TLS重新协商显示扩展,RFC5746

最新推荐文章于 2024-06-26 10:33:06 发布
最新推荐文章于 2024-06-26 10:33:06 发布
阅读量3.9k 收藏 3
点赞数 1
分类专栏: OpenSSL TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010129119/article/details/77675644
版权
OpenSSL 同时被 2 个专栏收录
10 篇文章 1 订阅
订阅专栏
TLS
3 篇文章 0 订阅
订阅专栏

1、介绍

TLS [RFC5246]允许客户端或服务器启动重新协商 - 建立新的加密参数的新握手。 不幸的是,虽然使用由原始握手建立的加密参数来执行新的握手,但是两者之间没有加密绑定。 这将为攻击者创造机会,攻击者可以拦截客户端的传输层连接,将自己的流量作为前缀注入客户端与服务器的交互。 这种攻击的一种形式[Ray09]如下图所示:

Client                      Attacker                        Server
------                      -------                         ------
                                <------------ Handshake ---------->
                                <======== Initial Traffic ========>
<-------------------------- Handshake ============================>
<======================== Client Traffic =========================>
要开始攻击,攻击者与服务器形成TLS连接(可能是响应于客户端初始拦截的连接)。然后他将所选的任何流量发送到服务器。这可能涉及在应用层的多个请求和响应,或者可能仅仅是旨在在客户端数据前缀的部分应用层请求。此流量显示为==表示已加密。然后他允许客户端的TLS握手继续服务器。握手对攻击者来说是清楚的,但是通过攻击者与服务器的TLS连接进行加密。握手完成后,客户端通过新建立的安全参数与服务器通信。攻击者无法读取此流量,但服务器认为来往于攻击者的初始流量与客户端的流量相同。

3、安全协商定义

客户端和服务器都需要为每个TLS连接状态存储三个附加值(参见RFC 5246,第6.1节)。 请注意,这些值特定于连接(不是TLS会话缓存条目)。

  • 一个“secure_renegotiation”标志,指示安全重新协商是否用于此连接。 
  • “client_verify_data”:来自客户端在紧接之前的握手中发送的Finished消息的verify_data。 对于当前定义的TLS版本和密码套件,这将是一个12字节的值; 对于SSLv3,这将是一个36字节的值。 
  • “server_verify_data”:来自服务器在紧接之前的握手中发送的Finished消息的verify_data。

扩展定义:

"renegotiation_info" (withextension type 0xff01)

struct {
    opaque renegotiated_connection<0..255>;
} RenegotiationInfo;

  • 果这是连接的初始握手,那么ClientHello和ServerHello中的“renegotiated_connection”字段的长度都为零。 因此,扩展的整个编码是ff 01 00 01 00.前两个八位字节表示扩展类型,第三和第四个八位字节是扩展本身的长度,最后八位字节表示“重新协商连接”字段的零长度字节。
  • 对于重新协商的ClientHellos,该字段包含3.1节中指定的“client_verify_data”。
  • 对于正在重新协商的ServerHellos,此字段包含client_verify_data和server_verify_data的并置。 对于TLS的当前版本,这将是一个24字节的值(对于SSLv3,它将是一个72字节的值)。

重新协商保护请求 SCSV

SSLv3和TLS 1.0 / TLS 1.1规范都要求实现忽略ClientHello之后的数据(即扩展),如果他们不了解它。但是,在这种情况下,一些SSLv3和TLS 1.0的实现方式不正确地失败了握手。这意味着提供“renegotiation_info”扩展名的客户端可能会遇到握手失败。为了增强与这些服务器的兼容性,本文档通过特殊的信令密码套件值(SCSV)“TLS_EMPTY_RENEGOTIATION_INFO_SCSV”定义了第二个信令机制,代码点为{0x00,0xFF}。该SCSV不是真正的密码套件(它不对应于任何有效的算法集合),并且无法协商。相反,它具有与空的“renegotiation_info”扩展名相同的语义,如以下部分所述。因为SSLv3和TLS实现可靠地忽略未知的密码套件,所以可以将SCSV安全地发送到任何服务器。 SCSV也可以包含在SSLv2向后兼容的CLIENT-HELLO中(参见[RFC5246]的附录E.2)。注意:根本不支持重新协商的最小客户端可以在所有初始握手中简单地使用SCSV。以下部分中的规则将导致任何兼容服务器在看到此类客户重新协商的明显尝试时中止握手。


