Протокол SSL-TLS презентация

Август 5, 2022

Главная
Информатика
Протокол SSL-TLS

Содержание

2. SSL/TLS Расшифровка аббревиатур: Secure Socket Layer Transport Layer Secure
3. Версии протокола
4. Положение в стеке протоколов Прикладной уровень SSL/TLS Транспортный уровень (TCP)
5. Архитектура протокола Record Layer SSL/TLS TCP Приложение Application data protocol Handshake protocol Change cipher suite protocol
6. Основные характеристики протокола Аутентификация сторон на основе сертификатов X.509 ЭЦП RSA, DSA По умолчанию сервер аутентифицируется,
7. Основные характеристики протокола - алгоритмы RSA, DH, DSS (DSA), RC2, RC4, IDEA, DES, 3DES, MD5, SHA-1
8. Основные характеристики протокола – алгоритмы в TLS 1.3 Общий секрет: DH, ECDH ЭЦП: RSA, ECDSA, EDDSA
9. Работает поверх TCP Дополнительные защищенные TCP-соединения (одновременно или после основного) в рамках одного сеанса протокола Порты:
10. Record Layer PlainText CompressedText CipherText
11. Record Layer PlainText CompressedText ContentType ProtocolVersion Length Data enum { change_cipher_spec(20), alert(21), handshake(22), application_data(23), (255) }
12. Record Layer CipherText ContentType ProtocolVersion Length Data MAC PAD Потоковые Блочные зашифровано зашифровано
13. Record Layer Pad (SSL 3.0) X Layer X Layer X Layer X Layer L Layer L
14. Атаки на SSL/TLS – первые ласточки Wei Dai. An attack against SSH2 protocol. 2002. («Chosen Plaintext»)
15. «Chosen Plaintext» by Wei Dai PI PI-1 Pj Pj-1 … CI CI-1 Cj Cj-1 … Plain
16. «Chosen Plaintext» by Wei Dai (2) Проверяем гипотезу Pj = X Задаем Pi = X ⊕
17. «Padding Oracle» by Serge Vaudenay CI CI-1 … Cipher Text Ck R … Modified Cipher Text
18. «Padding Oracle» by Serge Vaudenay Если в результате получился некорректный PAD, сервер отвечает сообщением протокола Alert
19. Атаки на SSL/TLS – ускорение Wei Dai. An attack against SSH2 protocol. 2002. («Chosen Plaintext») Serge
20. BEAST & POODLE браузер сервер Внутренний агент (javascript) Сетевой агент
21. BEAST & POODLE Структура HTTP-сообщения: POST HTTP/1.1 Headers: … Cookies: … Злоумышленник управляет составом и и
22. BEAST & POODLE Сложность вскрытия: BEAST: 256 попыток на каждый байт сообщения - против 2N на
23. POODLE Состав атаки Атака против Handshake protocol, заставляющая стороны переключиться на SSL 3.0 Собственно алгоритм Padding
24. Защита от Padding Oracle Pad (TLS 1.0) X Layer X Layer X Layer X Layer L
25. Защита от «Chosen Plaintext», BEAST CipherText (TLS 1.1) ContentType ProtocolVersion Length IV Data MAC PAD Блочные
26. Атаки на протокол Handshake POODLE (часть 1) – переключение на SSL 3.0 Защита: дополнение протоколов TLS
27. Hello Extensions Extensions – дополнительные, необязательные поля, которые могут быть добавлены к сообщениям протокола Handshake ClientHello
28. Hello Extensions Примеры: server_name (для поддержки вирт. хостов) max_fragment_length client_certificate_url status_request (OCSP перепоручается серверу) … …
29. Record Layer в TLS 1.3 ContentType = 23 (app.data) ProtocolVersion = 0x0303 (TLS 1.2) Length Data
30. Record Layer в TLS 1.3 – шифрование AEAD AEAD – Authenticated Encryption with Associated Data Режим
32. Скачать презентацию

