Esiste già un piano o un'implementazione esistente di RFC 5054 in uno dei principali browser?TLS/SRP nei browser?
Se nessuno ha ancora un'implementazione, allora quali browser principali hanno sulla loro tabella di marcia? Dove?
Questa funzione è su Mozilla di radar, e ci sono un paio di richieste funzione di miglioramento su record bugzilla.mozilla.org (356.855, 405.155), ma sono stati abbastanza tranquilli ultimamente. C'è forse un lack of an appreciation di ciò che è buono per SRP.
Per i miei due centesimi, SRP/TLS sembra non adattarsi bene ai modelli di sicurezza esistenti in Firefox, quindi l'implementazione tocca molte parti differenti del browser (dall'interfaccia utente all'NSS). Potrebbe essere un problema simile anche per altri browser?
opere Una JavaScript di implementazione in Firefox:
cURL avrà il supporto TLS-SRP nella prossima versione. Vedere il thread Patch for TLS-SRP support (using GnuTLS) nella libreria curl. (Ho rianimato una patch di Peter Sylvester.)
E sto cercando di rianimare le patch di bugzilla di Steffen Schulz per TLS-SRP in NSS (bugzilla # 405155), che è la libreria SSL/TLS di Mozilla. Ho aggiornato le patch per lavorare con l'ultimo NSS e le pubblicheremo tra una settimana circa. Una volta che funziona in NSS, quindi Firefox è il prossimo.
anche un nuovo problema: l'SRP è definito solo con crittografie AES-CBC, nessuno con AES-GCM. Inoltre, il suo uso della costruzione FFDH lo rende piuttosto lento, mi chiedo se tradurlo in ECC non lo renderebbe un po 'migliore ... Ciò significa che abbiamo bisogno di RFC che lo facciano –
Un altro problema è che nessuna delle suite SRP usare SHA2 o superiore. Dato che SHA1 è ora considerato non funzionante, probabilmente non ci sarà molta considerazione di queste suite in futuro. –
C'è un codice per NSS, Chrome e Firefox, non è ancora stato unito, ma funziona. Alcuni piccoli problemi non tecnici devono ancora essere risolti. Alcuni codici e informazioni possono essere trovati su trustedhttp.org, e su Firefox e bugzilla Chromium.
Potrebbe essere. Ma sembra che ultimamente NIENTE abbia ingranato con i modelli di sicurezza esistenti (inclusa la sicurezza). Penso che dovremmo ripensarci sui certificati SSL (vedi anche DN spoofing). – Jason
@Jason SSL ha i suoi punti deboli, è vero. Non stavo scavando su SRP/TLS, l'idea che stia davvero crescendo su di me. Il punto a cui alludevo è che in un progetto ampio e complesso come un browser, può essere difficile apportare questo tipo di modifiche senza una domanda seria, e la domanda non è proprio tra gli utenti generici. Vai da qui e diffondi la parola di RFC 5054! – academicRobot