以下针对全连接和会话复用连接:

客户端行为

初始化握手

  • 客户端必须在ClientHello中包含一个空的“renegotiation_info”扩展或TLS_EMPTY_RENEGOTIATION_INFO_SCSV信令加密套件值。 不推荐同时包括这两个。
  • 收到ServerHello后,客户端必须检查是否包含“renegotiation_info”扩展名
    • 如果扩展名不存在,则服务器不支持安全重新协商; 将secure_renegotiation标志设置为FALSE。 在这种情况下,有些客户可能希望终止握手而不是继续; 参见第4.1节讨论。
    • 如果扩展名存在,请将secure_renegotiation标志设置为TRUE 客户端必须验证“renegotiated_connection”字段的长度为零,如果不是,则必须中止握手(通过发送致命的handshake_failure警报)。
  • 握手完成后,客户端需要保存client_verify_data和server_verify_data值以备将来使用

安全重新协商

如果连接的“secure_renegotiation”标志设置为TRUE(如果设置为FALSE,请参见第4.2节),则此文本适用。

  • 客户端必须在ClientHello中包含“renegotiation_info”扩展,其中包含已保存的client_verify_data。 不得包括SCSV
  • 当接收到ServerHello时,客户端必须验证是否存在“renegotiation_info”扩展名; 如果不是,客户必须中止握手。
  • 客户端必须验证“renegotiated_connection”字段的前半部分是否等于保存的client_verify_data值,而后半部分是否等于保存的server_verify_data值。 如果不是,客户必须中止握手。
  • 握手完成后,客户端需要保存新的client_verify_data和server_verify_data值。


服务器行为

初始化握手

  • 当接收到ClientHello时,服务器必须检查它是否包含TLS_EMPTY_RENEGOTIATION_INFO_SCSV。如果是,请将secure_renegotiation标志设置为TRUE。
  • 服务器必须检查ClientHello中是否包含“renegotiation_info”扩展名。如果扩展名存在,请将secure_renegotiation标志设置为TRUE。服务器必须验证“renegotiated_connection”字段的长度为零,如果不是,请务必中止握手。
  • 如果不包含TLS_EMPTY_RENEGOTIATION_INFO_SCSV SCSV和“renegotiation_info”扩展名,请将secure_renegotiation标志设置为FALSE。在这种情况下,一些服务器可能希望终止握手而不是继续;见第4.3节讨论。
  • 如果secure_renegotiation标志设置为TRUE,服务器必须在ServerHello消息中包含一个空的“renegotiation_info”扩展。
  • 握手完成后,服务器需要保存client_verify_data和server_verify_data值以备将来使用。


安全重新协商

如果连接的“secure_renegotiation”标志设置为TRUE(如果设置为FALSE,请参见第4.4节),则适用此文本。

  • 当接收到ClientHello时,服务器必须确认它不包含TLS_EMPTY_RENEGOTIATION_INFO_SCSV如果SCSV存在,服务器务必中止握手
  • 服务器必须验证是否存在“renegotiation_info”扩展名; 如果不是,服务器务必中止握手。
  • 服务器必须验证“renegotiated_connection”字段的值等于保存的client_verify_data值; 如果不是,服务器务必中止握手。
  • 服务器必须包含一个“renegotiation_info”扩展,其中包含ServerHello中保存的client_verify_data和server_verify_data。
  • 握手完成后,服务器需要保存新的client_verify_data和server_verify_data值。





