TLS加密客户端Hello(以前称为ESNI)进入草稿状态

TLS E.RescorlaInternet-Draft RTFM，Inc.公开状态：实验性K.OkuExpires：2020年12月3日Fastly N.Sullivan C.A.Wood Cloudflare 2020年6月1日TLS加密的客户端Hello Draft-IETF-TLS-esni-07摘要本文档描述了传输层安全(TLS)中用于在服务器公钥下加密ClientHello消息的机制。本备忘录的状态本Internet-Draft完全符合BCP 78的规定提交。互联网草案是互联网工程任务组(IETF)的工作文件。请注意，其他小组也可以将工作文件作为互联网草稿分发。目前的互联网草稿列表在https://datatracker.ietf.org/drafts/current/.。互联网草案是有效期最长为6个月的草案文件，可随时更新、替换或被其他文件淘汰。使用互联网草稿作为参考材料或将其作为正在进行的工作以外的引用是不合适的。本互联网草稿将于2020年12月3日到期。版权所有(C)2020 IETF Trust和指定为文档作者的人员。版权所有。本文件受BCP78和IETF Trust关于IETF文件(https://trustee.ietf.org/许可证信息)的法律规定的约束，自本文件发布之日起生效。请仔细阅读这些文档，因为它们描述了您对本文档的权利和限制。本文档中提取的代码组件必须包括简化的BSD许可证文本，如信托法律规定的第4.e节所述，并且如简化的BSD许可证中所述，提供的代码组件不提供担保。Rescorla等人。2020年12月3日到期[第1页]。

互联网草案TLS加密客户端你好2020年6月目录1。简介。。。。。。。。。。。。。。。。。。。。。。。。3.约定和定义。。。。。。。。。。。。。。。。。4.概述。。。。。。。。。。。。。。。。。。。。。。。。。。4 3.1.。拓扑。。。。。。。。。。。。。。。。。。。。。。。4 3.2.。加密的ClientHello(ECH)。。。。。。。。。。。。。。。5 4.加密的ClientHello配置。。。。。。。。。。。。。6 5."；ENCRYPTED_CLIENT_HELLO"；扩展名。。。。。。。。。。。7 6.技术扩展名("；ech_nonce&34；Extension)。。。。。。。。。。。。。。。。。。9 6.1.。合并外部扩展。。。。。。。。。。。。。9 7.客户行为。。。。。。。。。。。。。。。。。。。。。。。10 7.1。正在发送加密的ClientHello。。。。。。。。。。。。10 7.2.。推荐的填充方案。。。。。。。。。。。。。。。12 7.3.。处理服务器响应。。。。。。。。。。。。。。12 7.3.1。接受ECH。。。。。。。。。。。。。。。。。。。。13 7.3.2.。已拒绝ECH。。。。。。。。。。。。。。。。。。。。13 7.3.3.。你好，重试请求。。。。。。。。。。。。。。。。。。14 7.4.。给延长件涂上润滑脂。。。。。。。。。。。。。。。。。。。。15 8.面向客户端的服务器行为。。。。。。。。。。。。。。。。16 9.兼容性问题。。。。。。。。。。。。。。。。。。。。18 9.1.。错误配置和部署问题。。。。。。。。18 9.2.。中间包厢。。。。。。。。。。。。。。。。。。。。。。。19 10.安全考虑事项。。。。。。。。。。。。。。。。。。。19 10.1.。为什么明文DNS正常？。。。。。。。。。。。。。。。19 10.2.。客户跟踪。。。。。。。。。。。。。。。。。。。。2010.3.。可选的记录摘要和试用解密。。。。。。2010.4.。相关隐私泄露。。。。。。。。。。。。。。。。。2010.5.。对照标准进行比较。。。。。。。。。。。。。。21 10.5.1.。缓解重播攻击。。。。。。。。。。21 10.5.2.。避免广泛部署的共享机密。。。。。。。。21 10.5.3。防止基于SNI的DoS攻击。。。。。。。。。。。21 10.5.4.。不要露出来。。。。。。。。。。。。。。。。。。21 10.5.5。向前保密。。。。。。。。。。。。。。。。。。22 10.5.6。适当的安全环境。。。。。。。。。。。。。。22 10.5.7。拆分服务器欺骗。。。。。。。。。。。。。。。22 10.5.8。支持多种协议。。。。。。。。。。。22 10.6.。填充策略。。。。。。。。。。。。。。。。。。。。。22 10.7.。主动攻击缓解。。。。。。。。。。。。。。。22 10.7.1。客户反应攻击缓解。。。。。。。。。23 10.7.2。你好，重试请求，劫持缓解。。。。。。。。24 10.7.3.。恢复PSK Oracle Mitigation。。。。。。。。。。25 11.IANA考虑因素。。。。。。。。。。。。。。。。。。。。。25 11.1.。更新TLS ExtensionType注册表。。。。。。。。26 11.2.。更新TLS警报注册表。。。。。。。。。。。。26 12.ECHConfig扩展指南。。。。。。。。。。。。。。。。26 13.提述。。。。。。。。。。。。。。。。。。。。。。。。。26 13.1.。规范性参考文献。。。。。。。。。。。。。。。。。。26 Rescorla等人。2020年12月3日到期[第2页]。

互联网-草稿

Internet-Draft TLS加密的客户端Hello 2020年6月6.扩展名当使用ECH时，客户端还必须将类型为"；ech_nonce&34；的扩展名添加到ClientHelloInternal(但不是外部的ClientHello)。此随机数确保服务器的加密证书只能由发送此ClientHello的实体读取。该扩展定义如下：enum{ech_nonce(0xff03)，(65535)}ExtensionType；struct{uint8 nonce[16]；}echnonce；nonce从HPKE加密上下文导出的16字节随机数。有关其计算的详细信息，请参阅第7.1节。最后，第7节和第8节中的要求要求实现除了跟踪由前一个连接建立的每个PSK之外，还需要跟踪该连接是否使用"；ech_Accept"；响应类型协商了此扩展。如果是这样的话，这被称为ECH PSK。否则，它就是非ECH PSK。这可以通过向客户端和服务器会话状态添加新字段来实现。6.1.。合并外部扩展，一些TLS1.3扩展可能会相当大，将它们同时包含在内部和外部ClientHello中将导致非常大的整体大小。一个特别病态的例子是后量子算法的KEY_SHARE。为了减少重复扩展名的影响，客户端可以使用扩展名"；OUTER_EXTENSIONS"；。enum{OUTER_EXTENSION(0xff04)，(65535)}ExtensionType；Struct{ExtensionType Out_Extensions<；2..254>；；uint8哈希<；32..255>；}ExterExtensions；ExterExtensions；只能在ClientHelloInside中使用。它由一个或多个ExtensionType值组成，每个值引用ClientHelloOuter中的一个扩展，以及完整ClientHelloInternal的摘要。Rescorla等人。2020年12月3日到期[第9页]。

互联网草案TLS加密的客户端Hello 2020年6月当发送ClientHello时，客户端首先计算ClientHelloInternal，包括任何PSK绑定器，然后可以替换它知道将在ClientHelloExternal中复制的扩展。为此，客户端使用与用于加密ClienHelloInternal的KDF相同的散列计算整个ClientHelloInternal消息的散列H。然后，客户端删除和，并用单个"；OUTER_EXTENSIONS&34；扩展名替换ClientHelloInternal中的扩展名。OUTER_EXTENSIONS列表按照它们被删除的顺序包括从ClientHelloInternal中删除的那些扩展。该散列包含上面计算的完整的ClientHelloInternal散列H。此过程由客户端反转。

..