Көлік қабаттарының қауіпсіздігі - Transport Layer Security

Көлік қабаттарының қауіпсіздігі (TLS), және оның қазіргі ескірген предшественники, Қауіпсіз ұяшықтар қабаты (SSL),^[1] болып табылады криптографиялық хаттамалар қамтамасыз етуге арналған байланыс қауіпсіздігі астам компьютерлік желі.^[2] Хаттамалардың бірнеше нұсқалары сияқты қосымшаларда кең қолданылуды табады веб-шолулар, электрондық пошта, жедел хабар алмасу және IP арқылы дауыс беру (VoIP). Веб-сайттар TLS-ті олардың арасындағы барлық байланыстарды қорғау үшін қолдана алады серверлер және веб-шолғыштар.

TLS хаттамасы ең алдымен қамтамасыз етуге бағытталған жеке өмір және деректердің тұтастығы екі немесе одан да көп байланысатын компьютерлік қосымшалар арасында.^[2]:3 TLS-мен қорғалған кезде клиент (мысалы, веб-шолғыш) мен сервер (мысалы, wikipedia.org) арасындағы байланыстар келесі бір немесе бірнеше сипаттамаларға ие болуы керек:

• Байланыс жеке (немесе қауіпсіз) өйткені симметриялы криптография үйреніп қалған шифрлау берілген мәліметтер. The кілттер бұл үшін симметриялық шифрлау әр қосылым үшін ерекше түрде жасалады және a-ға негізделген ортақ құпия басында келісілген болатын сессия (қараңыз § TLS қол алысу ). Сервер мен клиент шифрлау алгоритмі мен криптографиялық кілттерді пайдалану туралы егжей-тегжейлерін біріншісіне дейін келіседі байт деректер жіберіледі (қараңыз) § Алгоритмдер төменде). Жалпы құпия туралы келіссөздер қауіпсіз де (келісілген құпияға қол жетімді емес) тыңдаушылар және оны тіпті байланыстың ортасына орналастыратын шабуылдаушы да ала алмайды) және сенімді (бірде-бір шабуылшы келіссөз кезінде коммуникацияларды анықталмай өзгерте алмайды).
• Байланысушы тараптардың жеке басы болуы мүмкін аутентификацияланған қолдану ашық кілтпен криптография. Бұл аутентификация міндетті емес болуы мүмкін, бірақ әдетте тараптардың кем дегенде біреуіне қажет (әдетте сервер).
• Байланыс сенімді өйткені әрбір жіберілген хабарламада a көмегімен хабарламаның бүтіндігі тексеріледі хабарламаның аутентификация коды кезінде деректердің анықталмаған жоғалуын немесе өзгеруін болдырмау берілу.^[2]:3

Жоғарыдағы қасиеттерден басқа, мұқият болыңыз конфигурация сияқты TLS құпиялылыққа қатысты қосымша сипаттамаларды ұсына алады алға құпия, болашақта шифрлау кілттерінің кез келген ашылуын бұрын жазылған TLS байланысының шифрын ашу үшін қолдануға болмайтындығына кепілдік беру.^[3]

TLS кілттермен алмасу, деректерді шифрлау және хабарламаның тұтастығын растаудың көптеген түрлі әдістерін қолдайды (қараңыз) § Алгоритмдер төменде). Нәтижесінде TLS-тің қауіпсіз конфигурациясы көптеген конфигурацияланатын параметрлерді қамтиды және барлық таңдаулар жоғарыда келтірілген құпиялылыққа қатысты барлық қасиеттерді қамтамасыз ете алмайды (қараңыз) § кілттермен алмасу (аутентификация), § шифрлардың қауіпсіздігі, және § мәліметтердің тұтастығы кестелер).

Байланыс қауіпсіздігінің TLS қамтамасыз етуге ұмтылатын жақтарын бұрмалау әрекеттері жасалды және қауіпсіздік қатерлерін ескерту үшін хаттама бірнеше рет қайта қаралды (қараңыз) § қауіпсіздік ). Веб-браузерлер әзірлеушілер қауіпсіздіктің әлсіз жақтарынан қорғану үшін өз өнімдерін бірнеше рет қайта қарады (қараңыз) TLS / SSL веб-шолғыштарды қолдау тарихын қолдайды ).^[4]

TLS хаттамасы екі қабатты қамтиды: TLS жазбасы және TLS қол алысу хаттамалар.

TLS - бұл ұсынылған Интернет-инженерлік жұмыс тобы (IETF ) стандартты, алғаш 1999 жылы анықталған, ал қазіргі нұсқасы - TLS 1.3 RFC  8446 (Тамыз 2018). TLS бұрын жасалған SSL сипаттамаларына негізделген (1994, 1995, 1996) Netscape коммуникациясы^[5]қосу үшін HTTPS оларға хаттама Навигатор веб-шолғыш.

Сипаттама

Клиент-сервер қосымшаларда TLS қолданылады хаттама тыңдауды болдырмауға арналған тәсілмен желі арқылы байланыс орнату бұзу.

Қосымшалар TLS-пен (немесе SSL-мен) немесе онсыз байланыса алатындықтан, бұл үшін қажет клиент үшін көрсету сервер TLS байланысын орнату.^[6] Бұған жетудің негізгі тәсілдерінің бірі басқасын қолдану болып табылады порт нөмірі TLS қосылымдары үшін, мысалы 443 портына арналған HTTPS. Тағы бір механизм - клиенттің TLS-ке қосылуға арналған серверге протоколға байланысты сұранысы; мысалы, жасау арқылы СТАРТЛ поштаны пайдалану кезінде сұрау және жаңалықтар хаттамалар.

Клиент пен сервер TLS-ті пайдалануға келіскеннен кейін, а мемлекеттік а көмегімен байланыстыру қол алысу рәсім.^[7] Хаттамаларда анмен қол алысу қолданылады асимметриялық шифр шифрлау параметрлерін ғана емес, сонымен бірге a көмегімен одан әрі байланыс шифрланатын сеанстың ортақ кілтін орнату симметриялы шифр. Осы қол алысу кезінде клиент пен сервер қосылудың қауіпсіздігін орнату үшін қолданылатын әртүрлі параметрлер туралы келіседі:

• Қол алысу клиент қауіпсіз қосылуды сұрайтын TLS қосылған серверге қосылған кезде басталады және клиент қолдау көрсетілетін тізімді ұсынады шифрлық люкс (шифрлар және хэш функциялары ).
• Осы тізімнен сервер шифр және хэш функциясын таңдайды, ол да қолдайды және клиентке шешім туралы хабарлайды.
• Одан кейін сервер әдетте а түрінде сәйкестендіруді ұсынады сандық сертификат. Сертификатта сервер атауы, сенімді куәлік орталығы (CA) сертификаттың шынайылығына және сервердің ашық шифрлау кілтіне кепілдік береді.
• Клиент сертификаттың жарамдылығын процеске кіріспес бұрын растайды.
• Қауіпсіз байланыс үшін пайдаланылатын сеанс кілттерін құру үшін клиент:
  • шифрлар а кездейсоқ сан сервердің ашық кілтімен және нәтижені серверге жібереді (тек сервер өзінің жеке кілтімен шифрды ашуы керек); содан кейін екі тарап кездейсоқ нөмірді сеанс кезінде келесі шифрлау және шифрды шешу үшін бірегей сессия кілтін жасау үшін пайдаланады
  • қолданады Диффи-Хеллман кілттерімен алмасу шифрлау мен шифрды шешуге арналған кездейсоқ және бірегей сеанстың кілтін қауіпсіз құру үшін, ол құпиялылықтың қосымша қасиетіне ие: егер болашақта сервердің жеке кілті ашылатын болса, оны сеанс ұстап алып, жазып алған жағдайда да, оны ағымдағы сеанстың шифрын ашу үшін қолдануға болмайды. үшінші тарап.

Бұл қол алысуды аяқтайды және байланыс жабылғанға дейін сеанс кілтімен шифрланған және шифры шешілген қорғалған байланысты бастайды. Егер жоғарыдағы қадамдардың кез-келгені сәтсіз болса, онда TLS қол алысуы сәтсіз болады және байланыс жасалмайды.

TLS және SSL деңгейлерінің кез-келген қабаттарына мүлдем сәйкес келмейді OSI моделі немесе TCP / IP моделі.^[8][9] TLS «кейбір сенімді тасымалдау протоколдарының үстінен (мысалы, TCP)» жұмыс істейді^[10] бұл оның жоғарыдан екенін білдіреді көлік қабаты. Ол жоғары деңгейге шифрлауға қызмет етеді, бұл әдетте презентация қабаты. Алайда, қосымшалар көбінесе TLS-ті көлік қабаты сияқты пайдаланады,^[8][9] TLS-ті қолданатын бағдарламалар TLS-тің қол алысуын бастамашылықты және алмасылған аутентификация сертификаттарымен жұмыс жасауды белсенді бақылауы керек болса да.^[10]

Тарих және даму

Қауіпсіз деректер жүйесі

Көліктік қабаттардың қауіпсіздігі туралы хаттама (TLS) бірнеше басқа негізгі желілік қауіпсіздік платформаларымен бірге 1986 жылы тамызда басталған Ұлттық қауіпсіздік агенттігі, Ұлттық стандарттар бюросы, қорғаныс коммуникация агенттігі және он екі байланыс және Secure Data Network System (SDNS) деп аталатын арнайы жобаны бастаған компьютерлік корпорациялар.^[14] Бағдарлама 1987 жылдың қыркүйегінде компьютерлік қауіпсіздік бойынша 10-шы ұлттық конференцияда жарияланған мақалалардың кең жиынтығында сипатталған. Инновациялық зерттеу бағдарламасы мемлекеттік және жеке интернеттегі қосымшаларға енгізілетін қауіпсіз компьютерлік байланыс желісі мен өнім сипаттамаларын жобалауға бағытталған. Бұл АҚШ үкіметінің GOSIP профилдерінде де, халықаралық ITU-ISO JTC1 интернет күш-жігерінде де алға жылжып келе жатқан OSI жаңа интернет стандарттарын толықтыруға арналған. Бастапқыда SP4 хаттамасы деп аталған ол TLS деп өзгертіліп, кейін 1995 жылы ITU-T X.274 халықаралық стандарты ретінде жарияланды | ISO / IEC 10736: 1995.

