Жыл басында 2018-2019 жж. Интернет проблемалары мен қолжетімділік туралы есепте TLS 1.3 таралуы сөзсіз. Біраз уақыт бұрын біз өзіміз Transport Layer Security хаттамасының 1.3 нұсқасын қолдандық және деректерді жинап, талдағаннан кейін біз осы ауысудың ерекшеліктері туралы айтуға дайынбыз.
IETF TLS жұмыс тобының төрағалары :
«Қысқаша айтқанда, TLS 1.3 келесі 20 жыл ішінде қауіпсіз және тиімді Интернет үшін негіз болуы керек».
Даму ұзақ 10 жыл өтті. Біз Qrator Labs-те басқа саламен бірге бастапқы жобадан бастап хаттамаларды жасау процесін мұқият қадағаладық. Осы уақыт ішінде 28 жылы теңдестірілген және қолдануға оңай хаттаманың нұрын көру үшін жобаның 2019 дәйекті нұсқасын жазу қажет болды. TLS 1.3 үшін белсенді нарықтық қолдау қазірдің өзінде айқын: дәлелденген және сенімді қауіпсіздік хаттамасын енгізу уақыт қажеттіліктерін қанағаттандырады.
Эрик Рескорланың айтуынша (Firefox CTO және TLS 1.3-тің жалғыз авторы) :
«Бұл бірдей кілттер мен сертификаттарды қолданатын TLS 1.2 нұсқасын толығымен ауыстыру, сондықтан клиент пен сервер TLS 1.3 арқылы автоматты түрде байланыса алады, егер екеуі де оны қолдаса», - деді ол. «Кітапхана деңгейінде жақсы қолдау бар және Chrome және Firefox әдепкі бойынша TLS 1.3 қосады.»
Сонымен қатар, TLS IETF жұмыс тобында аяқталады , TLS ескі нұсқаларын (тек TLS 1.2 қоспағанда) ескірген және жарамсыз деп жариялайды. Сірә, соңғы RFC жаздың соңына дейін шығарылады. Бұл АТ саласына тағы бір сигнал: шифрлау хаттамаларын жаңартуды кейінге қалдыруға болмайды.
Ағымдағы TLS 1.3 енгізулерінің тізімі ең қолайлы кітапхананы іздейтін кез келген адам үшін Github сайтында қолжетімді: . Жаңартылған хаттаманы қабылдау және қолдау қарқынды түрде жүріп жатқаны және қазірдің өзінде жүріп жатқаны анық. Қазіргі әлемде іргелі шифрлаудың қалай болғанын түсіну өте кең таралған.
TLS 1.2 нұсқасынан бері не өзгерді?
Қайдан :
«TLS 1.3 қалай әлемді жақсырақ орынға айналдырады?
TLS 1.3 белгілі бір техникалық артықшылықтарды қамтиды, мысалы, қауіпсіз қосылымды орнату үшін оңайлатылған қол алысу процесі — және де клиенттерге серверлермен сеанстарды тезірек жалғастыруға мүмкіндік береді. Бұл шаралар тек шифрланбаған HTTP қосылымдарын қамтамасыз ету үшін жиі қолданылатын әлсіз сілтемелердегі қосылымды орнату кідірісін және қосылым сәтсіздіктерін азайтуға арналған.
Ең бастысы, ол SHA-1, MD5, DES, 3DES және AES-CBC қоса, TLS-тің бұрынғы нұсқаларымен пайдалануға әлі рұқсат етілген (бірақ ұсынылмайды) бірнеше ескі және қауіпті шифрлау және хэштеу алгоритмдерін қолдауды жояды. жаңа шифрлар жинағы үшін қолдауды қосу. Басқа жақсартуларға әлеуетті трафикті тыңдаушыға қатысты анықтамалар санын азайту үшін қол алысудың шифрланған элементтерін (мысалы, сертификат ақпаратын алмасу енді шифрланған), сондай-ақ белгілі бір кілт алмасу режимдерін пайдаланған кезде қайта жіберу құпиясын жақсартуды қамтиды. Болашақта оны шифрлау үшін қолданылатын алгоритмдер бұзылса да, әрқашан қауіпсіз болуы керек.
