DTLS1.3でのクッキー交換スキップオプション

wolfSSL5.6.6では、DTLS1.3サーバーがセッション再開時にクッキー交換をスキップするオプションを導入しています。 クッキー交換は、DTLS1.3セッションの再開中に使用されるセキュリティメカニズムです。 クライアントが以前のDTLS1.3セッションを再開したい場合、サーバーにセッションチケットが送信され、サーバーはクライアントに「クッキー」を発行して応答することがあります。このクッキーはチャレンジ/レスポンスメカニズムとして機能し、クライアントは再開の試行中にこのクッキーを提示する必要があります。 この交換の目的は、クライアントが見かけ上のネットワーク アドレスへの到達可能性を実証することです。 場合によっては、クライアントが有効なチケットまたは事前共有鍵(PSK)を提示した場合、クッキー交換をスキップすることを選択できます。

クッキー交換を伴わないでDTLS1.3セッションの再開を行うには:

  • wolfSSLをWOLFSSL_DTLS13_NO_HRR_ON_RESUMEマクロを定義してビルドする
    • configure スクリプトの場合はCPPFLAGS=”-DWOLFSSL_DTLS13_NO_HRR_ON_RESUME”を追加
    • user_settings.h使用の場合は”#define WOLFSSL_DTLS13_NO_HRR_ON_RESUME” を追加
  • WOLFSSLオブジェクトを指定して、wolfSSL_dtls13_no_hrr_on_resume(ssl, 1)関数を呼び出す
  • 通常の接続と同じように処理を続ける

ご質問がある方はinfo@wolfSSL.jp までご連絡ください。

原文:https://www.wolfssl.com/skipping-the-cookie-exchange-in-dtls-1-3/