StartTLS

StartTLS, Opportunistic TLS (англ. Transport Layer Security) стосується розширень у протоколах комунікації для простого тексту, які пропонують спосіб покращити передачу інформації у вигляді простого тексту до зашифрованого ( TLS або SSL ) замість використання окремого порту для зашифрованих комунікацій. Кілька протоколів використовують для цієї мети команду під назвою «STARTTLS». Це одна з форм опортуністичних шифрувань і в першу чергу призначена як протидія пасивному моніторингу .

Команда STARTTLS для IMAP і POP3 визначена в RFC 2595, для SMTP в RFC 3207, для XMPP в RFC 6120 і для NNTP в RFC 4642. Для IRC робоча група IRCv3 визначила розширення STARTTLS, хоча пізніше воно було застарілим[1]. FTP використовує команду "AUTH TLS", визначену в RFC 4217, а LDAP визначає OID розширення протоколу RFC 2830. HTTP використовує заголовок оновлення .

Багатошаровість

TLS не залежить від застосунку; словами в RFC 5246 :

Однією з переваг TLS є те, що він не залежить від протоколу застосунку. Протоколи вищого рівня можуть прозоро накладатися поверх протоколу TLS. Стандарт TLS, однак, не визначає, як протоколи додають захист за допомогою TLS; Рішення про те, як ініціювати встановлення зв’язку TLS і як інтерпретувати обмін сертифікатами автентифікації, залишаються на розсуд розробників і розробників протоколів, які працюють поверх TLS. [2]

Стиль, який використовується для визначення як використовувати TLS, відповідає тому самому розрізненню рівнів, яке також зручно підтримується кількома бібліотечними реалізаціями TLS. Наприклад,RFC 3207 розширення SMTP ілюструє наступний діалогі, як клієнт і сервер можуть почати безпечний сеанс: [3]

  S: <waits for connection on TCP port 25>
  C: <opens connection>
  S: 220 mail.example.org ESMTP service ready
  C: EHLO client.example.org
  S: 250-mail.example.org offers a warm hug of welcome
  S: 250 STARTTLS
  C: STARTTLS
  S: 220 Go ahead
  C: <starts TLS negotiation>
  C & S: <negotiate a TLS session>
  C & S: <check result of negotiation>
  C: EHLO client.example.org[4]
  . . .

Остання команда EHLO, наведена вище, надана через безпечний канал. Зауважте, що автентифікація є необов’язковою для SMTP, і пропущена відповідь сервера тепер може безпечно пропонувати розширення SMTP AUTH PLAIN, якого немає у відповіді у вигляді простого тексту.

SSL порти

Крім використання оппортуністичного TLS, було визначено ряд TCP-портів для захищених SSL версій відомих протоколів. Вони встановлюють безпечний зв’язок, а потім представляють комунікаційний потік, ідентичний старому незашифрованому протоколу. Окремі порти SSL дають перевагу в меншій кількості часу затримки ; також менше метаданих передається в незашифрованому вигляді [5]. Деякі приклади:

Протокол призначення Нормальний порт Варіант SSL порт SSL
SMTP Відправити лист 25/587 SMTPS 465
POP3 Отримати електронну пошту 110 POP3S 995
IMAP Прочитайте електронну пошту 143 IMAPS 993
NNTP Читач новин 119/433 NNTPS 563
LDAP Доступ до каталогу 389 LDAPS 636
FTP Передача файлів 21 FTPS 990

Принаймні для протоколів електронної пошти,RFC 8314 надає перевагу окремим портам SSL замість STARTTLS.

Слабкі сторони та пом'якшення

Opportunistic TLS – це опортуністичний механізм шифрування. Оскільки початковий обмін (handshaking) відбувається у вигляді простого тексту, зловмисник, який контролює мережу, може змінити повідомлення сервера за допомогою атаки "людина посередині", щоб створити враження, що TLS недоступний (називається атакою STRIPTLS ). Більшість SMTP-клієнтів потім надсилають електронні листи та, можливо, паролі у вигляді простого тексту, часто без сповіщення користувача. Зокрема, багато SMTP-з’єднань виникають між поштовими серверами, де сповіщення користувачів не реально.

