અમે TLS 1.3 સક્ષમ કર્યું છે. શા માટે તમારે તે જ કરવું જોઈએ

વર્ષની શરૂઆતમાં, 2018-2019 માટે ઇન્ટરનેટ સમસ્યાઓ અને સુલભતા પરના અહેવાલમાં અમે પહેલેથી જ લખ્યું છેકે TLS 1.3 નો ફેલાવો અનિવાર્ય છે. થોડા સમય પહેલા, અમે ટ્રાન્સપોર્ટ લેયર સિક્યોરિટી પ્રોટોકોલનું વર્ઝન 1.3 જમાવ્યું હતું અને, ડેટા એકત્ર અને વિશ્લેષણ કર્યા પછી, અમે આખરે આ સંક્રમણની વિશેષતાઓ વિશે વાત કરવા માટે તૈયાર છીએ.

IETF TLS વર્કિંગ ગ્રુપ ચેર તેઓ લખેછે:
"ટૂંકમાં, TLS 1.3 એ આગામી 20 વર્ષ માટે વધુ સુરક્ષિત અને કાર્યક્ષમ ઇન્ટરનેટનો પાયો પૂરો પાડવો જોઈએ."

વિકાસ ટીએલએસ 1.3 10 લાંબા વર્ષો લાગ્યા. અમે ક્યુરેટર લેબ્સમાં, બાકીના ઉદ્યોગો સાથે, પ્રારંભિક ડ્રાફ્ટથી પ્રોટોકોલ બનાવવાની પ્રક્રિયાને નજીકથી અનુસરી છે. આ સમય દરમિયાન, 28 માં સંતુલિત અને સરળતાથી જમાવવામાં પ્રોટોકોલનો પ્રકાશ જોવા માટે ડ્રાફ્ટની સતત 2019 આવૃત્તિઓ લખવી જરૂરી હતી. TLS 1.3 માટે સક્રિય બજાર સમર્થન પહેલેથી જ સ્પષ્ટ છે: સાબિત અને વિશ્વસનીય સુરક્ષા પ્રોટોકોલનો અમલ સમયની જરૂરિયાતોને પૂર્ણ કરે છે.

એરિક રેસ્કોર્લા (Firefox CTO અને TLS 1.3 ના એકમાત્ર લેખક) અનુસાર ધ રજિસ્ટર સાથેની મુલાકાતમાં:

"તે સમાન કી અને પ્રમાણપત્રોનો ઉપયોગ કરીને, TLS 1.2 માટે સંપૂર્ણ રિપ્લેસમેન્ટ છે, જેથી ક્લાયંટ અને સર્વર આપમેળે TLS 1.3 પર વાતચીત કરી શકે છે જો તેઓ બંને તેને સપોર્ટ કરે છે," તેમણે કહ્યું. "લાઇબ્રેરી સ્તરે પહેલેથી જ સારો સપોર્ટ છે, અને Chrome અને Firefox મૂળભૂત રીતે TLS 1.3 ને સક્ષમ કરે છે."

સમાંતર, TLS IETF કાર્યકારી જૂથમાં સમાપ્ત થઈ રહ્યું છે આરએફસી તૈયારી, TLS ના જૂના સંસ્કરણો (માત્ર TLS 1.2 સિવાય) અપ્રચલિત અને બિનઉપયોગી જાહેર કરે છે. મોટે ભાગે, અંતિમ આરએફસી ઉનાળાના અંત પહેલા રિલીઝ કરવામાં આવશે. IT ઉદ્યોગ માટે આ બીજો સંકેત છે: એન્ક્રિપ્શન પ્રોટોકોલ અપડેટ કરવામાં વિલંબ થવો જોઈએ નહીં.

વર્તમાન TLS 1.3 અમલીકરણોની સૂચિ સૌથી યોગ્ય લાઇબ્રેરી શોધી રહેલા કોઈપણ માટે Github પર ઉપલબ્ધ છે: https://github.com/tlswg/tls13-spec/wiki/Implementations. તે સ્પષ્ટ છે કે અદ્યતન પ્રોટોકોલને અપનાવવા અને સમર્થન આપવાનું - અને પહેલાથી જ - ઝડપથી પ્રગતિ કરી રહ્યું છે. આધુનિક વિશ્વમાં મૂળભૂત એન્ક્રિપ્શન કેવી રીતે બની ગયું છે તેની સમજ ખૂબ વ્યાપકપણે ફેલાયેલી છે.

TLS 1.2 થી શું બદલાયું છે?

ના ઈન્ટરનેટ સોસાયટી નોંધો:
“TLS 1.3 કેવી રીતે વિશ્વને વધુ સારું સ્થાન બનાવે છે?

