Modernizace Podpory Protokolů SSL/TLS V Privoxy Student: Bc

ZADÁNÍ DIPLOMOVÉ PRÁCE

Název: Modernizace podpory protokolů SSL/TLS v Privoxy Student: Bc. Václav Švec Vedoucí: Ing. Josef Kokeš Studijní program: Informatika Studijní obor: Počítačová bezpečnost Katedra: Katedra informační bezpečnosti Platnost zadání: Do konce letního semestru 2020/21

Pokyny pro vypracování

1) Proveďte rešerši vývoje šifrovaného HTTP v aktuálních prohlížečích za poslední tři roky. Zohledněte i změny v používaných certifikátech. 2) Zhodnoťte, jak tento vývoj ovlivňuje problematiku filtrování HTTPS pomocí proxy serveru. Vyjděte ze své předchozí implementace podpory SSL/TLS do Privoxy. 3) Navrhněte úpravy do Privoxy pro modernizaci jeho SSL/TLS podpory a zajištění jeho funkcionalit při filtrování komunikace moderních prohlížečů. 4) Analyzujte další uživatelské a programátorské nedostatky předchozí verze podpory SSL/TLS a navrhněte jejich řešení. 5) Proveďte takové úpravy v Privoxy, které popsané nedostatky vyřeší. 6) Otestujte původní i modernizovanou verzi Privoxy v aktuálně používaných prohlížečích. 7) Diskutujte dosažené výsledky.

Seznam odborné literatury

Dodá vedoucí práce.

prof. Ing. Róbert Lórencz, CSc. doc. RNDr. Ing. Marcel Jiřina, Ph.D. vedoucí katedry děkan

V Praze dne 31. ledna 2020

Diplomov´apr´ace

Modernizace podpory protokol˚uSSL/TLS v Privoxy

Bc. V´aclav Svecˇ

Katedra informaˇcn´ıbezpeˇcnosti Vedouc´ıpr´ace:Ing. Josef Kokeˇs

18. kvˇetna2020

Podˇekov´an´ı

Rádbych podˇekoval Ing. Josefu Kokeˇsovi za jeho cennérady, podnˇetnépˇripo- m´ınkya velmi vstˇr´ıcnýa obˇetavýpˇr´ıstuppˇriveden´ıtétopráce.

Prohl´aˇsen´ı

Prohlaˇsuji,ˇzejsem pˇredloˇzenouprácivypracoval(a) samostatnˇea ˇzejsem uvedl(a) veˇskerépouˇzitéinformaˇcn´ızdroje v souladu s Metodickýmpokynem o eticképˇr´ıpravˇevysokoˇskolských závˇereˇcných prac´ı. Beru na vˇedom´ı,ˇzese na moji práci vztahuj´ıpráva a povinnosti vyplývaj´ıc´ı ze zákona ˇc.121/2000 Sb., autorskéhozákona, ve znˇen´ıpozdˇejˇs´ıch pˇredpis˚u. V souladu s ust. § 46 odst. 6 tohoto zákona t´ımto udˇelujinevýhradn´ıoprávnˇen´ı (licenci) k uˇzit´ıtétomoj´ıpráce, a to vˇcetnˇevˇsech poˇc´ıtaˇcových program˚u,jeˇz jsou jej´ısouˇcást´ıˇcipˇr´ılohou,a veˇskeréjejich dokumentace (dálesouhrnnˇejen D´ılo“), a to vˇsemosobám,kterési pˇrej´ıD´ılouˇz´ıt.Tyto osoby jsou oprávnˇeny ” D´ılouˇz´ıtjakýmkoli zp˚usobem, kterýnesniˇzujehodnotu D´ıla,a za jakýmkoli úˇcelem(vˇcetnˇeuˇzit´ık výdˇeleˇcnýmúˇcel˚um).Toto oprávnˇen´ıje ˇcasovˇe,teri- toriálnˇei mnoˇzstevnˇeneomezené.Kaˇzdáosoba, kterávyuˇzijevýˇseuvedenou licenci, se vˇsakzavazuje udˇelitke kaˇzdému d´ılu,kterévznikne (byt’ jen zˇcásti) na základˇeD´ıla,úpravou D´ıla,spojen´ımD´ılas jinýmd´ılem,zaˇrazen´ımD´ıla do d´ılasoubornéhoˇcizpracován´ımD´ıla(vˇcetnˇepˇrekladu),licenci alespoˇnve výˇseuvedenémrozsahu a zároveˇnzpˇr´ıstupnitzdrojovýkódtakovéhod´ılaale- spoˇnsrovnatelnýmzp˚usobem a ve srovnatelnémrozsahu, jako je zpˇr´ıstupnˇen zdrojovýkódD´ıla.

V Praze dne 18. kvˇetna2020 ...... Ceskévysokéuˇcen´ıtechnickévˇ Praze Fakulta informaˇcn´ıch technologi´ı © 2020 Václav Svec.ˇ Vˇsechna práva vyhrazena. Tato práce vznikla jako ˇskoln´ı d´ılo na Ceskémvysokémuˇcen´ıˇ technickém v Praze, Fakultˇeinformaˇcn´ıch technologi´ı.Práce je chránˇenaprávn´ımipˇredpisy a mezinárodn´ımiúmluvamio právuautorskéma právech souvisej´ıc´ıchs právem autorským.K jej´ımuuˇzit´ı,s výjimkoubezúplatnýchzákonnýchlicenc´ıa nad rámec oprávnˇen´ıuvedenýchv Prohláˇsen´ına pˇredchoz´ıstranˇe,je nezbytnýsou- hlas autora.

0.0.1 Odkaz na tuto práci Svec,ˇ Václav. Modernizace podpory protokol˚uSSL/TLS v Privoxy. Diplomová práce.Praha: Ceskévysokéuˇcen´ıˇ technickév Praze, Fakulta informaˇcn´ıch technologi´ı,2020. Abstrakt

Prácereaguje na vývoj ˇsifrovanéhoHTTP v modern´ıch webových prohl´ıˇzeˇc´ıch bˇehemposledn´ıtˇr´ılet. Zejménase zamˇeˇrujena zmˇeny, kterése týkaj´ıproxy server˚ua webových certifikát˚ua hodnot´ıjejich dopady na filtrován´ıHTTPS pomoc´ıproxy server˚u.Souˇcást´ıpráceje i návrha implementace úprav, které rozˇsiˇruj´ıpˇredchoz´ıimplementaci podpory SSL/TLS do proxy serveru Privoxy. Tyto úpravy umoˇzˇnuj´ı filtrován´ı veˇskerékomunikace modern´ıch webových prohl´ıˇzeˇc˚ua zároveˇnkladou d˚urazna zachován´ıdostateˇcnéhovýkonu proxy serveru. Dosaˇzenévýsledkyjsou testovány a zhodnoceny v porovnán´ıs pˇred- choz´ımiverzemi Proxy serveru Privoxy. Zároveˇnjsou doplnˇeny o dalˇs´ıvhodná vylepˇsen´ı.

Kl´ıˇcová slova webovýprohl´ıˇzeˇc,proxy server, filtrován´ı, Privoxy, TLS, HTTPS

7 Abstract

The thesis reacts to the development of encrypted HTTP in modern web browsers over the last three years. It focuses particularly on changes that af- fect proxy servers and web certificates and evaluates their impact on HTTPS filtering using proxy servers. The thesis also includes the design and implementation of modifications that extend the previous implementation of SSL/TLS support to the Privoxy proxy server. These modifications allow filtering of all communication of modern web browsers and at the same time emphasize the maintenance of sufficient proxy server performance. The achieved results are tested and evaluated in comparison with previous versions of the Privoxy proxy server. At the same time, they are supplemented by other suitable im- provements.

Keywords web browser, proxy server, ﬁltering, Privoxy, TLS, HTTPS

8 Obsah

Uvod´ 1

1 Vyvoj´ ˇsifrovaného HTTP 3 1.1 Prvn´ıverze protokolu a jej´ıvylepˇsen´ı...... 3 1.2 HTTP/2 ...... 4 1.3 HTTPS ...... 4 1.4 Aktuáln´ıvývoj ve webových prohl´ıˇzeˇc´ıch ...... 5 1.4.2 Odstranˇen´ıCBC móduu ECDSA TLS ...... 5 1.4.3 Odebrán´ıTLS 1.2 ECDSA s SHA-1 a SHA-512 . . . . . 5 1.4.4 Ukonˇcen´ıd˚uvˇerypro SHA-1 certifikáty ...... 6 1.4.5 Odebrán´ınestandardizovanéverze ChaCha20-Poly1305 6 1.4.6 Cookies striktnˇepˇresHTTPS spojen´ı ...... 7 1.4.7 Podpora shody Common Name v certifikátech ...... 7 1.4.8 Pˇrihlaˇsovac´ıúdaje v dotazech na subresource ...... 7 1.4.9 Certificate Transparency (CT) ...... 8 1.4.10 Notifikaˇcn´ıAPI jen pˇresHTTPS ...... 10 1.4.11 TLS 1.3 ...... 10 1.4.12 Komprese certifikát˚u...... 11 1.4.13 AppCache pouze pro zabezpeˇcenéHTTP ...... 11 1.4.14 Uprava´ hodnot User-Agent ...... 11 1.4.15 Token Binding ...... 12 1.4.16 Zneplatnˇen´ıcertifikát˚uSymantec ...... 14 1.4.17 Odebrán´ıHTTP Public Key Pinning ...... 14 1.4.18 Web Packaging ...... 15 1.4.19 Hodnota User-Agent v hlaviˇcce CONNECT ...... 15 1.4.20 Sm´ıˇsenýobsah ...... 16 1.4.21 Parametr SameSite u cookies ...... 17 1.4.22 TLS 1.0 a TLS 1.1 ...... 18 1.4.23 Opatˇren´ıproti TLS downgrade útok˚um ...... 18

9 1.4.24 Stahován´ıze zabezpeˇcenéhokontextu ...... 19 1.4.25 Zastarán´ınezabezpeˇcenéhoHTTP ...... 19 1.5 Souhrn ...... 19

2 Dopady pro proxy servery 23 2.1 Zmˇeny v certiﬁk´atech ...... 23 2.2 Zmˇeny pro proxy servery ...... 27

3 Návrh uprav´ 33 3.1 Proxy server Privoxy ...... 33 3.2 Výstupbakaláˇrsképráce...... 33 3.3 Novˇeimplementovanározˇs´ıˇren´ı ...... 36

4 Implementace 41 4.1 Pouˇzit´ıverzovac´ıhosystému Git ...... 41 4.2 Zmˇenakryptografickéknihovny ...... 43 4.3 Konfigurace kompilaˇcn´ıch skript˚u...... 44 4.4 Filtrován´ıpˇrijatých poˇzadavk˚u ...... 45 4.5 Zmˇeny konfiguraˇcn´ıhorozhran´ı ...... 50 4.6 Opakovanépouˇz´ıván´ıTLS sessions ...... 52 4.7 Sd´ılen´ıTLS sessions ...... 59 4.8 Konfigurace ˇsifrových sad ...... 62

5 Testov´an´ı dosaˇzenych´ vysledk´ ˚u 65 5.1 Funkˇcnost...... 65 5.2 V´ykonnost ...... 66 5.3 Bezpeˇcnost ...... 69 5.4 Dalˇs´ımoˇznosti rozvoje ...... 69

Z´avˇer 73

Literatura 75

A Seznam pouˇzitych´ zkratek 79

BUˇzivatelská pˇr´ıruˇcka 81 B.1 Poˇzadavky pro instalaci ...... 81 B.2 Instalace ...... 81 B.3 Nastaven´ıwebovéhoprohl´ıˇzeˇce ...... 82 B.4 Konfigurace proxy serveru ...... 82

C Obsah pˇriloˇzen´eho CD 85

10 Seznam obr´azk˚u

1.1 Komunikace jednotlivých prvk˚uCT ...... 9 1.2 Komunikace pˇripouˇzit´ıprotokolu Token Binding ...... 13 1.3 Ukázkaproblému se sm´ıˇsenýmobsahem ...... 16 1.4 TLS verze protokolu a jejich vyuˇz´ıván´ıve webovém prohl´ıˇzeˇci. . . 18

2.1 Parametry certifikátu www.privoxy.org ...... 24 2.2 Ukázkaparametru SCT list v certifikátu www.privoxy.org . . . . . 25 2.3 Nastaven´ıúˇcelupro certifikát www.privoxy.org ...... 27 2.4 Rozdˇelen´ıTLS spojen´ıpˇripouˇzit´ıproxy serveru ...... 30

3.1 Srovnán´ıp˚uvodn´ıdoby naˇc´ıtán´ıwebových stránekpodle metody . 38 3.2 Naˇc´ıtán´ıjednotlivých ˇcást´ıwebovéstránkyv bakaláˇrsképráci. . . 39

4.1 Zpracován´ıHTTPS komunikace metodou TLS tunelu ...... 48 4.2 Zpracován´ıHTTPS komunikace metodou MITM ...... 49 4.3 Zpracován´ıHTTPS komunikace rozˇs´ıˇren´ımiv diplomovépráci . . 50 4.4 Konfiguraˇcn´ırozhran´ıPrivoxy ...... 51 4.5 Princip opakovaného pouˇz´ıván´ızabezpeˇcených spojen´ı ...... 53 4.6 Pˇrij´ımán´ıpoˇzadavk˚ubez a s opˇetovnýmvyuˇz´ıván´ımTLS spojen´ı. 56 4.7 TLS sessions s nadˇrazenýmproxy, kratˇs´ılokáln´ıˇcasovýlimit . . . 58 4.8 TLS sessions s nadˇrazenýmproxy, delˇs´ılokáln´ıˇcasovýlimit . . . . 59

5.1 Srovnán´ıdoby naˇc´ıtán´ıwebových stránekpodle pouˇzitémetody . 67 5.2 Vliv hodnoty parametru na dobu naˇc´ıtán´ıwebových stránek. . . . 68

Seznam tabulek

1.1 Srovnán´ıvývoje ˇsifrovanéhoHTTP ve webových prohl´ıˇzeˇc´ıch . . . 20

4.1 Pouˇzit´ınových pˇrep´ınaˇc˚ukonfiguraˇcn´ıhoskriptu ...... 45 4.2 Výbˇerobsluhovanéhospojen´ına základˇeparametr˚u ...... 47 4.3 Funkce nezbytnépro zaˇclenˇen´ınovékryptografickéknihovny . . . 60

5.1 Podpora kryptografických protokol˚ua algoritm˚uv Privoxy . . . . 66 5.2 UspˇeˇsnostPrivoxy´ pˇriodhalován´ınedostatk˚uSSL/TLS spojen´ı . . 70

Uvod´

Technologie pro pˇrenosdat mezi dvˇemakoncovýmizaˇr´ızen´ımi se neustále vyv´ıj´ıod prvn´ıch experimentáln´ıch s´ıt´ıaˇzpo nejnovˇejˇs´ıverze protokolu HTTP. V pr˚ubˇehu tohoto vývoje vznikly webovéprohl´ıˇzeˇcejako nástroje umoˇzˇnuj´ıc´ı jednoduˇs´ıa efektivnˇejˇs´ız´ıskán´ıa zobrazen´ıdat. Modern´ıwebovéprohl´ıˇzeˇcere- aguj´ına vývoj nových technologi´ıa mnohdy tento vývoj i pˇredurˇcuj´ı.Zmˇenám se potémus´ıpˇrizp˚usobiti mezilehlázaˇr´ızen´ı,jako jsou napˇr´ıkladproxy servery. Jen tak mohou uˇzivatel˚umzaruˇcitbezproblémovou funkˇcnostpˇripouˇzit´ı modern´ıch webových prohl´ıˇzeˇc˚u. Proxy servery rozˇsiˇruj´ımoˇznostiuˇzivatel˚unapˇr´ıklado filtrován´ıveˇskeré pˇrenáˇsenékomunikace. To umoˇzˇnujeodstranˇen´ı neˇzádouc´ıho obsahu, jako jsou napˇr´ıkladreklamy. C´ılenéfiltrován´ıkomunikace ovˇsemm˚uˇzeslouˇziti pro zvýˇsen´ıbezpeˇcnostiuˇzivatele. K tomu slouˇz´ınapˇr´ıkladblokován´ıpoˇzadavk˚u na potencionálnˇenebezpeˇcnéskripty, ˇcizmˇenaobsahu poˇzadavk˚utak, aby byla zt´ıˇzenaidentifikace jejich odesilatele. C´ılem této diplomovépráceje analýzamodern´ıch webových prohl´ıˇzeˇc˚u z hlediska vývoje ˇsifrovanéhoHTTP bˇehemposledn´ıch tˇr´ılet. Zároveˇnse práce vˇenuje souvisej´ıc´ımzmˇenámv pouˇz´ıvaných webových certifikátech, kterémo- hou býtbˇehemnavazován´ıˇsifrovanéhoHTTP spojen´ıvyuˇzity k autentizaci protistrany. Na základˇetétoanalýzy a analýzypˇredchoz´ıverze podpory TLS v proxy serveru Privoxy jsou následnˇenavrˇzenaa implementovánavhodná rozˇs´ıˇren´ı tohoto proxy serveru. Ta umoˇzˇnuj´ı filtrovat veˇskerou HTTPS komunikaci pˇrenáˇsenoupˇresproxy server, a to vˇcetnˇeHTTP hlaviˇcek.Zároveˇn tato rozˇs´ıˇren´ızohledˇnuj´ıvývoj aktuáln´ıch webových prohl´ıˇzeˇc˚u.D´ıkytomu je zaruˇcenakompatibilita výslednéhoˇreˇsen´ıs tˇemitoprohl´ıˇzeˇci. Implementaˇcn´ıˇcástprácenavazuje na výstupy bakaláˇrsképráce[1],která poskytuje rozˇs´ıˇren´ıumoˇzˇnuj´ıc´ıˇcásteˇcnˇefiltrovat TLS komunikaci v proxy severu Privoxy. Proto se tato prácezamˇeˇruje i na uˇzivatelskéa programátorské nedostatky pˇredchoz´ıch verz´ı proxy serveru, pro kteréjsou navrˇzenaa im- plementovánanovávhodnˇejˇs´ıˇreˇsen´ı. Analýzanedostatk˚use pak zamˇeˇruje

1 Uvod´ zejménana zjednoduˇsen´ı zdrojového kóduproxy serveru tak, aby byl jed- noduˇsejispravovatelnýa rozˇsiˇrovatelný.Dálejsou analyzovány moˇznostipro zajiˇstˇen´ıdostateˇcnéhovýkonu pro praktickévyuˇz´ıván´ıproxy serveru. Toho je dosaˇzenod´ıkyimplementaci nových podp˚urných mechanism˚u. Souˇcást´ıpráceje i testován´ıdosaˇzených výsledk˚ua vyhodnocen´ıtˇechto test˚u,a to z pohledu funkˇcnosti,bezpeˇcnostia výkonnosti. Tyto výsledky jsou zároveˇnsrovnány s výsledkymodern´ıch webových prohl´ıˇzeˇc˚u,pˇr´ıpadnˇe s pˇredchoz´ımiverzemi proxy serveru Privoxy. Naznaˇcenajsou i vhodnábu- douc´ırozˇs´ıˇren´ıproxy serveru.

2 Kapitola 1

V´yvojˇsifrovan´ehoHTTP

Protokol HTTP (HyperText Transfer Protocol) vytvoˇril v letech 1989 aˇz1991 Tim Berners-Lee a jeho tým.Jednáse o základn´ıprotokol pro komunikaci klienta s WWW (World Wide Web) servery, kterýumoˇzˇnujepˇrenáˇsetnejen hypertextovédokumenty, ale i jinétypy soubor˚u.Od svéhovzniku aˇzdo souˇcasnostiproˇselˇradouzmˇen.Tato kapitola se vˇenuje vývoji tohoto protokolu se zamˇeˇren´ım na jeho ˇsifrovanou verzi, tedy HTTP secure (HTTPS).[2]

1.1 Prvn´ıverze protokolu a jej´ıvylepˇsen´ı

Prvn´ıverze protokolu byla pozdˇejioznaˇcenaHTTP/0.9. Celýpoˇzadavek se v tétoverzi skládalpouze z jednéˇrádkys jedinou moˇznoumetodou GET. Odpovˇed’ obsahovala pouze vyˇzádanýsoubor. Kv˚ulisvýmlimit˚umbyla tato verze brzy rozˇs´ıˇrenao stavovékódyv kaˇzdéodpovˇediserveru. Ty umoˇznily webovému prohl´ıˇzeˇcidetekovat chyby pˇrizpracován´ıpoˇzadavk˚ua pˇrizp˚usobit jim svéchován´ı.Jedn´ımz dalˇs´ıch rozˇs´ıˇren´ıbyla definice HTTP hlaviˇcky, a to jak v poˇzadavku klienta, tak v odpovˇediserveru. Ta umoˇznilapˇrenáˇsetmeta- data, a t´ımuˇcinilaprotokol flexibiln´ıma rozˇsiˇritelným.Takto rozˇs´ıˇrenáverze je oznaˇcována jako HTTP/1.0.[2] Následuj´ıc´ı verze HTTP/1.1 je prvn´ı standardizovanou verz´ı protokolu. Byla publikovánav roce 1997 jen nˇekolik mˇes´ıc˚upo verzi HTTP/1.0. Z ˇrady vylepˇsen´ıje d˚uleˇzitézejménaodstranˇen´ınedostatk˚upˇriopakovanémpouˇz´ıván´ı spojen´ı.D´ıkytomu m˚uˇzebýtuspoˇren ˇcasna jeho opˇetovnénavazován´ı,pokud klient ˇzádáv´ıce dokument˚uod jednoho serveru. Je umoˇznˇenozaslat druhý poˇzadavek na server pˇredpˇrijet´ımúplnéodpovˇedina poˇzadavek pˇredchoz´ı. T´ımje sn´ıˇzenalatence komunikace. D´ıkyparametru Host v hlaviˇccepoˇzada- vku, kterýje v tétoverzi protokolu jiˇzpovinný,je moˇznéprovozovat nˇekolik r˚uzných doménpod stejnou IP adresou. Pˇridán´ıdalˇs´ıch parametr˚udo hlaviˇcek umoˇzˇnujevyjednáván´ıo vlastnostech ˇzádaných dokument˚u,jako je napˇr.jazyk ˇcikódován´ı.Protokol HTTP/1.1 byl d´ıkysvésnadnérozˇsiˇritelnosti vylepˇsen dvˇemarevizemi a je dodnes vyuˇz´ıvaný.[2]

3 1. Vyvoj´ ˇsifrovaneho´ HTTP

1.2 HTTP/2

S rostouc´ımobjemem pˇrenáˇsených dat a nar˚ustaj´ıc´ısloˇzitost´ıwebových strá- nek výraznˇevzrostl i poˇcetHTTP poˇzadavk˚u.Lze vyuˇz´ıtparaleln´ıspojen´ı,coˇz ovˇsempˇrináˇs´ıznaˇcnoureˇziia sloˇzitostkomunikace. V roce 2010 pˇredstavila spoleˇcnostGoogle alternativn´ızp˚usobpˇrenosudat mezi klientem a serverem pomoc´ıexperimentáln´ıhoprotokolu SPDY, kterýse zamˇeˇrujeprávˇena tyto problémy. Hlavn´ırozd´ılyoproti HTTP/1.1 jsou:[2][3]

• Na rozd´ılod pˇredchoz´ıch verz´ı, kterébyly textové,je HTTP/2 binárn´ı. To umoˇzˇnujejeho jednoduˇs´ıa rychlejˇs´ızpracován´ı.

• Paraleln´ıpoˇzadavky mohou býtpˇrenáˇseny pˇresjedno spojen´ıbez ohledu na jejich poˇrad´ı.Zpoˇzdˇen´ıjednoho dotazu tak neblokuje ostatn´ı.Staˇc´ı tedy navázatpouze jedno TCP spojen´ımezi klientem a serverem.

• Docház´ıke kompresi hlaviˇcek, kteréjsou ˇcastopodobnénapˇr´ıˇcjednot- livýmidotazy. Odstraˇnuj´ıse tak duplicity a sniˇzujereˇzie.

• Pomoc´ımechanismu Server push je serveru umoˇznˇenoodeslat data klientovi dˇr´ıve, neˇzsi je vyˇz´ad´a.

• Pˇr´ıjemce m˚uˇzevyuˇz´ıt mechanismy pro ˇr´ızen´ı toku dat od odesilatele a zároveˇnm˚uˇzeovlivnit i nˇekteréparametry protokolu. D´ıkytomu dokáˇze chránitsvéomezenéprostˇredky.

Protokol vycházej´ıc´ız SPDY byl publikovánv roce 2015 jako HTTP/2 a nyn´ı je pouˇz´ıvánpˇribliˇznˇe43 % webových stránek.Je tedy provozován paralelnˇes pˇredchoz´ımiverzemi protokolu.[4] P˚uvodnˇese pˇredpokládalojeho pouˇz´ıván´ıpouze pˇreszabezpeˇcenéspojen´ı.To nakonec nen´ıstriktnˇevyˇzadová- no, ale nˇekteréwebovéprohl´ıˇzeˇceneˇsifrovanéHTTP/2 spojen´ıneumoˇzˇnuj´ı.[3]

1.3 HTTPS

HTTP protokol vyuˇz´ıvápro pˇrenosdat protokol TCP/IP. Zásadn´ı zmˇena ovˇsemnastala v roce 1994, kdy spoleˇcnostNetscape Communications rozˇs´ıˇrila protokol o ˇsifrovanou vrstvu, tedy o protokol SSL. T´ımzajistila d˚uvˇernost pˇrenáˇsených dat mezi klientem a serverem a zároveˇnumoˇznilakontrolovat i integritu a autentiˇcnosttˇechto dat. Vznikl tak protokol HTTPS (HyperText Transfer Protocol Secure). Následnˇebyl protokol SSL nahrazen protokolem TLS. T´ımse odstranila ˇradap˚uvodn´ıch zranitelnost´ı.[2]

4 1.4. Aktuáln´ıvývoj ve webových prohl´ıˇzeˇc´ıch

1.4 Aktuáln´ıvývoj ve webových prohl´ıˇzeˇc´ıch

I v souˇcasnostise protokoly HTTP a HTTPS neustálevyv´ıj´ı.Webovéprohl´ıˇze- ˇcei proxy servery tak mus´ıneustálereagovat na tyto zmˇeny. Tato sekce popisuje zmˇeny ve webových prohl´ıˇzec´ıch od zaˇcátkuroku 2017, kterése týkaj´ı zejménaprotokolu HTTPS. Následujetabulka srovnávaj´ıc´ı aktuálnˇeˇsiroce rozˇs´ıˇrenéwebovéprohl´ıˇzeˇcepodle implementace tˇechto rozˇs´ıˇren´ı.

1.4.1 RSA-PSS pro TLS

Radaˇ kryptografických metod se spoléhána pˇredpoklad, ˇzepokud veˇrejnˇe zdokumentovanéa dobˇreznáméalgoritmy byly pˇrezkoumány velkýmpoˇctem odborn´ık˚ubez jakýchkoli pr˚ulom˚u, je tento algoritmus bezpeˇcný.V minulosti se ale ukázalo,ˇzei algoritmy kterébyly povaˇzovány za bezpeˇcné,byly po ˇcaseprolomeny (MD5, SHA-1 a RSA 512/768 bit). Je ale ˇzádouc´ıposkytnout tzv. prokazatelnézabezpeˇcen´ı.To nem˚uˇzeoznaˇcitcelýkryptografickýsystém za bezpeˇcný,ale m˚uˇzeprohlásit,ˇzebezpeˇcnostsystému souvis´ıs bezpeˇcnost´ı základn´ıhoproblému.[5] V roce 1996 navrhli Mihir Bellare a Phillip Rogaway dvˇeprokazatelnˇe bezpeˇcnáschématapro RSA: Probabilistic Signature Scheme (PSS) pro po- depisován´ıa Optimal Asymmetric Encryption Padding (OAEP) pro ˇsifrován´ı. Bezpeˇcnosttˇechto schémattedy pˇr´ımosouvis´ıs bezpeˇcnost´ıRSA a pouˇzitou hashovac´ıfunkc´ı.[5] TLS 1.3 se od TLS 1.2 liˇs´ımimo jinéi ve zmˇenˇeRSA padding na pouˇz´ıván´ı RSASSA-PSS.[6] V rámcipˇr´ıprav na podporu protokolu TLS 1.3 tak nˇekteré webovéprohl´ıˇzeˇces pˇredstihemimplementovaly PSS algoritmy pro podepi- sován´ıi pˇrivyuˇzit´ıprotokolu TLS 1.2.[7]

1.4.2 Odstranˇen´ıCBC m´oduu ECDSA TLS

CBC módpro TLS je problematickýa je velmi obt´ıˇzného implementovat bezpeˇcnˇe.Aˇckoliv je ˇsifrovac´ımódCBC velmi rozˇs´ıˇrenýpro RSA, pro ECDSA (Elliptic Curve Digital Signature Algorithm) se prakticky nevyuˇz´ıvá.Proto se nˇekteréwebovéprohl´ıˇzeˇcerozhodly z podporovaných ˇsifrových sad TLS odebrat ECDHE ECDSA WITH AES 128 CBC SHA a ECDHE ECDSA WITH- AES 256 CBC SHA.[7]

1.4.3 Odebr´an´ıTLS 1.2 ECDSA s SHA-1 a SHA-512

TLS handshake se pro verzi TLS 1.2 skládáz ˇradykrok˚u.Klient iniciuj´ıc´ı handshake zas´ılána server tzv. Client Hello Message. Kromˇenáhodných byt˚u,session ID (pokud jiˇzbylo spojen´ıdˇr´ıve navázáno)a seznamu ˇsifrových sad m˚uˇzeobsahovat i seznam poˇzadovaných rozˇs´ıˇren´ı.Jedn´ımz nich je i sig- ” nature algorithms“. D´ıkynˇemu m˚uˇzeklient ˇr´ıci,kterépáryalgoritm˚u(pro

5 1. Vyvoj´ ˇsifrovaneho´ HTTP podpis a pro hash) mohou býtpouˇzity v digitáln´ıch podpisech, tedy které algoritmy u digitáln´ıch podpis˚ubude akceptovat.[8] Pokud server podporuje nˇekterouze ˇsifrových sad pˇrijatých od klienta, odpov´ıdána jeho zprávu.Ta obsahuje náhodnéˇc´ıslo, verzi ˇsifrovésady podle svépreference, session ID a seznam rozˇs´ıˇren´ı,kteráklient vyˇzaduje a zároveˇn mu je m˚uˇzeserver poskytnout. Pokud server nepodporuje vˇsechna rozˇs´ıˇren´ı vyˇzadovanáklientem, mus´ıi tak spojen´ıakceptovat. Klient se pak m˚uˇzeroz- hodnout, jestli chce ve spojen´ıpokraˇcovat.[8] Aby byla sn´ıˇzena závislostwebových prohl´ıˇzeˇc˚una algoritmu SHA-1, a aby se webovéprohl´ıˇzeˇcepˇripravily na jinézacházen´ıs ECDSA v TLS 1.3, od- straˇnuj´ıalgoritmy ECDSA s SHA-1 a ECDSA s SHA-512 z rozˇs´ıˇren´ı signature algorithms zas´ılaných na server. Pro protokol ECDSA byly obvykle ponechány pouze SHA-256 a SHA-384.[7]

1.4.4 Ukonˇcen´ıd˚uvˇerypro SHA-1 certiﬁk´aty

Hashovac´ı funkce SHA-1 byla oficiálnˇeoznaˇcenaza zastaralou americkým National Institute of Standards and Technology (NIST) v roce 2011, a to pro bezpeˇcnostn´ıslabiny prokázanév r˚uzných analýzách a teoretických útoc´ıch. Pˇrestobyla pouˇz´ıvánajeˇstˇev roce 2017 pro podepisován´ıdokument˚u,TLS certifikát˚ui v dalˇs´ıch aplikac´ıch, jako je napˇr´ıkladGit. V roce 2017 pˇredstavila skupina odborn´ık˚uútok,kdy se jim podaˇrilovytvoˇritdva r˚uznévalidn´ıPDF dokumenty se stejnýmSHA-1 otiskem. Jednáse tedy o útoknalezen´ımko- lize, tzn. nalezen´ıdvou r˚uzných vstup˚u,pro kteréSHA-1 vygeneruje stejný otisk, kterýnen´ıpˇredemdefinovaný.To vˇsese podaˇrilopˇribliˇznˇe100 000 krát rychleji neˇzpˇripouˇzit´ıútokuhrubou silou. [9] V reakci na publikován´ıtohoto útokupˇrestalywebovéprohl´ıˇzeˇced˚uvˇeˇrovat certifikát˚um,kterébyly vytvoˇrenéprávˇepomoc´ıSHA-1.

1.4.5 Odebr´an´ınestandardizovan´everze ChaCha20-Poly1305

ChaCha20-Poly1305 je ˇsifra typu Authenticated Encryption with Additional Data (AEAD). Sifryˇ typu AEAD jsou speciáln´ı d´ıky kombinaci ˇsifrovac´ıho algoritmu a Message Authentication Code (MAC) v jednom celku. Sifrovac´ıˇ algoritmy lze kombinovat s MAC i samostatnˇe,ale i dva samostatnˇebezpeˇcné prvky lze spojit do nebezpeˇcnékombinace. Doˇslonapˇr´ıkladk prolomen´ınˇekte- rých dvojic d´ıkypouˇzit´ıstejnéhokl´ıˇcepro ˇsifrovac´ıalgoritmus i MAC (AES- CBC s CBC-MAC).[10] V roce 2013 byla ve verzi 31 webovéhoprohl´ıˇzeˇceChrome nasazena nová TLS ˇsifrovásada ChaCha20-Poly1305. Ta byla pozdˇejistandardizovánajako RFC 7539 a RFC 7905. Tato standardizovanáverze byla nasazena do prohl´ıˇzeˇce Chrome v roce 2016, a tak mohla býto rok pozdˇejiodstranˇena p˚uvodn´ıne- standardizovanáverze.[7] Dalˇs´ı z hlavn´ıch webových prohl´ıˇzeˇc˚uzavedly aˇz standardizovanou verzi protokolu, a tak nemusely pˇredchoz´ıverzi odeb´ırat.

