带有加密客户端Hello的TLS 1.3隐私的符号分析

摘要

TLS 1.3是传输层安全（TLS）协议的最新版本，提供了强大的身份验证和机密性保证，这些保证已在各种形式模型中进行了全面分析。然而，尽管TLS1.3对握手元数据加密的使用存在争议，但它的隐私保证仍然很弱，而且人们对它的理解也很差。例如，该协议向网络攻击者显示目标服务器的身份，允许对TLS连接进行被动监视和主动审查。为了弥合这一差距，IETF TLS工作组正在标准化一种新的隐私扩展，称为加密客户端Hello（ECH，以前称为ESNI），但由于缺乏正式的隐私模型，很难验证此扩展是否有效。事实上，ECH的几个早期草案被发现容易受到主动网络攻击。

在本文中，我们首次对TLS1.3握手的隐私属性进行了机械化形式化分析。我们使用符号协议分析器ProVerif研究了TLS 1.3的所有标准模式，包括有ECH和无ECH。我们讨论了对ECH的攻击，其中一些攻击是在本研究过程中发现的，并展示了在最新版本中如何对其进行解释。我们的分析有助于指导ECH的标准化过程，并为TLS实施者提供具体的隐私建议。我们还提供了迄今为止最全面的TLS 1.3模型，可供试验协议新扩展的设计者使用。我们的是使用自动验证工具尝试的最大的隐私证明之一，协议分析员可能会对此感兴趣。