Қауіпсіз желілік бағдарламалау

Көлік қабатын қауіпсіздендіру бойынша алғашқы зерттеулерге мыналар кірді Қауіпсіз желілік бағдарламалау (SNP) қолданбалы бағдарламалау интерфейсі (API), ол 1993 жылы қауіпсіз көлік қабатын API-ге ұқсас ету тәсілін зерттеді Беркли розеткалары, қауіпсіздік шараларымен бұрыннан бар желілік қосымшаларды жаңартуды жеңілдету.^[15]

SSL 1.0, 2.0 және 3.0

Netscape SSL протоколдарының түпнұсқасын жасады және Тахер Элгамал, 1995 жылдан 1998 жылға дейін Netscape Communications компаниясының бас ғалымы «SSL әкесі» ретінде сипатталды.^{[16][17][18][19]} SSL 1.0 нұсқасы ешқашан көпшілікке жарияланбаған, себебі хаттамадағы қауіпсіздіктің елеулі кемшіліктері болды. 1995 жылғы ақпанда шығарылған 2.0 нұсқасында бірқатар қауіпсіздік қателіктері болды, бұл 3.0 нұсқасын жобалауды қажет етті.^[20][18] 1996 жылы шығарылған SSL 3.0 нұсқасы өндірілген хаттаманың толық қайта жасалуын ұсынды Пол Кочер Netscape инженерлері Фил Карлтон және Алан Фрайермен жұмыс жасай отырып, Кристофер Аллен мен Тим Диеркстің «Consensus Development» сілтемесімен. SSL / TLS жаңа нұсқалары SSL 3.0-ге негізделген. 1996 жылғы SSL 3.0 жобасын IETF тарихи құжат ретінде жариялады RFC  6101.

SSL 2.0 2011 жылы ескірді RFC  6176. 2014 жылы SSL 3.0 осал болып табылды ПУДЛ бәріне әсер ететін шабуыл блоктық шифрлар SSL-де; RC4, SSL 3.0 қолдайтын жалғыз блоктық емес шифр SSL 3.0-де қолданылғандай бұзылған.^[21] SSL 3.0 2015 жылдың маусым айында күшін жойды RFC  7568.

TLS 1.0

TLS 1.0 алғаш рет анықталды RFC  2246 1999 жылдың қаңтарында SSL 3.0 нұсқасын жаңарту ретінде Кристофер Аллен мен Тим Диркс Консенсус Дамуының авторлары болды. АӨК-де айтылғандай, «бұл протокол мен SSL 3.0 арасындағы айырмашылықтар айтарлықтай емес, бірақ олар TLS 1.0 мен SSL 3.0 арасындағы өзара әрекеттесуді болдырмайтындай маңызды». Кейінірек Тим Диеркс бұл өзгертулер мен «SSL» -ден «TLS» -ге өзгертілу Microsoft корпорациясының бет-әлпетін көрсететін іс-қимыл деп жазды, «сондықтан IETF бұл Netscape протоколына жай ғана таңба басқандай көрінбейді».^[22]

TLS 1.0 құрамында TLS енгізу SSL 3.0 қосылымын төмендете алатын, осылайша қауіпсіздікті әлсірететін құрал бар.^[23]:1–2

The PCI кеңесі ұйымдарға 2018 жылдың 30 маусымына дейін 1.0 TLS-тен 1.1 TLS немесе одан жоғарыға көшуді ұсынды.^[24][25] 2018 жылдың қазанында, алма, Google, Microsoft, және Mozilla бірлесіп 2020 жылдың наурызында 1.0 және 1.1 TLS-тен бас тартатынын жариялады.^[11]

TLS 1.1

TLS 1.1 анықталды RFC  4346 2006 жылдың сәуірінде.^[26] Бұл TLS 1.0 нұсқасынан шыққан жаңарту. Осы нұсқадағы елеулі айырмашылықтарға мыналар жатады:

• Қорғаныс қосылды шифр-блокты тізбектеу (CBC) шабуылдар.
  • Жасырын инициализация векторы (IV) айқын IV-мен ауыстырылды.
  • Өңдеудің өзгеруі төсеу қателері.
• Қолдау ЯНА параметрлерді тіркеу.^[23]:2

TLS 1.2

TLS 1.2 анықталды RFC  5246 2008 жылдың тамызында. Ол TLS 1.1 спецификациясына негізделген. Негізгі айырмашылықтарға мыналар жатады:

• The MD5 -SHA-1 ішіндегі үйлесімділік жалған кездейсоқ функция (PRF) ауыстырылды SHA-256, пайдалану мүмкіндігі бар шифрлар жиынтығы көрсетілген PRF.
• Аяқталған хабарламадағы MD5-SHA-1 тіркесімі хэш арнайы хэш алгоритмдерін шифрлар жиынтығын пайдалану мүмкіндігі бар SHA-256 ауыстырылды. Дегенмен, дайын хабарламадағы хэштің мөлшері әлі де кемінде 96 болуы керек биттер.^[27]
• Сандық қол қойылған элементтегі MD5-SHA-1 тіркесімі келісілген бір хэшке ауыстырылды қол алысу, ол SHA-1 стандартты болып табылады.
• Клиенттің және сервердің қай хэштер мен қол қою алгоритмдерін қабылдайтындығын анықтау мүмкіндігін арттыру.
• Қолдауды кеңейту аутентификацияланған шифрлау негізінен қолданылатын шифрлар Galois / Counter режимі (GCM) және CCM режимі туралы Кеңейтілген шифрлау стандарты (AES) шифрлау.
• TLS кеңейтімдерінің анықтамасы және AES шифрлар жиынтығы қосылды.^[23]:2

Барлық TLS нұсқалары одан әрі жетілдірілді RFC  6176 2011 жылдың наурызында олардың SSL-мен кері үйлесімділігін алып тастады, сондықтан TLS сессиялары Secure Sockets Layer (SSL) 2.0 нұсқасын пайдалану туралы ешқашан келіссөздер жүргізбейді.

TLS 1.3

TLS 1.3 анықталды RFC  8446 2018 жылдың тамызында. Ол ертерек TLS 1.2 сипаттамасына негізделген. TLS 1.2-тен негізгі айырмашылықтарға мыналар жатады:^[28]

• Шифрлар жиынтығынан кілт келісімі мен аутентификация алгоритмдерін бөлу
• Әлсіз және аз қолданылатын атауларды қолдауды алып тастау эллиптикалық қисықтар
• MD5 және SHA-224 қолдауын алып тастау криптографиялық хэш функциялары
• Алдыңғы конфигурация қолданылған кезде де сандық қолтаңбаны талап ету
• Біріктіру HKDF жартылай эфемерлік DH ұсынысы
• Қайта бастауды ауыстыру ПСК және билеттер
• Қолдау 1-RTT 0- үшін қол алысу және бастапқы қолдауRTT
• Міндетті алға құпиялылық, (EC) DH кілті келісімі кезінде эфемерлік кілттерді пайдалану арқылы
• Көптеген қауіпті немесе ескірген функцияларды қолдауды тастау, соның ішінде қысу, қайта келіссөздер,AEAD емес, шифрларPFS кілттермен алмасу (олардың арасында тұрақты болып табылады RSA және статикалық DH айырбастау), әдеттегідей DHE топтар, EC нүктесінің форматы бойынша келіссөздер, Cipher Spec протоколын өзгерту, UNIX уақытына сәлем хабарламасы және AEAD шифрларына AD енгізу ұзындығы өрісі
• Кері үйлесімділік үшін SSL немесе RC4 келіссөздеріне тыйым салу
• Сеанс хэшін интеграциялау
• Жазба қабаты нұсқасының нөмірін қолдануды тоқтату және артқа үйлесімділігі үшін нөмірді қатыру
• Қауіпсіздікке қатысты кейбір алгоритм мәліметтерін қосымшадан спецификацияға көшіру және ClientKeyShare-ді қосымшаға ауыстыру
• Қосу ChaCha20 ағын шифрын Политика 1305 хабарламаның аутентификация коды
• Қосу Ed25519 және Ed448 ЭЦҚ алгоритмдері
• Қосу x25519 және x448 негізгі алмасу хаттамалары
• Бірнеше жіберуге қолдау қосады OCSP жауаптар
• Барлық қол алысу хабарламаларын ServerHello-дан кейін шифрлайды

Желілік қауіпсіздік қызметі (NSS), әзірлеген криптографиялық кітапхана Mozilla және оның веб-шолғышында қолданылады Firefox, TLS 1.3 әдепкі бойынша 2017 жылдың ақпанында қосылды.^[29] Кейіннен TLS 1.3 қолдауы қосылды - бірақ аздаған пайдаланушылар үшін сыйысымдылық мәселелеріне байланысты автоматты түрде қосылмаған^[30] - дейін Firefox 52.0, ол 2017 жылғы наурызда шығарылды. TLS 1.3 әдепкі бойынша 2018 жылдың мамырында шығарумен қосылды Firefox 60.0.^[31]

Google Chrome TLS 1.3-ті әдепкі нұсқа ретінде қысқа мерзімге 2017 жылы орнатыңыз. Ол сәйкес келмейтін орта жәшіктерге байланысты оны әдепкі ретінде алып тастады. Blue Coat веб-сенімді өкілдері.^[32]

IETF 100 кезінде Хакатон болған Сингапур 2017 жылы TLS тобы бейімделу бойынша жұмыс жасады ашық бастапқы қосымшалар TLS 1.3 пайдалану.^[33][34] TLS тобы жеке адамдардан құралды Жапония, Біріккен Корольдігі, және Маврикий cyberstorm.mu тобы арқылы.^[34] Бұл жұмыс IETF 101 Hackathon-да жалғасын тапты Лондон, ^[35] және IETF 102 Хакатон Монреалда.^[36]

wolfSSL 2017 жылдың мамырында шығарылған 3.11.1 нұсқасы бойынша TLS 1.3 қолдануға мүмкіндік берді.^[37] Бірінші коммерциялық TLS 1.3 енгізу ретінде wolfSSL 3.11.1 18 жобасын қолдады, ал енді 28 жобасын қолдайды,^[38] соңғы нұсқа, сондай-ақ көптеген ескі нұсқалар. TLS 1.2 мен 1.3 арасындағы айырмашылықтар туралы блогтардың сериясы жарияланды.^[39]

Жылы Қыркүйек 2018, танымал OpenSSL жоба өзінің кітапханасының 1.1.1 нұсқасын шығарды, онда TLS 1.3-ті қолдау «жаңа функция» болды.^[40]

Кәсіпорынның көлік қауіпсіздігі

The Электронды шекара қоры TLS 1.3-ті мақтап, нұсқа хаттамасына алаңдаушылық білдірді Кәсіпорынның көлік қауіпсіздігі (ETS) TLS 1.3-тегі маңызды қауіпсіздік шараларын қасақана ажыратады.^[41] ETS - жарияланған стандарты ETSI TS103523-3, «Middlebox Security Protocol, Part3: Enterprise Transport Security», және зиянды бағдарламаларды орналастыруды, деректердің заңсыз эксфильтрациясын және аудиторлық бақылау мандаттарын сақтауды анықтауға мүмкіндік беретін банктік жүйелер сияқты мүліктік желілерде пайдалануға арналған.

