Aasta alguses internetiprobleemide ja ligipääsetavuse aruandes 2018-2019 et TLS 1.3 levik on vältimatu. Mõni aeg tagasi võtsime ise kasutusele transpordikihi turvaprotokolli versiooni 1.3 ning pärast andmete kogumist ja analüüsi oleme lõpuks valmis selle ülemineku funktsioonidest rääkima.
IETF TLS töörühma esimehed :
"Lühidalt peaks TLS 1.3 pakkuma aluse turvalisemale ja tõhusamale Internetile järgmiseks 20 aastaks."
Areng kestis 10 pikka aastat. Oleme Qrator Labsis koos ülejäänud tööstusega hoolikalt jälginud protokolli loomise protsessi alates esialgsest mustandist. Selle aja jooksul oli vaja kirjutada eelnõust 28 järjestikust versiooni, et 2019. aastal lõpuks näha tasakaalustatud ja hõlpsasti juurutatava protokolli valgust. TLS 1.3 aktiivne turutugi on juba ilmne: tõestatud ja usaldusväärse turvaprotokolli rakendamine vastab aja vajadustele.
Eric Rescorla (Firefoxi CTO ja TLS 1.3 ainus autor) sõnul :
"See on TLS 1.2 täielik asendus, kasutades samu võtmeid ja sertifikaate, nii et klient ja server saavad automaatselt suhelda TLS 1.3 kaudu, kui mõlemad seda toetavad," ütles ta. "Teeki tasemel on juba hea tugi ning Chrome ja Firefox lubavad vaikimisi TLS 1.3."
Paralleelselt on TLS lõppemas IETF-i töörühmas , kuulutades TLS-i vanemad versioonid (v.a ainult TLS 1.2) vananenuks ja kasutuskõlbmatuks. Tõenäoliselt avaldatakse lõplik RFC enne suve lõppu. See on veel üks signaal IT-tööstusele: krüpteerimisprotokollide uuendamisega ei tohiks viivitada.
Praeguste TLS 1.3 rakenduste loend on Githubis saadaval kõigile, kes otsivad kõige sobivamat teeki: . On selge, et uuendatud protokolli vastuvõtmine ja toetamine edeneb kiiresti – ja juba praegu. Arusaam sellest, kuidas krüpteerimine on tänapäeva maailmas fundamentaalseks muutunud, on levinud üsna laialt.
Mis on pärast TLS 1.2 muutunud?
Kohta :
„Kuidas muudab TLS 1.3 maailma paremaks kohaks?
TLS 1.3 sisaldab teatud tehnilisi eeliseid – näiteks lihtsustatud käepigistuse protsessi turvalise ühenduse loomiseks – ning võimaldab klientidel ka kiiremini seansse serveritega jätkata. Nende meetmete eesmärk on vähendada ühenduse seadistamise latentsust ja ühenduse tõrkeid nõrkadel linkidel, mida sageli kasutatakse ainult krüptimata HTTP-ühenduste pakkumise põhjenduseks.
Sama oluline on see, et see eemaldab toe mitmetele pärand- ja ebaturvalistele krüpteerimis- ja räsimisalgoritmidele, mis on endiselt lubatud (kuigi mitte soovitatav) kasutamiseks TLS-i varasemate versioonidega, sealhulgas SHA-1, MD5, DES, 3DES ja AES-CBC. uute šifrikomplektide toe lisamine. Muud täiustused hõlmavad rohkem krüpteeritud käepigistuse elemente (näiteks sertifikaaditeabe vahetamine on nüüd krüpteeritud), et vähendada potentsiaalsele liikluse pealtkuulajale saadetavate vihjete hulka, samuti täiustused edastamise salastatuse osas teatud võtmevahetusrežiimide kasutamisel, nii et side peab alati olema turvaline, isegi kui selle krüptimiseks kasutatavad algoritmid on tulevikus ohus.
Kaasaegsete protokollide ja DDoS arendamine
Nagu olete juba lugenud, protokolli väljatöötamise ajal , IETF TLS-i töörühmas . Nüüd on selge, et üksikud ettevõtted (sealhulgas finantsasutused) peavad muutma viisi, kuidas nad oma võrku turvavad, et võtta arvesse protokolli sisseehitatud .
Põhjused, miks seda võidakse nõuda, on esitatud dokumendis, . 20-leheküljelises dokumendis mainitakse mitmeid näiteid, kus ettevõte võib soovida dekrüpteerida ribavälist liiklust (mida PFS ei võimalda) jälgimise, vastavuse või rakenduskihi (L7) DDoS-i kaitse eesmärgil.
Kuigi me ei ole kindlasti valmis spekuleerima regulatiivsete nõuete üle, on meie patenteeritud DDoS-i leevendav toode (sh lahendus tundlik ja/või konfidentsiaalne teave) loodi 2012. aastal PFS-i arvesse võttes, nii et meie kliendid ja partnerid ei pidanud pärast serveripoolse TLS-i versiooni värskendamist oma infrastruktuuris muudatusi tegema.
Samuti pole pärast juurutamist tuvastatud transpordi krüpteerimisega seotud probleeme. See on ametlik: TLS 1.3 on tootmiseks valmis.
Siiski on endiselt probleem, mis on seotud järgmise põlvkonna protokollide arendamisega. Probleem on selles, et protokolli edenemine IETF-is sõltub tavaliselt suuresti akadeemilisest uurimistööst ja akadeemiliste uuringute olukord hajutatud teenuse keelamise rünnakute leevendamise valdkonnas on kurb.
Nii et hea näide oleks IETF-i kavand "QUIC Manageability", mis on osa tulevasest QUIC-protokollikomplektist, ütleb, et "kaasaegsed meetodid [DDoS-rünnakute] tuvastamiseks ja leevendamiseks hõlmavad tavaliselt passiivset mõõtmist, kasutades võrguvoo andmeid."
Viimane on reaalsetes ettevõtete keskkondades tegelikult väga haruldane (ja ainult osaliselt kasutatav Interneti-teenuse pakkujate puhul) ja igal juhul ei ole see tõenäoliselt reaalses maailmas "üldine juhtum", kuid see ilmub pidevalt teadusväljaannetes, tavaliselt ei toetata. testides kogu potentsiaalsete DDoS-i rünnakute spektrit, sealhulgas rakendustaseme rünnakuid. Viimast, vähemalt TLS-i ülemaailmse kasutuselevõtu tõttu, ei saa ilmselgelt tuvastada võrgupakettide ja voogude passiivse mõõtmisega.
Samuti ei tea me veel, kuidas DDoS-i leevendamise riistvaramüüjad kohanevad TLS 1.3 tegelikkusega. Ribavälise protokolli toetamise tehnilise keerukuse tõttu võib uuendamine veidi aega võtta.
Uurimistöö suunamiseks õigete eesmärkide seadmine on DDoS-i leevendamisteenuste pakkujate jaoks suur väljakutse. Üks valdkond, kus areng võib alata, on IRTF-is, kus teadlased saavad teha koostööd tööstusega, et täiustada oma teadmisi keerulisest tööstusest ja uurida uusi uurimisvõimalusi. Samuti tervitame soojalt kõiki teadlasi, kui neid peaks olema – DDoS-i uurimistööga või SMART uurimisrühmaga seotud küsimuste või ettepanekutega saab meie poole pöörduda aadressil
Allikas: www.habr.com