TLS 1.3 માં અમુક ટેકનિકલ ફાયદાઓ શામેલ છે-જેમ કે સુરક્ષિત કનેક્શન સ્થાપિત કરવા માટે એક સરળ હેન્ડશેક પ્રક્રિયા-અને ક્લાયંટને સર્વર સાથે વધુ ઝડપથી સત્રો ફરી શરૂ કરવાની મંજૂરી આપે છે. આ પગલાંનો હેતુ કનેક્શન સેટઅપ લેટન્સી અને નબળા લિંક્સ પર કનેક્શન નિષ્ફળતાઓને ઘટાડવાનો છે, જેનો ઉપયોગ ફક્ત અનક્રિપ્ટેડ HTTP કનેક્શન્સ પ્રદાન કરવા માટે વાજબીતા તરીકે થાય છે.

તેટલું જ અગત્યનું, તે SHA-1, MD5, DES, 3DES અને AES-CBC સહિત TLS ના પહેલાનાં સંસ્કરણો સાથે ઉપયોગ કરવા માટે હજુ પણ મંજૂર છે (જોકે ભલામણ કરેલ નથી) ઘણા વારસા અને અસુરક્ષિત એન્ક્રિપ્શન અને હેશિંગ અલ્ગોરિધમ્સ માટેના સમર્થનને દૂર કરે છે. જ્યારે નવા સાઇફર સ્યુટ્સ માટે આધાર ઉમેરી રહ્યા છે. અન્ય સુધારણાઓમાં હેન્ડશેકના વધુ એન્ક્રિપ્ટેડ તત્વોનો સમાવેશ થાય છે (ઉદાહરણ તરીકે, પ્રમાણપત્ર માહિતીનું વિનિમય હવે એનક્રિપ્ટ થયેલ છે) સંભવિત ટ્રાફિક ઇવ્સડ્રોપરને સંકેતોનું પ્રમાણ ઘટાડવા માટે, તેમજ અમુક કી એક્સચેન્જ મોડ્સનો ઉપયોગ કરતી વખતે ગુપ્તતાને ફોરવર્ડ કરવા માટેના સુધારાઓ કે જેથી સંચાર ભવિષ્યમાં તેને એન્ક્રિપ્ટ કરવા માટે ઉપયોગમાં લેવાતા અલ્ગોરિધમ્સ સાથે ચેડાં કરવામાં આવે તો પણ દરેક સમયે સુરક્ષિત રહેવું જોઈએ."

આધુનિક પ્રોટોકોલ અને ડીડીઓએસનો વિકાસ

જેમ તમે પ્રોટોકોલના વિકાસ દરમિયાન પહેલાથી જ વાંચ્યું હશે અને પછી પણ, IETF TLS કાર્યકારી જૂથમાં ગંભીર વિરોધાભાસ ઉભો થયો. તે હવે સ્પષ્ટ છે કે વ્યક્તિગત સાહસોએ (નાણાકીય સંસ્થાઓ સહિત) પ્રોટોકોલના હવે બિલ્ટ-ઇનને સમાવવા માટે તેમના પોતાના નેટવર્કને સુરક્ષિત કરવાની રીત બદલવી પડશે. સંપૂર્ણ ફોરવર્ડ ગુપ્તતા.

આ શા માટે જરૂરી હોઈ શકે તે કારણો દસ્તાવેજમાં દર્શાવવામાં આવ્યા છે, સ્ટીવ ફેન્ટર દ્વારા લખાયેલ. 20-પૃષ્ઠના પેપરમાં ઘણા ઉદાહરણોનો ઉલ્લેખ કરવામાં આવ્યો છે જ્યાં એન્ટરપ્રાઇઝ મોનિટરિંગ, કમ્પ્લાયન્સ અથવા એપ્લિકેશન લેયર (L7) DDoS સુરક્ષા હેતુઓ માટે આઉટ-ઓફ-બેન્ડ ટ્રાફિક (જે PFS મંજૂરી આપતું નથી) ડિક્રિપ્ટ કરવા માંગે છે.

જ્યારે અમે ચોક્કસપણે નિયમનકારી જરૂરિયાતો પર અનુમાન કરવા માટે તૈયાર નથી, અમારી માલિકીની એપ્લિકેશન DDoS શમન ઉત્પાદન (સોલ્યુશન સહિત જાહેર કરવાની જરૂર નથી સંવેદનશીલ અને/અથવા ગોપનીય માહિતી) 2012 માં PFS ને ધ્યાનમાં લઈને બનાવવામાં આવી હતી, તેથી અમારા ગ્રાહકો અને ભાગીદારોએ સર્વર બાજુ પર TLS સંસ્કરણ અપડેટ કર્યા પછી તેમના ઇન્ફ્રાસ્ટ્રક્ચરમાં કોઈ ફેરફાર કરવાની જરૂર નથી.

