TLS 1.3

TLS 1.3

Название	Transport Layer Security v.1.3
Уровень (по модели OSI)	Сеансовый
Семейство	TLS
Создан в	Март 2018
Назначение протокола	Защита передачи данных
Спецификация	RFC 8446
Основные реализации (клиенты)	Mozilla Firefox и Google Chrome

TLS 1.3 — версия протокола защиты транспортного уровня (англ. Transport Layer Security)^[1], являющаяся седьмой итерацией протокола TLS и его предшественника SSL (англ. Secure Sockets Layer). Протокол предназначен для защиты передаваемых данных между узлами сети, а именно предоставление шифрования, аутентификации и целостности соединения^[2].

Версия 1.3 была утверждена в качестве стандарта 9 августа 2018 года Инженерным советом Интернета (англ. Internet Engineering Task Force, IETF)^[3]^[4].

Установка соединения в TLS 1.3

Процедура установки соединения также называется фазой рукопожатия (англ. Handshake)^[5]. Данная процедура была модифицирована в версии 1.3 и значительно сократила время работы. TLS 1.3 необходима только одна передача в оба конца для установки соединения. В новой версии TLS 1.3 количество переговоров между клиентом и сервером сократилось с четырёх до двух, обмен ключами и схема цифровой подписи через расширение больше не требуются.

Возобновление сеанса 0-RTT

Также в TLS 1.3 была включена система рукопожатий 0-RTT, которая требует ноль циклов для установки соединения . Клиент имеет возможность подключиться к уже посещённому серверу ещё до разрешения от TLS 1.3 обмена данными. Это происходит путём хранения секретной информации, такой как идентификатор сеанса или билеты предыдущих сеансов. Данная система имеет несколько недостатков в безопасности, о которых рассказано в соответствующем разделе.

Схема установки соединения в TLS 1.3

Клиент посылает сообщение ClientHello, состоящее из:^[6]
1. Открытый ключ клиента key_share, полученный по протоколу Диффи-Хеллмана или идентификаторы секретных ключей pre_shared_key, если используется шифрование по заранее заданному секретному ключу, известному обоим узлам сети;
2. Предполагаемый режим обмена секретными ключами psk_key_exchange_modes;
3. Модель алгоритма цифровой подписи signature_algorithms.

Сервер отвечает следующими сообщениями:
1. Ответная часть открытого ключа key_share или выбранный идентификатор секретного ключа pre_shared_key;
2. Серверное сообщение EncryptedExtensions для передачи в зашифрованном виде дополнения, включающие в себя параметры тонкой настройки;
3. При необходимости аутентификации, серверное сообщение CertificateRequest для получения клиентского сертификата;
4. Сертификат сервера Certificate
5. Сообщение Certificate_verify, которое содержит цифровой сертификат сервера;
6. Сообщение о завершении процедуры рукопожатия Finished
Клиент проверяет сертификат сервера, генерирует итоговый секретный ключ (в случае выбора данного способа генерации) и отправляет сообщения:
1. Сообщение о завершении процедуры рукопожатия Finished (формальная отправка для подтверждения);
2. В случае запроса клиентского сертификата отправляет свой сертификат Certificate;
3. Зашифрованное сообщение (с этого момента происходит шифрование данных).

Особенности процедуры Handshake TLS 1.3

Узлы при первой возможности переходят к зашифрованному виду и практически все сообщения в Handshake получаются зашифрованными;
Добавлено серверное сообщение Encrypted Extensions, включающее в себя дополнительные параметры в зашифрованном виде^[7];
Экономия целого полного цикла общения клиента и сервера и как следствие уменьшение времени работы процедуры минимум на 100 миллисекунд.

Улучшения безопасности TLS 1.3

В TLS 1.3 были удалены устаревшие и небезопасные функции, которые присутствовали в предыдущих версиях, такие как:

Алгоритмы шифрования DES и 3DES;
Алгоритмы хэширования MD5 и SHA-1;

Export-шифры и шифр RC4;

Блочный шифр AES в режиме CBC (Cipher Block Chaining).

В новой версии TLS было реализовано свойство Perfect Forward Secrecy, дающее гарантию некомпрометации сеансового ключа без обязательного обмена ключами протоколом RSA^[8]^[9]. Уменьшена потенциальная вероятность неправильной настройки протокола из-за его упрощения с точки зрения администрирования. Как писалось ранее, общение межу узлами сети почти сразу происходит в зашифрованном виде, благодаря чему увеличивается криптонадежность протокола^[10].

Кроме этого, в новой версии поддерживается протокол шифрования HCDH и может не затрагивать протокол обмена ключами на основе протокола DH.

