យើងបានបើកដំណើរការ TLS 1.3 ។ ហេតុអ្វីបានជាអ្នកគួរធ្វើដូចគ្នា។

នៅដើមឆ្នាំនៅក្នុងរបាយការណ៍ស្តីពីបញ្ហាអ៊ីនធឺណិត និងលទ្ធភាពប្រើប្រាស់សម្រាប់ឆ្នាំ 2018-2019 យើងបានសរសេររួចហើយថាការរីករាលដាលនៃ TLS 1.3 គឺជៀសមិនរួច។ មួយរយៈមុននេះ យើងខ្លួនយើងបានដាក់ពង្រាយកំណែ 1.3 នៃពិធីការសុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន ហើយបន្ទាប់ពីប្រមូល និងវិភាគទិន្នន័យ ទីបំផុតយើងបានត្រៀមខ្លួនរួចរាល់ហើយដើម្បីនិយាយអំពីលក្ខណៈនៃការផ្លាស់ប្តូរនេះ។

ប្រធានក្រុមការងារ IETF TLS សរសេរ:
"និយាយឱ្យខ្លី TLS 1.3 គួរតែផ្តល់មូលដ្ឋានគ្រឹះសម្រាប់អ៊ិនធឺណិតដែលមានសុវត្ថិភាព និងមានប្រសិទ្ធភាពជាងមុនសម្រាប់រយៈពេល 20 ឆ្នាំខាងមុខ។"

ការអភិវឌ្ឍន៍ TLS 1.3 ចំណាយពេល 10 ឆ្នាំ។ យើងនៅ Qrator Labs រួមជាមួយនឹងឧស្សាហកម្មផ្សេងទៀត បានតាមដានយ៉ាងដិតដល់នូវដំណើរការបង្កើតពិធីការពីសេចក្តីព្រាងដំបូង។ ក្នុងអំឡុងពេលនេះ វាចាំបាច់ក្នុងការសរសេរ 28 កំណែជាប់គ្នានៃសេចក្តីព្រាង ដើម្បីមើលឃើញពន្លឺនៃពិធីការដែលមានតុល្យភាព និងងាយស្រួលដាក់ឱ្យប្រើប្រាស់នៅឆ្នាំ 2019។ ការគាំទ្រទីផ្សារសកម្មសម្រាប់ TLS 1.3 បានបង្ហាញឱ្យឃើញរួចហើយ៖ ការអនុវត្តពិធីសារសុវត្ថិភាពដែលបង្ហាញឱ្យឃើញ និងគួរឱ្យទុកចិត្តបានបំពេញតាមតម្រូវការនៃពេលវេលា។

យោងតាមលោក Eric Rescorla (Firefox CTO និងអ្នកនិពន្ធតែមួយគត់នៃ TLS 1.3) នៅក្នុងបទសម្ភាសន៍ជាមួយ The Register:

គាត់បាននិយាយថា "នេះគឺជាការជំនួសពេញលេញសម្រាប់ TLS 1.2 ដោយប្រើសោ និងវិញ្ញាបនបត្រដូចគ្នា ដូច្នេះម៉ាស៊ីនភ្ញៀវ និងម៉ាស៊ីនមេអាចទំនាក់ទំនងដោយស្វ័យប្រវត្តិលើ TLS 1.3 ប្រសិនបើពួកគេទាំងពីរគាំទ្រវា" ។ "មានការគាំទ្រដ៏ល្អរួចហើយនៅកម្រិតបណ្ណាល័យ ហើយ Chrome និង Firefox បើក TLS 1.3 តាមលំនាំដើម។"

ស្របគ្នា TLS កំពុងបញ្ចប់នៅក្នុងក្រុមការងារ IETF ការរៀបចំ RFCប្រកាសថាកំណែចាស់របស់ TLS (មិនរាប់បញ្ចូលតែ TLS 1.2) លែងប្រើហើយមិនអាចប្រើបាន។ ភាគច្រើនទំនងជា RFC ចុងក្រោយនឹងត្រូវបានចេញផ្សាយមុនពេលចុងបញ្ចប់នៃរដូវក្តៅ។ នេះគឺជាសញ្ញាមួយផ្សេងទៀតចំពោះឧស្សាហកម្ម IT៖ ការធ្វើបច្ចុប្បន្នភាពពិធីការអ៊ិនគ្រីបមិនគួរត្រូវបានពន្យារពេលទេ។