Сандық сертификаттар

Сандық сертификаты бар веб-сайт мысалы

Цифрлық сертификат аталған сертификат тақырыбымен ашық кілтке меншік құқығын куәландырады және осы кілттің белгілі бір күтілетін пайдаланылуын көрсетеді. Бұл басқаларға (сенім білдіретін тараптарға) қолтаңбаларға немесе сертификатталған ашық кілтке сәйкес келетін жеке кілтпен жасалған тұжырымдарға сенуге мүмкіндік береді.

Куәліктер

TLS, сертификаттардың түпнұсқалығын анықтау үшін, әдетте, сенімді үшінші тарап сертификаттарының жиынтығына сүйенеді. Сенім әдетте пайдаланушы агентінің бағдарламалық жасақтамасымен таратылатын сертификаттар тізіміне бекітіледі,^[42] және сенімді тарап өзгерте алады.

Сәйкес Netcraft белсенді TLS сертификаттарын бақылайтын, нарықта жетекші сертификат орталығы (CA) болды Symantec олардың сауалнамасы басталғаннан бері (немесе VeriSign аутентификациялау қызметтерінің құрылымдық бөлімшесін Symantec сатып алғанға дейін). 2015 жылғы жағдай бойынша Symantec барлық сертификаттардың үштен бір бөлігінен азын және Netcraft есептейтін 1 миллион ең көп жұмыс жасайтын веб-сайттар қолданған жарамды сертификаттардың 44% -ын құрады.^[43] 2017 жылы Symantec өзінің TLS / SSL бизнесін DigiCert-ке сатты.^[44] Жаңартылған есепте ол көрсетілді IdenTrust, DigiCert, және Сектиго 2019 жылдың мамыр айынан бастап нарық үлесі бойынша сертификат бойынша бірінші 3 орган болып табылады.^[45]

Таңдаудың нәтижесі ретінде X.509 сертификаттар, куәліктер мен а жалпыға қол жетімді инфрақұрылым сертификат пен оның иесі арасындағы байланысты тексеру, сондай-ақ сертификаттарды құру, қол қою және олардың жарамдылығын басқару үшін қажет. Бұл а арқылы сәйкестікті растауға қарағанда ыңғайлы болуы мүмкін сенім торы, 2013 жылғы жаппай бақылауды ашып көрсету сертификат беру органдары қауіпсіздік тұрғысынан әлсіз нүкте болып табылатындығын кеңінен танымал етті ортадағы адам шабуылдары (MITM), егер сертификат беретін орталық ынтымақтастық жасаса (немесе бұзылған болса).^[46][47]

Алгоритмдер

Кілт алмасу немесе кілт келісімі

Клиент пен сервер TLS-пен қорғалған ақпаратпен алмасуды бастамас бұрын, олар деректерді шифрлау кезінде шифрлау кілтімен және шифрмен қауіпсіз түрде алмасуы немесе келісуі керек (қараңыз) § шифр ). Кілттермен алмасу / келісім жасау үшін қолданылатын әдістердің қатарына мыналар жатады: ашық және жеке кілттер RSA (TLS қол алысу хаттамасында TLS_RSA деп көрсетілген), Диффи-Хеллман (TLS_DH), уақытша Диффи-Хеллман (TLS_DHE), эллиптикалық қисық Диффи – Хеллман (TLS_ECDH), эфемерлік эллиптикалық қисық Диффи-Хеллман (TLS_ECDHE), белгісіз Диффи-Хеллман (TLS_DH_anon),^[2] алдын-ала бөлісілген кілт (TLS_PSK)^[48] және Қашықтан құпия сөзді қорғаңыз (TLS_SRP).^[49]

TLS_DH_anon және TLS_ECDH_anon кілт келісім әдістері сервердің немесе пайдаланушының аутентификациясын өткізбейді, сондықтан олар сирек пайдаланылады, себебі олар осал болып табылады ортадағы адам шабуылдары. Тек TLS_DHE және TLS_ECDHE қамтамасыз етеді алға құпия.

Айырбастау / келісім кезінде пайдаланылатын ашық кілттердің сертификаттары, сондай-ақ айырбас кезінде пайдаланылатын ашық / жеке шифрлау кілттерінің көлеміне, демек, берілген қауіпсіздіктің беріктігіне байланысты өзгереді. 2013 жылдың шілде айында, Google бұдан былай 1024 биттік ашық кілттерді қолданбайтынын және өзінің пайдаланушыларына беретін TLS шифрлау қауіпсіздігін арттыру үшін 2048 биттік кілттерге ауысатынын жариялады, өйткені шифрлау күші тікелей байланысты кілт өлшемі.^[4][50]

Шифр

Ескертулер

Деректердің тұтастығы

A хабарламаның аутентификация коды (MAC) деректер тұтастығы үшін қолданылады. HMAC үшін қолданылады CBC блоктық шифрлардың режимі. Аутентификацияланған шифрлау (AEAD) сияқты GCM режимі және CCM режимі AEAD интеграцияланған MAC қолданады және қолданбайды HMAC.^[65] HMAC негізіндегі PRF, немесе HKDF TLS қол алысу үшін қолданылады.

Өтініштер және асырап алу

Қосымшаларды жобалау кезінде TLS әдетте протоколдардың барлық протоколға қатысты деректерін шифрлайтын Transport Layer протоколдарының жоғарғы жағында жүзеге асырылады. HTTP, FTP, SMTP, ҰБТӨП және XMPP.

Тарихи тұрғыдан TLS, негізінен, сияқты сенімді көлік хаттамаларында қолданылған Трансмиссияны басқару хаттамасы (TCP). Сонымен қатар, ол, мысалы, диаграммаға бағытталған көлік протоколдарымен жүзеге асырылды Пайдаланушының Datagram хаттамасы (UDP) және Datagram кептелісін бақылау хаттамасы (DCCP), оның қолданылуы терминді қолдану арқылы стандартталған Datagram Тасымалдау Қауіпсіздігі (DTLS).

Веб-сайттар

TLS-ті негізгі пайдалану қауіпсіздікті қамтамасыз ету болып табылады Дүниежүзілік өрмек арасындағы қозғалыс веб-сайт және а веб-шолғыш HTTP протоколымен кодталған. HTTP трафигін қорғау үшін TLS-ті пайдалану HTTPS хаттама.^[66]

Ескертулер

Веб-браузерлер

2016 жылдың сәуір айындағы жағдай бойынша^{[жаңарту]}, барлық негізгі веб-шолғыштардың соңғы нұсқалары TLS 1.0, 1.1 және 1.2 қолдайды және оларды әдепкі бойынша қосады. Алайда, бәріне бірдей қолдау көрсетілмейді Microsoft операциялық жүйелері IE-дің соңғы нұсқасын қолдайды. Сонымен қатар, көптеген операциялық жүйелер қазіргі уақытта IE-дің бірнеше нұсқаларын қолдайды, бірақ бұл Microsoft корпорациясының нұсқаларына сәйкес өзгерді Internet Explorer-ді қолдаудың өмірлік циклі туралы жиі қойылатын сұрақтар, «2016 жылдың 12 қаңтарынан бастап қолдау көрсетілетін амалдық жүйеге арналған Internet Explorer-дің ең соңғы нұсқасы ғана техникалық қолдау мен қауіпсіздік жаңартуларын алады.» Содан кейін парақ әр операциялық жүйе үшін сол күні IE-дің соңғы қолдау көрсетілетін нұсқасын тізімдейді. Келесі маңызды күн - бұл операциялық жүйе Microsoft корпорациясындағы өмірінің аяқталуы Windows өмірлік циклі туралы мәліметтер парағы.

Белгілі шабуылдарды азайту әлі жеткіліксіз:

