RFC 9367에 따라 GOST 알고리즘을 사용하는 Java 기반 TLS 1.3 프로토콜 구현의 첫 번째 릴리스입니다.

기준 치수 크립토-고스트-tls13 구현 내용이 포함되어 있습니다. TLS 1.3 (RFC 8446 + RFC 9367) GOST 암호화를 사용합니다. 이번 릴리스는 라이브러리의 초기 버전이며 내부 사용을 위해 준비되었습니다.

이 라이브러리의 독특한 특징은 순수 자바로 구현되었다는 점입니다. 모든 암호화 작업은 외부 종속성 없이 라이브러리에 내장된 도구를 사용하여 수행됩니다.

이것은 Java로 구현된 GOST 표준을 준수하는 TLS 1.3의 최초 오픈 소스 구현 중 하나이므로, 상호 운용성 테스트는 최소한의 범위 내에서만 수행되었습니다.

아래는 라이브러리의 기능입니다.

1. 프로토콜:

• 핸드셰이크: 전체(클라이언트/서버), 간략한(PSK), 상호(mTLS).
• ALPN(RFC 7301) - 응용 계층 프로토콜 협상(HTTP/2, HTTP/1.1).
• SNI(RFC 6066) - 이름 표시 서버 다중 테넌트 배포용입니다.
• KeyUpdate(RFC 8446 §4.6.3) – 트래픽 암호화 키 업데이트.
• 암호화 제품군: TLS_KUZNYECHIK_MGM_STREEBOG_256_L/S.
• ECDHE: CryptoPro-A(256비트), CryptoPro-B(512비트)
• 레코드별 TLSTREE 키 재설정 — 각 TLS 레코드에 대한 암호화 키를 변경합니다.
• 악수와 기록의 파편화 및 재조립(RFC 8446 §5.1).
• 세션 재개: NewSessionTicket을 통한 PSK(메모리 내 PskStore, 일회용).
• OCSP 스테이플링: 서버 прикладывает OCSP-ответ к сертификату.
• 핸드셰이크 후 메시지: NewSessionTicket (PSK 저장용).

2. 암호학:

• 주요 일정: TLS 1.3(RFC 8446 §7.1)을 통한 HKDF-Streebog(RFC 5869).
• 기록 보호: RFC 8446 §5.3에 따른 nonce를 사용하는 MGM-AEAD(Kuznyechik).
• 임시 키는 사용 후 삭제됩니다.

3. 인증서:

• X.509v3 구문 분석(GOST R 34.10-2012) — 내장 DER 구문 분석기.
• 유효성 검사 체인: 서명, DN(발급자 → 주체), 기본 제약 조건, 키 사용, 확장 키 사용(서버 인증/클라이언트 인증), 경로 길이.
• 호스트 이름 확인: dNSName + IP 주소(RFC 6125).
• OCSP 응답 검증(RFC 6960).

4.평가 :

• TlsTransport - 인터페이스.
• InMemoryTlsTransport - 테스트 및 단일 프로세스 시나리오용(인메모리 큐).
• SocketTlsTransport — java.net.Socket을 통한 블로킹 I/O.
• ChannelTlsTransport - NIO SocketChannel 기반 전송(블로킹 모드, 인터럽트 가능).

5. 악수하는 방법 단계별 설명:

• TlsHandshakeEngine은 핸드셰이크를 위한 상태 머신입니다(I/O와 분리됨). TlsSession을 오케스트레이터로 사용하며 JSSE(SSLEngine)와의 통합에 적합합니다.

6. ByteBuffer API:

• TlsRecord.protect/unprotect — NIO와의 제로 카피 통합을 위한 ByteBuffer 오버로드. 키 로딩:
• Pkcs12Loader — PBKDF2-HMAC-SHA256 + AES-256-CBC를 사용하여 PFX(PKCS#12) 파일을 읽습니다.

7. 세션 종료:

• close_notify - 프로토콜에 따라 올바르게 종료합니다.
• 닫거나 오류가 발생했을 때 주요 자료를 닦아내는 행위.
• 처리 경고: 치명적 - 즉시 종료 및 삭제.

8. 구현 보안:

• verify_data 및 PSK 바인더에 대한 상수 시간 비교(타이밍 공격 방지)
• 주요 정보 삭제: TlsKeySchedule, TlsTrafficKeys, TlsRecord, HandshakeContext 키를 가진 모든 객체에 대해 종료 시 destroy() 호출, 치명적인 경고 발생, 핸드셰이크 중 예외 발생
• DoS 보호: 인증서 체인 길이(10), 핸드셰이크 후 메시지, 레코드 크기에 대한 제한.
• MGM 논스: 첫 번째 바이트의 최상위 비트(MSB)는 ICN(RFC 9058 §3, RFC 9367 §3.3)을 위해 지워집니다.
• ECDHE 개인 키와 핸드셰이크 기록은 핸드셰이크가 완료된 후 파기됩니다.
• HMAC 키 자료는 사용 후 삭제됩니다(HkdfStreebog, KdfGostR3411_2012_256).

9. 제한 사항 :

• 재개 PSK만 지원합니다(0-RTT 및 외부 PSK는 지원되지 않습니다).
• psk_dhe_ke만 지원됩니다(ECDHE가 없는 순수 PSK는 지원되지 않습니다).
• HelloRetryRequest(RFC 8446 §4.1.4)는 지원되지 않습니다. 명명된 그룹은 하나만 사용됩니다(기본값은 GC256A).
• GOST 암호화 스위트만 지원합니다(GOST 이외의 암호화 스위트는 지원하지 않습니다).

10. 테스트:

• 이 라이브러리에는 RFC 9367 부록 A.1(L 및 S 변형)의 알려진 답변 테스트(KAT)가 포함되어 있습니다. 여기에는 전체 키 스케줄, TLSTREE, AEAD 및 ECDHE가 포함됩니다. 또한 모든 KAT 테스트를 통과합니다.
• 실제 TCP 소켓을 통한 4가지 통합 테스트(자체 상호 운용성).
• 파서에 대한 퍼즈 테스트: TlsMessageParser(8개 메서드), TlsDerParser(3개 메서드), TlsOcspVerifier(1개 메서드)를 통해 보안을 강화하고 파서에 대한 공격 벡터를 줄입니다.

11. 건축 솔루션:

• TlsHandshakeEngine - I/O와 분리된 상태 머신 (향후 JSSE 모듈용).
• NIO/JSSE용 TlsRecord.protect/unprotect의 ByteBuffer 오버로드입니다.
• TLSTREE 캐시(TlsTreeCache) - 변경된 레벨만 재계산(RFC 9367).
• InMemoryTlsTransport.Pair는 테스트 및 단일 프로세스 통신을 위한 양방향 쌍입니다.

이 라이브러리는 무료 라이선스 하에 배포됩니다.

출처 : linux.org.ru