您需要了解TLS 1.3协议和WOLFSSL的SSL / TLS库
2018年9月10日通过也许她杜波依斯与通信协议一样,安全协议目前在制定行业标准方面处于竞争状态。什么是TLS 1.3协议?此安全协议与SSL有何不同?
与通信协议一样,安全协议目前在制定行业标准方面处于竞争状态。什么是TLS 1.3协议?此安全协议与SSL有何不同?
wolfSSL是一家专注于嵌入式系统安全解决方案的安全公司,最近宣布在用于服务器和客户端的wolfSSL嵌入式SSL/TLS库中支持TLS 1.3(传输层安全协议1.3)。
它是第一批支持新协议的库之一,beta版从5月就发布了。TLS 1.3的重要意义在于其更健壮的安全性和提高的速度。该协议于2018年3月早些时候由互联网工程任务组(IETF)批准,IETF是一个开发和促进TCP/IP开放标准的组织,用户自愿遵循这些标准。IETF在两年的时间里审议了TLS 1.3的细节,在草案28。
截至2018年8月,该议定书已正式公布为TLS 1.3,预计将成为基于互联网的互联态沟通的默认值。
图片由wolfSSL。
TLS是什么?SSL发生了什么?
TLS协议最早由IETF于1999年建立,主要目的是防止网络上客户端和服务器之间的通信被篡改和窃听。这些年来,我们在互联网上交流的方式已经发生了变化,所交流信息的敏感性也随之改变。为了解决已知的安全问题,并适应不断发展的通信环境,TLS自成立以来已经进行了多次更新:第一次是在2008年,然后是2011年,最近一次是在2018年。
TLS在通信协议中有点异常,因为它不是TCP/IP模型的正式部分,也不是开放系统互连(OSI)模型的一部分。这些模型描述了计算机通过网络进行通信的标准,因此只要遵守这些标准,不同的系统就可以一起工作。TLS仅在传输层之上运行,或作为传输层本身运行。
TLS通过确保三件事来保证两个系统之间的通信安全:
- 连接是安全和私有的(加密)
- 可以通过验证沟通方的身份
- 可以验证传输的真实性以确保篡改,并且没有发生数据丢失
在服务器和客户端之间的通信之前,必须完成握手,这是达成共享密钥和加密类型的阶段。然后,此共享秘密和所选择的加密类型将用于加密和解密传输,直到连接关闭。
在TLS之前,有安全套接字层(SSL)。SSL 1.0从未公开发布过,但SSL 2.0在1995年发布,SSL 3.0在1996年发布。TLS是基于SSL 3.0构建的。
正如每个TLS版本都解决了安全问题一样,SSL也是如此,直到所有SSL协议被IETF声明为不赞成为止。
值得注意的是,SSL和TLS都是协议,对证书(身份证书和权威证书)没有影响,证书可以用于任何一种协议。
在TLS 1.3引擎盖下
那么是什么让TLS 1.3与TLS 1.2不同?TLS 1.3的两个最吹捧的特征是增强的安全性和改进的性能,通过变化的组合实现。
更快的握手
第一个值得注意的区别是,当使用仅服务器身份验证时,客户机和服务器之间的初始握手需要更少的一次往返,然后连接才能传输应用程序数据。这是通过更改在握手期间发送特定消息的顺序以及加密发生的时间来实现的。通过重新安排操作,使独立的操作可以同时执行,减少了等待的时间。
TLS 1.2握手协议。图片由wolfSSL。
TLS 1.3握手协议。图片由wolfSSL。
0-RT模式
对于第一次连接的服务器和客户端,由于握手更快,连接更快地安全。但是,当服务器和客户端正在恢复连接时(例如,访问网站,简要留下,然后返回),默认情况下,TLS 1.3不比TLS 1.2更快。但是,支持0-RTT模式,允许使用预共享密钥进行恢复,
注意事项大约0-RT模式:它无法提供全向前保密(过去无法解密或重放),并且可以重放0-RTT消息。但是,在具有高延迟的网络上,0-RT可以显着加速传输时间,并且对移动设备特别有用。
加密,算法和密码
加密和Cypher套房的选项和处理也发生了变化。已经从受支持的算法列表中删除了许多传统加密算法,仅使用关联的数据(AEAD)算法后面的经过身份验证的加密。这增强了安全性,并且在某些情况下,性能也是如此。
通过删除Diffie-Hellman和静态RSA密码套件来维护转发的保密,并且在服务器Hello步骤后发送的所有消息都是加密的。
WOLFSSL对TLS的彻底审查1.3 VS TLS 1.2表现六个博客系列的网站。
沃尔夫斯尔图书馆
wolfSSL对TLS 1.3的支持涵盖了相当多的基础。
wolfCrypt加密支持FIPS 140-2加密,FIPS 140-2加密是政府认证的加密标准,符合NIST (National Institute of Standards and Technology)准则。到今年夏天为止,wolfSSL库是迄今为止唯一一个同时提供TLS 1.3和FIPS 140-2支持的库。
还支持Stunnel TLS代理,该代理也允许现有服务器和客户端建立两年的连接,而无需更改程序的源代码。这对于确保电子邮件交换,远程Shell连接和Web托管的连接非常有用。
保持网络通信安全肯定是社区的工作,因为IETF等组织的工作明显,以及像沃尔夫斯尔这样的公司。
