🥇Първо издание на имплементацията на протокола TLS 1.3 в Java с GOST алгоритми в съответствие с RFC 9367

Модул крипто-гост-тлс13 съдържа имплементацията TLS 1.3 (RFC 8446 + RFC 9367) с GOST криптография. Тази версия е първоначалната версия на библиотеката и е готова за вътрешна употреба.

Уникална характеристика на библиотеката е нейната чиста Java имплементация. Всички криптографски операции се извършват с помощта на вградените инструменти на библиотеката, без външни зависимости.

Това е една от първите реализации с отворен код на TLS 1.3 с GOST в Java, така че тестовете за взаимодействие са сведени до минимум.

По-долу са посочени възможностите на библиотеката.

Протоколи:

Ръкостискане: пълно (клиент/сървър), кратко (PSK), взаимно (mTLS).
ALPN (RFC 7301) - Договаряне на протокола на приложния слой (HTTP/2, HTTP/1.1).
SNI (RFC 6066) - Индикация на име сървър за внедрявания с множество наематели.
KeyUpdate (RFC 8446 §4.6.3) – актуализиране на ключове за криптиране на трафика.
Комплекти за шифроване: TLS_KUZNYECHIK_MGM_STREEBOG_256_L/S.
ECDHE: CryptoPro-A (256-битов), CryptoPro-B (512-битов)
TLSTREE повторно кодиране на всеки запис — промяна на ключа за криптиране за всеки TLS запис.
Фрагментиране и повторно сглобяване на ръкостискания и записи (RFC 8446 §5.1).
Възобновяване на сесията: PSK чрез NewSessionTicket (PskStore in-memory, еднократна употреба).
OCSP телбодиране: сървър добавя OCSP отговора към сертификата.
Съобщения след ръкостискане: NewSessionTicket (запазване за PSK).

Криптография:

Ключов график: HKDF-Streebog (RFC 5869) през TLS 1.3 (RFC 8446 §7.1).
Защита на записа: MGM-AEAD (Kuznyechik) с nonce съгласно RFC 8446 §5.3.
Ефимерните ключове се изтриват след употреба.

Сертификати:

X.509v3 парсинг (ГОСТ Р 34.10-2012) — вграден DER парсер.
Верига за валидиране: подписи, DN (издател → тема), основни ограничения, използване на ключ, разширено използване на ключ (serverAuth / clientAuth), pathLen.
Проверка на името на хоста: dNSName + iPAddress (RFC 6125).
Проверка на OCSP отговорите (RFC 6960).

4.транспорт:

TlsTransport - интерфейс.
InMemoryTlsTransport - за тестове и сценарии с един процес (опашка в паметта).
SocketTlsTransport — блокиране на входно/изходни операции през java.net.Socket.
ChannelTlsTransport - Транспорт, базиран на NIO SocketChannel (блокиращ режим, прекъсваем).

Ръкостискане стъпка по стъпка:

TlsHandshakeEngine е машина на състоянията за ръкостискане (отделена от I/O). Тя използва TlsSession като оркестратор и е подходяща за интеграция с JSSE (SSLEngine).

API на ByteBuffer:

TlsRecord.protect/unprotect — Претоварвания на ByteBuffer за интеграция с нулево копие с NIO. Зареждане на ключове:
Pkcs12Loader — четене на PFX (PKCS#12) с PBKDF2-HMAC-SHA256 + AES-256-CBC.

Край на сесията:

close_notify - правилно затваряне съгласно протокола.
Избърсване на ключов материал при затваряне или допускане на грешка.
Тревога при обработка: фатална - незабавно затваряне + изтриване.

Сигурност на внедряването:

Сравнения с постоянно време за verify_data и PSK свързващи устройства (защита срещу атаки, свързани с времето)
Изтриване на ключов материал: destroy() на всички обекти с ключове (TlsKeySchedule, TlsTrafficKeys, TlsRecord, HandshakeContext), при затваряне, фатално предупреждение, изключение при handshake
DoS защита: ограничения за дължината на веригата от сертификати (10), съобщения след ръкостискане, размер на записа.
MGM nonce: MSB на първия байт се изчиства за ICN (RFC 9058 §3, RFC 9367 §3.3).
Частният ключ на ECDHE и преписът от ръкостискането се унищожават след завършване на ръкостискането.
Ключовият материал на HMAC се изтрива след употреба (HkdfStreebog, KdfGostR3411_2012_256).

Ограничения:

Само PSK за възобновяване (0-RTT и външен PSK не се поддържат).
Само psk_dhe_ke (чист PSK без ECDHE не се поддържа).
HelloRetryRequest (RFC 8446 §4.1.4) не се поддържа - използва се само една именувана група (GC256A по подразбиране).
Само по ГОСТ (не се поддържат шифровани пакети, които не са по ГОСТ).

Тестване:

Библиотеката съдържа тестове с известни отговори от RFC 9367 Приложение A.1 (L и S варианти) - пълният списък с ключове, TLSTREE, AEAD и ECDHE. Тя също така преминава през пълния набор от KAT тестове.
4 интеграционни теста (самостоятелно взаимодействие) чрез реални TCP сокети.
Fuzz тестове за парсери: TlsMessageParser (8 метода), TlsDerParser (3 метода), TlsOcspVerifier (1 метод), за гарантиране на сигурността и намаляване на вектора на атака върху парсерите.

Архитектурни решения:

TlsHandshakeEngine - машина на състоянията, отделена от I/O (за бъдещ JSSE модул).
Претоварвания на ByteBuffer на TlsRecord.protect/unprotect за NIO/JSSE.
Кеш на TLSTREE (TlsTreeCache) - преизчисляване само на променени нива (RFC 9367).
InMemoryTlsTransport.Pair е двупосочна двойка за тестове и комуникация между отделни процеси.

Библиотеката се разпространява под свободен лиценз.

Източник: linux.org.ru

Първата версия на имплементацията на протокола TLS 1.3 в Java с GOST алгоритми в съответствие с RFC 9367