Στις αρχές του έτους, σε έκθεση για προβλήματα Διαδικτύου και προσβασιμότητα για το 2018-2019 ότι η εξάπλωση του TLS 1.3 είναι αναπόφευκτη. Πριν από λίγο καιρό, εμείς οι ίδιοι αναπτύξαμε την έκδοση 1.3 του πρωτοκόλλου Transport Layer Security και, αφού συλλέξουμε και αναλύσουμε δεδομένα, είμαστε επιτέλους έτοιμοι να μιλήσουμε για τα χαρακτηριστικά αυτής της μετάβασης.
Πρόεδροι ομάδων εργασίας IETF TLS :
«Εν ολίγοις, το TLS 1.3 θα πρέπει να παρέχει τα θεμέλια για ένα πιο ασφαλές και αποτελεσματικό Διαδίκτυο για τα επόμενα 20 χρόνια».
Ανάπτυξη πήρε 10 πολλά χρόνια. Εμείς στα Qrator Labs, μαζί με τον υπόλοιπο κλάδο, παρακολουθήσαμε στενά τη διαδικασία δημιουργίας πρωτοκόλλου από το αρχικό προσχέδιο. Κατά τη διάρκεια αυτής της περιόδου, ήταν απαραίτητο να γραφτούν 28 διαδοχικές εκδόσεις του προσχέδιο, προκειμένου να δούμε τελικά το φως ενός ισορροπημένου και εύκολου στην ανάπτυξη πρωτοκόλλου το 2019. Η ενεργή υποστήριξη της αγοράς για το TLS 1.3 είναι ήδη εμφανής: η εφαρμογή ενός δοκιμασμένου και αξιόπιστου πρωτοκόλλου ασφαλείας ανταποκρίνεται στις ανάγκες της εποχής.
Σύμφωνα με τον Eric Rescorla (CTO του Firefox και μοναδικός συγγραφέας του TLS 1.3) :
"Αυτή είναι μια πλήρης αντικατάσταση του TLS 1.2, χρησιμοποιώντας τα ίδια κλειδιά και πιστοποιητικά, έτσι ώστε ο πελάτης και ο διακομιστής να μπορούν να επικοινωνούν αυτόματα μέσω του TLS 1.3 εάν το υποστηρίζουν και οι δύο", είπε. "Υπάρχει ήδη καλή υποστήριξη σε επίπεδο βιβλιοθήκης και ο Chrome και ο Firefox ενεργοποιούν το TLS 1.3 από προεπιλογή."
Παράλληλα, το TLS τελειώνει στην ομάδα εργασίας του IETF , δηλώνοντας παλαιότερες εκδόσεις του TLS (εξαιρουμένου μόνο του TLS 1.2) παρωχημένες και μη χρησιμοποιήσιμες. Πιθανότατα, το τελικό RFC θα κυκλοφορήσει πριν το τέλος του καλοκαιριού. Αυτό είναι άλλο ένα μήνυμα προς τον κλάδο της πληροφορικής: η ενημέρωση των πρωτοκόλλων κρυπτογράφησης δεν πρέπει να καθυστερήσει.
Μια λίστα με τις τρέχουσες υλοποιήσεις TLS 1.3 είναι διαθέσιμη στο Github για όποιον αναζητά την καταλληλότερη βιβλιοθήκη: . Είναι σαφές ότι η υιοθέτηση και η υποστήριξη του ενημερωμένου πρωτοκόλλου θα είναι —και ήδη προχωρά— με ταχείς ρυθμούς. Η κατανόηση του πόσο θεμελιώδης έχει γίνει η κρυπτογράφηση στον σύγχρονο κόσμο έχει εξαπλωθεί αρκετά ευρέως.
Τι έχει αλλάξει από το TLS 1.2;
από :
«Πώς το TLS 1.3 κάνει τον κόσμο καλύτερο;
Το TLS 1.3 περιλαμβάνει ορισμένα τεχνικά πλεονεκτήματα—όπως μια απλοποιημένη διαδικασία χειραψίας για τη δημιουργία ασφαλούς σύνδεσης—και επίσης επιτρέπει στους πελάτες να συνεχίσουν πιο γρήγορα τις συνεδρίες με διακομιστές. Αυτά τα μέτρα αποσκοπούν στη μείωση του λανθάνοντος χρόνου εγκατάστασης σύνδεσης και των αποτυχιών σύνδεσης σε αδύναμες συνδέσεις, οι οποίες συχνά χρησιμοποιούνται ως δικαιολογία για την παροχή μόνο μη κρυπτογραφημένων συνδέσεων HTTP.
Εξίσου σημαντικό, καταργεί την υποστήριξη για αρκετούς αλγόριθμους κρυπτογράφησης και κατακερματισμού παλαιού τύπου και μη ασφαλούς που εξακολουθούν να επιτρέπονται (αν και δεν συνιστάται) για χρήση με προηγούμενες εκδόσεις του TLS, συμπεριλαμβανομένων των SHA-1, MD5, DES, 3DES και AES-CBC. προσθήκη υποστήριξης για νέες σουίτες κρυπτογράφησης. Άλλες βελτιώσεις περιλαμβάνουν πιο κρυπτογραφημένα στοιχεία της χειραψίας (για παράδειγμα, η ανταλλαγή πληροφοριών πιστοποιητικού είναι πλέον κρυπτογραφημένη) για να μειωθεί ο αριθμός των ενδείξεων για έναν πιθανό υποκλοπή κυκλοφορίας, καθώς και βελτιώσεις για την προώθηση του απορρήτου κατά τη χρήση ορισμένων τρόπων ανταλλαγής κλειδιών, έτσι ώστε η επικοινωνία πρέπει ανά πάσα στιγμή να παραμένει ασφαλής, ακόμα κι αν οι αλγόριθμοι που χρησιμοποιούνται για την κρυπτογράφηση παραβιαστούν στο μέλλον.»
