Appendix F. Security Analysis (安全性分析)

本附录提供TLS 1.2协议的安全性分析.

F.1. Handshake Protocol (握手协议)

F.1.1. Authentication and Key Exchange (认证和密钥交换)

TLS握手协议的核心安全目标是:

1. 认证: 验证通信对等方的身份
2. 密钥协商: 安全地建立共享秘密
3. 完整性: 确保握手消息未被篡改

F.1.1.1. Anonymous Key Exchange (匿名密钥交换)

不推荐使用匿名密钥交换!

匿名Diffie-Hellman (DH_anon) 密码套件不提供认证:

• 易受中间人攻击
• 仅在特定受控环境中使用
• 生产环境应避免使用

安全风险:

客户端 <---> 攻击者 <---> 服务器
         |         |
         两个独立的DH交换
         客户端认为在和服务器通信
         服务器认为在和客户端通信
         实际上都在和攻击者通信

F.1.1.2. RSA Key Exchange and Authentication (RSA密钥交换和认证)

RSA密钥交换提供:

• 服务器认证 (通过证书)
• 可选的客户端认证
• 预主密钥的保密传输

安全特性:

• 服务器证书由可信CA签名
• 客户端验证证书链
• 预主密钥用服务器公钥加密
• 只有服务器私钥持有者可以解密

限制:

• 不提供前向保密性 (Forward Secrecy)
• 如果服务器私钥泄露, 过去的会话可能被解密

F.1.1.3. Diffie-Hellman Key Exchange with Authentication (带认证的Diffie-Hellman密钥交换)

DHE (临时Diffie-Hellman) 提供:

• 服务器认证
• 前向保密性
• 更强的安全保证

安全优势:

1. 前向保密性:

   • 每个会话使用新的临时密钥对
   • 即使长期密钥泄露, 过去的会话仍然安全

2. 认证:

   • DH参数由服务器私钥签名
   • 客户端验证签名

推荐使用: DHE和ECDHE (椭圆曲线DHE) 密码套件是现代TLS部署的推荐选择.

F.1.2. Version Rollback Attacks (版本回退攻击)

TLS使用多层防护防止版本回退:

1. ClientHello和ServerHello中的版本:

   • 明确指示协商的版本
   • Finished消息包含这些值的哈希

2. Finished消息:

   • 包含所有握手消息的MAC
   • 任何修改都会导致验证失败

3. TLS_FALLBACK_SCSV (RFC 7507):

   • 额外的信号机制
   • 防止降级攻击

F.1.3. Detecting Attacks Against the Handshake Protocol (检测针对握手协议的攻击)

TLS提供以下机制检测攻击:

1. 消息完整性:

   • Finished消息验证整个握手
   • PRF确保密码学强度

2. 证书验证:

   • 完整的证书链验证
   • 主机名检查
   • 吊销检查

3. 时序攻击防护:

   • 恒定时间操作
   • 统一的错误处理

F.1.4. Resuming Sessions (会话恢复)

会话恢复的安全考虑:

安全特性:

• 重用主密钥
• 减少计算开销
• 新的随机数确保密钥独特性

潜在风险:

• 会话票据的安全存储
• 票据加密密钥的保护
• 适当的超时设置

建议:

• 限制会话生命周期
• 定期轮换票据加密密钥
• 实现会话吊销机制

F.2. Protecting Application Data (保护应用数据)

F.2.1. 数据机密性

TLS提供:

• 强加密算法 (AES等)
• 每记录唯一的密钥材料
• 完整性保护 (MAC或AEAD)

F.2.2. 数据完整性

每个TLS记录包括:

• MAC (对于传统密码套件)
• 认证标签 (对于AEAD密码套件)
• 序列号 (防止重放)

F.3. Explicit IVs (显式IV)

TLS 1.2使用显式IV解决TLS 1.0中的BEAST攻击:

TLS 1.0问题:

• 使用前一个密文块作为下一个记录的IV
• 可预测的IV允许选择明文攻击

TLS 1.2解决方案:

• 每个记录包含随机生成的显式IV
• IV不再可预测
• 缓解BEAST攻击

F.4. Security of Composite Cipher Modes (复合密码模式的安全性)

F.4.1. CBC模式

已知问题:

• 填充预言攻击 (Padding Oracle Attacks)
• Lucky 13时序攻击
• BEAST攻击 (TLS 1.0)

缓解措施:

• TLS 1.2使用显式IV
• 恒定时间填充验证
• 统一错误消息

F.4.2. AEAD模式

优势:

• 同时提供机密性和认证
• 不受填充预言攻击影响
• 更简单的实现
• 更好的性能

推荐: 现代部署应优先使用AEAD密码套件 (GCM, CCM, ChaCha20-Poly1305).

F.5. Denial of Service (拒绝服务)

TLS握手相对昂贵, 可能被用于DoS攻击.

F.5.1. 攻击向量

• 大量握手请求
• 资源耗尽 (CPU, 内存)
• 证书验证开销

F.5.2. 缓解策略

服务器端:

• 速率限制
• 客户端谜题 (Client Puzzles)
• 会话恢复优先
• 资源限制

网络层:

• SYN cookies
• 连接限制
• 防火墙规则

F.6. Final Notes (最后说明)

F.6.1. 已知限制

TLS 1.2不能防止:

• 端点被入侵
• 证书颁发机构被攻破
• 弱密码选择
• 社会工程攻击

F.6.2. 最佳实践

1. 保持更新:

   • 关注安全公告
   • 及时更新实现
   • 禁用弱算法

2. 配置管理:

   • 使用强密码套件
   • 启用所有安全功能
   • 定期审计配置

3. 监控和响应:

   • 记录安全事件
   • 监控异常模式
   • 准备事件响应计划

F.6.3. 迁移到TLS 1.3

TLS 1.3 (RFC 8446) 提供:

• 更简化的握手
• 更强的安全保证
• 移除弱算法
• 改进的性能

建议: 新部署应考虑使用TLS 1.3, 同时保持TLS 1.2向后兼容性.

---

注意: 完整的安全性分析和详细讨论, 请参考RFC 5246附录F的完整文本. 还应参考RFC 7457 (总结TLS和DTLS的已知攻击) 以了解最新的安全考虑.