Қазіргі заманғы хаттамаларды және DDoS әзірлеу
Сіз хаттаманы әзірлеу кезінде оқыған шығарсыз , IETF TLS жұмыс тобында . Енді жеке кәсіпорындар (соның ішінде қаржы институттары) хаттаманың ендірілген жүйесіне сәйкес келу үшін өз желілерін қорғау тәсілін өзгертуге тура келетіні анық. .
Бұл талап етілуі мүмкін себептер құжатта көрсетілген, . 20 беттік құжатта DDoS қорғау мақсатында бақылау, сәйкестік немесе қолданбалы деңгей (L7) үшін кәсіпорын жолақтан тыс трафикті (PFS рұқсат бермейді) шифрлауды қалауы мүмкін бірнеше мысалдарды атайды.
Біз реттеуші талаптар туралы ой қозғауға дайын емеспіз, бірақ DDoS азайту өнімі (соның ішінде шешім) құпия және/немесе құпия ақпарат) 2012 жылы PFS ескере отырып жасалған, сондықтан біздің клиенттеріміз бен серіктестеріміз сервер жағында TLS нұсқасын жаңартқаннан кейін инфрақұрылымына қандай да бір өзгерістер енгізудің қажеті жоқ.
Сондай-ақ, іске асырылғаннан бері көліктік шифрлауға қатысты проблемалар анықталған жоқ. Бұл ресми: TLS 1.3 өндіруге дайын.
Дегенмен, келесі буын хаттамаларын әзірлеуге байланысты мәселе әлі де бар. Мәселе мынада, IETF протоколындағы прогресс әдетте академиялық зерттеулерге тәуелді және таратылған қызмет көрсетуден бас тарту шабуылдарын азайту саласындағы академиялық зерттеулердің жағдайы нашар.
Сонымен, жақсы үлгі болар еді IETF жобасында алдағы QUIC протокол жиынтығының бөлігі болып табылатын «QUIC басқару мүмкіндігі» «[DDoS шабуылдарын] анықтау және азайтудың заманауи әдістері әдетте желі ағыны деректерін пайдаланып пассивті өлшеуді қамтиды» делінген.
Соңғысы, шын мәнінде, нақты кәсіпорын орталарында өте сирек кездеседі (және ISP-терге ішінара ғана қолданылады) және кез келген жағдайда нақты әлемде «жалпы жағдай» болуы екіталай - бірақ ғылыми жарияланымдарда үнемі пайда болады, әдетте қолдау көрсетілмейді. әлеуетті DDoS шабуылдарының бүкіл спектрін, соның ішінде қолданба деңгейіндегі шабуылдарды сынау арқылы. Соңғысы, ең болмағанда, TLS-тің бүкіл әлемде қолданылуына байланысты, желілік пакеттер мен ағындарды пассивті өлшеу арқылы анықталуы мүмкін емес.
Сол сияқты, біз DDoS жұмсартатын жабдық жеткізушілері TLS 1.3 шындықтарына қалай бейімделетінін әлі білмейміз. Жолақтан тыс протоколды қолдаудың техникалық күрделілігіне байланысты жаңарту біраз уақыт алуы мүмкін.
Зерттеуге жетекшілік ету үшін дұрыс мақсаттарды қою DDoS азайту қызметін жеткізушілер үшін маңызды мәселе болып табылады. Дамуды бастауға болатын саланың бірі IRTF-те, мұнда зерттеушілер күрделі сала туралы өз білімдерін нақтылау және зерттеудің жаңа жолдарын зерттеу үшін өнеркәсіппен бірлесіп жұмыс істей алады. Сондай-ақ, біз барлық зерттеушілерді жылы шыраймен қарсы аламыз, егер бар болса - DDoS зерттеулеріне немесе SMART зерттеу тобына қатысты сұрақтар немесе ұсыныстар бойынша бізбен хабарласуға болады.
Ақпарат көзі: www.habr.com