#security #networking #quic #http3
#Безопасность #сеть #quic #http3
Вопрос:
Я прочитал некоторые документы о Quic и понимаю, что идентификатор соединения генерируется для каждого сеанса и, как говорится в документе :
«Идентификаторы соединений НЕ ДОЛЖНЫ содержать никакой информации, которая может быть использована внешним наблюдателем (то есть тем, который не сотрудничает с эмитентом) для сопоставления их с другими идентификаторами соединений для того же соединения».
Источник : https://tools.ietf.org/id/draft-ietf-quic-transport-24.html#connection-id
О какой проблеме безопасности следует знать? Должен ли идентификатор соединения быть чисто случайным?
Заранее спасибо
Ответ №1:
Вся концепция наличия нескольких идентификаторов соединения для одного и того же соединения заключается в нарушении связности: наблюдатели не должны быть в состоянии определить, принадлежат ли пакеты с разными идентификаторами соединения одному и тому же соединению или нет. Это проблема безопасности, на которую вы ссылаетесь.
Чистые случайные идентификаторы соединений, безусловно, удовлетворяют этому требованию. Но вы можете придумать другие способы, например, шифрование набора свойств.