Hivatalos blog
뚠뚠멍의 생각들

TLS alapos vizsgálata

  • Írás nyelve: Koreai
  • Országkód: Minden országcountry-flag
  • Informatika

Létrehozva: 2024-10-27

Létrehozva: 2024-10-27 21:31

A 2020-as év környékén a TLS1.1 támogatása megszűnt,

így szükségessé vált a régi szerverek ellenőrzése.


Ha a TLS1.1-et megtartjuk, akkor az AWS, Azure és egyéb felhőszolgáltatások közötti kommunikáció során hiba léphet fel, vagy

fizetési vagy egyéb külső API-kommunikáció során hiba léphet fel, vagy a böngésző verziójától függően problémák merülhetnek fel.


Tomcat

- Úgy tűnik, hogy a 6.x-es verzió és az azalatti verziók nem támogatják a TLS1.2-t. A Java 7 vagy újabb JRE segítségével át kell állítani TLS1.2-re.

https://docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html

Nginx

- Úgy tűnik, hogy az 1.1.13-as verzió támogatja a TLS1.2-t.

https://nginx.org/en/CHANGES-1.2


A TLS működése

Client Hello: A kliens kapcsolódási kérelmet küld a szerverre. (Tartalmazza a támogatott TLS-verziókat és titkosítási algoritmusokat).

Server Hello: A szerver elküldi a használandó TLS-verziót, a titkosítási algoritmusokat és az SSL-tanúsítványt a megbízhatóság igazolására.

Kulcscsere és munkamenet-kulcs létrehozása: A kliens és a szerver kulcscsere algoritmus segítségével létrehoz egy megosztott munkamenet-kulcsot.

Befejező üzenet: A kliens és a szerver elküldi a saját kulcsával titkosított befejező üzenetet.

Adatátvitel: A munkamenet-kulcs segítségével titkosítják és küldik az adatokat.

Bezárás: Az adatátvitel befejezése után lezáró üzenetet küldenek egymásnak, és törlik a munkamenet-kulcs információit.


Mi a különbség a TLS 1.2 és 1.1 között?

A TLS egy átviteli szintű biztonsági protokoll, amely az HTTPS alapja. Hitelesítést, integritást és titkosítást biztosít.

Az 1.2 állítólag biztonsági és teljesítmény szempontjából is jobb, mint az 1.1.

- Az 1.1 md5 és sha-1 hash algoritmusokat használ.

- Az 1.1 sebezhető a BEAST, Man-in-the-middle és Cipher Suite támadásokkal szemben.

* BEAST: A támadó lehallgatja a HTTPS kapcsolatot, és rosszindulatú tartalmat juttat be.

* Man-in-the-middle: A támadó lehallgatja a kommunikációt, és ellopja az adatokat.

- Az 1.2 sha-256 algoritmust használ. (Erősebb biztonsági algoritmus).

- Az 1.2 támogatja a GCM (Galois/Counter Mode) titkosítási algoritmusokat, amelyek egyszerre végzik a titkosítást és a hitelesítést, így gyorsabbak.


Cipher Suite (Titkosítási algoritmusok)

Minden szükséges titkosítási mechanizmust tartalmaz, amely lehetővé teszi az adatcserét a kliens és a szerver között, és 4 részből áll.

1. Kulcscsere algoritmus

- Biztonságos módszer a megosztott titkos kulcs cseréjére. pl.: RSA, Diffie-Hellman

2. Hitelesítési algoritmus

- Tanúsítvány segítségével ellenőrzi, hogy a szerver megbízható-e. pl.: RSA és egyéb nyilvános kulcsok

3. Szimmetrikus titkosítási algoritmus

- A munkamenet során az adatok titkosítására és a kliens és a szerver azonos munkamenet-kulccsal történő visszafejtésére szolgál. pl.: AES

4. Üzenet-hitelesítési kód

- Az adatok integritásának ellenőrzése. pl.: HMAC-SHA256

A titkosítási algoritmus a fenti négy elem kombinációja.


Téma

  • #TLS

Hozzászólások0