TLS-SRP
Transport Layer Security Secure Remote Password (TLS-SRP) chiffersviter är en uppsättning kryptografiska protokoll som tillhandahåller säker kommunikation baserad på lösenord , med hjälp av ett SRP -lösenordsautentiserat nyckelutbyte .
Det finns två klasser av TLS-SRP-chiffersviter: Den första klassen av chiffersviter använder endast SRP -autentisering. Den andra klassen använder SRP- autentisering och publika nyckelcertifikat tillsammans för ökad säkerhet.
Vanligtvis använder TLS endast certifikat för offentliga nyckel för autentisering. TLS-SRP använder ett värde som härletts från ett lösenord ( SRP- verifieraren) och ett salt, som delas i förväg mellan de kommunicerande parterna, för att upprätta en TLS-anslutning. Det finns flera möjliga anledningar till att man kan välja att använda TLS-SRP:
- Användning av lösenordsbaserad autentisering kräver inte beroende av certifikatutfärdare .
- Slutanvändaren behöver inte kontrollera webbadressen som certifieras. Om servern inte känner till data som härrör från lösenordet kan anslutningen helt enkelt inte göras. Detta förhindrar nätfiske .
- Lösenordsautentisering är mindre benägen än certifikatautentisering för vissa typer av konfigurationsmisstag, som utgångna certifikat eller felaktiga fält för vanliga namn.
- TLS-SRP tillhandahåller ömsesidig autentisering (klienten och servern autentiserar båda varandra), medan TLS med servercertifikat endast autentiserar servern till klienten. Klientcertifikat kan autentisera klienten till servern, men det kan vara lättare för en användare att komma ihåg ett lösenord än att installera ett certifikat.
Genomföranden
TLS-SRP är implementerat i GnuTLS , OpenSSL från och med release 1.0.1, Apache mod_gnutls och mod_ssl , cURL , TLS Lite SecureBlackbox och wolfSSL .
Standarder
- RFC 2945: "SRP Authentication and Key Exchange System".
- RFC 5054: "Att använda SRP-protokollet (Secure Remote Password) för TLS-autentisering".