У вересні 2014 року було виявлено, що два інтернет-провайдери в Таїланді робили це зі своїми клієнтами [6] [7]. У жовтні 2014 року було виявлено, що Cricket Wireless, дочірня компанія AT&T, робить це зі своїми клієнтами. Така поведінка почалася ще у вересні 2013 року Aio Wireless, яка пізніше об’єдналася з Cricket, де ця практика продовжилася [8] [6].

Атаки STRIPTLS можна заблокувати, налаштувавши SMTP-клієнти вимагати TLS для вихідних з’єднань (наприклад, агент передачі повідомлень Exim може вимагати TLS через директиву «hosts_require_tls» [9] ). Однак, оскільки не кожен поштовий сервер підтримує TLS, не реально просто вимагати TLS для всіх з’єднань.

Приклад атаки типу STRIPTLS, що використовується в тайській технології масового стеження : [10]


Цю проблему вирішує автентифікація іменованих об’єктів на основі DNS (DANE), частина DNSSEC, і, зокрема,RFC 7672 для SMTP. DANE дозволяє пропонувати підтримку безпечного SMTP через запис TLSA. Це повідомляє клієнтам, які підключаються, що вони повинні вимагати TLS, таким чином запобігаючи атакам STRIPTLS. Подібним чином працює проект STARTTLS Everywhere від Electronic Frontier Foundation. Однак DNSSEC, через складність розгортання та своєрідну  критику [11], зіткнувся з низьким рівнем впровадження, і групою великих постачальників послуг електронної пошти, включаючи Microsoft, Google і Yahoo, був розроблений новий протокол під назвою SMTP MTA Strict Transport Security або MTA-STS [12]. MTA-STS не вимагає використання DNSSEC для автентифікації записів DANE TLSA, але покладається на систему центру сертифікації (CA) і підхід довіри при першому використанні (TOFU), щоб уникнути перехоплення. Модель TOFU зменшує складність, але без гарантій першого використання, які пропонує DNSSEC. Крім того, MTA-STS запроваджує механізм звітування про помилки та режим лише звітування, що забезпечує поступове розгортання та аудит на відповідність.

Популярність

Після викриття, зробленого Едвардом Сноуденом у світлі глобального скандалу з масовим стеженням, популярні постачальники послуг електронної пошти покращили захист електронної пошти, увімкнувши STARTTLS [13]. Facebook повідомив про це після ввімкнення STARTTLS і заохочення інших провайдерів  зробити те саме, поки Facebook не припинив свою службу електронної пошти в лютому 2014 року, 95% вихідної електронної пошти було зашифровано за допомогою Perfect Forward Secrecy і суворої перевірки сертифіката [14].

