في بداية العام في تقرير عن مشاكل الإنترنت وإمكانية الوصول لعامي 2018-2019 أن انتشار TLS 1.3 أمر لا مفر منه. منذ بعض الوقت، قمنا بأنفسنا بنشر الإصدار 1.3 من بروتوكول Transport Layer Security، وبعد جمع البيانات وتحليلها، أصبحنا أخيرًا على استعداد للحديث عن ميزات هذا الانتقال.
رؤساء مجموعة عمل IETF TLS :
"باختصار، يجب أن يوفر TLS 1.3 الأساس لإنترنت أكثر أمانًا وكفاءة على مدار العشرين عامًا القادمة."
تطوير استغرق 10 سنوات طويلة. نحن في Qrator Labs، جنبًا إلى جنب مع بقية الصناعة، تابعنا عن كثب عملية إنشاء البروتوكول بدءًا من المسودة الأولية. خلال هذا الوقت، كان من الضروري كتابة 28 نسخة متتالية من المسودة من أجل رؤية ضوء بروتوكول متوازن وسهل النشر في عام 2019. إن دعم السوق النشط لـ TLS 1.3 واضح بالفعل: تنفيذ بروتوكول أمان مثبت وموثوق يلبي احتياجات العصر.
وفقًا لإريك ريسكورلا (مدير التكنولوجيا في Firefox والمؤلف الوحيد لـ TLS 1.3) :
وقال: "هذا بديل كامل لـ TLS 1.2، باستخدام نفس المفاتيح والشهادات، بحيث يمكن للعميل والخادم التواصل تلقائيًا عبر TLS 1.3 إذا كان كلاهما يدعمه". "يوجد بالفعل دعم جيد على مستوى المكتبة، ويقوم Chrome وFirefox بتمكين TLS 1.3 افتراضيًا."
بالتوازي، ينتهي TLS في مجموعة عمل IETF ، معلنا أن الإصدارات الأقدم من TLS (باستثناء TLS 1.2 فقط) قديمة وغير قابلة للاستخدام. على الأرجح، سيتم إصدار RFC النهائي قبل نهاية الصيف. هذه إشارة أخرى لصناعة تكنولوجيا المعلومات: لا ينبغي تأخير تحديث بروتوكولات التشفير.
تتوفر قائمة بتطبيقات TLS 1.3 الحالية على Github لأي شخص يبحث عن المكتبة الأكثر ملاءمة: . ومن الواضح أن اعتماد ودعم البروتوكول المحدث سوف يتقدمان بسرعة – وهو ما يحدث بالفعل. لقد انتشر فهم مدى أهمية التشفير في العالم الحديث على نطاق واسع.
ما الذي تغير منذ TLS 1.2؟
من :
"كيف يجعل TLS 1.3 العالم مكانًا أفضل؟
يتضمن TLS 1.3 بعض المزايا التقنية — مثل عملية المصافحة المبسطة لإنشاء اتصال آمن — كما يسمح للعملاء باستئناف الجلسات مع الخوادم بسرعة أكبر. تهدف هذه الإجراءات إلى تقليل زمن انتقال إعداد الاتصال وفشل الاتصال على الروابط الضعيفة، والتي تُستخدم غالبًا كمبرر لتوفير اتصالات HTTP غير المشفرة فقط.
وبنفس القدر من الأهمية، فإنه يزيل دعم العديد من خوارزميات التشفير والتجزئة القديمة وغير الآمنة التي لا يزال مسموحًا (على الرغم من عدم التوصية بها) للاستخدام مع الإصدارات السابقة من TLS، بما في ذلك SHA-1 وMD5 وDES و3DES وAES-CBC. إضافة دعم لمجموعات التشفير الجديدة. تتضمن التحسينات الأخرى المزيد من العناصر المشفرة للمصافحة (على سبيل المثال، تبادل معلومات الشهادة مشفر الآن) لتقليل كمية الأدلة التي قد تؤدي إلى التنصت المحتمل على حركة المرور، بالإضافة إلى تحسينات لإعادة توجيه السرية عند استخدام بعض أوضاع تبادل المفاتيح بحيث يمكن الاتصال يجب أن تظل آمنة في جميع الأوقات حتى لو تم اختراق الخوارزميات المستخدمة لتشفيرها في المستقبل.
