Проблеми використання SSL/TLS

Тетяна Василівна Бабенко, Сергій Васильович Толюпа, Вікторія Володимирівна Гречко

Анотація


Одним із засобів створення захищеного сеансу зв'язку є використання криптографічного протоколу SSL / TLS. Однак він не гарантує повну захищеність і має свої уразливості і недоліки, які повинні бути проаналізовані і усунені в подальшому. У цій роботі проаналізовано базова термінологія, наведені аспекти, за якими стає можливою атака типу «людина посередині», її варіації, проблема підміни сертифікатів і самоподпісанного сертифікатів, також недоліки аутентифікації, уразливості прикладних бібліотек, проблема обміну ключами, зокрема досліджена вразливість Блейхенбахера, також згадано про проблеми інфраструктури відкритих ключів, проблема інтероперабельності в Україні та недавні уразливості даного протоколу (SWEET32, DROWN, ROBOT). Результатом дослідження є сформований перелік невирішених проблем і рекомендацій щодо підвищення рівня криптостійкості протоколу.


Ключові слова


захищений сеанс зв’язку; SSL/TLS; інфраструктура відкритих ключів; сертифікати X.509; вразливості; MITM; обмін ключами; SWEET32; DROWN; ROBOT; прикладні бібліотеки SSL/TLS

Посилання


Stephen Thomas, "SSL&TSL Essentials, securing the Web", Wiley Computer publishing, 2000.

Cooper, "Standards Track, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL)", RFC 5280, 2008.

M. Georgiev, "The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software", Proceedings of the 2012 ACM conference on Computer and communications security, 2012.

J. Sunshine, S. Egelman, "Crying Wolf: An Empirical Study of SSL Warning Efectiveness", SSYM'09 Pro-ceedings of the 18th conference on USENIX security symposi-um, 2009.

S. Santesson, "X.509 Internet Public Key Infrastruc-ture Online Certificate Status Protocol – OCSP", RFC 6960, 2013.

A. Klein, "Attacks on the RC4 stream cipher", Designs, codes and cryptography, 2008.

С. Леонтьєв, В. Попов, С. Смишляев, "Противо-действие атакам на протокол TLS", Системи високої доступності, 2012.

I. Grigorik, "High Performance Browser Network-ing", O Reilly Media, 2013.

A. Sotirov, M. Stevens, "MD5 considered harmful today: Creating a rogue CA certificate", International Journal of Applied Cryptography, 2009.

T. Zoller, G-Sec, TLS/SSLv3 renegotiation vulnerability explained, University of Luxembourg, 2011.

Ah. Kioon, M. Cindy, Z. Wang, Deb. Das. S., "Analy-sis of MD5 Algorithm in Password Storage", Applied Mechanics and Materials Security, 2013.

N. Aviram, S. Schinzel, J. Somorovsky, N. Heninger, M. Dankel, "DROWN: Breaking TLS using SSLv2", USENIX Security Symposium, 2016.

K. Bhargavan, G. Leurent, "On the Practical (In-) Security of 64-bit Block Ciphers Collision Attacks on HTTP over TLS and OpenVPN", Proceedings of the 2016 ACM SIGSAC Conference on Computer and Commu-nications Security, 2016.

T. Jager, J. Schwenk, J. Somorovsky, "On the Security of TLS 1.3 and QUIC Against Weaknesses in PKCS#1 v1.5 Encryption", Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Secu-rity, 2015.

H. Böck, J. Somorovsky, C. Young, "Return Of Bleichenbacher's Oracle Threat (ROBOT)", Cryptology ePrint Archive: Report 2017/1189, 2017.


Повний текст: PDF

Посилання

  • Поки немає зовнішніх посилань.


ISSN 2410-7840 (Online), ISSN 2221-5212 (Print)

Ліцензія Creative Commons
Цей твір ліцензовано за ліцензією Creative Commons Із зазначенням авторства - Некомерційна - Без похідних творів 3.0 Неадаптована

РИНЦ SSM WorldCat BASE Національна бібліотека ім. Вернадського Науково-технічна бібліотека НАУ Ulrich's Periodicals Directory

Ulrich's Periodicals Directory