Слайд 2

SSL/TLS
Расшифровка аббревиатур:
Secure Socket Layer
Transport Layer Secure

Слайд 3

Версии протокола

Слайд 4

Положение в стеке протоколов
Прикладной уровень
SSL/TLS
Транспортный уровень (TCP)

Слайд 5

Архитектура протокола
Record Layer
SSL/TLS
TCP

Приложение
Application data protocol
Handshake protocol
Change cipher suite protocol
Alert protocol

Слайд 6

Основные характеристики протокола
Аутентификация сторон на основе сертификатов X.509
ЭЦП RSA, DSA
По умолчанию

сервер аутентифицируется, а клиент – нет
Создание общего секрета (RSA, DH, DHE (Ephemeral – одноразовые ключи)
Шифрование симметричными алгоритмами, режим CBC, AEAD (TLS 1.2, 1.3)
Контроль подлинности и целостности данных HMAC

Слайд 7

Основные характеристики протокола - алгоритмы
RSA, DH, DSS (DSA), RC2, RC4, IDEA,

DES, 3DES, MD5, SHA-1
Kerberos (опц.) – с TLS 1.1
AES, SHA-2 (256/384/512), отмена RC2, DES, IDEA – c TLS 1.2
TLS 1.3: отмена почти всех перечисленных алгоритмов и введение новых

Слайд 8

Основные характеристики протокола – алгоритмы в TLS 1.3
Общий секрет: DH, ECDH
ЭЦП:

RSA, ECDSA, EDDSA (еще один вариант алгоритма на эллиптических кривых)
Шифрование данных: AES, CHACHA20
AEAD вместо CBC
Хэш: SHA-2 (256/384/512)

Слайд 9

Работает поверх TCP
Дополнительные защищенные TCP-соединения (одновременно или после основного) в рамках

одного сеанса протокола
Порты:
https: 443 почтовые протоколы:
SMTPS: 465
IMAP4S: 993
POP3S: 995
Защита произвольных соединений (stunnel, s_client, s_server)

Основные характеристики протокола - транспорт

STARTTLS

Слайд 10

Record Layer
PlainText
CompressedText
CipherText

Слайд 11

Record Layer
PlainText CompressedText
ContentType
ProtocolVersion
Length Data
enum {
change_cipher_spec(20),
alert(21),
handshake(22),
application_data(23),
(255)
} ContentType;

Слайд 12

Record Layer
CipherText
ContentType
ProtocolVersion
Length Data
MAC
PAD
Потоковые
Блочные
зашифровано
зашифровано

Слайд 13

Record Layer
Pad (SSL 3.0)
X Layer
X Layer
X Layer
X Layer
L Layer
L
1 <= L

<= Длина блока
X определяется реализацией,
обычно
X = 0

Слайд 14

Атаки на SSL/TLS – первые ласточки
Wei Dai. An attack against SSH2 protocol.
2002.
(«Chosen

Plaintext»)

Serge Vaudenay.
Security Flaws Induced by CBC Padding Application to SSL, IPSEC, WTLS. 2002. («Padding Oracle»)

Слайд 15

«Chosen Plaintext» by Wei Dai
PI
PI-1
Pj
Pj-1
…
CI
CI-1
Cj
Cj-1
…
Plain Text
Cipher Text
Cj = Ek (

Pj ⊕ Cj-1 ) атакующий может задать расшифровываем

Слайд 16

«Chosen Plaintext» by Wei Dai (2)
Проверяем гипотезу Pj = X
Задаем Pi

= X ⊕ Ci-1 ⊕ Cj-1
Тогда Ci = Ek ( Pi ⊕ Ci-1 ) = Ek (X ⊕ Ci-1 ⊕ Cj-1 ⊕ Ci-1 ) = Ek (X ⊕ Cj-1 )
Если Pj = X, то Ci = Cj
Перебрать все X, пока не будет достигнуто равенство Ci = Cj .
Требует 2N попыток, где N – длина блока
(min N = 64).

