Ar ddechrau'r flwyddyn, mewn adroddiad ar broblemau Rhyngrwyd a hygyrchedd ar gyfer 2018-2019 bod lledaeniad TLS 1.3 yn anochel. Beth amser yn ôl, fe wnaethom ni ein hunain ddefnyddio fersiwn 1.3 o'r protocol Diogelwch Haenau Trafnidiaeth ac, ar ôl casglu a dadansoddi data, rydym o'r diwedd yn barod i siarad am nodweddion y trawsnewid hwn.
Cadeiryddion Gweithgorau IETF TLS :
“Yn fyr, dylai TLS 1.3 ddarparu’r sylfaen ar gyfer Rhyngrwyd mwy diogel ac effeithlon am yr 20 mlynedd nesaf.”
Datblygiad cymerodd 10 mlynedd hir. Rydym ni yn Qrator Labs, ynghyd â gweddill y diwydiant, wedi dilyn y broses creu protocol yn agos o'r drafft cychwynnol. Yn ystod y cyfnod hwn, bu’n rhaid ysgrifennu 28 fersiwn olynol o’r drafft er mwyn gweld yn y pen draw oleuni protocol cytbwys a hawdd ei ddefnyddio yn 2019. Mae cefnogaeth weithredol y farchnad ar gyfer TLS 1.3 eisoes yn amlwg: mae gweithredu protocol diogelwch profedig a dibynadwy yn diwallu anghenion yr amseroedd.
Yn ôl Eric Rescorla (Firefox CTO ac unig awdur TLS 1.3) :
“Mae hwn yn disodli TLS 1.2 yn llwyr, gan ddefnyddio’r un allweddi a thystysgrifau, felly gall y cleient a’r gweinydd gyfathrebu’n awtomatig dros TLS 1.3 os yw’r ddau yn ei gefnogi,” meddai. “Mae yna gefnogaeth dda eisoes ar lefel llyfrgell, ac mae Chrome a Firefox yn galluogi TLS 1.3 yn ddiofyn.”
Ar yr un pryd, mae TLS yn dod i ben yng ngweithgor yr IETF , yn datgan bod fersiynau hŷn o TLS (ac eithrio TLS 1.2 yn unig) wedi darfod ac yn annefnyddiadwy. Yn fwyaf tebygol, bydd y Clwb Rygbi terfynol yn cael ei ryddhau cyn diwedd yr haf. Mae hwn yn arwydd arall i'r diwydiant TG: ni ddylid oedi wrth ddiweddaru protocolau amgryptio.
Mae rhestr o weithrediadau TLS 1.3 cyfredol ar gael ar Github i unrhyw un sy'n chwilio am y llyfrgell fwyaf addas: . Mae'n amlwg y bydd mabwysiadu a chefnogaeth ar gyfer y protocol wedi'i ddiweddaru yn mynd rhagddo'n gyflym—ac eisoes yn mynd rhagddo. Mae dealltwriaeth o ba mor sylfaenol y mae amgryptio wedi dod yn y byd modern wedi lledaenu'n eithaf eang.
Beth sydd wedi newid ers TLS 1.2?
O'r :
“Sut mae TLS 1.3 yn gwneud y byd yn lle gwell?
Mae TLS 1.3 yn cynnwys rhai manteision technegol - megis proses ysgwyd llaw symlach i sefydlu cysylltiad diogel - ac mae hefyd yn caniatáu i gleientiaid ailddechrau sesiynau gyda gweinyddwyr yn gyflymach. Bwriad y mesurau hyn yw lleihau hwyrni sefydlu cysylltiad a methiannau cysylltu ar gysylltiadau gwan, a ddefnyddir yn aml fel cyfiawnhad dros ddarparu cysylltiadau HTTP heb eu hamgryptio yn unig.
Yr un mor bwysig, mae'n dileu cefnogaeth ar gyfer nifer o algorithmau amgryptio a stwnsio etifeddiaeth ac ansicr sy'n dal i gael eu caniatáu (er nad ydynt yn cael eu hargymell) i'w defnyddio gyda fersiynau cynharach o TLS, gan gynnwys SHA-1, MD5, DES, 3DES, ac AES-CBC tra ychwanegu cefnogaeth ar gyfer ystafelloedd cipher newydd. Mae gwelliannau eraill yn cynnwys elfennau mwy amgryptio o'r ysgwyd llaw (er enghraifft, mae cyfnewid gwybodaeth tystysgrif bellach wedi'i amgryptio) i leihau nifer y cliwiau i glustfwr traffig posibl, yn ogystal â gwelliannau i gyfrinachedd ymlaen wrth ddefnyddio rhai dulliau cyfnewid allweddol fel bod cyfathrebu rhaid i bob amser aros yn ddiogel hyd yn oed os yw’r algorithmau a ddefnyddir i’w amgryptio yn cael eu peryglu yn y dyfodol.”
