Puncte:1

Prevenirea atacurilor de rollback în TLS 1.2?

drapel cn

Există vreo metodă pentru a preveni atacul de returnare a versiunii în timpul utilizării TLS 1.2 (în afară de dezactivarea versiunilor inferioare)? Am citit despre modul în care TLS 1.3 oferă un mecanism de protecție la downgrade care este încorporat în nonce aleatoare a serverului.Există vreun astfel de mecanism în TLS 1.2?

kelalaka avatar
drapel in
Din câte știu eu, nu
Puncte:2
drapel cn

Rollback prin modificarea schimbului ClientHello/ServerHello este detectat și blocat de Finished în toate versiunile de TLS. Pentru schimbul de chei simplu-RSA, versiunea client este în plus „de contrabandă” în secret premaster criptat care permite detectarea mai devreme -- dar de la începutul anilor 2010 (adolescenți?) simplu-RSA a fost în mare parte depreciat sau abandonat deoarece nu oferă Forward Secrecy. Pentru (toate) suitele care utilizează autentificarea client în TLS 1.0-1.2, semnătura clientului acoperă, de asemenea, transcrierea, inclusiv versiunea, detectând astfel rollback, dar utilizarea autentificării client este opțională și rară.

Degradează determinând eșuarea unei strângeri de mână a versiunii superioare, astfel încât un client este indus să utilizeze (și să accepte) o versiune inferioară variază.

TLS 1.0-1.2 specifică o verificare împotriva retrogradării la SSLv2 prin setarea octeților mici ai secretului premaster înainte de criptare în schimbul de chei simplu-RSA (care este singurul schimb de chei în SSLv2); acesta este E.2 în RFC 2246 și 4346 și E.3 în RFC 5246. Dar până la mijlocul anilor nouăzeci, când au fost adoptate 1.1 și 1.2, practic toată lumea/totul a renunțat la SSLv2 și a fost interzis oficial de RFC6176 în 2011, așa că acest lucru a devenit discutabil. (Java JSSE până la j7 în 2011 a folosit implicit „tranziția” format salut de la SSLv2, dar JSSE nu a acceptat niciodată protocolul SSLv2 real.)

Pentru TLS 1.0-1.2 RFC 7507 în 2015 definește un SCSV pentru a detecta downgrade (și este menționat în RFC8446, care încorporează codul de alertă).

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.