Wireless Transport Layer Security

Wireless Transport Layer Security (WTLS) je bezpečnostní protokol z protokolového zásobníku Wireless Application Protocol (WAP), kde je začleněn mezi vrstvy WTP a WDP.^[1]

Úvod editovat

WTLS je odvozen z TLS. WTLS používá podobnou sémantiku upravenou pro nižší rychlosti mobilních zařízení. Hlavní rozdíly jsou:

Komprimované datové struktury – velikosti paketů jsou pokud možno redukovány pomocí bitových polí, odstraněním redundance a zkrácením některých kryptografických prvků.
Nový formát certifikátu – WTLS definuje komprimovaný formát certifikátu, který v zásadě kopíruje strukturu certifikátu X.509 v3, ale používá menší datové struktury.
Přizpůsobení datagramové komunikaci – zatímco TLS je navrženo pro použití v datových proudech, WTLS upravuje návrh, aby byl vhodnější pro paketovou komunikaci. Značná část návrhu je založena na požadavku, aby jako transportní vrstva mohly sloužit datagramové služby, například SMS.

Ve verzi WAP Wireless Application Protocol 2.0 bylo WTLS nahrazeno novější verzí End-to-end Transport Layer Security Specification^[2].

Bezpečnost editovat

WTLS používá moderní kryptografické algoritmy a stejně jako TLS podporuje vyjednávání o kryptografických protokolech mezi klientem a serverem.

Algoritmy editovat

Neúplný seznam:^[3] ^[4] ^[5] ^[6] ^[7]:

Výměna klíčů a podpis
- RSA
- Kryptografie nad eliptickými křivkami (ECC)
Symetrické šifrování
- DES
- Triple DES
- RC5
Message digest
- MD5
- SHA1

Kritika bezpečnosti editovat

Šifrování a dešifrování na WAP bráně – obsah je ve WAP architektuře typicky uložený na serveru nekomprimovaný WML (XML DTD). WAP brána načítá obsah pomocí protokolu HTTP a komprimuje jej do WBXML. Aby bylo možné provádět kompresi, musí být brána schopna zpracovat WML v nezašifrovaném tvaru, takže i když existuje šifrování mezi klientem a bránou (pomocí WTLS) a mezi bránou a výchozím serverem (pomocí HTTPS), brána funguje jako man in the middle. Tato architektura má několik cílů: překódování mezi HTML a WML; poskytovatelé obsah nemusí implementovat WBXML kompresi; odstraňuje se závislost na DNS; umožňuje vytvořit uzavřenou platformu.
Zkrácení digestů – HMAC message digesty jsou zkráceny pro snížení režie přenosu, což omezuje teoretickou efektivitu HMAC a potenciálně snižuje ochranu integrity dat.
Nedostatečné prověření – díky odlišnostem WTLS od TLS není zřejmé, zda tyto rozdíly namají významné bezpečnostní následky. Příkladem je používání nového formátu certifikátu. Formát definovaný ve standardu WTLS nemůže být vhodný pro všechna použití, pro která může být certifikát používán.
Klient Implementace – Protože neexistují žádné oficiální standardy, kterým musí implementace WTLS splňovat, mnoho klientů může používá málo bezpečné kryptografické algoritmy nebo postupy generování klíčů. V některém klientském softwaru může být WTLS dokonce vypnuté.

Interoperabilita editovat

Jak již bylo zmíněno, klient a server provádějí vyjednávání kryptografické sady. Při zahájení relace pošle klient seznam podporovaných algoritmů a server vybere jejich sadu nebo odmítne spojení. Standard nevyžaduje podporu žádného konkrétního algoritmu. Koncový bod (klient nebo server), který má být interoperabilní s jiným koncovým bodem může vyžadovat implementaci každého algoritmu (včetně těch, na něž se vztahuje ochrana podle zákonů o duševním vlastnictví).

Odkazy editovat

Reference editovat

V tomto článku byl použit překlad textu z článku Wireless Transport Layer Security na anglické Wikipedii.

↑ Wireless Transport Layer Security: WAP-261-WTLS-20010406-a [online]. Wireless Application Protocol Forum, 2001-04-06 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-25.
↑ End-to-end Transport Layer Security: WAP-187-TransportE2ESec-20010628-a [online]. Wireless Application Protocol Forum, 2001-06-28 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-25.
↑ WMLScript Crypto API Library: WAP-161-WMLScriptCrypto-20010620-a [online]. Wireless Application Protocol Forum, 2001-06-20 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-22.
↑ Wireless Identity Module: WAP-260-WIM-20010712-a [online]. Wireless Application Protocol Forum, 2001-07-12 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-25.
↑ WAP Certificate profile: WAP-211-WAPCert-20010522-a [online]. Wireless Application Protocol Forum, 2001-05-22 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-22.
↑ WAP Public Key Infrastructure: WAP-217-WPKI-20010424-a [online]. Wireless Application Protocol Forum, 2001-04-24 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-22.
↑ WAP TLS Profile and Tunneling: WAP-219-TLS-20010411-a [online]. Wireless Application Protocol Forum, 2001-04-11 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-22.

Související články editovat

[1] Wireless Transport Layer Security: WAP-261-WTLS-20010406-a [online]. Wireless Application Protocol Forum, 2001-04-06 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-25.

[2] End-to-end Transport Layer Security: WAP-187-TransportE2ESec-20010628-a [online]. Wireless Application Protocol Forum, 2001-06-28 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-25.

[3] WMLScript Crypto API Library: WAP-161-WMLScriptCrypto-20010620-a [online]. Wireless Application Protocol Forum, 2001-06-20 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-22.

[4] Wireless Identity Module: WAP-260-WIM-20010712-a [online]. Wireless Application Protocol Forum, 2001-07-12 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-25.

[5] WAP Certificate profile: WAP-211-WAPCert-20010522-a [online]. Wireless Application Protocol Forum, 2001-05-22 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-22.

[6] WAP Public Key Infrastructure: WAP-217-WPKI-20010424-a [online]. Wireless Application Protocol Forum, 2001-04-24 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-22.

[7] WAP TLS Profile and Tunneling: WAP-219-TLS-20010411-a [online]. Wireless Application Protocol Forum, 2001-04-11 [cit. 2016-08-12]. Dostupné v archivu pořízeném dne 2013-05-22.

[1]

[2]

[3]

[4]

[5]

[6]

[7]