ઉપરાંત, અમલીકરણથી, પરિવહન એન્ક્રિપ્શન સંબંધિત કોઈ સમસ્યા ઓળખવામાં આવી નથી. તે સત્તાવાર છે: TLS 1.3 ઉત્પાદન માટે તૈયાર છે.

જો કે, હજુ પણ નેક્સ્ટ જનરેશન પ્રોટોકોલના વિકાસ સાથે સંકળાયેલી સમસ્યા છે. સમસ્યા એ છે કે IETF માં પ્રોટોકોલ પ્રગતિ સામાન્ય રીતે શૈક્ષણિક સંશોધન પર ખૂબ જ નિર્ભર છે, અને ડિસ્ટ્રિબ્યુટેડ ડિનાયલ-ઓફ-સર્વિસ હુમલાઓને ઘટાડવાના ક્ષેત્રમાં શૈક્ષણિક સંશોધનની સ્થિતિ નિરાશાજનક છે.

તેથી, એક સારું ઉદાહરણ હશે વિભાગ 4.4 IETF ડ્રાફ્ટ "QUIC વ્યવસ્થાપનક્ષમતા," આગામી QUIC પ્રોટોકોલ સ્યુટનો ભાગ, જણાવે છે કે "[DDoS હુમલા] શોધવા અને ઘટાડવા માટેની આધુનિક પદ્ધતિઓમાં સામાન્ય રીતે નેટવર્ક ફ્લો ડેટાનો ઉપયોગ કરીને નિષ્ક્રિય માપનનો સમાવેશ થાય છે."

બાદમાં, વાસ્તવમાં, વાસ્તવિક એન્ટરપ્રાઇઝ વાતાવરણમાં ખૂબ જ દુર્લભ છે (અને માત્ર ISP ને આંશિક રીતે લાગુ પડે છે), અને કોઈ પણ સંજોગોમાં વાસ્તવિક દુનિયામાં "સામાન્ય કેસ" હોવાની શક્યતા નથી - પરંતુ તે વૈજ્ઞાનિક પ્રકાશનોમાં સતત દેખાય છે, સામાન્ય રીતે સમર્થિત નથી. સંભવિત DDoS હુમલાઓના સમગ્ર સ્પેક્ટ્રમનું પરીક્ષણ કરીને, એપ્લિકેશન સ્તરના હુમલાઓ સહિત. બાદમાં, TLSની ઓછામાં ઓછી વિશ્વવ્યાપી જમાવટને કારણે, દેખીતી રીતે નેટવર્ક પેકેટો અને પ્રવાહોના નિષ્ક્રિય માપન દ્વારા શોધી શકાતું નથી.

તેવી જ રીતે, અમને હજુ સુધી ખબર નથી કે DDoS મિટિગેશન હાર્ડવેર વિક્રેતાઓ TLS 1.3 ની વાસ્તવિકતાઓ સાથે કેવી રીતે અનુકૂલન કરશે. આઉટ-ઓફ-બેન્ડ પ્રોટોકોલને ટેકો આપવાની તકનીકી જટિલતાને લીધે, અપગ્રેડ કરવામાં થોડો સમય લાગી શકે છે.

સંશોધનને માર્ગદર્શન આપવા માટે યોગ્ય લક્ષ્યો નક્કી કરવા એ DDoS મિટિગેશન સેવા પ્રદાતાઓ માટે એક મોટો પડકાર છે. એક ક્ષેત્ર જ્યાં વિકાસ શરૂ થઈ શકે છે સ્માર્ટ સંશોધન જૂથ IRTF પર, જ્યાં સંશોધકો પડકારરૂપ ઉદ્યોગ વિશેના તેમના પોતાના જ્ઞાનને શુદ્ધ કરવા અને સંશોધનના નવા રસ્તાઓ શોધવા માટે ઉદ્યોગ સાથે સહયોગ કરી શકે છે. અમે બધા સંશોધકોનું પણ હાર્દિક સ્વાગત કરીએ છીએ, જો કોઈ હોય તો - DDoS સંશોધન અથવા SMART સંશોધન જૂથ સંબંધિત પ્રશ્નો અથવા સૂચનો સાથે અમારો સંપર્ક કરી શકાય છે. [ઇમેઇલ સુરક્ષિત]

સોર્સ: www.habr.com