បញ្ជីនៃការអនុវត្ត TLS 1.3 បច្ចុប្បន្នមាននៅលើ Github សម្រាប់អ្នកដែលស្វែងរកបណ្ណាល័យដែលសមរម្យបំផុត៖ https://github.com/tlswg/tls13-spec/wiki/Implementations. វាច្បាស់ណាស់ថាការសុំកូនចិញ្ចឹម និងការគាំទ្រសម្រាប់ពិធីការដែលបានធ្វើបច្ចុប្បន្នភាពនឹងមាន-ហើយរួចទៅហើយ-កំពុងរីកចម្រើនយ៉ាងឆាប់រហ័ស។ ការយល់ដឹងអំពីរបៀបដែលការអ៊ិនគ្រីបជាមូលដ្ឋានបានក្លាយទៅជានៅក្នុងពិភពសម័យទំនើបបានរីករាលដាលយ៉ាងទូលំទូលាយ។

តើមានអ្វីផ្លាស់ប្តូរចាប់តាំងពី TLS 1.2?

ពី សង្គមអ៊ីនធឺណែត កំណត់សម្គាល់:
"តើ TLS 1.3 ធ្វើឱ្យពិភពលោកក្លាយជាកន្លែងល្អប្រសើរជាងមុនដោយរបៀបណា?

TLS 1.3 រួមបញ្ចូលនូវអត្ថប្រយោជន៍បច្ចេកទេសមួយចំនួន—ដូចជាដំណើរការចាប់ដៃដ៏សាមញ្ញដើម្បីបង្កើតការតភ្ជាប់ដែលមានសុវត្ថិភាព—ហើយក៏អនុញ្ញាតឱ្យអតិថិជនបន្តវគ្គបន្តជាមួយម៉ាស៊ីនមេបានលឿនជាងមុនផងដែរ។ វិធានការទាំងនេះមានគោលបំណងកាត់បន្ថយភាពយឺតយ៉ាវក្នុងការដំឡើងការតភ្ជាប់ និងការបរាជ័យនៃការតភ្ជាប់នៅលើតំណភ្ជាប់ខ្សោយ ដែលជារឿយៗត្រូវបានប្រើជាយុត្តិកម្មសម្រាប់ការផ្តល់តែការតភ្ជាប់ HTTP ដែលមិនបានអ៊ិនគ្រីបប៉ុណ្ណោះ។

សំខាន់ផងដែរ វាដកការគាំទ្រសម្រាប់ការបំប្លែងសារសម្ងាត់ និងអសន្តិសុខមួយចំនួន និងក្បួនដោះស្រាយ hashing ដែលនៅតែត្រូវបានអនុញ្ញាត (ទោះបីជាមិនត្រូវបានណែនាំ) សម្រាប់ប្រើជាមួយកំណែមុនរបស់ TLS រួមទាំង SHA-1, MD5, DES, 3DES និង AES-CBC ខណៈពេលដែល បន្ថែមការគាំទ្រសម្រាប់ឈុតអក្សរសម្ងាត់ថ្មី។ ការកែលម្អផ្សេងទៀតរួមមានធាតុដែលបានអ៊ិនគ្រីបបន្ថែមទៀតនៃការចាប់ដៃ (ឧទាហរណ៍ ការផ្លាស់ប្តូរព័ត៌មានវិញ្ញាបនបត្រឥឡូវនេះត្រូវបានអ៊ិនគ្រីប) ដើម្បីកាត់បន្ថយចំនួនព័ត៌មានជំនួយទៅកាន់អ្នកលួចស្តាប់ចរាចរណ៍ដ៏មានសក្តានុពល ក៏ដូចជាការកែលម្អការបញ្ជូនបន្តសម្ងាត់ នៅពេលប្រើរបៀបផ្លាស់ប្តូរសោរជាក់លាក់ ដើម្បីទំនាក់ទំនង។ គ្រប់ពេលវេលាត្រូវតែរក្សាសុវត្ថិភាព ទោះបីជាក្បួនដោះស្រាយដែលប្រើដើម្បីអ៊ិនគ្រីបវាត្រូវបានសម្របសម្រួលនៅពេលអនាគតក៏ដោយ។"

