İlin əvvəlində 2018-2019-cu illər üçün İnternet problemləri və əlçatanlıq hesabatında TLS 1.3-ün yayılması qaçılmazdır. Bir müddət əvvəl biz özümüz Nəqliyyat Layeri Təhlükəsizliyi protokolunun 1.3 versiyasını tətbiq etdik və məlumatları toplayıb təhlil etdikdən sonra nəhayət bu keçidin xüsusiyyətləri haqqında danışmağa hazırıq.
IETF TLS İşçi Qrupunun Sədrləri :
"Qısacası, TLS 1.3 növbəti 20 il üçün daha təhlükəsiz və səmərəli İnternet üçün təməl təmin etməlidir."
İnkişaf 10 uzun il çəkdi. Biz Qrator Labs-da sənayenin qalan hissəsi ilə birlikdə ilkin layihədən protokolun yaradılması prosesini yaxından izləmişik. Bu müddət ərzində, 28-cu ildə balanslaşdırılmış və asan tətbiq olunan protokolun işığını görmək üçün layihənin ardıcıl 2019 versiyasını yazmaq lazım idi. TLS 1.3 üçün aktiv bazar dəstəyi artıq göz qabağındadır: sübut edilmiş və etibarlı təhlükəsizlik protokolunun tətbiqi zamanın tələblərinə cavab verir.
Erik Reskorla görə (Firefox CTO və TLS 1.3-ün yeganə müəllifi) :
"Bu, eyni açarlar və sertifikatlardan istifadə edərək TLS 1.2-nin tam əvəzidir, ona görə də müştəri və server hər ikisi onu dəstəklədiyi halda avtomatik olaraq TLS 1.3 üzərindən əlaqə saxlaya bilər" dedi. "Kitabxana səviyyəsində artıq yaxşı dəstək var və Chrome və Firefox defolt olaraq TLS 1.3-ü aktivləşdirir."
Paralel olaraq IETF işçi qrupunda TLS başa çatır , TLS-in köhnə versiyalarını (yalnız TLS 1.2 istisna olmaqla) köhnəlmiş və istifadəyə yararsız elan edir. Çox güman ki, son RFC yayın sonuna qədər buraxılacaq. Bu, İT sənayesi üçün başqa bir siqnaldır: şifrələmə protokollarının yenilənməsi gecikməməlidir.
Cari TLS 1.3 tətbiqlərinin siyahısı ən uyğun kitabxana axtaran hər kəs üçün Github-da mövcuddur: . Aydındır ki, yenilənmiş protokolun qəbulu və dəstəyi sürətlə davam edəcək və artıq davam edir. Müasir dünyada əsas şifrələmənin necə çevrildiyini başa düşmək kifayət qədər geniş yayılmışdır.
TLS 1.2-dən sonra nə dəyişdi?
Haqqında :
“TLS 1.3 dünyanı necə daha yaxşı bir yerə çevirir?
TLS 1.3 müəyyən texniki üstünlükləri ehtiva edir - məsələn, təhlükəsiz əlaqə yaratmaq üçün sadələşdirilmiş əl sıxma prosesi - və həmçinin müştərilərə serverlərlə sessiyaları daha tez davam etdirməyə imkan verir. Bu tədbirlər, tez-tez yalnız şifrələnməmiş HTTP bağlantılarını təmin etmək üçün əsas kimi istifadə olunan zəif keçidlərdə əlaqə quraşdırma gecikmələrini və əlaqə xətalarını azaltmaq üçün nəzərdə tutulub.
Ən vacibi odur ki, o, SHA-1, MD5, DES, 3DES və AES-CBC daxil olmaqla TLS-in əvvəlki versiyaları ilə istifadə üçün hələ də icazə verilən (tövsiyə olunmasa da) bir neçə köhnə və etibarsız şifrələmə və hashing alqoritmləri üçün dəstəyi aradan qaldırır. yeni şifrə dəstləri üçün dəstək əlavə edilməsi. Digər təkmilləşdirmələrə potensial trafik dinləyicisi üçün ipucuların miqdarını azaltmaq üçün əl sıxma prosesinin daha çox şifrələnmiş elementləri (məsələn, sertifikat məlumatlarının mübadiləsi şifrlənir), həmçinin müəyyən açar mübadiləsi rejimlərindən istifadə edərkən məxfiliyin ötürülməsi üzrə təkmilləşdirmələr daxildir. Gələcəkdə onu şifrələmək üçün istifadə edilən alqoritmlər pozulsa belə, hər zaman təhlükəsiz qalmalıdır.”