6 1.4. Aktuáln´ıvývoj ve webových prohl´ıˇzeˇc´ıch

1.4.6 Cookies striktnˇepˇresHTTPS spojen´ı

Parametrem Set-Cookie v hlaviˇcceHTTP odpovˇedim˚uˇzeserver poˇzádat klienta, aby na svéstranˇeuloˇzildata následuj´ıc´ıza t´ımto parametrem. Za daty pak m˚uˇzenásledovat i parametr Secure jako na pˇr´ıkladun´ıˇze:

Set-Cookie: =; Secure

Takto oznaˇcenécookies sm´ıklient odeslat v poˇzadavku na sever pouze pokud je spojen´ıse serverem zabezpeˇcené.[11]Nicménˇestarˇs´ıverze prohl´ıˇzeˇc˚u umoˇzˇnovaly pˇridata odebrat Secure cookies, i kdyˇzbyly pˇr´ısluˇsnépokyny pˇrijaty pˇresnezabezpeˇcenéspojen´ı.Novéaktualizace uˇzale znemoˇzˇnuj´ıjak- koli ovlivˇnovat Secure cookies pˇresnezabezpeˇcenéspojen´ı.[7]

1.4.7 Podpora shody Common Name v certifikátech Aby klient pˇredeˇselútok˚umtypu Man In The Middle (MITM) na HTTPS spojen´ı,mus´ıporovnat hostname serveru s hostname uvedenýmv certifikátu, kterýod nˇejobdrˇzel.RFC 2818 z roku 2000 ˇr´ıká,ˇzepokud certifikátobsahuje rozˇs´ıˇren´ı Subject Alternative Name typu DNSName, pak mus´ıbýthodnota tohoto rozˇs´ıˇren´ıpouˇzitapro ovˇeˇren´ıidentity serveru. V opaˇcnémpˇr´ıpadˇemus´ı býtpouˇzitonejspecifiˇctˇejˇs´ıpole Common Name v poli Subject. ZároveˇnRFC dodává,ˇzeaˇckoliv je ovˇeˇrován´ıidentity pomoc´ıpole Common Name v praxi pouˇz´ıvané, bylo jiˇz v roce 2000 zastaralé a certifikaˇcn´ı autority (CA) by mˇelypouˇz´ıvat pole DNSName.[12] Webovéprohl´ıˇzeˇcetak postupnˇeodstraˇnuj´ı podporu kontrolován´ıidentity serveru pomoc´ızastaraléhoparametru Common Name a pˇrecházej´ıprávˇena doporuˇcenérozˇs´ıˇren´ı Subject Alternative Name.

1.4.8 Pˇrihlaˇsovac´ı´udaje v dotazech na subresource

Url adresa se skládáz ˇradyˇcást´ı, z nichˇzkaˇzdámásv˚ujspecifickýúˇcel. Jedna z nepovinných ˇcást´ıpˇredcházej´ıc´ıdoménovému jménu slouˇz´ıpro vloˇzen´ı pˇrihlaˇsovac´ıch údaj˚u.Od doménovéhojménaje oddˇelenaznakem @“. Výsled- ” náurl pak m˚uˇzevypadat napˇr´ıkladtakto: http://ima_user:[email protected]/yay.tiff

Nevýhoda tétometody spoˇc´ıváv tom, ˇzedata jsou pˇrenáˇsenajako prostý text. Zároveˇnm˚uˇzedoj´ıtke zmaten´ıuˇzivatele, kterým˚uˇzepˇrihlaˇsovac´ıúdaje povaˇzovat za doménovéjméno.Skuteˇcnédoménovéjménopak m˚uˇzebýtmas- kovánokódován´ım.Nˇekteréwebovéprohl´ıˇzeˇcese tak rozhodly pro zvýˇsen´ı bezpeˇcnosti omezit zas´ılán´ı pˇrihlaˇsovac´ıch údaj˚uv rámcidotaz˚una subresources, tedy pˇrinaˇc´ıtán´ıkaskádových styl˚u,skript˚unebo obrázk˚uv rámci webovéstránky. Dotazy na subresources obsahuj´ıc´ıpˇrihlaˇsovac´ıúdaje tak jsou prohl´ıˇzeˇcemblokovány, nebo je uˇzivatel varovánpˇredtouto skuteˇcnost´ı.[7][13]

7 1. Vyvoj´ ˇsifrovaneho´ HTTP

1.4.9 Certificate Transparency (CT) Webovéprohl´ıˇzeˇcemohou detekovat ˇskodlivéweby s neplatnýmicertifikáty. Souˇcasnékryptografickémechanismy vˇsaknejsou tak dobrév detekci ˇskodli- vých web˚u,pokud jsou jejich certifikáty vydány certifikaˇcn´ıautoritou (CA) chybnˇe, nebo pokud je vydala CA, kterábyla zkompromitovánanebo je neˇces- tná.V takových pˇr´ıpadech webovýprohl´ıˇzeˇcnevid´ı na certifikátunic po- dezˇrelého,protoˇzeCA je z jeho pohledu d˚uvˇeryhodná.Jedn´ımz problém˚uje to, ˇzeneexistuje jednoduchýzp˚usob,jak sledovat certifikáty v reálnémˇcase. Podezˇrelécertifikáty nejsou obvykle detekovány a revokovány nˇekolik týdn˚uˇci mˇes´ıc˚u.Nav´ıc se tyto problémy opakuj´ıˇc´ımdálˇcastˇeji.Jako pˇr´ıkladm˚uˇzeme uvéstCA DigiNotar, kterábyla napadena a útoˇcn´ıcidokázalivydávat libo- volnéfaleˇsnécertifikáty.[14] CT je sluˇzbapro monitorován´ısystému certifikát˚ua jeho auditován´ı.Snaˇz´ı se zm´ırnitzm´ınˇenéproblémy t´ım,ˇzevydáván´ıa existence certifikát˚um˚uˇze býtkontrolovánakýmkoli, tedy vlastn´ıky domén,certifikaˇcn´ımi autoritami i uˇzivateli domény. Klade si zejménanásleduj´ıc´ıc´ıle:[15]

• Znemoˇznitnebo alespoˇnzt´ıˇzit CA vydat certifikátpro doménu, aniˇzby o tom vˇedˇelvlastn´ıkdomény.

• Umoˇznitkomukoli odhalit, pokud byly certifikáty vydány CA omylem, chybnˇenebo se zlýmúmyslem.

• Pˇrimˇetklienty, aby odm´ıtliuznat certifikáty, kterése neobjevuj´ıv CT logu. T´ımby byly CA donuceny pˇridávat do protokol˚uvˇsechny vydané certifikáty.

SluˇzbaCT se skládáz nˇekolika základn´ıch ˇcást´ı.[15]Vzájemnákomunikace mezi nimi je pak popsánana obrázku1.1.

• Logy certifikát˚u Jednáse o jednoduchés´ıt’ovésluˇzby, kteréumoˇzˇnuj´ıkomukoli zalogovat ˇretˇezeccertifikátu.Logy lze pouze pˇridávat, nikoli mˇenitˇciodeb´ırat. Toho je dosaˇzeno pomoc´ıtvz. Merkleho stromu. Jeho princip zároveˇn umoˇzˇnujeefektivnˇeodhalit, pokud se log pokus´ı odeslat r˚uznýmkli- ent˚umr˚uznévýstupy, ˇcijinénekorektn´ıchován´ılogu. Oˇcekáváse, ˇzevˇsechny CA budou zveˇrejˇnovat vˇsechny svénovˇevy- danécertifikáty do jednoho nebo nˇekolika log˚u, pˇr´ıpadnˇeˇzeto bude provedeno majiteli certifikát˚u.Aby nedocházeloke zbyteˇcnému zahl- cen´ı log˚u,vyˇzaduje se, aby kaˇzdýˇretˇezeccertifikátumˇeljako koˇre- novou CA nˇekterouze známých CA. Po zalogován´ıˇretˇezcecertifikátuje navrácenopodepsanéˇcasovéraz´ıtko (Signed Certificate Timestamp, tj. SCT). K podpisu slouˇz´ısoukromýkl´ıˇcCT logu. SCT je pˇr´ısliblogu, ˇze zaˇclen´ıpˇrijatýˇretˇezeccertifikátuv definovanémˇcasovém intervalu.

8 1.4. Aktuáln´ıvývoj ve webových prohl´ıˇzeˇc´ıch

Obr´azek1.1: Komunikace jednotliv´ych prvk˚uCT (upraveno podle [15])

• Monitory Monitory sleduj´ılogy a kontroluj´ı,jestli se chovaj´ıkorektnˇe.Monitory mus´ıpˇrinejmenˇs´ımkontrolovat kaˇzdýnovýzáznam v logu, kterýsleduj´ı. Mohou takéuchovávat kopie celých log˚u. • Auditoˇri Auditoˇriberou jako vstup ˇcásteˇcnéinformace z logu a ovˇeˇruj´ı,jestli jsou v souladu s dalˇs´ımiˇcásteˇcnýmiinformacemi, kterémaj´ı. • TLS klienti TLS klienti nejsou pˇr´ımo klienti CT log˚u,ale z´ıskávaj´ı SCT jinými cestami, napˇr´ıkladv parametrech certifikátu,nebo na vyˇzádán´ıod serveru pˇriTLS handshake. Pˇrivalidaci certifikátu(resp. navazován´ıTLS spojen´ı)by pak nav´ıcmˇeliovˇeˇritpodpis SCT, ˇzeje skuteˇcnˇepodepsaný validn´ımCT logem, a ˇzeSCT byl opravdu vytvoˇrenýpro ovˇeˇrovanýcer- tifikát.Pokud jsou objeveny nesrovnalosti (napˇr.timestamp SCT z bu- doucnosti), mˇelby klient spojen´ıodm´ıtnout.Jak máTLS klient z´ıskat veˇrejnýkl´ıˇcCT logu, ale RFC nespecifikuje.

Webovéprohl´ıˇzeˇcetak postupnˇezaˇcalypodporovat tuto sluˇzbu.Jednou z konkrétnˇezavedených zmˇen je napˇr´ıkladpodpora Expect-CT v hlaviˇcceser- veru. Server nastavuje tento parametr, aby upozornil webovýprohl´ıˇzeˇc,ˇze certifikáty serveru jsou zapsány v CT logu a prohl´ıˇzeˇcby je mˇelkontrolo- vat i pomoc´ısluˇzebCT.[7] Po úspˇeˇsnémzaveden´ıCT pak webovýprohl´ıˇzeˇc Chrome oznámil,ˇzeod dubna 2018 bude vyˇzadovat zapsán´ıvˇsech novˇevy- daných veˇrejnˇed˚uvˇeryhodných certifikát˚udo CT logu.[16] T´ımjsou CA nu- ceny vkládatveˇskerénovˇevydanécertifikáty do CT logu, jinak je tento webový prohl´ıˇzeˇcoznaˇc´ıza ned˚uvˇeryhodné.

9 1. Vyvoj´ ˇsifrovaneho´ HTTP

1.4.10 Notifikaˇcn´ıAPI jen pˇresHTTPS Notifikaˇcn´ıAPI dovoluje webovýmstránkáma aplikac´ımzas´ılatnotifikace, kterése zobraz´ımimo webovýprohl´ıˇzeˇc.Mohou tak zas´ılatinformace uˇzivateli, i kdyˇzjsou ve stavu idle nebo bˇeˇz´ına pozad´ı.[17]Webovéprohl´ıˇzeˇce rozhoduj´ı, kdo a za jakých podm´ınekm˚uˇzepouˇz´ıvat API pro vytváˇren´ınotifikac´ı.Nˇekteré se tak rozhodly omezit pˇr´ıstupskrz nezabezpeˇcenéHTTP spojen´ı.[7]

1.4.11 TLS 1.3 TLS 1.3 je revize protokolu TLS, kterábyla definovánav RFC 8446 v srpnu 2018. Webovéprohl´ıˇzeˇcerychle zareagovaly a brzy zaˇcalypodporovat tuto verzi protokolu. Pˇrinávrhu TLS 1.3 byl kladen d˚urazpˇredevˇs´ımna zvýˇsen´ı výkonnosti a bezpeˇcnostiprotokolu. Nˇekteréz hlavn´ıch rozd´ıl˚ua vylepˇsen´ı oproti pˇredchoz´ıverzi TLS jsou vyjmenovány v následuj´ıc´ımseznamu:[6]

• Podporovanéalgoritmy Seznam podporovaných symetrických ˇsifrovac´ıch algoritm˚ubyl zkrácen o algoritmy, kteréjsou dnes povaˇzovány za zastaralé.Zachovány byly pouze algoritmy, kterépodporuj´ıAEAD. Tedy algoritmy, kterékromˇe d˚uvˇernostipˇrenáˇsených dat poskytuj´ıi kontrolu integrity a autentiˇcnosti tˇechto dat. Klient tak m˚uˇzezároveˇnovˇeˇritp˚uvod dat a skuteˇcnost,ˇze data nebyla bˇehempˇrenosuneoprávnˇenˇeupravena.[18]

• Zero round-trip time (0-RTT) mód Po navázán´ıTLS 1.3 spojen´ımezi klientem a serverem zas´ıláserver klientovi tzv. Pre-Shared Key (PSK). Pˇridalˇs´ımnavazován´ıspojen´ım˚uˇzebýt tento kl´ıˇcvyuˇzitk ovˇeˇren´ıidentity klienta a k zaˇsifrován´ıdat. PSK tak nahrazuje session ID a session tickets z pˇredchoz´ıch verz´ıTLS. Zároveˇn m˚uˇzeklient d´ıkyrozˇs´ıˇren´ı early data zaslat aplikaˇcn´ıdata uˇzv prvn´ı skupinˇezprávna server. To znaˇcnˇeurychl´ıopˇetovnévytváˇren´ıspojen´ı i pˇrenosprvn´ıch dat.

• Sifrovanýhandshakeˇ Novˇepˇridanázpráva typu EncryptedExtensions následujevˇzdybezpro- stˇrednˇeza zprávou ServerHello a je to prvn´ızpráva, kteráje ˇsifrovaná. Zpráva odpov´ıdána seznam rozˇs´ıˇren´ıvyˇzadovaných klientem. Vˇsechny následuj´ıc´ı zprávyhandshake jsou takéˇsifrovány. T´ım se zlepˇsiloza- bezpeˇcen´ıhandshake.

• Restrukturalizace handshake Byla zmˇenˇenastruktura stavovéhoautomatu pro handshake oproti pˇred- choz´ımverz´ımprotokolu. Doˇslotakék redukci nadbyteˇcných zprávzas´ı- laných bˇehemhandshake. Tyto zmˇeny urychluj´ıTLS handshake.

10 1.4. Aktuáln´ıvývoj ve webových prohl´ıˇzeˇc´ıch

• Kryptografickávylepˇsen´ı Nováverze pˇrineslatakéˇradukryptografických vylepˇsen´ı.Jako pˇr´ıklad m˚uˇzemeuvéstpˇridán´ınových podpisových algoritm˚ujako jsou EdDSA. Naopak byly odebrány nˇekterézastaraléalgoritmy jako statickéRSA a Diffie-Hellman.

1.4.12 Komprese certifikát˚u Certifikáty ˇcastopˇredstavuj´ı znaˇcnouˇcástpˇrenáˇsených dat pˇriTLS handshake. Proto by bylo velmi výhodnéprovéstpˇred jejich pˇrenosemkompresi, a d´ıkytomu sn´ıˇzitvelikost pˇrenáˇsených dat bˇehemhandshake. TLS 1.3 za- vedlo ˇsifrován´ı certifikát˚u, d´ıky kterému je moˇznéimplementovat kompresi certifikát˚u,aniˇzby to zp˚usobovalo problémy na mezilehlých zaˇr´ızen´ıch. Radaˇ z nich se totiˇzv praxi pokouˇs´ıodchytávat pˇrenáˇsenécertifikáty, provéstje- jich ovˇeˇren´ı a pˇr´ıpadnˇepˇreruˇsitnavazován´ı spojen´ı. Pokud by vˇsakm´ısto oˇcekávanéhocertifikátutato zaˇr´ızen´ıodhalila na jeho m´ıstˇepouze nesrozumi- telnádata komprimovanéhocertifikátu,mohla by pˇrikroˇcitk pˇreruˇsen´ıspo- jen´ı.Protoˇzejsou vˇsakcertifikáty v TLS 1.3 ˇsifrovány, nem˚uˇzek takovým problém˚umdocházet.[19] Webovéprohl´ıˇzeˇcetak podstupuj´ıúpravy, aby mohly dekomprimovat pˇrija- técertifikáty, a následnˇes nimi zacházetstejnˇejako u starˇs´ıch protokol˚u. Z pohledu proxy server˚uale k ˇzádnýmzmˇenámnedocház´ı,protoˇzek dekom- primaci certifikát˚uby mˇelodocházetuˇzv kryptografických knihovnách. Po- kud ale proxy servery provádˇelykontrolu pˇrenáˇsených certifikát˚uv rámciTLS handshake i pˇripouˇzit´ıTLS tunelu, bude jim to ˇsifrován´ımcertifikát˚uv TLS 1.3 znemoˇznˇeno.

1.4.13 AppCache pouze pro zabezpeˇcenéHTTP AppCache je uloˇziˇstˇeposkytovanéHTML 5, kteréumoˇzˇnujewebovýmapli- kac´ımfungovat i bez pˇripojen´ık Internetu. Do AppCache si aplikace m˚uˇze ukládatsoubory, kteréjsou specifikovány v souboru manifest, kterýje uloˇzený na webovémserveru a server ho zas´ıláklientovi. Takováfunkcionalita ale znaˇcnˇerozˇsiˇrujei moˇznostiútoˇcn´ık˚u.Do AppCache m˚uˇzebýtnapˇr´ıkladuloˇzen soubor s útokem typu Cross-Site Scripting (XSS), kterýse d´ıkypodvrˇzenému manifestu uchovái pˇridalˇs´ıch naˇcten´ıch webovéstránky. Proto webovéprohl´ı- ˇzeˇceomezuj´ıAppCache pouze pro pˇripojen´ıpˇreszabezpeˇcenéHTTP spojen´ı. Postupnˇetaképˇricházej´ıs proklamacemi, ˇzev následuj´ıc´ıch verz´ıch bude podpora AppCache zcela odstranˇena.[20]

1.4.14 Uprava´ hodnot User-Agent RFC 7231[21] ˇr´ıká,ˇzeatribut User-Agent HTTP hlaviˇckyobsahuj´ıc´ıinfor- mace o systému klienta by nemˇel obsahovat ˇzádnézbyteˇcnédetaily. Ty by

11 1. Vyvoj´ ˇsifrovaneho´ HTTP mohly poslouˇzitútoˇcn´ık˚umpˇrihledán´ıkonkrétn´ıch slabin v systému klienta a zároveˇnzjednoduˇsitidentifikaci konkrétn´ıhoklienta. Webovéprohl´ıˇzeˇcetak v souladu se zm´ınˇenýmRFC v nových verz´ıch odstraˇnuj´ı detaily, jako je napˇr´ıkladˇc´ıslobuildu operaˇcn´ıhosystému.[7]

1.4.15 Token Binding Servery generuj´ı tokeny (napˇr.HTTP cookies), kterépak slouˇz´ı aplikac´ım k autentizaci pˇridalˇs´ıch pˇr´ıstupech k chránˇenýmprostˇredk˚um.Toho mohou zneuˇz´ıvat útoˇcn´ıcit´ım,ˇzez´ıskaj´ıtyto tokeny z komunikace nebo ze zaˇr´ızen´ı a zas´ılaj´ıje na server, ˇc´ımˇzse vydávaj´ıza autentizovanéuˇzivatele (tzv. replay útok).Protokol Token Binding se snaˇz´ı zabránittakovýmútok˚umpomoc´ı kryptografickéhosvázán´ıaplikaˇcn´ıch token˚us TLS vrstvou. Pˇrizaslán´ıto- kenu z jinéhozabezpeˇcenéhospojen´ı, neˇzpro kterébyl token vytvoˇren,je tato skuteˇcnostodhalena. Pro zjednoduˇsen´ılze na protokol nahl´ıˇzetz pohledu kaˇzdéze zúˇcastnˇených stran:[22]

1. Token Binding z pohledu klienta Klient vygeneruje dvojici soukroméhoa veˇrejnéhokl´ıˇcepro kaˇzdýser- ver, ideálnˇes pouˇzit´ım bezpeˇcnéhoHW modulu jako je napˇr.Trus- ted Platform Module (TPM). Serveru je zároveˇnprokázáno,ˇzeklient je vlastn´ıkem odpov´ıdaj´ıc´ıhosoukroméhokl´ıˇce.Jako d˚ukazslouˇz´ıTo- ken Binding Message, kteráobsahuje Exported Keying Material (EKM) z akutálnˇepouˇz´ıvanéhoTLS spojen´ıpodepsanésoukromýmkl´ıˇcemkli- enta. EKM hodnota je odvozenáod hodnoty TLS master secret, která je vyuˇz´ıvának odvozen´ıkl´ıˇc˚uTLS spojen´ı.EKM tak oznaˇcujenavázané TLS spojen´ı.T´ımse zabraˇnujereplay útok˚um,protoˇzehodnota Token Binding Message je závislána TLS spojen´ı,ale zároveˇnje nutné,aby aplikace synchronizovala generován´ıa ovˇeˇrován´ıToken Binding Message s TLS handshake. Token Binding Message slouˇz´ık prokázán´ıvlastnictv´ıprivátn´ıhokl´ıˇce klientem. Mus´ı býtposlána,pokud server s klientem úspˇeˇsnˇedojed- nali uˇzit´ıprotokolu Token Binding bˇehemTLS handshake, a mus´ıbýt poslánav prvn´ızprávˇeklienta, kteráobsahuje aplikaˇcn´ıdata. Pˇr´ıpadnˇe m˚uˇzebýti v následuj´ıc´ıch zprávách, aby bylo prokázánovlastnictv´ı i dalˇs´ıch privátn´ıch kl´ıˇc˚u.Zpráva obsahuje sériiToken Binding struktur, z nichˇzkaˇzdáobsahuje Token Binding identifikátor(ID), typ Token Bin- ding a soukromýmkl´ıˇcemklienta podepsanézˇretˇezen´ıEKM, parametr˚u kl´ıˇcea Token Binding typu. Token Binding ID jsou struktury obsahuj´ıc´ıidentifikátorvyjednaných parametr˚uveˇrejnéhokl´ıˇce,veˇrejnýkl´ıˇcklienta a jeho délku.Maj´ıdlou- hou ˇzivotnost. To znamená,ˇzese pouˇz´ıvaj´ıpro v´ıceTLS relac´ıa spojen´ı. Tomu by mˇelybýtpˇrizp˚usobeny i parametry kl´ıˇce.Token Binding ID

12 1.4. Aktuáln´ıvývoj ve webových prohl´ıˇzeˇc´ıch

Obr´azek1.2: Komunikace pˇripouˇzit´ıprotokolu Token Binding

takénikdy nesm´ıbýtpˇrenáˇsenépˇresnezabezpeˇcenéspojen´ıa klient je m˚uˇzekdykoli zneplatnit.

2. Token Binding z pohledu serveru Po pˇrijet´ıToken Binding Message od klienta mus´ıserver ovˇeˇrit,jestli pˇrijatýveˇrejnýkl´ıˇcklienta splˇnujesjednanéparametry. Zároveˇnser- ver ovˇeˇr´ıpodpis v tétozprávˇe.V pˇr´ıpadˇenesrovnalost´ımus´ıserver To- ken Binding odm´ıtnout.Pokud kontrola probˇehneúspˇeˇsnˇe,server pˇredá Token Binding ID aplikaci na serveru a ta ho m˚uˇzepouˇz´ıt pro vy- tvoˇren´ıa ovˇeˇrován´ısecurity tokenu. Schémakomunikace je znázornˇeno na obrázku1.2. TLS vrstvu lze svázatse security tokenem napˇr´ıkladvloˇzen´ımToken Binding ID nebo jeho hashe do security tokenu, pˇr´ıpadnˇeukládán´ım token˚ua k nim pˇr´ısluˇsej´ıc´ım Token Binding ID. Zp˚usobsvázán´ı vol´ı aplikace. Po pˇrijet´ısecurity tokenu od klienta server kontroluje Token Binding ID z tokenu a z TLS spojen´ıs klientem. Pokud si neodpov´ıdaj´ı, mus´ıserver token odm´ıtnout.Pokud je pˇrijatklasickýa svázanýtoken, záleˇz´ı na politikách aplikace, jestli bude dálzpracováván. Aby mohl útoˇcn´ıkúspˇeˇsnˇez´ıskata zneuˇz´ıt(replay attack) svázanýtoken, musel by pouˇz´ıtsoukromýkl´ıˇcklienta, kterýsi klient chrán´ı.

Jako pˇr´ıkladvyuˇzit´ıToken Binding m˚uˇzemeuvéstprotokol HTTPS. Poté co klient se serverem vyjednaj´ıpouˇzit´ıprotokolu Token Binding a naváˇz´ıTLS spojen´ı,pos´ıláklient prvn´ıHTTP poˇzadavek, ve kterémmus´ıuvésthlaviˇcku

13 1. Vyvoj´ ˇsifrovaneho´ HTTP

Sec-Token-Binding = EncodedTokenBindingMessage obsahuj´ıc´ıToken Binding Message zakódovanou pomoc´ıBase64url. Server po ovˇeˇren´ıToken Binding Message sváˇzeToken Binding ID s cookies, kteréslouˇz´ı jako security token. K resetován´ıtokenu dojde, pokud klient smaˇzecookies z webového prohl´ıˇzeˇce.[23] Aˇckoli Token Binding zlepˇsujeochranu uˇzivatel˚u,ˇradawebových prohl´ıˇze- ˇc˚uho nikdy nezaˇcalapodporovat a jiného postupnˇeodstraˇnuj´ı. D˚uvodem jsou vysokénákladyna zaveden´ıa údrˇzbuv porovnán´ıse z´ıskanýmipˇr´ınosy. Jelikoˇzse tato metoda nikdy ˇsiroce nerozˇs´ıˇrila,objevuj´ıse i problémy s kompatibilitou. Nav´ıcexistuj´ıalternativn´ızp˚usoby k dosaˇzen´ıpodobných výsledk˚u, jako je pˇr´ıznak HttpOnly u cookies, ˇcivyuˇz´ıván´ıklientských certifikát˚u.[24]

1.4.16 Zneplatnˇen´ıcertifikát˚uSymantec V lednu 2017 bylo na veˇrejnémfórumozilla.dev.security.policy upozornˇeno na nˇekolik podezˇrelých certifikát˚uvydaných infrastrukturou veˇrejných kl´ıˇc˚u (PKI) spoleˇcnostiSymantec. Symantec provozuje ˇraduCA jako GeoTrust, Ra- pidSSL a dalˇs´ı.Tyto CA vydávaly ˇraducertifikát˚u,kterénesplˇnovaly náleˇzi- tosti pr˚umyslových CA. Bˇehemnáslednéhovyˇsetˇrován´ıbylo odhaleno, ˇzeSy- mantec svˇeˇrild˚uvˇerunˇekolika organizac´ım,aby vydávaly certifikáty, aniˇzby zajistil náleˇzitýa nezbytnýdohled nad jejich poˇc´ınán´ım.Nav´ıcsi spoleˇcnost byla urˇcitoudobu vˇedomabezpeˇcnostn´ıch nedostatk˚uv tˇechto organizac´ıch a nepodnikla ˇzádnáopatˇren´ı.Nejednalo se o prvn´ıbezpeˇcnostn´ıincident této spoleˇcnosti.Naopak se jednalo o dalˇs´ı z ˇradypochyben´ı, a tak se webový prohl´ıˇzeˇcChrome rozhodl ukonˇcitd˚uvˇeruv PKI spoleˇcnostiSymantec a po- stupnˇei v certifikáty, kterévydala. Následnˇese k tomuto postupu pˇripojily i dalˇs´ıwebovéprohl´ıˇzeˇce.[25]

1.4.17 Odebrán´ıHTTP Public Key Pinning HTTP Public Key Pinning (HPKP) mimo jinérozˇsiˇrujeHTTP hlaviˇckuod- povˇediserveru o novou poloˇzku Public-Key-Pins. Ta umoˇzˇnujeinformovat webovéprohl´ıˇzeˇceo tom, jakéveˇrejnékl´ıˇceby mˇelobsahovat ˇretˇezeccer- tifikátupro urˇcitýhostname pˇridalˇs´ıch TLS spojen´ıch. Povinnýparametr max-age ˇr´ıká,kolik sekund po pˇrijet´ı hlaviˇckyod serveru je tento záznam platný.Parametr pin pak specifikuje hash Subject Public Key Information (SPKI) a algoritmus, kterýbyl pro výpoˇcethashe pouˇzit.Pro pˇr´ıpad,kdy by sever ztratil kontrolu nad svýmprivátn´ımkl´ıˇcem,je nutnézas´ılatalespoˇn jeden dalˇs´ızáloˇzn´ı,kterýnen´ıserverem aktuálnˇepouˇz´ıvaný.D´ıkynˇemu lze obnovit, vytvoˇrita verifikovat novéspojen´ıpˇriztrátˇeprivátn´ıhokl´ıˇce.Nepovinný parametr includeSubDomains znamená,ˇzekontrola kl´ıˇce mábýtprovedena i u vˇsech subdoméndanédomény. Dalˇs´ınepovinnýparametr report-uri definuje URI, kam maj´ıbýthláˇseny chyby pˇrikontrole kl´ıˇce.Hlaviˇckaodeslaná serverem pak m˚uˇzevypadat napˇr´ıklad takto:[26]

14 1.4. Aktuáln´ıvývoj ve webových prohl´ıˇzeˇc´ıch

Public-Key-Pins: pin-sha256="E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g="; pin-sha256="LPJNul+wow4m6DsqxbninhsWHlwfp0JecwQzYpOLmCQ="; report-uri="http://example.com/pkp-report"; max-age=2592000; includeSubDomains

Pokud je HPKP správnˇenastavené,umoˇzˇnujesniˇzovat riziko útok˚utypu MITM i dalˇs´ıch, kterése zamˇeˇruj´ı na prolomen´ı autentizace pomoc´ı certi- fikát˚u.Pˇrichybnémnastaven´ıHPKP ale m˚uˇzedoj´ıtk znepˇr´ıstupnˇen´ıurˇcitých domén.HPKP je ˇcastopouˇz´ıvánospoleˇcnˇes HTTP Strict Transport Security (HSTS), kteréumoˇzˇnujeoznámitwebovému prohl´ıˇzeˇci,ˇzena urˇcitýweb má vˇzdypˇristupovat pomoc´ıprotokolu HTTPS. Spoleˇcnépouˇz´ıván´ıobou protokol˚uale nen´ıpodm´ınkou.[26] HPKP je mechanismus typu trust-on-first-use. To znamená,ˇzepˇriprvn´ım pˇripojen´ına server nemáklient informace potˇrebnék proveden´ıkontroly pomoc´ı HPKP a z´ıskáváje právˇez prvn´ıho pˇripojen´ı. Pokud tak je uˇzpˇri prvn´ımpˇripojen´ına server pouˇzitútokMITM, m˚uˇzesi klient spojit doménu s podvrˇzenýmkl´ıˇcema po ukonˇcen´ıútokuodm´ıtatpravýcertifikátserveru. Zm´ırnit tento problémm˚uˇzeseznam doména jejich kl´ıˇc˚upˇredinstalovaný v prohl´ıˇzeˇci. Ten se tak nemus´ıspoléhatna prvn´ıpˇripojen´ık serveru. Do tohoto seznamu vˇsaknelze jednoduˇsezapsat libovolnou doménu. Jsou zde hlavnˇe ˇcastonavˇstˇevovanéweby.[26] Jednoduchézanesen´ıchyby do konfigurace a souvisej´ıc´ıriziko znepˇr´ıstu- pnˇen´ıdomény spolu s moˇznost´ıpˇripnut´ıpodvodnéhokl´ıˇcek doménˇezp˚usobilo, ˇzenˇekteréwebovéprohl´ıˇzeˇce odstraˇnuj´ıtuto funkcionalitu. Jedn´ımz dalˇs´ıch d˚uvod˚upro jej´ıodstranˇen´ıje i n´ızkérozˇs´ıˇren´ıtéto funkcionality v praxi.[7]

1.4.18 Web Packaging Radaˇ klient˚uby ocenila moˇznostpˇristupovat k webovýmstránkámi pokud jsou offline nebo pokud nemaj´ımoˇznostpˇristoupit ke zdrojovému webovému serveru. Bez pˇripojen´ıke zdrojovému serveru ale vznikáproblém s ovˇeˇren´ım pravosti pˇrijatéhoobsahu. SpoleˇcnostGoogle pˇredstavila technologii Web Pac- kaging. Ta umoˇzˇnujesvázatzdroje webovéstránkya vytvoˇritz nich jediný soubor. Tento soubor lze kryptograficky podepsat a následnˇedistribuovat klient˚umdokonce i bez podpory zabezpeˇcenéhoHTTP spojen´ı.D´ıkypodpisu lze ovˇeˇritjejich p˚uvod a pravost. Distribuci lze provádˇetz libovolných webových server˚u,cachovac´ıch server˚ui dalˇs´ıch zaˇr´ızen´ı, jako jsou napˇr´ıklad mobiln´ı telefony.[27]

1.4.19 Hodnota User-Agent v hlaviˇcce CONNECT Pˇrivytváˇren´ızabezpeˇcenéhoHTTP spojen´ıs pouˇzit´ım proxy serveru zas´ılá klient na proxy poˇzadavek CONNECT. Tento poˇzadavek mávlastn´ı parametry v hlaviˇcce.Webovéprohl´ıˇzeˇcepˇrijmouod klienta CONNECT poˇzadavek,

15 1. Vyvoj´ ˇsifrovaneho´ HTTP

Obrázek1.3: Ukázka problému se sm´ıˇsenýmobsahem

kterýnáslednˇepˇrepos´ılaj´ına proxy server. Nˇekteréwebovéprohl´ıˇzeˇcepara- metr User-Agent pouze pˇrepos´ılaj´ı.Jinévˇsakod tétopraxe odstupuj´ıa parametr nahrazuj´ıvlastn´ıdefaultn´ıhodnotou.[7]

1.4.20 Sm´ıˇsenýobsah Po naˇcten´ısouboru webovéstránky pˇreszabezpeˇcenéHTTP spojen´ıjsou klientovi za normáln´ıch okolnost´ızaruˇceny tyto skuteˇcnosti:[28]

• Komunikace klienta se serverem je ˇsifrována,a tak nem˚uˇzebýtjednoduˇse odposlechnut jej´ıobsah zaˇr´ızen´ımi,pˇreskteréprocházela.D˚uvˇernostdat tedy byla zajiˇstˇena.

