TLS in the wild: An Internet-wide analysis of TLS-based protocols for electronic communication

NDSS’16

作者：Ralph Holz etc. from Data61, Sydney, Australia; ICSI, Berkeley, USA; Technical University of Munich, Germany
文章地址

Abstract

如今的电子通信大都是通过email和聊天软件。email和IM协议的安全可以通过直接使用TLS或使用STARTTLS扩展，利用X.509 PKI或临时的方法认证通信方身份来实现。
本文对email和chat实现的安全性进行了目前为止最大规模的研究，通过主动扫描发现安全配置的数目，被动监听以查看用户是否使用了安全策略。文章关客户端与服务器的通信（C2S）和服务器与服务器（S2S）的通信，以及使用的加密算法和认证方式。

Introduction

目前主流的通信技术包括email和chat。
早期的email协议如SMTP，POP3，IMAP在设计时没有过多考虑安全。SMTP的认证机制是在后来为了阻止垃圾邮件传播才引入的。后来逐渐开始采用SSL/TLS和端对端的加密如OpenPGP或S/MIME。
Chat协议如XMPP，IRC也依赖SSL/TLS实现安全性。
作者在2015-06-30到2015-08-04期间主动扫描了IPv4地址空间（3.2B 可路由地址), 连接协议SMTP, SMTPS, SUBMISSION, IMAP, IMAPS, POP3, POP3S)和IRC, XMPP C2S XMPP S2S以及SSL/TLS-only variants的标准端口并且发起了握手，搜集证书、密码套件列表、密码学参数以及认证客户端的认证方式。
同时，作者被动监听了有50,000用户的链路(2015-07-29–08-06)，有16M连接到不到14,000个不同的服务，同样提取出相关的数据作为对主动探测获取数据的对比。
作者考虑的安全性主要包括：validity of the PKI certificates（证书链、证书重用），practices of the issuing CAs（根证书直接签发证书）, the quality of the cryptographic parameters（对称密码算法，DH参数长度）, the freshness of
software and SSL/TLS versions（SSL3.0使用情况）, appropriateness
of the offered client-authentication methods（明文登陆）。
结果发现至多有65%的服务器对客户端提供加密功能，对于S2S通信则更少。
即使服务器提供加密通信，只有41%的邮件服务（SMTPS）提供合法可信的证书 ，而聊天服务(XMPPS S2S)只有27%。
比较好的一点是，实际中用户使用最多的服务提供的安全性较高。

Background

Email

Email依赖两套协议：distribution和delivery。
SMTP（Simple Mail Transfer Protocol）是邮件distribution的基石，要deliver邮件到下一个MTA(Mail Transfer Agent)的机器都与MTA建立SMTP会话。
SMTP使用25端口，587端口是后来为支持特殊已认证客户而开的特殊SUBMISSION端口。
收Email邮件用的协议是POP3（110）和IMAP（143）。

Chat and Instant Messaging

IRC C2S(6667), XMPP C2S(5222),XMPP S2S(5269)

SSL/TLS

所有的Email和chat协议都可以和SSL协议一起使用。
IMAP和POP3只有C2S通信，SMTP和XMPP关注C2S和S2S的通信。
对于IRC，只有C2S通信被良好定义。
有两种方式可以协商TLS会话，一种是直接使用TLS，一种是连接专有的TCP端口，通过STARTTLS升级到TLS通信。
STARTTLS不需要专有端口，并且是在双方协商下确定的，但是可能会被中间人攻击。

客户端认证方式

LOGIN、PLAIN明文传送客户端认证信息，MD5，SHA-1传送哈希，CRAM和SCRAM使用challenge-response协议来证明用户拥有password。

数据搜集与分析结果

主动探测

ZMAP，2015-06-30到2015-08-04

被动监听

Bro Network Security Monitor，扩展支持STRARTLS，9天， Internet uplink of the University of California at Berkeley

可以升级使用TLS的情况，可以看到被动监听得到的数据比主动探测的情况要好，表明实际情况中使用数目较多的服务器情况还比较令人满意。

SSL协议版本的支持情况，主动扫描中有0.02%的服务器只支持SSL3，但是实际情况中使用SSL3进行通信的连接有1.74%，这一方面是由于过时客户端的存在，另一方面也可能是与只支持SSL3的服务器通信的次数较多。

主动扫描得到的证书情况，自签名证书占到很大部分。

被动监听得到的实际数据，合法证书的情况还是占大部分。

被动监听得到的连接中使用rc4的比例较高，使用具有前向安全性密码套件的连接比例也较高。

SMTP服务器提供的客户端认证方式情况，可以看到几乎所有服务器都支持PLAIN和LOGIN方式的认证，但这种认证方式是将客户端认证信息明文发送的。

以下是服务器提供的认证方式集的情况，有83.66%的服务器都只能提供不安全的客户端认证方式。