Ανάπτυξη σύγχρονων πρωτοκόλλων και DDoS
Όπως ίσως έχετε ήδη διαβάσει, κατά την ανάπτυξη του πρωτοκόλλου , στην ομάδα εργασίας IETF TLS . Είναι πλέον σαφές ότι οι μεμονωμένες επιχειρήσεις (συμπεριλαμβανομένων των χρηματοπιστωτικών ιδρυμάτων) θα πρέπει να αλλάξουν τον τρόπο με τον οποίο διασφαλίζουν το δικό τους δίκτυο προκειμένου να εξυπηρετήσουν το ενσωματωμένο πλέον πρωτόκολλο .
Οι λόγοι για τους οποίους μπορεί να απαιτείται αυτό αναφέρονται στο έγγραφο, . Το έγγραφο 20 σελίδων αναφέρει πολλά παραδείγματα όπου μια επιχείρηση μπορεί να θέλει να αποκρυπτογραφήσει κίνηση εκτός ζώνης (κάτι που το PFS δεν επιτρέπει) για σκοπούς παρακολούθησης, συμμόρφωσης ή προστασίας DDoS επιπέδου εφαρμογής (L7).
Αν και σίγουρα δεν είμαστε έτοιμοι να κάνουμε εικασίες σχετικά με τις ρυθμιστικές απαιτήσεις, το αποκλειστικό προϊόν μετριασμού DDoS της εφαρμογής μας (συμπεριλαμβανομένης μιας λύσης ευαίσθητες και/ή εμπιστευτικές πληροφορίες) δημιουργήθηκε το 2012 λαμβάνοντας υπόψη το PFS, επομένως οι πελάτες και οι συνεργάτες μας δεν χρειάστηκε να κάνουν αλλαγές στην υποδομή τους μετά την ενημέρωση της έκδοσης TLS από την πλευρά του διακομιστή.
Επίσης, από την υλοποίηση, δεν έχουν εντοπιστεί προβλήματα σχετικά με την κρυπτογράφηση μεταφοράς. Είναι επίσημο: Το TLS 1.3 είναι έτοιμο για παραγωγή.
Ωστόσο, εξακολουθεί να υπάρχει ένα πρόβλημα που σχετίζεται με την ανάπτυξη πρωτοκόλλων επόμενης γενιάς. Το πρόβλημα είναι ότι η πρόοδος του πρωτοκόλλου στο IETF συνήθως εξαρτάται σε μεγάλο βαθμό από την ακαδημαϊκή έρευνα και η κατάσταση της ακαδημαϊκής έρευνας στον τομέα του μετριασμού των κατανεμημένων επιθέσεων άρνησης υπηρεσίας είναι θλιβερή.
Έτσι, ένα καλό παράδειγμα θα ήταν Το προσχέδιο του IETF «QUIC Manageability», μέρος της επερχόμενης σουίτας πρωτοκόλλων QUIC, αναφέρει ότι «οι σύγχρονες μέθοδοι για τον εντοπισμό και τον μετριασμό [επιθέσεων DDoS] συνήθως περιλαμβάνουν παθητική μέτρηση χρησιμοποιώντας δεδομένα ροής δικτύου».
Το τελευταίο είναι, στην πραγματικότητα, πολύ σπάνιο σε πραγματικά εταιρικά περιβάλλοντα (και μόνο εν μέρει ισχύει για τους ISP) και σε κάθε περίπτωση είναι απίθανο να είναι μια «γενική περίπτωση» στον πραγματικό κόσμο - αλλά εμφανίζεται συνεχώς σε επιστημονικές δημοσιεύσεις, συνήθως δεν υποστηρίζεται δοκιμάζοντας ολόκληρο το φάσμα των πιθανών επιθέσεων DDoS, συμπεριλαμβανομένων των επιθέσεων σε επίπεδο εφαρμογής. Το τελευταίο, λόγω τουλάχιστον της παγκόσμιας ανάπτυξης του TLS, προφανώς δεν μπορεί να εντοπιστεί με παθητική μέτρηση πακέτων και ροών δικτύου.
Ομοίως, δεν γνωρίζουμε ακόμη πώς οι προμηθευτές υλικού μετριασμού DDoS θα προσαρμοστούν στην πραγματικότητα του TLS 1.3. Λόγω της τεχνικής πολυπλοκότητας της υποστήριξης του πρωτοκόλλου εκτός ζώνης, η αναβάθμιση μπορεί να διαρκέσει κάποιο χρόνο.
Ο καθορισμός των σωστών στόχων για την καθοδήγηση της έρευνας είναι μια σημαντική πρόκληση για τους παρόχους υπηρεσιών μετριασμού DDoS. Ένας τομέας όπου μπορεί να ξεκινήσει η ανάπτυξη είναι στο IRTF, όπου οι ερευνητές μπορούν να συνεργαστούν με τη βιομηχανία για να βελτιώσουν τις γνώσεις τους για μια προκλητική βιομηχανία και να εξερευνήσουν νέους δρόμους έρευνας. Καλωσορίζουμε επίσης όλους τους ερευνητές, σε περίπτωση που υπάρχουν - μπορούμε να επικοινωνήσουμε μαζί μας για ερωτήσεις ή προτάσεις σχετικά με την έρευνα DDoS ή την ερευνητική ομάδα SMART στο
Πηγή: www.habr.com