1. Einführung
1. Einführung
TLS 1.3 [RFC8446] entfernte die Unterstützung für RSASSA-PKCS1-v1_5 [RFC8017] in CertificateVerify-Nachrichten zugunsten von RSASSA-PSS. Obwohl RSASSA-PSS seit langem etabliert ist, unterstützen einige ältere kryptografische Hardwaregeräte es nicht. Diese Geräte sind in TLS-Servern selten, aber TLS-Clients verwenden sie manchmal für Client-Zertifikate.
Trusted Platform Modules (TPMs) werden zum Beispiel häufig verwendet, um private Schlüssel von TLS-Client-Zertifikaten zu schützen. Viele TPMs können keine mit TLS 1.3 kompatiblen RSASSA-PSS-Signaturen erzeugen. TPM-Spezifikationen vor 2.0 definierten keine RSASSA-PSS-Unterstützung, und TPM-2.0-Geräte können nur dann für TLS-1.3-kompatible Salt-Längen als zuverlässig gelten, wenn sie mit US FIPS 186-4 kompatibel sind.
Bereitstellungen, die bei TLS 1.2 bleiben, geben Client-Zertifikate an Netzwerkangreifer preis [PRIVACY] und können Verkehr nicht gegen nachträgliche Entschlüsselung durch einen Angreifer mit einem Quantencomputer schützen [RFC9954]. TLS verhandelt außerdem Versionen vor Client-Zertifikaten, sodass Client und Server TLS 1.3 aushandeln können und später dennoch scheitern, weil der Client einen Legacy-Schlüssel besitzt.
Das Deaktivieren von TLS 1.3 betrifft Verbindungen, die sonst nicht betroffen wären, während externe Fallback-Mechanismen die Sicherheitsanalyse von TLS brechen und Schwachstellen einführen können [POODLE]. Dieses Dokument weist Codepoints für die Verwendung dieser Legacy-Schlüssel mit Client-Zertifikaten in TLS 1.3 zu, verringert damit den Druck, solche Abhilfen zu wählen, und beseitigt ein Hindernis für TLS-1.3-Bereitstellungen.