Модуль crypto-gost-tls13 содержит реализацию TLS 1.3 (RFC 8446 + RFC 9367) с ГОСТ-криптографией. Данный релиз является начальной версией библиотеки и готов для внутреннего использования.
Особенностью библиотеки является реализация на чистой Java. Все криптографические операции выполняются встроенными средствами библиотеки — без внешних зависимостей.
Это в своем роде одна из первых открытых реализаций TLS 1.3 с ГОСТ на Java, поэтому interop-тестирование выполнено в минимально доступном объеме.
Ниже приведены возможности библиотеки.
- Протоколы:
- Handshake: полный (client/server), сокращённый (PSK), взаимный (mTLS).
- ALPN (RFC 7301) — согласование протокола прикладного уровня (HTTP/2, HTTP/1.1).
- SNI (RFC 6066) — указание имени сервера для multi-tenant развёртываний.
- KeyUpdate (RFC 8446 §4.6.3) — обновление ключей шифрования трафика.
- Cipher suites: TLS_KUZNYECHIK_MGM_STREEBOG_256_L/S.
- ECDHE: CryptoPro-A (256-bit), CryptoPro-B (512-bit)
- Per-record TLSTREE re-keying — смена ключа шифрования на каждую TLS-запись.
- Фрагментация и сборка рукопожатий и записей (RFC 8446 §5.1).
- Session resumption: PSK через NewSessionTicket (PskStore in-memory, single-use).
- OCSP stapling: сервер прикладывает OCSP-ответ к сертификату.
- Post-handshake messages: NewSessionTicket (сохранение для PSK).
- Криптография:
- Key schedule: HKDF-Streebog (RFC 5869) по схеме TLS 1.3 (RFC 8446 §7.1).
- Защита записей: MGM-AEAD (Kuznyechik) с nonce по RFC 8446 §5.3.
- Эфемерные ключи затираются после использования.
- Сертификаты:
- Парсинг X.509v3 (GOST R 34.10-2012) — встроенный DER-парсер.
- Валидация цепочки: подписи, DN (issuer → subject), Basic Constraints, Key Usage, Extended Key * Usage (serverAuth / clientAuth), pathLen.
- Проверка hostname: dNSName + iPAddress (RFC 6125).
- Верификация OCSP-ответов (RFC 6960).
4.Транспорт:
- TlsTransport — интерфейс.
- InMemoryTlsTransport — для тестов и однопроцессных сценариев (in-memory очередь).
- SocketTlsTransport — blocking I/O через java.net.Socket.
- ChannelTlsTransport — NIO SocketChannel-based transport (blocking mode, interruptible).
- Пошаговый handshake:
- TlsHandshakeEngine — state machine для handshake (отвязан от I/O). Используется TlsSession как оркестратор; пригоден для интеграции с JSSE (SSLEngine).
- ByteBuffer API:
- TlsRecord.protect/unprotect — ByteBuffer-перегрузки для zero-copy интеграции с NIO. Загрузка ключей:
- Pkcs12Loader — чтение PFX (PKCS#12) с PBKDF2-HMAC-SHA256 + AES-256-CBC.
- Завершение сессии:
- close_notify — корректное закрытие по протоколу.
- Затирание ключевого материала при закрытии или ошибке.
- Обработка alert: fatal — немедленное закрытие + затирание.
- Безопасность реализации:
- Constant-time сравнения для verify_data и PSK binders (защита от timing attacks)
- Затирание ключевого материала: destroy() на всех объектах с ключами (TlsKeySchedule, TlsTrafficKeys, TlsRecord, HandshakeContext), при close, fatal alert, exception в handshake
- Защита от DoS: лимиты на длину цепочки сертификатов (10), post-handshake messages, размер записей.
- MGM nonce: MSB первого байта очищается для ICN (RFC 9058 §3, RFC 9367 §3.3).
- ECDHE-приватный ключ и транскрипт handshake уничтожаются после завершения handshake.
- HMAC-ключевой материал затирается после использования (HkdfStreebog, KdfGostR3411_2012_256).
- Ограничения:
- Только resumption PSK (0-RTT и external PSK не поддерживаются).
- Только psk_dhe_ke (pure PSK без ECDHE не поддерживается).
- HelloRetryRequest (RFC 8446 §4.1.4) не поддерживается — используется только одна named group (GC256A по умолчанию).
- Только ГОСТ (non-GOST cipher suites не поддерживаются).
- Тестирование:
- Библиотека содержит Known Answer Tests из RFC 9367 Appendix A.1 (L и S варианты) — полный key schedule, TLSTREE, AEAD, ECDHE. И проходит полный спектр KAT тестов.
- 4 интеграционных теста (self-interop) через реальные TCP-сокеты.
- Фаззинг-тесты для парсеров: TlsMessageParser (8 методов), TlsDerParser (3 метода), TlsOcspVerifier (1 метод), для обеспечения безопасности и снижения вектора атак на парсеры.
- Архитектурные решения:
- TlsHandshakeEngine — state machine, отвязанная от I/O (для будущего модуля JSSE).
- ByteBuffer-перегрузки TlsRecord.protect/unprotect для NIO/JSSE.
- TLSTREE кэш (TlsTreeCache) — пересчёт только изменившихся уровней (RFC 9367).
- InMemoryTlsTransport.Pair — двунаправленная пара для тестов и однопроцессного взаимодействия.
Библиотека распространяется под свободной лицензией.
>>> Состоялся начальный релиз протокола TLS 1.3 на Java с ГОСТ алгоритмами в соответствии с RFC 9367