• Қарсы ықпал ету POODLE шабуылы: кейбір браузерлер SSL 3.0 қайта оралуына жол бермейді; дегенмен, бұл жағдайды тек клиенттер ғана емес, серверлер де қолдауы керек. SSL 3.0-ді өшіру, «анти-POODLE жазбасын бөлуді» енгізу немесе SSL 3.0-де CBC шифрларын жоққа шығару қажет.
  • Google Chrome: толық (TLS_FALLBACK_SCSV 33-нұсқадан бастап енгізілген, SSL 3.0-ге қайтару 39-шы нұсқадан бастап өшірілген, SSL 3.0 өзі 40-шы нұсқадан бастап өшірілген. SSL 3.0-дің өзін қолдау 44-нұсқадан басталған.)
  • Mozilla Firefox: толық (SSL 3.0-дің өзі қолдауды тоқтатады) 39-нұсқа. SSL 3.0 өзі әдепкі бойынша өшіріледі және SSL 3.0-ге қайтару содан бері өшіріледі 34-нұсқа, TLS_FALLBACK_SCSV 35 нұсқасынан бастап енгізілген. ESR-де SSL 3.0 өзі әдепкі бойынша өшіріледі және TLS_FALLBACK_SCSV ESR 31.3 бастап енгізіледі.)
  • Internet Explorer: ішінара (тек 11-нұсқасында, SSL 3.0 әдепкі бойынша 2015 жылдың сәуірінен бастап өшірілген. 10 және одан жоғары нұсқалары POODLE-ге әлі де осал.)
  • Опера: толық (TLS_FALLBACK_SCSV 20-шы нұсқадан бастап енгізіледі, «анти-POODLE жазбасын бөлу», ол тек клиенттік енгізу кезінде тиімді, 25-ші нұсқадан бастап жүзеге асырылады, SSL 3.0 өзі 27-ші нұсқадан бастап әдепкі бойынша өшірілген. SSL 3.0-дің өзін қолдау 31 нұсқасынан бастап алынып тасталады.)
  • Safari: толық (тек OS X 10.8 және одан кейінгі нұсқаларында және iOS 8-де, SSL 3.0-ге қайта оралу кезінде CBC шифрлары жоққа шығарылады, бірақ бұл RC4-ді қолданады дегенді білдіреді, бұл ұсынылмайды. SSL 3.0-дің өзін OS X-де қолдайды 10.11 және одан кейінгі нұсқалары және iOS 9.)
• Жеңілдету RC4 шабуылдары:
  • Google Chrome RC4-ті 43 нұсқасынан бастап резерв ретінде қоспағанда, өшірді. RC4 Chrome 48-ден бастап өшірілген.
  • Firefox RC4-ті 36-шы нұсқадан бас тартқаннан басқа жағдайда өшірді. Firefox 44 әдепкі бойынша RC4-ті өшірді.
  • Opera RC4-ті 30-шы нұсқадан бас тартқаннан басқа жағдайда өшірді. RC4 Opera 35-тен бастап өшірілген.
  • Үшін Internet Explorer Windows 7 / Server 2008 R2 және арналған Windows 8 / Server 2012 RC4 басымдылығын ең төменгі деңгейге қойды, сонымен қатар RC4-ті өшіре алады, тек тізілім параметрлері арқылы резервтік жағдайларды қоспағанда. Internet Explorer 11 Mobile 11 арналған Windows Phone 8.1 егер басқа алгоритм жұмыс істемесе, резервтік қосымшадан басқа RC4-ті өшіріңіз. Edge және IE 11 RC4-ді 2016 жылдың тамызында толығымен ажыратады.
• Жеңілдету FREAK шабуыл:
  • Құрамында Android браузері бар Android 4.0 және одан үлкендер FREAK шабуылына әлі де осал.
  • Internet Explorer 11 Mobile әлі де FREAK шабуылына осал.
  • Google Chrome, Internet Explorer (жұмыс үстелі), Safari (жұмыс үстелі және ұялы телефон) және Opera (ұялы телефон) FREAK жеңілдетулерін қолданады.
  • Барлық платформалардағы Mozilla Firefox және Windows жүйесіндегі Google Chrome FREAK әсер еткен жоқ.

Ескертулер

Кітапханалар

SSL және TLS бағдарламалау кітапханаларының көпшілігі ақысыз және ашық бастапқы бағдарламалық жасақтама.

• ЖіңішкеSSL, Chrome / Chromium және Android, сондай-ақ басқа Google қосымшаларына арналған OpenSSL шанышқысы.
• Ботаника, C ++ тілінде жазылған BSD лицензияланған криптографиялық кітапхана.
• криптлиб: портативті ашық кодты кітапхана (TLS / SSL енгізуді қамтиды)
• Delphi бағдарламашылар деп аталатын кітапхананы қолдана алады Инди пайдаланады OpenSSL немесе балама түрде қазір TLS 1.3 қолдайтын ICS.
• GnuTLS: ақысыз енгізу (LGPL лицензияланған)
• Java Secure Socket кеңейтімі: а Java ішіне енгізу Java Runtime Environment Java 7-ден бастап TLS 1.1 және 1.2 қолдайды (TLS 1.1 / 1.2 Java 7 клиенті үшін әдепкі бойынша бастапқыда өшірілген, бірақ 2017 жылдың қаңтарында қосылды.^[197]) Java 11 TLS 1.3 қолдайды.^[198]
• LibreSSL: OpenBSD жобасының OpenSSL ашасы.
• MatrixSSL: қос лицензиялы енгізу
• mbed TLS (бұрын PolarSSL): пайдалануға ыңғайлы болу үшін ендірілген құрылғыларға арналған кішігірім SSL кітапханасы.
• Желілік қауіпсіздік қызметі: 140 тексерілген ашық бастапқы кітапхана
• OpenSSL: ақысыз енгізу (кейбір кеңейтімдері бар BSD лицензиясы)
• RSA BSAFE Micro Edition Suite: TLS-ті көп платформалы енгізу C FIPS-тексерілген криптографиялық модульді пайдалану
• RSA BSAFE SSL-J: меншікті API мен бірге ұсынатын TLS кітапханасы JSSE FIPS, расталған криптографиялық модульді қолданып API
• SChannel SSL және TLS енгізу Microsoft Windows оның пакетінің бөлігі ретінде.
• Қауіпсіз көлік: қолданылатын SSL және TLS енгізу OS X және iOS олардың пакеттерінің бөлігі ретінде.
• wolfSSL (бұрын CyaSSL): жылдамдық пен өлшемге үлкен назар аударатын SSL / TLS кітапханасы.

2012 жылы ұсынылған қағаз ACM компьютерлік және коммуникациялық қауіпсіздік бойынша конференция^[224] бірнеше қосымшалар осы SSL кітапханаларының кейбірін дұрыс қолданғанын және осалдықтарға әкелетінін көрсетті. Авторлардың айтуынша

«осы осалдықтардың көпшілігінің негізгі себебі - негізгі SSL кітапханаларына арналған API-дің қорқынышты дизайны. Бұл құпиялылық және аутентификация сияқты желілік туннельдердің жоғары деңгейлі қауіпсіздік қасиеттерін білдірудің орнына, бұл API интерфейсі SSL протоколының төменгі деңгейдегі мәліметтерін ашады Нәтижесінде, әзірлеушілер SSL API интерфейстерін жиі қолданады, олардың көп параметрлерін, опцияларын, жанама әсерлерін және қайтару мәндерін дұрыс түсінбейді және түсінбейді ».

Басқа мақсаттар

The Қарапайым поштаны жіберу хаттамасы (SMTP) TLS-пен қорғалуы мүмкін. Бұл қолданбаларды қолданады ашық кілт сертификаттары соңғы нүктелердің сәйкестігін тексеру үшін.

TLS-ті а-ны құру үшін бүкіл желілік стекті туннельдеу үшін де пайдалануға болады VPN, бұл жағдай OpenVPN және OpenConnect. Қазіргі уақытта көптеген жеткізушілер TLS-ті шифрлау және авторизациялау арқылы аутентификациялау қабілетіне ие болды. Сондай-ақ 1990-шы жылдардың аяғынан бастап клиенттік / серверлік қосымшаларға қолдау көрсету үшін веб-шолғыштардан тыс клиенттік технологияны құру айтарлықтай дамыды. Дәстүрліге қарағанда IPsec VPN технологиялары, TLS брандмауэрде өзіндік ерекшеліктері бар НАТ қашықтықтан қол жетімді популяциялар үшін басқаруды жеңілдететін траверсаль.

TLS сонымен қатар қорғаудың стандартты әдісі болып табылады Сессияны бастау туралы хаттама (SIP) қолданбалы сигнал беру. TLS SIP сигнализациясының аутентификациясы мен шифрлануын қамтамасыз ету үшін пайдаланылуы мүмкін VoIP және басқа SIP негізіндегі қосымшалар.^[225]

Қауіпсіздік

SSL 2.0

SSL 2.0 түрлі жолдармен ақаулы болды:^[226]

• Бірдей криптографиялық кілттер қолданылды хабарламаның аутентификациясы және шифрлау. (SSL 3.0-де MAC құпиялары шифрлау кілттерінен үлкен болуы мүмкін, сондықтан шифрлау кілттері бұзылған болса да, хабарлар бұзушылыққа төзімді болып қала алады.^[5])
• SSL 2.0-де әлсіз MAC құрылымы болды, ол MD5 хэш функциясын құпия префиксімен қолданды, осылайша оны осал етеді ұзындықты ұзарту шабуылдары.
• SSL 2.0-де қол алысу үшін ешқандай қорғаныс болған жоқ, яғни ортадағы адам дегенді білдіреді төмендету шабуылы анықталмай қалуы мүмкін.
• SSL 2.0 деректердің аяқталуын көрсету үшін TCP қосылымын жақын жерде қолданды. Бұл қаскүнемдік шабуылдар болуы мүмкін дегенді білдірді: шабуылдаушы жай TCP FIN кодын жасайды, алушыға мәліметтер туралы хабарламаның заңсыз аяқталуы туралы білмейді (SSL 3.0 бұл мәселені жабу туралы ескерту арқылы шешті).
• SSL 2.0 бір сервис пен веб-серверлердегі виртуалды хостингтің стандартты ерекшелігімен қақтығысқан домен сертификатын алды. Бұл веб-сайттардың көпшілігі SSL-ді қолданудан іс жүзінде бұзылғандығын білдіреді.

SSL 2.0 әдепкі бойынша басталды, бастап Internet Explorer 7,^[227] Mozilla Firefox 2,^[228] Опера 9.5,^[229] және Сафари. SSL 2.0 қолдау (және әлсіз) 40 бит және 56 биттік шифрлар) 10-шы нұсқадан бастап Opera-дан толығымен жойылды.^[230][231]

SSL 3.0

SSL 3.0 SSL 2.0 негізінде SHA-1 негізіндегі шифрларды қосу және сертификат аутентификациясын қолдау арқылы жетілдірілді.

Қауіпсіздік тұрғысынан SSL 3.0 TLS 1.0-тен гөрі аз деп саналуы керек. SSL 3.0 шифрлар жиынтығында кілттерді шығару процесі әлсіз; Орнатылған негізгі кілттің жартысы MD5 хэш-функциясына толығымен тәуелді, ол соқтығысуға төзімді емес, сондықтан қауіпсіз деп саналмайды. TLS 1.0-ге сәйкес орнатылған негізгі кілт MD5-ке де, SHA-1-ге де тәуелді, сондықтан оны шығару процесі қазіргі уақытта әлсіз деп саналмайды. SSL 3.0 бағдарламаларын FIPS 140-2 бойынша тексеруге болмайтындығы осы себептен.^[232]

2014 жылдың қазан айында SSL 3.0 дизайнындағы осалдық туралы хабарланды, соның салдарынан SSL 3.0-мен CBC жұмыс режимі толтыру шабуылына ұшырады (қараңыз) # POODLE шабуылы ).

