Протоколы безопасного сетевого взаимодействия

       

Процедура определения новых расширений


Традиционно IANA руководит определением новых значений, RFCs обычно определяют процедуру, используемую IANA. Однако могут возникнуть трудности при взаимодействии в данном протоколе между новыми и существующими возможностями, что может привести к снижению общей безопасности.

Следовательно, запросы на определение новых расширений должны утверждаться стандартными действиями IETF.

При определении новых расширений следует помнить:

  • Все расширения следуют соглашению, в соответствии с которым для каждого расширения, которое запросил клиент и которое понимает сервер, сервер отвечает расширением того же типа.
  • Расширения должны быть разработаны с учетом того, чтобы предотвращать атаки, связанные с манипулированием сообщениями Рукопожатия.

Часто бывает достаточно того, что поля расширения включаются в вычисление хэша в сообщении Finished. Всегда следует помнить, что пока Рукопожатие не аутентифицировано, активные атакующие могут модифицировать сообщения и вставить, удалить или заменить расширения.

  • Технически возможно использовать расширения для изменения главных аспектов разработки TLS, например при разработке переговоров о наборе шифрования. Этого делать не рекомендуется, лучше определить новую версию TLS, так как алгоритмы Рукопожатия TLS имеют специальную защиту против атак rollback, основанных на номере версии, и возможность обратной передачи версии следует тщательно обдумать.



Содержание раздела