تطوير البروتوكولات الحديثة و DDoS
كما كنت قد قرأت بالفعل، أثناء تطوير البروتوكول ، في مجموعة عمل IETF TLS . أصبح من الواضح الآن أن المؤسسات الفردية (بما في ذلك المؤسسات المالية) سيتعين عليها تغيير الطريقة التي تؤمن بها شبكتها الخاصة من أجل استيعاب البروتوكول المدمج الآن. .
وترد أسباب طلب ذلك في الوثيقة، . تشير الورقة المكونة من 20 صفحة إلى عدة أمثلة حيث قد ترغب إحدى المؤسسات في فك تشفير حركة المرور خارج النطاق (والتي لا تسمح بها PFS) لأغراض المراقبة أو الامتثال أو طبقة التطبيق (L7) DDoS.
على الرغم من أننا بالتأكيد لسنا مستعدين للتكهن بالمتطلبات التنظيمية، فإن منتج التخفيف من هجمات DDoS للتطبيقات الخاصة بنا (بما في ذلك الحل) تم إنشاء معلومات حساسة و/أو سرية) في عام 2012 مع أخذ PFS في الاعتبار، لذلك لم يحتاج عملاؤنا وشركاؤنا إلى إجراء أي تغييرات على البنية التحتية الخاصة بهم بعد تحديث إصدار TLS على جانب الخادم.
وأيضًا، منذ التنفيذ، لم يتم تحديد أي مشاكل تتعلق بتشفير النقل. إنه رسمي: TLS 1.3 جاهز للإنتاج.
ومع ذلك، لا تزال هناك مشكلة مرتبطة بتطوير بروتوكولات الجيل التالي. تكمن المشكلة في أن تقدم البروتوكول في IETF يعتمد عادةً بشكل كبير على البحث الأكاديمي، كما أن حالة البحث الأكاديمي في مجال التخفيف من هجمات حجب الخدمة الموزعة سيئة للغاية.
لذلك، سيكون مثالا جيدا تنص مسودة IETF "قابلية إدارة QUIC"، وهي جزء من مجموعة بروتوكولات QUIC القادمة، على أن "الطرق الحديثة لاكتشاف وتخفيف [هجمات DDoS] تتضمن عادةً قياسًا سلبيًا باستخدام بيانات تدفق الشبكة."
وهذا الأخير، في الواقع، نادر جدًا في بيئات المؤسسات الحقيقية (وينطبق جزئيًا فقط على مزودي خدمات الإنترنت)، وعلى أي حال من غير المرجح أن يكون "حالة عامة" في العالم الحقيقي - ولكنه يظهر باستمرار في المنشورات العلمية، وعادةً ما يكون غير مدعوم. من خلال اختبار النطاق الكامل لهجمات DDoS المحتملة، بما في ذلك الهجمات على مستوى التطبيق. من الواضح أنه لا يمكن اكتشاف الأخير، بسبب نشر TLS في جميع أنحاء العالم على الأقل، عن طريق القياس السلبي لحزم الشبكة وتدفقاتها.
وبالمثل، لا نعرف حتى الآن كيف سيتكيف بائعو أجهزة تخفيف هجمات DDoS مع واقع TLS 1.3. ونظرًا للتعقيد الفني لدعم بروتوكول خارج النطاق، فقد تستغرق الترقية بعض الوقت.
يعد تحديد الأهداف الصحيحة لتوجيه البحث تحديًا كبيرًا لمقدمي خدمات التخفيف من هجمات DDoS. أحد المجالات التي يمكن أن يبدأ فيها التطوير هو في IRTF، حيث يمكن للباحثين التعاون مع الصناعة لتحسين معرفتهم بالصناعة الصعبة واستكشاف طرق جديدة للبحث. كما نرحب ترحيبًا حارًا بجميع الباحثين، في حالة وجودهم - يمكن الاتصال بنا لطرح الأسئلة أو الاقتراحات المتعلقة بأبحاث DDoS أو مجموعة أبحاث SMART على
المصدر: www.habr.com