Примітки

  1. tls Extension. IRCv3 Working Group. 2012. Процитовано 6 квітня 2024.
  2. Tim Dierks; Eric Rescorla (August 2008). The Transport Layer Security (TLS) Protocol. RFC Editor. Процитовано 8 жовтня 2009.
  3. Paul Hoffman (February 2002). SMTP Service Extension for Secure SMTP over Transport Layer Security. RFC Editor. Процитовано 8 жовтня 2009.
  4. The last line in the example added for clarity. See e.g. the thread started by Paul Smith (26 січня 2009). STARTTLS & EHLO. ietf-smtp mailing list. Internet Mail Consortium. Процитовано 16 вересня 2015.
  5. Dovecot SSL documentation: http://wiki2.dovecot.org/SSL
  6. а б Hoffman-Andrews, Jacob (11 листопада 2014). ISPs Removing Their Customers' Email Encryption. Electronic Frontier Foundation. Процитовано 19 січня 2019.
  7. Google, Yahoo SMTP email servers hit in Thailand. 12 вересня 2014. Процитовано 31 липня 2015.
  8. The FCC Must Prevent ISPs From Blocking Encryption. 4 листопада 2014. Процитовано 31 липня 2015.
  9. Exim Internet Mailer - The smtp transport. exim.org. hosts_require_tls - Exim will insist on using a TLS session when delivering to any host that matches this list.
  10. Who's That Knocking at my door? Understanding Surveillance in Thailand (PDF). Privacy International: 21. January 2017. Процитовано 7 лютого 2020.
  11. Thomas Ptacek (18 березня 2016). Against DNSSEC.
  12. Ramakrishnan, Binu; Brotman, Alexander; Jones, Janet; Margolis, Daniel; Risher, Mark. SMTP MTA Strict Transport Security (MTA-STS). tools.ietf.org (англ.). Процитовано 22 лютого 2019.
  13. Peterson, Andrea (12 серпня 2014). Facebook's security chief on the Snowden effect, the Messenger app backlash and staying optimistic. The Washington Post. Процитовано 2 листопада 2014.
  14. Cohen, David (19 серпня 2014). Facebook: 95% of Notification Emails Encrypted Thanks to Providers' STARTTLS Deployment. allfacebook.com. Архів оригіналу за 22 вересня 2014.

Посилання

Read other articles:

Union PacificPoster bioskopSutradara Cecil B. DeMille Produser Cecil B. DeMille Ditulis olehWalter DeLeon Jack Cunningham C. Gardner SullivanCeritaBerdasarkan novel Trouble shooter karya Ernest HaycoxPemeranBarbara Stanwyck Joel McCreaAkim TamiroffPenata musikSigmund KrumgoldJohn LeipoldSinematograferVictor MilnerPenyuntingAnne BauchensDistributorParamount PicturesTanggal rilis 5 Mei 1939 (1939-05-05) Durasi135 menitNegara Amerika Serikat Bahasa Inggris Union Pacific adalah film dr...

 

Корнел Стодола Народився 27 серпня 1866(1866-08-27)Ліптовський Мікулаш, Угорське королівство, Австрійська імперіяПомер 21 жовтня 1946(1946-10-21) (80 років)Братислава, ЧехословаччинаДіяльність дипломат, політикПосада член парламенту[d], Сенатор Національних зборів Чехословаччин...

 

Die Wall of Fame Die Finnische Eishockey-Ruhmeshalle (finnisch Luettelo jääkiekkoleijonista) ist die nationale Eishockey-Ruhmeshalle Finnlands. In dieser werden Spieler, Trainer und Funktionäre geehrt, die sich um den Eishockeysport in Finnland verdient gemacht haben. Die Ruhmeshalle wurde 1985 gegründet und befindet sich im Finnischen Eishockeymuseum (Suomen Jääkiekkomuseo) in Tampere. Mitglieder der Ruhmeshalle Teppo Rastio #29 Lasse Oksanen #53 Veli-Pekka Ketola #72 Juhani Tamminen #...

هذه المقالة يتيمة إذ تصل إليها مقالات أخرى قليلة جدًا. فضلًا، ساعد بإضافة وصلة إليها في مقالات متعلقة بها. (يوليو 2019) ستيف كامينز معلومات شخصية الميلاد 29 مارس 1992 (31 سنة)  سيدني  مواطنة أستراليا  الحياة العملية المهنة لاعب اتحاد الرغبي  اللغات الإنجليزية  الرياضة ا

 

Heilbron CommandoHeilbron Commando emblemCountry South AfricaAllegiance Orange Free State Republic Union of South Africa  Republic of South Africa  Republic of South Africa Branch  South African Army  South African Army TypeInfantryRoleLight InfantrySizeOne BattalionPart ofSouth African Infantry CorpsArmy Territorial Reserve, Group 24Garrison/HQHeilbronMilitary unit Heilbron Commando was a light infantry regiment of the South African Army. It formed part of the S...