ការអភិវឌ្ឍន៍ពិធីការទំនើប និង DDoS

ដូចដែលអ្នកប្រហែលជាបានអានរួចហើយ ក្នុងអំឡុងពេលនៃការអភិវឌ្ឍន៍ពិធីការ និងសូម្បីតែបន្ទាប់ពីនៅក្នុងក្រុមការងារ IETF TLS ភាពផ្ទុយគ្នាធ្ងន់ធ្ងរបានកើតឡើង. ឥឡូវនេះវាច្បាស់ណាស់ថា សហគ្រាសបុគ្គល (រួមទាំងស្ថាប័នហិរញ្ញវត្ថុ) នឹងត្រូវផ្លាស់ប្តូរវិធីដែលពួកគេធានាបណ្តាញផ្ទាល់ខ្លួនរបស់ពួកគេ ដើម្បីសម្រួលដល់ពិធីសារដែលភ្ជាប់មកជាមួយឥឡូវនេះ។ ការសម្ងាត់ឆ្ពោះទៅមុខដ៏ល្អឥតខ្ចោះ.

ហេតុផល​ដែល​តម្រូវ​ឱ្យ​មាន​ចែង​ក្នុង​ឯកសារ សរសេរដោយ Steve Fenter. ក្រដាស 20 ទំព័ររៀបរាប់អំពីឧទាហរណ៍ជាច្រើនដែលសហគ្រាសអាចចង់ឌិគ្រីបចរាចរណ៍ក្រៅបណ្តាញ (ដែល PFS មិនអនុញ្ញាត) សម្រាប់ការត្រួតពិនិត្យ ការអនុលោមតាម ឬគោលបំណងការពារស្រទាប់កម្មវិធី (L7) DDoS ។

ខណៈពេលដែលយើងពិតជាមិនបានរៀបចំដើម្បីប៉ាន់ស្មានលើតម្រូវការបទប្បញ្ញត្តិ កម្មវិធីកម្មសិទ្ធិរបស់យើង ផលិតផលកាត់បន្ថយ DDoS (រួមទាំងដំណោះស្រាយ មិនតម្រូវឱ្យមានការបង្ហាញ ព័ត៌មានរសើប និង/ឬព័ត៌មានសម្ងាត់) ត្រូវបានបង្កើតឡើងក្នុងឆ្នាំ 2012 ដោយយក PFS ទៅក្នុងគណនី ដូច្នេះអតិថិជន និងដៃគូរបស់យើងមិនចាំបាច់ធ្វើការផ្លាស់ប្តូរណាមួយចំពោះហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេទេ បន្ទាប់ពីធ្វើបច្ចុប្បន្នភាពកំណែ TLS នៅលើផ្នែកម៉ាស៊ីនមេ។

ដូចគ្នានេះផងដែរចាប់តាំងពីការអនុវត្តមិនមានបញ្ហាទាក់ទងនឹងការអ៊ិនគ្រីបការដឹកជញ្ជូនត្រូវបានកំណត់អត្តសញ្ញាណទេ។ វា​ជា​ផ្លូវការ៖ TLS 1.3 បាន​ត្រៀម​ខ្លួន​ជា​ស្រេច​សម្រាប់​ការ​ផលិត។

ទោះយ៉ាងណាក៏ដោយ នៅតែមានបញ្ហាទាក់ទងនឹងការអភិវឌ្ឍន៍នៃពិធីការជំនាន់ក្រោយ។ បញ្ហាគឺថាដំណើរការពិធីការនៅក្នុង IETF ជាធម្មតាពឹងផ្អែកយ៉ាងខ្លាំងលើការស្រាវជ្រាវសិក្សា ហើយស្ថានភាពនៃការស្រាវជ្រាវសិក្សាក្នុងវិស័យកាត់បន្ថយការវាយប្រហារការបដិសេធនៃសេវាកម្មដែលបានចែកចាយគឺគួរឱ្យសោកស្តាយ។