Слайд 17

«Padding Oracle» by Serge Vaudenay
CI
CI-1
…
Cipher Text
Ck
R
…
Modified Cipher Text
X
Ck – блок,

который надо расшифровать
R – случайный блок
X – подбираемое значение

Злоумышленник перехватывает сообщение, затем многократно модифицирует его, отправляет серверу и наблюдает реакцию сервера.

Слайд 18

«Padding Oracle» by Serge Vaudenay
Если в результате получился некорректный PAD,

сервер отвечает сообщением протокола Alert decryption_failed (21)
Если получился корректный PAD, сервер отвечает сообщением протокола Alert bad_record_mac (20)
В этом случае (наиболее вероятно) что последний байт PAD равен 1, и тогда Pk[последний байт] = 1 ⊕ x ⊕ Ck-1[последний байт]
Для определения последнего байта Pk требуется 256 попыток.
Зная последний байт, по аналогичной схеме определяется предпоследний, и далее все байты блока. Затем расшифровывается следующий блок.
Для расшифровки всего шифротекста требуется попыток: 256 x (длина шифротекста)

Слайд 19

Атаки на SSL/TLS – ускорение
Wei Dai. An attack against SSH2 protocol.
2002.
(«Chosen Plaintext»)
Serge

Vaudenay.
Security Flaws Induced by CBC Padding Application to SSL, IPSEC, WTLS. 2002. («Padding Oracle»)

Duong, Rizzo
Атака BEAST
2011

Duong, Möller, Kotiwiz, et all.
Атака POODLE
2014

Слайд 20

BEAST & POODLE
браузер
сервер
Внутренний агент (javascript)
Сетевой агент

Слайд 21

BEAST & POODLE
Структура HTTP-сообщения:
POST HTTP/1.1
Headers: … Cookies: …

Злоумышленник управляет составом

и и охотится за Headers и Cookie. Он может установить дешифруемый байт на любую удобную позицию, а также управлять длиной сообщения.

Слайд 22

BEAST & POODLE
Сложность вскрытия:
BEAST: 256 попыток на каждый байт сообщения -

против 2N на каждый N-битный блок в «Chosen Plaintext» by Wei Dai
POODLE: 256 попыток на каждый байт сообщения - так же, как и в «Padding Oracle» by Serge Vaudenay, но технически реализация значительно проще.
На практике вскрытие Headers и Cookie занимает 5 минут.

Слайд 23

POODLE
Состав атаки
Атака против Handshake protocol, заставляющая стороны переключиться на SSL 3.0
Собственно

алгоритм Padding Oracle с оптимизацией за счет особенностей HTTP.

Слайд 24

Защита от Padding Oracle
Pad (TLS 1.0)
X Layer
X Layer
X Layer
X Layer
L Layer
L
1

<= L <= 255
X = L
Никогда не возникает ошибка decryption_failed (21), сервер больше не работает как Padding Оracle

Слайд 25

Защита от «Chosen Plaintext», BEAST
CipherText (TLS 1.1)
ContentType
ProtocolVersion
Length IV
Data
MAC
PAD
Блочные
зашифровано

Слайд 26

Атаки на протокол Handshake
POODLE (часть 1) – переключение на SSL 3.0 Защита:

дополнение протоколов TLS 1.0-1.3, RFC 7507
M.Ray, S.Dispensa. The SSL authentication gap. 2009. вставка произвольного текста в начало SSL-сеанса. «Renegotiation» (Сервер запрашивает сертификат клиента.) Защита: дополнение протоколов TLS 1.0-1.2, RFC RFC 5746. Защита в TLS 1.3???

