Регистрация Войти
Рейтинг:2
Yotam Sofer avatar Crypto

Какой режим работы блочного шифра использует TLS 1.3?

флаг cl
Yotam Sofer

Какой режим работы блочного шифра использует TLS 1.3? Я предполагаю, что это режим блочного шифрования, который обеспечивает аутентификацию (например, GCM).

945
0 + 0
kelalaka avatar
флаг in
kelalaka
О какой версии мы говорим?
0
Ответить
Yotam Sofer avatar
флаг cl
Yotam Sofer
Последняя версия — TLS 1.3
0
Ответить
Maarten Bodewes avatar
флаг in
Maarten Bodewes
Привет Йотам. Несколько советов: вы можете получить отрицательные голоса, если в стандарте прямо указано, что вы ищете; копирование всей информации в стандарте обычно не считается полезным, тем более, что RFC находятся в свободном доступе. Если у вас есть дополнительная информация, например. после комментария, пожалуйста, [отредактируйте] их в своем вопросе вместо того, чтобы использовать комментарии (хотя вы можете оставить комментарий, чтобы уведомить запрашивающую сторону).
1
Ответить
Yotam Sofer avatar
флаг cl
Yotam Sofer
Спасибо! понятно (:
0
Ответить
Рейтинг:13
kelalaka avatar Crypto
флаг in
kelalaka

TLS 1.3 имеет огромную очистку после сбоев. У нас есть только 5 наборов шифров в TLS 1.3 с их идентификаторами:

  • {0x13,0x01} - TLS_AES_256_GCM_SHA384
  • {0x13,0x02} - TLS_CHACHA20_POLY1305_SHA256
  • {0x13,0x03} - TLS_AES_128_GCM_SHA256
  • {0x13,0x04} - TLS_AES_128_CCM_8_SHA256
  • {0x13,0x05} - TLS_AES_128_CCM_SHA256

На текущий момент RFC 8446:

TLS-совместимое приложение ДОЛЖЕН реализовать набор шифров TLS_AES_128_GCM_SHA256 [GCM] и ДОЛЖЕН реализовать наборы шифров TLS_AES_256_GCM_SHA384 [GCM] и TLS_CHACHA20_POLY1305_SHA256 [RFC8439]

Все эти наборы шифров используют режим CTR, AES — псевдослучайную перестановку (PRP), а Chacha20 — псевдослучайную функцию (PRF); как результат, ЧаЧа20 лучше для режима CTR, как и любой PRF.

AES-256 является золотым стандартом и одобрен NIST, и он является квантовым (алгоритм Гровера) (ChaCha также защищен от QC). У AES есть инструкция процессора, известная как Intel AES-NI. Интел также добавил PCLMULQDQ Инструкция от 2014 года по увеличению производительности GCM, поэтому мы увидим его больше, чем другие.

  • GCM (режим счетчика Галуа) является наиболее часто используемым.*.
  • СКК является предпочтительным режимом ограниченных сред.
  • Google предпочитает ChaCha20-Poly1305, и он невосприимчив к временным атакам по своей конструкции.

Обратите внимание, что, в программном обеспечении ChaCha20 превосходит AES и это неудивительно, поскольку он предназначен для процессора.

*GCM сложно использовать правильно, есть много ловушки.

0 + 0
Рейтинг:7
Daniel S avatar Crypto
флаг ru
Daniel S

TLS позволяет очень длинный список наборов шифров. Не каждая реализация будет поддерживать каждый набор шифров. Каждая реализация TLS 1.3 требуется для реализации AES-128-GCM-SHA256, с AES-256-GCM-SHA384 и CHACHA20-Poly1305-SHA256 рекомендуется. Обратите внимание, что ChaCha20 обычно работает как потоковый шифр, поэтому ему не требуется блочный режим.

Какой шифр фактически используется вашим соединением, будет зависеть от конфигурации двух одноранговых узлов, но всегда должна быть возможность выбрать один из обязательных наборов. Статистика использования показывают, что чаще всего используется AES256-GCM-SHA384.

0 + 0
kelalaka avatar
флаг in
kelalaka
rfc8446.html#section-9.1: TLS-совместимое приложение **ДОЛЖНО** реализовывать TLS_AES_128_GCM_SHA256. Набор шифров [GCM] и **СЛЕДУЕТ** реализовать TLS_AES_256_GCM_SHA384. Наборы шифров [GCM] и TLS_CHACHA20_POLY1305_SHA256 [RFC8439] (см.
3
Ответить
Daniel S avatar
флаг ru
Daniel S
@kelalaka Большое спасибо. Я отредактировал ответ соответственно.
0
Ответить
dave_thompson_085 avatar
флаг cn
dave_thompson_085
Почти все из длинного списка наборов шифров предназначены для 1.2 или ниже во многих, но не во всех случаях, а не для 1.3. 1.3 может _только_ использовать наборы, определенные (недавно) для него. (Хотя ClientHello, который предлагает как 1.3, так и более ранние версии, может и должен иметь в своем списке оба типа наборов.)
0
Ответить
Daniel S avatar
флаг ru
Daniel S
@ dave_thompson_085 Верно, но исходный вопрос не предусматривал 1.3. Я не знаю, идет ли внедрение 1.3 [все еще удручающе медленно] (https://sansorg.egnyte.com/dl/SQCPKwqCTi), но многие из этих шифров все еще могут быть там.
0
Ответить
kelalaka avatar
флаг in
kelalaka
@ dave_thompson_085 Я изменил заданный вопрос на ОП, а затем, в соответствии с ответом, изменил вопрос. Без этого было бы размышлять.
0
Ответить
kelalaka avatar
флаг in
kelalaka
Согласно [SSLabs](https://www.ssllabs.com/ssl-pulse/), почти половина может поддерживать 1.3
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.