• Klient si mohl ovˇeˇritidentitu zdrojov´ehoserveru. Byla mu tedy umoˇz- nˇenaautentizace zdroje.

• Pˇrenáˇsenádata nebylo moˇznéjednoduˇsemodifikovat bˇehempˇrenosu, aniˇzby to klient odhalil. Byla tedy zajiˇstˇenaintegrita dat.

S´ılatˇechto tvrzen´ım˚uˇzebýtsilnˇeoslabena, pokud jsou nˇekteréz dalˇs´ıch souˇcást´ıwebovéstránky(skripty, obrázkyatd.) naˇc´ıtány pˇresnezabezpeˇcené HTTP spojen´ı. Pˇrenostakových ˇcást´ı totiˇznen´ı chránˇenýpˇredpˇr´ıpadným útokem typu MITM. Nelze tak zaruˇcitˇzádnéz pˇredchoz´ıch tvrzen´ı. Tento problémse u webových stránekvyskytuje pomˇernˇeˇcasto.Na obrázku1.3 je zobrazenývýpisz konzole prohl´ıˇzeˇceFirefox. Ve výpisuje ˇcervenˇezvýraznˇený obsah, kterýnebyl naˇctenýkv˚ulipˇr´ıstupupˇresnezabezpeˇcenéspojen´ı, jelikoˇz prvotn´ıpoˇzadavek byl zpracovánpˇreszabezpeˇcenéspojen´ı.[28] Jak vyplýváz obrázku1.3, nˇekteréwebovéprohl´ıˇzeˇcemohou v pˇr´ıpadˇe sm´ıˇsenéhoobsahu blokovat nezabezpeˇcenézdroje. Nˇekterédalˇs´ıwebovéprohl´ı- ˇzeˇceuˇzale automaticky upravuj´ıurl adresu tak, aby se ke zdroji pˇristupovalo

16 1.4. Aktuáln´ıvývoj ve webových prohl´ıˇzeˇc´ıch pˇreszabezpeˇcenéspojen´ı.K tomu staˇc´ınahradit http://“ na zaˇcátkuurl za ” https://“. Zat´ımje tato funkce pouˇzitajen pro vybranétypy objekt˚u,jako ” je audio a video obsah.[7]

1.4.21 Parametr SameSite u cookies Cookies slouˇz´ıwebovému serveru k uloˇzen´ıdat u klienta. Obvykle se ukládaj´ı tokeny nebo stavy webových stránek.Server je m˚uˇzenastavit v hlaviˇcceHTTP odpovˇedi.Kaˇzdápoloˇzkacookie je párkl´ıˇca hodnota s ˇradoudalˇs´ıch atribut˚u. Ty urˇcuj´ı,kdy a kde se cookie pouˇzije,jakáje doba jej´ıplatnosti, jestli sm´ı býtzaslánapouze pˇreszabezpeˇcenéspojen´ı,atd.[29] Pˇridotazu na webovýserver zas´ıláklient cookies pro r˚uznédomény. Podle toho lze cookies rozdˇelitna ty, kteréodpov´ıdaj´ı doménˇeaktuáln´ı webové stránky(cookies prvn´ıch stran), a ty, kterététodoménˇeneodpov´ıdaj´ı(cookies tˇret´ıch stran). Parametr SameSite umoˇzˇnujeserveru urˇcit, jak máklient s r˚uznýmidruhy cookies zacházet.Moˇznéhodnoty pro tento parametr jsou:[29]

• Strict Pro toto nastaven´ıse cookies zaˇsloupouze pokud jsou v danémkontextu cookies prvn´ıch stran. Tedy pokud doménacookies odpov´ıdáaktuáln´ı webovéstránce(doménˇev URL liˇstˇeprohl´ıˇzeˇce).Typ Strict se vyuˇz´ıvá pro cookies souvisej´ıc´ı s ˇcinnostmi,kteréuˇzivatel na webovéstránce vykonává.

• Lax Toto nastaven´ıumoˇzˇnujeodeslat cookies p˚uvodn´ıwebovéstránky, pokud na ni uˇzivatel pˇristupujepomoc´ıodkazu vyskytuj´ıc´ıhose na jiné webovéstránce.Cookies se ale nezaˇslou,pokud je odkaz na p˚uvodn´ı stránkupouˇzitpouze pro staˇzen´ıurˇcitéhoobsahu do aktuáln´ıwebové stránky. Hodnota Lax se vyuˇz´ıvázejménapro cookies ovlivˇnuj´ıc´ızobra- zen´ıwebovéstránky.

• Atribut nen´ınastaven (ekvivalent hodnoty None) Tato moˇznostbyla pˇredzaveden´ımatributu SameSite implicitn´ıa zna- mená,ˇzecookies budou poslány z libovolnéhokontextu.

Pokud nen´ıparametr SameSite specifikovaný,jsou cookies náchylnéna útokytypu cross-site request forgery (CSRF). Nˇekteréwebovéprohl´ıˇzeˇcese proto rozhodly v takovémpˇr´ıpadˇedefaultnˇenastavovat atribut SameSite na hodnotu Lax. T´ımdokáˇz´ıchránituˇzivatele pˇrednˇekterýmitypy útok˚utypu CSRF. Zároveˇnwebovéprohl´ıˇzeˇcemˇen´ıpˇr´ıstupke cookies s atributem Same- Site=None, pokud u nich nen´ıspecifikovánatribut Secure (cookies sm´ıbýt pˇrenáˇseny pouze pˇreszabezpeˇcenéspojen´ı). Takovécookies jsou webovým prohl´ıˇzeˇcemodm´ıtnuty. K tomu je pˇristoupeno, jelikoˇzcookies tˇret´ıch stran

17 1. Vyvoj´ ˇsifrovaneho´ HTTP

100 93.12 80

40 Využití [%] 20 5.68 1.11 0.09 0 TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3 Verze protokolu TLS

Obrázek1.4: TLS verze protokolu a jejich vyuˇz´ıván´ıve webovémprohl´ıˇzeˇci Firefox beta 62 (srpen aˇzˇr´ıjen2018)

bývaj´ızneuˇz´ıvány útoˇcn´ıkyke sledován´ıchován´ıuˇzivatel˚ua mohou obsahovat citlivádata týkaj´ıc´ıse identity uˇzivatele. D´ıkyodm´ıtnut´ıtˇechto cookies jsou uˇzivateléchránˇenipˇredútokyna identifikaˇcn´ıdata uˇzivatel˚ua zároveˇntak lze pˇrimˇetsubjekty k podpoˇrezabezpeˇcenéhoHTTP spojen´ı.[7]

1.4.22 TLS 1.0 a TLS 1.1 Protokol TLS 1.0 byl vydanýv roce 1999, tedy jiˇzpˇredv´ıceneˇzdvaceti lety, TLS 1.1 pak o sedm let pozdˇeji.[30]A aˇckoliv nejsou známékonkrétn´ıkri- ticképroblémy v tˇechto protokolech, kteréby vyˇzadovaly okamˇzitoureakci, jsou dnes jiˇzpouˇz´ıvánajinávhodnˇejˇs´ıa robustnˇejˇs´ıˇreˇsen´ı.Nav´ıctyto verze nepodporuj´ıdneˇsn´ımodern´ıkryptografickéalgoritmy, ale naopak se spoléhaj´ı na algoritmy SHA-1 ˇciMD5. TLS 1.2 ˇreˇs´ıslabiny pˇredchoz´ıch verz´ıa nav´ıc podporuje i novéprotokoly jako je HTTP/2. Jak je moˇznévidˇetna grafu 1.4, TLS 1.2 se spoleˇcnˇes novˇejˇs´ıverz´ıTLS 1.3 stávaj´ımajoritn´ımiproto- koly pro zabezpeˇcenáspojen´ı.Z tˇechto d˚uvod˚uwebovéprohl´ıˇzeˇceupozorˇnuj´ı svéuˇzivatele na zastaralost protokol˚uTLS 1.0 a 1.1 a následnˇepˇristupuj´ı k postupnému ukonˇcován´ıjejich podpory.[31]

1.4.23 Opatˇren´ıproti TLS downgrade útok˚um BˇehemTLS handshake si klient se serverem vymˇeˇnuj´ıpodporovanéˇsifrové sady. Následnˇevyb´ıraj´ıˇsifrovou sadu a parametry TLS spojen´ı, kteréoba podporuj´ı,a kteréjsou co moˇznánejodolnˇejˇs´ıproti útok˚um.Downgrade útok na TLS se snaˇz´ıoklamat klienta se serverem, aby pouˇzilipro vzájemnouko- munikaci starˇs´ıverze protokol˚u,nebo parametry TLS spojen´ı,kterénejsou pˇr´ıliˇsbezpeˇcné.Tyto protokoly mohou býtpodporovány kv˚ulizpˇetnékompa- tibilitˇese starˇs´ımizaˇr´ızen´ımi.D´ıkytomu m˚uˇzeútoˇcn´ıkvyuˇz´ıtznáméchyby v pouˇzitých protokolech, kterése vyskytly v TLS komunikaci právˇed´ıky Downgrade útoku.K proveden´ı útokumus´ı útoˇcn´ık zachytit a upravit komunikaci mezi klientem a serverem.[32]

18 1.5. Souhrn

Protokol TLS 1.3 se snaˇz´ızabránittomuto druhu útoku.Podle RFC má býtvýsledekvyjednáván´ıparametr˚ustejnýv pˇr´ıpadˇeDowngrade útoku,jako kdyby k útokunedoˇslo. K ovˇeˇren´ı,ˇzevyjednanéparametry nebyly zmˇenˇeny bˇehempˇrenosu,je pouˇzitMessage Authentication Code (MAC). Ten se pouˇzije na konci handshake pˇresvˇsechny pˇredchoz´ızprávy. Pokud nav´ıcserver zjist´ı, ˇzejedinápouˇzitelnáverze protokolu je TLS 1.2 nebo starˇs´ı,mus´ıve zprávˇe ServerHello nastavit 8 byt˚unáhodnéhoˇc´ıslana pˇreddefinovanou hodnotu. Pokud klient s verz´ıTLS 1.3 pˇrikontrole tohoto ˇc´ıslanajde tuto hodnotu, mus´ı spojen´ıukonˇcit.Pokud by se útoˇcn´ıkpokusil zmˇenithodnotu náhodnéhoˇc´ısla, doˇsloby k chybˇepˇriprocesu výmˇeny kl´ıˇc˚u,bˇehemkteréhoje náhodnáhodnota pouˇz´ıvána.[32] I kdyˇzjsou opatˇren´ıproti Downgrade útokuv TLS 1.3 zpˇetnˇekompati- biln´ı,zp˚usobuj´ıu nˇekterých proxy server˚upˇreruˇsen´ıspojen´ı.Z tohoto d˚uvodu pˇristoupilynˇekteréwebovéprohl´ıˇzeˇcena doˇcasnévypnut´ınových rozˇs´ıˇren´ıpro kontrolu TLS Downgrade u spojen´ı,kterámaj´ıˇretˇezeccertifikátus neznámým koˇrenovýmcertifikátem.Nyn´ıproklamuj´ızaveden´ıtˇechto rozˇs´ıˇren´ıdo praxe.[7]

1.4.24 Stahován´ıze zabezpeˇcenéhokontextu Webovéprohl´ıˇzeˇcezamýˇslej´ıblokovat stahován´ısoubor˚upˇresnezabezpeˇcené spojen´ı, pokud bylo iniciovánoze zabezpeˇcenéhokontextu. Nejprve budou uˇzivatelévarovánia pozdˇejise pˇrikroˇc´ı k blokován´ı. D´ıky tomuto opatˇren´ı bude sn´ıˇzenoriziko pro uˇzivatele, protoˇzepo staˇzen´ım˚uˇzeˇskodlivýsoubor obej´ıtochrany webovéhoprohl´ıˇzeˇce.[7]

1.4.25 Zastarán´ınezabezpeˇcenéhoHTTP Nejen spoleˇcnostivyv´ıjej´ıc´ıwebovéprohl´ıˇzeˇcese shoduj´ı,ˇzev budoucnu bude nutnépouˇz´ıvat ˇsifrován´ı pro veˇskerádata pˇrenáˇsenápˇresInternet. V pˇr´ı- padˇewebových stránekto znamenápouˇz´ıván´ızabezpeˇcených HTTP spojen´ı, tedy HTTPS. Nˇekteréwebovéprohl´ıˇzeˇcejiˇzzveˇrejnilysv˚ujzámˇerpostupnˇe ukonˇcitpodporu nezabezpeˇcenéhoHTTP spojen´ı. Snaˇz´ı se tedy definovat, kterénovéfunkcionality jiˇznebudou podporovány pro tato spojen´ı.Zároveˇnse webovéprohl´ıˇzeˇcesnaˇz´ıstanovit ˇcasovýharmonogram postupnéhoomezován´ı dnes podporovaných funkcionalit pro nezabezpeˇcenáspojen´ı,kterébude nutné v budoucnu odebrat ˇciomezit s ohledem na bezpeˇcnostuˇzivatel˚u.Zároveˇnje vˇsakpˇripouˇstˇeno,ˇzek úplnému odstranˇen´ıpodpory nezabezpeˇcenéhoHTTP spojen´ız webových prohl´ıˇzeˇc˚uv brzkédobˇenedojde.[33]

1.5 Souhrn

V tabulce 1.1 m˚uˇzemeporovnán´ımjednotlivých webových prohl´ıˇzeˇc˚uzjistit, ˇzene vˇsechny zmˇeny byly provedeny vˇsemidnes ˇsiroce rozˇs´ıˇrenýmiwebovými prohl´ıˇzeˇci.Pˇr´ıˇcinoutˇechto rozd´ıl˚um˚uˇzebýtnapˇr´ıklad odliˇsnáuˇzivatelská

19 1. Vyvoj´ ˇsifrovaneho´ HTTP

Tabulka 1.1: Srovnán´ı vývoje ˇsifrovaného HTTP v aktuáln´ıch webových prohl´ıˇzeˇc´ıch bˇehemposledn´ıch tˇr´ılet Feature Google Chrome1 Firefox2 Safari3 verze datum verze datum verze datum 1.4.1 56 25.1.2017 47 7.7.2016 - - 1.4.2 56 25.1.2017 - - - - 1.4.3 56 25.1.2017 53 19.4.2017 - - 4 1.4.4 56 25.1.2017 43 platnéod 1.1.2017 13.0.3 30.10.2019 1.4.5 58 19.4.2017 - - - - 1.4.6 58 19.4.2017 52 7.3.2017 - - 1.4.7 58 19.4.2017 - - 13.0.3 30.10.2019 1.4.8 59 5.6.2017 - pouze varován´ı - pouze varován´ı 1.4.9 61 5.9.2017 - pr˚ubˇeˇznˇe[34] 12.1.1 24.9.2018 1.4.10 62 17.10.2017 - - - - 1.4.11 65 6.3.2018 61 26.6.2018 12.2 25.3.2019 1.4.12 69 4.9.2018 - - - - 1.4.13 70 16.10.2018 60 9.5.2018 - -5 1.4.14 70 16.10.2018 696 3.9.2019 - - 1.4.15 70 16.10.2018 - - - - 1.4.16 70 16.10.2018 63 23.10.2018 - 1.8.20187 1.4.17 72 29.1.2019 72 7.1.2020 - 1.8.2018 1.4.18 73 12.3.2019 - - - - 1.4.19 73 12.3.2019 - - - - 1.4.20 80 4.2.2020 - pˇripravuje se - pˇripravuje se 1.4.21 80 4.2.2020 - pˇripravuje se - - 1.4.22 81 13.2.2020 74 10.3.2020 - kvˇeten2020 1.4.23 81 13.2.2020 72 7.1.2020 12.2 25.3.2019 1.4.24 82 duben 2020 - - - - 1.4.25 - - - 30.4.2015 - -

základnajednotlivých webových prohl´ıˇzeˇc˚us odliˇsnýmipreferencemi ˇcirozd´ıl- nápolitika jednotlivých spoleˇcnost´ı.Nˇekterépreferuj´ıkonzervatismus a opa- trnou zdrˇzenlivost, jinése snaˇz´ıpod´ıletna vývoji nejnovˇejˇs´ıch technologi´ıa na prosazován´ıtˇechto technologi´ıdo praxe. Zat´ımcourˇcitéwebovéprohl´ıˇzeˇceruˇs´ı podporu nˇekterých zastarávaj´ıc´ıch funkcionalit, jinévyˇckávaj´ına vhodnˇejˇs´ı pˇr´ıleˇzitost,kdy bude zm´ınˇenáfunkcionalita odstranˇenav rámciceléholo- gickéhocelku, ˇcipreferuj´ızachován´ızpˇetnékompatibility. Pˇr´ıpadnˇemohou webovéprohl´ıˇzeˇcezavádˇetnovéfunkce, kterépo nˇekolikamˇes´ıˇcn´ı ˇciroˇcn´ı podpoˇreopˇetodstran´ı,zat´ımcojinéje na základˇesvých uváˇzen´ınikdy nezaˇcaly podporovat. Dalˇs´ıwebovéprohl´ıˇzeˇcese mohou soustˇreditna snadnou pouˇzitel- nost, vysokývýkon ˇcina velkémnoˇzstv´ıdoplˇnuj´ıc´ıch rozˇs´ıˇren´ı.Proto nelze na základˇetabulky 1.1 jednoduˇse hodnotit kvality jednotlivých webových prohl´ıˇzeˇc˚u.

1Zdroj informac´ı: www.chromestatus.com/features 2Zdroj informac´ı: www.mozilla.org/en-US/firefox/releases/ 3Zdroj informac´ı: webkit.org/ a developer.apple.com/

20 1.5. Souhrn

4Odebránopouze ECDSA s SHA-512 517.1.2018 zaˇcalWebKit (renderovac´ıjádrowebovéhoprohl´ıˇzeˇceSafari) varovat pˇred zastaralost´ıAppCache 6Odebrán´ıinformac´ıo procesoru (32/64 bit) 7Cásteˇcnéomezen´ıd˚uvˇery,ˇ absolutn´ıje plánovánona pozdˇeji.

Kapitola 2

Dopady pro proxy servery

Pˇredchoz´ıkapitola pˇribliˇzujevývoj protokolu HTTP a jeho ˇsifrovanéverze. Zároveˇnodhaluje i nutnost neustáléhovývoje webových prohl´ıˇzeˇc˚u,kterétyto a mnohédalˇs´ıprotokoly vyuˇz´ıvaj´ı.Kromˇewebových prohl´ıˇzeˇc˚uale existuje i ˇradadalˇs´ıch prvk˚u,kterépˇrenáˇsej´ıa zpracovávaj´ıprotokol HTTP a které se rovnˇeˇzmus´ıneustálepˇrizp˚usobovat jeho vývoji. Jedny z tˇechto prvk˚ujsou proxy servery. Sifrovanáverzeˇ protokolu pak sama vyuˇz´ıvádalˇs´ıprostˇredky, jako jsou certifikáty a s nimi souvisej´ıc´ıinfrastruktura veˇrejných kl´ıˇc˚u(PKI). I u webových certifikát˚udocház´ı k vývoji a t´ım i k následnému ovlivnˇen´ı protokolu HTTPS. V prvn´ıˇcástitato kapitola popisuje právˇezmˇeny týkaj´ıc´ı se webových certifikát˚u.Druháˇcástse zamˇeˇrujena proxy servery a na zmˇeny, kteréje nezbytnéˇcivhodnéimplementovat, aby mohly i nadálefiltrovat pˇrená- ˇsenouHTTPS komunikaci.

2.1 Zmˇeny v certiﬁk´atech

Pˇrinavazovan´ıHTTPS spojen´ımezi klientem a webovýmserverem m˚uˇzedoj´ıt v pr˚ubˇehu TLS handshake k výmˇenˇecertifikát˚u.Certifikátm˚uˇzezaslat server i klient, pro protokol TLS se obvykle jednáo typ X.509v3. Pokud byl certifikátzaslán, pak slouˇz´ık autentizaci protˇejˇs´ıstrany. Aby nebyl certifikát odm´ıtnut jako nevalidn´ı,mus´ısplˇnovat vˇsechny náleˇzitostivˇcetnˇenejnovˇejˇs´ıch bezpeˇcnostn´ıch poˇzadavk˚u.

2.1.1 Parametr Subject Alternative Name

Jak jiˇzbylo zm´ınˇeno,pˇrikontrole certifikátuwebovéhoserveru je nutnépo- rovnat hostname serveru s hostname uvedenýmv certifikátu,kterýobdrˇzel. Na obrázku2.1 je zobrazen seznam parametr˚u,kteréobsahuje certifikátser- veru www.privoxy.org. Certifikátobsahuje parametr Subject Common Name i Subject Alternative Name s hodnotou DNS Name. Podle RFC 2818 by tedy

23 2. Dopady pro proxy servery

Obrázek2.1: Parametry certifikátu www.privoxy.org

mˇelabýtpro kontrolu hostname tohoto certifikátupouˇzitahodnota Subject Alternative Name. Aby mohl proxy server filtrovat pˇrenáˇsenou HTTPS komunikaci, mus´ı pouˇz´ıtmetodu MITM. Pˇripouˇzit´ıtétometody navazuje proxy server TLS spojen´ıs klientem, a aby autentizace webovéhoserveru z pohledu prohl´ıˇzeˇce probˇehlaúspˇeˇsnˇe,mus´ıproxy server zaslat klientovi platnýcertifikáts odpov´ıdaj´ıc´ımhostname. Pokud je v certifikátunastaven pouze parametr Sub- ject Common Name, starˇs´ıverze webových prohl´ıˇzeˇc˚upouˇzij´ıtento parametr. Novˇejˇs´ıverze vˇsakvyˇzaduj´ıparametr Subject Alternative Name a pokud ho certifikátneobsahuje, oznaˇc´ı ho jako nevalidn´ı a varuj´ı uˇzivatele pˇred pˇr´ıstupem na danou webovou stránku.Z tohoto d˚uvodu mus´ı zaˇc´ıt proxy servery do generovaných certifikát˚utento parametr vkládat.Nˇekterékryp- tografickéknihovny ovˇsemneumoˇzˇnuj´ıtento parametr nastavit, a tak mus´ı proxy server zvolit vhodnou knihovnu.

2.1.2 Certificate Transparency Certificate Transparency umoˇzˇnujewebovýmprohl´ıˇzeˇc˚umovˇeˇrit,ˇzepˇrijatý certifikátnebyl vydanýcertifikaˇcn´ıautoritou chybnˇe.K tomuto ovˇeˇren´ıvyuˇzij´ı ˇcasovéraz´ıtko SCT podepsanélogem, do kteréhobyl certifikátvloˇzen.Jed- nou z moˇznost´ı,jak m˚uˇzewebovýprohl´ıˇzeˇcSCT z´ıskat,je certifikátserveru, kterýjej zaˇslebˇehemTLS handshake. Do certifikátuje SCT ukládánoCA bˇehemjeho vystavován´ı.CA nejprve vytvoˇr´ıtzv. pˇredcertifikát,kterýzaˇsle

24 2.1. Zmˇeny v certiﬁk´atech

Obrázek2.2: Ukázka parametru SCT list v certifikátu www.privoxy.org

do CT logu a obratem od nˇejobdrˇz´ıSCT.[14] Pˇredcertifikátobsahuje totoˇzná data jako klasickýcertifikát,ale jsou nav´ıcdoplnˇenarozˇs´ıˇren´ım(tzv. poison extension) s pˇreddefinovanou hodnotou. Tato hodnota slouˇz´ı k ujiˇstˇen´ı,ˇze pˇredcertifikátnebude pouˇzitk navázán´ıTLS spojen´ıani k ovˇeˇren´ıidentity webovéhoserveru. SCT z´ıskanéod CT logu pak CA pˇridádo novˇevytváˇreného certifikátuv rozˇs´ıˇren´ı SCT list. Je vhodné,aby certifikátobsahoval SCT z nˇekolika r˚uzných CT log˚u,stejnˇejako v certifikátuna obrázku2.2.[15]

2.1.3 Podporovan´ealgoritmy

Spoleˇcnˇes protokoly HTTP a TLS docház´ı k vývoji i u algoritm˚u, které jsou tˇemitoprotokoly vyuˇz´ıvány. Zároveˇnvznikaj´ınovétechniky k prolomen´ı tˇechto algoritm˚ua roste i výkon zaˇr´ızen´ı,kterámohou útoˇcn´ıcik prolomen´ı algoritm˚uvyuˇz´ıt.[9]Z tˇechto d˚uvod˚uwebovéprohl´ıˇzeˇceodstraˇnuj´ınˇekteréal- goritmy ze seznamu podporovaných algoritm˚upro zabezpeˇcenoukomunikaci. Jako pˇr´ıkladm˚uˇzemeuvéstalgoritmus SHA-1, kterýbyl oznaˇcenza zasta- ralýa kterýmohou útoˇcn´ıcizneuˇz´ıtk padˇelán´ıcertifikátu.Webovéprohl´ıˇzeˇce následnˇepˇrestalyakceptovat certifikáty, kteréobsahuj´ıpodepsanýhash vy- tvoˇrenýpomoc´ıSHA-1. Webovéservery tak mus´ınahradit starécertifikáty vyuˇz´ıvaj´ıc´ıSHA-1 novými,kterémaj´ıpodepsanýhash vytvoˇrenýnapˇr.algorit- mem SHA-256. Kromˇehashovac´ıch algoritm˚upˇrestávaj´ıwebovéprohl´ıˇzeˇceak- ceptovat i zastaraléalgoritmy slouˇz´ıc´ık digitáln´ımpodpis˚um,pˇr´ıpadnˇeurˇcité kombinace podpisovéhoalgoritmu a hashovac´ıfunkce. Jednou z takových kom- binac´ıje i ECDSA s SHA-1 a s SHA-512.[7] Rovnˇeˇztyto zmˇeny mus´ızohlednit webovéservery ve svých certifikátech.

25 2. Dopady pro proxy servery

2.1.4 Zneplatnˇen´ıcertiﬁk´at˚u

S opakuj´ıc´ımise problémy CA pˇrivydáván´ıcertifikát˚upˇricházej´ıi novézp˚usoby, jak se s nimi vyrovnat. Certificate Revocation List (CRL) je seznam cer- tifikát˚u,kterébyly vydávaj´ıc´ıCA zneplatnˇeny pˇreddatem ukonˇcen´ıplatnosti uvedenýmv certifikátu.Bˇehemovˇeˇrován´ıcertifikátum˚uˇzewebovýprohl´ıˇzeˇc nebo proxy server ovˇeˇrit,ˇzecertifikátnen´ıuveden v tomto seznamu. CRL ovˇsemspravuje CA, kterácertifikátvydala, a tud´ıˇzje pro zneplatnˇen´ıcerti- fikátunutnájej´ıspolupráce. Pokud CA vydala urˇcitýcertifikátchybnˇea ne- spolupracuje pˇrijeho revokaci, je potˇrebavyuˇz´ıtjinémechanismy. Proxy server ˇciwebovýprohl´ıˇzeˇcmohou vyuˇz´ıtsluˇzebCT. Pro CT nen´ı nutnáspolupráceCA, jelikoˇzcertifikátdo CT logu m˚uˇzenahrátkdokoli. C´ımˇ v´ıceorganizac´ıse ovˇsemzapoj´ıdo nahráván´ızáznam˚udo CT log˚u,t´ımvyˇsˇs´ı zabezpeˇcen´ım˚uˇzesluˇzba CT poskytnout.[14] Po odhalen´ıproblém˚us certi- fikáty vydanýmispoleˇcnost´ıSymantec vyuˇzilGoogle právˇeCT. A tak zaˇcal webovýprohl´ıˇzeˇcChrome vyˇzadovat zapsán´ıvˇsech novˇevydaných certifikát˚u v CT logu nejprve u certifikát˚uvydaných právˇespoleˇcnost´ıSymantec.[35] Po- kud certifikáttétospoleˇcnostinebyl zapsanýv CT logu, varoval uˇzivatele pˇred neplatnýmcertifikátema zastavil naˇc´ıtán´ıwebovéstránky. T´ımbyl umoˇznˇen lepˇs´ıdohled nad tˇemitocertifikáty. Webovýprohl´ıˇzeˇcChrome nakonec zcela ukonˇcild˚uvˇerupro vˇsechny certi- fikáty vydanéspoleˇcnost´ıSymantec pomoc´ıp˚uvodn´ıPKI.[25] To zp˚usobilo,ˇze aˇckoliv byly certifikáty po formáln´ıstránceplatné,prohl´ıˇzeˇcChrome je i tak oznaˇcilza neplatnéa varoval uˇzivatele. Jinéwebovéprohl´ıˇzeˇceale totoˇzné certifikáty pˇrijalyjako validn´ıa uˇzivatel˚umumoˇznilypˇr´ıstupna dotazovanou webovou stránku. V pˇr´ıpadˇepouˇzit´ıproxy serveru, kterýfiltruje HTTPS komunikaci, obdrˇz´ıwebovýprohl´ıˇzeˇccertifikátvygenerovanýproxy serverem. Záleˇz´ıtedy pouze na proxy serveru, jestli oznaˇc´ıskuteˇcnýcertifikátserveru za validn´ıa umoˇzn´ıklientovi naˇc´ıstdotazovanou webovou stránku,nebo jestli spojen´ı ukonˇc´ı a klienta varuje. V takovémpˇr´ıpadˇeby tedy byla webová stránkavyuˇz´ıvaj´ıc´ıcertifikátspoleˇcnostiSymantec zpˇr´ıstupnˇenai v prohl´ıˇzeˇci Chrome bez varován´ı.Aby bylo takovéspojen´ıukonˇcenoi s vyuˇzit´ımproxy serveru, bylo by nutnérozˇs´ıˇritkonfiguraci o blokován´ılibovolnéhocertifikátu, pˇr´ıpadnˇeo blokován´ına základˇeurˇcitých parametr˚u.

2.1.5 Uˇcel´ certiﬁk´atu

Bˇehemovˇeˇrován´ıplatnosti certifikátum˚uˇze býtzohlednˇeni úˇcel,pro který byl certifikátvydán,respektive ke kterýmúˇcel˚umlze pouˇz´ıtveˇrejnýkl´ıˇccer- tifikátu. Uˇcelycertifikátumohou´ býtdefinovány pomoc´ıdvou parametr˚u: Key Usage a Extended/Enhanced Key Usages. Nˇekteréz moˇzných úˇcel˚ujsou: autentizace serveru, autentizace klienta, ˇsifrován´ı,deˇsifrován´ı,podpis certi- fikát˚u,. . . Pokud tedy webovýprohl´ıˇzeˇcovˇeˇrujeidentitu severu pomoc´ıcer- tifikátu,mus´ık tomu býtpˇrijatýcertifikáturˇcený.Pˇripouˇzit´ıproxy serveru

26 2.2. Zmˇeny pro proxy servery

Obrázek2.3: Nastaven´ıúˇcelupro certifikát www.privoxy.org

k deˇsifrován´ıHTTPS komunikace tedy mus´ıproxy sever v certifikátutyto parametry korektnˇenastavit, a to pro vˇsechny certifikýty v ˇretˇezcivˇcetnˇecer- tifikátuCA. Na obrázku2.3 je znázornˇeno nastaven´ıtˇechto parametr˚upro www.privoxy.org.

2.2 Zmˇeny pro proxy servery

Proxy servery filtruj´ıc´ı HTTPS komunikaci mus´ı reagovat na vývoj tohoto protokolu i na zmˇeny ve webových prohl´ıˇzeˇc´ıch. Zmˇeny se mohou týkatpa- rametr˚uˇsifrovanéhospojen´ı,podporovaných protokol˚u,ale i nových funkcionalit. Nˇekterézmˇeny v proxy serveru jsou nezbytnépro správnoufunkˇcnost, jinépouze rozˇsiˇruj´ıjiˇzpodporovanéfunkcionality proxy serveru.

2.2.1 HTTP/2 Protokol HTTP/2 vyˇzadujeznaˇcnározˇs´ıˇren´ıproxy server˚upodporuj´ıc´ıpouze starˇs´ıverze protokolu HTTP. Od pˇredchoz´ıch verz´ıse totiˇzvelmi zásadnˇeliˇs´ı, jak je popsánov pˇredchoz´ıkapitole. Následuj´ıc´ıseznam uvád´ınejzásadnˇejˇs´ı zmˇeny, kterémus´ıproxy server implementovat pro podporu HTTP/2:[3]

• Jelikoˇz je protokol HTTP/2 na rozd´ıl od pˇredchoz´ıch verz´ı binárn´ı, je nutnéimplementovat zcela novýzp˚usobparsován´ıpˇrijatých rámc˚u. Zároveˇnje nezbytnéfiltrovanádata pˇred odeslán´ım opˇetpˇrevéstdo binárn´ıhoformátu. • Komprese hlaviˇcekje v HTTP/2 implementovánapomoc´ıtabulky hlavi- ˇcekna stranˇeklienta i serveru. Hlaviˇckupak lze nahradit odkazem od tétotabulky. Celýtento mechanismus mus´ıproxy server implementovat pro komunikaci se serverem i s klientem. • HTTP/2 umoˇzˇnujepomoc´ıjedinéhoTCP spojen´ızpracovávat paralelnˇe ˇradupoˇzadavk˚u.K tomu slouˇz´ıtzv. streamy. Kaˇzdýdotaz mávlastn´ı

27 2. Dopady pro proxy servery

stream a kaˇzdýpˇrenáˇsenýpaket obsahuje identifikátortohoto streamu. Klient tak mus´ıdokázatparalelnˇezpracovat nˇekolik dotaz˚u.D´ıkyfunkci Server push nav´ıcmus´ıklient zpracovávat i odpovˇedi,kteréod serveru nevyˇzádal.

