Í byrjun árs, í skýrslu um netvandamál og aðgengi 2018-2019 að útbreiðsla TLS 1.3 sé óumflýjanleg. Fyrir nokkru síðan settum við sjálf upp útgáfu 1.3 af Transport Layer Security samskiptareglunum og eftir að hafa safnað og greina gögn erum við loksins tilbúin að tala um eiginleika þessarar umbreytingar.
Formenn IETF TLS vinnuhóps :
"Í stuttu máli ætti TLS 1.3 að leggja grunninn að öruggara og skilvirkara interneti næstu 20 árin."
Þróun tók 10 löng ár. Við hjá Qrator Labs, ásamt restinni af greininni, höfum fylgst náið með ferlinu til að búa til siðareglur frá upphaflegu drögunum. Á þessum tíma var nauðsynlegt að skrifa 28 útgáfur í röð af drögunum til að sjá á endanum ljósið af jafnvægi og auðvelt að dreifa siðareglum árið 2019. Virkur markaðsstuðningur fyrir TLS 1.3 er þegar augljós: innleiðing sannaðrar og áreiðanlegrar öryggisreglur uppfyllir þarfir tímans.
Samkvæmt Eric Rescorla (framkvæmdastjóri Firefox og eini höfundur TLS 1.3) :
„Þetta er algjör staðgengill fyrir TLS 1.2, með sömu lyklum og vottorðum, þannig að viðskiptavinurinn og þjónninn geta átt sjálfkrafa samskipti yfir TLS 1.3 ef þeir styðja það báðir,“ sagði hann. „Það er nú þegar góður stuðningur á bókasafnsstigi og Chrome og Firefox virkja TLS 1.3 sjálfgefið.
Samhliða því lýkur TLS í vinnuhópi IETF , lýsa því yfir að eldri útgáfur af TLS (að undanskildum TLS 1.2) séu úreltar og ónothæfar. Líklegast mun síðasta RFC koma út fyrir lok sumars. Þetta er annað merki til upplýsingatækniiðnaðarins: það ætti ekki að tefja að uppfæra dulkóðunarsamskiptareglur.
Listi yfir núverandi TLS 1.3 útfærslur er fáanlegur á Github fyrir alla sem eru að leita að hentugasta bókasafninu: . Það er ljóst að innleiðing og stuðningur við uppfærða siðareglur mun ganga hratt og er nú þegar. Skilningur á því hvernig grundvallar dulkóðun er orðin í nútíma heimi hefur breiðst út nokkuð víða.
Hvað hefur breyst síðan TLS 1.2?
Af :
„Hvernig gerir TLS 1.3 heiminn að betri stað?
TLS 1.3 felur í sér ákveðna tæknilega kosti — svo sem einfaldað handabandsferli til að koma á öruggri tengingu — og gerir viðskiptavinum einnig kleift að hefja aftur lotur með netþjónum hraðar. Þessum ráðstöfunum er ætlað að draga úr leynd í uppsetningu tenginga og bilun í tengingum á veikum hlekkjum, sem oft eru notaðir sem réttlæting fyrir því að veita aðeins ódulkóðaðar HTTP tengingar.
Jafn mikilvægt er að það fjarlægir stuðning við nokkur eldri og óörugg dulkóðunar- og hassreiknirit sem eru enn leyfð (þó ekki er mælt með því) til notkunar með fyrri útgáfum af TLS, þar á meðal SHA-1, MD5, DES, 3DES og AES-CBC. bætir við stuðningi við nýjar dulmálssvítur. Aðrar endurbætur fela í sér fleiri dulkóðaða þætti handabandsins (til dæmis eru skipti á vottorðaupplýsingum nú dulkóðuð) til að draga úr magni vísbendinga um hugsanlegan umferðahlerara, sem og endurbætur á framsendingarleynd þegar notaðar eru tilteknar lykilskiptistillingar þannig að samskipti verður alltaf að vera öruggur, jafnvel þótt reikniritin sem notuð eru til að dulkóða það séu í hættu í framtíðinni.
Þróun nútíma samskiptareglna og DDoS
Eins og þú hefur kannski þegar lesið, meðan á þróun samskiptareglunnar stóð , í vinnuhópi IETF TLS . Nú er ljóst að einstök fyrirtæki (þar á meðal fjármálastofnanir) verða að breyta því hvernig þau tryggja eigin netkerfi til að koma til móts við innbyggða samskiptareglur. .
Ástæðurnar fyrir því að þess gæti verið krafist eru tilgreindar í skjalinu, . Í 20 blaðsíðna blaðinu eru nefnd nokkur dæmi þar sem fyrirtæki gæti viljað afkóða umferð utan bands (sem PFS leyfir ekki) í eftirliti, samræmi eða notkunarlagi (L7) DDoS verndartilgangi.
Þó að við séum vissulega ekki reiðubúin að velta vöngum yfir eftirlitskröfum, þá er okkar eigin DDoS mótvægisvörn (þar á meðal lausn viðkvæmar og/eða trúnaðarupplýsingar) voru búnar til árið 2012 með hliðsjón af PFS, þannig að viðskiptavinir okkar og samstarfsaðilar þurftu ekki að gera neinar breytingar á innviðum sínum eftir að hafa uppfært TLS útgáfuna á netþjóninum.
Eftir innleiðingu hafa einnig engin vandamál verið greind í tengslum við dulkóðun flutninga. Það er opinbert: TLS 1.3 er tilbúið til framleiðslu.
Hins vegar er enn vandamál í tengslum við þróun næstu kynslóðar samskiptareglna. Vandamálið er að framfarir siðareglur í IETF eru venjulega mjög háðar fræðilegum rannsóknum og staða fræðilegra rannsókna á sviði mildunar dreifðar afneitun-af-þjónustu árásum er slæm.
Svo, gott dæmi væri IETF drögin að „QUIC Manageability“, hluti af væntanlegu QUIC samskiptareglunum, segir að „nútímalegar aðferðir til að greina og draga úr [DDoS árásum] fela venjulega í sér óvirka mælingu með því að nota netflæðisgögn.
Hið síðarnefnda er í raun mjög sjaldgæft í raunverulegu fyrirtækjaumhverfi (og á aðeins við um netþjónustuaðila að hluta) og í öllum tilvikum er ólíklegt að það sé "almennt tilfelli" í hinum raunverulega heimi - en birtist stöðugt í vísindaritum, venjulega ekki studd með því að prófa allt litróf hugsanlegra DDoS árása, þar með talið árásir á forritastigi. Hið síðarnefnda, að minnsta kosti vegna dreifingar TLS um allan heim, er augljóslega ekki hægt að greina með óvirkri mælingu á netpökkum og flæði.
Sömuleiðis vitum við ekki enn hvernig DDoS mótvægisframleiðendur munu laga sig að raunveruleika TLS 1.3. Vegna þess hve tæknilega flókið það er að styðja samskiptareglur utan bands gæti uppfærslan tekið nokkurn tíma.
Að setja rétt markmið til að leiðbeina rannsóknum er mikil áskorun fyrir DDoS mótvægisþjónustuveitendur. Eitt svæði þar sem þróun getur hafist er hjá IRTF, þar sem vísindamenn geta átt í samstarfi við iðnaðinn til að betrumbæta eigin þekkingu á krefjandi atvinnugrein og kanna nýjar rannsóknarleiðir. Við bjóðum einnig alla rannsakendur hjartanlega velkomna ef einhverjir eru - hægt er að hafa samband við okkur með spurningar eða ábendingar sem tengjast DDoS rannsóknum eða SMART rannsóknarhópnum á
Heimild: www.habr.com