The_Hungry_Brain
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java tsl_java 关于TLS的Renegotiation说明
weixin_34521244的博客
02-16 404
A security vulnerability in all versions of the Transport Layer Security (TLS) protocol (including the older Secure Socket Layer (SSLv3)) can allow Man-In-The-Middle (MITM) type attacks where chosen p...
漏洞修复:TLS Client-initiated重协商攻击(CVE-2011-1473)
u012785397的博客
05-14 2939
修复通过jsse实现的ssl/tls不安全的重协商漏洞。
TLS & SSLv3 renegotiation
03-10
ssl漏洞This paper explains the vulnerability for a broader audience and summarizes the information that is currently available. The document is prone to updates and is believed to be accurate by the time of writing
博客摘录「 绿盟漏洞 :服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】」2024年6月26日
最新发布
l540002038的博客
06-26 648
第一步:按下' Win + R',进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"。第三步:在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在"已启用(E)"。3、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】2、SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】第二步:打开计算机配置->管理模板->网络->SSL配置设置。点击"应用"、"确定",并重启系统实现修复。
TLS 安全重协商扩展
VFSSoft Blogs
11-07 1360
TLS 安全重协商扩展
新的TLS/SSL3.0中间人攻击已公布 - TLS renegotiation attack
cnbird's blog
11-06 1296
刚刚有研究人员公布了一种针对TLS/SSL的中间人攻击, 该攻击1. exploitable (可操作性比较强)2. 目前还没有解决方案, 等待各厂商出补丁.3. 受影响的上层协议包括HTTPS,IMAP, SIP等等. 有人举了下面这个例子来帮助大家理解此洞E.g., the attacker would send: GET /pizza?toppings=peppe
SSL/TLS默认重协商漏洞原理、RFC 5746安全重协商
qq_37432174的博客
01-11 1230
记录个人学习
TLS1.3(RFC8446) - 翻译版 .docx
05-30
TLS 1.3 (RFC8446) - 翻译版 TLS 1.3 是一种安全的 Internet 通信协议,旨在为通信双方提供一个安全的通道。它是 RFC5705 和 RFC6066 的更新版,并淘汰了 RFC5077、RFC5246 和 RFC6961。TLS 1.3 由两个主要部分构成...
ssl_tls协议RFC5246文档_ssl_ssl标准文档_
09-28
RFC5246文档是SSL/TLS协议的最新版本,正式名为“Transport Layer Security (TLS) Protocol Version 1.2”。本文将深入探讨SSL/TLS协议的核心概念、工作流程以及其在RFC5246中的规定。 SSL/TLS协议的主要目标是提供...
RFC6347 DTLS1.2中英对照版
06-02
10. **扩展性**:DTLS1.2允许协议扩展,以支持新的功能或适应未来的技术发展,例如,它可以支持服务器名称指示(SNI)扩展,以在单个IP地址上托管多个SSL/TLS证书。 DTLS1.2协议的广泛应用于物联网设备、无线传感器...
TLS1.2 规范
06-11
描述中提到的“rfc5246 rfc5746 rfc5878 rfc6176”是TCP/IP协议族中的请求评论文档(Request for Comments)编号,它们分别详细定义了TLS1.2的不同方面: 1. RFC5246:这是TLS1.2的主要定义文档,名为《The Transport...
RFC3920 可扩展的消息和出席信息协议 (XMPP): 核心协议
07-29
协议包括了身份验证、错误处理、通道加密(如STARTTLS)、存在(Presence)通信(显示用户状态)以及请求-响应交互等基本元素。XMPP允许客户端和服务器之间的双向通信,支持分布式网络环境。 **2. 全局地址与存在**...
从RFC 5746的角度说Renegotiating的DOS攻击和MITM攻击
edmond999的专栏
