ProHoster > Блог > interrete nuntium > Prima emissio implementationis protocolli TLS 1.3 in Java cum algorithmis GOST secundum RFC 9367.

Prima emissio implementationis protocolli TLS 1.3 in Java cum algorithmis GOST secundum RFC 9367.

OMNIBUS crypto-gost-tls13 implementationem continet TLS 1.3 (RFC 8446 + RFC 9367) cum cryptographia GOST. Haec emissio est versio initialis bibliothecae et parata est ad usum internum.

Proprietas singularis bibliothecae est implementatio pura Java. Omnes operationes cryptographicae per instrumenta bibliothecae insita perficiuntur, nullis dependentiis externis.

Haec est una ex primis implementationibus fontis aperti TLS 1.3 cum GOST in Java, ergo probationes interoperabilitatis ad minimum peractae sunt.

Infra sunt facultates bibliothecae.

  1. Protocolla:
  • Coniunctio manus: plena (cliens/servator), brevis (PSK), mutua (mTLS).
  • ALPN (RFC 7301) - Negotiatio Protocoli Strati Applicationis (HTTP/2, HTTP/1.1).
  • SNI (RFC 6066) - Indicatio Nominis server pro distributionibus multi-inquilinis.
  • KeyUpdate (RFC 8446 §4.6.3) – claves encryptionis commeatus renovans.
  • Consentaneus notae: TLS_KUZNYECHIK_MGM_STREEBOG_256_L/S.
  • ECDHE: CryptoPro-A (256-bit), CryptoPro-B (512-bit)
  • Reclavis TLSTREE per singula inscriptionem — mutatio clavis encryptionis pro singulis inscriptionibus TLS.
  • Fragmentatio et recomposio conventionum manuum et actorum (RFC 8446 §5.1).
  • Continuatio sessionis: PSK per NewSessionTicket (PskStore in memoria, semel utendum).
  • Conglutinatio OCSP: servo прикладывает OCSP-ответ к сертификату.
  • Nuntia post-coniunctionem manus: NewSessionTicket (servata pro PSK).
  1. Cryptographia:
  • Clavis index: HKDF-Streebog (RFC 5869) per TLS 1.3 (RFC 8446 §7.1).
  • Protectio inscriptionum: MGM-AEAD (Kuznyechik) cum nonce secundum RFC 8446 §5.3.
  • Claves ephemerae post usum delentur.
  1. Testimonia:
  • X.509v3 parsing (GOST R 34.10-2012) — DER parser inclusus.
  • Catena validationis: subscriptiones, DN (emittor → subiectum), Restrictiones basicae, Usus clavis, Usus clavis extensus * (serverAuth / clientAuth), pathLen.
  • Inspectio nominis hospitis: dNSName + iPAddress (RFC 6125).
  • Verificatio responsorum OCSP (RFC 6960).

4.onerariis:

  • Interfacies TlsTransport.
  • InMemoryTlsTransport — ad probationes et scenaria unius processus (in ordine memoriae).
  • SocketTlsTransport — ingressum/exitum per java.net.Socket obstruens.
  • ChannelTlsTransport - vectura NIO SocketChannel fundata (modus obstructivus, interruptibilis).
  1. Manus iunctio gradatim:
  • TlsHandshakeEngine est machina status ad manuum constrictionem (a receptu/expiratione separata). TlsSession ut orchestratore utitur et apta est ad integrationem cum JSSE (SSLEngine).
  1. API ByteBuffer:
  • TlsRecord.protect/unprotect — ByteBuffer onerationes onerant ad integrationem sine exemplaribus cum NIO. Claves onerantur:
  • Pkcs12Loader — PFX (PKCS#12) legit cum PBKDF2-HMAC-SHA256 + AES-256-CBC.
  1. Finis sessionis:
  • `cloude_notify` - clausura correcta secundum protocollum.
  • Detersio materiae clavium cum clauditur vel erratur.
  • Monitum de tractatione: fatale - clauditur statim + deletur.
  1. Securitas implementationis:
  • Comparationes temporis constantis pro verify_data et ligaminibus PSK (praesidium contra impetus temporales)
  • Clavis materiam deleo: destroy() in omnibus obiectis cum clavibus (TlsKeySchedule, TlsTrafficKeys, TlsRecord, HandshakeContext), in claudendo, monitu fatali, exceptione in manu constricta.
  • Protectio contra denegationem servitii (DoS): limites longitudinis catenae certificatorum (10), nuntiorum post-confirmationem manus, magnitudinis actorum.
  • MGM nonce: Pars maioris momenti (MSB) primi octeti pro ICN purgata est (RFC 9058 §3, RFC 9367 §3.3).
  • Clavis privata ECDHE et transcriptio conventionis manus destruuntur postquam conventionis manus completa est.
  • Materia clavis HMAC post usum deletur (HkdfStreebog, KdfGostR3411_2012_256).
  1. constrictas:
  • PSK resumptionis tantum (0-RTT et PSK externus non sustinentur).
  • Solum psk_dhe_ke (purum PSK sine ECDHE non sustinetur).
  • `HelloRetryRequest` (RFC 8446 §4.1.4) non sustinetur — unus tantum grex nominatus adhibetur (GC256A ex default).
  • GOST tantum (series cifrariae non-GOST non sustinentur).
  1. Testis:
  • Bibliotheca continet Examinationes Responsorum Notorum ex RFC 9367 Appendice A.1 (variantes L et S) — plenam indicem clavium, TLSTREE, AEAD, ECDHE. Etiam seriem plenam probationum KAT superat.
  • Quattuor probationes integrationis (auto-interoperabilis) per vera socketa TCP.
  • Experimenta incerta pro synthesibus: TlsMessageParser (octo modi), TlsDerParser (tres modi), TlsOcspVerifier (una methodus), ad securitatem curandam et impetum in synthesibus minuendum.
  1. Solutiones architecturae:
  • TlsHandshakeEngine - machina status ab I/O separata (pro futuro modulo JSSE).
  • Overloads ByteBuffer TlsRecord.protect/unprotect pro NIO/JSSE.
  • TLSTREE celatio (TlsTreeCache) — recomputatio tantum graduum mutatorum (RFC 9367).
  • `InMemoryTlsTransport.Pair` est par bidirectionale ad probationes et communicationem unius processus.

Bibliotheca sub licentia libera distribuitur.

Source: linux.org.ru

Emptum certos hospites pro locis cum praesidio DDoS, VPS VDS servers 🔥 Eme hospitium interretiale fidum cum praesidio DDoS, servitores VPS VDS | ProHoster