web-dev-qa-db-ja.com

「ハーフPFS」保護とは何ですか?また、どのプロトコルまたは構成がそれに適用されますか?

ハーフPFS保護に対して脆弱な(または脆弱ではない)シナリオとプロトコルのリストを探しています。

半分のPFSは、私が理解しているように、一方がハッキングされた場合にクライアントとサーバー間の通信を復号化できる場所です。 このIETFメーリングリスト[〜#〜] optls [〜#〜] をセッションの半分の保護のみを提供するものとして説明しています。

質問

  • 「ハーフプロテクション」とは何ですか。また、TLS 1.0以降のプロトコルとどのように関連していますか?

  • PFSに対応しているが、同様の脆弱性がある他の実装(DTLS、???)はありますか?

5

私はその概念を完全に理解しているとは言えません。しかし、要点は、短期(「エフェメラル」)非対称キー(DH、ECDH、最近では「エフェメラルRSA」も同様でした。)では、正確にについていくつかの意見があるということだと思います。 )これらのキーがどれだけ短期的であると想定されているか。

高いパラノイアの終わりでは、「短期」は「接続ごとに1回」を意味する場合があります。そして、低パラノイアの終わりでは、「短期」は「キー共有はインストール時にのみ生成されるため、ソフトウェアを再インストールするまで」を意味する場合があります。 -そしてその間のすべて。たとえば、F5の場合、デフォルトではDHキーが1時間に1回再生成されると思います。ただし、オプションで「単一のDH使用パラメーター」を設定して、接続ごとに実際に再生成することができます。また、OpenSSLには「SSL_OP_SINGLE_DH_USE」というオプションがあり、同じことを行うと思います。それ以外の場合、DHキーはサーバーの再起動時にのみ再生成されます。また、Citrix NetScalerを使用すると、DHキーが再生成されるまでの接続の最大数を定義できます。

私の関連する回答 を参照してください。)

TLS仕様では、エフェメラルキーを再生成する頻度を指定しているとは思いません。彼らはこれを完全に実装者に任せており、明示的または暗黙的なコメントをすることは決してないと思います。

さて、これはセキュリティに関してどういう意味ですか? TLS接続があると仮定しましょう。最良の場合(単一のDHの使用)、一方の端に。そして、あまり良くないケース-サーバーの再起動時のDHキーの再生成-はもう一方の端にあります。そして、「テイクオール」攻撃を採用している中間者攻撃者がいると仮定しましょう。そして、暗号化されたトラフィックを数週間ログに記録するだけです。

ここで、その攻撃者が何らかの理由で接続終了の1つを完全に侵害しなかった場合、たとえば、そのうちの1つのRAM)のスナップショット-それは彼に何を与えますか?

彼が幸運にもあまり良くない終わりのスナップショットを取得できれば、攻撃者は過去のDHEで保護された過去の接続を過去にさかのぼって復号化できます。サーバーの再起動以降。また、次の再起動までまで

そして、他のすべての端が絶えず彼らの部分を一時的なキーダンスに変えているかどうかは関係ありません。

これがどういうわけかあなたの質問に答えることを願っています。

補足:TLS 1.3の設計プロセス中に、実際には一時的なキーに対してあまり一時的ではない(つまり、単語ですか?)TLSクライアント/サーバーに対するいくつかの要求がありました: https://tools.ietf。 org/html/draft-rhrd-tls-tls13-visibility

1
StackzOfZtuff