TLS

TLS-те әртүрлі қауіпсіздік шаралары бар:

• Хаттаманың алдыңғы (қауіпсіздігі төмен) нұсқаға немесе әлсіз шифрлар жиынтығына төмендетуден қорғау.
• Бағдарламаның келесі жазбаларын реттік нөмірмен нөмірлеу және осы реттік нөмірді хабарламаның аутентификация кодтары (MAC).
• Кілтпен жақсартылған хабарлама дайджестін пайдалану (сондықтан MAC-ны тек кілт иесі тексере алады). The HMAC TLS шифрлар жиынтығының көпшілігінде қолданылатын құрылыс көрсетілген RFC  2104 (SSL 3.0 басқа хэшке негізделген MAC қолданды).
• Қол алысуды аяқтайтын хабарлама («Аяқталды») екі тараптың көрген қол алмасу туралы барлық хабарламаларының хэшін жібереді.
• The жалған кездейсоқ функция кіріс деректерін екіге бөліп, әрқайсысын әр түрлі хэштеу алгоритмімен өңдейді (MD5 және SHA-1 ), содан кейін XOR оларды біріктіріп MAC құруға мүмкіндік береді. Бұл осы алгоритмдердің біреуі осал болып табылса да, қорғауды қамтамасыз етеді.

TLS / SSL-ге қарсы шабуылдар

TLS / SSL-ге қарсы маңызды шабуылдар төменде келтірілген.

2015 жылдың ақпанында IETF ақпараттық АӨК шығарды^[233] TLS / SSL-ге қарсы әртүрлі белгілі шабуылдарды қорытындылау.

Келіссөзге шабуыл

2009 жылы тамызда қайта келісу процедурасының осалдығы анықталды, бұл SSL 3.0 және TLS-нің барлық қолданыстағы нұсқаларына қарсы ашық мәтінді инъекция шабуылдарына әкелуі мүмкін.^[234] Мысалы, бұл https байланысын ұрлай алатын шабуылдаушыға клиенттің веб-сервермен сөйлесудің басында өз сұраныстарын бөлуге мүмкіндік береді. Шабуыл жасаушы клиенттің - сервердің байланысының шифрын шеше алмайды, сондықтан бұл әдеттегі ортадағы шабуылдан өзгеше. Қысқа мерзімді түзету - бұл веб-серверлерде қайта келіссөзге рұқсат беруді тоқтату, егер ол басқа өзгертулерді талап етпесе, әдетте клиент сертификаты аутентификация қолданылады. Осалдықты түзету үшін TLS үшін қайта келіссөздер нұсқауын кеңейту ұсынылды. Бұл клиенттен және серверден кез-келген қайта келіссөздер кезінде қол алысуға бұрынғы қол алысу туралы ақпаратты қосуды және тексеруді талап етеді.^[235] Бұл кеңейту ұсынылған стандартқа айналды және оған нөмір берілді RFC  5746. RFC бірнеше кітапханалармен жүзеге асырылды.^{[236][237][238]}

Төмен деңгейдегі шабуылдар: FREAK шабуыл және Лоджам шабуылы

Хаттама төмендету шабуылы (нұсқаны кері қайтару шабуылы деп те атайды) веб-серверді TLS-нің алдыңғы нұсқаларымен (мысалы, SSLv2) әлдеқашан қауіпті деп танылған байланыстар туралы келіссөздер жүргізуге алдайды.

Сияқты түпнұсқалық хаттамаларға алдыңғы модификация Жалған бастау^[239] (Google Chrome қабылдаған және қосқан^[240]) немесе Snap Start, шектеулі TLS протоколының төмендету шабуылдарын енгізді^[241] немесе клиенттің серверге жіберген шифрлар жиынтығының тізіміне енгізілген өзгертулер. Бұл жағдайда шабуылдаушы неғұрлым әлсіз симметриялы шифрлау алгоритмін немесе әлсіз кілт алмасуды қолдану үшін келісілген шифр жиынтығын төмендету мақсатында шифр жиынтығын таңдауға әсер ете алады.^[242] Ұсынылған қағаз ACM компьютерлік және коммуникациялық қауіпсіздік бойынша конференция 2012 жылы False Start кеңейтіміне қауіп төніп тұрғанын көрсетті: белгілі бір жағдайларда бұл шабуылдаушыға шифрлау кілттерін оффлайн режимінде қалпына келтіруге және шифрланған деректерге қол жеткізуге мүмкіндік беруі мүмкін.^[243]

Шифрлауды төмендету шабуылдары серверлер мен клиенттерді криптографиялық тұрғыдан әлсіз кілттер арқылы байланыс туралы келіссөздер жүргізуге мәжбүр етуі мүмкін. 2014 жылы а ортадағы адам әсер ететін FREAK деп аталатын шабуыл анықталды OpenSSL стек, әдепкі Android веб-шолғыш және басқалары Сафари браузерлер.^[244] Шабуылда 512 биттік шифрлау кілттерін пайдаланып, TLS байланысы туралы келіссөздер жүргізуге серверлерді алдау кірді.

Лоджам - а қауіпсіздікті пайдалану мұраны пайдалану нұсқасын пайдаланатын 2015 жылдың мамырында табылды «экспорттық деңгей» 512 бит Диффи-Хеллман 1990 жылдардан басталған топтар.^[245] Бұл сезімтал серверлерді криптографиялық тұрғыдан әлсіз 512 биттік Diffie-Hellman топтарына төмендетуге мәжбүр етеді. Содан кейін шабуылдаушы клиент пен сервер анықтайтын кілттерді пайдалана алады Диффи-Хеллман кілттерімен алмасу.

Протоколаралық шабуылдар: DROWN

The Төңкерілген шабуыл қазіргі заманғы SSL / TLS протоколдық жиынтықтарын қолдайтын серверлерге ескірген, қауіпті, SSLv2 протоколдарын қолдана отырып, қауіпсіз протоколдарды қолданатын заманауи протоколдарды қолдана отырып, шабуылдарға ықпал ететін эксплуатация.^[246][247] DROWN қолданудың кез-келген нақты қателігінен гөрі, пайдаланылған протоколдар мен сервердің конфигурациясындағы осалдығын пайдаланады. DROWN туралы толық мәліметтер 2016 жылы наурызда эксплуатацияға арналған патчпен бірге жарияланды. Сол уақытта ең танымал 1 миллион веб-сайттың 81000-нан астамы DROWN шабуылына осал болатын TLS-пен қорғалған веб-сайттардың арасында болды.^[247]

BEAST шабуыл

2011 жылдың 23 қыркүйегінде зерттеушілер Тай Дуонг пен Джулиано Риццо аталған тұжырымдаманың дәлелін көрсетті АҢ (SSL / TLS-ке қарсы браузерді пайдалану)^[248] пайдалану Java апплеті бұзу бірдей шығу саясаты бұрыннан белгілі шектеулер шифрлық блокты тізбектеу TLS 1.0-тегі (CBC) осалдық:^[249][250] C0, C1 екі дәйекті шифрмәтіндік блоктарын бақылайтын шабуылдаушы келесі P2 = x ашық мәтіндік блогын таңдау арқылы P1 ашық мәтін блогы х-ге тең екендігін тексере алады. ${ displaystyle oplus}$ C0 ${ displaystyle oplus}$ C1; CBC жұмысына сәйкес C2 = E (C1 ${ displaystyle oplus}$ P2) = E (C1 ${ displaystyle oplus}$ х ${ displaystyle oplus}$ C0 ${ displaystyle oplus}$ C1) = E (C0 ${ displaystyle oplus}$ х), егер ол x = P1 болса, С1-ге тең болады. Практикалық ерлік бұған дейін көрсетілмеген болатын осалдық, оны бастапқыда ашқан Филлип Рогауэй^[251] Шабуылдың осалдығы 2006 жылы TLS 1.1-мен жойылды, бірақ TLS 1.1 осы шабуылға дейін кеңінен қабылданған жоқ.

RC4 ағын шифры ретінде BEAST шабуылынан қорғалған. Сондықтан RC4 сервер жағында BEAST шабуылын азайту тәсілі ретінде кеңінен қолданылды. Алайда, 2013 жылы зерттеушілер RC4-те әлсіз жақтарды тапты. Содан кейін сервер жағында RC4-ті қосу ұсынылмайды.^[252]

Chrome және Firefox-тың өзі BEAST шабуылына осал емес,^[79][99] дегенмен, Mozilla жаңартты NSS BEAST-ті азайтуға арналған кітапханалар шабуылдар. NSS арқылы қолданылады Mozilla Firefox және Google Chrome SSL енгізу үшін. Кейбіреулер веб-серверлер SSL спецификациясының бұзылған орындалуы нәтижесінде жұмысын тоқтатуы мүмкін.^[253]

Microsoft 2012 жылдың 10 қаңтарында MS12-006 қауіпсіздік бюллетені шығарылды, ол Windows Secure Channel (SChannel ) компонент шифрланған желілік пакеттерді сервер соңынан жібереді.^[254] Windows-тың ескі нұсқаларында жұмыс жасайтын Internet Explorer пайдаланушылары (11-нұсқаға дейін)Windows 7, Windows 8 және Windows Server 2008 R2 ) TLS-ті пайдалануды 1.1 немесе одан жоғары деңгейге дейін шектей алады.

алма 1 / n-1 сплитін енгізу және оны әдепкі бойынша қосу арқылы BEAST осалдығын жойды OS X Mavericks, 2013 жылдың 22 қазанында шығарылды.^[255]

Қылмыс және бұзушылық шабуылдары

BEAST шабуылының авторлары да кейінірек жасаушылар ҚЫЛМЫС шабуылдаушыға веб-куки мазмұнын қалпына келтіруге мүмкіндік беретін шабуыл деректерді қысу TLS-пен бірге қолданылады.^[256][257] Құпияның мазмұнын қалпына келтіру үшін қолданылған кезде cookie файлдарының аутентификациясы, бұл шабуылдаушыға мүмкіндік береді сессияны ұрлау аутентификацияланған веб-сессияда.