• Protokol HTTP/2 vyuˇz´ıváz d˚uvodu zpˇetnékompatibility s pˇredchoz´ımi verzemi stejnéporty, tedy 80 a 443. Jelikoˇzse ale znaˇcnˇeliˇs´ıod pˇredcho- z´ıch verz´ı, mus´ı se bˇehem navazován´ı spojen´ı na pˇr´ıpadném pouˇzit´ı HTTP/2 domluvit. K tomu slouˇz´ırozˇs´ıˇren´ıApplication-Layer Protocol Negotiation (ALPN) protokolu TLS. To umoˇzˇnujebˇehemTLS handshake vyjednat aplikaˇcn´ıprotokol následnékomunikace. D´ıkytomu m˚uˇze býtpouˇzitaˇradar˚uzných aplikaˇcn´ıch protokol˚upˇresTLS spojen´ına jednom portu. Proxy servery tak mus´ıvyuˇz´ıvat knihovnu pro protokol TLS, kterátoto rozˇs´ıˇren´ıpodporuje. V pˇr´ıpadˇepouˇzit´ı HTTP/2 bez TLS nen´ı rozˇs´ıˇren´ı ALPN dostupné. M´ıstonˇejodeˇsleklient dotaz pomoc´ıHTTP/1.1 s hlaviˇckou UPGRADE, ve kterénavrhne pˇrechod na HTTP/2. Pokud na tento poˇzadavek server pˇristoup´ı,odeˇsleodpovˇed’ se stavovýmkódem101 (Switching protocol) a následnˇese vyuˇz´ıváHTTP/2.

I kdyˇzproxy server nepodporuje HTTP/2, m˚uˇzeklientovi umoˇznitpˇrenos tˇechto poˇzadavk˚upomoc´ıtunelu skrz.[1] Tento postup lze vyuˇz´ıti v aktuáln´ı verzi proxy serveru Privoxy.[36] Pˇr´ıpadnˇem˚uˇzepˇripˇrijet´ıpoˇzadavku na navá- zán´ıspojen´ıpro protokol HTTP/2 vyjednat s webovýmprohl´ıˇzeˇcemdegra- dován´ıverze protokolu.

2.2.2 Novékryptografickéalgoritmy Webovéprohl´ıˇzeˇceimplementuj´ınejnovˇejˇs´ıverze ˇsifrovac´ıch algoritm˚ua záro- veˇnukonˇcuj´ıpodporu pro ty, kteréjsou jiˇzoznaˇceny za zastaralé.Z tohoto d˚uvodu by mˇelyi proxy servery pouˇz´ıvat kryptografickéknihovny implementuj´ıc´ı nejnovˇejˇs´ıˇsifrovac´ı algoritmy. Zároveˇnje vhodné,aby proxy servery umoˇznilyuˇzivatel˚umdefinovat specifickou ˇsifrovou sadu podle c´ılovéhoser- veru. D´ıkytomu lze minimalizovat zranitelnosti jednotlivých spojen´ı.Pˇr´ıpadnˇe je vhodnéumoˇznitalespoˇnvˇseobecnéomezen´ıˇsifrovésady pro vˇsechna TLS spojen´ıglobálnˇe.Tato moˇznostale neumoˇzˇnujeudˇelitvýjimkuz d˚uvodu zpˇet- nékompatibility.

2.2.3 Certificate Transparency Certificate Transparency vyˇzaduje bˇehemovˇeˇrován´ıplatnosti certifikátu,aby byl certifikátzapsanýalespoˇnv jednom z veˇrejných CT log˚u.Avˇsak CT je zpravidla vyˇzadovánopouze pro veˇrejnˇed˚uvˇeryhodnécertifikáty. To jsou certifikáty podepsanékoˇrenovou CA, kteráje dodánav instalaci webového

28 2.2. Zmˇeny pro proxy servery prohl´ıˇzeˇceˇcioperaˇcn´ıhosystému.[37] Pokud pˇrijmeprohl´ıˇzeˇcod webovéhoser- veru nebo proxy serveru certifikátpodepsanýsoukromou CA, pak k ovˇeˇrován´ı tohoto certifikátupomoc´ı CT nedojde. Pokud tedy proxy server filtruj´ıc´ı HTTPS komunikaci podepisuje generovanécertifikáty pro jednotlivádoméno- vájménapomoc´ısoukroméCA, nemus´ıtyto certifikáty vkládatdo CT log˚u. A jelikoˇzCT logy dovoluj´ıvkládatpouze certifikáty podepsanéznámouCA, nebylo by to proxy serveru ani umoˇznˇeno. I kdyˇzproxy server nemus´ı vˇenovat pozornost CT na stranˇewebového prohl´ıˇzeˇce,m˚uˇzeprovádˇetkontrolu CT u certifikát˚upˇrijatých bˇehemautenti- zace webovéhoserveru. K tomu ale mus´ıvyuˇz´ıvat kryptografickou knihovnu, kterátuto funkci podporuje.

2.2.4 TLS 1.3

Verze protokolu TLS 1.3 pˇrineslaˇraduzmˇenoproti pˇredchoz´ımverz´ım.Z hlediska proxy serveru je d˚uleˇzitézejménapouˇz´ıván´ıkryptografickéknihovny, kterárychle implementuje tuto novou verzi protokolu a umoˇzn´ıtak proxy serveru jej´ıvyuˇz´ıván´ı.Veˇskerézmˇeny pˇricházej´ıc´ıs novou verz´ıprotokolu pak ˇreˇs´ıtato knihovna a dalˇs´ıpˇr´ıméd˚usledkypro proxy server z nich nevyplývaj´ı.

2.2.5 Komprese certiﬁk´at˚u

Dokud neumoˇzˇnoval protokol TLS ˇsifrovat certifikáty pˇrenáˇsenév pr˚ubˇehu TLS handshake, nebyla komprese certifikát˚upouˇz´ıvánaprávˇez d˚uvodu mezi- lehlých zaˇr´ızen´ıjako jsou proxy servery. Proxy servery totiˇzmohou vyuˇz´ıvat toho, ˇzepˇrenáˇsenécertifikáty nejsou bˇehemhandshake ˇsirovány. A i kdyˇz proxy server nepodporuje filtrován´ıHTTPS komunikace a m´ıstovyuˇzit´ıme- tody MITM pˇrenáˇs´ıtuto komunikaci TLS tunelem skrz proxy, dokáˇzez pˇrená- ˇsených dat certifikátvyexportovat. Pokud takto z´ıskanýcertifikátoznaˇc´ıjako nevalidn´ı,m˚uˇzeTLS tunel ukonˇcit.TLS 1.3 vˇsakpˇrineslomoˇznostˇsifrován´ı a komprese pˇrenáˇsenéhocertifikátu.Proxy servery nab´ızej´ıc´ı tuto funkcionalitu ji tak mus´ı pˇripouˇzit´ı TLS 1.3 vypnout. Pokud nav´ıc nedokáˇz´ı odhalit pouˇzitouverzi TLS protokolu, mus´ıtuto funkcionalitu zcela odstranit, pˇr´ıpadnˇepro jej´ızachován´ıimplementovat metodu MITM.

2.2.6 Uprava´ hodnot User-Agent

Zmˇenahodnoty User-Agent webovýmprohl´ıˇzeˇcemv hlaviˇccepoˇzadavku je z hlediska proxy serveru redundantn´ı.Pokud proxy server umoˇzˇnujefiltrovat pˇrenáˇsenoukomunikaci vˇcetnˇeHTTP hlaviˇcek,m˚uˇzehodnotu nejen tohoto parametru libovolnˇemˇenitpodle konfigurace uˇzivatele. Uˇzivatel tak sámm˚uˇze zvolit vlastn´ıstrategii, jak pˇredej´ıtjeho identifikaci pomoc´ınastavených hodnot v HTTP hlaviˇckách.

29 2. Dopady pro proxy servery

Obr´azek2.4: Rozdˇelen´ıTLS spojen´ıpˇripouˇzit´ıproxy na stranˇeklienta a reverzn´ıproxy na stranˇeserveru

2.2.7 Token Binding

Aˇckoliv webovéprohl´ıˇzeˇcepostupnˇeukonˇcuj´ıpodporu Token Binding, pˇr´ıpad- nˇeToken Binding nikdy ani nezavedly, proxy servery by mˇelybýtpˇripravené i na jeho pouˇzit´ı.Na obrázku2.4 je vidˇet,na kolik samostatných TLS spojen´ı je rozdˇelenákomunikace mezi klientem a serverem, pokud je na stranˇeklienta pouˇzitproxy server filtruj´ıc´ıpˇrenáˇsenouHTTPS komunikaci pomoc´ımetody MITM a reverzn´ıproxy server pˇreruˇsuj´ıc´ıTLS spojen´ı(TLS terminating reverse proxy TTRP) na stranˇeserveru. Kaˇzdáoˇc´ıslovanáˇsipkana obrázku znázorˇnujejedno TLS spojen´ı. Pˇripouˇzit´ıToken Binding s protokolem HTTPS je token vázánke konkré- tn´ımu TLS spojen´ı.HTTP server generuj´ıc´ıtoken v rámcicookies vˇsakpˇri pouˇzit´ı TTRP serveru z´ıskáinformace jen z TLS spojen´ı s n´ım, napˇr´ıklad z TLS spojen´ıˇc.6. Toto spojen´ıvˇsaknemus´ıbýtspecificképro konkrétn´ıho klienta, a nav´ıcspecifikuje jen ˇcástspojen´ımezi klientem a serverem, a tak by svázán´ıtokenu s n´ımnemˇelosmysl. Pokud by byl ukradenýtoken poslán útoˇcn´ıkem, pˇriˇselby na server opˇet pˇresTLS spojen´ıˇc.6 a kontrola Token Binding by probˇehlaúspˇeˇsnˇe.[38] Tento problémje moˇznévyˇreˇsitpˇridán´ım nových parametr˚udo HTTP hlaviˇckypoˇzadavku po jeho pˇrijet´ıreverzn´ımproxy serverem. TTRP server provede kontrolu Token Binding Message pˇrijatéod klienta, následnˇez n´ıvy- jme jednotlivéToken Binding ID a pˇridáje do HTTP hlaviˇckyjako následuj´ıc´ı parametry. Tyto parametry nesm´ıbýtnastavenéproxy serverem na stranˇekli- enta ani jinýmimezilehlýmizaˇr´ızen´ımi.[38]

• Sec-Provided-Token-Binding-ID Jedn´ase o typ Token Binding ID, kter´yslouˇz´ı pro vytvoˇren´ı Token Binding mezi klientem a serverem, respektive mezi proxy serverem na stranˇeklienta a TTRP serverem.

30 2.2. Zmˇeny pro proxy servery

• Sec-Referred-Token-Binding-ID

Typ Token Binding ID kterýse pouˇz´ıvápˇriˇzádostio tokeny, kterémaj´ı býtpˇredloˇzeny na jinýserver, napˇr´ıkladautorizaˇcn´ı.

• Sec-Other-Token-Binding-ID

Tento parametr obsahuje seznam dalˇs´ıch typ˚uToken Binding zaslan´ych klientem a ovˇeˇren´ych TTRP serverem.

Na stranˇeklienta mus´ı býtToken Binding Message uvedena v prvn´ım HTTP poˇzadavku po navázán´ı TLS spojen´ı s webovýmserverem. Pokud ovˇsemklient vyuˇz´ıváproxy sever filtruj´ıc´ıHTTPS komunikaci, je token svázán s TLS spojen´ımnejbl´ıˇze webovému serveru, respektive jeho TTRP. Na obrázku 2.4 je toto spojen´ıoznaˇcenémˇc´ıslem4. K tomuto spojen´ıovˇsemklient nemá pˇr´ıstup,a tak pro nˇejnem˚uˇzevytvoˇritToken Binding Message. Parametry TLS spojen´ıvlastn´ıproxy server, a tak mus´ına jejich základˇevytvoˇritToken Binding Message a pˇridatji do HTTP hlaviˇckypoˇzadavku pomoc´ıparame- tru Sec-Token-Binding. Webovýserver ji sváˇzes vytváˇrenýmicookies, které odeˇslev odpovˇedi.Proxy server jiˇzm˚uˇzecookies pˇreposlat klientovi, aniˇzby klient vˇedˇelo pouˇz´ıván´ıprotokolu Token Binding. Pokud klient uvede cookies v dalˇs´ıch poˇzadavc´ıch, klient je opˇetpˇrepoˇslewebovému serveru a ten ovˇeˇr´ı, ˇzebyly pˇrijaty pˇresodpov´ıdaj´ıc´ıTLS spojen´ı.

2.2.8 HTTP Public Key Pinning

HPKP pˇrip´ınák doménovému jménu konkrétn´ıveˇrejnékl´ıˇce,kteréby mˇelcer- tifikátpˇrijatýz konkrétn´ıdomény obsahovat. Konkrétn´ıkl´ıˇcejsou pˇrenáˇseny webovému prohl´ıˇzeˇcipˇriprvn´ımnaˇcten´ıwebovéstránkyv parametru HTTP odpovˇedi.Tyto parametry m˚uˇzeproxy server vyfiltrovat, a t´ım znemoˇznit klientovi HPKP pouˇz´ıt.Pokud se ale webovému prohl´ıˇzeˇcipodaˇr´ıpˇrijmout HPKP hlaviˇckuod serveru napˇr´ıkladv jinés´ıti,m˚uˇzepˇripˇr´ıˇst´ımpˇripojen´ıpˇres proxy server konkrétn´ıkl´ıˇcvyˇzadovat, a pokud v certifikátunebude obsaˇzen, spojen´ıi ukonˇcit.Webovéprohl´ıˇzeˇcejako Chrome a Firefox ale vyp´ınaj´ıkon- trolu HPKP, pokud je ˇretˇezecpˇrijatéhocertifikátuzakonˇcenkoˇrenovýmcer- tifikátem,kterýuˇzivatel importoval do seznamu d˚uvˇeryhodných CA. Tedy pokud byl pˇrijatýcertifikátpodepsanýproxy serverem pomoc´ıCA, kteráje importovanáv prohl´ıˇzeˇci, pak nebude kontrola HPKP provedena, respektive jej´ı výsledekbude ignorován.[39]D˚usledektohoto pˇr´ıstupu vˇsakumoˇzˇnuje útoˇcn´ık˚umobej´ıtochranu pomoc´ıHPKP, pokud dokáˇz´ıvloˇzitvlastn´ıCA do seznamu d˚uvˇeryhodných CA napˇr´ıkladpomoc´ımalware. V takovémpˇr´ıpadˇe HPKP klienta neochrán´ı.[40]I tento fakt je argumentem pro vyuˇzit´ıjiných metod ochrany klienta nam´ıstoHPKP.

31 2. Dopady pro proxy servery

2.2.9 SameSite parametr u cookies Proxy server filtruj´ıc´ıHTTPS komunikaci m˚uˇzefiltrovat i parametry HTTP hlaviˇcek.D´ıkytomu m˚uˇzesprávce proxy serveru libovolnˇeupravovat parametr SameSite u cookies v závislostina doménˇe,ze kterépˇricház´ı.Napˇr´ıklad m˚uˇzespecifikovat výchoz´ıhodnotu parametru SameSite, pˇr´ıpadnˇedoplnit cookies s SameSite=None o atribut Secure, aby nebyly webovýmprohl´ıˇzeˇcem odm´ıtnuty. D´ıkytˇemto moˇznostemmohou proxy servery obej´ıtjakékoli nastaven´ıtohoto parametru, pˇr´ıpadnˇejej zcela odstranit.

2.2.10 TLS 1.0 a TLS 1.1 Vývoj zabezpeˇcenéhoHTTP spojen´ıse netýkápouze kryptografických algoritm˚u,ale i kryptografických protokol˚u,kterétyto algoritmy vyuˇz´ıvaj´ı.Webové servery pak postupnˇepˇrecházej´ı na tyto novˇejˇs´ı verze protokol˚u,a t´ım se zvyˇsujejejich procentuáln´ızastoupen´ıv rámciHTTPS. Na tuto skuteˇcnost mus´ıreagovat i proxy servery filtruj´ıc´ıHTTPS komunikaci. Je vhodné,aby proxy servery umoˇznilyomezit pouˇzit´ızastaralých verz´ıTLS 1.0 a TLS 1.1 a nahradily je nejnovˇejˇs´ımiverzemi. Tyto novéprotokoly tak mus´ıbýtpod- porovány pouˇz´ıvanou kryptografickou knihovnou.

2.2.11 Zastarán´ınezabezpeˇcenéhoHTTP Aˇckoliv dosud webovéprohl´ıˇzeˇcezpravidla nestanovily pˇresnédatum pro ukon- ˇcen´ıpodpory nezabezpeˇcenéhoHTTP protokolu, proklamuj´ı,ˇzek tétoskuteˇc- nosti dojde. Proxy servery by se proto mˇely pˇripravit na tuto skuteˇcnost.Proxy servery jako je Privoxy, kteréumoˇzˇnuj´ıfiltrovat pouze neˇsifrovanýHTTP protokol, by v takovémpˇr´ıpadˇenemohly uplatnit naprostou vˇetˇsinu svých filtrovac´ıch algoritm˚u.

32 Kapitola 3

N´avrh´uprav

Pro rozˇs´ıˇren´ıproxy serveru Privoxy o moˇznostfiltrovat veˇskerou komunikaci pˇrenáˇsenoupomoc´ıˇsifrovanéhoHTTP spojen´ıa dalˇs´ınovéfunkcionality je nutnénavrhnout a implementovat ˇradud´ılˇc´ıch zmˇen.Pˇredt´ımje nezbytné analyzovat výchoz´ı stav zdrojového kóduproxy serveru, ze kteréhobudou následnéúpravy vycházet.

3.1 Proxy server Privoxy

Privoxy je webovýproxy server bez mezipamˇeti,kterýnab´ız´ıˇradufunkc´ıpro filtrován´ıpˇrenáˇsenéHTTP komunikace, ale pouze pokud nen´ıpˇrenáˇsenapo- moc´ızabezpeˇcenéhospojen´ı.Tyto funkce umoˇzˇnuj´ıfiltrovat data webových stránekvˇcetnˇeHTTP hlaviˇcek.Filtry mohou slouˇzitnapˇr´ıkladpro odstranˇen´ı reklam z webových stránek,ˇcipro zvýˇsen´ıbezpeˇcnostid´ıkyodstranˇen´ıpoten- cionálnˇeˇskodlivých skript˚u.K dispozici jsou pˇreddefinovanéfiltry a dalˇs´ıakce nad pˇrenáˇsenýmidaty. Uˇzivatel mázároveˇnmoˇznostspecifikovat filtry podle individuáln´ıch potˇreb.Bˇehemposledn´ıch tˇr´ılet byly vydány dvˇenovéverze proxy serveru. Nyn´ıtak je nejaktuálnˇejˇs´ıverz´ıPrivoxy 3.0.28.

3.2 Výstup bakaláˇrsképráce

Tato diplomováprácenavazuje na výstupbakaláˇrsképráce Podpora pro fil- ” trován´ıSSL/TLS komunikace v Privoxy“.[1] Bakaláˇrskáprácerozˇsiˇrujeproxy sever Privoxy ve verzi 3.0.26 o moˇznostˇcásteˇcnˇefiltrovat pˇrenáˇsenouHTTPS komunikaci. N´ıˇzejsou popsány jednotlivéimplementovanéˇcásti.

3.2.1 Metoda Man In The Middle Pro úspˇeˇsnéfiltrován´ıHTTPS komunikace bylo nutnéimplementovat princip MITM, tedy vytvoˇren´ı dvou samostatných TLS spojen´ı, jedno mezi klientem a proxy serverem a druhémezi proxy serverem a webovýmserverem.

33 3. Navrh´ uprav´

Tento postup nahradil pro HTTPS komunikaci p˚uvodn´ıpˇrenosdat pomoc´ı TLS tunelu, tedy pouhépˇrepos´ılán´ıˇsifrovaných dat mezi klientem a serverem pˇresTCP spojen´ı.D´ıkyprincipu MITM jsou pˇrenáˇsenádata deˇsifrována a mohou na nˇebýtnáslednˇeaplikovány jiˇzexistuj´ıc´ıfiltrovac´ıalgoritmy im- plementovanév Privoxy. Následnˇejsou data opˇetzaˇsifrovánaa zaslánana c´ılovézaˇr´ızen´ı.Tento princip umoˇzˇnujefiltrovat komunikaci v obou smˇerech, tedy jak data pˇrijatáod klienta, tak data od serveru, a to vˇcetnˇeHTTP hlaviˇcek.Zároveˇnbakaláˇrskápráceumoˇzˇnujefiltrován´ıHTTPS komunikace i pˇripouˇzit´ınadˇrazenéhoproxy serveru, i kdyˇzse v takovémpˇr´ıpadˇenava- zován´ıspojen´ıs c´ılovýmwebovýmserverem liˇs´ı.Pro TLS komunikaci byla v bakaláˇrsképrácipouˇzitakryptografickáknihovna Mbed TLS.

3.2.2 Cásteˇcnéfiltrován´ıkomunikaceˇ

P˚uvodn´ıverze proxy serveru Privoxy jiˇznab´ız´ısadu funkc´ıpro filtrován´ıtex- tových dat pˇrenáˇsených pomoc´ınezabezpeˇcenéhoHTTP spojen´ı,vˇcetnˇefunkc´ı provádˇej´ıc´ıch dekompresi a kompresi dat. K manipulaci s daty je moˇznépouˇz´ıt filtry definovanéuˇzivatelem v konfiguraˇcn´ımsouboru, pˇr´ıpadnˇepˇreddefinované filtry, a nebo sofistikovanˇejˇs´ıakce, kteréjsou implementovány pˇr´ımove zdro- jovémkódu.Tyto filtry se následnˇepˇriˇrazuj´ıke konkrétn´ımurl adresám.Na tento základnavázalabakaláˇrskápráce,kteráumoˇznilaaplikovat zm´ınˇenéfil- try a akce na soubory i HTTP hlaviˇckypˇrijatépˇreszabezpeˇcenéHTTP spojen´ı,ale pouze pokud byly pˇrijaty od c´ılovéhowebovéhoserveru. Filtrován´ı dat od klienta nebylo kv˚ulinezbytnýmúpravámvelkéhorozsahu v rámciba- kaláˇrsképrácerealizováno.

3.2.3 Dynamickévytváˇren´ıcertifikát˚u

Pˇrivyuˇzit´ımetody MITM navazuje proxy server dvˇesamostatnáTLS spojen´ı. Nejdˇr´ıve pˇrijmeod klienta HTTP poˇzadavek na navázán´ıspojen´ıs poˇzadova- nýmwebovýmserverem. Tento poˇzadavek je pˇrijat pˇresnezabezpeˇcenéspo- jen´ı.Proxy server následnˇevytváˇr´ıTLS spojen´ıs webovýmserverem a poté i s klientem. Webovýprohl´ıˇzeˇcovˇeˇrujeidentitu protˇejˇs´ıstrany pomoc´ıcerti- fikátupˇrijatéhov pr˚ubˇehu TLS handshake. Pokud by prohl´ıˇzeˇcoznaˇcilcerti- fikátjako neplatný,upozornil by uˇzivatele a spojen´ıukonˇcil. Aby k tomu ne- docházelo,mus´ıproxy server zaslat validn´ıcertifikát,kterýbude prohl´ıˇzeˇcem uznánjako platnýpro poˇzadovanou url adresu. Z tˇechto d˚uvod˚ubylo v rámci bakaláˇrsképráceimplementovánoi dyna- mickévytváˇren´ıcertifikát˚ua k nim pˇr´ısluˇsej´ıc´ıch pár˚usoukroméhoa veˇrejného kl´ıˇce.Ty jsou vytváˇreny pro kaˇzdoudoménu, na kterou klient zaˇslepoˇzada- vek. Proxy server certifikáty podepisuje vlastn´ı CA, kterou je zároveˇnne- zbytnéimportovat do webovéhoprohl´ıˇzeˇceklienta. Pro vytváˇren´ıcertifikát˚u byla v bakaláˇrsképrácipouˇzitaknihovna Mbed TLS, kterávˇsakneumoˇzˇnuje nastavit nˇekterározˇs´ıˇren´ıvytváˇrenéhocertifikátu.Jedn´ımz tˇechto rozˇs´ıˇren´ı

34 3.2. Výstupbakaláˇrsképráce je i Subject Alternative Name. Jelikoˇzzaˇcalynˇekteréwebovéprohl´ıˇzeˇce striktnˇevyˇzadovat rozˇs´ıˇren´ı typu Subject Alternative Name pro ovˇeˇren´ı identity webovéhoserveru, zaˇcalyzároveˇnkv˚uliabsenci tohoto parametru v pˇrijatých certifikátech oznaˇcovat veˇskeráTLS spojen´ıs proxy serverem za ned˚uvˇeryhodná.

3.2.4 Kontrola certiﬁk´at˚una stranˇeproxy serveru

Jak jiˇzbylo uvedeno, pˇrifiltrován´ıHTTPS komunikace pomoc´ıproxy serveru je vytváˇrenoTLS spojen´ımezi webovýmprohl´ıˇzeˇcema proxy serverem. Jelikoˇz proxy server zas´ıláwebovému prohl´ıˇzeˇcicertifikát,kterýsámvytvoˇril,nez´ıská prohl´ıˇzeˇcp˚uvodn´ıcertifikátwebového serveru, a tak nem˚uˇzeani ovˇeˇritplat- nost tohoto certifikátu.Z tohoto d˚uvodu mus´ıkontrolu certifikátuwebového serveru provádˇetjiˇzproxy server, kterýs t´ımto serverem navazuje TLS spojen´ı. Tato kontrola certifikát˚ubyla implementovánajiˇzv rámcibakaláˇrské prácea k jej´ımu proveden´ıvyuˇz´ıváproxy server seznam d˚uvˇeryhodných CA vytvoˇrenýsprávcem serveru. Pokud by proxy server tuto kontrolu neprovádˇel a vˇsechny certifikáty automaticky oznaˇciljako validn´ı,navázalby TLS spojen´ıs klientem a zaslal mu j´ımvytvoˇrenýcertifikát.Ten by prohl´ıˇzeˇcpˇrijal jako validn´ıa zahájilby s webovýmserverem komunikaci. D´ıkytomu by bylo HTTPS spojen´ınavázános jakýmkoli webovýmserverem bez ohledu na jeho certifikát.Uˇzivatel by tak z˚ustalpˇredpˇr´ıpadnýmiútokyna jeho komunikaci s webovýmserverem naprosto nechránˇený. Pokud proxy server oznaˇc´ı certifikátjako neplatný,pˇreruˇs´ı navazován´ı TLS spojen´ı s webovýmserverem, ale pˇresto naváˇzeTLS spojen´ı s klientem s vyuˇzit´ımplatnéhocertifikátu.Následnˇevˇsakt´ımto spojen´ımzaˇslekli- entovi HTML stránkuobsahuj´ıc´ı informace o chybˇebˇehemkontroly certi- fikátu,vˇcetnˇezákladn´ıch informac´ıo vˇsech certifikátech v podpisovémˇretˇezci. Zároveˇnbakaláˇrskápráce umoˇzˇnuje uˇzivateli tyto certifikáty stáhnout pomoc´ı odkazu. D´ıkytomu máuˇzivatel detailn´ıinformace o d˚uvodech, pro kterébyl certifikátodm´ıtnut.

3.2.5 Konﬁgurace

Souˇcást´ıbakaláˇrsképráceje i rozˇs´ıˇren´ımoˇznost´ıkonfigurace proxy serveru o konfiguraci novˇeimplementovaných funkcionalit. Nastavit lze jednak parametry pro TLS komunikaci, jako je napˇr´ıklad CA pro podpis novˇevytváˇrených certifikát˚u,nebo soubor obsahuj´ıc´ıd˚uvˇeryhodnéCA pouˇzitépˇrikontrole certi- fikát˚uwebových server˚u.Dálebylo Privoxy v rámcibakaláˇrsképrácerozˇs´ıˇreno o dvˇenovéakce, kterém˚uˇzesprávce proxy serveru pˇriˇraditjednotlivýmurl ad- resám.Pomoc´ıakce definovanékl´ıˇcovýmslovem disable-ssl-filtering lze pro protokol HTTPS vyuˇz´ıtm´ıstometody MITM p˚uvodn´ıTLS tunel. Druhé kl´ıˇcovéslovo ignore-certificate-errors umoˇzˇnujevypnout kontrolu cer- tifikát˚upro zvolenéwebovéservery.

35 3. Navrh´ uprav´

3.3 Novˇeimplementovan´arozˇs´ıˇren´ı

V rámcitétodiplomovépráceje implementovánaˇradanových funkcionalit a vylepˇsen´ınavazuj´ıc´ıch na pˇredchoz´ıbakaláˇrskou práci.Zároveˇnje provedena ˇradazmˇenve struktuˇrea zpracován´ızdrojovéhokódu.Hlavn´ıc´ıleprácejsou uvedeny v tétoˇcásti.

3.3.1 Zpracován´ıvýstup˚ubakaláˇrsképráce

Výstupbakaláˇrsképrácenen´ınijak strukturovaný,ani nen´ıvloˇzenýdo ˇzádného verzovac´ıhosystému. To komplikuje jeho následnézpracován´ıtˇret´ımistranami a pˇr´ıpadnénasazen´ıdo produkˇcn´ıhoprostˇred´ı. Z tohoto d˚uvodu je vhodné provéstpˇredsamotnou implementac´ınových rozˇs´ıˇren´ırevizi výchoz´ıhozdro- jovéhokódua následnˇerozdˇelen´ıúprav implementovaných v bakaláˇrsképráci do menˇs´ıch logických celk˚u.Souˇcasnˇeje vhodnétyto celky vloˇzitdo novˇe vytvoˇrenéhorepozitáˇreumoˇzˇnuj´ıc´ıho správuverz´ı. Bˇehemposledn´ıch tˇr´ılet doˇslok vydán´ıdvou nových verz´ıproxy serveru Privoxy. Nejaktuálnˇejˇs´ıje nyn´ıverze 3.0.28. P˚uvodn´ıbakaláˇrskápráce ovˇsem rozˇsiˇrujeverzi 3.0.26. Pˇredzahájen´ımimplementace dalˇs´ıch navazuj´ıc´ıch rozˇs´ı- ˇren´ıje tedy vhodnéspojit zdrojovýkódbakaláˇrsképráces nejnovˇejˇs´ıverz´ı Privoxy. D´ıkypˇredchoz´ımu rozdˇelen´ıbakaláˇrsképrácena menˇs´ılogickécelky je tato operace jednoduˇsˇs´ı.D´ıkyvyuˇzit´ıverzovac´ıhosystému i pro implementaci diplomovéprácebude zjednoduˇsenoi jej´ı pˇr´ıpadnépˇripojen´ı k dalˇs´ım vydanýmverz´ım Privoxy.

3.3.2 Pˇrizp˚usoben´ıwebov´ymprohl´ıˇzeˇc˚um

Webovéprohl´ıˇzeˇce neustálevydávaj´ınovéverze, ve kterých implementuj´ınové funkcionality i novábezpeˇcnostn´ıopatˇren´ı.Je nezbytné,aby se proxy server tˇemto zmˇenámpˇrizp˚usobil.Jedinˇetak m˚uˇzebýtzaruˇceno,ˇzepˇrispolupráci s webovýmiprohl´ıˇzeˇcinebude docházetk neoˇcekávanýmudálostem,jako je napˇr´ıkladnáhléukonˇcen´ıspojen´ı. Jednou z takových d˚uleˇzitých zmˇen,kterábyla vydánabˇehemposledn´ıch tˇr´ılet, je kontrola doménovéhojménav certifikátech pouze podle hodnoty rozˇs´ıˇren´ı Subject Alternative Name. Proxy server tak mus´ıv certifikátech toto rozˇs´ıˇren´ıkorektnˇenastavit a k tomu je nezbytnávhodnákryptografická knihovna, kteráumoˇzˇnuje tento parametr ve vytváˇrených certifikátech nastavit. Jelikoˇzkryptografickáknihovna Mbed TLS zvolenáv rámcibakaláˇrské práceneumoˇzˇnuje nastaven´ıhodnoty pro toto rozˇs´ıˇren´ı,je nutnézvolit novou, kterábude lépe vyhovovat úˇcel˚umproxy serveru. Zároveˇnje nezbytné implementovat veˇskeréfunkcionality z bakaláˇrsképrácei s vyuˇzit´ımtétonové knihovny tak, aby bylo co nejv´ıcezachovánorozhran´ıp˚uvodn´ıch funkc´ı.D´ıky tomu bude moˇznézkompilovat proxy server s p˚uvodn´ınebo novou knihovnou podle preferenc´ıuˇzivatele.

36 3.3. Novˇeimplementovan´arozˇs´ıˇren´ı

3.3.3 Umoˇznˇen´ıkompilace bez kryptograﬁck´ych knihoven

D´ıkyzachován´ıstejného rozhran´ıu funkc´ıvyuˇz´ıvaj´ıc´ıch novou kryptografickou knihovnu, jako maj´ıp˚uvodn´ıfunkce implementovanév bakaláˇrsképráci, bude moˇznépomoc´ımaker v kóduumoˇznitkompilaci s novou ˇcip˚uvodn´ıkni- hovnou. Zároveˇnlze d´ıkymakr˚umupravit zdrojovékódytak, aby se uˇzivatel mohl rozhodnout zkompilovat proxy server v p˚uvodn´ıpodobnˇe,tedy bez kryp- tografickéknihovny a bez rozˇs´ıˇren´ıumoˇzˇnuj´ıc´ıhofiltrovat HTTPS komunikaci. Rozˇs´ıˇren´ıvstupn´ıch soubor˚udo konfiguraˇcn´ıch skript˚upak umoˇzn´ıuˇzivateli pomoc´ıpˇrep´ınaˇc˚uzvolit preferovanýzp˚usobkompilace bez jakýchkoli zmˇen v kódu.Konfiguraˇcn´ıskripty následnˇevygeneruj´ıodpov´ıdaj´ıc´ı makefile.

3.3.4 Filtrován´ıveˇskerépˇrenáˇsenéHTTPS komunikace

Hlavn´ım c´ılem tétodiplomovépráceje modernizovat proxy server Privoxy tak, aby bylo moˇznéjeho veˇskeréfunkcionality pro filtrován´ıHTTP komunikace vyuˇz´ıt i pro komunikaci pˇrenáˇsenoupˇreszabezpeˇcenéspojen´ı, tedy pomoc´ıprotokolu HTTPS. Tato práce navazuje na bakaláˇrskou práci, která jiˇzumoˇzˇnujepouˇz´ıttyto funkcionality pro data pˇrijatáod webového serveru. Je tedy potˇrebaupravit naˇc´ıtán´ı poˇzadavk˚uwebovéhoprohl´ıˇzeˇcetak, aby i v pˇr´ıpadˇevyuˇzit´ıHTTPS komunikace byly tyto poˇzadavky naparsovány. Na základˇetakto z´ıskaných dat pak bude moˇznéaplikovat uˇzivatelem definované akce upravuj´ıc´ıparametry HTTP dotazu. Potése dotaz opˇetsestav´ız upra- vených parametr˚ua odeˇslepomoc´ıˇsifrovanéhospojen´ına webovýserver.