Datblygu protocolau modern a DDoS
Fel efallai eich bod eisoes wedi darllen, yn ystod datblygiad y protocol , yng ngweithgor IETF TLS . Mae’n amlwg bellach y bydd yn rhaid i fentrau unigol (gan gynnwys sefydliadau ariannol) newid y ffordd y maent yn sicrhau eu rhwydwaith eu hunain er mwyn darparu ar gyfer y protocol sydd bellach wedi’i ymgorffori. .
Mae’r rhesymau pam y gallai hyn fod yn ofynnol wedi’u nodi yn y ddogfen, . Mae'r papur 20 tudalen yn sôn am sawl enghraifft lle gallai menter fod eisiau dadgryptio traffig y tu allan i'r band (nad yw PFS yn ei ganiatáu) at ddibenion diogelu DDoS monitro, cydymffurfio neu haen cymhwyso (L7).
Er nad ydym yn sicr yn barod i ddyfalu ar ofynion rheoliadol, mae ein cynnyrch lliniaru DDoS cais perchnogol (gan gynnwys datrysiad Crëwyd gwybodaeth sensitif a/neu gyfrinachol) yn 2012 gan gymryd PFS i ystyriaeth, felly nid oedd angen i’n cleientiaid a’n partneriaid wneud unrhyw newidiadau i’w seilwaith ar ôl diweddaru’r fersiwn TLS ar ochr y gweinydd.
Hefyd, ers y gweithredu, ni nodwyd unrhyw broblemau yn ymwneud ag amgryptio trafnidiaeth. Mae'n swyddogol: mae TLS 1.3 yn barod i'w gynhyrchu.
Fodd bynnag, mae problem o hyd yn gysylltiedig â datblygu protocolau cenhedlaeth nesaf. Y broblem yw bod cynnydd protocol yn yr IETF fel arfer yn ddibynnol iawn ar ymchwil academaidd, ac mae cyflwr ymchwil academaidd ym maes lliniaru ymosodiadau gwrthod gwasanaeth dosranedig yn ddigalon.
Felly, enghraifft dda fyddai Mae drafft IETF “QUIC Manageability,” rhan o gyfres protocol QUIC sydd ar ddod, yn nodi bod “dulliau modern ar gyfer canfod a lliniaru [ymosodiadau DDoS] fel arfer yn cynnwys mesur goddefol gan ddefnyddio data llif rhwydwaith.”
Mae'r olaf, mewn gwirionedd, yn brin iawn mewn amgylcheddau menter go iawn (a dim ond yn rhannol berthnasol i ISPs), ac mewn unrhyw achos mae'n annhebygol o fod yn "achos cyffredinol" yn y byd go iawn - ond mae'n ymddangos yn gyson mewn cyhoeddiadau gwyddonol, fel arfer ni chefnogir. trwy brofi'r sbectrwm cyfan o ymosodiadau DDoS posibl, gan gynnwys ymosodiadau lefel cais. Mae'n amlwg na ellir canfod yr olaf, oherwydd o leiaf y defnydd byd-eang o TLS, trwy fesuriad goddefol o becynnau rhwydwaith a llifoedd.
Yn yr un modd, nid ydym yn gwybod eto sut y bydd gwerthwyr caledwedd lliniaru DDoS yn addasu i realiti TLS 1.3. Oherwydd cymhlethdod technegol cefnogi'r protocol y tu allan i'r band, efallai y bydd yr uwchraddio yn cymryd peth amser.
Mae gosod y nodau cywir i arwain ymchwil yn her fawr i ddarparwyr gwasanaethau lliniaru DDoS. Un maes lle gall datblygiad ddechrau yw yn yr IRTF, lle gall ymchwilwyr gydweithio â diwydiant i fireinio eu gwybodaeth eu hunain am ddiwydiant heriol ac archwilio llwybrau ymchwil newydd. Rydym hefyd yn estyn croeso cynnes i bob ymchwilydd, os oes rhai - gellir cysylltu â ni gyda chwestiynau neu awgrymiadau yn ymwneud ag ymchwil DDoS neu grŵp ymchwil SMART yn
Ffynhonnell: hab.com