המהדורה הראשונה של יישום פרוטוקול TLS 1.3 ב-Java עם אלגוריתמי GOST בהתאם ל-RFC 9367

Модуль קריפטו-גוסט-tls13 מכיל את המימוש TLS 1.3 (RFC 8446 + RFC 9367) עם קריפטוגרפיה GOST. מהדורה זו היא הגרסה הראשונית של הספרייה והיא מוכנה לשימוש פנימי.

מאפיין ייחודי של הספרייה הוא יישום ג'אווה טהור שלה. כל פעולות הקריפטוגרפיה מבוצעות באמצעות הכלים המובנים של הספרייה, ללא תלות חיצונית.

זהו אחד מהמימושים הראשונים בקוד פתוח של TLS 1.3 עם GOST ב-Java, כך שבדיקות אינטרופ בוצעו במידה המינימלית האפשרית.

להלן יכולות הספרייה.

1. פרוטוקולים:

• לחיצת יד: מלאה (לקוח/שרת), קצרה (PSK), הדדית (mTLS).
• ALPN (RFC 7301) - משא ומתן על פרוטוקול שכבת היישומים (HTTP/2, HTTP/1.1).
• SNI (RFC 6066) - ציון שם שרת עבור פריסות מרובות דיירים.
• עדכון מפתחות (RFC 8446 §4.6.3) – עדכון מפתחות הצפנת תעבורה.
• סוויטות צופן: TLS_KUZNYECHIK_MGM_STREEBOG_256_L/S.
• ECDHE: CryptoPro-A (256 סיביות), CryptoPro-B (512 סיביות)
• מקדחות מחדש של TLS לכל רשומה - שינוי מפתח ההצפנה עבור כל רשומת TLS.
• פיצול והרכבה מחדש של לחיצות יד ורשומות (RFC 8446 §5.1).
• חידוש סשן: PSK דרך NewSessionTicket (PskStore בזיכרון, לשימוש חד פעמי).
• הידוק OCSP: שרת מצרף את תגובת ה-OCSP לתעודה.
• הודעות לאחר לחיצת יד: NewSessionTicket (שמור עבור PSK).

2. קריפטוגרפיה:

• לוח זמנים מרכזי: HKDF-Streebog (RFC 5869) מעל TLS 1.3 (RFC 8446 §7.1).
• הגנת רשומה: MGM-AEAD (Kuznyechik) עם nonce לפי RFC 8446 §5.3.
• מפתחות ארעיים נמחקים לאחר השימוש.

3. תעודות:

• ניתוח X.509v3 (GOST R 34.10-2012) - מנתח DER מובנה.
• שרשרת אימות: חתימות, DN (מנפיק → נושא), אילוצים בסיסיים, שימוש במפתח, שימוש מורחב במפתח * (serverAuth / clientAuth), pathLen.
• בדיקת שם מארח: dNSName + iPAddress (RFC 6125).
• אימות תגובות OCSP (RFC 6960).

4.התח you

• TlsTransport - ממשק.
• InMemoryTlsTransport - עבור בדיקות ותרחישים של תהליך יחיד (תור בזיכרון).
• SocketTlsTransport — חסימת קלט/פלט דרך java.net.Socket.
• ChannelTlsTransport - NIO Socket‏ תעבורה מבוססת ערוץ (מצב חסימה, ניתן להפסקה).

5. לחיצת יד שלב אחר שלב:

• TlsHandshakeEngine היא מכונת מצבים ללחיצת יד (מנותקת מקלט/פלט). היא משתמשת ב-TlsSession כמתזמר ומתאימה לשילוב עם JSSE (SSLEngine).

6. ממשק API של ByteBuffer:

• TlsRecord.protect/unprotect — עומס יתר של ByteBuffer לצורך שילוב ללא העתקה עם NIO. טוען מפתחות:
• Pkcs12Loader — קריאת PFX ‏(PKCS#12) עם PBKDF2-HMAC-SHA256 + AES-256-CBC.

7. סוף המושב:

• close_notify - סגירה נכונה לפי הפרוטוקול.
• ניגוב של חומר מפתח בעת סגירה או ביצוע טעות.
• התראת טיפול: חמורה - סגירה מיידית + מחיקה.

8. אבטחת יישום:

• השוואות בזמן קבוע עבור קלסרים verify_data ו-PSK (הגנה מפני התקפות תזמון)
• מחיקת חומר מפתח: destroy() על כל האובייקטים עם מפתחות (TlsKeySchedule, TlsTrafficKeys, TlsRecord, HandshakeContext), בסגירה, התראה חמורה, חריגה בלחיצת יד
• הגנת DoS: מגבלות על אורך שרשרת אישורים (10), הודעות לאחר לחיצת יד, גודל רשומה.
• MGM nonce: ה-MSB של הבייט הראשון מנוקה עבור ICN (RFC 9058 §3, RFC 9367 §3.3).
• המפתח הפרטי של ECDHE ותמליל לחיצת היד מושמדים לאחר השלמת לחיצת היד.
• חומר מפתח HMAC נמחק לאחר השימוש (HkdfStreebog, KdfGostR3411_2012_256).

9. מגבלות:

• חידוש PSK בלבד (0-RTT ו-PSK חיצוני אינם נתמכים).
• רק psk_dhe_ke (PSK טהור ללא ECDHE אינו נתמך).
• HelloRetryRequest ‏(RFC 8446 §4.1.4) אינו נתמך - רק קבוצה בעלת שם אחת נמצאת בשימוש (GC256A כברירת מחדל).
• GOST בלבד (סוויטות צופן שאינן GOST אינן נתמכות).

10. בדיקה:

• הספרייה מכילה מבחני תשובות ידועות מנספח A.1 של RFC 9367 (וריאנטים L ו-S) - לוח המפתחות המלא, TLSTREE, AEAD ו-ECDHE. היא גם עוברת את מלוא מגוון מבחני KAT.
• 4 בדיקות אינטגרציה (אינטרופ עצמי) דרך שקעי TCP אמיתיים.
• מבחני Fuzz עבור מנתחים: TlsMessageParser (8 שיטות), TlsDerParser (3 שיטות), TlsOcspVerifier (שיטה אחת), כדי להבטיח אבטחה ולהפחית את וקטור התקיפה על מנתחים.

11. פתרונות אדריכליים:

• TlsHandshakeEngine - מכונת מצבים מנותקת מקלט/פלט (עבור מודול JSSE עתידי).
• עומסי ByteBuffer של TlsRecord.protect/unprotect עבור NIO/JSSE.
• מטמון TLSTREE ‏(TlsTreeCache) - חישוב מחדש של רמות שהשתנו בלבד (RFC 9367).
• InMemoryTlsTransport.Pair הוא זוג דו-כיווני עבור בדיקות ותקשורת בין תהליך יחיד.

הספרייה מופצת תחת רישיון חופשי.

מקור: linux.org.ru