Urte hasieran, 2018-2019rako Interneteko arazoei eta irisgarritasunari buruzko txostenean TLS 1.3 hedatzea saihestezina dela. Duela denbora pixka bat, Transport Layer Security protokoloaren 1.3 bertsioa zabaldu genuen geuk eta, datuak bildu eta aztertu ondoren, azkenean trantsizio honen ezaugarriei buruz hitz egiteko prest gaude.
IETF TLS lan-taldeen buruak :
"Laburbilduz, TLS 1.3-k Internet seguruago eta eraginkorragoa izateko oinarria eman beharko luke datozen 20 urteetarako".
diseinua 10 urte luze behar izan zituen. Qrator Labs-en, gainerako industriarekin batera, gertutik jarraitu dugu protokoloa sortzeko prozesua hasierako zirriborrotik. Denbora horretan, beharrezkoa izan zen zirriborroaren 28 bertsio jarraian idaztea, azken finean, 2019an protokolo orekatu eta zabaltzeko erraz baten argia ikusteko. TLS 1.3-ren merkatuko euskarri aktiboa nabaria da dagoeneko: segurtasun-protokolo frogatu eta fidagarri baten ezarpenak garaiko beharrei erantzuten die.
Eric Rescorla-ren arabera (Firefox CTO eta TLS 1.3-ren egile bakarra) :
"Hau TLS 1.2-ren ordezko osoa da, gako eta ziurtagiri berdinak erabiliz, beraz, bezeroak eta zerbitzariak automatikoki TLS 1.3-ren bidez komunikatu ahal izango dira biek onartzen badute", esan zuen. "Dagoeneko laguntza ona dago liburutegi mailan, eta Chrome-k eta Firefox-ek TLS 1.3 gaitzen dute lehenespenez".
Aldi berean, TLS IETF lan taldean amaitzen ari da , TLS-ren bertsio zaharragoak (TLS 1.2 soilik kenduta) zaharkituta eta erabilezinak deklaratuz. Ziurrenik, azken RFC uda amaitu baino lehen kaleratuko da. Hau da informatikako industriarentzat beste seinale bat: enkriptazio-protokoloak eguneratzea ez da atzeratu behar.
Egungo TLS 1.3 inplementazioen zerrenda eskuragarri dago Github-en liburutegi egokiena bilatzen duen edonorentzat: . Argi dago eguneratutako protokoloaren onarpena eta laguntza azkarra izango dela βeta dagoeneko ari daβ. Mundu modernoan oinarrizko enkriptatzea nola bihurtu den ulertzea nahiko zabaldu da.
Zer aldatu da TLS 1.2tik?
Of :
"Nola egiten du TLS 1.3k mundua leku hobeago bat?
TLS 1.3-k abantaila tekniko batzuk biltzen ditu βesaterako, konexio segurua ezartzeko esku-emate prozesu sinplifikatu batβ eta bezeroei zerbitzariekin saioak azkarrago berriro hasteko aukera ere ematen die. Neurri hauek lotura ahuletan konexioa konfiguratzeko latentzia eta konexio-hutsegiteak murriztea dute helburu, askotan zifratu gabeko HTTP konexioak soilik eskaintzeko justifikazio gisa erabiltzen direnak.
Garrantzitsuena dena, TLS-ren aurreko bertsioekin erabiltzeko baimenduta dauden (gomendagarria ez den arren) enkriptazio- eta hashing-algoritmo batzuen laguntza kentzen du, SHA-1, MD5, DES, 3DES eta AES-CBC barne. zifratze suite berrietarako laguntza gehitzea. Beste hobekuntza batzuen artean, esku-harremanaren elementu enkriptatutako gehiago daude (adibidez, ziurtagirien informazioaren trukea orain enkriptatuta dago) balizko trafikoaren entzuleen arrasto kopurua murrizteko, baita sekretua birbidaltzeko hobekuntzak ere gako-truke modu batzuk erabiltzean, komunikazioa izan dadin. uneoro seguru mantendu behar da, nahiz eta enkriptatzeko erabiltzen diren algoritmoak arriskuan egon etorkizuneanβ.
Protokolo modernoak eta DDoS garatzea
Dagoeneko irakurri zenuten bezala, protokoloaren garapenean , IETF TLS lan taldean . Orain argi dago banakako enpresek (finantza-erakundeak barne) beren sarea ziurtatzeko modua aldatu beharko dutela protokoloak orain barneratuta egokitzeko. .
Hori eskatu ahal izateko arrazoiak dokumentuan zehazten dira, . 20 orrialdeko paperak hainbat adibide aipatzen ditu, non enpresa batek bandaz kanpoko trafikoa deszifratu nahi izan dezakeen (PFS-k onartzen ez duena) DDoS babeserako monitorizazio, betetze edo aplikazio geruzaren (L7) helburuetarako.
Zalantzarik gabe, arauzko eskakizunei buruz espekulatzeko prest ez gauden arren, gure jabedun DDoS arintzeko produktua (irtenbide bat barne informazio sentikorra eta/edo konfidentziala) 2012an sortu zen PFS kontuan hartuta, beraz, gure bezeroek eta bazkideek ez zuten aldaketarik egin behar beren azpiegituran TLS bertsioa zerbitzariaren aldean eguneratu ondoren.
Gainera, inplementatu zenetik, ez da garraio enkriptatzearekin lotutako arazorik identifikatu. Ofiziala da: TLS 1.3 ekoizteko prest dago.
Hala ere, hurrengo belaunaldiko protokoloen garapenarekin lotutako arazo bat dago oraindik. Arazoa da IETF-en protokoloaren aurrerapena ikerketa akademikoaren menpekoa dela normalean, eta zerbitzu-ukazio banatuaren erasoak arintzearen arloan ikerketa akademikoaren egoera txarra da.
Beraz, adibide ona litzateke IETF-ren "QUIC Manageability" zirriborroak, datorren QUIC protokolo-suitearen zatiak, dio "[DDoS erasoak] detektatzeko eta arintzeko metodo modernoek normalean sare-fluxuaren datuak erabiliz neurketa pasiboa dakar".
Azken hori, hain zuzen ere, oso arraroa da benetako enpresa-inguruneetan (eta partzialki soilik ISPentzat aplikagarria), eta, nolanahi ere, nekez izango da "kasu orokorra" mundu errealean, baina etengabe agertzen da argitalpen zientifikoetan, normalean onartzen ez dena. balizko DDoS erasoen espektro osoa probatuz, aplikazio-mailako erasoak barne. Azken hori, TLS mundu osoan hedatzearen ondorioz, jakina, ezin da sare-paketeen eta fluxuen neurketa pasiboaren bidez detektatu.
Era berean, oraindik ez dakigu DDoS arintzeko hardware saltzaileek TLS 1.3-ren errealitatera nola egokituko diren. Bandaz kanpoko protokoloa onartzen duen konplexutasun teknikoa dela eta, eguneratzeak denbora pixka bat behar izan dezake.
Ikerketa bideratzeko helburu egokiak ezartzea erronka handia da DDoS arintzeko zerbitzu hornitzaileentzat. Garapena has daitekeen eremu bat da IRTFn, non ikertzaileek industriarekin lankidetzan jarduten duten industria erronka bati buruzko ezagutza propioa hobetzeko eta ikerketa bide berriak aztertzeko. Ikertzaile guztiei ere ongietorri beroa egiten diegu, egonez gero - DDoS ikerketarekin edo SMART ikerketa-taldearekin erlazionatutako galdera edo iradokizunekin jar gaitezke harremanetan.
Iturria: www.habr.com