 

Manuel Monteiro de Castro Kardynał prezbiter Mane nobiscum DominePozostań z nami, Panie Kraj działania PortugaliaWatykan Data i miejsce urodzenia 29 marca 1938 Santa Eufémia Penitencjariusz Większy Okres sprawowania 2012–2013 Sekretarz Kongregacji ds. Biskupów Okres sprawowania 2009–2012 Wyznanie katolicyzm Kościół rzymskokatolicki Prezbiterat 9 lipca 1961 Nominacja biskupia 16 lutego 1985 Sakra biskupia 13 marca 1985 Kreacja kardynalska 18 lutego 2012Benedykt XVI Kościół...

Untuk kabupaten bernama sama, lihat Kabupaten Kendari. Koordinat: 3°58′27.1″S 122°30′33.4″E / 3.974194°S 122.509278°E / -3.974194; 122.509278 Kota Kendari Wonua I Pambandokooha Lipu I PambandahiIbu kota provinsiDari atas ke bawah, kiri ke kanan: Jembatan Teluk Kendari, Masjid Terapung Al Alam, dan Teluk Kendari di malam hari. BenderaLambangJulukan: Kota LuloMotto: Iman, Ihsan, TaqwaPetaKota KendariPetaTampilkan peta SulawesiKota KendariK...

 

Opera by Jake Heggie Moby-DickOpera by Jake HeggieIllustration from Herman Melville's novel on which the opera is basedLibrettistGene ScheerBased onMoby-Dickby Herman MelvillePremiereApril 30, 2010 (2010-04-30)Winspear Opera House, DallasWebsitejakeheggie.com/moby-dick-2010 Moby-Dick is an American opera in two acts, with music by Jake Heggie and libretto by Gene Scheer, adapted from Herman Melville's 1851 novel Moby-Dick. The opera received its premiere at Dallas Opera in Dall...

 

Khaibakh massacre Not to be confused with the Khaibar massacre, which took place in the year 628. Khaibakh massacre (1944)Part of Operation LentilTower in the village of Khaibakh (1888)LocationKhaibakh, ChechnyaCoordinates42°52′38″N 45°21′28″E / 42.87722°N 45.35778°E / 42.87722; 45.35778Date27 February 1944TargetChechen villagersAttack typeMassacre, genocideDeathsAround 700 villagersPerpetratorsSoviet NKVD The Khaibakh massacre was the mass murder of the Ch...

Artikel ini tidak memiliki referensi atau sumber tepercaya sehingga isinya tidak bisa dipastikan. Tolong bantu perbaiki artikel ini dengan menambahkan referensi yang layak. Tulisan tanpa sumber dapat dipertanyakan dan dihapus sewaktu-waktu.Cari sumber: Masalah Tahun 2000 – berita · surat kabar · buku · cendekiawan · JSTOR Masalah Tahun 2000 (bahasa Inggris: Y2K problem),[catatan 1] juga dikenal sebagai Masalah Y2K atau Y2K saja, adalah kesa...

 

How to Train Your Dragon:The Hidden WorldPoster teaserSutradara Dean DeBlois Produser Bonnie Arnold Brad Lewis Ditulis oleh Dean DeBlois BerdasarkanHow to Train Your Dragonoleh Cressida CowellPemeran Jay Baruchel America Ferrera Cate Blanchett Craig Ferguson Jonah Hill Kit Harington Justin Rupple Kristen Wiig Christopher Mintz-Plasse F. Murray Abraham Gerard Butler Penata musikJohn Powell[1]PenyuntingJohn K. CarrPerusahaanproduksiDreamWorks Animation[2]DistributorUnivers...

 

Santiago de los Caballeros Santiago de los Caballeros merupakan sebuah kota di Republik Dominika. Kota ini letaknya di bagian utara. Tepatnya di Provinsi Santiago. Pada tahun 2002, kota ini memiliki jumlah penduduk sebesar 1.329.078 jiwa dan memiliki luas wilayah 75 km². Kota ini memiliki angka kepadatan penduduk sebesar 5.187 jiwa/km². Terletak di ketinggian 175 m. Pranala luar Wikimedia Commons memiliki media mengenai Santiago de los Caballeros. Official site of the Santiago City Cou...

