Завершение стандартизации TLS

В сентябре вводится в действие СТБ 34.101.65. Этот стандарт определяет протокол защиты транспортного (коммуникационного) уровня, известный как протокол TLS (Transport Layer Security) версии 1.2. Стандарт основан на спецификации RFC5246.

TLS обеспечивает аутентификацию сторон протокола, конфиденциальность и контроль целостности передаваемых между сторонами данных. TLS встраивается в стек коммуникационных протоколов поверх транспортного уровня и обеспечивает защиту данных этого уровня. Для организации защиты используются криптографические алгоритмы, которые оформляются в виде так называемых криптонаборов. В СТБ 34.101.65 определены криптонаборы, основанные на действующих криптографических стандартах СТБ 34.101.31, 45, 47.

Основным в криптонаборе является алгоритм (а по сути протокол) формирования общего ключа. В базовой спецификации RFC5246 алгоритмы формирования общего ключа описываются с учетом сложившейся практики, с привязкой к RSA, DSA и другим конкретным криптографическим алгоритмам. При разработке СТБ 34.101.65 было принято решение не следовать буквально базовой спецификации, а переписать ее критические части, исключив привязку к конкретным алгоритмам и добавив важное расширение TLS, определенное в  RFC4279.

В итоге в СТБ 34.101.65 собраны следующие типы алгоритмов формирования общего ключа: DH_anon (протокол Диффи – Хеллмана без аутентификации сторон); DH_fixed (протокол Диффи – Хеллмана cо статическим ключом); DHE (протокол Диффи – Хеллмана c эфемерными ключами), T (транспорт ключа); PSK (протокол на основе предварительного распределения секретов, от английского pre-shared key); DHE_PSK (совмещение PSK и DHE) и T_PSK (совмещение PSK и транспорта).

Алгоритмы типов DH_anon, DH_fixed,  PSK имеют существенные криптографические недостатки и не поддерживаются в упомянутых криптонаборах СТБ 34.101.65. Имеются предостережения по использованию алгоритмов других типов.

Первая редакция СТБ 34.101.65 появилась в конце 2012 года и с тех пор претерпела существенные изменения. Кроме редакционных правок, в СТБ 34.101.65 добавлялись механизмы защиты от недавних атак на TLS.

Во-первых, сделано обязательным расширение renegotiation_info (RFC5746), которое защищает от атаки Рэя – Диспензы (2009 г.). В этой атаке противник провоцирует переустановку связи с сервером и при определенных условиях навязывает серверу свои данные как присланные клиентом.

Во-вторых, были исключены криптонаборы, в которых используется каскад «выработка имитовставки, выравнивание данных на границу блока, шифрование в режиме сцепления блоков». Атака Lucky Thirteen (2013 г.) в очередной раз продемонстрировала уязвимость этого каскада.

В-третьих, для защиты от атак CRIME (2012 г.) и  BREACH (2013 г.) добавлено предостережение относительно использования в TLS сжатия данных. В упомянутых атаках злоумышленник знает формат фрагмента открытых данных и даже частично управляет его содержимым. Злоумышленник использует уровень сжатия для определения недостающих частей фрагмента.

В-четвертых, для защиты от атаки Triple Handshakes (2014 г.) в криптонаборах, использующих алгоритмы формирования общего ключа типа DHE, серверу запрещено использовать нестандартные параметры протокола Диффи – Хеллмана. Кроме этого,  добавлено предостережение об угрозах взаимодействия клиента C с сервером A, который может контролироваться злоумышленником. Если С использует алгоритм типа T (транспорт ключа), то злоумышленник может организовать защищенное соединение между C и другим сервером S, при котором С и S будут считать, что взаимодействуют с A и не смогут обнаружить, что взаимодействуют между собой.

В перспективе планируется интеграция в TLS определенных в СТБ 34.101.66 протоколов BMQV и BPACE, которые имеют преимущества перед алгоритмами формирования общего ключа перечисленных стандартных типов.