Уязвимости TLS 1.3

В новой версии протокола исправлено большинство недостатков и уязвимостей предыдущих версий, однако на данный момент обнаружено несколько уязвимостей в безопасности:

Существует несколько проблем безопасности в сеансах возобновления 0-RTT:
- Отсутствие полной прямой секретности. То есть в случае компрометации ключей сеанса, злоумышленник может расшифровать данные 0-RTT, отправленные клиентом на первом этапе. Данная проблема решается постоянным изменением ключей сеанса^[11].
- Отсутствие гарантии запрета повторного подключения. Если злоумышленнику каким-то образом удастся завладеть вашими зашифрованными данными 0-RTT, он может обмануть сервер и заставить его поверить в то, что запрос пришёл с сервера, поскольку у него нет возможности узнать, откуда пришли данные. Отправка подобных запросов несколько раз называется атака повторного воспроизведения.
Неполный отказ от RSA, из-за которого появляется возможность скомпрометировать обмен ключами через утекающие процессорные кэши. Данная уязвимость была использована для проведения новой вариации атаки Блейхенбахера, которая была изложена группой специалистов в статье.
Уязвимость при работе с функционалом URL программного обеспечения Cisco Firepower Threat Defense. Злоумышленник может без прохождения проверки подлинности обойти блокировку трафика для определённых URL-адресов^[12]. Злоумышленник может воспользоваться этой уязвимостью, отправив созданные подключения TLS 1.3 на уязвимое устройство. Успешный эксплойт может позволить злоумышленнику обойти защиту TLS 1.3 и получить доступ к URL-адресам, которые находятся за пределами уязвимого устройства. Уязвимость вызвана логичной ошибкой обработки Snort-соединений в протоколе TLS 1.3.
Зачастую оба узла соединения поддерживают старую версию TLS с набором шифров, поддерживающим обмен ключами RSA. Используя этот факт, злоумышленник может внедрить вредоносный JavaScript файл в браузер клиента через вредоносную точку доступа по типу Wi-Fi. Внедрённый файл создаёт специальный HTTPS-запрос, включающий в себя обход посредника для прослушивания зашифрованных данных^[13]. Данная уязвимость даёт возможность проведения криптографических атак Zombie POODLE и GOLDENDOODLE Attack^[13].

Совместимость с предыдущими версиями

В версии TLS 1.3 набор шифров (Cipher Suites) был существенно уменьшен по сравнению с версией TLS 1.2 и принадлежит классу шифров AEAD^[14]. Данные наборы регистрируются и хранятся в специальном реестре TLS IANA^[15], в котором присваивается уникальный идентификационные номер. Из-за этого у протокола версии 1.3 отсутствует обратная совместимость с более ранними версиями даже при использовании одинаковых наборов шифров^[16].

Доступные наборы шифров для TLS 1.3:

TLS_AES_128_CCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_CCM_8_SHA256

Поддерживающие TLS 1.3 версии браузеров

На данный момент протокол TLS 1.3 поддерживается следующими браузерами и версиями^[17]:

	Минимальные	Рекомендуемые
Google Chrome	67	70 или выше
Mozilla Firefox	60	63 или выше
Android Chrome	1.3	в 70 версии
Samsung Internet	6.2	7.2

