Tls

TLS_PSK 和完美的前向保密

  • September 28, 2015

我的問題是,對於已經破壞 PSK 並嗅探所有(DT)LS 握手(因此獲得 NONCE)的人來說,獲取加密密鑰有多困難?

我明白 :

獲得預主秘訣是直截了當的

但那麼,主秘MS呢?

因為 MS 是使用 PRF_HMAC_SHA256 計算的,它為每個會話生成不同的 MS,攻擊者重新計算正確的 MS 和加密密鑰有多容易?

假設您正在談論沒有 DH 或 RSA(這是一個選項)的 TLS_PSK,如果攻擊者破壞了 PSK 並觀察隨機數以明確的方式過去,是的,攻擊者可以輕鬆計算主密鑰。

RFC4279 的第 2 節詳細說明瞭如何計算預主密鑰。如果沒有 DH 或 RSA,就沒有,實際上可以沒有*,添加了額外的熵。

master secret 是premaster secret 和握手開始時明文發送的兩個 nonce 的函式。因此,如果握手被擷取,隨機數也會被擷取。所以計算主密鑰的所有輸入都是已知的。

  • 必須共享任何可以添加的額外熵。TLS_PSK 假設 PSK 是雙方之間唯一的共享秘密值。

引用自:https://crypto.stackexchange.com/questions/29455