论文2024/733

代理已足够：TLS协议中代理的安全性和AEAD上下文的不可伪造性

摘要

TLS oracles允许TLS客户端向外部（oracle）节点提供选择性数据来源，从而确保oracle节点的数据确实来自预定义的TLS服务器。通常，客户端/用户向服务器提供凭据，并使用零知识证明向神谕展示某些服务器提供的信息，同时确保TLS转录本其余部分的保密性。从概念上讲，这是TLS服务器、TLS客户端（证明程序）和oracle（验证程序）节点之间的标准三方安全计算；然而，TLS预言的关键实际要求是确保数据来源过程对TLS服务器保持透明。最近的TLS预言机协议，如DECO，加强了服务器-客户端验证器的通信模式，并在TLS期间使用了一种新颖的三方握手过程，以确保数据的完整性，防止客户端的潜在篡改。然而，这种方法对客户端/验证程序和验证器带来了严重的性能损失。这就提出了一个问题，即是否可以通过在服务器和客户端之间放置验证器（作为代理）来减少开销，以便验证器可以使用正确的TLS脚本。这项工作为这个oracle代理问题提供了积极和消极的答案：我们首先形式化了oracle代理概念，它允许验证者直接代理客户端-服务器TLS通信，而无需进行三方握手或以任何方式干扰连接。然后我们说明，对于常见的基于TLS的高级协议（如HTTPS），验证程序代理的数据完整性是通过HTTP协议语义中内置的变量填充来确保的。另一方面，如果基于TLS的协议没有变量填充，我们将证明无法保证数据完整性。在这种情况下，我们将研究TLS响应是预先确定的，并且在连接期间不能被篡改的情况。我们提出了上下文不可伪造性的概念，并且显示允许克服不可能。我们进一步表明，ChaCha20-Poly1305满足概念，而AES-GCM不符合标准模型。

注：一般修订。