Müasir protokolların və DDoS-ların inkişafı
Artıq oxuduğunuz kimi, protokolun hazırlanması zamanı , IETF TLS işçi qrupunda . İndi aydındır ki, ayrı-ayrı müəssisələr (maliyyə institutları da daxil olmaqla) protokolun indi quraşdırılmış parametrlərinə uyğunlaşmaq üçün öz şəbəkələrini qorumaq üsullarını dəyişməli olacaqlar. .
Bunun tələb oluna biləcəyi səbəblər sənəddə göstərilmişdir, . 20 səhifəlik sənəddə müəssisənin monitorinq, uyğunluq və ya tətbiq səviyyəsinin (L7) DDoS mühafizəsi məqsədləri üçün diapazondan kənar trafikin (PFS icazə vermir) şifrəsini açmaq istəyə biləcəyi bir neçə nümunə qeyd edilir.
Əlbəttə ki, tənzimləyici tələblər üzərində spekulyasiya etməyə hazır olmasaq da, bizim özəl tətbiqimiz olan DDoS azaldılması məhsulu (həll daxil olmaqla) həssas və/və ya məxfi məlumat) 2012-ci ildə PFS nəzərə alınmaqla yaradılmışdır, buna görə də müştərilərimiz və tərəfdaşlarımız server tərəfində TLS versiyasını yenilədikdən sonra öz infrastrukturlarında hər hansı dəyişiklik etməyə ehtiyac duymadılar.
Həmçinin, tətbiq olunduqdan sonra nəqliyyatın şifrələnməsi ilə bağlı heç bir problem aşkarlanmayıb. Bu rəsmidir: TLS 1.3 istehsala hazırdır.
Bununla belə, yeni nəsil protokolların inkişafı ilə bağlı problem hələ də mövcuddur. Problem ondadır ki, IETF-də protokol tərəqqisi adətən akademik tədqiqatdan çox asılıdır və paylanmış xidmətdən imtina hücumlarının azaldılması sahəsində akademik tədqiqatların vəziyyəti acınacaqlıdır.
Beləliklə, yaxşı bir nümunə olardı Qarşıdan gələn QUIC protokol paketinin bir hissəsi olan “QUIC İdarəetmə qabiliyyəti” IETF layihəsində deyilir ki, “[DDoS hücumlarını] aşkar etmək və azaltmaq üçün müasir üsullar adətən şəbəkə axını məlumatlarından istifadə edərək passiv ölçməni əhatə edir”.
Sonuncu, əslində, real müəssisə mühitlərində çox nadirdir (və yalnız ISP-lərə qismən tətbiq olunur) və hər halda real dünyada "ümumi hal" olma ehtimalı azdır - lakin elmi nəşrlərdə daim görünür, adətən dəstəklənmir. tətbiq səviyyəsindəki hücumlar da daxil olmaqla potensial DDoS hücumlarının bütün spektrini sınaqdan keçirməklə. Sonuncu, TLS-nin ən azı dünya səviyyəsində yerləşdirilməsi səbəbindən, açıq şəkildə şəbəkə paketlərinin və axınlarının passiv ölçülməsi ilə aşkar edilə bilməz.
Eyni şəkildə, DDoS azaldılması aparat təchizatçılarının TLS 1.3 reallıqlarına necə uyğunlaşacağını hələ bilmirik. Qrupdan kənar protokolun dəstəklənməsinin texniki mürəkkəbliyinə görə təkmilləşdirmə bir qədər vaxt apara bilər.
Tədqiqata rəhbərlik etmək üçün düzgün məqsədlərin müəyyən edilməsi DDoS azaldılması xidməti təminatçıları üçün əsas problemdir. İnkişafın başlaya biləcəyi bir sahədir Tədqiqatçıların çətin sənaye haqqında öz biliklərini təkmilləşdirmək və tədqiqatın yeni yollarını araşdırmaq üçün sənaye ilə əməkdaşlıq edə biləcəyi IRTF-də. Biz həmçinin bütün tədqiqatçıları səmimi salamlayırıq, əgər varsa - DDoS tədqiqatı və ya SMART tədqiqat qrupu ilə bağlı suallar və ya təkliflər üçün bizimlə əlaqə saxlaya bilərsiniz.
Mənbə: www.habr.com