CRIME шабуылы көптеген протоколдарға, соның ішінде TLS-мен, сонымен қатар қолданбалы деңгейдегі хаттамаларға қарсы тиімді жұмыс істей алатын жалпы шабуыл ретінде ұсынылды. SPDY немесе HTTP, тек TLS пен SPDY-ге қарсы ерліктер көрсетіліп, браузерлер мен серверлерде айтарлықтай жеңілдетілді. Қылмыс HTTP қысу CRIME авторлары бұл осалдық SPDY және TLS сығымдауынан гөрі кеңірек болуы мүмкін деп ескерткенімен, ол мүлдем жеңілдетілмеген. 2013 жылы HTTP сығылуына қарсы CRIME шабуылының жаңа данасы дубляждалған БҰЗУ, жарияланды. Қылмыстық шабуыл негізінде BREACH шабуылы шабуылдаушы жәбірленушіні алдап шақыру шартымен кіру белгілерін, электрондық пошта мекен-жайларын немесе TLS шифрланған веб-трафиктен 30 секунд ішінде (шығарылатын байт санына байланысты) басқа құпия ақпаратты ала алады. зиянды веб-сілтеме немесе қолданушы кіретін жарамды беттерге мазмұнды енгізе алады (мысалы: шабуылдаушының бақылауындағы сымсыз желі).^[258] TLS және SSL барлық нұсқалары шифрлау алгоритміне немесе шифрына қарамастан, BREACH қаупіне ұшырайды.^[259] TLS сығымдауын немесе SPDY тақырыбын қысуды өшіру арқылы сәтті қорғалуы мүмкін CRIME-дің алдыңғы нұсқаларынан айырмашылығы, BREACH шынымен өшіруге болмайтын HTTP сығымдауын пайдаланады, өйткені іс жүзінде барлық веб-серверлер пайдаланушылар үшін деректерді беру жылдамдығын жақсартады.^[258] Бұл TLS-тің белгілі шектеулілігі, себебі ол сезімтал ашық мәтіндік шабуыл ол қолданбалы деңгейдегі деректерден қорғауға арналған.

Толтыруға арналған уақытты шабуылдар

Бұрын TLS нұсқалары осал болатын толтыру oracle шабуыл 2002 жылы табылды. The деп аталатын жаңа нұсқасы Сәтті он үш шабуыл, 2013 жылы жарық көрді.

Кейбір сарапшылар^[62] сондай-ақ болдырмау ұсынылады Үштік-DES CBC. Соңғы кезден бастап кез-келген бағдарламаны қолдайтын шифрлар жасалды Windows XP Windows XP-де Internet Explorer сияқты SSL / TLS кітапханасы бар RC4 және Triple-DES, және RC4 ескіргендіктен (талқылауды қараңыз) RC4 шабуылдары ), бұл XP-де осы кітапхананы пайдаланатын кез-келген бағдарлама үшін SSL-дің кез-келген нұсқасын қолдауды қиындатады.

Түзету келесі түрінде шығарылған TLS сипаттамасына арналған Encrypt-then-MAC кеңейтімі ретінде шығарылды RFC  7366.^[260] Lucky Thirteen шабуылын тек AES_GCM шифрларын қолдану арқылы TLS 1.2-де азайтуға болады; AES_CBC осал болып қала береді.^{[дәйексөз қажет ]}

POODLE шабуылы

2014 жылдың 14 қазанында Google зерттеушілері SSL 3.0 дизайнындағы осалдығын жариялады, ол жасайды CBC жұмыс режимі SSL 3.0-мен а төсеме шабуыл (CVE -2014-3566 ). Олар бұл шабуылды атады ПУДЛ (Төмендетілген бұрынғы шифрлауда Oracle-ді толтыру). Орташа алғанда, бір байт шифрланған хабарламаны ашу үшін шабуылдаушыларға тек 256 SSL 3.0 сұранысы қажет.^[69]

Бұл осалдық тек SSL 3.0-де бар және көптеген клиенттер мен серверлер TLS 1.0 және одан жоғары нұсқаларын қолдайтынына қарамастан, егер TLS-нің жаңа нұсқаларымен қол алысу сәтсіздікке ұшыраса, SSL 3.0-ді өшіру мүмкіндігі болмаса, барлық ірі шолушылар SSL 3.0-ге өз еркімен түседі. және пайдаланушы немесе әкімші мұны жасайды^{[дәйексөз қажет ]}. Сондықтан ортадағы адам алдымен а жүргізе алады нұсқаны қайтару шабуылы содан кейін осы осалды пайдаланыңыз.^[69]

Жалпы алғанда, өзара іс-қимыл үшін қауіпсіздіктің керемет деградациясын пайдалану мүмкін емес тәсілмен жүзеге асыру қиын. Бұл әсіресе фрагментация жоғары болатын домендерде қиынға соғады.^[261]

2014 жылдың 8 желтоқсанында байттардың толтыру талаптарын дұрыс орындамайтын TLS іске асыруларына әсер ететін POODLE нұсқасы жарияланды.^[262]

RC4 шабуылдары

Шабуылдардың болуына қарамастан RC4 оның қауіпсіздігін бұзған, RC4 негізіндегі SSL және TLS-дегі шифрлық люкс, SSL және TLS-де оларды пайдалану тәсіліне қарай 2013 жылға дейін қауіпсіз болып саналды. 2011 жылы RC4 жиынтығы іс жүзінде жұмыс жасау ретінде ұсынылды АҢ шабуыл.^[263] 2013 жылдың наурызында ашылған шабуылдың жаңа түрлері RC4-ті TLS-де бұзудың орындылығын дәлелдеді, бұл BEAST үшін бұл жақсы шешім емес деп болжады.^[68] Шабуыл сценарийін АльФардан, Бернштейн, Патерсон, Потеринг және Шульдт ұсынды, олар RC4 кілт кестесінде жаңадан табылған статистикалық жағымсыздықтарды қолданды^[264] TLS шифрлауларының көптігі бар қарапайым мәтін бөліктерін қалпына келтіру.^[265][266] 13 × 2 талап ететін TLS және SSL-дегі RC4-ке шабуыл²⁰ RC4-ті бұзуға арналған шифрлар 2013 жылдың 8 шілдесінде ашылды және кейінірек ұсынылған презентацияда «мүмкін» деп сипатталды USENIX Қауіпсіздік симпозиумы 2013 жылдың тамызында.^[267][268] 2015 жылдың шілдесінде шабуылдың кейінгі жетілдірілуі RC4-шифрланған TLS қауіпсіздігінен бас тартуды барған сайын практикалық етеді.^[269]

Көптеген заманауи браузерлер BEAST шабуылдарын жеңуге арналған (Mac OS X 10.7 немесе одан кейінгі нұсқалары, iOS 6 немесе одан кейінгі нұсқалары мен Windows үшін Safari қоспағанда; қараңыз) § веб-шолғыштар ), RC4 бұдан былай TLS 1.0 үшін жақсы таңдау емес. Бұрын BEAST шабуылынан зардап шеккен CBC шифрлары қорғаудың танымал нұсқасы болды.^[62] Mozilla және Microsoft мүмкін болған жағдайда RC4 өшіруге кеңес береді.^[270][271] RFC  7465 TLS-тің барлық нұсқаларында RC4 шифрлар жиынтығын пайдалануға тыйым салады.

2015 жылдың 1 қыркүйегінде Microsoft, Google және Mozilla өздерінің браузерлерінде RC4 шифрлар жиынтығының әдепкі бойынша өшірілетіндігін хабарлады (Microsoft Edge, Internet Explorer 11 Windows 7 / 8.1 / 10 жүйесінде, Firefox, және Chrome ) 2016 жылдың басында.^{[272][273][274]}

Қысқартылған шабуыл

TLS (шығудан) қысқарту шабуылы жәбірленушінің есептік жазбадан шығуына байланысты сұраныстарды бұғаттайды, осылайша пайдаланушы білместен веб-қызметке кіреді. Шығу туралы өтініш жіберілген кезде шабуылдаушы шифрланбаған инъекцияны жасайды TCP Байланысты жабу үшін FIN хабарламасы (жөнелтушіден артық дерек болмайды). Сондықтан сервер шығуды сұрамайды және әдеттен тыс тоқтату туралы білмейді.^[275]

2013 жылдың шілде айында жарияланған,^[276][277] сияқты веб-қызметтерге шабуыл жасайды Gmail және Hotmail пайдаланушының браузерге сервисте авторизацияны сақтай отырып, браузерге кейіннен кіре алатын шабуылдаушыға кіріп, пайдаланушының кірген есептік жазбасын бақылауды өз қолына алуына мүмкіндік бере отырып, пайдаланушыға жүйеден сәтті шыққандығы туралы ақпарат беретін парақты көрсету. . Шабуыл жәбірленушінің компьютеріне зиянды бағдарламалық жасақтаманы орнатуға сенбейді; шабуылдаушылар тек құрбан мен веб-сервердің арасында орналасуы керек (мысалы, жалған сымсыз хотсот орнату арқылы).^[275] Бұл осалдық үшін жәбірленушінің компьютеріне қол жетімділік қажет, тағы бір мүмкіндігі - FTP-ді қолдану кезінде деректер қосылымы деректер ағынында жалған FIN-ге ие болуы мүмкін, және егер close_notify ескертулерімен алмасу хаттамасының ережелері сақталмаса, файлды кесіп тастауға болады.

Қасиетті PAC шабуылы

2016 жылдың ортасында ашылған бұл шабуыл әлсіздіктерді пайдаланады Веб-проксиді автоматты түрде табу хаттамасы (WPAD) веб-пайдаланушының TLS-қосылған веб-сілтеме арқылы кіруге тырысатын URL мекен-жайын көрсету үшін.^[278] URL мекен-жайын жариялау тек веб-сайтқа байланысты емес, сонымен қатар кейде URL мекен-жайлары пайдаланушылардың аутентификациясы үшін қолданылатындықтан, пайдаланушының жеке өмірін бұзуы мүмкін. Google және Dropbox ұсынған сияқты құжаттарды бөлісу қызметтері пайдаланушыға URL мекенжайына кірген қауіпсіздік белгісін жіберу арқылы жұмыс істейді. Мұндай URL мекен-жайларын алған шабуылдаушы жәбірленушінің есептік жазбасына немесе мәліметтеріне толық қол жеткізе алады.

Бұл эксплуатация барлық дерлік браузерлер мен операциялық жүйелерге қарсы жұмыс істейді.

