ProHoster > بلاگ > انٽرنيٽ خبرون > آر ايف سي 9367 جي مطابق GOST الگورتھم سان جاوا ۾ TLS 1.3 پروٽوڪول جي عملدرآمد جو پهريون رليز.

آر ايف سي 9367 جي مطابق GOST الگورتھم سان جاوا ۾ TLS 1.3 پروٽوڪول جي عملدرآمد جو پهريون رليز.

ماڊلول ڪرپٽو-گوسٽ-ٽي ايل ايس 13 عملدرآمد تي مشتمل آهي ٽي ايل ايس 1.3 (آر ايف سي 8446 + آر ايف سي 9367) GOST ڪرپٽوگرافي سان. هي رليز لائبريري جو شروعاتي نسخو آهي ۽ اندروني استعمال لاءِ تيار آهي.

لائبريري جي هڪ منفرد خصوصيت ان جو خالص جاوا لاڳو ڪرڻ آهي. سڀئي ڪرپٽوگرافڪ آپريشن لائبريري جي بلٽ ان ٽولز استعمال ڪندي ڪيا ويندا آهن، بغير ڪنهن ٻاهرين انحصار جي.

هي جاوا ۾ GOST سان TLS 1.3 جي پهرين اوپن سورس لاڳو ڪرڻ مان هڪ آهي، تنهن ڪري انٽراپ ٽيسٽنگ گهٽ ۾ گهٽ ممڪن حد تائين ڪئي وئي آهي.

هيٺ لائبريري جون صلاحيتون آهن.

  1. پروٽوڪول:
  • هٿ ملائڻ: مڪمل (ڪلائنٽ/سرور)، مختصر (PSK)، باهمي (mTLS).
  • ALPN (RFC 7301) - ايپليڪيشن ليئر پروٽوڪول ڳالهين (HTTP/2، HTTP/1.1).
  • ايس اين آءِ (آر ايف سي 6066) - نالي جو اشارو سرور گھڻن ڪرائيدارن جي تعیناتي لاءِ.
  • ڪي اپڊيٽ (RFC 8446 §4.6.3) - ٽرئفڪ انڪرپشن ڪيز کي اپڊيٽ ڪرڻ.
  • سائپر سوٽ: TLS_KUZNYECHIK_MGM_STREEBOG_256_L/S.
  • اي سي ڊي ايڇ اي: ڪرپٽو پرو-اي (256-بٽ)، ڪرپٽو پرو-بي (512-بٽ)
  • في-ريڪارڊ TLSTREE ري-ڪيئنگ — هر TLS رڪارڊ لاءِ انڪرپشن ڪي کي تبديل ڪرڻ.
  • هٿ ملائڻ ۽ رڪارڊن جي ٽڪرا ٽڪرا ڪرڻ ۽ ٻيهر گڏ ڪرڻ (RFC 8446 §5.1).
  • سيشن جي بحالي: PSK ذريعي NewSessionTicket (PskStore ان-ميموري، سنگل استعمال).
  • او سي ايس پي اسٽيپلنگ: سرور سرٽيفڪيٽ ۾ OCSP جواب شامل ڪري ٿو.
  • هٿ ملائڻ کان پوءِ جا پيغام: NewSessionTicket (PSK لاءِ بچايو).
  1. ڪرپٽوگرافي:
  • اهم شيڊول: HKDF-Streebog (RFC 5869) TLS 1.3 (RFC 8446 §7.1) تي.
  • رڪارڊ تحفظ: MGM-AEAD (Kuznyechik) RFC 8446 §5.3 جي مطابق غير معياري.
  • عارضي چاٻيون استعمال کان پوءِ ختم ڪيون وينديون آهن.
  1. سرٽيفڪيٽ:
  • X.509v3 پارسنگ (GOST R 34.10-2012) — بلٽ ان DER پارسر.
  • تصديق جو سلسلو: دستخط، ڊي اين (جاري ڪندڙ → موضوع)، بنيادي پابنديون، ڪي استعمال، وڌايل ڪي * استعمال (سرور آٿ / ڪلائنٽ آٿ)، پاٿ لين.
  • ميزبان نالي جي چڪاس: dNSName + iPAddress (RFC 6125).
  • او سي ايس پي جوابن جي تصديق (آر ايف سي 6960).

