Začátkem roku ve zprávě o problémech a dostupnosti internetu za roky 2018-2019 že rozšíření TLS 1.3 je nevyhnutelné. Před časem jsme sami nasadili verzi 1.3 protokolu Transport Layer Security a po shromáždění a analýze dat jsme konečně připraveni mluvit o vlastnostech tohoto přechodu.
Předseda pracovní skupiny IETF TLS :
"Stručně řečeno, TLS 1.3 by měl poskytnout základ pro bezpečnější a efektivnější internet na příštích 20 let."
Vývoj trvalo dlouhých 10 let. My v Qrator Labs, spolu se zbytkem odvětví, pozorně sledujeme proces vytváření protokolu od původního návrhu. Během této doby bylo nutné napsat 28 po sobě jdoucích verzí návrhu, aby v roce 2019 nakonec spatřil světlo vyvážený a snadno nasaditelný protokol. Aktivní tržní podpora TLS 1.3 je již evidentní: implementace osvědčeného a spolehlivého bezpečnostního protokolu odpovídá potřebám doby.
Podle Erica Rescorly (CTO Firefoxu a výhradního autora TLS 1.3) :
„Toto je kompletní náhrada za TLS 1.2, která používá stejné klíče a certifikáty, takže klient a server mohou automaticky komunikovat přes TLS 1.3, pokud jej oba podporují,“ řekl. "Na úrovni knihovny již existuje dobrá podpora a Chrome a Firefox standardně povolují TLS 1.3."
Paralelně TLS končí v pracovní skupině IETF , prohlašující starší verze TLS (kromě pouze TLS 1.2) za zastaralé a nepoužitelné. S největší pravděpodobností bude finální RFC vydáno do konce léta. To je další signál pro IT průmysl: aktualizace šifrovacích protokolů by neměla být zdržována.
Seznam aktuálních implementací TLS 1.3 je k dispozici na Github pro každého, kdo hledá nejvhodnější knihovnu: . Je jasné, že přijetí a podpora aktualizovaného protokolu bude – a již nyní – rychle postupovat. Pochopení toho, jak zásadním se stalo šifrování v moderním světě, se rozšířilo poměrně široce.
Co se změnilo od TLS 1.2?
Z :
„Jak TLS 1.3 dělá svět lepším místem?
TLS 1.3 obsahuje určité technické výhody – jako je zjednodušený proces handshake pro navázání zabezpečeného připojení – a také umožňuje klientům rychleji obnovit relace se servery. Tato opatření jsou určena ke snížení latence nastavení připojení a selhání připojení na slabých spojích, které se často používají jako ospravedlnění pro poskytování pouze nešifrovaných připojení HTTP.
Stejně důležité je, že odstraňuje podporu pro několik starších a nezabezpečených šifrovacích a hašovacích algoritmů, které jsou stále povoleny (ačkoli se nedoporučují) pro použití s dřívějšími verzemi TLS, včetně SHA-1, MD5, DES, 3DES a AES-CBC. přidání podpory pro nové šifrovací sady. Mezi další vylepšení patří více šifrovaných prvků handshake (například výměna informací o certifikátu je nyní šifrována), aby se snížilo množství vodítek k potenciálnímu odposlechu provozu, a také vylepšení předávání utajení při použití určitých režimů výměny klíčů, takže komunikace musí vždy zůstat v bezpečí, i když algoritmy používané k šifrování budou v budoucnu kompromitovány.“
Vývoj moderních protokolů a DDoS
Jak jste si již mohli přečíst, během vývoje protokolu , v pracovní skupině IETF TLS . Nyní je jasné, že jednotlivé podniky (včetně finančních institucí) budou muset změnit způsob zabezpečení své vlastní sítě, aby se přizpůsobily nyní vestavěnému protokolu. .
Důvody, proč to může být požadováno, jsou uvedeny v dokumentu, . 20stránkový dokument uvádí několik příkladů, kdy podnik může chtít dešifrovat provoz mimo pásmo (což PFS neumožňuje) pro účely monitorování, dodržování předpisů nebo ochrany aplikační vrstvy (L7) DDoS.
I když rozhodně nejsme připraveni spekulovat o regulačních požadavcích, naše proprietární aplikace DDoS zmírňující produkt (včetně řešení citlivé a/nebo důvěrné informace) byl vytvořen v roce 2012 s ohledem na PFS, takže naši klienti a partneři nemuseli po aktualizaci verze TLS na straně serveru provádět žádné změny ve své infrastruktuře.
Od implementace také nebyly identifikovány žádné problémy související s transportním šifrováním. Je to oficiální: TLS 1.3 je připraven k výrobě.
Stále však existuje problém spojený s vývojem protokolů nové generace. Problém je v tom, že pokrok v protokolech v IETF je typicky silně závislý na akademickém výzkumu a stav akademického výzkumu v oblasti zmírňování distribuovaných útoků denial-of-service je tristní.
Takže dobrý příklad by byl Návrh IETF „QUIC Manageability“, součást nadcházející sady protokolů QUIC, uvádí, že „moderní metody pro detekci a zmírnění [DDoS útoků] obvykle zahrnují pasivní měření pomocí dat o toku sítě.
To druhé je ve skutečnosti velmi vzácné v reálném podnikovém prostředí (a pouze částečně použitelné pro ISP) a v žádném případě je nepravděpodobné, že by šlo o „obecný případ“ v reálném světě – ale neustále se objevuje ve vědeckých publikacích, obvykle nepodporovaných. testováním celého spektra potenciálních DDoS útoků, včetně útoků na aplikační úrovni. To druhé vzhledem k alespoň celosvětovému nasazení TLS evidentně nelze pasivním měřením síťových paketů a toků detekovat.
Stejně tak zatím nevíme, jak se dodavatelé hardwaru pro zmírnění DDoS přizpůsobí realitě TLS 1.3. Vzhledem k technické složitosti podpory protokolu mimo pásmo může upgrade nějakou dobu trvat.
Stanovení správných cílů pro vedení výzkumu je pro poskytovatele služeb zmírňování DDoS velkou výzvou. Jednou z oblastí, kde může vývoj začít, je na IRTF, kde mohou výzkumníci spolupracovat s průmyslem na zdokonalení svých vlastních znalostí o náročném odvětví a prozkoumat nové cesty výzkumu. Srdečně také vítáme všechny výzkumné pracovníky, pokud by nějaký byl – s dotazy nebo návrhy souvisejícími s výzkumem DDoS nebo výzkumnou skupinou SMART nás můžete kontaktovat na adrese
Zdroj: www.habr.com