后量子TLS就绪状态的可观测性:一种多层面证据框架
在传输层安全协议(TLS)的后量子迁移过程中,需要基于证据感知的测量方法,区分会话协商、端点能力、证书链证据以及缺失观测的来源。这种区分在TLS 1.3加密、会话恢复、双向TLS、追踪截断、数据分片与合并、主动证书检索以及时间漂移等场景下至关重要。该团队提出了一种面向后量子TLS可观测性的多层面框架。该框架将被动会话证据、主动探测、证书链证据和注册表知识分离,并将其映射到会话行为、密钥建立、端点能力、认证、生命周期、可观测性和策略等测量平面上。该团队将其实现为一个可复现的构件,包含模式化观测与结果、版本化注册表、可审计推理规则、压力合约和基线适配器。该团队在29个受控场景中对该框架进行了评估,涵盖TLS 1.2和TLS 1.3、经典与混合密钥建立、双向TLS、会话恢复、HelloRetryRequest、截断、分片与合并、时间漂移、IPv6以及证书链深度变化。被动证据可闭合会话级平面,主动探测可建立能力下限,多层面证据可在保持必要的不确定性和矛盾性的同时,闭合完整的测量对象。与一个继承的TLS量子漏洞分析器相比,该基线在29次运行中检测到2次,在23次TLS 1.3运行中检测到0次。在一项针对1000个目标和2000次新探测的分层公开活动中,该框架完成了1971次握手,收集了1368个证书链构件,确认了310个目标的混合能力,并识别出310个端点能力超过任何单个经典会话视图所揭示能力的案例。
