Điểm:1

Phiên bản rollback ngăn chặn cuộc tấn công trong TLS 1.2?

lá cờ cn

Có bất kỳ phương pháp nào để ngăn chặn cuộc tấn công khôi phục phiên bản trong khi sử dụng TLS 1.2 (ngoài việc vô hiệu hóa các phiên bản thấp hơn) không? Tôi đã đọc về cách TLS 1.3 cung cấp cơ chế bảo vệ hạ cấp được nhúng trong nonce ngẫu nhiên của máy chủ.Có cơ chế nào như vậy trong TLS 1.2 không?

kelalaka avatar
lá cờ in
Theo như tôi biết, không
Điểm:2
lá cờ cn

phục hồi bằng cách giả mạo trao đổi ClientHello/ServerHello được phát hiện và chặn bởi Đã hoàn thành trong tất cả các phiên bản của TLS. Đối với trao đổi khóa RSA đơn giản, phiên bản máy khách còn bị 'lậu' trong bí mật premaster được mã hóa cho phép phát hiện sớm hơn - nhưng kể từ đầu những năm 2010 (thanh thiếu niên?), RSA đơn giản hầu như không được dùng nữa hoặc bị loại bỏ vì nó không cung cấp Bảo mật chuyển tiếp. Đối với (tất cả) bộ sử dụng xác thực ứng dụng khách trong TLS 1.0-1.2, chữ ký ứng dụng khách cũng bao gồm bản ghi bao gồm cả phiên bản, do đó phát hiện quay lui, nhưng sử dụng xác thực ứng dụng khách là tùy chọn và hiếm.

hạ cấp bằng cách làm cho phiên bản cao hơn bắt tay không thành công để khách hàng được khuyến khích sử dụng (và chấp nhận) một phiên bản thấp hơn thay đổi.

TLS 1.0-1.2 chỉ định kiểm tra chống hạ cấp đến SSLv2 bằng cách đặt các byte thấp của bí mật tiền xử lý trước khi mã hóa trong trao đổi khóa RSA đơn giản (là trao đổi khóa duy nhất trong SSLv2); đây là E.2 trong RFC 2246 và 4346 và E.3 trong RFC 5246. Nhưng vào giữa những năm gần đây, khi 1.1 và 1.2 được thông qua, thực tế là mọi người/mọi thứ đã bỏ SSLv2 và nó đã bị RFC6176 chính thức cấm vào năm 2011, vì vậy điều này đã trở thành tranh cãi. (Java JSSE cho đến j7 năm 2011 được sử dụng theo mặc định là 'chuyển tiếp' định dạng xin chào từ SSLv2, nhưng JSSE không bao giờ hỗ trợ giao thức SSLv2 thực tế.)

Đối với TLS 1.0-1.2 RFC 7507 vào năm 2015 xác định SCSV để phát hiện hạ cấp (và được tham chiếu trong RFC8446, kết hợp mã cảnh báo).

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.