3.3.5 Konﬁguraˇcn´ırozhran´ıpˇresHTTPS

Proxy server Privoxy umoˇzˇnujezobrazit a editovat konfiguraci nˇekterých parametr˚upomoc´ıwebovéstránkydostupnéna specifickéurl adrese. Zároveˇnje moˇznéna tétourl ovˇeˇritaplikovanéfiltry pro zadanou url, pˇr´ıpadnˇeovˇeˇrit výstuppo aplikován´ı urˇcitých filtr˚u. Toto konfiguraˇcn´ı rozhran´ı je ovˇsem v proxy serveru Privoxy dostupnépouze pˇresnezabezpeˇcenéspojen´ı.Pokud uˇzivatel zadádotaz na konfiguraˇcn´ıurl s pˇredponou https://“, pak Privoxy ” nevrát´ıkonfiguraˇcn´ırozhran´ı,ale pokus´ıse dotaz pˇresmˇerovat na konkrétn´ı webovýserver, kterýzpravidla nen´ıdostupný. Proxy server nemus´ıbýtvˇzdyspuˇstˇenýpˇr´ımona lokáln´ımzaˇr´ızen´ıuˇzivate- le, ale napˇr´ıklad na serveru, routeru nebo jinéms´ıt’ovémzaˇr´ızen´ı. Je tedy vhodné,aby pˇr´ıpadnákomunikace mezi tˇemitodvˇemazaˇr´ızen´ımi,kterám˚uˇze upravovat konfiguraci proxy serveru, byla zabezpeˇcená.To umoˇzn´ızabránit odposlechu komunikace v rámcilokáln´ıs´ıtˇe.Proto je potˇrebaupravit funkci obsluhuj´ıc´ıpˇrijatépoˇzadavky tak, aby odchytila specifickéurl adresy pro úˇcel konfigurace, i pokud byly tyto poˇzadavky pˇrijaty pˇresTLS spojen´ı.Pokud by webovéprohl´ıˇzeˇcepˇristoupilyk blokován´ıwebových stránek,kteréjsou z ˇcásti pˇrijatéprotokolem HTTP a z ˇcástiprotokolem HTTPS, pak by tato úprava

37 3. Navrh´ uprav´

Obrázek 3.1: Srovnán´ı doby naˇc´ıtán´ı vybraných webových stránek podle pouˇzitémetody a poˇctujej´ıch subresources. Pouˇzitýproxy server je výstupem pˇredchoz´ıbakaláˇrsképráce.

pˇredeˇslablokován´ıkonfiguraˇcn´ıhorozhran´ı.K tomu by mohlo doj´ıt,jelikoˇz výchoz´ıurl adresa pro konfiguraci je subdoménou www.privoxy.org.

3.3.6 Opakovan´epouˇz´ıv´an´ıTLS sessions

Pokud srovnámedobu potˇrebnoupro naˇcten´ı kompletn´ıho obsahu webové stránkybez pouˇzit´ıproxy serveru, s pouˇzit´ımp˚uvodn´ıhoˇreˇsen´ıimplemento- vanéhov Privoxy (TLS tunel) a s metodou MITM implementovanou v rámci bakaláˇrsképráceviz obrázek3.1, vid´ıme velkýrozd´ıl pˇredevˇs´ım u metody MITM. Pˇripouˇzit´ımetody MITM se doba naˇc´ıtán´ıstránkyznaˇcnˇeprodluˇzuje, a to pˇredevˇs´ıms rostouc´ımpoˇctemsubresources, tedy pokud se webovástránka skládáz velkéhomnoˇzstv´ıdalˇs´ıch prvk˚u, kteréje potˇreba samostatnˇenaˇc´ıtat. D˚uvod tohoto nár˚ustudoby naˇc´ıtán´ım˚uˇzemevidˇetna obrázku3.2. Ten znázorˇnujepr˚ubˇehnaˇc´ıtán´ıwebovéstránky www.privoxy.org s pouˇzit´ımproxy serveru, kterývyuˇz´ıvámetodu MITM k filtrován´ıkomunikace. Jednáse tedy o pˇr´ıstup implementovanýv rámcibakaláˇrsképráce.Klient nejdˇr´ıve zaˇsle poˇzadavek na adresáˇr /“, na kterýmu server vrát´ıindexovýsoubor. Následnˇe ” klient zas´ılápoˇzadavky na dalˇs´ıˇcástistránkyodkazovanéz indexovéhosou- boru, tedy na soubory p doc.css“ a favicon.ico“. Pro kaˇzdýz tˇechto dotaz˚u ” ” vytváˇr´ıproxy server novéTLS spojen´ıs klientem i webovýmserverem. Tato spojen´ıjsou na obrázku3.2 odliˇsena r˚uznýmibarvami ˇsipek. Celkem je tedy vytváˇrenoˇsestsamostatných TLS spojen´ı,kterájsou ihned po pˇrenesen´ısou- boru uzav´ırána.Reˇziena vytváˇren´ıTLS spojen´ızpomaluje naˇc´ıtán´ıwebové stránkya nese tak nezanedbatelnýpod´ılna celkovédobˇepotˇrebnépro jej´ı naˇcten´ı.Opakovanévyuˇzit´ıvytvoˇrených TLS spojen´ıby tak urychlilo naˇc´ıtán´ı, zejménapro webovéstránkys velkýmmnoˇzstv´ımsubresources. P˚uvodn´ıverze

38 3.3. Novˇeimplementovan´arozˇs´ıˇren´ı

Klient Proxy sever www.privoxy.org

CONNECT www.privoxy.org:443 HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 HTTP/1.1 200 OK + data / HTTP/1.1 200 OK + data /

CONNECT www.privoxy.org:443 HTTP/1.1 GET /p_doc.css HTTP/1.1 CONNECT www.privoxy.org:443 HTTP/1.1 GET /p_doc.css HTTP/1.1 GET /favicon.ico HTTP/1.1 HTTP/1.1 200 OK + data /p_doc.css HTTP/1.1 200 OK + data /p_doc.css GET /favicon.ico HTTP/1.1 HTTP/1.1 200 OK + data /favicon.ico HTTP/1.1 200 OK + data /favicon.ico

Obrázek3.2: Naˇc´ıtán´ı jednotlivých ˇcást´ı webovéstránky www.privoxy.org s pouˇzit´ımproxy serveru Privoxy s rozˇs´ıˇren´ımiimplementovanýmiv rámci bakaláˇrsképráce.

Privoxy jiˇzumoˇzˇnujezachovávat navázanáTCP spojen´ıa následnˇeje i opa- kovanˇevyuˇz´ıt. Pro tento úˇcelzohledˇnujehodnotu parametru Keep-Alive z HTTP hlaviˇcky. Zachováván´ıvytvoˇrených TLS spojen´ıovˇsemPrivoxy ne- umoˇzˇnuje. K opakovanému vyuˇzit´ı TLS spojen´ı se vyuˇz´ıvaj´ı tzv. TLS session. Ty umoˇzˇnuj´ıobnovit dˇr´ıve vytvoˇrenáTLS spojen´ıpomoc´ısession identifikátoru, kterýobˇekomunikuj´ıc´ıstrany vyjednaly bˇehemTLS handshake. Pˇri opˇetov- némnavazován´ıTLS spojen´ım˚uˇzeklient tento identifikátorna server zaslat, a d´ıky tomu zrychlenˇeobnovit dˇr´ıvˇejˇs´ı pˇredchoz´ı TLS. Server ovˇsemm˚uˇze pˇrijatýidentifikátorodm´ıtnoutjako neplatný.[8] Opakovanévyuˇzit´ıTLS sessions m˚uˇzeurychlit naˇc´ıtán´ıwebovéstránky, i pokud jsou jej´ızdroje na r˚uzných webových serverech, avˇsakpouze pokud alespoˇnnˇekteréz tˇechto zdroj˚usd´ıl´ı spoleˇcnýwebovýserver.

3.3.7 Sd´ılen´ıTLS sessions mezi jednotliv´ymiklienty

P˚uvodn´ıproxy server Privoxy umoˇzˇnujeTCP spojen´ınejen uchovávat k opˇe- tovnému pouˇzit´ı.K dispozici je i funkcionalita umoˇzˇnuj´ıc´ıexistuj´ıc´ıTCP spojen´ı sd´ılet mezi jednotlivýmiklienty, respektive mezi vlákny zpracovávaj´ıc´ı jednotliváspojen´ıze strany klienta. Pokud tedy jeden klient zaˇslepoˇzadavek napˇr´ıkladna www.privoxy.org, proxy server jej odbav´ıa uchováspojen´ık dal- ˇs´ımu pouˇzit´ı.Pokud následnˇev urˇcitémˇcasovémintervalu pˇrijdedalˇs´ıpoˇzada- vek od jinéhoklienta na stejnou doménu, proxy server nenavazuje novéspo-

39 3. Navrh´ uprav´

jen´ı,ale poskytne jiˇzexistuj´ıc´ıspojen´ınovému klientovi. T´ımdocház´ık úspoˇre ˇcasupotˇrebnéhopro navázán´ınovéhospojen´ı.Tento princip je vhodnéapliko- vat i pro vytvoˇrenáTLS spojen´ıa za urˇcitých okolnost´ıtak urychlit naˇc´ıtán´ı webovéstránky. Sd´ılen´ıspojen´ımezi klienty máovˇsemd˚usledkynejen pro rychlost, ale i pro bezpeˇcnost.Pokud proxy server vyuˇz´ıvánˇekolik uˇzivatel˚u,mohou jednotliv´ıuˇzivatelépouˇz´ıvat i spojen´ıjiných uˇzivatel˚u.To m˚uˇzebýtnebezpeˇcné, pokud jsou pouˇzitaautentizaˇcn´ı schématajako je NTLM, kde je autenti- zovánopouze spojen´ı jako celek a ne jednotlivédotazy.[41] Zároveˇntento pˇr´ıstupm˚uˇzeoslabovat dalˇs´ımetody zabezpeˇcen´ı,kterévyuˇz´ıvaj´ıinformace o konkrétn´ım spojen´ı. Jako pˇr´ıklad m˚uˇzemeuvéstmetodu Token Binding, kterákryptograficky svazuje aplikaˇcn´ıtokeny s TLS vrstvou. Z tˇechto d˚uvod˚u by mˇelsprávce proxy serveru povolit sd´ılen´ıTLS sessions pouze v pˇr´ıpadˇe, ˇzesi je vˇedomveˇskerých souvisej´ıc´ıch rizik a zváˇzilje oproti potencionáln´ım výhodámtohoto ˇreˇsen´ı.K povolen´ısd´ılen´ıTLS sessions slouˇz´ıkl´ıˇcovéslovo connection-sharing v konfiguraˇcn´ım souboru config. Toto kl´ıˇcovéslovo slouˇzilojiˇzv pˇredchoz´ıch verz´ıch Privoxy pro sd´ılen´ıTCP spojen´ı.

3.3.8 Konfigurace ˇsifrových sad Kryptografickéknihovny pˇrinavazován´ıTLS spojen´ıodes´ılaj´ıprotˇejˇs´ıstranˇe ˇsifrovou sadu, pomoc´ı kteréspecifikuj´ı podporovanéalgoritmy pro výmˇenu kl´ıˇce,ˇsifrován´ı pomoc´ı tohoto kl´ıˇcea pro ovˇeˇren´ı zpráv.Seznam je nav´ıc seˇrazenýsestupnˇepodle preferenc´ı. Protˇejˇs´ı strana porovnápˇrijatou sadu s vlastn´ımi podporovanýmialgoritmy, vybere z nich nejvhodnˇejˇs´ı a odeˇsle tento návrhklientovi. Klient návrhpotvrd´ınebo zam´ıtne.V p˚uvodn´ıverzi Pri- voxy nelze zvolit vlastn´ıˇsifrovou sadu, a tak knihovna pouˇzijevýchoz´ı,která je specifickápro kaˇzdouverzi knihovny. Výchoz´ıˇsifrovásada je jakýmsikom- promisem mezi bezpeˇcnost´ıa kompatibilitou. V knihovnˇeLibreSSL je ovˇsem v tétosadˇepovolen i algoritmus RC4, kterýjiˇznen´ıpovaˇzovánza bezpeˇcný. Pro zvýˇsen´ıúrovnˇezabezpeˇcen´ıje tedy vhodné,aby mohl klient sámdefinovat konkrétn´ıˇsifrovou sadu pro vybranéwebovéservery. D´ıkytomu m˚uˇzenejen nastavit vysokou úroveˇnzabezpeˇcen´ı,ale z d˚uvodu zpˇetnékompatibility m˚uˇze udˇelitvybranýmserver˚umi výjimku.

40 Kapitola 4

Implementace

Souˇcást´ıdiplomovépráceje i implementace navrˇzených úprav. Implementace navazuje na výstuppˇredchoz´ıbakaláˇrcepráce,kterou dálerozˇsiˇruje.Mnohá z tˇechto rozˇs´ıˇren´ı je moˇznéimplementovat ˇradouodliˇsných zp˚usob˚u,které následnˇeovlivˇnuj´ı funkˇcnost,bezpeˇcnosti rozˇsiˇritelnostvýslednéhoˇreˇsen´ı. Proto tato kapitola popisuje principy zvolenéhoˇreˇsen´ı, vˇcetnˇed˚uvod˚upro pouˇzit´ıkonkrétn´ıch postup˚u.

4.1 Pouˇzit´ıverzovac´ıhosyst´emu Git

Pro implementaci diplomovéprácebyl vytvoˇrenrepozitáˇrna serveru GitLab. Výchoz´ıcommit obsahuje zdrojovýkódPrivoxy verze 3.0.28, kteráje nyn´ınej- aktuálnˇejˇs´ıverz´ıtohoto proxy serveru. Zdrojovýkódbakaláˇrsképráceovˇsem vycház´ız Privoxy verze 3.0.26. Hlavn´ızmˇeny mezi tˇemitoverzemi, kterémaj´ı nejvˇetˇs´ıdopad na spojen´ıtétoverze s bakaláˇrskou prac´ı,jsou:

• Rozdˇelen´ıfunkce Chat Funkce Chat je volánapo akceptován´ıpˇripojen´ıod klienta. Jej´ımúkolem je pˇrijmoutpoˇzadavek klienta, zpracovat ho, pˇreposlat na c´ılovýserver a pˇrijatou odpovˇed’ pˇredatklientovi. Ve starˇs´ıch verz´ıch byla tato funkce velmi rozsáhláa nepˇrehledná,a tak doˇslok jej´ımu rozdˇelen´ıdo dvou sa- mostatných funkc´ı.Prvn´ıˇcástz˚ustalasouˇcást´ıfunkce chat a zajiˇst’uje naˇcten´ı HTTP hlaviˇcky od klienta, jej´ı parsován´ı a nastaven´ı parametr˚uspojen´ıpodle jej´ıhoobsahu. Druháfunkce handle established- connection obsahuje cyklus pro zpracován´ı, filtrován´ı a pˇrepos´ılán´ı dalˇs´ıch pˇrenáˇsených dat. Zároveˇndoˇslov novéverzi k celkovému pˇrepra- cován´ı zdrojovéhokódufunkce chat, kterépˇrineslonapˇr´ıklad zredu- kován´ıduplicit d´ıkyvytvoˇren´ınových funkc´ıpro prácis daty. Zmˇeny implementovanév rámcibakaláˇrsképrácezasahuj´ızejménado funkce chat, a proto bylo nezbytnépˇrizp˚usobitzdrojovýkódbakaláˇrsképráce novéverzi Privoxy.

41 4. Implementace

• Nahrazen´ıfunkce select funkc´ı poll P˚uvodn´ıverze Privoxy vyuˇz´ıvák urˇcen´ıaktivn´ıch soket˚ufunkci select. Nováverze ovˇsemk tomuto úˇcelunab´ız´ıi funkci poll a oznamuje, ˇze v budoucnu tato funkce zcela nahrad´ıfunkci select. D˚uvodem zmˇeny je zejménaproblematickéˇskálován´ıpoˇctusoket˚upˇripouˇzit´ıfunkce select.[42] To je zp˚usobeno souvisej´ıc´ımmakrem fd set pro vloˇzen´ıso- ketu do mnoˇziny, kterépouˇz´ıvábitovou masku urˇcitéomezenédélky. Na- proti tomu funkce poll umoˇzˇnujeuˇzivateli alokovat pole soket˚ua pˇredat jeho velikost, tud´ıˇzneomezuje poˇcet soket˚u.[43]

Z tˇechto d˚uvod˚ubylo nezbytnépˇredimplementac´ı nových funkcionalit pˇrizp˚usobitzdrojovýkódbakaláˇrsképrácenovéverzi Privoxy. Proto byl nejprve zdrojovýkódbakaláˇrsképrácerozdˇelenna menˇs´ılogickécelky, kterélze snadnˇejipˇrizp˚usobitzmˇenámv novˇejˇs´ıverzi Privoxy. Tyto celky pak byly sa- mostatnˇepˇripojovány k úvodn´ımu commitu. Nejvýznamnˇejˇs´ımiˇcástmijsou:

1. Nahrazen´ımetody TLS tunelu metodou MITM • Vytváˇren´ıTLS spojen´ıs c´ılovýmserverem Na základˇeklientova poˇzadavku CONNECT, pˇrijatéhopˇresnezabez- peˇcenéspojen´ı,iniciuje proxy server navazován´ızabezpeˇcenéhospo- jen´ıs poˇzadovanýmwebovýmserverem. • Vytváˇren´ıTLS spojen´ıs klientem Poté,co proxy server úspˇeˇsnˇenaváˇzeTLS spojen´ıs webovýmser- verem, potvrd´ıtuto skuteˇcnostklientovi, a následnˇes n´ımnaváˇze zabezpeˇcenéTLS spojen´ı. • Pˇrepos´ılán´ıdat mezi klientem a serverem Potéco je navázánoTLS spojen´ıse serverem i s klientem, je potˇreba pˇrepos´ılatdata mezi nimi. Jako prvn´ıje serveru zaslánpoˇzadavek klienta. Následnˇejsou v cyklu pˇrepos´ılánaveˇskerádata, kteráproxy server pˇrijme. Pˇrijet´ı dat je detekovánopomoc´ı funkce select, pˇr´ıpadnˇejsou data ˇcekaj´ıc´ık naˇcten´ına zásobn´ıkuovˇeˇrena pomoc´ı rozhran´ıkryptografickéknihovny. Veˇskeréúpravy mus´ızachovávat funkˇcnosti pro nezabezpeˇcenáspojen´ı. • Pouˇzit´ınadˇrazenéhoproxy serveru Pˇripouˇzit´ınadˇrazenéhoproxy serveru je potˇrebacelýpostup upravit. Proxy server nenavazuje TLS spojen´ıs c´ılovýmserverem, ale pˇrepos´ılápoˇzadavek CONNECT od klienta na nadˇrazenýproxy server. Zároveˇnproxy sever nevytváˇr´ıpotvrzen´ıo navázán´ıspojen´ı,ale pouze pˇrepos´ılápotvrzen´ıvytvoˇrenénadˇrazenýmproxy serverem. • Podpora funkce poll Pokud klient podporuje funkci poll, je pouˇzit´ı tétofunkce pre- ferováno.Bylo tedy nezbytnépˇrizp˚usobitdetekci pˇr´ıchoz´ıch dat

42 4.2. Zmˇenakryptograﬁck´eknihovny

pomoc´ıfunkce poll i pˇripouˇzit´ıTLS spojen´ı.Proto je v pˇr´ıpadˇe ˇcekaj´ıc´ıch dat na zásobn´ıkuruˇcnˇenastavena událost POLLIN signa- lizuj´ıc´ıtuto skuteˇcnost,kteráje dálestandardnˇezpracována.

2. Zpracován´ıcertifikát˚u

• Kontrola platnosti certifikát˚u Bˇehemnavazován´ıTLS spojen´ıs poˇzadovanýmserverem mus´ıpro- xy server ovˇeˇritplatnost pˇrijatéhocertifikátu.Pokud je certifikát platný,komunikace m˚uˇzepokraˇcovat. V opaˇcnémpˇr´ıpadˇeje klient informováno d˚uvodech, proˇcnebyl certifikátuznánjako platný. • Vytváˇren´ıcertifikát˚uwebových stránek Proxy server mus´ıwebovému prohl´ıˇzeˇciv pr˚ubˇehu TLS handshake zaslat certifikátkoresponduj´ıc´ıs poˇzadovanou doménou.V opaˇcném pˇr´ıpadˇeby webovýprohl´ıˇzeˇcpˇreruˇsilnavazován´ıspojen´ıa infor- moval uˇzivatele o pˇr´ıˇcinách. Proto mus´ı proxy server generovat vlastn´ısoukromékl´ıˇcea pomoc´ıvlastn´ıCA podepisovat pro kaˇzdou z poˇzadovaných doménodpov´ıdaj´ıc´ıcertifikát.Aby nebyl certifikát vytváˇrenopakovanˇe,jsou vytvoˇrenécertifikáty ukládány a následnˇe naˇc´ıtány jednotlivýmivlákny, kteráobsluhuj´ı jednotlivéklienty. Z d˚uvodu paraleln´ıhobˇehu ve v´ıcevláknech jsou vyuˇzity mutexy pro zabránˇen´ıkoliz´ım.

3. Konfigurace Souˇcást´ıbakaláˇrsképráceje i rozˇs´ıˇren´ımoˇznost´ıkonfigurace. Konkrétnˇe se jednáo konfiguraci parametr˚upro generován´ı certifikát˚u,dáleje umoˇznˇenopro zvolenéurl adresy nahradit novˇeimplementovanou metodu MITM p˚uvodn´ımˇreˇsen´ımpomoc´ıTLS tunelu a posledn´ırozˇs´ıˇren´ı konfigurace umoˇzˇnujepro vybranéurl adresy vypnout kontrolu certi- fikátuwebovéhoseveru. Vˇsechna tato rozˇs´ıˇren´ıbyla rovnˇeˇzpˇrizp˚usobena nejnovˇejˇs´ıverzi Privoxy.

4.2 Zmˇena kryptograﬁck´eknihovny

Hlavn´ımd˚uvodem pro zmˇenu kryptografickéknihovny je zachován´ıkompa- tibility s modern´ımiwebovýmiprohl´ıˇzeˇci.Privoxy je licencovánopod licenc´ı GNU GPLv28. Je tedy nezbytnézvolit takovou kryptografickou knihovnu, kteránejen ˇzenab´ıdne veˇskerépotˇrebnéfunkcionality, ale zároveˇnbude kom- patibiln´ıs touto licenc´ı.Proto byla v rámcidiplomovéprácepouˇzitakrypto- grafickáknihovna LibreSSL9. Tato knihovna vznikla v roce 2014 odˇstˇepen´ım

8GNU General Public License, version 2. Dostupnéna: https://www.gnu.org/licenses/ old-licenses/gpl-2.0.html 9Kryptografickáknihovna LibreSSL. Dostupnéna: https://www.libressl.org/

43 4. Implementace od knihovny OpenSSL s c´ılem modernizovat p˚uvodn´ızdrojovékódya zlepˇsit bezpeˇcnost. Knihovna je licencovánapod licenc´ıOpenBSD.10 Kryptografickáknihovna LibreSSL umoˇzˇnujenastavovat rozˇs´ıˇren´ı Subject Alternative Name u vytváˇrených certifikát˚u,kteréje nezbytnépro zajiˇstˇen´ı funkˇcnostis novýmiverzemi webových prohl´ıˇzeˇc˚u.Zároveˇntato knihovna nab´ız´ıi podporu protokolu APLN, kterýje vyuˇz´ıvánpˇri navazován´ıHTTP/2 spojen´ı.D´ıkytomu by mohla býttato knihovna vyuˇzita,i pokud by se Privoxy v budoucnu rozhodlo pro podporu tohoto protokolu. Jedn´ımz nedostatk˚utéto knihovny je aktuálnˇechybˇej´ıc´ıpodpora CT. Kv˚ulizmˇenˇekryptografickéknihovny bylo následnˇenutnéimplementovat veˇskerékryptografickéfunkcionality, kteréjiˇzbyly implementovány v pˇredchoz´ı bakaláˇrsképráci. Jednáse o funkce pro navazován´ıTLS spojen´ı,pˇrepos´ılán´ı dat pˇresTLS spojen´ı,kontrola webových certifikát˚u,vytváˇren´ıwebových cer- tifikát˚ua dalˇs´ıfunkce, z nichˇznˇekteréjsou detailnˇejipopsány v ˇcásti4.1.

4.3 Konﬁgurace kompilaˇcn´ıch skript˚u

D´ıkypouˇzit´ınovékryptografickéknihovny byla vytvoˇrenadruháfunkˇcn´ıverze proxy serveru Privoxy implementuj´ıc´ıprincip MITM. Kaˇzdáz tˇechto verz´ımá svévýhody i nevýhody a jednotliv´ıuˇzivatelémohou preferovat jinou z tˇechto dvou knihoven. Zároveˇnmohou nˇekteˇr´ıuˇzivatelépreferovat pouˇz´ıván´ıPrivoxy bez moˇznostifiltrovat HTTPS komunikaci a tedy i bez vyuˇz´ıván´ı jakékoli kryptografickéknihovny. Z tˇechto d˚uvod˚ubyl v rámcidiplomovépráce upraven soubor configure.in, na jehoˇzzákladˇegeneruje nástroj Autoconf kon- figuraˇcn´ıskript. S vyuˇzit´ım tohoto konfiguraˇcn´ıho skriptu jsou následnˇevy- tvoˇreny soubory makefile a config.h. Zat´ımco makefile slouˇz´ıke kompilaci zdrojových kód˚u,soubor config.h obsahuje direktivy #define definuj´ıc´ıjed- notlivéidentifikátory. Tyto identifikátoryjsou následnˇevyuˇz´ıvány v rámci zdrojových kód˚uu direktiv #ifdef pro podm´ınˇenékompilován´ıblok˚uzdro- jovéhokódu. Aby mohli uˇzivatelézvolit preferovanou kryptografickou knihovnu, která bude pouˇzitav pr˚ubˇehu kompilace, byl soubor configure.in rozˇs´ıˇreno dva novéparametry. Ty mohou býtpouˇzity pˇrivolán´ı konfiguraˇcn´ıho skriptu. Zp˚usobpouˇzit´ıtˇechto parametr˚uje popsanýv tabulce 4.1, ve kteréje uvedena výslednákryptografickáknihovna, kterábude pˇrizvolenékombinaci pˇrep´ınaˇc˚u pouˇzitav pr˚ubˇehu kompilace. Na základˇepouˇzitých pˇrep´ınaˇc˚ujsou konfi- guraˇcn´ım skriptem upraveny direktivy #define jednotlivých identifikátor˚u v souboru config.h, a zároveˇnjsou nastaveny promˇennév makefile souboru. Tyto identifikátorynáslednˇeaktivuj´ıˇcideaktivuj´ıpˇr´ısluˇsnébloky zdrojového kóduv pr˚ubˇehu kompilace. Uˇzivatel následnˇepouˇzijepˇr´ıkaz make k proveden´ı kompilace podle svých preferenc´ı.

10OpenBSD Copyright Policy. Dostupn´ena: https://www.openbsd.org/policy.html

44 4.4. Filtrov´an´ıpˇrijat´ych poˇzadavk˚u

Tabulka 4.1: Pouˇzit´ınov´ych pˇrep´ınaˇc˚ukonﬁguraˇcn´ıhoskriptu

--disable-libressl --enable-mbedtls Zádnýpˇrep´ınaˇcˇ --disable Bez kryptografické Bez kryptografické Mbed TLS -libressl knihovny knihovny --enable Mbed TLS Mbed TLS Mbed TLS -mbedtls Zádnýˇ Bez kryptografické Mbed TLS LibreSSL pˇrep´ınaˇc knihovny

4.4 Filtrov´an´ıpˇrijat´ych poˇzadavk˚u

Pˇripouˇzit´ıHTTPS spojen´ıumoˇzˇnujepˇredchoz´ıbakaláˇrskáprácefiltrovat pa- kety pˇrijatéod webovéhoserveru vˇcetnˇejejich HTTP hlaviˇcek.Práceovˇsem umoˇzˇnujejen ˇcásteˇcnéfiltrován´ıHTTP hlaviˇceku pˇr´ıchoz´ıch poˇzadavk˚u,pokud jsou pˇrijaty pˇresHTTPS spojen´ı.V bakaláˇrsképrácitotiˇzz˚ustalzachován bez vˇetˇs´ıch úprav mechanismus zpracovávaj´ıc´ıpˇrijatépoˇzadavky od klienta. Tento mechanismus umoˇzˇnuje filtrovat veˇskeréHTTP hlaviˇckypˇrijatépˇres nezabezpeˇcenéspojen´ı,ale pˇripouˇzit´ıHTTPS se komunikace s klientem liˇs´ı a pro filtrován´ıvˇsech pˇrijatých hlaviˇcekjsou nutnérozsáhlejˇs´ızmˇeny.

4.4.1 Zpracovan´ıHTTP poˇzadavku samostatnou funkc´ı

P˚uvodn´ıimplementace Privoxy jiˇzobsahuje nˇekolik funkc´ı,kterépˇripostup- némvolán´ıumoˇzˇnuj´ıpˇrijmouta zpracovat HTTP hlaviˇckuklientova poˇzada- vku. Dvˇenejd˚uleˇzitˇejˇs´ıfunkce pro pˇrijet´ıpoˇzadavku jsou:

• receive client request Funkce zabezpeˇcujepˇrij´ımán´ıdat od klienta tak, aby byl pˇrijatvˇzdy celýpoˇzadavek. Následnˇeprovád´ıkontrolu pˇrijatéhopoˇzadavku. Proto- kol pˇrijatéhopoˇzadavku mus´ıbýtproxy serverem podporována struktura poˇzadavku mus´ıodpov´ıdatpouˇzitému protokolu. Následnˇeje prvn´ı ˇrádkaHTTP poˇzadavku rozdˇelenana jednotlivéparametry jako je verze protokolu, metoda poˇzadavku, url adresa a port. Zbytek poˇzadavku je rozdˇelenpo jednotlivých ˇrádkách.

• parse client request Funkce podle pˇrijatéhopoˇzadavku nastavuje hodnoty promˇenných, s je- jichˇzpomoc´ıse ˇr´ıd´ıpr˚ubˇehzpracován´ıpoˇzadavku i odpovˇedina nˇej. Následnˇena tento poˇzadavek aplikuje pˇr´ısluˇsnéfiltry, kteréumoˇzˇnuj´ı upravit jeho HTTP hlaviˇcku i obsah.

45 4. Implementace

V p˚uvodn´ıverzi Privoxy docházelok pˇrijet´ıa zpracován´ıHTTP poˇzadavku pouze jednou pro kaˇzdýpoˇzadavek klienta, tedy pouze na jednom m´ıstˇev kódu. Jelikoˇzpro úˇcelfiltrován´ıHTTPS komunikace je nezbytnénaˇcten´ıa parsován´ı poˇzadavku opakovanˇe,byla vytvoˇrenanováfunkce process client request. Tato funkce sdruˇzujeveˇskeréfunkce pro zpracován´ıpoˇzadavku klienta do jednoho celku. Volán´ım tétofunkce lze opakovanˇenaˇc´ıtat poˇzadavky klienta. Zároveˇnje moˇznéupravit a doplnit p˚uvodn´ıfunkce na jednom jedinémm´ıstˇe o dalˇs´ırozˇs´ıˇren´ıa pˇredcház´ıse i duplicitámv kódu.Nahrazen´ırozsáhlejˇs´ıch blok˚ukóduz p˚uvodn´ıfunkce chat nav´ıctuto funkci výraznˇezkrát´ıa zvýˇs´ı tak jej´ıpˇrehlednost.

4.4.2 Zapouzdˇren´ıfunkc´ıpro zpracován´ıdat Existuj´ıc´ıfunkce pro pˇrij´ımán´ı(respektive kontrolu dostupnosti) a odes´ılán´ı dat jsou v origináln´ıverzi Privoxy implementovány pouze pro TCP spojen´ı. V bakaláˇrsképrácipak byly doplnˇeny ekvivalentn´ımifunkcemi pro TLS spojen´ı.Privoxy zároveˇnobsahuje ˇradu funkc´ıpro zpracován´ıpˇrijatých dat, které jsou pˇrizp˚usobeny pouze pro TCP spojen´ı.V bakaláˇrsképrácibyly nˇekteré z tˇechto funkc´ıch upraveny pro potˇreby TLS spojen´ı.Pro vˇsechna volán´ıfunkc´ı závisej´ıc´ıch na typu pouˇzitéhospojen´ıtak byla vloˇzena if-else podm´ınka, kterápodle typu vytvoˇrenéhospojen´ıvoláfunkci obsluhuj´ıc´ıtoto spojen´ı.Pro kaˇzdépˇrij´ımán´ıˇciodes´ılán´ıdat tedy byla vytvoˇrena podm´ınka typu: if (client_use_ssl(csp)) { ret= ssl_send_data(&(csp->ssl_client_attr.ssl), receive_buffer, len); if (ret<0){ ... } } else { ret= write_socket(csp->cfd, receive_buffer, len) if (ret<0){ ... } }

Pro filtrován´ıpoˇzadavk˚upˇrijatých pˇres zabezpeˇcenéTLS spojen´ıje potˇre- ba vyuˇz´ıtnˇekteréjiˇzexistuj´ıc´ıfunkce. Tyto funkce ovˇsemmus´ıbýtpˇrizp˚usobeny jak pro TCP spojen´ı,tak pro zabezpeˇcenáTLS spojen´ı.Aby nebylo nutné nahrazovat vˇsechna volán´ıfunkc´ıpro komunikaci výˇseuvedenou podm´ınkou, byly vytvoˇreny novéfunkce pro kaˇzdouz operac´ınad spojen´ım.Tyto funkce pˇrij´ımaj´ıstrukturu client state, kteráobsahuje vˇsechny potˇrebnépromˇenné pro komunikaci s klientem ˇciserverem pˇresexistuj´ıc´ıspojen´ıs n´ım,bez ohledu na typ tohoto spojen´ı.Dálefunkce pˇrij´ımaj´ıparametr typu int, pro kterýjsou pˇreddefinovánamakra CLIENT a SERVER, pˇr´ıpadnˇedalˇs´ıpotˇrebnéparametry

46 4.4. Filtrov´an´ıpˇrijat´ych poˇzadavk˚u

Tabulka 4.2: Výbˇerobsluhovanéhospojen´ına základˇeparametr˚u

C´ılkomunikace Klient Server Komunikace Komunikace TCP s klientem pˇres se serverem pˇres Typ nezabezpeˇcenéspojen´ı nezabezpeˇcenéspojen´ı spojen´ı Komunikace Komunikace TLS s klientem pˇres se serverem pˇres zabezpeˇcenéTLS spojen´ı zabezpeˇcenéTLS spojen´ı

jako je zásobn´ık pro data a jeho délka.Volaj´ıc´ı tak funkci pˇredápotˇrebné struktury a definuje, jestli máfunkce ˇc´ıstdata od serveru ˇciklienta. Volaná funkce pak sama na základˇeparametr˚uvybere vhodnou funkci a pˇredáj´ı potˇrebnéparametry. Vˇsechny varianty, kteréfunkce bere v úvahu, jsou zobrazeny v tabulce 4.2. D´ıkyzapouzdˇren´ıvˇsech p˚uvodn´ıch funkc´ıpro komunikaci mohly býtp˚u- vodn´ı if-else bloky ve zdrojovém kódunahrazeny tˇemito novýmifunk- cemi. To následnˇeumoˇznilobez rozsáhlejˇs´ıch úprav vyuˇz´ıtjiˇzexistuj´ıc´ıfunkce v Privoxy pro zpracován´ınezabezpeˇcenékomunikace, i pokud se jednáo za- bezpeˇcenáspojen´ı.Pouˇzitéspojen´ıje zvoleno automaticky na základˇepˇreda- ných parametr˚u.