Слайд 27

Hello Extensions
Extensions – дополнительные, необязательные поля, которые могут быть добавлены к

сообщениям протокола Handshake ClientHello и ServerHello
Предложены в RFC 3546 (2003)
Вошли как опция в спецификацию TLS 1.2
Стали основным механизмом согласования параметров сеанса в TLS 1.3

Слайд 28

Hello Extensions
Примеры:
server_name (для поддержки вирт. хостов)
max_fragment_length
client_certificate_url
status_request (OCSP перепоручается серверу)
…
…
данные
тип (16 бит)

Слайд 29

Record Layer в TLS 1.3
ContentType = 23 (app.data)
ProtocolVersion = 0x0303 (TLS

1.2)
Length Data
ContentType (реальный)
PAD

Зашифровано AEAD

CipherText (TLS 1.3)

Слайд 30

Record Layer в TLS 1.3 – шифрование AEAD
AEAD – Authenticated Encryption with Associated

Data
Режим применения взамен CBC в TLS 1.2 и более ранних
Обеспечивает одновременно
Шифрование
Контроль подлинности и целостности.
Специфицирован в RFC 5116 (2008)

Протокол SSL-TLS презентация

Содержание

SSL/TLSРасшифровка аббревиатур:Secure Socket LayerTransport Layer Secure

Версии протокола

Положение в стеке протоколовПрикладной уровеньSSL/TLSТранспортный уровень (TCP)

Архитектура протоколаRecord LayerSSL/TLSTCP ПриложениеApplication data protocolHandshake protocolChange cipher suite protocolAlert protocol

Основные характеристики протоколаАутентификация сторон на основе сертификатов X.509ЭЦП RSA, DSAПо умолчанию

Основные характеристики протокола - алгоритмыRSA, DH, DSS (DSA), RC2, RC4, IDEA,

Основные характеристики протокола – алгоритмы в TLS 1.3Общий секрет: DH, ECDHЭЦП:

Работает поверх TCPДополнительные защищенные TCP-соединения (одновременно или после основного) в рамках

Record LayerPlainTextCompressedTextCipherText

Record LayerPlainText CompressedTextContentTypeProtocolVersionLength Dataenum { change_cipher_spec(20), alert(21), handshake(22), application_data(23), (255)} ContentType;

Record LayerCipherTextContentTypeProtocolVersionLength DataMACPADПотоковыеБлочныезашифрованозашифровано

Record LayerPad (SSL 3.0)X LayerX LayerX LayerX LayerL LayerL1 <= L

Атаки на SSL/TLS – первые ласточкиWei Dai. An attack against SSH2 protocol.2002.(«Chosen

«Chosen Plaintext» by Wei Dai PIPI-1PjPj-1…CICI-1CjCj-1…Plain TextCipher TextCj = Ek (

«Chosen Plaintext» by Wei Dai (2)Проверяем гипотезу Pj = XЗадаем Pi

«Padding Oracle» by Serge Vaudenay CICI-1…Cipher TextCkR…Modified Cipher TextXCk – блок,

«Padding Oracle» by Serge Vaudenay Если в результате получился некорректный PAD,

Атаки на SSL/TLS – ускорениеWei Dai. An attack against SSH2 protocol.2002.(«Chosen Plaintext»)Serge

BEAST & POODLEбраузерсерверВнутренний агент (javascript)Сетевой агент

BEAST & POODLEСтруктура HTTP-сообщения:POST HTTP/1.1Headers: … Cookies: …Злоумышленник управляет составом

BEAST & POODLEСложность вскрытия:BEAST: 256 попыток на каждый байт сообщения -

POODLEСостав атакиАтака против Handshake protocol, заставляющая стороны переключиться на SSL 3.0Собственно

Защита от Padding OraclePad (TLS 1.0)X LayerX LayerX LayerX LayerL LayerL1

Защита от «Chosen Plaintext», BEASTCipherText (TLS 1.1)ContentTypeProtocolVersionLength IVDataMACPADБлочныезашифровано

Атаки на протокол HandshakePOODLE (часть 1) – переключение на SSL 3.0 Защита:

Hello ExtensionsExtensions – дополнительные, необязательные поля, которые могут быть добавлены к

Hello ExtensionsПримеры:server_name (для поддержки вирт. хостов)max_fragment_lengthclient_certificate_urlstatus_request (OCSP перепоручается серверу)……данныетип (16 бит)

Record Layer в TLS 1.3ContentType = 23 (app.data)ProtocolVersion = 0x0303 (TLS

Record Layer в TLS 1.3 – шифрование AEADAEAD – Authenticated Encryption with Associated

Похожие презентации