为什么TLS 1.3禁止PGP身份验证？

#1 楼

PGP证书似乎存在可由用户更改的问题。此外，还有1.2的扩展名与1.3的扩展名不兼容（如果它们首先是安全的）：

我在Ilari Liusvaara的TLS邮件列表中找到了此扩展名：


糟糕，情况比我想象的要糟糕得多。

基本上，所有三个人都假定他们拥有对证书消息的完全控制权，最糟糕的是OpenPGP，它修改了它以更复杂的方式
（它不再是一个纯粹的元素或列表）。

即使使用RPK，它进行了最不严重的修改，仍然
修改了结构暗示中不明显的方式
wrt TLS 1.3。

哦，事实证明我在TLS 1.2中实现了RPK是错误的，假设
它实际上并没有修改证书消息格式。哪个
证明是错误的假设（我发现
格式更改后解决了这个问题）。

然后证书类型当前不适用于客户端
证书，即使您知道这些证书如何映射到“证书”消息也是如此。

Client_certificate_type和server_certificate类型不是唯一的问题扩展wrt TLS 1.3。扩展名表也有
（全部标记为允许，我添加了简短的理由，我认为这些是有问题的）：


client_certificate_url：替换证书消息。硬编码SHA-1（现已证明已损坏）。
user_mapping：具有额外的握手消息。
cert_type：CCertT和SCertT的所有问题，以及将它们修复为相同的问题。

使用user_mapping时，应用与status_request中类似的技巧并不是完全简单的
，因为在Client
中回答的扩展名在CertificateRequest中提供。好的，除了
扩展不是ClientHello扩展的答案，而
扩展程序假设客户端和服务器扩展程序之间的报价-答案关系。可能需要一些特殊包装。

...


来源：https://www.ietf.org/mail-archive/web/tls/ current / msg22576.html

在线程中的其他消息中，他们谈论禁用OpenPGP，直到有人提出单独的RFC中的扩展名为止。因此，这似乎不是恶意的，只是出于兼容性方面的考虑。换句话说：就目前而言，它看起来很破损-直到有人设法修复它。

#2 楼

除了纯粹的机械元素，Maarten的出色回答（我们应该如何在新的数据结构中发送这些证书）还涉及与OpenPGP也相关的TLS 1.3的更改。

在以前的TLS中可能的（通常的）版本可以协商一种密钥交换方法，在该方法中，用于创建会话密钥的“主密钥”从客户端发送到服务器进行加密。这看起来很像PGP的加密邮件消息，这是一个简单的混合系统，其中对批量数据进行对称加密，然后使用公共密钥加密技术仅对对称密钥进行加密。这意味着服务器身份验证是隐式发生的，因为只有可靠的服务器才能解密消息。

在TLS 1.3中，仅允许DH密钥交换。临时对称密钥将由参与者随机选择，并立即用于加密连接。身份验证始终在此加密通道上显式进行。在显示证书（与TLS 1.2和更早版本不同，现在通过加密通道显示）后，对等方签署了到目前为止的步骤记录，从而证明他们具有与证书相对应的私钥，并且见证了与您完全相同的设置。 br />
因此，这将密钥使用从加密更改为签名，这非常重要。肯定（出于某种原因）想要使用OpenPGP密钥和证书进行TLS的任何人都应该进行全新的考虑。