Проблеми використання SSL/TLS

Автор(и)

  • Тетяна Василівна Бабенко КНУ імені Тараса Шевченка
  • Сергій Васильович Толюпа КНУ імені Тараса Шевченка
  • Вікторія Володимирівна Гречко КНУ імені Тараса Шевченка

DOI:

https://doi.org/10.18372/2410-7840.19.12218

Ключові слова:

захищений сеанс зв’язку, SSL/TLS, інфраструктура відкритих ключів, сертифікати X.509, вразливості, MITM, обмін ключами, SWEET32, DROWN, ROBOT, прикладні бібліотеки SSL/TLS

Анотація

Одним із засобів створення захищеного сеансу зв'язку є використання криптографічного протоколу SSL / TLS. Однак він не гарантує повну захищеність і має свої уразливості і недоліки, які повинні бути проаналізовані і усунені в подальшому. У цій роботі проаналізовано базова термінологія, наведені аспекти, за якими стає можливою атака типу «людина посередині», її варіації, проблема підміни сертифікатів і самоподпісанного сертифікатів, також недоліки аутентифікації, уразливості прикладних бібліотек, проблема обміну ключами, зокрема досліджена вразливість Блейхенбахера, також згадано про проблеми інфраструктури відкритих ключів, проблема інтероперабельності в Україні та недавні уразливості даного протоколу (SWEET32, DROWN, ROBOT). Результатом дослідження є сформований перелік невирішених проблем і рекомендацій щодо підвищення рівня криптостійкості протоколу.

Біографії авторів

Тетяна Василівна Бабенко, КНУ імені Тараса Шевченка

доктор технічних наук, професор кафедри кібербезпеки та захисту інформації факультету інформаційних технологій КНУ імені Тараса Шевченка.

Сергій Васильович Толюпа, КНУ імені Тараса Шевченка

доктор технічних наук, професор кафедри кібербезпеки та захисту інформації факультету інформаційних технологій КНУ імені Тараса Шевченка.

Вікторія Володимирівна Гречко, КНУ імені Тараса Шевченка

студентка кафедри кібербезпеки та захисту інформації факультету інформаційних технологій КНУ імені Тараса Шевченка.

Посилання

Stephen Thomas, "SSL&TSL Essentials, securing the Web", Wiley Computer publishing, 2000.

Cooper, "Standards Track, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL)", RFC 5280, 2008.

M. Georgiev, "The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software", Proceedings of the 2012 ACM conference on Computer and communications security, 2012.

J. Sunshine, S. Egelman, "Crying Wolf: An Empirical Study of SSL Warning Efectiveness", SSYM'09 Pro-ceedings of the 18th conference on USENIX security symposi-um, 2009.

S. Santesson, "X.509 Internet Public Key Infrastruc-ture Online Certificate Status Protocol – OCSP", RFC 6960, 2013.

A. Klein, "Attacks on the RC4 stream cipher", Designs, codes and cryptography, 2008.

С. Леонтьєв, В. Попов, С. Смишляев, "Противо-действие атакам на протокол TLS", Системи високої доступності, 2012.

I. Grigorik, "High Performance Browser Network-ing", O Reilly Media, 2013.

A. Sotirov, M. Stevens, "MD5 considered harmful today: Creating a rogue CA certificate", International Journal of Applied Cryptography, 2009.

T. Zoller, G-Sec, TLS/SSLv3 renegotiation vulnerability explained, University of Luxembourg, 2011.

Ah. Kioon, M. Cindy, Z. Wang, Deb. Das. S., "Analy-sis of MD5 Algorithm in Password Storage", Applied Mechanics and Materials Security, 2013.

N. Aviram, S. Schinzel, J. Somorovsky, N. Heninger, M. Dankel, "DROWN: Breaking TLS using SSLv2", USENIX Security Symposium, 2016.

K. Bhargavan, G. Leurent, "On the Practical (In-) Security of 64-bit Block Ciphers Collision Attacks on HTTP over TLS and OpenVPN", Proceedings of the 2016 ACM SIGSAC Conference on Computer and Commu-nications Security, 2016.

T. Jager, J. Schwenk, J. Somorovsky, "On the Security of TLS 1.3 and QUIC Against Weaknesses in PKCS#1 v1.5 Encryption", Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Secu-rity, 2015.

H. Böck, J. Somorovsky, C. Young, "Return Of Bleichenbacher's Oracle Threat (ROBOT)", Cryptology ePrint Archive: Report 2017/1189, 2017.

##submission.downloads##

Опубліковано

2017-12-11

Номер

Том 19 № 4 (2017)

Розділ

Статті

Ліцензія

Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:

  1. Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.

  2. Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.

  3. Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).