Рейтинг:2

Какой режим работы блочного шифра использует TLS 1.3?

флаг cl

Какой режим работы блочного шифра использует TLS 1.3? Я предполагаю, что это режим блочного шифрования, который обеспечивает аутентификацию (например, GCM).

kelalaka avatar
флаг in
О какой версии мы говорим?
Yotam Sofer avatar
флаг cl
Последняя версия — TLS 1.3
Maarten Bodewes avatar
флаг in
Привет Йотам. Несколько советов: вы можете получить отрицательные голоса, если в стандарте прямо указано, что вы ищете; копирование всей информации в стандарте обычно не считается полезным, тем более, что RFC находятся в свободном доступе. Если у вас есть дополнительная информация, например. после комментария, пожалуйста, [отредактируйте] их в своем вопросе вместо того, чтобы использовать комментарии (хотя вы можете оставить комментарий, чтобы уведомить запрашивающую сторону).
Yotam Sofer avatar
флаг cl
Спасибо! понятно (:
Рейтинг:13
флаг in

TLS 1.3 имеет огромную очистку после сбоев. У нас есть только 5 наборов шифров в TLS 1.3 с их идентификаторами:

  • {0x13,0x01} - TLS_AES_256_GCM_SHA384
  • {0x13,0x02} - TLS_CHACHA20_POLY1305_SHA256
  • {0x13,0x03} - TLS_AES_128_GCM_SHA256
  • {0x13,0x04} - TLS_AES_128_CCM_8_SHA256
  • {0x13,0x05} - TLS_AES_128_CCM_SHA256

На текущий момент RFC 8446:

TLS-совместимое приложение ДОЛЖЕН реализовать набор шифров TLS_AES_128_GCM_SHA256 [GCM] и ДОЛЖЕН реализовать наборы шифров TLS_AES_256_GCM_SHA384 [GCM] и TLS_CHACHA20_POLY1305_SHA256 [RFC8439]

Все эти наборы шифров используют режим CTR, AES — псевдослучайную перестановку (PRP), а Chacha20 — псевдослучайную функцию (PRF); как результат, ЧаЧа20 лучше для режима CTR, как и любой PRF.

AES-256 является золотым стандартом и одобрен NIST, и он является квантовым (алгоритм Гровера) (ChaCha также защищен от QC). У AES есть инструкция процессора, известная как Intel AES-NI. Интел также добавил PCLMULQDQ Инструкция от 2014 года по увеличению производительности GCM, поэтому мы увидим его больше, чем другие.

  • GCM (режим счетчика Галуа) является наиболее часто используемым.*.
  • СКК является предпочтительным режимом ограниченных сред.
  • Google предпочитает ChaCha20-Poly1305, и он невосприимчив к временным атакам по своей конструкции.

Обратите внимание, что, в программном обеспечении ChaCha20 превосходит AES и это неудивительно, поскольку он предназначен для процессора.


*GCM сложно использовать правильно, есть много ловушки.

Рейтинг:7
флаг ru

TLS позволяет очень длинный список наборов шифров. Не каждая реализация будет поддерживать каждый набор шифров. Каждая реализация TLS 1.3 требуется для реализации AES-128-GCM-SHA256, с AES-256-GCM-SHA384 и CHACHA20-Poly1305-SHA256 рекомендуется. Обратите внимание, что ChaCha20 обычно работает как потоковый шифр, поэтому ему не требуется блочный режим.

Какой шифр фактически используется вашим соединением, будет зависеть от конфигурации двух одноранговых узлов, но всегда должна быть возможность выбрать один из обязательных наборов. Статистика использования показывают, что чаще всего используется AES256-GCM-SHA384.

kelalaka avatar
флаг in
rfc8446.html#section-9.1: TLS-совместимое приложение **ДОЛЖНО** реализовывать TLS_AES_128_GCM_SHA256. Набор шифров [GCM] и **СЛЕДУЕТ** реализовать TLS_AES_256_GCM_SHA384. Наборы шифров [GCM] и TLS_CHACHA20_POLY1305_SHA256 [RFC8439] (см.
Daniel S avatar
флаг ru
@kelalaka Большое спасибо. Я отредактировал ответ соответственно.
dave_thompson_085 avatar
флаг cn
Почти все из длинного списка наборов шифров предназначены для 1.2 или ниже во многих, но не во всех случаях, а не для 1.3. 1.3 может _только_ использовать наборы, определенные (недавно) для него. (Хотя ClientHello, который предлагает как 1.3, так и более ранние версии, может и должен иметь в своем списке оба типа наборов.)
Daniel S avatar
флаг ru
@ dave_thompson_085 Верно, но исходный вопрос не предусматривал 1.3. Я не знаю, идет ли внедрение 1.3 [все еще удручающе медленно] (https://sansorg.egnyte.com/dl/SQCPKwqCTi), но многие из этих шифров все еще могут быть там.
kelalaka avatar
флаг in
@ dave_thompson_085 Я изменил заданный вопрос на ОП, а затем, в соответствии с ответом, изменил вопрос. Без этого было бы размышлять.
kelalaka avatar
флаг in
Согласно [SSLabs](https://www.ssllabs.com/ssl-pulse/), почти половина может поддерживать 1.3

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.