Sweet32 шабуылы

Sweet32 шабуылы CBC режимінде пайдаланылған барлық 64 биттік блоктық шифрларды TLS-де сынған сияқты бұзады. туған күніне шабуыл және а ортада шабуыл немесе зиянды инъекция JavaScript веб-параққа. Ортадағы адам немесе JavaScript инъекциясының мақсаты - шабуылдаушының туған күніне шабуыл жасау үшін жеткілікті трафикті жинауына мүмкіндік беру.^[279]

Іске асыру қателері: Heartbleed қатесі, BERserk шабуылы, Cloudflare қатесі

The Жүрек қан қате - бұл танымал SSL / TLS-ті енгізудің маңызды осалдығы OpenSSL 1.0.1 мен 1.0.1f нұсқаларына әсер ететін криптографиялық бағдарламалық кітапхана. 2014 жылдың сәуірінде айтылған бұл әлсіздік шабуылдаушыларға ұрлық жасауға мүмкіндік береді жеке кілттер әдетте қорғалуы керек серверлерден.^[280] Heartbleed қатесі Интернеттегі кез-келген адамға OpenSSL бағдарламалық жасақтамасының осал нұсқаларымен қорғалған жүйелердің жадын оқуға мүмкіндік береді. Бұл құпия құпия кілттерге байланысты мемлекеттік сертификаттар қызмет көрсетушілерді анықтау және трафикті, пайдаланушылардың аттары мен парольдерін және нақты мазмұнын шифрлау үшін қолданылады. Бұл шабуылдаушыларға коммуникацияны тыңдауға, деректерді тікелей қызметтер мен пайдаланушылардан ұрлауға және қызметтер мен пайдаланушыларға еліктеуге мүмкіндік береді.^[281] Осалдық а артық оқылған буфер SSL немесе TLS протоколының ақауларынан гөрі OpenSSL бағдарламалық жасақтамасындағы қате.

2014 жылдың қыркүйегінде Даниэль Блейхенбахердікі PKCS №1 v1.5 RSA қолтаңбасы жалғандықтың осалдығы^[282] Intel Security Advanced Threat Research жариялады. BERserk деп аталған бұл шабуыл, кейбір SSL енгізулеріндегі ашық кілттердің толық ASN.1 декодтауының нәтижесі болып табылады және ашық кілт қолдан жасау арқылы ортада шабуыл жасауға мүмкіндік береді.^[283]

2015 жылдың ақпанында бұқаралық ақпарат құралдары алдын-ала жасырын алдын ала орнату туралы хабарлағаннан кейін Superfish кейбір Lenovo ноутбуктарындағы жарнама бағдарламалары,^[284] зерттеуші зардап шеккен Lenovo машиналарындағы сенімді түбірлік сертификатты қауіпті деп тапты, өйткені кілттерге компания аты Komodia арқылы пароль ретінде оңай қол жеткізуге болады.^[285] Komodia кітапханасы ата-аналардың бақылауы мен қадағалауы үшін клиенттік TLS / SSL трафигін ұстап тұруға арналған, бірақ ол көптеген жарнамалық бағдарламаларда, соның ішінде Superfish-те қолданылған, олар көбінесе компьютер қолданушысына байқалмай жасырын орнатылған. Өз кезегінде бұлар ықтимал қалаусыз бағдарламалар зиянкестерге веб-трафикті толығымен басқаруға және жалған веб-сайттардың түпнұсқалығын растауға мүмкіндік беретін бүлінген түбірлік сертификатты орнатты.

2016 жылдың мамырында ондаған даниялық HTTPS қорғалған веб-сайттарға тиесілі екендігі туралы хабарланды Visa Inc. хакерлерге келушілердің браузерлеріне зиянды кодтар мен жалған мазмұн енгізуге мүмкіндік беретін шабуылдарға осал болды.^[286] Шабуылдар зардап шеккен серверлерде қолданылған TLS енгізілімі кездейсоқ сандарды қате қайта қолданғандықтан жұмыс істеді (nonces ) әрқайсысының болуын қамтамасыз ете отырып, тек бір рет қолдануға арналған TLS қол алысу бірегей.^[286]

2017 жылдың ақпанында HTML-ді талдауға арналған кодтағы бір қате таңбадан туындаған енгізу қателігі буферлік толып кету қатесін тудырды Бұлт серверлер. 2014 жылы табылған Heartbleed қатесіне өз әсерімен ұқсас, бұл толып кеткен қате, кеңінен танымал Бұлтты, рұқсат етілмеген үшінші тұлғаларға серверлерде жұмыс істейтін бағдарламалардың жадындағы мәліметтерді оқуға мүмкіндік берді - әйтпесе TLS-пен қорғалуы керек мәліметтер.^[287]

Шабуылға осал веб-сайттарды зерттеу

2019 жылдың тамыз айындағы жағдай бойынша^{[жаңарту]}, Сенімді Интернет Қозғалысы TLS шабуылдарына осал веб-сайттардың қатынасын бағалады.^[67]

Алға құпия

Алға құпия болашақта құпия кілттердің бірі бұзылған жағдайда, ашық және жабық кілттер жиынтығынан алынған сеанс кілтінің бұзылмауын қамтамасыз ететін криптографиялық жүйелердің қасиеті.^[288] Алдын-ала құпия болмаса, егер сервердің жеке кілтіне қауіп төнсе, онда бұл сервер сертификатын қолданатын барлық TLS-шифрланған сессияларға ғана емес, оны қолданған кез-келген өткен сессияларға да зиян келтіріледі (әрине, егер бұл өткен сеанстар ұсталып, сақталған болса) беру кезінде).^[289] TLS енгізу эфемералды қолдануды талап ете отырып, құпиялылықты қамтамасыз ете алады Диффи-Хеллман кілттерімен алмасу сессия кілттерін орнату үшін, және TLS-тің кейбір маңызды енгізілімдері тек қана жасайды: мысалы, Gmail және басқа Google HTTPS қызметтерін пайдаланады OpenSSL.^[290] Алайда TLS-ті қолдайтын көптеген клиенттер мен серверлер (браузерлер мен веб-серверлерді қоса) осындай шектеулерді енгізу үшін конфигурацияланбаған.^[291][292] Іс жүзінде, егер веб-қызмет Diffie-Hellman кілттерімен алмасуды құпиялылықты жүзеге асыру үшін қолданбаса, онда бұл қызметке кіретін және одан шығатын барлық шифрланған веб-трафикті үшінші тарап шифрдан шығаруы мүмкін, егер ол сервердің басты (жеке) кілтін алса; мысалы, сот шешімі арқылы.^[293]

Diffie-Hellman кілттерімен алмасу жүзеге асырылған жерлерде де серверлік сеансты басқару тетіктері құпиялылыққа әсер етуі мүмкін. Пайдалану TLS сессия билеттері (TLS кеңейтімі) сессияны AES128-CBC-SHA256 арқылы келісілген басқа TLS параметрлеріне, оның ішінде құпия құпия шифрларына қарамастан қорғауға мәжбүр етеді және ұзақ өмір сүретін TLS сессиясының билеттерінің кілттері форвардтық құпияны жүзеге асыру әрекетінен бас тартады.^{[294][295][296]} Стэнфорд Университетінің 2014 жылғы зерттеулері 473802 TLS серверінің сауалнамасына қатысқан кезде, құпиялылықты қолдау үшін Diffie-Hellman (DHE) эфемерлік кілттер алмасуын орналастырған серверлердің 82,9% Diffie-Hellman әлсіз параметрлерін қолданғанын анықтады. Бұл әлсіз параметрлерді таңдау серверлер ұсынған құпиялылықтың тиімділігіне нұқсан келтіруі мүмкін.^[297]

2011 жылдың соңынан бастап Google өзінің пайдаланушыларына әдепкі бойынша TLS-пен құпиялылықты қамтамасыз етті Gmail қызмет, бірге Google Docs және басқа қызметтер арасында шифрланған іздеу.^[298]2013 жылдың қараша айынан бастап, Twitter өзінің қызметін пайдаланушыларға TLS-пен құпиялылықты қамтамасыз етті.^[299] 2019 жылдың тамыз айындағы жағдай бойынша^{[жаңарту]}, TLS қолдайтын веб-сайттардың шамамен 80% -ы көптеген веб-шолғыштарға құпиялылықты қамтамасыз ететін шифрлар жиынтығын пайдалануға арналған.^[67]

TLS ұстау

TLS ұстап алу (немесе HTTPS interception if applied particularly to that protocol) is the practice of intercepting an encrypted data stream in order to decrypt it, read and possibly manipulate it, and then re-encrypt it and send the data on its way again. This is done by way of a "transparent proxy ": the interception software terminates the incoming TLS connection, inspects the HTTP plaintext, and then creates a new TLS connection to the destination.^[300]

TLS / HTTPS interception is used as an ақпараттық қауіпсіздік measure by network operators in order to be able to scan for and protect against the intrusion of malicious content into the network, such as компьютерлік вирустар және басқа да зиянды бағдарлама.^[300] Such content could otherwise not be detected as long as it is protected by encryption, which is increasingly the case as a result of the routine use of HTTPS and other secure protocols.

A significant drawback of TLS / HTTPS interception is that it introduces new security risks of its own. Because it provides a point where network traffic is available unencrypted, attackers have an incentive to attack this point in particular in order to gain access to otherwise secure content. The interception also allows the network operator, or persons who gain access to its interception system, to perform ортадағы адам шабуылдары against network users. A 2017 study found that "HTTPS interception has become startlingly widespread, and that interception products as a class have a dramatically negative impact on connection security".^[300]

Хаттама туралы мәліметтер

The TLS protocol exchanges жазбалар, which encapsulate the data to be exchanged in a specific format (see below). Each record can be compressed, padded, appended with a хабарламаның аутентификация коды (MAC), or encrypted, all depending on the state of the connection. Each record has a мазмұн түрі field that designates the type of data encapsulated, a length field and a TLS version field. The data encapsulated may be control or procedural messages of the TLS itself, or simply the application data needed to be transferred by TLS. The specifications (cipher suite, keys etc.) required to exchange application data by TLS, are agreed upon in the "TLS handshake" between the client requesting the data and the server responding to requests. The protocol therefore defines both the structure of payloads transferred in TLS and the procedure to establish and monitor the transfer.

TLS қол алысу

When the connection starts, the record encapsulates a "control" protocol – the handshake messaging protocol (мазмұн түрі 22) This protocol is used to exchange all the information required by both sides for the exchange of the actual application data by TLS. It defines the format of messages and the order of their exchange. These may vary according to the demands of the client and server – i.e., there are several possible procedures to set up the connection. This initial exchange results in a successful TLS connection (both parties ready to transfer application data with TLS) or an alert message (as specified below).

