web-dev-qa-db-ja.com

EC_POINT_FORMAT TLS拡張機能は何を防ぎ、それを使用しないリスクは何ですか?

htbridge のSSLテストは、サーバーが楕円曲線をサポートするが、EC_POINT_FORMAT TLS拡張をサポートしないことを指摘しました。

そのTLS拡張は何を防ぎますか?それを使用しない(潜在的な)リスクは何ですか?

1
Bob Ortiz

TLDR:それほど多くない

拡張機能の送信は、非圧縮ポイントのサポートが必須であるため(基本的にEC暗号スイートと証明書をサポートする場合)、基本的には圧縮ポイントをサポートするかどうかをピアに通知することです。

圧縮をサポートせず、拡張機能を送信しない場合、ピアが圧縮を使用する証明書/チェーンおよび/または一時キーを送信するリスクが考えられます。ピアを使用しても、ハンドシェイクは失敗するため処理できません。非圧縮ポイントの証明書/チェーンおよび/またはキー、または機能した他の交渉可能な暗号スイートを使用できた可能性があります。しかし、RFC 4492 5.2はクライアントがこれを行うことを明示的に禁止しており、4はせいぜいあいまいですが、一般的なポステリアン主義はサーバーを落胆させるはずです。言うまでもなく、そもそも圧縮をサポートしないECの実装を見たことはありません。

圧縮をサポートしているが拡張機能を送信しない場合、たとえそれを受け入れたとしても、ピアは圧縮されたポイントで証明書/チェーンを使用できない可能性があります。両者がサポートする暗号スイートの別の証明書/チェーン(および該当する場合はDHEなどの関連パラメーター)がない場合、これはTLS接続が完全に失敗することを意味し、関係するシステムとユーザーによっては、それらを使用するように促す可能性があります。安全ではない、または安全性が低い代替通信。圧縮なしの別の証明書/チェーンがあり、ハンドシェイクを完了することができる場合は、非常に少量の帯域幅を浪費しますが、これはほとんど問題ではなく、結果の接続はおそらくではない可能性があります可能な限り強いが、両方のパーティが正しく設定および実装されている場合でも、十分に十分に安全である必要があります。サーバーは必要に応じて圧縮を解除できるため、一時キーに問題はありません。

3