11-02 708
最近thc公布的SSL DOS漏洞挺火爆的,加上以前的那个MITM漏洞,估计各个公司都要忙一会儿。MITM漏洞我在《Renegotiating TLS Attack》中描述过,简单地说就是能够在任何使用低版本OPENSSL的系统中构造出一个CSRF攻击,以流量劫持为基础的无视WEB层防御的网络层攻击,有点四维空间攻击三维“智子”的感觉。因为是TLS协议的问题,所以牛人们搞了一个扩展协议Renego
简单分析TLS & SSLv3 renegotiation vulnerability
progliker的专栏
03-05 6831
由于TLS & SSLv3 protocol在描述Renegotiation时存在问题, 使得MITM(man in the middle)攻击成为可能。 一般的TLS handshake :                      Client                                                Server              
OpenSSL-TLS协商
热门推荐
Remy的学习记录
09-08 2万+
一、什么是重协商     大部分TLS连接都以handshake为开始,经过应用数据的交换,最后关闭会话。如果在第一次handshake之后(可能经历了应用数据的交换也可能没有)请求重新协商,就会发起一次新的handshake,对新的安全参数达成一致。重协商的handshake的消息都是全部加密的,这与第一次handshake明显不同。     重协商功能应用场景举例: *) Client证
SSL renegotiation攻击详解
Xizhi Zhu的博客
11-07 1万+
英文不错的朋友可以参看我英文博客上的原文。该攻击利用了SSL协议renegotiation的漏洞,允许攻击者以中间人攻击的方式在通信的起始部分插入任意的选择明文。以下假设你对SSL/TLS的工作方式,尤其是renegotiation比较熟悉,并且对HTTP有基本的了解。第一个场景:当要求客户证书时在理想情况下,服务器会在第一次和客户握手时要求其提供证书。但在现实中,出于种种原因
tls 禁用重协商_SSL/TLS高危不安全重新协商漏洞
weixin_29999895的博客
12-24 2410
关于网站或者应用当中的SSL/TLS协议所存在的不安全漏洞,相应的发布了一篇不安全重新协商漏洞的内容。小凯seo博客将这篇内容转载过来和朋友们分享一下,题目是《SSL/TLS高危不安全重新协商漏洞》,正文部分如下:发布时间:2009年8月漏洞等级:高危漏洞原理:重新协商的漏洞在于新旧TLS连接之间没有连续性,即使这两个连接发生在同一个TCP连接上。也就是说,服务器并不会验证新旧两条TLS连接的另外...
手工测试SSL/TLS的脆弱性
编程岁月
03-01 2183
该文章描绘了主要的SSL/TLS (mis)配置及简单的测试你系统的脆弱性。如下为已考虑到的配置和攻击相关的内容。 SSLv2 Support SSLv3 Support Cipher Suites SSL Certificates Renegotiation Compression Implementation Issues 在二十年以前发布了SSLv2并且就在发布不久后,被发现其存在严重的缺陷,它允许攻击者解密并修改通信流量。在一年之后被替代为SSLv3(已发现这些问题),但是短寿命的S
检测服务器是否开启重协商功能(用于CVE-2011-1473漏洞检测)
weixin_39078334的博客
12-16 4333
背景   由于服务器端的重新密钥协商的开销至少是客户端的10倍,因此攻击者可利用这个过程向服务器发起拒绝服务攻击。OpenSSL 1.0.2及以前版本受影响。 方法   使用OpenSSL(linux系统基本都自带)连接服务器进行测试:     - openssl s_client -connect ip:port     - HEAD / HTTP/1.0     - R 示例   服务器443端口开启重协商,使用openssl s_client -connect 172.31.0.22:44
boringssl如何禁用TLS重新协商功能
02-28
BoringSSL 是 Google 开源的一个用于 SSL/TLS 加密通信的库。如果您想禁用 TLS 重新协商功能,可以通过以下步骤实现: 1. 打开 BoringSSL 源代码,找到文件 `ssl/internal.h`。 2. 在该文件中找到以下代码: ```c #define SSL_OP_NO_RENEGOTIATION 0x400000 ``` 这是一个 SSL 选项常量,它表示禁用 TLS 重新协商功能。 3. 找到使用该常量的代码,通常是在创建 SSL 上下文对象时设置 SSL 选项: ```c SSL_CTX_set_options(ctx, SSL_OP_NO_RENEGOTIATION); ``` 如果您想禁用客户端和服务器端的 TLS 重新协商功能,需要在两个地方都进行修改。 4. 重新编译 BoringSSL 库并更新您的应用程序使用的库版本。 通过这些步骤,您就可以禁用 BoringSSL 中的 TLS 重新协商功能。请注意,这可能会对某些应用程序的功能产生影响,因此在进行更改之前请仔细考虑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值