web-dev-qa-db-fra.com

Pourquoi TLS 1.3 déprécent des groupes DHE personnalisés?

Selon le deuxième projet de Spécification TLS 1. , des groupes DH personnalisés ont été obsolètes. Comme nous le savons tous, les groupes DH codés sont vulnérables à une attaque de précompception qui permet un décryptage rétroactif. Étant donné que TLS 1.3 ne se déprécite pas de DH pour un échange clé entièrement, j'imagine que cela signifie qu'il redeviendra aux groupes standard (par exemple des groupes Oakley). Dans cet esprit, pourquoi TLS 1.3 déprécent des groupes DH personnalisés? Pourquoi ne pas faire le contraire et les dépréciter des groupes standard, ou même se déprécier tous les échanges clés DH pour faire place au CEC?

10
forest

Avec TLS 1.2, le serveur a d'abord nécessaire de dire au client dans le message ServerKeyExchange sur les paramètres du groupe DHE qu'il prend en charge. Ce n'est qu'alors que le client pourrait agir sur ceux-ci. Avec TLS 1.3, le client choisit plutôt d'un ensemble de groupes nommés du début. Étant donné que le client choisit maintenant les groupes au lieu du serveur, l'échange de clé peut commencer immédiatement (toutes les informations sont connues du démarrage) qui réduit une RTT complète de la poignée de main, entraînant une meilleure performance.

Bien sûr, en théorie, on pourrait également avoir des groupes personnalisés de cette façon, seulement que le client définit ces groupes cette fois et non le serveur. Je ne trouve aucune information spécifique Pourquoi les groupes personnalisés où ils ont été supprimés, mais cela semblait avoir lieu lors de certaines réunions intermédiaires au milieu de 2014 sur la base ce message dans la liste de diffusion TLS . Je ne trouve aucune information à ce sujet sur la réunion officielle au 03/2014 ni sur le suivant au 07/2014 .

Mais certaines informations sur le papier journaux indiscret: Persistant Diffie-Hellman Backdoors dans TLS à partir de 2016 pourraient indiquer dans la bonne direction. Ce document aborde des porte-gouchins déniables à l'aide de groupes DH personnalisés et dans VII. Discussion A. Stratégies d'atténuation Diverses stratégies sont discutées pour empêcher de tels backdoors, tels que désactivant la DHE complètement ou en utilisant uniquement des groupes dh connus (nommés) similaires à ce qui se fait avec CEC. Si la suppression complète de DHE n'est pas une option, un ensemble fixe de paramètres DHE nommés ressemble au moyen le plus simple de gérer ce problème.

9
Steffen Ullrich