GlobalPlateform Amd B говорит только о TLS / PSK. Почему?

Question

Раздел 3.3.2, «Создание безопасного канала связи» спецификации «Удаленное управление приложениями по HTTP-карте v2.2 - Поправка B, версия 1.1.3» говорит только о комплектах шифров на основе TLS / PSK или ключах для TLS. v1.2.

В соответствии с RFC-5246 и другими RFC, определите несколько наборов шифров, включая RSA для TLS v1.2. Однако спецификация GlobalPlatform Amd B ограничивается только передачей в режиме PSK.

Есть ли какая-либо конкретная причина для выбора TLS / PSK только GlobalPlatform, когда также доступен другой режим?

Answer 1

PSK-TLS является вариантом TLS. Есть несколько причин для использования PSK-TLS:

См. https://en.wikipedia.org/wiki/TLS-PSK

https://simalliance.org/wp-content/uploads/2015/03/SCWS_SteppingStones_2009_v1.0.01.pdf

1 - Использование предварительно общих ключей может, в зависимости отciphersuite, избегайте необходимости операций с открытым ключом. Это полезно, если TLS используется в средах с ограниченной производительностью и ограниченной мощностью ЦП.

2 - Предварительно общие ключи могут быть более удобными с точки зрения управления ключами. Например, в закрытых средах, где соединения в основном настраиваются заранее, может быть проще настроить PSK, чем использовать сертификаты. Другой случай, когда стороны уже имеют механизм для установки общего секретного ключа, и этот механизм можно использовать для «начальной загрузки» ключа для аутентификации соединения TLS.

С вышес двух точек зрения вариант PSK-TLS является лучшим вариантом для Smart Card, поскольку смарт-карта является средой с ограниченной производительностью и существует механизм для настройки общего секретного ключа (т. е. персонализации) в отличие от Web-Based application (который работает с открытым ключом / сертификатами)часть TLS).

IMO, поскольку PSK-TLS лучше для смарт-карт и, следовательно, поправка B к GP сосредоточена только на PSK-TSL, что означает, что протокол OTA HTTP (SCP81) основан только на PSK-TLS.

Если мы ссылаемся http://www.openmobilealliance.org/release/SCWS/V1_1_3-20130913-A/OMA-TS-Smartcard_Web_Server-V1_1_3-20130913-A.pdf на раздел 11.1

Сервер удаленного администрирования SCWS, выполняющий роль сервера HTTPS, ДОЛЖЕН реализовывать [HTTP через TLS] с использованием [PSK-TLS].

Агент администрирования SCWS, действующий в качестве клиента HTTPS, ДОЛЖЕН реализовывать [HTTP через TLS] с использованием [PSK-TLS].

SCWS, действующий в качестве локального сервера HTTPS SСЛЕДУЕТ реализовывать [HTTP через TLS] с использованием открытого ключа, как определено в подразделе 11.1.2, и МОЖЕТ реализовывать [HTTP через TLS] с использованием [PSK-TLS].

В котором упоминается, что и клиент HTTPS, и сервер HTTPS ДОЛЖНЫ реализовывать [HTTP через TLS] с использованием [PSK-TLS].

IMO, TLS на основе открытого ключа / сертификатов играет важную роль в web applicationsи в IOT devices/applications. Одна из хороших статей: https://www.ssl.com/article/securing-the-internet-of-things-iot-with-ssl-tls/