ដូច្នេះ គំរូដ៏ល្អមួយនឹងជា ផ្នែក 4.4 សេចក្តីព្រាងរបស់ IETF “សមត្ថភាពក្នុងការគ្រប់គ្រង QUIC” ដែលជាផ្នែកនៃឈុតពិធីការ QUIC នាពេលខាងមុខ ចែងថា “វិធីសាស្រ្តទំនើបក្នុងការស្វែងរក និងកាត់បន្ថយ [ការវាយប្រហារ DDoS] ជាធម្មតាពាក់ព័ន្ធនឹងការវាស់វែងអកម្មដោយប្រើទិន្នន័យលំហូរបណ្តាញ។”

តាមពិតទៅ កត្តាចុងក្រោយគឺកម្រមានណាស់នៅក្នុងបរិយាកាសសហគ្រាសពិត (ហើយអាចអនុវត្តបានតែផ្នែកខ្លះចំពោះ ISPs) ហើយក្នុងករណីណាក៏ដោយ ទំនងជាមិនមែនជា "ករណីទូទៅ" នៅក្នុងពិភពពិតទេ ប៉ុន្តែលេចឡើងជានិច្ចនៅក្នុងការបោះពុម្ពផ្សាយបែបវិទ្យាសាស្ត្រ ដែលជាធម្មតាមិនត្រូវបានគាំទ្រ ដោយការសាកល្បងវិសាលគមទាំងមូលនៃការវាយប្រហារ DDoS ដែលមានសក្តានុពល រួមទាំងការវាយប្រហារកម្រិតកម្មវិធី។ ក្រោយមកទៀត ដោយសារតែយ៉ាងហោចណាស់ការដាក់ពង្រាយ TLS ទូទាំងពិភពលោក ជាក់ស្តែងមិនអាចត្រូវបានរកឃើញដោយការវាស់វែងអកម្មនៃកញ្ចប់បណ្តាញ និងលំហូរ។

ដូចគ្នានេះដែរ យើងមិនទាន់ដឹងពីរបៀបដែលអ្នកលក់ផ្នែករឹងកាត់បន្ថយ DDoS នឹងសម្របខ្លួនទៅនឹងការពិតនៃ TLS 1.3 នោះទេ។ ដោយសារភាពស្មុគ្រស្មាញផ្នែកបច្ចេកទេសនៃការគាំទ្រពិធីការក្រៅបណ្តាញ ការធ្វើឱ្យប្រសើរអាចចំណាយពេលខ្លះ។

ការកំណត់គោលដៅត្រឹមត្រូវដើម្បីណែនាំការស្រាវជ្រាវគឺជាបញ្ហាប្រឈមដ៏សំខាន់សម្រាប់អ្នកផ្តល់សេវាកាត់បន្ថយ DDoS ។ តំបន់មួយដែលការអភិវឌ្ឍន៍អាចចាប់ផ្តើម ក្រុមស្រាវជ្រាវ SMART នៅ IRTF ដែលជាកន្លែងដែលអ្នកស្រាវជ្រាវអាចសហការជាមួយឧស្សាហកម្មដើម្បីកែលម្អចំណេះដឹងផ្ទាល់ខ្លួនរបស់ពួកគេអំពីឧស្សាហកម្មដែលមានការប្រកួតប្រជែង និងស្វែងរកវិធីថ្មីៗនៃការស្រាវជ្រាវ។ យើងក៏សូមស្វាគមន៍យ៉ាងកក់ក្តៅចំពោះអ្នកស្រាវជ្រាវទាំងអស់ផងដែរ ប្រសិនបើមាន - យើងអាចទាក់ទងជាមួយសំណួរ ឬការផ្ដល់យោបល់ទាក់ទងនឹងការស្រាវជ្រាវ DDoS ឬក្រុមស្រាវជ្រាវ SMART នៅ rnd@qrator.net

ប្រភព: www.habr.com