4.4.3 Pˇrijet´ıHTTP hlaviˇckypˇreszabezpeˇcen´espojen´ı

P˚uvodn´ıverze proxy serveru Privoxy vyuˇz´ıvápro zpracován´ıHTTPS komunikace tzv. tunel. Tato metoda je znázornˇenana obrázku 4.1. Pokud klient v´ı,ˇze jeho komunikace je smˇerovánana proxy server (tuto informaci z´ıskáz nastaven´ıwebovéhoprohl´ıˇzeˇce,pˇr´ıpadnˇez nastaven´ıoperaˇcn´ıhosystému), zahajuje komunikaci poˇzadavkem typu CONNECT. V nˇemuvád´ıpouˇz´ıvanou verzi protokolu HTTP a poˇzadovanou url adresu. Ta m˚uˇzeobsahovat nejen c´ılovou doménu, ale i poˇzadovanýprotokol, pˇr´ıpadnˇeport. Na základˇetˇechto informac´ıse proxy server pokus´ınavázatTCP spojen´ıs c´ılovýmserverem. Pokud je pouˇzitnadˇrazenýproxy server, aplikuj´ıse na poˇzadavek CONNECT defino- vanéfiltry a následnˇeje pˇreposlánnadˇrazenému proxy serveru. Po úspˇeˇsném navázán´ıTCP spojen´ıs c´ılovýmserverem (respektive poté,co spojen´ıs c´ılo- výmserverem naváˇzenadˇrazenýproxy server) je o tom klient informován. Veˇskeránásleduj´ıc´ıkomunikace mezi klientem a webovýmserverem je proxy serverem jiˇzpouze pˇrepos´ılánave znázornˇenésmyˇcce. Pokud klient vyˇzaduje zabezpeˇcenéspojen´ı, vytváˇr´ı toto spojen´ı pˇr´ımo s webovýmserverem. Po navázán´ı TLS spojen´ı jsou jiˇzveˇskerápˇrenáˇsenádata ˇsifrována,a tak na nˇenem˚uˇzeproxy server aplikovat filtrován´ı.To se týkái následnˇezaslaného

47 4. Implementace

Klient Proxy sever www.privoxy.org

Navázání TCP spojení

CONNECT www.privoxy.org:443 HTTP/1.1 Navázání TCP spojení HTTP/1.1 200 Connection established

Šifrovaná HTTPS komunikace - TLS tunel

Obrázek4.1: Zpracován´ıHTTPS komunikace p˚uvodn´ımproxy serverem Pri- voxy pˇripouˇzit´ımetody TLS tunelu. Cernéˇsipkyznázorˇnuj´ıTCPˇ spojen´ı, ˇcervenázabezpeˇcenéTLS spojen´ı.

poˇzadavku typu GET, kterýmklient serveru specifikuje poˇzadovanádata. Bakaláˇrskáprácetento pˇr´ıstupˇcásteˇcnˇeupravila. Nahradila TLS tunel metodou MITM. Princip tétometody, tak jak byl implementovanýv bakaláˇrské práci,je znázornˇenýna obrázku4.2. Proxy server po pˇrijet´ıpoˇzadavku CON- NECT navazuje nejprve TCP spojen´ı a následnˇei zabezpeˇcenéTLS spojen´ı s poˇzadovanýmwebovýmserverem. Potéinformuje klienta o úspˇeˇsnémvy- tvoˇren´ıtohoto spojen´ı.Kdyˇzse klient následnˇepokouˇs´ınavázatTLS spojen´ı s webovýmserverem, proxy server sámvystupuje jako webovýserver a naváˇze s klientem TLS spojen´ı.Potéklient zaˇslepoˇzadavek typu GET na konkrétn´ı soubor. Proxy server uˇzovˇsemstejnˇejako u metody TLS tunelu ve smyˇcce okamˇzitˇepˇrepos´ılátento poˇzadavek webovému serveru. Neaplikuj´ıse na nˇej ˇzádnéfiltry, jelikoˇzp˚uvodn´ıproxy server Privoxy poˇc´ıtals pˇrijet´ımpouze je- dinéhoHTTP poˇzadavku, kterýmohl býtzpracován.Pˇripouˇzit´ıTLS tunelu jiˇzˇzádnýdalˇs´ıpoˇzadavek nebyl pro proxy server ˇcitelnýa nemohl jej tak zpracovat. Pˇripouˇzit´ınezabezpeˇcenéhoHTTP spojen´ıklient nezas´ılápoˇzadavek typu CONNECT, ale jiˇzprvn´ıpoˇzadavek je typu GET. Ten obsahuje i url adresu c´ılovéhoserveru. Zádnýdalˇs´ıpoˇzadavekˇ nen´ıproxy serverem pˇrijat.P˚uvodn´ı verze Privoxy jiˇzimplementovala filtrován´ıdat pˇrenáˇsených od webovéhoser- veru, pokud byla pˇrenáˇsenapomoc´ınezabezpeˇcenéhospojen´ı.V bakaláˇrské prácipak byla tato funkcionalita rozˇs´ıˇrenai na zabezpeˇcenáspojen´ı,jelikoˇz nebyly potˇrebnérozsáhlejˇs´ıúpravy. Aby mohl býtfiltrováni druhýpoˇzadavek zaslanýklientem pˇripouˇzit´ı zabezpeˇcenéhospojen´ı,je potˇrebajej nejdˇr´ıve naˇc´ıstdo pˇripravených struktur. Proto byla funkce chat doplnˇenao druhévolán´ıfunkce process client- request po navázán´ıTLS spojen´ıs klientem. Tak je zpracováni druhýHTTP poˇzadavek od klienta. D´ıkypˇredchoz´ımúpravámfunkce sama zvol´ıpouˇz´ıvaný

48 4.4. Filtrov´an´ıpˇrijat´ych poˇzadavk˚u

Klient Proxy sever www.privoxy.org

Navázání TCP spojení

CONNECT www.privoxy.org:443 HTTP/1.1 Navázání TCP spojení

Navázání TLS spojení HTTP/1.1 200 Connection established

Navázání TLS spojení

GET / HTTP/1.1 GET / HTTP/1.1

Aplikování HTTP/1.1 200 OK + data ﬁltrů ﬁltrované: HTTP/1.1 200 OK + data

Obrázek 4.2: Zpracován´ı HTTPS komunikace proxy serverem Privoxy s rozˇs´ıˇren´ımimplementovanýmv bakaláˇrsképráci(pouˇzit´ımetody MITM). Cernéˇsipkyznázorˇnuj´ıTCPˇ spojen´ı,ˇcervenézabezpeˇcenáTLS spojen´ı.

typ spojen´ı. V tomto pˇr´ıpadˇetedy spojen´ı typu TLS. Hlaviˇckanaˇcteného poˇzadavku je vkládánado totoˇznéstruktury jako pˇredchoz´ıpoˇzadavek typu CONNECT. Funkce ale v pˇr´ıpadˇenaˇc´ıtán´ıdruhéhopoˇzadavku v tétostruktuˇre jen dopln´ıˇcipˇrep´ıˇse nˇekteréz p˚uvodn´ıch hodnot v závislostina jejich typu. Parametry jako je pouˇzitýport a adresa c´ılovéhoserveru jsou beze zmˇeny uchovány, jelikoˇzje novýpoˇzadavek neobsahuje. Obsahuje naopak relativn´ı cestu na poˇzadovanýsoubor, tak jak je znázornˇenona obrázku 4.2. Upra- ven´ı pˇredchoz´ıho poˇzadavku typu CONNECT je moˇzné,protoˇzenˇekteréjeho parametry jiˇznejsou potˇreba,pˇr´ıpadnˇeje druhýpoˇzadavek ani neobsahuje, a tak d´ıky úpravˇefunkce get destination from headers nejsou pˇrepsány. Tento pˇr´ıstupumoˇzˇnujevyuˇz´ıtp˚uvodn´ıfunkce pro naˇc´ıtán´ıpoˇzadavku bez rozsáhlejˇs´ıch úprav. Na takto zpracovanýpoˇzadavek jsou aplikovány odpov´ıda- j´ıc´ıfiltry a poˇzadavek je pˇreposlánwebovému serveru pˇres existuj´ıc´ızabezpeˇce- néspojen´ı.Teprve potéje spuˇstˇenafunkce handle established connection, kteráv cyklu pˇrepos´ıládata pˇrijatáod serveru a filtruje jejich obsah. Kom- pletn´ıpostup je zobrazen na obrázku4.3.

4.4.4 Dalˇs´ızjednoduˇsen´ıa opravy

Aby byla i nadálezachována jednoduchost a pˇrehlednostzdrojovéhokódu, byly p˚uvodn´ırozsáhléfunkce rozdˇeleny do menˇs´ıch logických celk˚u.Jednou z takových úprav je vytvoˇren´ıfunkce create server connection pro navázá- n´ıspojen´ıs webovýmserverem. Tento celek byl p˚uvodnˇesouˇcást´ıfunkce chat.

49 4. Implementace

Klient Proxy sever www.privoxy.org

Navázání TCP spojení CONNECT www.privoxy.org:443 HTTP/1.1 Navázání TCP spojení Navázání TLS spojení HTTP/1.1 200 Connection established Navázání TLS spojení

GET / HTTP/1.1 Aplikování ﬁltrované: GET / HTTP/1.1 ﬁltrů

HTTP/1.1 200 OK + data Aplikování ﬁltrované: HTTP/1.1 200 OK + data ﬁltrů

Obrázek 4.3: Zpracován´ı HTTPS komunikace proxy serverem Privoxy s rozˇs´ıˇren´ım implementovanýmv diplomovépráci. Cernéˇsipkyznázorˇnuj´ıˇ TCP spojen´ı,ˇcervenézabezpeˇcenéTLS spojen´ı.

Funkce obsahuje nejen samotnénavázán´ıTCP a TLS spojen´ı,ale i veˇskerá s nimi souvisej´ıc´ınastaven´ıpˇr´ısluˇsných promˇenných, postup pro navázán´ıspo- jen´ıs nadˇrazenýmproxy serverem, postup pro vytvoˇren´ıTLS tunelu, ˇciinfor- mován´ıklienta o neplatnosti certifikátuc´ılovéhoserveru. Nejen d´ıkytˇemto zjednoduˇsen´ımse podaˇrilov rámcidiplomovépráceod- halit i chybu v p˚uvodn´ıverzi Privoxy 3.0.28. Spoˇc´ıváv pouˇz´ıván´ıneinicializo- vanépromˇenné csp->fwd ve funkci handle established connection. Tato promˇennáby mˇelaobsahovat parametry nadˇrazenéhoproxy serveru, pokud je pouˇzit.Ve verzi 3.0.26 jiˇznebyla tato promˇennáinicializována,nebyla vˇsak ani pouˇz´ıvánaa m´ıston´ıse pˇr´ısluˇsnéparametry vkládalydo lokáln´ıpromˇenné fwd. Ve verzi 3.0.28 byla funkce chat obsahuj´ıc´ızm´ınˇenoulokáln´ıpromˇennou rozdˇelenana dvˇesamostatnéfunkce. V novéfunkci bylo pouˇzit´ıpromˇenné fwd nahrazeno promˇennou csp->fwd, jelikoˇz csp z´ıskájako parametr. Promˇenná csp->fwd ovˇsemstález˚ustalaneinicializována.Tato chyba byla opravena.

4.5 Zmˇeny konﬁguraˇcn´ıhorozhran´ı

Aby mohlo býtexistuj´ıc´ıkonfiguraˇcn´ırozhran´ıpro klienta dostupnéi pomoc´ı zabezpeˇcenéhospojen´ı(obrázek4.4), je nezbytnérozˇs´ıˇritjiˇzexistuj´ıc´ıfunkce, kterétoto rozhran´ıposkytuj´ıpouze pˇres nezabezpeˇcenéspojen´ı.Zároveˇnje nutnédoplnit algoritmus pro zpracován´ıpoˇzadavku klienta o novémoˇznosti.

50 4.5. Zmˇeny konﬁguraˇcn´ıho rozhran´ı

Obrázek 4.4: Cástˇ konfiguraˇcn´ıho rozhran´ı Privoxy z´ıskaná pomoc´ı za- bezpeˇcenéhospojen´ı.

4.5.1 Odchycen´ıHTTPS poˇzadavk˚una konfiguraˇcn´ırozhran´ı Po pˇrijet´ıpoˇzadavku od klienta proxy server kontroluje, jestli mábýttento poˇzadavek zpracovánpˇr´ımoproxy serverem, nebo jestli mábýtpˇreposlánna webovýserver. Jelikoˇzp˚uvodn´ıproxy server umoˇzˇnujeodchytit a zpracovat pouze poˇzadavky pˇrijatépˇresnezabezpeˇcenéspojen´ı,m˚uˇzeokamˇzitˇegenero- vat odpovˇed’ na základˇepoˇzadavku. Prvn´ıpˇrijatýpoˇzadavek pˇripouˇzit´ıproto- kolu HTTPS je ovˇsemtypu CONNECT, a tak z nˇejlze z´ıskatpouze poˇzadovanou doménu, protokol a port. Proto m˚uˇzeproxy server pouze detekovat skuteˇcnost, ˇzedotaz nebude pˇrepos´ılánale bude zodpovˇezenpˇr´ımoproxy serverem. Kom- pletn´ıinformace z´ıskáovˇsemaˇzz druhéhodotazu pˇrijatéhopˇresTLS spojen´ı. Kv˚ulizm´ınˇenýmrozd´ıl˚ummezi zabezpeˇcenýma nezabezpeˇcenýmspojen´ım musel býtupraven p˚uvodn´ızp˚usobzpracován´ıpoˇzadavk˚u.Pokud proxy sever na základˇepoˇzadavku zjist´ı,ˇzepro poˇzadovanou doménu bude generovat odpovˇed’ on sám,postupuje následovnˇepodle typu spojen´ı:

• Nezabezpeˇcenéspojen´ı Odpovˇed’ je vygenerovánaa odeslánaklientovi okamˇzitˇe,jelikoˇzveˇskeré potˇrebnéinformace jsou k dispozici.

• Zabezpeˇcenéspojen´ı Proxy server pokraˇcujeobvyklýmzp˚usobem s t´ımrozd´ılem,ˇzese ne- pokouˇs´ınavázatspojen´ıs poˇzadovanýmwebovýmserverem. Klientovi ovˇsem odeˇsle zprávu 200 Connection established. Následnˇeklient zas´ıládruhýpoˇzadavek, kterýmspecifikuje zbývaj´ıc´ıparametry. Na jejich základˇem˚uˇzeproxy sever vygenerovat odpovˇed’ a odeslat ji klientovi.

51 4. Implementace

P˚uvodn´ıfunkce crunch response triggered pro rozhodnut´ıo odchycen´ı poˇzadavku, generován´ı a odeslán´ı odpovˇedibyla doplnˇenafunkc´ı should- trigger crunch response. Ta rozhodne o odchycen´ıpoˇzadavku, a na základˇe parametru prepare rsp vygeneruje konkrétn´ıodpovˇed’ na poˇzadavek. Tato funkce je pak volánabud’to samostatnˇe,nebo z p˚uvodn´ı funkce crunch- response triggered, jej´ıˇzchován´ıje zachováno,tedy vˇzdyzároveˇnvyge- neruje a odeˇsle odpovˇed’.

4.5.2 Zmˇena ˇsablonkonfiguraˇcn´ıch webových stránek Pro korektn´ıchován´ıkonfiguraˇcn´ıhorozhran´ıovˇsemnestaˇciloupravit postup zpracován´ıpoˇzadavk˚u.To samotnésice umoˇzn´ız´ıskatpomoc´ızabezpeˇceného spojen´ıwebovou stránkuvytvoˇrenou proxy serverem. Pokud by ovˇsemodkazy v tˇechto stránkách i nadáleodkazovaly na nezabezpeˇcenáspojen´ı, uˇzivatel by pˇriprvn´ıpouˇzit´ılibovolnéhoodkazu pˇreˇselopˇetna nezabezpeˇcenéspo- jen´ı.Proto musely býtupraveny i veˇskeréfunkce vytváˇrej´ıc´ıobsah webových stránek.Pro tento úˇcelbyly funkce doplnˇeny o novýparametr, na jehoˇz základˇese funkce dozv´ı,pˇres jakýtyp spojen´ıbude vygenerovanýobsah pˇrená- ˇsen,a tedy jakýprotokol mábýtspecifikovanýu jednotlivých odkaz˚u.Odkazy tak dopln´ıprefixem http://“ nebo https://“. ” ” 4.6 Opakovanépouˇz´ıván´ıTLS sessions

Aby nedocházeloke zbyteˇcnému navazován´ıa ukonˇcován´ıTLS spojen´ımezi vyˇrizován´ımjednotlivých poˇzadavk˚uklienta, je nutnétato spojen´ıuchovat i po odbaven´ıpoˇzadavku, pro kterýbyla vytvoˇrena.D´ıkytomu m˚uˇzebýtspojen´ı s klientem vyuˇzitoi pro pˇrijet´ıdalˇs´ıhopoˇzadavku na totoˇznýwebovýserver, a následnˇelze znovu vyuˇz´ıti existuj´ıc´ıspojen´ıs webovýmserverem. Výsledný efekt je znázornˇenna obrázku4.5. Oproti p˚uvodn´ımu ˇreˇsen´ıbakaláˇrsképráce zobrazenému na obrázku3.2 je patrné,ˇzepˇriopakovanémpouˇz´ıván´ıTLS spojen´ıjsou m´ıstop˚uvodn´ıch ˇsestiTLS spojen´ıvytváˇrenapouze ˇctyˇri(uvedené hodnoty plat´ıpro konkrétn´ıwebovou stránku www.privoxy.org). Nejdˇr´ıve je od klienta pˇrijatpoˇzadavek CONNECT. Podle nˇejproxy server vytvoˇr´ıprvn´ıTLS spojen´ı.Potéje s klientem navázánodruhéTLS spojen´ı.Pˇres tato dvˇespojen´ı je vyˇr´ızenklient˚uvpoˇzadavek na prvn´ıdokument. Klient zpracuje pˇrijatádata a vyˇzadujedalˇs´ıdva soubory z totoˇznéhowebovéhoserveru. Prvn´ıpoˇzadavek zas´ılápˇresjiˇzexistuj´ıc´ıTLS spojen´ı,kterébylo pro tento úˇcel uchováno.Spo- jen´ıje v ten okamˇzikplnˇevyuˇzito,a pokud klient nepodporuje zas´ılán´ıv´ıce poˇzadavk˚upˇredobdrˇzen´ımodpovˇedina pˇredchoz´ı(výchoz´ıchován´ıvˇetˇsiny modern´ıch webových prohl´ıˇzeˇc˚u),nem˚uˇzebýtv tu chv´ıli pouˇzito pro dalˇs´ı poˇzadavky. Zas´ılán´ınˇekolika poˇzadavk˚upˇredobdrˇzen´ımodpovˇedina prvn´ı z nich se nazývápipelining, kterýproxy server Privoxy nepodporuje ani v nej- novˇejˇs´ı verzi (pouze umoˇzˇnuje jeho tolerován´ı, ale ani tuto moˇznostnedo- poruˇcuje).Klient tedy zas´ılánovýpoˇzadavek CONNECT, podle kteréhoproxy

52 4.6. Opakovan´epouˇz´ıv´an´ıTLS sessions

Klient Proxy sever www.privoxy.org

CONNECT www.privoxy.org:443 HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 HTTP/1.1 200 OK + data / HTTP/1.1 200 OK + data /

GET /p_doc.css HTTP/1.1 CONNECT www.privoxy.org:443 HTTP/1.1 GET /p_doc.css HTTP/1.1 GET /favicon.ico HTTP/1.1 HTTP/1.1 200 OK + data /p_doc.css HTTP/1.1 200 OK + data /p_doc.css GET /favicon.ico HTTP/1.1 HTTP/1.1 200 OK + data /favicon.ico HTTP/1.1 200 OK + data /favicon.ico

Obrázek4.5: Princip opakovaného pouˇz´ıván´ızabezpeˇcených spojen´ı.Kaˇzdá barva pˇredstavuje samostatnéTLS spojen´ı.

server vytvoˇr´ınovéTLS spojen´ı(celkovˇejiˇztˇret´ı).Následnˇeje vytvoˇrenonové TLS spojen´ıs klientem, pˇreskteréklient m˚uˇze zaslat poˇzadavek na konkrétn´ı dokument. Ten mu je obratem doruˇcen.Celkem jsou tedy vytvoˇrenaˇctyˇriTLS spojen´ıpro z´ıskán´ıtˇr´ısoubor˚u.Tato spojen´ız˚ustanouotevˇrenái po pˇrenesen´ı vˇsech poˇzadovaných dokument˚u,a tak mohou býtopˇetovnˇevyuˇzita,dokud nevyprˇs´ıˇcasovýlimit keep-alive-timeout nastavenýv konfiguraˇcn´ımsou- boru config. D´ıkytomu m˚uˇzeklient následnˇeodeslat dva souˇcasnépoˇzadavky na totoˇznýwebovýserver, aniˇzby se vytváˇrelonovéspojen´ı.To pˇrináˇs´ıdalˇs´ı zrychlen´ıpˇrivyˇrizován´ıpoˇzadavk˚uklienta.

4.6.1 Zvolen´yprincip

Pro opakovanévyuˇzit´ı TLS sessions je moˇznézvolit nˇekolik postup˚u.Zde jsou popsány dva moˇznépˇr´ıstupy, z nichˇzjeden byl implementovánv rámci diplomovépráce:

1. Obnova spojen´ıpomoc´ısession ID BˇehemTLS handshake pˇrivytváˇren´ınovéhospojen´ımezi klientem a we- bovýmserverem jsou vyjednávány parametry session. Ty obsahuj´ımimo kryptografických parametr˚ui tzv. session ID (pˇr´ıpadnˇesession tiket ˇci PSK v závislostina verzi TLS). Pokud je následnˇetoto TLS spojen´ı ukonˇceno,m˚uˇzeklient pˇridalˇs´ımnavazován´ıTLS spojen´ıvyuˇz´ıttoto session ID k obnoven´ıpˇredchoz´ısession. Staˇc´ı,aby vloˇzilna zaˇcátkuTLS handshake do Client Hello zprávysession ID z pˇredchoz´ıhospojen´ı. Server následnˇeovˇeˇr´ı,ˇzepˇrijatésession ID odpov´ıdánˇekteréz pˇred-

53 4. Implementace

choz´ıch sessions a rozhodne o pˇrijet´ıˇcizam´ıtnut´ıpoˇzadavku na obnoven´ı session. Pokud je poˇzadavek serverem pˇrijat, jsou pro TLS spojen´ıpouˇzity totoˇznékryptograficképarametry jako v pˇredchoz´ımspo- jen´ıa nemus´ıtak býtprovádˇenavelkáˇcásthandshake. T´ımdocház´ıke znaˇcnéúspoˇreˇcasupro navázán´ıspojn´ı.Pokud sever zam´ıtnepoˇzadavek na obnoven´ısession, probˇehneklasickýhandshake.[6]

2. Uchován´ıaktivn´ıhospojen´ı Alternativn´ımpˇr´ıstupem m˚uˇzebýtuchován´ıspojen´ıi po vyˇr´ızen´ıpoˇza- davku klienta. Nedojde tak u uzavˇren´ıTLS spojen´ı.Spojen´ıstáleexis- tuje, pouze nen´ıaktivnˇevyuˇz´ıváno.K ukonˇcen´ıTLS spojen´ıdocház´ı pomoc´ıupozornˇen´ıtypu close notify. Tato zpráva m˚uˇze býtzaslána libovolnou stranou a upozorn´ı pˇr´ıjemce,ˇzeprotˇejˇs´ı strana jiˇznebude zas´ılatpˇresspojen´ıˇzádnádalˇs´ıdata. Protˇejˇs´ıstrana mus´ıpo obdrˇzen´ı close notify zprávyodeslat totoˇznouzprávuprotˇejˇs´ıstranˇe.Nen´ıvˇsak nutné,aby protˇejˇs´ıstrana pˇreduzavˇren´ımspojen´ına tuto zprávuˇcekala. Dokud tedy nen´ıpˇrijata close notify zpráva, m˚uˇzebýtTLS spojen´ı stálevyuˇz´ıvánok zabezpeˇcenému pˇrenosudat.[6]

Z tˇechto dvou metod byl v tétodiplomovépráciimplementovándruhý z pˇr´ıstup˚u,kterýuchováváaktivn´ıspojen´ı.Aˇckoli je jednou z jeho nevýhod napˇr´ıkladnutnost uchovávat vˇetˇs´ımnoˇzstv´ıdat v pamˇetiproxy serveru oproti prvn´ımetodˇe,zvolen byl zejménaz následuj´ıc´ıch d˚uvod˚u:

• Prodlevy mezi jednotlivýmipoˇzadavky klienta na proxy server jsou velmi malé.Nejˇcastˇejiod nˇekolika des´ıtekmilisekund do des´ıteksekund. Spo- jen´ı je tedy vyuˇz´ıvánovelmi ˇcastoa nehroz´ı jeho ukonˇcen´ı ze strany webovéhoserveru.

• Pokud nen´ıspojen´ıukonˇceno,docház´ık jeˇstˇevˇetˇs´ıúspoˇreˇcasupˇrijeho opakovanémpouˇzit´ıi v porovnán´ıse zkrácenýmhandshake.

• V porovnán´ıs obnovou spojen´ıpomoc´ısession ID je toto ˇreˇsen´ıménˇe sloˇzité.

4.6.2 Spr´ava stavu TLS spojen´ı

Aby mohl býtalgoritmus pro zpracován´ıdat od klienta i webovéhoserveru pˇrizp˚usoben pro uchován´ıaktivn´ıch spojen´ıi pro dalˇs´ıpoˇzadavky, je nezbytné m´ıt v kaˇzdémokamˇzikupˇrehled o stavu vˇsech tˇechto spojen´ı, respektive o tom, jak mábýtse spojen´ımizacházeno.Proto byla struktura client state, kteráobsahuje veˇskeréinformace vláknazpracovávaj´ıc´ıhopoˇzadavky klienta, rozˇs´ıˇrenao promˇennou ssl flags. Ta je vyuˇz´ıvánajako binárn´ımapa, kde jednotlivébity specifikuj´ıtyto vlastnosti:

54 4.6. Opakovan´epouˇz´ıv´an´ıTLS sessions

• 0x01U = CSP SSL FLAG SERVER CONNECTION REUSED TLS spojen´ıs webovýmserverem (pˇr´ıpadnˇenadˇrazenýmproxy serverem) je jiˇzvyuˇz´ıvánoopakovanˇe.

• 0x02U = CSP SSL FLAG CLIENT CONNECTION REUSED TLS spojen´ıs klientem je jiˇzvyuˇz´ıv´anoopakovanˇe.

• 0x04U = CSP SSL FLAG CONNECTIONS TO BE REUSED TLS spojen´ı s klientem i webovýmserverem nemaj´ı býtpo vyˇr´ızen´ı poˇzadavku uzavˇrena,aby mohlo doj´ıtk jejich opˇetovnému vyuˇzit´ı.

• 0x08U = CSP SSL FLAG SERVER CONNECTION TAINTED TLS spojen´ıs webovýmserverem mus´ıbýtuzavˇreno,jelikoˇzm˚uˇze obsahovat neoˇcekávanádata.

• 0x10U = CSP SSL FLAG CLOSE SERVER CONNECTION TLS spojen´ıs webovýmserverem mus´ıbýtuzavˇrenopro nespecifikovaný d˚uvod.

4.6.3 Pˇrijmut´ıpoˇzadavku pˇresopˇetovnˇepouˇzitéspojen´ı Aby mohly býtaplikovány filtry i na poˇzadavky klienta pˇrijatépˇreszabezpeˇce- néspojen´ı,byl upraven postup pro zpracován´ıpˇrijatých poˇzadavk˚u,jak je popsánov sekci 4.4.3. Pˇriopˇetovnémvyuˇz´ıván´ıTLS spojen´ıovˇsem docház´ı k dalˇs´ımzmˇenám.Prvn´ıpoˇzadavek po navázán´ıTCP spojen´ıje typu CONNECT. V nˇemje definovánc´ılovýserver a typ poˇzadovanéhospojen´ı.Podle tˇechto parametr˚uproxy server vytvoˇr´ı pˇr´ısluˇsnéTLS spojen´ı s c´ılovýmserverem. Potéje vytvoˇrenoTLS spojen´ıi s klientem. Klient následnˇezas´ıládotazy na jednotlivéprvky webovéstránky. Pokud je ovˇsemTLS spojen´ıvyuˇz´ıvánoopa- kovanˇe,nen´ıpotˇrebajej znovu vytváˇret, a tud´ıˇzklient jiˇznezas´ılápoˇzadavek typu CONNECT, ale rovnou zaˇslepoˇzadavek na specifickýsoubor. Rozd´ıl je znázornˇenýna obrázku4.6. Z obrázkuje rovnˇeˇzpatrné,ˇzepoˇzadavek typu GET na konkrétn´ısoubor jiˇzneobsahuje celou url adresu, ale jen relativn´ıcestu k poˇzadovanému souboru. Na základˇeuvedenépromˇenné ssl flags tak byl upraven postup pro zpra- cován´ıpˇrijatých poˇzadavk˚u.Pokud proxy server pˇrij´ımáprvn´ıpoˇzadavek pˇres TCP spojen´ıa jednáse o poˇzadavek typu CONNECT, naváˇzepoˇzadovanéspo- jen´ı a oˇcekávájeˇstˇejeden poˇzadavek na konkrétn´ı soubor. Pokud je vˇsak poˇzadavek pˇrijatýpˇres jiˇzexistuj´ıc´ıTLS spojen´ı,oˇcekáváse, ˇzejiˇzbude specifikovat konkrétn´ısoubor. Zádnýdalˇs´ıpoˇzadavekˇ jiˇznen´ıaˇzdo vyˇr´ızen´ıprávˇe pˇrijatéhopoˇzadavku pˇrij´ımán. Proxy server nav´ıci nadálepodporuje p˚uvodn´ı postup, kterýje vyuˇz´ıván,pokud správce proxy serveru poˇzadujepro vybrané url adresy pouˇz´ıtTLS tunel.

55 4. Implementace

Klient Proxy sever Klient Proxy sever

Bez opětovného využívání S opětovným využívání TLS spojení TLS spojení

CONNECT www.privoxy.org:443 HTTP/1.1 CONNECT www.privoxy.org:443 HTTP/1.1

GET / HTTP/1.1 GET / HTTP/1.1

CONNECT www.privoxy.org:443 HTTP/1.1 GET /p_doc.css HTTP/1.1

GET /p_doc.css HTTP/1.1

Obrázek4.6: Pˇrij´ımán´ıpoˇzadavk˚ubez a s opˇetovnýmvyuˇz´ıván´ımTLS spojen´ı

4.6.4 Vytv´aˇren´ıspojen´ıs c´ılov´ymserverem

Funkce create server connection pro navázán´ıspojen´ıs poˇzadovanýmwe- bovýmserverem dosud vytváˇrelavˇzdynovéTLS spojen´ı, pokud ho klient vyˇzadoval. Veˇskeréparametry vytvoˇrenéhoTLS spojen´ıpak funkce vkládádo struktury typu ssl connection attr, kteráje uloˇzenave struktuˇre client- state. Tu obsahuje kaˇzdévláknoobsluhuj´ıc´ıkonkrétn´ıhoklienta. Pokud mábýtTLS spojen´ıopˇetovnˇevyuˇz´ıváno,je potˇrebanovˇevytvoˇrené TLS spojen´ıpo vyˇr´ızen´ıpoˇzadavku neuzav´ırat.Toho je dosaˇzenonastaven´ım odpov´ıdaj´ıc´ıch hodnot v promˇenné ssl flags. Ta je kontrolovánapˇrikaˇzdém volán´ıfunkce pro uzavˇren´ıTLS spojen´ı.Pokud je pak volánafunkce create- server connection, a zároveˇnexistuje jiˇzvytvoˇrenéTLS spojen´ı,mus´ıbýt ovˇeˇreno,ˇzeexistuj´ıc´ıspojen´ıje stálepˇripraveno k pouˇzit´ıa zároveˇnˇzeod- pov´ıdápoˇzadavk˚umklienta. K ovˇeˇren´ı,ˇzeTLS spojen´ınebylo neˇcekanˇeuzavˇrenoprotˇejˇs´ıstranou slouˇz´ı novˇevytvoˇrenáfunkce connection is still alive. Ta, pokud je vyuˇz´ıváno zabezpeˇcenéspojen´ı,nejdˇr´ıve kontroluje, ˇzeod protˇejˇs´ıstrany nebyla pˇrijata zpráva typu close notify. Pokud tomu tak nen´ı,nebo pokud bylo vytvoˇreno jen nezabezpeˇcenéTCP spojen´ı,je následnˇekontrolovánoi TCP spojen´ıpo- moc´ıp˚uvodn´ıfunkce socket is still alive. Potéjsou porovnány parametry existuj´ıc´ıhospojen´ıs parametry, kterépoˇzadoval klient v poˇzadavku typu CONNECT. Tato kontrola byla doplnˇenai o porovnán´ıtypu spojen´ı,tedy jestli se jednáo zabezpeˇcenéTLS spojen´ı.Takovákontrola nen´ısice nezbytnápro opa- kovanépouˇz´ıtTLS spojen´ı,protoˇzeby nemˇelodoj´ıtke zmˇenˇepoˇzadovaných parametr˚umezi jednotlivýmipoˇzadavky. Nezbytnáje ovˇsempro nezabezpeˇce- náspojen´ıi pokud jsou TLS session sd´ıleny mezi jednotlivýmivlákny. Jestliˇzetedy parametry spojen´ıodpov´ıdaj´ıa spojen´ınebylo neoˇcekávanˇe uzavˇrenoprotˇejˇs´ıstranou, m˚uˇzebýtproces navazován´ınovéhospojen´ıs c´ılo- výmserverem vynechán.Pokud by parametry spojen´ıneodpov´ıdalypoˇzadav-

56 4.6. Opakovanépouˇz´ıván´ıTLS sessions k˚um,pˇr´ıpadnˇepokud bylo spojen´ıneoˇcekávanˇeukonˇceno,proxy server zaˇsle vlastn´ı close notify zprávu.M´ıstop˚uvodn´ıhouzavˇrenéhospojen´ınáslednˇe vytvoˇr´ınové,kterém˚uˇzebýtpouˇzitopro vyˇr´ızen´ıpoˇzadavku klienta.

