STARTTLS

更新时间:2022-08-25 17:23

STARTTLS,是一种明文通信协议的扩展,能够让明文的通信连线直接成为加密连线(使用SSLTLS加密),而不需要使用另一个特别的端口来进行加密通信,属于机会性加密。

简介

STARTTLS,是一种明文通信协议的扩展,能够让明文的通信连线直接成为加密连线(使用SSLTLS加密),而不需要使用另一个特别的端口来进行加密通信,属于机会性加密

STARTTLS本身是一个与应用层无关的协议,可以搭配许多应用层协议一同运作。在IMAPPOP3中使用STARTTLS,被定义在RFC 2595。在SMTP中使用,定义在RFC 3207,在FTP中使用,定义在RFC 4217。在XMPP中使用,定义在RFC 6120。在LDAP中使用,在RFC 2830,在NNTP中,在RFC 4642。

机会性加密

机会性加密或伺机加密(英语:Opportunistic encryption,简称OE;有时也称非认证加密、随机加密)是一种网络通信加密机制,即当创建通信连接时,首先尝试请求加密,如果对方也支持加密连接,连接则开始加密,期间不进行身份验证;如果加密请求尝试失败,则回退到明文通信机制。这种加密不须双方进行事先配置,能够抵抗被动的流量窃听,但无法防御中间人攻击等主动攻击。因此,它不能替代完整的加密方案。使用机会性加密时,用户也不会看到任何连接安全的提示。

大多数互联网安全协议中,开始加密通信前都会进行身份验证,以防止中间人攻击,从而确保通讯安全。但是,这将涉及到身份验证与密钥管理,且须进行事先配置,否则无法开始安全通信。这使加密变成了“有或无”的一个问题,只能在“完全安全”或“完全不安全”两个极端选项之间选择,没有条件时便只能放弃加密,使用不安全的明文连接。这限制了加密连接在互联网上的大规模应用,使被动的攻击者也能够窃听大量互联网流量。

机会性加密则并不要求进行身份验证,目的是在条件允许时就尽可能使用加密通信方式。虽然机会性加密只能防止被动窃听,对攻击者的主动攻击无能为力(例如降级攻击中间人攻击),但它使大规模加密互联网通信成为可能,从而防止互联网遭到大规模监控、“在大多数时候,提供一定程度的安全性”。

免责声明
隐私政策
用户协议
目录 22
0{{catalogNumber[index]}}. {{item.title}}
{{item.title}}