Provides annuities and life insurance products in the United States This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Allianz Life – news · newspapers · books · scholar · JSTOR (March 2012) (Learn how and when to remove this template message) Allianz LifeTypeSubsidiaryIndustryFinancial servicesFounded1896;...

 

2009 Indonesian film directed by Gareth Evans MerantauDirected byGareth Huw EvansWritten byGareth Huw EvansProduced byArio SagantoroStarring Iko Uwais Sisca Jessica Christine Hakim Mads Koudal Laurent Buson Alex Abbad Donny Alamsyah Yayan Ruhian Cinematography Matt Flannery Dimas Imam Subhono Edited byGareth Huw EvansMusic by Fajar Yuskemal Aria Prayogi ProductioncompanyPT. Merantau FilmsDistributed bySinemArtRelease date 6 August 2009 (2009-08-06) (Indonesia) Running time ...

 

Season of television series To Love Ru DarknessSeason 3The first Blu-ray and DVD volume compilation cover of To Love Ru Darkness.Country of originJapanNo. of episodes12ReleaseOriginal networkTokyo MX, AT-XOriginal releaseOctober 6 (2012-10-06) –December 29, 2012 (2012-12-29)Series chronology← PreviousMotto Next →Darkness 2nd List of episodes To Love Ru is an anime series based on the manga of the same name written by Saki Hasemi and illustrated by Kentaro Yabuki...

Kimberlit dari Amerika Serikat. Kimberlit adalah sejenis batu vulkanik potasik (mengandung kalium) yang dikenal baik karena potensinya mengandung intan. Nama batu ini diilhami oleh nama kota kecil Kimberley di Afrika Selatan, di mana penemuan intan 83,5 karat pada tahun 1871 telah memicu perlombaan memburu intan, yang sebenarnya juga menciptakan Lubang Besar. Kimberlit hadir di dalam kerak bumi dengan struktur vertikal yang disebut sebagai pipa kimberlit. Pipa kimberlit adalah sumber terpenti...

 

La aceleración relativa hace referencia a la que presenta una partícula con respecto a un sistema de referencia (xyz), llamado referencial relativo o móvil por estar en movimiento con respecto a otro sistema de referencia (XYZ) considerado como referencial absoluto o fijo. El movimiento de un referencial respecto al otro puede ser una traslación, una rotación o una combinación de ambas (movimiento rototraslatorio). Caso general La aceleración a F {\displaystyle \mathbf {a} _{\text{F}}\...

 

Language of Ghana, Togo, and Benin This article includes a list of general references, but it lacks sufficient corresponding inline citations. Please help to improve this article by introducing more precise citations. (January 2010) (Learn how and when to remove this template message) EweEʋegbeNative to Ghana Togo Benin RegionSouthern Ghana east of the Volta RiverEthnicityEweNative speakers5.1 million[1] - 20 million (2017)[2]Language familyNiger–Congo? Atlantic-C...

554

Calendar year Millennium: 1st millennium Centuries: 5th century 6th century 7th century Decades: 530s 540s 550s 560s 570s Years: 551 552 553 554 555 556 557 554 by topic Leaders Political entities State leaders Religious leaders Categories Births Deaths Establishments 554 in various calendarsGregorian calendar554DLIVAb urbe condita1307Armenian calendar3ԹՎ ԳAssyrian calendar5304Balinese saka calendar475–476Bengali calendar−39Berber calendar1504Buddhist calendar1098Bu...

 

إيه إف جي أرينامعلومات عامةالمنطقة الإدارية سانت غالن البلد  سويسرا التشييد والافتتاحالافتتاح الرسمي 2008 الاستعمالالرياضة كرة القدم المستضيف نادي سانت غالن المالك نادي سانت غالن معلومات أخرىالطاقة الاستيعابية 19٬694 الموقع الجغرافيالإحداثيات 47°24′30″N 9°18′23″E / ࿯...

 

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!