Примечания

↑ ГОСУДАРСТВЕННЫЙ СТАНДАРТ СТБ 34.101.65-2014
↑ TLS (рус.) // Википедия. — 2021-12-08.
↑ Sectigo (неопр.). sectigo.com. Дата обращения: 7 декабря 2021. Архивировано 28 сентября 2020 года.
↑ IETF утверждает TLS 1.3 в качестве Интернет-Стандарта (рус.). Anti-Malware.ru (26 марта 2018). Дата обращения: 7 декабря 2021. Архивировано 6 декабря 2021 года.
↑ Варвара Николаева. Что такое TLS-рукопожатие и как оно устроено (рус.). Tproger (2 июля 2019). Дата обращения: 7 декабря 2021. Архивировано 7 декабря 2021 года.
↑ Eric Rescorla. The Transport Layer Security (TLS) Protocol Version 1.3. — Internet Engineering Task Force, 2018-08. — № RFC 8446. Архивировано 26 ноября 2021 года.
↑ A Walkthrough of a TLS 1.3 Handshake (неопр.). commandlinefanatic.com. Дата обращения: 8 декабря 2021. Архивировано 1 ноября 2021 года.
↑ Kim Crawley. What Forward Secrecy Does For TLS 1.3 | Venafi (англ.). www.venafi.com. Дата обращения: 7 декабря 2021. Архивировано 8 декабря 2021 года.
↑ RSA Vulnerabilities (неопр.). paginas.fe.up.pt. Дата обращения: 7 декабря 2021. Архивировано 8 декабря 2021 года.
↑ Why use TLS 1.3? | SSL and TLS vulnerabilities (англ.). Дата обращения: 7 декабря 2021. Архивировано 7 декабря 2021 года.
↑ TLS 1.3 Handshake: Taking a Closer Look (амер. англ.). Hashed Out by The SSL Store™ (20 марта 2018). Дата обращения: 7 декабря 2021. Архивировано 4 декабря 2021 года.
↑ NVD - CVE-2020-3285 (неопр.). nvd.nist.gov. Дата обращения: 7 декабря 2021. Архивировано 6 декабря 2021 года.
↑ ¹ ² ddos. New TLS 1.3 protocol vulnerability, thousands of websites face data leakage risks (амер. англ.). InfoTech News (15 февраля 2019). Дата обращения: 7 декабря 2021. Архивировано 6 декабря 2021 года.
↑ Cipher suites — Edge certificates (англ.). Cloudflare Docs. Дата обращения: 7 декабря 2021. Архивировано 7 декабря 2021 года.
↑ Transport Layer Security (TLS) Parameters (неопр.). www.iana.org. Дата обращения: 7 декабря 2021. Архивировано 21 декабря 2016 года.
↑ Как работает TLS, в технических подробностях (неопр.). tls.dxdt.ru. Дата обращения: 7 декабря 2021. Архивировано 15 ноября 2021 года.
↑ TLS 1.3 - Support Tables - W3cubDocs (неопр.). docs.w3cub.com. Дата обращения: 7 декабря 2021. Архивировано 4 декабря 2021 года.

Ссылки

E. Rescorla. The Transport Layer Security (TLS) Protocol Version 1.3 // IETF Datatracker. — 2018. — 1 August. — ISSN 2070-1721.
Александр Венедюхин, Ключи, шифры, сообщения: как работает TLS (Техническое описание TLS), 04/09/2015
Benjamin Dowling, Marc Fischlin, Felix Günther, Douglas Stebila. A Cryptographic Analysis of the TLS 1.3 Handshake Protocol // Cryptology ePrint Archive. — 2021. — 22 February.
Taking Transport Layer Security (TLS) to the next level with TLS 1.3
Patrick Nohe. TLS 1.3: A Complete Overview (англ.) (16 июля 2019).

Основные протоколы TCP/IP по уровням модели OSI
Физический	Ethernet RS-232 EIA-422 RS-449 RS-485
Канальный	Ethernet PPPoE PPP L2F 802.11 Wi-Fi 802.16 WiMax Token Ring ARCNET FDDI HDLC SLIP ATM CAN DTM X.25 Frame Relay IEEE 802.1aq SMDS STP ERPS ARP
Сетевой	IPv4 IPv6 IPsec ICMP IGMP RARP RIP2 OSPF EIGRP GRE IPX
Транспортный	TCP (Crypt) UDP SCTP DCCP RDP/RUDP RTP SPX TLS 1.3
Сеансовый	ADSP H.245 iSNS NetBIOS PAP RPC L2TP PPTP RTCP SMPP SCP ZIP SDP
Представления	XDR SSL TLS
Прикладной	BGP HTTP(S) DHCP IRC Gopher Finger SNMP DNS(SEC) NNTP XMPP SIP IPP NTP SNTP Электронная почта SMTP POP3 IMAP4 Передача файлов FTP TFTP SFTP FTPS WebDAV SMB Удалённый доступ rlogin Telnet SSH RDP
Другие прикладные	Bitcoin OSCAR MTProto Multicast FTP Multisource FTP BitTorrent Gnutella Skype
Список портов TCP и UDP

Механизмы безопасности в Интернете

Шифрование и фильтрация трафика

Физический уровень	Физическая изоляция
Канальный уровень	Network interface layer security^[en] PPP Криптошлюз Управляемый коммутатор
Сетевой уровень	IPsec Multicast encryption^[en] NAT SKIP SPI Virtual routing and forwarding^[en] Пакетный фильтр
Транспортный уровень	ESP NBAR ObsTCP^[en] SRTP SSTP^[en] Tcpcrypt Прокси-сервер TLS 1.3
Сеансовый уровень	L2TP MPPE PPTP Шлюз сеансового уровня
Представительский уровень	DTLS SSL STARTTLS TLS
Прикладной уровень	ALG DNSCrypt^[en] DNSCurve^[en] DoH DoT DNSSEC FTPS HSTS HTTPS MSE/PE/PHE^[en] QUIC SCP SFTP S-HTTP^[en] SILK S/MIME SSH XMPP Файрвол веб-приложений