4.6.5 Zpracován´ıpoˇzadavk˚una konfiguraˇcn´ırozhran´ı Aˇckoliv byl proxy server jiˇzpˇrizp˚usoben pro zpracován´ıHTTPS poˇzadavk˚una konfiguraˇcn´ırozhran´ı(sekce 4.5.1), opakovanévyuˇz´ıván´ıTLS spojen´ıovlivˇnuje i zpracován´ıtˇechto poˇzadavk˚u.Pˇriopakovanémpouˇzit´ıTLS spojen´ıtotiˇzkli- ent nezas´ılápoˇzadavek typu CONNECT, kterýse p˚uvodnˇeu dotaz˚una konfi- guraˇcn´ırozhran´ıpˇreszabezpeˇcenéspojen´ıvˇzdypˇredpokládal.Proto pokud je opakovanˇevyuˇz´ıvánoTLS spojen´ıs klientem, pˇreskteréklient ˇzádalspojit s konfiguraˇcn´ıurl adresou, proxy server generuje pˇr´ısluˇsnouwebovou stránku jiˇzpo pˇrijet´ıprvn´ıhopoˇzadavku.

4.6.6 Spolupráces nadˇrazenýmproxy serverem D´ıkypouˇzitému principu pro opakovanévyuˇz´ıván´ıTLS sessions, kterýneu- konˇcujeTLS spojen´ıpo vyˇr´ızen´ıpoˇzadavku, iniciuje proxy server uzavˇren´ı TLS spojen´ıs klientem aˇzpo vyprˇsen´ıˇcasovéholimitu Keep-Alive. Tento ˇcasovýlimit definuje dobu, po kterou mábýtudrˇzovánovytvoˇrenéTCP spojen´ı.(Spojen´ıs webovýmserverem uzav´ıráproxy server ve stejnýokamˇzik, pokud nebyla s webovýmserverem vyjednánajináhodnota parametru Keep- -Alive, pˇr´ıpadnˇepokud nen´ıˇcasovýlimit definovánv konfiguraˇcn´ımsouboru proxy serveru.) TLS spojen´ıjsou tedy uzav´ıránatˇesnˇepˇreduzavˇren´ımTCP spojen´ı.Z toho vyplývaj´ıurˇcitáspecifika pˇripouˇzit´ınadˇrazeného proxy serveru, kterájsou dána rozd´ılnýmiˇcasovýmilimity Keep-Alive na obou proxy serverech. Obecnˇemohou nastat dva pˇr´ıpady.

1. Nadˇrazenýproxy sever mádelˇs´ıˇcasovýlimit Keep-Alive Jak m˚uˇzemevidˇetna obrázku4.7, pokud je ˇcasovýlimit pro uzavˇren´ı spojen´ıdelˇs´ına nadˇrazenémproxy serveru, nedocház´ık ˇzádnýmkom- plikac´ım.Prvn´ıproxy server po vyprˇsen´ıˇcasového limitu uzavˇrespo- jen´ıs nadˇrazenýmproxy serverem, a kdyˇzobdrˇz´ıdalˇs´ıpoˇzadavek na totoˇznýserver, opˇetjej vytvoˇr´ı.Nadˇrazenýproxy server existuj´ıc´ıspo- jen´ı s webovýmserverem uchovává,a jelikoˇznovýpoˇzadavek pˇrijde v ˇcasovémlimitu, nemus´ı nadˇrazenýproxy server spojen´ı obnovovat, ale okamˇzitˇevyuˇzijejiˇzexistuj´ıc´ı.

2. Nadˇrazenýproxy server mákratˇs´ıˇcasovýlimit Keep-Alive Pokud je ˇcasovýlimit pro uzavˇren´ıspojen´ına nadˇrazenémproxy serveru kratˇs´ıneˇzna pˇredcházej´ıc´ım,docház´ıke zkomplikován´ıcelého pro- cesu. Na obrázku4.8 je zobrazeno, jak mus´ı proxy servery reagovat. Oba proxy servery po prvn´ım poˇzadavku vytvoˇr´ıTCP i TLS spojen´ı,

57 4. Implementace

Nadřazený Proxy sever www.privoxy.org proxy sever

CONNECT www.privoxy.org:443 HTTP/1.1

GET / HTTP/1.1 GET / HTTP/1.1

HTTP/1.1 200 OK + data / HTTP/1.1 200 OK + data / Keep-Alive timeout = 3 s Keep-Alive timeout = 1 s Uzavření TLS i TCP spojení

CONNECT www.privoxy.org:443 HTTP/1.1

GET / HTTP/1.1 GET / HTTP/1.1 HTTP/1.1 200 OK + data / HTTP/1.1 200 OK + data / Prodloužení timeout Keep-Alive timeout = 1 s

Obrázek4.7: Opˇetovnépouˇzit´ıTLS sessions s nadˇrazenýmproxy serverem, kdy nadˇrazenýproxy server mádelˇs´ıˇcasovýlimit

kterápo vyˇr´ızen´ıpoˇzadavku uchovávaj´ıaˇzdo uplynut´ıˇcasovéholimitu. Nadˇrazenýproxy server následnˇeuzavˇrespojen´ınejen s c´ılovýmserve- rem, ale i s pˇredchoz´ımproxy serverem. To znamená,ˇzepˇredcházej´ıc´ımu proxy serveru zaˇsle close notify zprávu.Jelikoˇzpˇredcházej´ıc´ıproxy server naslouchápoˇzadavk˚umklienta, nedetekuje uzavˇren´ıtohoto spojen´ıa zjist´ıho aˇzve chv´ıli,kdy pˇrijdeod klienta dalˇs´ıpoˇzadavek typu GET na totoˇznýserver. V tu chv´ılizjist´ı,ˇzespojen´ıbylo nadˇrazeným proxy serverem uzavˇrenoa mus´ıbýtznovu vytvoˇrenopomoc´ıpoˇzadavku CONNECT. Zbytek komunikace jiˇzprob´ıhástandardn´ım zp˚usobem.

Problém ve druhém pˇr´ıpadˇespoˇc´ıváv tom, ˇze prvn´ı z proxy server˚u uchováváaktivn´ı TLS spojen´ı s klientem i ve chv´ıli, kdy nadˇrazenýproxy sever jiˇzuzavˇrel spojen´ıs webovýmserverem i pˇredchoz´ımproxy serverem. Prvn´ız proxy server˚utak pˇrijmeod klienta poˇzadavek typu GET, ale protoˇze bylo následuj´ıc´ıspojen´ıuzavˇreno,mus´ıjej obnovit. K tomu je nezbytnéza- slat poˇzadavek typu CONNECT na nadˇrazenýproxy server. Tento poˇzadavek ovˇsemnen´ıv tu chv´ıliod klienta k dispozici. V rámcidiplomovéprácebyl tento problémˇreˇsenuloˇzen´ımcelého CONNECT poˇzadavku ze zaˇcátkukomuni- kace s klientem, ovˇsemaˇzpo aplikován´ıpˇr´ıpadných filtr˚u.Pokud tedy mus´ı býtspojen´ıs nadˇrazenýmproxy serverem obnoveno, je k tomu pouˇzittento uloˇzenýpoˇzadavek. Potéproxy server pokraˇcujestejnýmzp˚usobem jako po vytvoˇren´ınovéhoTLS spojen´ı. Pokud nen´ıpouˇzitnadˇrazenýproxy server, k tétokomplikaci nedocház´ı,

58 4.7. Sd´ılen´ıTLS sessions

Nadřazený Proxy sever www.privoxy.org proxy sever

CONNECT www.privoxy.org:443 HTTP/1.1

GET / HTTP/1.1 GET / HTTP/1.1

HTTP/1.1 200 OK + data / HTTP/1.1 200 OK + data / Keep-Alive timeout = 1 s Keep-Alive timeout = 3 s Odeslání zprávy close_notify Uzavření TLS i TCP spojení Přijetí dalšího požadavku GET od klienta na totožný webový server CONNECT www.privoxy.org:443 HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1

HTTP/1.1 200 OK + data / HTTP/1.1 200 OK + data / Keep-Alive timeout = 1 s Keep-Alive timeout = 3 s

Obrázek4.8: Opˇetovnépouˇzit´ıTLS sessions s nadˇrazenýmproxy serverem, kdy nadˇrazenýproxy server mákratˇs´ıˇcasovýlimit

jelikoˇzproxy server po vyprˇsen´ıˇcasovéholimitu odes´ılá close notify zprávu pˇr´ımoklientovi. Ten tak pˇred odeslán´ımdalˇs´ıhopoˇzadavku zjist´ı,ˇzespojen´ı bylo uzavˇrenoa naváˇzes proxy serverem nové.

4.6.7 Pˇrizp˚usoben´ıknihovnˇeMbed TLS

Souˇcást´ıdiplomovépráceje i podpora pro vyuˇzit´ınových rozˇs´ıˇren´ıi s p˚uvodn´ı kryptografickou knihovnou Mbed TLS. Proto byly veˇskeréfunkce potˇrebnépro opakovanévyuˇz´ıván´ıTLS sessions implementovány i s pouˇzit´ımtéto knihovny. Uˇzivatel tak pˇrikompilaci s knihovnou Mbed TLS m˚uˇzetoto rozˇs´ıˇren´ıvyuˇz´ıt. Jelikoˇzs touto skuteˇcnost´ıbylo poˇc´ıtánojiˇzbˇehemnávrhu úprav, bylo vˇse navrˇzenotak, aby bylo v budoucnu moˇznéjednoduˇsenahradit p˚uvodn´ıkryp- tografickéknihovny jakoukoli jinou. Staˇc´ıimplementovat s vyuˇzit´ımkonkrétn´ı knihovny funkce z tabulky 4.3 tak, aby splˇnovaly velmi obecnérozhran´ı.

4.7 Sd´ılen´ıTLS sessions

Aby bylo dosaˇzenojeˇstˇevˇetˇs´ıhozrychlen´ıbˇehemvyˇrizován´ıklientových poˇza- davk˚u,implementuje diplomováprácesd´ılen´ıTLS spojen´ımezi vlákny. Tato vláknaobsluhuj´ıjednotlivéklienty, a tak vytváˇr´ıi poˇzadovanýtyp spojen´ı

59 4. Implementace

Tabulka 4.3: Funkce nezbytnépro zaˇclenˇen´ınovékryptografickéknihovny

Soubor Názevfunkce [client|server] use ssl is ssl pending tunnel established successfully ssl [send|recv] data ssl send data delayed ssl flush socket ssl libressl.c ssl send certificate error ssl mbedtls.c create [client|server] ssl connection close client and server ssl connections close [client|server] ssl connection close ssl connection was connection closed by peer is server certificate valid

s c´ılovýmiwebovýmiservery. Spojen´ımezi sebou mohou následnˇesd´ılet.P˚u- vodn´ı verze proxy serveru Privoxy jiˇzumoˇzˇnujesd´ılen´ı TCP spojen´ı mezi vlákny. Toto p˚uvodn´ıˇreˇsen´ıbylo v rámcidiplomovéprácepouˇzitojako základ pro sd´ılen´ıexistuj´ıc´ıch TLS spojen´ı.

4.7.1 P˚uvodn´ısd´ılen´ıTCP spojen´ı Pro sd´ılen´ıexistuj´ıc´ıch TCP spojen´ıvyuˇz´ıváp˚uvodn´ıverze Privoxy pole fixn´ı velikosti 100 spojen´ı,kteréje sd´ılenémezi vˇsemivlákny proxy serveru. Do nˇej jsou vkládány kromˇeTCP soketu i parametry popisuj´ıc´ıtoto spojen´ı(napˇr. doménovéjméno,port, informace o nadˇrazenémproxy serveru, . . . ) a parametry pro spravován´ıtohoto spojen´ı.Mezi nˇemimo jinépatˇr´ıˇcasovýlimit Keep-Alive a ˇcas,kdy bylo spojen´ı naposledy aktivnˇeuˇz´ıváno.Posledn´ım d˚uleˇzitýparametr udává,jestli je konkrétn´ıspojen´ıaktuálnˇevyuˇz´ıvánonˇekte- rýmz vláken. Pˇr´ıstup do tohoto pole je ˇr´ızenpomoc´ımutex˚u. Spojen´ıjsou do tohoto pole vkládána ve dvou pˇr´ıpadech:

1. Novˇepˇrijatýpoˇzadavek je urˇcenýpro jinýwebovýserver neˇzpˇredchoz´ı Pˇripouˇzit´ınezabezpeˇceného spojen´ıpro HTTP komunikaci zas´ılákli- ent v kaˇzdémdotazu konkrétn´ıdoménovéjméno.Poˇzadavek tedy m˚uˇze vypadat napˇr´ıkladtakto:

GET http://www.privoxy.org/ HTTP/1.1

D´ıky tomu m˚uˇzebýtkaˇzdýz pˇr´ıchoz´ıch poˇzadavk˚uurˇcenýpro jiný webovýserver, aniˇzby bylo spojen´ımezi klientem a webovýmserverem

60 4.7. Sd´ılen´ıTLS sessions

uzavˇreno.Pokud je tedy novýpoˇzadavek urˇcenpro jinýwebovýserver neˇzpˇredchoz´ı,proxy server p˚uvodn´ıspojen´ıse serverem neuzavˇre,ale vloˇz´ıho do zmiˇnovanéhopole sd´ılených spojen´ı.Pro novýpoˇzadavek pak vytvoˇr´ıi novéTCP spojen´ı.Jelikoˇzpˇripouˇzit´ıTLS spojen´ıobsa- huje doménovéjménopouze prvn´ıpoˇzadavek typu CONNECT, nem˚uˇzebýt z novˇepˇr´ıchoz´ıhopoˇzadavku zjiˇstˇenazmˇenac´ılovéhoserveru, a tak ani nem˚uˇzebýtexistuj´ıc´ıTLS spojen´ıvloˇzenomezi sd´ılená. 2. Spojen´ıs klientem je uzavˇrenodˇr´ıve, neˇzvyprˇs´ıˇcasovýlimit Keep-Alive spojen´ıs webovýmserverem Po vyˇr´ızen´ıklientova poˇzadavku vláknozachováváspojen´ıotevˇrenéa ˇce- kána dalˇs´ıpoˇzadavek. Pokud jej klient nezaˇsleve stanovenémˇcasovém limitu Keep-Alive, spojen´ı s klientem je uzavˇreno.Uzavˇren´ı spojen´ı m˚uˇzeiniciovat i klient, pokud v´ı,ˇzejiˇznebude cht´ıtzas´ılatdalˇs´ıpoˇzadav- ky. Pokud je spojen´ıs webovýmserverem i potéaktivn´ıa neuplynul jeho stanovenýˇcasovýlimit Keep-Alive, m˚uˇze býtuloˇzeno pro dalˇs´ıpouˇzit´ı. Výchoz´ı Keep-Alive limit pro webovýserver m˚uˇzesprávce proxy serveru nastavit v konfiguraˇcn´ımsouboru.

Kdyˇznáslednˇejinévláknopˇrijmepoˇzadavek na spojen´ıs urˇcitýmwebovým serverem, m˚uˇzenejdˇr´ıve zkontrolovat, jestli vhodnéspojen´ıjiˇznen´ıvytvoˇrené ve sd´ılenémpoli. Pokud takovéspojen´ıexistuje, nen´ıvyuˇz´ıvánojinýmvláknem, je stáleaktivn´ıa nevyprˇseljeho Keep-Alive ˇcasovýlimit, nastav´ıu nˇejvlákno pˇr´ıznak,ˇzeje jiˇzvyuˇz´ıvánonˇekterýmz aktivn´ıch vláken, a následnˇeho vyuˇzije pro komunikaci s webovýmserverem. Nemus´ıtak vytváˇretnovéspojen´ı,jehoˇz navazován´ıby zpomalilo celýproces vyˇrizován´ıklientova poˇzadavku. Pokud vláknopoˇzadavek vyˇr´ıd´ıa spojen´ıs klientem je uzavˇreno,opˇetnastav´ıpˇr´ıznak v poli sd´ılených spojen´ı,ˇzeje k dispozici pro ostatn´ıvlákna.Pokud je spojen´ı v pr˚ubˇehu komunikace uzavˇreno, odstran´ı ho pˇr´ısluˇsnévláknoze seznamu sd´ılených spojen´ı.Pˇr´ıpadnˇejsou spojen´ı,u kterých vyprˇselˇcasovýlimit, uzavˇrenav pr˚ubˇehu prohledáván´ısd´ılenéhopole.

4.7.2 Správa TLS parametr˚usd´ılených spojen´ı Aby mohla býtsd´ılenáspojen´ıvyuˇz´ıvánai pokud jsou zabezpeˇcenápomoc´ı protokolu TLS, je nezbytnésd´ıletkromˇep˚uvodn´ıhosoketu i dalˇs´ıparametry nezbytnépro pouˇzit´ıTLS vrstvy. Pro sd´ılen´ıtˇechto parametr˚uby mohl být vytvoˇrensamostatnýmechanismus. V rámcidiplomovépráceale bylo zvoleno rozˇs´ıˇren´ıp˚uvodn´ıhopostupu. Proto byly rozˇs´ıˇreny tˇrihlavn´ıfunkce pro správu sd´ılených spojen´ı:

• remember connection Tato funkce vkládánováspojen´ı do sd´ılenéhopole. Aby mohly být uloˇzeny i parametry týkaj´ıc´ı se TLS spojen´ı, byly pˇridány do struktury reusable connection, kteráje v parametru tétofunkce. Funkce

61 4. Implementace

tyto parametry zkop´ırujedo struktury uloˇzenéve sd´ılenémpoli. Pokud ve sd´ılenémpoli nejsou ˇzádnávolnám´ısta,pˇredanéspojen´ıje uzavˇreno, a to vˇcetnˇevrstvy TLS, pokud se jednáo zabezpeˇcenéspojen´ı. Novˇebyla funkce rozˇs´ıˇrena i o návratovou hodnotu. Podle n´ıvolaj´ıc´ı zjist´ı,jestli se podaˇrilospojen´ıúspˇeˇsnˇeuloˇzit,pˇr´ıpadnˇejestli bylo funkc´ı uzavˇreno.Na základˇenávratovéhodnoty tedy mohou býtnastaveny parametry o stavu ukládanéhospojen´ı.

• close unusable connections Spojen´ı,kterábyla uzavˇrenawebovýmserverem, nebo kterýmvyprˇsel ˇcasovýlimit Keep-Alive jsou spravovánatouto funkc´ı.Ta procház´ıpole sd´ılených spojen´ı,a pokud jiˇznemohou býtpouˇzita,provede jejich korektn´ıuzavˇren´ı.Proto byla p˚uvodn´ıfunkce pro kontrolu, jestli je TCP spojen´ıstáleaktivn´ı,nahrazena funkc´ıkontroluj´ıc´ıi stav TLS spojen´ı. Zároveˇnbyla p˚uvodn´ıfunkce uzav´ıraj´ıc´ıTCP spojen´ıdoplnˇenafunkc´ı pro uzavˇren´ıTLS spojen´ı.

• get reusable connection Funkce procház´ıpole sd´ılených spojen´ıa na základˇepˇredaných parametr˚uv nˇemhledáodpov´ıdaj´ıc´ıspojen´ı.Aby mohla funkce v pˇr´ıpadˇe shody vrátiti nezbytnéparametry pro TLS komunikaci, byl mezi jej´ı parametry pˇridánukazatel na strukturu ssl connection attr.

D´ıkyzm´ınˇenýmúpravámfunkc´ıpro správusd´ılených spojen´ıjiˇznejsou nutnérozsáhlejˇs´ı úpravy algoritmu pro obsluhu klientových poˇzadavk˚u.Al- goritmus byl doplnˇeno nastaven´ıpˇr´ıznak˚utýkaj´ıc´ıch se opˇetovnˇepouˇzitého TLS spojen´ına základˇenávratových hodnot funkc´ıspravuj´ıc´ıch sd´ılenáspo- jen´ı.Pˇridány byly takéobecnéfunkce pro uzavˇren´ısamostatnéhoTLS spojen´ıa uvolnˇen´ıpamˇeti,kterévyuˇz´ıvaj´ıstruktury obsahuj´ıc´ıparametry tohoto spojen´ı. P˚uvodn´ı ekvivalenty tˇechto funkc´ı byly pˇrizp˚usobeny vˇzdyspojen´ı s webovýmserverem nebo s klientem.

4.8 Konﬁgurace ˇsifrov´ych sad

Privoxy vyuˇz´ıvánˇekolik typ˚ukonfiguraˇcn´ıch soubor˚u.Pro pˇriˇrazen´ıakc´ık jed- notlivýmurl adresámˇciwebovýmserver˚uslouˇz´ısoubory s pˇr´ıponou .action. Aby mohl uˇzivatel definovat vlastn´ıˇsifrovou sadu pro libovolnýwebovýserver, byla vytvoˇrenanováakce s kl´ıˇcovýmslovem set-cipher-list. Parametrem tohoto kl´ıˇcovéhoslova je ˇretˇezec,jehoˇzstruktura se liˇs´ıv závislostina pouˇzité kryptografickéknihovnˇe.Na dalˇs´ıch ˇrádkách za kl´ıˇcovýmslovem je nezbytné uvéstseznam url adres webových server˚u.Pro tyto servery bude zadanáˇsifrová sada vyuˇz´ıvána.

62 4.8. Konﬁgurace ˇsifrov´ych sad

• Knihovna LibreSSL Uˇzivatel m˚uˇzepomoc´ıkl´ıˇcových slov11 a speciáln´ıch symbol˚udefinovat libovolnou podmnoˇzinu podporovaných algoritm˚u.Vyuˇzitom˚uˇzebýt kl´ıˇcovéslovo DEFAULT, kterépˇredstavuje výchoz´ıˇsifrovou sadu. Tuto sadu lze následnˇeupravovat. Ukázkovou hodnotou m˚uˇzebýtnapˇr´ıklad:

DEFAULT:!RC4:!MD5

• Knihovna Mbed TLS Retˇezecobsahujeˇ seznam kl´ıˇcových slov12 definuj´ıc´ıch jednotlivéˇsifrové sady. Kl´ıˇcováslova jsou oddˇelena znakem :“. Kaˇzdáz uvedených sad ” bude proxy serverem povolena. Ukázkovou hodnotou m˚uˇzebýtnapˇr´ıklad:

TLS-RSA-WITH-AES-128-CBC-SHA:...

Pokud je zadanýˇretˇezech chybný,dotˇcenáspojen´ınejsou navázánaa uˇzi- vatel je upozornˇenv logovac´ım souboru. U knihovny LibreSSL je zadaný ˇretˇezecpˇredánpˇr´ımoknihovn´ıfunkci. U knihovny Mbed TLS je ˇretˇezecrozdˇe- len na jednotlivákl´ıˇcováslova, kterájsou pˇrevedena na pole odpov´ıdaj´ıc´ıch ˇc´ıselných hodnot. To je dálezpracovánoknihovn´ıfunkc´ı.

11Kompletn´ıpˇrehledpodporovaných kl´ıˇcových slov a syntaxe konfiguraˇcn´ıhoˇretˇezceje k dispozici na https://man.openbsd.org/SSL_set_cipher_list.3 12Kompletn´ı pˇrehled podporovaných kl´ıˇcových slov je k dispozici na https:// tls.mbed.org/supported-ssl-ciphersuites

Kapitola 5

Testován´ıdosaˇzenýchvýsledk˚u

Implementovanézmˇeny jsou v tétokapitole testovány z nˇekolika r˚uzných po- hled˚u.Zároveˇnjsou zde zhodnoceny dosaˇzenévýsledky a naznaˇcenai vhodná budouc´ırozˇs´ıˇren´ı,kteráby navázalana tuto diplomovou práci.

5.1 Funkˇcnost

Novˇeimplementovanározˇs´ıˇren´ıbakaláˇrsképráceúspˇeˇsnˇeumoˇzˇnuj´ıfiltrovat veˇskerou pˇrenáˇsenouHTTPS komunikaci v obou smˇerech. Tedy nejen data pˇrijatáod webovéhoserveru jako pˇredchoz´ıbakaláˇrskápráce, ale i data pˇrijatá od klienta. Filtrovat lze pˇrenáˇsenádata vˇcetnˇeHTTP hlaviˇcek,a to i pˇri pouˇzit´ınadˇrazenéhoproxy serveru. K dispozici jsou tak uˇzivatel˚umveˇskeré funkcionality pro filtrován´ı,kteréjsou obsaˇzeny v p˚uvodn´ımPrivoxy verze 3.0.28, a to nejen pro protokol HTTP, ale i pro protokol HTTPS. Souˇcást´ıprovedených test˚ufunkˇcnostije i ovˇeˇren´ıpodpory bˇeˇzných i neob- vyklých algoritm˚u,protokol˚ua nastaven´ızabezpeˇcených spojen´ı.Pro ovˇeˇren´ı funkˇcnostibyly pouˇzity testy z webových stránek https://www.badssl.com, jejichˇzvýsledkyjsou zobrazeny v tabulce 5.1. Z tabulky vyplývá,ˇzeproxy server Privoxy podporuje veˇskerétestovanéfunkcionality jako modern´ıwebové prohl´ıˇzeˇce.

5.1.1 Kryptograﬁck´eknihovny

D´ıkypouˇzit´ınovékryptografickéknihovny je moˇznévyuˇz´ıvat Privoxy se vˇsemi nejrozˇs´ıˇrenˇejˇs´ımimodern´ımiwebovýmiprohl´ıˇzeˇci.Po nainstalován´ıvlastn´ıCA tyto prohl´ıˇzeˇceuˇzivatele nijak neupozorˇnuj´ına bezpeˇcnostn´ırizika. Byl tak odstranˇenjeden ze zásadn´ıch nedostatk˚up˚uvodn´ıbakaláˇrsképráce. Zároveˇn vˇsakbyla zachovánakompatibilita s p˚uvodnˇepouˇzitoukryptografickou knihovnou Mbed TLS, vˇcetnˇejej´ıch výhod a nedostatk˚u.Uˇzivatel si tak m˚uˇzesám zvolit kryptografickou knihovnu, kterábude pˇrikompilaci pouˇzita.Zároveˇnje

65 5. Testovan´ ´ı dosaˇzenych´ vysledk´ ˚u

Tabulka 5.1: Srovnán´ıPrivoxy a webových prohl´ıˇzeˇc˚uv podpoˇrevybraných kryptografických protokol˚ua algoritm˚u.(Ano – zpracuje, Ne – nezpracuje) Privoxy Privoxy Google Test Firefox16 Safari17 LibreSSL13 MbedTLS14 Chrome15 Neobvyklé 1000-sans Ano Ne Ano Ano Ano 10000-sans Ne Ne Ne Ne Ne sha384 Ano Ano Ano Ano Ano sha512 Ano Ano Ano Ano Ano rsa8192 Ano Ano Ano Ano Ano no-subject Ano Ano Ano Ano Ano no-common-name Ano Ano Ano Ano Ano incomplete-chain Ano Ano Ano Ano Ano Bˇeˇzné tls-v1-2 Ano Ano Ano Ano Ano sha256 Ano Ano Ano Ano Ano rsa2048 Ano Ano Ano Ano Ano ecc256 Ano Ano Ano Ano Ano ecc384 Ano Ano Ano Ano Ano extended-validation Ano Ano Ano Ano Ano mozilla-modern Ano Ano Ano Ano Ano Upgrade hsts Ano Ano Ano Ano Ano upgrade Ano Ano Ano Ano Ano preloaded-hsts Ano Ano Ano Ano Ano https-everywhere Ne Ne Ne Ne Ne

uˇzivateli umoˇznˇenoprovéstkompilaci bez jakékoli kryptografickéknihovny, tedy se stejnýmifunkcionalitami jako p˚uvodn´ıPrivoxy verze 3.0.28.

5.2 V´ykonnost

Pˇriimplementaci nových funkcionalit pro Privoxy byl kladen d˚urazi na výkon- nost proxy serveru. Implementovánoproto bylo rozˇs´ıˇren´ıumoˇzˇnuj´ıc´ıopako- vanˇevyuˇz´ıvat vytvoˇrenáTLS spojen´ıs klienty i s webovýmiservery. D´ıkytomu nemus´ıproxy server pro kaˇzdépˇrijet´ıa vyˇr´ızen´ıdotazu navazovat nováTLS spojen´ı,ˇc´ımˇzje znaˇcnˇeurychleno vyˇrizován´ıˇradydotaz˚una jeden konkrétn´ı webovýserver. Zrychlen´ı je tedy patrnézejménau webových stránekob- sahuj´ıc´ıch vysokýpoˇcet subresource ze spoleˇcného webového serveru. Po- rovnán´ıdoby potˇrebnépro naˇcten´ıvybraných webových stránekpˇrivyuˇzit´ı r˚uzných metod implementovaných v jednotlivých verz´ıch proxy serveru Pri-

13LibreSSL verze 3.0.2 14Mbed TLS verze 2.16.6 15Google Chrome verze 81.0.4044.113 (64 bit˚u) 16Firefox verze 75.0 (64 bit˚u) 17Safari iPadOS 13.4.1

66 5.2. V´ykonnost

Obrázek 5.1: Srovnán´ı doby naˇc´ıtán´ı vybraných webových stránek podle pouˇzitémetody a poˇctujej´ıch subresources. Pouˇzitýproxy server pro metody TLS tunel a TLS MITM je výstupem pˇredchoz´ıbakaláˇrsképráce.

voxy, pˇr´ıpadnˇebez pouˇzit´ıproxy serveru, je zobrazeno v grafu na obrázku 5.1. V grafu je rovnˇeˇzu kaˇzdéwebovéstránkyzobrazen poˇcet subresources, kterébyly naˇc´ıtány jako jej´ı souˇcást.Pro metodu TLS tunelu a TLS MITM byl pouˇzitproxy server z pˇredchoz´ıbakaláˇrsképráce.Aby mohlo být mˇeˇren´ıprovedeno s vyuˇzit´ımmodern´ıhowebovéhoprohl´ıˇzeˇce, byly pˇredem pˇripraveny certifikáty pro jednotlivéwebovéstránky. Certifikáty vytvoˇrené p˚uvodn´ıknihovnou Mbed TLS by totiˇzbyly webovýmprohl´ıˇzeˇcemoznaˇceny jako ned˚uvˇeryhodnéa test by nebylo moˇznéuskuteˇcnit.

Jak m˚uˇzemevidˇetna grafu 5.1 srovnávaj´ıc´ım dobu potˇrebnouk naˇcten´ı kompletn´ıwebovéstránky, rozˇs´ıˇren´ıproxy serveru Privoxy o opakovanévyuˇz´ı- ván´ıspojen´ıs klientem i c´ılovýmserverem znaˇcnˇezrychlilo naˇc´ıtán´ıwebových stránekoproti metodˇeMITM pouˇzitév pˇredchoz´ıbakaláˇrsképráci.Nejvˇetˇs´ı zrychlen´ıje podle oˇcekáván´ıu webových stráneks velkýmpoˇctemsubresour- ces. V pr˚umˇerubylo na testovanémnoˇzinˇewebových stránekdosaˇzenozrych- len´ı33,5 % proti p˚uvodn´ımetodˇeMITM. Z grafu je rovnˇeˇzpatrné,ˇzepomoc´ı sd´ılen´ıTLS spojen´ıbylo dosaˇzenotémˇeˇrshodnédoby pro odbaven´ıpoˇzadavku klienta jako pˇripouˇzit´ımetody TLS tunelu. Ta ovˇsemneumoˇzˇnujefiltrovat HTTPS komunikaci, a ani proxy server pˇrin´ınevytváˇr´ıTLS spojen´ı.Jelikoˇz pro mˇeˇren´ıdoby naˇcten´ıu metod TLS MITM a TLS tunelu byla pouˇzitaim- plementace z pˇredchoz´ıbakaláˇrsképráce,m˚uˇzebýtvýsledekˇcásteˇcnˇeovlivnˇen i rozd´ılnýmikryptografickýmiknihovnami, pˇr´ıpadnˇedalˇs´ımizmˇenami prove- denýmiv rámcidiplomovépráce.

