PSK Gợi ý với OpenSSL

Question

Vai trò chính xác của PSK Gợi ý trong OpenSSL là gì? Tôi nghĩ rằng đó là một loại máy chủ xác định cho khách hàng nhưng tôi đã không tìm thấy bất cứ điều gì cụ thể về nó.

Answer 1

Gợi ý nhận dạng PSK không được xác định rõ (xem RFC 4279). Trong lược đồ khóa chia sẻ trước (PSK), cả máy khách và máy chủ đều có thể lấy được cùng một bộ khóa mã hóa. Các gợi ý nhận dạng là một cái gì đó máy chủ cung cấp cho khách hàng biết làm thế nào để lấy được chìa khóa.

Vì mỗi máy chủ đều có cách tạo khóa duy nhất, khách hàng phải biết điều gì đó về máy chủ để biết phải làm gì với gợi ý nhận dạng PSK. Và mỗi lần triển khai sử dụng gợi ý khác nhau.

Ví dụ, NETCONF sử dụng gợi ý trực tiếp khi tạo PSK (nơi + phương tiện nối):

PSK = SHA-1(SHA-1(psk_identity + "Key Pad for Netconf" + password) + 
      psk_identity_hint) 

Trong khi Symbian an toàn tài Plane Location (SUPL) giao thức sử dụng nó để trình bày các phiên bản giao thức và cung cấp một danh sách các máy phát điện PSK mà khách hàng có thể sử dụng.

Lưu ý: Gợi ý nhận dạng PSK là tùy chọn và ý nghĩa của nó không được xác định (định dạng phải là UTF8). Các ứng dụng sử dụng TLS-PSK có thể bỏ nó hoặc sử dụng nó cho bất kỳ hành động nào (ví dụ SUPL sử dụng nó để chỉ ra phiên bản giao thức SUPL và trình bày danh sách các máy phát PSK được phép).

Tương tự TLS-PSK cho EMV smart cards sử dụng gợi ý nhận dạng để xác định cách tính PSK.

Khi thông số psk-identity-hint không được phân phối bởi máy chủ , chế độ mặc định được chọn. Chế độ mặc định này hoạt động với PS2 tĩnh . Nếu không, psk-identity-hint sẽ xác định một cấu hình cụ thể cho các giá trị xCDOL1 và tính toán PSK.

Như bạn có thể thấy, nếu bạn nhận được gợi ý PSK từ máy chủ, bạn phải biết thông tin nào cung cấp và phải làm gì các khóa mà máy chủ tạo ra.

Lưu ý: Nokia chịu trách nhiệm về dự thảo PSK-TLS RFC 4279 và cũng submitted the patch để OpenSSL triển khai thông số.