摘要:詳見握手過程服務(wù)端進(jìn)行響應(yīng)消息�����,中間攻擊者可以查看所有的流量都使用弱加密算法,并將經(jīng)過中間人�����,中間人可以隨意查看與修改�。具體如圖恢復(fù)不具有前向安全性,且消息可能被用作重放攻擊����,所以安全性較低,需慎重使用�。
0x00 前言
最近在閱讀論文,其中閱讀了 WWW2021的一篇文章“TLS 1.3 in Practice: How TLS 1.3 Contributes to the Internet”��。在本篇文章中����,作者對(duì)當(dāng)下TLS 1.3在實(shí)際中的采用率、安全性��、性能和實(shí)現(xiàn)進(jìn)行了大規(guī)模的測(cè)量��。下面是對(duì)TLS 1.3 的一些優(yōu)勢(shì)與特性的總結(jié)。
0x01 什么是TLS��?
TLS代表傳輸層安全性并且是SSL(安全套接字層)的后繼者�����。TLS提供了Web瀏覽器和服務(wù)器之間的安全通信����。連接本身是安全的���,因?yàn)槭褂脤?duì)稱密碼術(shù)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密����。密鑰是為每個(gè)連接唯一生成的��,并且基于在會(huì)話開始時(shí)協(xié)商的共享機(jī)密(也稱為TLS握手)����。
0x02 TLS 1.3 &&TLS 1.2
在過去十年中,部署了最新的TLS版本1.3 ����,解決了其前身(即TLS 1.2 )的關(guān)鍵漏洞,如BEAST和FREAK攻擊��。TLS 1.3的標(biāo)準(zhǔn)化工作始于2013年8月,隨著安全性和性能的提高���,于2018年8月完成��。
安全性提高
廢除不支持前向安全性的 RSA 和 DH 密鑰交換算法���;
MAC 只使用 AEAD 算法;
禁用 RC4 / SHA1 等不安全的算法�����;
加密握手消息���;
兼容中間設(shè)備 TLS 1.2����;
加密握手消息��。
另外�,TLS 1.2容易受到中間人攻擊和降級(jí)攻擊(FREAK)。TLS 1.3 彌補(bǔ)了TLS 1.2 的缺陷��,使其不易受到攻擊。
降級(jí)攻擊(FREAK)原理
主要原因�,TLS1.2 握手部分協(xié)商使用哪種密碼,并沒有進(jìn)行加密數(shù)字簽名����。而 TLS 1.3 對(duì)握手信息進(jìn)行了加密處理。
Phase 1:在客戶端發(fā)出的Hello消息中����,它會(huì)請(qǐng)求標(biāo)準(zhǔn)的加密�����,中間人攻擊者會(huì)改變請(qǐng)求內(nèi)容��,轉(zhuǎn)而請(qǐng)求“40 bit 密鑰的出口級(jí)的加密算法”(弱加密算法)
Phase 2:服務(wù)端會(huì)回復(fù)一個(gè)出口級(jí)的密鑰�,由于OpenSSL/Secure傳輸?shù)腷ug,客戶端會(huì)接受這個(gè)存在漏洞的密鑰
Phase 3:攻擊者進(jìn)行爆破40bit密鑰���,以便能夠偽造mac�����,進(jìn)行消息修改�����。詳見TLS 1.2 握手過程.
Phase 4:服務(wù)端進(jìn)行響應(yīng)消息���,中間攻擊者可以查看.
所有的流量都使用弱加密算法���,并將經(jīng)過中間人,中間人可以隨意查看與修改����。
Export 加密算法
Export是一種老舊的弱加密算法,是被美國(guó)法律標(biāo)示為可出口的加密算法�,其限制對(duì)稱加密最大強(qiáng)度位數(shù)為40位,限制密鑰交換強(qiáng)度為最大512位��。這是一個(gè)現(xiàn)今被強(qiáng)制丟棄的算法�����。
性能提高
TLS和加密連接在網(wǎng)絡(luò)性能方面總是會(huì)增加一些開銷�����。HTTP / 2確實(shí)可以解決此問題�,但是TLS 1.3通過諸如TLS錯(cuò)誤啟動(dòng)和零往返時(shí)間(0-RTT)之類的功能���,甚至可以進(jìn)一步提高加密連接的速度。
1-RTT模式
簡(jiǎn)而言之�,對(duì)于TLS 1.2,需要兩次往返來完成TLS握手�����。在1.3版本中�,它只需要一個(gè)往返, 這反過來又將加密延遲減少了一半��。這有助于使那些加密的連接比以前更靈活�����。
具體來說����,在TLS 1.2的第二次往返中�,客戶機(jī)Hello和服務(wù)器Hello消息與密鑰交換消息相結(jié)合。
0-RTT恢復(fù)
TLS1.3通過引入early_data擴(kuò)展0-RTT恢復(fù)與先前訪問的網(wǎng)站的會(huì)話 ����,對(duì)于恢復(fù)的會(huì)話�����,在發(fā)送應(yīng)用程序數(shù)據(jù)之前沒有握手過程�����。它允許客戶端將應(yīng)用程序數(shù)據(jù)與第一個(gè)握手消息一起發(fā)送�����。相比之下�,TLS 1.2在發(fā)送應(yīng)用程序數(shù)據(jù)之前需要一個(gè)RTT�����。
在TLS 1.2中����,有兩種恢復(fù)連接的方法:會(huì)話ID和會(huì)話票據(jù)。TLS 1.3把這倆結(jié)合在一起形成了新模式稱為PSK(預(yù)共享密鑰)恢復(fù)����。具體是,在建立會(huì)話之后���,客戶端和服務(wù)器可以派生一個(gè)共享的密鑰���,叫做“恢復(fù)主密鑰”����??梢詫⑵浯鎯?chǔ)在服務(wù)器上(會(huì)話ID的形式),也可以使用僅服務(wù)器已知的密鑰進(jìn)行加密(會(huì)話票據(jù)形式)�����。此會(huì)話票據(jù)將發(fā)送給客戶端��,并在恢復(fù)連接時(shí)進(jìn)行交換���。
對(duì)于恢復(fù)連接,雙方共享恢復(fù)的主密鑰�,不需要進(jìn)行密鑰交換?���?蛻舳讼乱淮芜B接到服務(wù)器時(shí),它可以從上一個(gè)會(huì)話中獲取密鑰�,并使用它來加密應(yīng)用程序數(shù)據(jù)和會(huì)話票據(jù)一起發(fā)送到服務(wù)器�。具體如圖:
0-RTT恢復(fù)不具有前向安全性���,且消息可能被用作重放攻擊�,所以安全性較低�,需慎重使用。
0-RTT 重放攻擊原理
如果攻擊者捕獲了發(fā)送到服務(wù)器的0-RTT數(shù)據(jù)包�����,則他們可以重放該數(shù)據(jù)包�,并且服務(wù)器可能會(huì)將其視為有效。這可能會(huì)產(chǎn)生負(fù)面后果���。
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/126245.html