Негізгі TLS қол алысу

A typical connection example follows, illustrating a қол алысу where the server (but not the client) is authenticated by its certificate:

1. Negotiation phase:
   • A client sends a ClientHello message specifying the highest TLS protocol version it supports, a random number, a list of suggested шифрлық люкс and suggested compression methods. If the client is attempting to perform a resumed handshake, it may send a session ID. If the client can use Қолдану қабаты туралы хаттамамен келіссөздер, it may include a list of supported application хаттамалар, сияқты HTTP / 2.
   • The server responds with a ServerHello message, containing the chosen protocol version, a random number, cipher suite and compression method from the choices offered by the client. To confirm or allow resumed handshakes the server may send a session ID. The chosen protocol version should be the highest that both the client and server support. For example, if the client supports TLS version 1.1 and the server supports version 1.2, version 1.1 should be selected; version 1.2 should not be selected.
   • The server sends its Сертификат message (depending on the selected cipher suite, this may be omitted by the server).^[301]
   • The server sends its ServerKeyExchange message (depending on the selected cipher suite, this may be omitted by the server). This message is sent for all DHE, ECDHE and DH_anon cipher suites.^[2]
   • The server sends a ServerHelloDone message, indicating it is done with handshake negotiation.
   • The client responds with a ClientKeyExchange message, which may contain a PreMasterSecret, public key, or nothing. (Again, this depends on the selected cipher.) This PreMasterSecret is encrypted using the public key of the server certificate.
   • The client and server then use the random numbers and PreMasterSecret to compute a common secret, called the "master secret". All other key data (сессия кілттері сияқты IV, symmetric encryption кілт, MAC кілт^[302]) for this connection is derived from this master secret (and the client- and server-generated random values), which is passed through a carefully designed жалған кездейсоқ функциясы.
2. The client now sends a ChangeCipherSpec record, essentially telling the server, "Everything I tell you from now on will be authenticated (and encrypted if encryption parameters were present in the server certificate)." The ChangeCipherSpec is itself a record-level protocol with content type of 20.
   • The client sends an authenticated and encrypted Аяқталды message, containing a hash and MAC over the previous handshake messages.
   • The server will attempt to decrypt the client's Аяқталды message and verify the hash and MAC. If the decryption or verification fails, the handshake is considered to have failed and the connection should be torn down.
3. Finally, the server sends a ChangeCipherSpec, telling the client, "Everything I tell you from now on will be authenticated (and encrypted, if encryption was negotiated)."
   • The server sends its authenticated and encrypted Аяқталды хабар.
   • The client performs the same decryption and verification procedure as the server did in the previous step.
4. Application phase: at this point, the "handshake" is complete and the application protocol is enabled, with content type of 23. Application messages exchanged between client and server will also be authenticated and optionally encrypted exactly like in their Аяқталды хабар. Otherwise, the content type will return 25 and the client will not authenticate.

Клиентпен расталған TLS қол алысу

Келесісі толық example shows a client being authenticated (in addition to the server as in the example above) via TLS using certificates exchanged between both peers.

1. Negotiation Phase:
   • A client sends a ClientHello message specifying the highest TLS protocol version it supports, a random number, a list of suggested cipher suites and compression methods.
   • The server responds with a ServerHello message, containing the chosen protocol version, a random number, cipher suite and compression method from the choices offered by the client. The server may also send a сеанс идентификаторы as part of the message to perform a resumed handshake.
   • The server sends its Сертификат message (depending on the selected cipher suite, this may be omitted by the server).^[301]
   • The server sends its ServerKeyExchange message (depending on the selected cipher suite, this may be omitted by the server). This message is sent for all DHE, ECDHE and DH_anon ciphersuites.^[2]
   • The server sends a CertificateRequest message, to request a certificate from the client so that the connection can be mutually authenticated.
   • The server sends a ServerHelloDone message, indicating it is done with handshake negotiation.
   • The client responds with a Сертификат message, which contains the client's certificate.
   • The client sends a ClientKeyExchange message, which may contain a PreMasterSecret, public key, or nothing. (Again, this depends on the selected cipher.) This PreMasterSecret is encrypted using the public key of the server certificate.
   • The client sends a CertificateVerify message, which is a signature over the previous handshake messages using the client's certificate's private key. This signature can be verified by using the client's certificate's public key. This lets the server know that the client has access to the private key of the certificate and thus owns the certificate.
   • The client and server then use the random numbers and PreMasterSecret to compute a common secret, called the "master secret". All other key data ("session keys") for this connection is derived from this master secret (and the client- and server-generated random values), which is passed through a carefully designed pseudorandom function.
2. The client now sends a ChangeCipherSpec record, essentially telling the server, "Everything I tell you from now on will be authenticated (and encrypted if encryption was negotiated). " The ChangeCipherSpec is itself a record-level protocol and has type 20 and not 22.
   • Finally, the client sends an encrypted Аяқталды message, containing a hash and MAC over the previous handshake messages.
   • The server will attempt to decrypt the client's Аяқталды message and verify the hash and MAC. If the decryption or verification fails, the handshake is considered to have failed and the connection should be torn down.
3. Finally, the server sends a ChangeCipherSpec, telling the client, "Everything I tell you from now on will be authenticated (and encrypted if encryption was negotiated). "
   • The server sends its own encrypted Аяқталды хабар.
   • The client performs the same decryption and verification procedure as the server did in the previous step.
4. Application phase: at this point, the "handshake" is complete and the application protocol is enabled, with content type of 23. Application messages exchanged between client and server will also be encrypted exactly like in their Аяқталды хабар.

TLS қол алысуы қайта жалғасты

Public key operations (e.g., RSA) are relatively expensive in terms of computational power. TLS provides a secure shortcut in the handshake mechanism to avoid these operations: resumed sessions. Resumed sessions are implemented using session IDs or session tickets.

Apart from the performance benefit, resumed sessions can also be used for бір рет кіру, as it guarantees that both the original session and any resumed session originate from the same client. This is of particular importance for the FTP over TLS/SSL protocol, which would otherwise suffer from a man-in-the-middle attack in which an attacker could intercept the contents of the secondary data connections.^[303]

TLS 1.3 қол алысу

The TLS 1.3 handshake was condensed to only one round trip compared to the two round trips required in previous versions of TLS/SSL.

First the client sends a clientHello message to the server that contains a list of supported ciphers in order of the client's preference and makes a guess on what key algorithm will be used so that it can send a secret key to share if needed. By making a guess at what key algorithm will be used, the server eliminates a round trip. After receiving the clientHello, the server sends a serverHello with its key, a certificate, the chosen cipher suite and the finished message.

After the client receives the server's finished message, it now is coordinated with the server on which cipher suite to use.^[304]

Сеанс идентификаторлары

In an ordinary толық handshake, the server sends a сеанс идентификаторы бөлігі ретінде ServerHello хабар. The client associates this сеанс идентификаторы with the server's IP address and TCP port, so that when the client connects again to that server, it can use the сеанс идентификаторы to shortcut the handshake. In the server, the сеанс идентификаторы maps to the cryptographic parameters previously negotiated, specifically the "master secret". Both sides must have the same "master secret" or the resumed handshake will fail (this prevents an eavesdropper from using a сеанс идентификаторы). The random data in the ClientHello және ServerHello messages virtually guarantee that the generated connection keys will be different from in the previous connection. In the RFCs, this type of handshake is called an қысқартылған handshake. It is also described in the literature as a қайтадан қосу handshake.

1. Negotiation phase:
   • A client sends a ClientHello message specifying the highest TLS protocol version it supports, a random number, a list of suggested cipher suites and compression methods. Included in the message is the сеанс идентификаторы from the previous TLS connection.
   • The server responds with a ServerHello message, containing the chosen protocol version, a random number, cipher suite and compression method from the choices offered by the client. If the server recognizes the сеанс идентификаторы sent by the client, it responds with the same сеанс идентификаторы. The client uses this to recognize that a resumed handshake is being performed. If the server does not recognize the сеанс идентификаторы sent by the client, it sends a different value for its сеанс идентификаторы. This tells the client that a resumed handshake will not be performed. At this point, both the client and server have the "master secret" and random data to generate the key data to be used for this connection.
2. The server now sends a ChangeCipherSpec record, essentially telling the client, "Everything I tell you from now on will be encrypted." The ChangeCipherSpec is itself a record-level protocol and has type 20 and not 22.
   • Finally, the server sends an encrypted Аяқталды message, containing a hash and MAC over the previous handshake messages.
   • The client will attempt to decrypt the server's Аяқталды message and verify the hash and MAC. If the decryption or verification fails, the handshake is considered to have failed and the connection should be torn down.
3. Finally, the client sends a ChangeCipherSpec, telling the server, "Everything I tell you from now on will be encrypted. "
   • The client sends its own encrypted Аяқталды хабар.
   • The server performs the same decryption and verification procedure as the client did in the previous step.
4. Application phase: at this point, the "handshake" is complete and the application protocol is enabled, with content type of 23. Application messages exchanged between client and server will also be encrypted exactly like in their Аяқталды хабар.

Сессия билеттері

RFC  5077 extends TLS via use of session tickets, instead of session IDs. It defines a way to resume a TLS session without requiring that session-specific state is stored at the TLS server.

When using session tickets, the TLS server stores its session-specific state in a session ticket and sends the session ticket to the TLS client for storing. The client resumes a TLS session by sending the session ticket to the server, and the server resumes the TLS session according to the session-specific state in the ticket. The session ticket is encrypted and authenticated by the server, and the server verifies its validity before using its contents.

One particular weakness of this method with OpenSSL is that it always limits encryption and authentication security of the transmitted TLS session ticket to AES128-CBC-SHA256, no matter what other TLS parameters were negotiated for the actual TLS session.^[295] This means that the state information (the TLS session ticket) is not as well protected as the TLS session itself. Of particular concern is OpenSSL's storage of the keys in an application-wide context (SSL_CTX), i.e. for the life of the application, and not allowing for re-keying of the AES128-CBC-SHA256 TLS session tickets without resetting the application-wide OpenSSL context (which is uncommon, error-prone and often requires manual administrative intervention).^[296][294]

TLS жазбасы

This is the general format of all TLS records.

Content type

This field identifies the Record Layer Protocol Type contained in this record.