67 5. Testovan´ ´ı dosaˇzenych´ vysledk´ ˚u

Obrázek5.2: Vliv hodnoty parametru keep-alive-timeout na dobu naˇc´ıtán´ı vybraných webových stránek

5.2.1 Vliv parametru keep-alive-timeout na v´ykonnost

Graf 5.2 zobrazuje dobu naˇc´ıtán´ıwebových stránekv závislosti na nastaven´ı hodnoty parametru keep-alive-timeout v konfiguraˇcn´ımsouboru proxy serveru. Ten ovlivˇnujedobu, po kterou jsou spojen´ıs klientem a webovýmser- verem po ukonˇcen´ı aktivn´ı komunikace zachována.Z grafu vyplývá,ˇzepˇri jednorázovémnaˇcten´ıkonkrétn´ıwebovéstránkyhodnota tohoto parametru prakticky nehraje roli (pokud tedy nen´ınulová).D˚uvodem je velmi malýin- terval mezi pˇr´ıjmemjednotlivých dozat˚uod webovéhoprohl´ıˇzeˇce.Hodnota parametru by se naopak projevila pˇridlouhodobémprohl´ıˇzen´ı konkrétn´ıho webu, kdy jsou intervaly mezi poˇzadavky ovlivnˇeny i interakc´ıuˇzivatele.

5.2.2 Sd´ılen´ıTLS session

Sd´ılen´ıTLS spojen´ımezi jednotlivýmivlákny proxy severu nemáprakticky ˇzádnédopady na výkon pˇrizpracován´ı samostatných dotaz˚una jednotlivé webovéstránky. Výhodu pˇrináˇs´ıpˇredevˇs´ımpˇriparaleln´ımobsluhován´ınˇekolika klient˚u.Pro vˇetˇs´ıvyuˇzit´ıtétofunkcionality je vhodnév konfiguraˇcn´ımsou- boru config nastavit parametr default-server-timeout na hodnotu vyˇsˇs´ı neˇzu parametru keep-alive-timeout. D´ıkytomu roste pravdˇepodobnost, ˇze spojen´ıs webovýmserverem bude udrˇzovánoi po uzavˇren´ıspojen´ıs klientem, a bude tak nab´ıdnuto dalˇs´ımvlákn˚um.I tato implementovanáfunkcionalita tak pˇrináˇs´ıdalˇs´ımoˇznost, jak zvýˇsitvýkonnost proxy severu. Vzhledem ke dˇr´ıve zmiˇnovanýmbezpeˇcnostn´ımrizik˚umv sekci 3.3.7 je konkrétn´ınastaven´ı na zváˇzen´ısprávce proxy serveru.

68 5.3. Bezpeˇcnost

5.3 Bezpeˇcnost

Bˇehemimplementace rozˇs´ıˇren´ıpro proxy server Privoxy byl kladen d˚urazna zachován´ıbezpeˇcnosti.Jelikoˇzproxy server provád´ıTLS handshake s c´ılovým serverem, provád´ırovnˇeˇzkontrolu jeho certifikátua vˇsech dalˇs´ıch parametr˚u spojen´ı. Z tohoto d˚uvodu byla rozˇs´ıˇrenakonfigurace proxy severu o novou akci umoˇzˇnuj´ıc´ıkonfigurovat seznam povolených ˇsifrových sad pro komunikaci s webovýmserverem. D´ıkytomu m˚uˇzeklient nastavit úroveˇnzabezpeˇcen´ıpro libovolnou url adresu. Nav´ıci pˇresto, ˇzebyla novározhran´ıimplementována s vyuˇzit´ımnovékryptografickéknihovny, z˚ustalozachovánoinformován´ıkli- enta o neúspˇeˇsnévalidaci certifikátupˇrijatéhood c´ılovéhoserveru, a to vˇcetnˇe moˇznostistaˇzen´ıkompletn´ıhoˇretˇezcecertifikátu. Výslednáúroveˇnzabezpeˇcen´ıbyla ovˇeˇrenapomoc´ıtest˚udostupných na https://www.badssl.com. Výsledkytˇechto test˚ujsou zobrazeny v tabulce 5.2 spoleˇcnˇes výsledkymodern´ıch webových prohl´ıˇzeˇc˚u.V tabulce jsou zobrazeny výsledkypro výchoz´ınastaven´ıbez dalˇs´ıch zásah˚usprávce proxy serveru. Z tohoto d˚uvodu jsou zejménanedostatky v ˇcásti Sifrovésady“ˇ a Výmˇena ” ” kl´ıˇce“ zanedbatelné,nebot’ je lze odstranit vhodnou konfigurac´ı.Ze zbylých rizik, kterámodern´ıwebovéprohl´ıˇzeˇcena rozd´ılod proxy serveru odhal´ı,je nejvˇetˇs´ımnedostatkem zejménachybˇej´ıc´ıkontrola revokovaných certifikát˚u.

5.4 Dalˇs´ımoˇznosti rozvoje

Aby byl proxy server i v budoucnu konkurenceschopný,je nezbytné,aby i nadálepˇrináˇseluˇzivatel˚umnovéfunkcionality a rozˇs´ıˇren´ı.Aˇckoli tato diplo- movápráceimplementuje ˇradurozˇs´ıˇren´ı,nab´ız´ıse mnoho dalˇs´ıch moˇznost´ı, jak tato rozˇs´ıˇren´ınadálerozv´ıjetˇcidoplˇnovat. D´ıkynˇekterýmz nich se rozˇs´ıˇr´ı funkcionality proxy serveru, jinézase zvýˇs´ıuˇzivatelskýkomfort ˇcizlepˇs´ıza- bezpeˇcen´ıpˇrenáˇsených dat.

5.4.1 Výjimky pro nevalidn´ıcertifikáty Proxy server pˇrifiltrován´ıHTTPS komunikace ovˇeˇrujecertifikáty webových server˚ua webovéprohl´ıˇzeˇcejiˇzpˇrijmoupouze certifikátgenerovanýproxy serverem. V nˇekterých pˇr´ıpadech ovˇsemm˚uˇzeuˇzivatel vyˇzadovat pˇripojen´ıke konkrétn´ımu webovému serveru i pˇresurˇciténedostatky certifikátu.Privoxy jiˇzumoˇzˇnujeuˇzivateli zobrazit veˇskeréparametry certifikátuwebovéhoser- veru, pokud je oznaˇcenjako nevalidn´ı.Proxy server by ovˇsemkromˇeinformac´ı o webovémcertifikátumohl uˇzivateli nab´ıdnouti moˇznostudˇelen´ıvýjimky pro konkrétn´ı certifikát.(V souˇcasnostije umoˇznˇenoudˇelitvýjimkupouze pro urˇcitédoménovéjméno,nelze specifikovat konkrétn´ıcertifikát.)Vhodnou formou pro vytvoˇren´ıvýjimkyje napˇr´ıkladodkaz na webovéstránces infor- macemi o neplatnémcertifikátu.Po jeho otevˇren´ıby proxy server pˇridalˇs´ım zpracován´ıtohoto certifikátunavázalspojen´ıbez ohledu na jeho platnost.

69 5. Testovan´ ´ı dosaˇzenych´ vysledk´ ˚u

Tabulka 5.2: Srovnán´ı úspˇeˇsnostiPrivoxy a webových prohl´ıˇzeˇc˚upˇriodha- lován´ınedostatk˚uSSL/TLS spojen´ı(Ano – odhaleno, Ne – neodhaleno) Privoxy Privoxy Google Test Firefox21 Safari22 LibreSSL18 MbedTLS19 Chrome20 Validace certifikátu expired Ano Ano Ano Ano Ano wrong.host Ano Ano Ano Ano Ano self-signed Ano Ano Ano Ano Ano unrusted-root Ano Ano Ano Ano Ano revoked Ne Ne Ano Ano Ano pinning-test Ne Ne Ano Ano Ne no-sct Ne Ne Ano Ne Ne sha1-intermediate Ne Ano Ano Ano Ano invalid-expected-sct Ano Ano Ano Ano Ano Sifrovésadyˇ cbc Ne Ne Ne Ne Ne rc4-md5 Ne Ano Ano Ano Ano rc4 Ne Ano Ano Ano Ano 3des Ne Ano Ne Ne Ne null Ano Ano Ano Ano Ano Výmˇenakl´ıˇce dh480 Ano Ano Ano Ano Ano dh512 Ano Ano Ano Ano Ano dh1024 Ne Ne Ano Ne Ano dh2048 Ne Ne Ano Ne Ano dh-small-subgroup Ne Ne Ano Ne Ano dh-composite Ne Ne Ano Ne Ano Známéˇspatné Superfish Ano Ano Ano Ano Ano eDellRoot Ano Ano Ano Ano Ano DSD Test Provider Ano Ano Ano Ano Ano preact-cli Ano Ano Ano Ano Ano Webpack-dev-server Ano Ano Ano Ano Ano Zaniklé Zaniklé– sha1-2016 Ano Ano Ano Ano Ano Zaniklé– sha1-2017 Ano Ano Ano Ano Ano

5.4.2 Novémetody pro kontrolu certifikát˚u Jak vyplýváz tabulky 5.2, proxy server nekontroluje seznamy revokovaných certifikát˚u.Proto m˚uˇzeklienta pˇripojit i k webovému serveru, kterýse pro- kazuje zneplatnˇenýmcertifikátem.Tento bezpeˇcnostn´ı nedostatek by bylo vhodnéodstranit rozˇs´ıˇren´ımstávaj´ıc´ıkontroly. V rámci kontroly certifikát˚u by mohl proxy server nab´ıdnouti podporu CT.

18LibreSSL verze 3.0.2 19Mbed TLS verze 2.16.6 20Google Chrome verze 57.0.2987.133 (64 bit˚u) 21Firefox verze 75.0 (64 bit˚u) 22Safari iPadOS 13.4.1

70 5.4. Dalˇs´ımoˇznostirozvoje

5.4.3 Novéinformativn´ızprávy Proxy server jiˇznyn´ı informuje klienta pomoc´ı pˇripravených ˇsablono ˇradˇe problém˚uvzniklých bˇehemnavazován´ı spojen´ı s webovýmserverem. Jako pˇr´ıklad m˚uˇzemeuvéstzprávutypu No such domain“, pokud se nepodaˇr´ı ” naléztwebovýserver pro zadanou url adresu. S podporou zabezpeˇcených TLS spojen´ıovˇsempˇricház´ıˇradadalˇs´ıch specifiˇctˇejˇs´ıch chyb. Jedn´ımz vhodných rozˇs´ıˇren´ıje zaveden´ıvˇetˇs´ıgranularity pˇrizas´ılán´ıchybových zpráv,pˇr´ıpadnˇe doplnˇen´ıchybových stráneki pro chyby, o kterých dosud nen´ıklient infor- movánv˚ubec.

5.4.4 Naˇc´ıtán´ıkonfiguraˇcn´ıch soubor˚u Proxy server naˇc´ıtáˇradukonfiguraˇcn´ıch soubor˚u.Jedn´ım z nich je i soubor definuj´ıc´ı akce pro vybranéurl adresy. Tyto akce pak napˇr´ıklad akti- vuj´ıpˇreddefinovanéfiltry ˇcimˇen´ıparametry navázaných spojen´ı.Pro naˇc´ıtán´ı tˇechto akc´ıje v Privoxy pouˇzitapromˇennátypu long, kde jsou jednotlivébity tétopromˇennépˇriˇrazeny pˇr´ısluˇsnéakci. Vzhledem k omezenédélcepromˇenné typu long je nyn´ıpoˇcetakc´ızcela vyˇcerpána novéakce jiˇznelze pˇridávat. Z tohoto d˚uvodu by bylo vhodnéupravit naˇc´ıtán´ıakc´ız konfiguraˇcn´ıhosou- boru tak, aby nebyl jejich poˇcetnijak limitován.

5.4.5 Protokol HTTP/2.0 Nejnovˇejˇs´ıverze protokolu HTTP pˇrináˇs´ıˇraduzmˇenoproti pˇredchoz´ımverz´ım. Z tohoto d˚uvodu vyˇzadujepodpora HTTP/2.0 rozsáhlézmˇeny na stranˇeproxy serveru. Vzhledem k výhodámtohoto protokolu a jeho postupnému rozˇsiˇrován´ı v rámciwebovékomunikace by vˇsakbylo velmi vhodné,aby jedn´ımz dalˇs´ıch rozˇs´ıˇren´ıPrivoxy byla i podpora tohoto protokolu.

Z´avˇer

C´ılemtétodiplomovéprácebylo analyzovat vývoj ˇsifrovanéhoHTTP v aktuál- n´ıch webových prohl´ıˇzeˇc´ıch bˇehemposledn´ıtˇr´ılet, a to vˇcetnˇezmˇen v pouˇz´ıva- ných certifikátech. Souˇcást´ıanalýzyje i zhodnocen´ıtohoto vývoje z pohledu problematiky filtrován´ıHTTPS komunikace pomoc´ıproxy serveru. Na základˇe tétoanalýzypak mˇelbýtvytvoˇrennávrha implementace úprav proxy serveru Privoxy, kteréby modernizovaly pˇredchoz´ıimplementaci podpory protokolu TLS a zároveˇnumoˇznily aplikovat funkcionality Privoxy na veˇskerou pˇrenáˇsenouHTTPS komunikaci. Práceby rovnˇeˇzmˇelatestovat p˚uvodn´ıi modernizovanou verzi Privoxy v aktuáln´ıch webových prohl´ıˇzeˇc´ıch a diskutovat dosaˇzenévýsledky. Kapitola 1 popisuje nejd˚uleˇzitˇejˇs´ıaktualizace nejrozˇs´ıˇrenˇejˇs´ıch webových prohl´ıˇzeˇc˚ubˇehemposledn´ıch tˇrech let. D˚urazbyl kladen zejménana zmˇeny týkaj´ıc´ıse protokolu HTTP a certifikát˚u.Kapitola 2 se zabývádopady tˇechto aktualizac´ına certifikáty a proxy servery. Popsány jsou zde nutnézmˇeny re- flektuj´ıc´ıaktualizace webových prohl´ıˇzeˇc˚u.V kapitole 3 jsou navrˇzenanová rozˇs´ıˇren´ıa vylepˇsen´ınavazuj´ıc´ına pˇredchoz´ıverze Privoxy. Navrˇzenározˇs´ıˇren´ı mimo jinézavád´ıstrukturován´ızdrojovéhokódu,umoˇzˇnuj´ıfiltrován´ıveˇskeré pˇrenáˇsenékomunikace, zjednoduˇsuj´ıproces sestaven´ızdrojových kód˚u,urychluj´ızpracován´ıpoˇzadavk˚uklienta ˇcirozˇsiˇruj´ımoˇznostikonfigurace. Samotná implementace navrˇzených rozˇs´ıˇren´ı je detailnˇepopsánav kapitole 4. Kapi- tola 5 se vˇenuje testován´ıvýslednéhoˇreˇsen´ıa diskutuje dosaˇzenévýsledky v porovnán´ıs pˇredchoz´ımiverzemi Privoxy. Výslednýproxy server umoˇzˇnujeúspˇeˇsnˇefiltrovat veˇskerou pˇrenáˇsenou HTTPS komunikaci vˇcetnˇeHTTP hlaviˇcekpoˇzadavk˚ui odpovˇed´ıa to i pˇri pouˇzit´ı nadˇrazenéhoproxy serveru. D´ıky implementovanýmzmˇenámje na rozd´ılod pˇredchoz´ıch verz´ımoˇznévyuˇz´ıtveˇskeréfunkcionality proxy serveru i na komunikaci s modern´ımiwebovýmiprohl´ıˇzeˇci,aniˇzby byl uˇzivatel va- rovánpˇredpotencionáln´ımútokem na spojen´ı.Metoda opakovanéhopouˇz´ıván´ı a sd´ılen´ıvytvoˇrených spojen´ınav´ıcurychlila vyˇrizován´ıpoˇzadavk˚uklienta. Na testovanémnoˇzinˇewebových stránekbylo dosaˇzenozrychlen´ı33.5 % oproti

73 Zav´ erˇ pˇredchoz´ı verzi, kteráumoˇzˇnujepouze ˇcásteˇcnévyuˇzit´ı funkcionalit proxy serveru. Zavedena byla podpora zabezpeˇceného spojen´ıpro konfiguraˇcn´ıroz- hran´ıproxy serveru a rozˇs´ıˇreny byly i moˇznostikonfigurace a to jak bˇehem sestavován´ı binárn´ıho souboru Privoxy, tak pˇrijeho vyuˇz´ıván´ı. Uˇzivatel si novˇem˚uˇze definovat ˇsifrovou sadu pro libovolnýwebovýserver. Zároveˇnsi m˚uˇzevybrat mezi novˇepouˇzitoukryptografickou knihovnu LibreSSL, p˚uvodn´ı knihovnou Mbed TLS, nebo sestaven´ıbez jakékoli kryptografickéknihovny. Veˇskerénovéfunkcionality byly implementovány pro obˇetyto knihovny. D´ıky dalˇs´ımprovedenýmúpraváma zjednoduˇsen´ımzdrojovéhokódubyla odhalena a odstranˇenai jedna z chyb v p˚uvodn´ımzdrojovémkóduproxy serveru.

74 Literatura

[1] Svec,ˇ V.: Podpora pro filtrován´ı SSL/TLS komunikace v Privoxy. Ba- kaláˇrská práce, Ceskéˇ vysoké uˇcen´ı technické v Praze, Fakulta in- formaˇcn´ıch technologi´ı,Praha, kvˇeten2017. [2] Mozilla and individual contributors: Evolution of HTTP. [online], listopad 2019, [cit. 14.2.2020]. Dostupnéz: https://developer.mozilla.org/en- US/docs/Web/HTTP/Basics_of_HTTP/Evolution_of_HTTP [3] Satrapa, P.: Jak funguje novýprotokol HTTP/2. [online], bˇrezen2015, [cit. 9.3.2020]. Dostupnéz: https://www.root.cz/clanky/jak-funguje- novy-protokol-http-2/ [4] Usage statistics of HTTP/2 for websites. [online], únor 2020, [cit. 10.2.2020]. Dostupnéz: https://w3techs.com/technologies/details/ ce-http2 [5] Böck, J.: Provable secure RSA Signatures and their Implemen- tation. [online], kvˇeten 2011, [cit. 14.2.2020]. Dostupné z: https:// rsapss.hboeck.de/rsapss.pdf [6] Rescorla, E.: The Transport Layer Security (TLS) Protocol Ver- sion 1.3. [online], srpen 2018, [cit. 14.2.2020]. Dostupnéz: https:// tools.ietf.org/html/rfc8446 [7] Chrome Platform Status. [online], [cit. 14.2.2020]. Dostupnéz: https: //www.chromestatus.com/features [8] Rescorla, E.: The Transport Layer Security (TLS) Protocol Ver- sion 1.2. [online], srpen 2008, [cit. 28.2.2020]. Dostupnéz: https:// tools.ietf.org/html/rfc5246 [9] Stevens, M.; Bursztein, E.; aj.: The first collision for full SHA-1. [online], 2017, [cit. 15.2.2020]. Dostupnéz: https://eprint.iacr.org/2017/ 190.pdf

75 Literatura

[10] Krasnov, V.: It takes two to ChaCha (Poly). [online], duben 2016, [cit. 29.2.2020]. Dostupn´ez: https://blog.cloudflare.com/it-takes-two- to-chacha-poly/

[11] Mozilla and individual contributors: Set-Cookie. [online], bˇrezen2020, [cit. 12.3.2020]. Dostupn´ez: https://developer.mozilla.org/en-US/ docs/Web/HTTP/Headers/Set-Cookie

[12] Rescorla, E.: HTTP Over TLS. [online], kvˇeten2000, [cit. 20.2.2020]. Dostupn´ez: https://tools.ietf.org/html/rfc2818

[13] Makarov, L.: Say goodbye to URLs with embedded credentials. [online], duben 2017, [cit. 18.3.2020]. Dostupn´ez: https://medium.com/@lmakarov/ say-goodbye-to-urls-with-embedded-credentials-b051f6c7b6a3

[14] What is Certiﬁcate Transparency. [online], [cit. 14.2.2020]. Dostupn´ez: https://www.certificate-transparency.org/what-is-ct

[15] Laurie, B.; Langley, A.; Kasper, E.: Certiﬁcate Transparency. [online], ˇcerven 2013, [cit. 22.2.2020]. Dostupn´e z: https://tools.ietf.org/ html/rfc6962

[16] Sleevi, R.: Certiﬁcate Transparency Policy. [online], duben 2017, [cit. 16.3.2020]. Dostupn´ez: https://groups.google.com/a/chromium.org/ forum/#!msg/ct-policy/sz_3W_xKBNY/6jq2ghJXBAAJ

[17] Mozilla and individual contributors: Using the Notifications API. [online], únor 2020, [cit. 24.2.2020]. Dostupné z: https: //developer.mozilla.org/en-US/docs/Web/API/Notifications_ API/Using_the_Notifications_API

[18] McGrew, D. A.: An Interface and Algorithms for Authenticated En- cryption. [online], leden 2008, [cit. 29.2.2020]. Dostupn´e z: https:// tools.ietf.org/html/rfc5116

[19] Ghedini, A.; Vasiliev, V.: Transport Layer Security (TLS) Certifi- cate Compression draft-ietf-tls-certificate-compression-03. [online], duben 2018, [cit. 2.3.2020]. Dostupnéz: https://tools.ietf.org/html/draft- ietf-tls-certificate-compression-03

[20] Kingston, J.: Restricting AppCache to Secure Contexts. [online], ´unor 2018, [cit. 14.2.2020]. Dostupn´e z: https://blog.mozilla.org/ security/2018/02/12/restricting-appcache-secure-contexts/

[21] Fielding, R. T.; Reschke, J. F.: Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content. [online], ˇcerven 2014, [cit. 21.2.2020]. Dostupn´e z: https://tools.ietf.org/html/rfc7231

76 Literatura

[22] Popov, A.; Nystroem, M.; Balfanz, D.; aj.: The Token Binding Protocol Version 1.0. [online], ˇr´ıjen 2018, [cit. 2.3.2020]. Dostupn´ez: https:// tools.ietf.org/html/rfc8471

[23] Popov, A.; Nystroem, M.; Balfanz, D.; aj.: Token Binding over HTTP. [online], ˇr´ıjen2018, [cit. 3.3.2020]. Dostupn´ez: https://tools.ietf.org/ html/rfc8473

[24] Harper, N.: Intent to Remove: Token Binding. [online], [cit. 24.4.2020]. Dostupn´e z: https://groups.google.com/a/chromium.org/forum/ #!topic/blink-dev/OkdLUyYmY1E/discussion

[25] O’Brien, D.; Sleevi, R.; Whalley, A.; aj.: Chrome’s Plan to Dis- trust Symantec Certificates. [online], záˇr´ı 2017, [cit. 15.3.2020]. Do- stupnéz: https://security.googleblog.com/2017/09/chromes-plan- to-distrust-symantec.html

[26] Evans, C.; Palmer, C.; Sleevi, R.: Public Key Pinning Extension for HTTP. [online], duben 2015, [cit. 3.3.2020]. Dostupn´e z: https:// tools.ietf.org/html/rfc7469

[27] Yasskin, J.: Web Packaging draft-yasskin-dispatch-web-packaging-00. [online], ˇcerven 2017, [cit. 4.3.2020]. Dostupn´ez: https://tools.ietf.org/ id/draft-yasskin-dispatch-web-packaging-00.html

[28] Yasskin, J.: Mixed Content. [online], srpen 2016, [cit. 6.3.2020]. Dostupn´e z: https://www.w3.org/TR/mixed-content/

[29] Merewood, R.: SameSite cookies explained. [online], kvˇeten 2019, [cit. 6.3.2020]. Dostupn´e z: https://web.dev/samesite-cookies- explained/

[30] Dierks, T.; Rescorla, E.: The Transport Layer Security (TLS) Protocol Version 1.1. [online], duben 2006, [cit. 8.3.2020]. Dostupn´ez: https: //tools.ietf.org/html/rfc4346

[31] Thomson, M.: Removing Old Versions of TLS. [online], ˇr´ıjen2018, [cit. 7.3.2020]. Dostupn´ez: https://blog.mozilla.org/security/2018/10/ 15/removing-old-versions-of-tls/

[32] Smotrankov, A.: How does TLS 1.3 protect against downgrade attacks? [online], [cit. 9.3.2020]. Dostupn´ez: https://blog.gypsyengineer.com/ en/security/how-does-tls-1-3-protect-against-downgrade- attacks.html

[33] Barnes, R.: Deprecating Non-Secure HTTP. [online], duben 2015, [cit. 11.3.2020]. Dostupn´e z: https://blog.mozilla.org/security/2015/ 04/30/deprecating-non-secure-http/

77 Literatura

[34] Mozilla Developer Network and individual contributors: PKI:CT. [online], prosinec 2014, [cit. 15.3.2020]. Dostupn´ez: https://wiki.mozilla.org/ PKI:CT

[35] MDN contributors: Certiﬁcate Transparency. [online], ˇcervence 2019, [cit. 17.3.2020]. Dostupn´ez: https://developer.mozilla.org/en-US/docs/ Web/Security/Certificate_Transparency

[36] Privoxy: Privoxy Frequently Asked Questions. [online], [cit. 21.3.2020]. Dostupn´ez: https://www.privoxy.org/faq/misc.html

[37] Morton, B.: What’s the Difference Between a Public and Private Trust Certificate? [online], bˇrezen 2019, [cit. 22.3.2020]. Dostupné z: https://www.entrustdatacard.com/blog/2019/march/difference- between-a-public-and-private-trust-certificate

[38] Campbell, B.: HTTPS Token Binding with TLS Terminating Reverse Proxies. [online], ˇcerven 2018, [cit. 23.3.2020]. Dostupn´e z: https:// tools.ietf.org/id/draft-ietf-tokbind-ttrp-05.html

[39] MDN contributors: HTTP Public Key Pinning (HPKP). [online], ´unor 2020, [cit. 25.3.2020]. Dostupn´ez: https://developer.mozilla.org/en- US/docs/Web/HTTP/Public_Key_Pinning

[40] Munshi, A.: How HTTP proxies read TLS encrypted traﬃc from browsers ? [online], ˇr´ıjen 2017, [cit. 25.3.2020]. Dostupn´e z: https://medium.com/@ethicalevil/how-http-proxies-read-tls- traffic-from-browsers-f15364e91226

[41] Privoxy: Privoxy 3.0.28 User Manual. [online], [cit. 4.2.2020]. Dostupn´e z: https://www.privoxy.org/user-manual/

[42] Privoxy: Announcing Privoxy 3.0.28 stable. [online], [cit. 4.4.2020]. Do- stupn´ez: https://www.privoxy.org/announce.txt

[43] Stevens, R.: Whats the diﬀerence between select() and poll()? [online], [cit. 4.4.2020]. Dostupn´ez: http://www.unixguide.net/network/ socketfaq/2.14.shtml

78 Prˇ´ıloha A

Seznam pouˇzit´ychzkratek

AEAD Authenticated Encryption with Additional Data

ALPN Application-Layer Protocol Negotiation

CA Certiﬁkaˇcn´ıautorita

CRL Certiﬁcate revocation list

CSRF Cross-site request forgery

CT Certiﬁcate Transparency

ECDSA The Elliptic Curve Digital Signature Algorithm

EKM Exported Keying Material

HPKP HTTP Public Key Pinning

HSTS HTTP Strict Transport Security

HTTP Hyper–Text Transfer Protocol

HTTPS Hyper–Text Transfer Protocol Secure

IP Internet Protocol

MAC Message Authentication Code

MITM Man In The Middle

NIST National Institute of Standards and Technology

NTLM NT LAN Manager

OAEP Optimal Asymmetric Encryption Padding

PDF Portable Document Format

79 A. Seznam pouˇzitych´ zkratek

PKI Public Key Infrastructure

PSK Pre-shared key

PSS Probabilistic Signature Scheme

RFC Request for Comments

RTT Round-trip time

SCT Signed Certiﬁcate Timestamp

SPKI Subject Public Key Information

SSL Secure Sockets Layer

TCP Transmission Control Protocol

TLS Transport Layer Security

TPM Trusted Platform Module

TTRP TLS Terminating Reverse Proxy

URI Uniform Resource Identiﬁer

URL Uniform Resource Locator

WWW World Wide Web

XSS Cross-site scripting

80 Prˇ´ıloha B

Uˇzivatelsk´apˇr´ıruˇcka

Pro instalaci a spuˇstˇen´ıproxy serveru Privoxy vˇcetnˇenovˇeimplementovaných rozˇs´ıˇren´ımus´ıuˇzivatel pˇripravit urˇciténástroje a doplˇnky. Tato pˇr´ılohastruˇcnˇe popisuje postup pro instalaci Privoxy a jeho následnévyuˇzit´ı ve webovém prohl´ıˇzeˇci.

B.1 Poˇzadavky pro instalaci

Pro sestaven´ı zdrojovéhokóduproxy serveru Privoxy vˇcetnˇeimplemento- vaných rozˇs´ıˇren´ı jsou potˇrebanástroje autoconf, GNU make a kompilátor jazyka C. Zároveˇnje potˇrebazvolit jednu ze dvou podporovaných kryptogra- fických knihoven. Tedy bud’ knihovnu LibreSSL nebo Mbed TLS. Zkompilo- vanýzdrojovýkódknihovny je nezbytnéum´ıstitdo sloˇzek libressl respektive mbedtls v koˇrenovéadresáˇriproxy serveru. Aby mohl proxy server filtrovat HTTPS komunikaci, je nezbytnépˇripravit i vlastn´ıCA (vˇcetnˇejej´ıhoveˇrejnéhoa soukroméhokl´ıˇce),soubor obsahuj´ıc´ı d˚uvˇeryhodnéCA a adresáˇrovou strukturu, ve kterém˚uˇzeproxy server ukládat vytvoˇrenécertifikáty. Pˇr´ısluˇsnéparametry je moˇznénastavit v konfiguraˇcn´ım souboru config.

B.2 Instalace

Pro sestaven´ızdrojovéhokóduproxy serveru vˇcetnˇeimplementovaných rozˇs´ı- ˇren´ı byly upraveny pˇr´ısluˇsnékonfiguraˇcn´ı soubory. Sestaven´ı projektu bylo úspˇeˇsnˇetestovános pouˇzit´ımnástroj˚uCygwin64 Terminal, Windows Subsys- tem for Linux (WSL) – Ubuntu 18.04 LTS a v termináluoperaˇcn´ıhosystému Linux Mint v19.3 x86. Pokud uˇzivatel pouˇz´ıvájeden z tˇechto nástroj˚u,staˇc´ıpo- moc´ınásleduj´ıc´ıch pˇr´ıkaz˚upˇripravit soubor makefile a s jeho pomoc´ınáslednˇe sestavit binárn´ısoubor:

81 B. Uˇzivatelska´ prˇ´ıruckaˇ

autoheader&& autoconf&&./configure make

Vznikne tak binárn´ısoubor ke spuˇstˇen´ıproxy serveru Privoxy. Konkrétn´ı kryptografickou knihovnu lze zvolit pomoc´ıparametr˚u --disable-libressl nebo --enable-mbedtls u configure skriptu. Testovánobylo i sestaven´ızdrojovéhokódupomoc´ınástroje MingW. Pro kompilaci knihovny LibreSSL pomoc´ıMingW lze pouˇz´ıttyto pˇr´ıkazy:

CC=i686-w64-mingw32-gcc CPPFLAGS=-D__MINGW_USE_VC2005_COMPAT ./configure--host=i686-w64-mingw32 make

K vygernerov´an´ı makefile pro sestaven´ı Privoxy pak slouˇz´ı n´asleduj´ıc´ı pˇr´ıkazy:

autoheader&& autoconf ./configure--host=i686-w64-mingw32--enable-mingw32 --disable-pthread

Následnˇeje nezbytnéve vygenerovanémsouboru GNUmakefile doplnit definici SSL LIBRE LIB a SSL MBEDTLS LIB o pˇrep´ınaˇc -lws2 32“. Potéjiˇzlze ” úspˇeˇsnˇepouˇz´ıtpˇr´ıkaz make k sestaven´ıbinárn´ıhosouboru.

B.3 Nastaven´ıwebov´ehoprohl´ıˇzeˇce

Pro vyuˇzit´ıproxy serveru webovýmprohl´ıˇzeˇcemje jeˇstˇenezbytnénastavit ip adresu a port na kterémproxy server naslouchá.To je moˇznév nastaven´ıch webovéhoprohl´ıˇzeˇce,pˇr´ıpadnˇev nastaven´ıch operaˇcn´ıhosystému. Pˇr´ısluˇsné parametry je rovnˇeˇzmoˇznéupravit v konfiguraˇcn´ımsouboru config.

B.4 Konﬁgurace proxy serveru

Moˇznostikonfigurace proxy serveru byly v tétoprácirozˇs´ıˇreny o definici vlastn´ı ˇsifrovésady pro vybranéwebovéservery. Uˇzivatel m˚uˇzetuto sadu definovat pomoc´ıkl´ıˇcovéhoslova set-cipher-list v souboru user.action. Parametr tohoto kl´ıˇcovéhoslova definuje povolenou ˇsifrovou sadu a jeho struktura se m˚uˇzeliˇsitv závislostina pouˇzitékryptografickéknihovnˇe.

• Knihovna LibreSSL Povolen´ıvˇsech ˇsifrových sad, kterénevyuˇz´ıvaj´ıvybranéalgoritmy:

{+set-cipher-list{ALL:!aNULL:!eNULL:!MD5:!RC4}} url{www.privoxy.org}

82 B.4. Konﬁgurace proxy serveru

• Knihovna Mbed TLS Povolen´ıpouze jedin´eˇsifrov´esady:

{+set-cipher-list{TLS-RSA-PSK-WITH-RC4-128-SHA}} www.privoxy.org

Prˇ´ıloha C

Obsah pˇriloˇzen´ehoCD

readme.txt...... Struˇcnýpopis obsahu CD builds original privoxy 3.0.28 win32.zip ...... Privoxy 3.0.28 implementation libressl win32.tar.gz..Implementace s LibreSSL source files basic configuration files.tar.gz ...... Konfiguraˇcn´ısoubory patch files.tar.gz...... Patch soubory git repository export.tar.gz...... Export Git repozitáˇre implementation.tar.gz ...... Zdrojovékódyimplementace thesis.tar.gz...... Zdrojováforma práceve formátuLATEX original source files mbedtls-2.16.6-gpl.tgz ...... Knihovna Mbed TLS libressl-3.1.1.tar.gz...... Knihovna LibreSSL privoxy-3.0.26-stable-src.tar.gz ...... Privoxy 3.0.26 privoxy-3.0.28-stable-src.tar.gz ...... Privoxy 3.0.28 text DP Vaclav Svec 2020.pdf...... Text práceve formátuPDF