capturas de datos de la misma sesión TLS, aparte de las que se les permite analizar explícitamente.

Dado que una sesión TLS siempre está entre un cliente específico y un destino, no tiene que preocuparse por la sesión TLS reutilizada entre el mismo destino y otro cliente o entre el mismo cliente y otro objetivo. Pero "destino" no significa necesariamente un solo servidor, no es raro que un dominio tenga varios servidores y que estos compartan la información de la sesión TLS.

    
respondido por el Steffen Ullrich 08.03.2018 - 13:33
fuente

Lea otras preguntas en las etiquetas