4.آمد و رفت

  • TlsTransport - انٽرفيس.
  • InMemoryTlsTransport - ٽيسٽ ۽ سنگل-پروسيس منظرنامي لاءِ (ميموري قطار ۾).
  • SocketTlsTransport — java.net.Socket تي I/O کي بلاڪ ڪرڻ.
  • چينل ٽي ايل ٽرانسپورٽ - اين آءِ او ساکٽ چينل تي ٻڌل ٽرانسپورٽ (بلاڪنگ موڊ، مداخلت لائق).
  1. قدم بہ قدم هٿ ملائڻ:
  • TlsHandshakeEngine هٿ ملائڻ لاءِ هڪ رياستي مشين آهي (I/O کان ڌار ٿيل). اهو TlsSession کي آرڪيسٽريٽر طور استعمال ڪري ٿو ۽ JSSE (SSLEngine) سان انضمام لاءِ موزون آهي.
  1. بائيٽ بفر API:
  • TlsRecord.protect/unprotect — بائيٽ بفر NIO سان صفر-ڪاپي انٽيگريشن لاءِ اوورلوڊ ڪري ٿو. لوڊنگ ڪيز:
  • Pkcs12 لوڊ ڪندڙ — PBKDF2-HMAC-SHA256 + AES-256-CBC سان PFX (PKCS#12) پڙهڻ.
  1. سيشن جو اختتام:
  • close_notify - پروٽوڪول مطابق صحيح بندش.
  • بند ڪرڻ يا غلطي ڪرڻ وقت اهم مواد کي صاف ڪرڻ.
  • سنڀالڻ جي خبرداري: موتمار - فوري طور تي بند ڪرڻ + ختم ڪرڻ.
  1. عملدرآمد سيڪيورٽي:
  • verify_data ۽ PSK بائنڊر لاءِ مسلسل وقت جو مقابلو (ٽائيمنگ حملن کان تحفظ)
  • ڪي مواد صاف ڪرڻ: ڪيز سان سڀني شين تي destroy() (TlsKeySchedule، TlsTrafficKeys، TlsRecord، HandshakeContext)، بند ٿيڻ تي، موتمار الرٽ، هٿ ملائڻ ۾ استثنا
  • ڊي او ايس تحفظ: سرٽيفڪيٽ چين جي ڊيگهه تي حدون (10)، هٿ ملائڻ کان پوءِ پيغام، رڪارڊ سائيز.
  • ايم جي ايم نانس: پهرين بائيٽ جو ايم ايس بي ICN لاءِ صاف ڪيو ويو آهي (RFC 9058 §3، RFC 9367 §3.3).
  • هٿ ملائڻ مڪمل ٿيڻ کان پوءِ ECDHE پرائيويٽ ڪي ۽ هٿ ملائڻ جو ٽرانسڪرپٽ تباهه ٿي ويندو آهي.
  • استعمال کان پوءِ HMAC اهم مواد ختم ڪيو ويندو آهي (HkdfStreebog, KdfGostR3411_2012_256).
  1. حدون:
  • صرف PSK جي بحالي (0-RTT ۽ ٻاهرين PSK جي سهولت نه آهي).
  • صرف psk_dhe_ke (ECDHE کان سواءِ خالص PSK سپورٽ نه آهي).
  • HelloRetryRequest (RFC 8446 §4.1.4) سپورٽ نه آهي - صرف هڪ نالي وارو گروپ استعمال ڪيو ويو آهي (ڊفالٽ طور GC256A).
  • صرف GOST (غير GOST سائفر سوئيٽس سپورٽ نه آهن).
  1. جاچ:
  • لائبريري ۾ RFC 9367 ضميمه A.1 (L ۽ S قسم) مان ڄاتل سڃاتل جواب ٽيسٽ شامل آهن - مڪمل اهم شيڊول، TLSTREE، AEAD، ۽ ECDHE. اهو KAT ٽيسٽ جي مڪمل رينج کي پڻ پاس ڪري ٿو.
  • حقيقي TCP ساکٽ ذريعي 4 انٽيگريشن ٽيسٽ (سيلف انٽراپ).
  • پارسرز لاءِ فز ٽيسٽ: TlsMessageParser (8 طريقا)، TlsDerParser (3 طريقا)، TlsOcspVerifier (1 طريقو)، سيڪيورٽي کي يقيني بڻائڻ ۽ پارسرز تي حملي جي ویکٹر کي گهٽائڻ لاءِ.
  1. اڏاوتي حل:
  • TlsHandshakeEngine - I/O کان ڌار ٿيل اسٽيٽ مشين (مستقبل جي JSSE ماڊيول لاءِ).
  • NIO/JSSE لاءِ ByteBuffer TlsRecord.protect/unprotect جو اوورلوڊ ڪري ٿو.
  • TLSTREE ڪيش (TlsTreeCache) - صرف تبديل ٿيل سطحن جي ٻيهر ڳڻپ (RFC 9367).
  • InMemoryTlsTransport.Pair ٽيسٽ ۽ سنگل-پروسيس ڪميونيڪيشن لاءِ هڪ ٻہ طرفي جوڙو آهي.

لائبريري مفت لائسنس تحت ورهايل آهي.

جو ذريعو: linux.org.ru

DDoS تحفظ سان سائيٽن لاءِ قابل اعتماد هوسٽنگ خريد ڪريو، VPS VDS سرور 🔥 DDoS تحفظ سان قابل اعتماد ويب سائيٽ هوسٽنگ خريد ڪريو، VPS VDS سرورز | ProHoster