|
Ochilish ning the TLS Seanslar
|
| bet | 4/7 | | Sana | 15.05.2024 | | Hajmi | 417,38 Kb. | | #236738 |
Bog'liq Asilbek Tarmoq Xavfsizligi
The rivojlanish ning the TLS protokol ega ergashdi bir nechta iteratsiyalar [8, 9, 10] yildan beri loyihalash ning the SSL protokol, qaysi hisoblanadi hozir eskirgan [11]. The IETF 5 hisoblanadi ichida ning zaryadi the standartlashtirish jarayon. The raqamli qiymatlar ning the har xil parametrlari IANA 6 tomonidan havola qilingan .
The xabarlar uzatiladi tomonidan the vositachi ning the TLS protokol bor chaqirdi yozuvlar . Ular bor umuman kapsulalangan ichida TCP 7 segmentlar, a protokol ichida zaryad ning ma'lumotlarning qabul qilinishini tasdiqlash kabi tarmoqni tashish funktsiyalarini ta'minlash [12]. Uchun datagram protokollar, shunday kabi UDP 8 , a DTLS 9 varianti ega bo'lgan belgilangan [13]. Lar bor to'rtta turlari ning yozuvlar, tushuntirilgan bundan keyin: qo'l siqish , o'zgartirish_shifrlash , dastur_ma'lumotlari va ogohlantirish .
Bilan a tashvish uchun o'zaro muvofiqlik, the spetsifikatsiyalar ruxsat berish the ikki partiyalar jalb qilingan muzokara qilish the versiya ning the protokol bu ular bo'ladi birgalikda qabul qilish. Bu parametr hisoblanadi Birjalarni samarali himoya qilishdan oldingi TLS qo'l siqish bosqichida yaratilgan . Xuddi shunday, spetsifikatsiyalar kriptografiyaning turli kombinatsiyalaridan foydalanishga imkon beradi algoritmlar. The shifr komplekt saqlanib qolgan uchun the sessiya hisoblanadi belgilangan xabarlar orqali ning turi qo'l siqish , ichida qo'shimcha uchun xabarlar ning turi o'zgartirish_shifrini_belgilang signallari uning samarali faollashtirish.
Rasm 1.1 ko'rsatadi the muzokaralar ning bular parametrlari ichida a umumiy hol. Bu qiladi dan foydalanish the ergashish almashinuvlar orasida the mijoz va the server:
the mijoz boshlaydi a so'rov tomonidan yuborish a xabar ning turi Mijoz Salom , o'z ichiga olgan ichida alohida the shifr suitlar bu bu qo'llab-quvvatlaydi;
the server javob beradi bilan a Server Salom qaysi o'z ichiga oladi the saqlanib qolgan komplekt;
server Sertifikat yuboradi ayniqsa, uning ommaviyligini o'z ichiga olgan xabar kalit ichida a raqamli sertifikat;
the server uzatadi ichida a ServerKeyExchange a vaqtinchalik qiymat bu bu foydalanish belgilari the xususiy kalit bog'langan bilan the Oldingi ommaviy kalit;
the server namoyon bo'ladi bu bu hisoblanadi yoqilgan tutmoq bilan a ServerHelloDone ;
5 Internet Muhandislik Vazifa Kuch.
6 Internet Tayinlangan Raqamlar Hokimiyat.
1
ClientHello
2
ServerHello
3
Certificate
4
ServerKeyExchange
5
ServerHelloDone
Mijoz serveri
ClientKeyExchange
6
7
ChangeCipherSpec
8
Finished
9
ChangeCipherSpec
10
Finished
Ilova Ma'lumotlar ilovasi Ma'lumotlar
Rasm 1.1: Umumiy boshlash ning a TLS sessiya
sertifikat tekshirilgandan va oldingi qiymatning autentifikatsiyasidan so'ng, mijoz o'z navbatida ochiq kalit yordamida shifrlaydigan vaqtinchalik qiymatni tanlaydi. ning the sertifikat va keyin uzatadi ichida a ClientKeyExchange ;
the server signallari bu faollashtiradi the komplekt to'liq bilan a ChangeCipherSpec ;
the mijoz yuboradi a Tugallangan , the birinchi xabar himoyalangan ko'ra uchun shifr komplekt bilan the sirlari kelayotgan dan the almashish ning vaqtinchalik kalitlar;
the server signallari the faollashtirish ning the bir xil komplekt bilan a ChangeCipherSpec ;
the server yuboradi ichida burilish a Tugallangan , uning birinchi xavfsiz xabar.
The umumiy hol tasvirlangan Bu yerga taxmin qiladi the tanlash ning bitta ning the shifr PFS 10 ni ta'minlovchi to'plamlar . Bu xususiyat o'tgan sessiya xabarlari shifrini ochishning oldini olishdan iborat , hatto qachon the xususiy kalit ning the server ega bo'lgan murosaga kelgan. Bu hisoblanadi bajarildi orqali the muzokaralar ning a vaqtinchalik sir foydalanish a Diffie-Hellman almashinuvi [14].
The spetsifikatsiyalar ning the protokol bundan tashqari aniqlash bir nechta qo'shimcha xabarlar va kengaytmalar bu qilish bu mumkin uchun nazorat qilish va boyitish the himoya qilish ning kommunikatsiyalar [10, 15]. In kontekstlar unda shunday a kerak ega bo'lgan aniqlangan, the server ichida joylashgan alohida qodir uchun iltimos autentifikatsiya ning the mijoz da the TLS Daraja orqali Sertifikat so'rovi xabari. Bilan Hurmat bilan uchun the kengaytmalar, a ClientHello mumkin misol o'z ichiga oladi qo'shimcha ma `lumot tegishli uchun the elliptik chiziqlar qo'llab-quvvatlanadi
tomonidan the mijoz ichida buyurtma uchun olib yurish tashqariga the ECC 11 hisob-kitoblar.
Keyin the qo'l siqish, the mijoz va the server egalik qilish a birgalikda premaster sir , kimniki hisoblash tayangan yoqilgan elementlar o'z ichiga olgan ichida the ServerKeyExchange va ClientKeyExchange . Ikkala tomonda ham premaster siri bitta masterga olinadi sir bu oladi hisob ning the tasodifiy qiymatlar o'z ichiga olgan ichida the Mijoz Salom va ServerSalom . Nihoyat, the usta sir hisoblanadi ichida burilish olingan ichida buyurtma uchun hosil qilish kalitlari uchun ta'minlash the maxfiylik va the yaxlitlik ning the ilova ma'lumotlar, uni application_data tipidagi xabarlarga joylashtirishdan oldin .
kalitlarini yangilash imkonini beradi holda xalaqit berish the TLS sessiya, tomonidan foydalanish a yangi qo'l siqish. Bu sessiyani qayta muhokama qilish mumkin bo'l tetiklangan da the tashabbus ning the mijoz orqali a yangi MijozSalom . Bu mumkin shuningdek bo'l so'ragan tomonidan the server bilan a Salom so'rov xabar.
Xabarlar ning turi ogohlantirish yoqish uchun hisobot anomaliyalar kuzatilgan davomida the qo'l siqish yoki ilova ma'lumotlar almashish. Aniq xabarlar o'z ichiga oladi oddiygina ogohlantirishlar, esa boshqalar qo'ng'iroq qiladi uchun darhol tugatish ning the TLS sessiya. Bir nechta ogohlantirish kodlari mavjud, qaysi masalan , uzatilgan sertifikat haqiqiy emasligi yoki yaxlitligi haqida xabar berishga imkon bering tekshirish uchun a rekord ega muvaffaqiyatsiz.
|
| |
