Di destpêka salê de, di raportek li ser pirsgirêkên înternetê û gihîştina 2018-2019 de ku belavbûna TLS 1.3 neçar e. Demek berê, me bixwe guhertoya 1.3 ya protokola Ewlekariya Layera Veguhastinê bicîh kir û, piştî berhevkirin û analîzkirina daneyan, em di dawiyê de amade ne ku li ser taybetmendiyên vê veguheztinê biaxivin.
Serokên Koma Xebatê ya IETF TLS :
"Bi kurtasî, TLS 1.3 divê ji bo 20 salên pêş de bingehek ji bo înternetek ewledar û bikêrhatî peyda bike."
Pêşveçûn 10 salên dirêj girt. Me li Qrator Labs, ligel yên din ên pîşesaziyê, ji pêşnûmeya destpêkê ve pêvajoya afirandina protokolê ji nêz ve şopand. Di vê demê de, pêdivî bû ku 28 guhertoyên li pey hev ên pêşnûmeyê binivîsin da ku di dawiyê de ronahiya protokolek hevseng û hêsan-karsaz di sala 2019-an de were dîtin. Piştgiriya bazarê ya çalak ji bo TLS 1.3 jixwe diyar e: pêkanîna protokolek ewlehiyê ya îsbatkirî û pêbawer hewcedariyên demê pêk tîne.
Li gorî Eric Rescorla (Firefox CTO û yekane nivîskarê TLS 1.3) :
"Ev ji bo TLS 1.2 veguherînek bêkêmasî ye, bi karanîna heman kilît û sertîfîkayan, ji ber vê yekê xerîdar û server dikarin bixweber bi TLS 1.3 re têkilî daynin heke ew herdu jî piştgirî bikin," wî got. "Jixwe di asta pirtûkxaneyê de piştgirîyek baş heye, û Chrome û Firefox ji hêla xwerû ve TLS 1.3 çalak dikin."
Di heman demê de, TLS di koma xebatê ya IETF de bi dawî dibe , guhertoyên kevintir ên TLS (tenê TLS 1.2 ji bilî) kevinbûyî û nayên bikar anîn ragihandin. Bi îhtîmalek mezin, RFC-ya dawîn dê berî dawiya havînê were berdan. Ev ji bo pîşesaziya IT-ê nîşanek din e: nûvekirina protokolên şîfrekirinê divê dereng nemîne.
Navnîşek pêkanînên heyî yên TLS 1.3 li Github ji bo her kesê ku li pirtûkxaneya herî maqûl digere heye: . Eşkere ye ku pejirandin û piştgirî ji bo protokola nûvekirî dê - û jixwe - bi lez pêşve diçe. Fêmkirina ka çawa şîfrekirina bingehîn di cîhana nûjen de bûye pir berfireh belav bûye.
Ji TLS 1.2 çi guherî?
Ji :
TLS 1.3 çawa cîhanek çêtir dike?
TLS 1.3 hin avantajên teknîkî vedihewîne - wekî pêvajoyek destanek hêsan a ji bo sazkirina têkiliyek ewledar - û di heman demê de dihêle xerîdar zûtir danişînên bi serveran re ji nû ve bidin destpêkirin. Van tedbîran ji bo kêmkirina derengiya sazkirina pêwendiyê û têkçûna pêwendiyê li ser girêdanên qels, ku bi gelemperî wekî rastdariyek ji bo peydakirina tenê girêdanên HTTP yên neşîfrekirî têne bikar anîn kêm dikin.
Bi heman rengî ya girîng, ew piştgirî ji çend algorîtmayên şîfrekirin û haşkirinê yên mîras û ne ewledar ên ku hîn jî destûr in (her çend nayê pêşniyar kirin) ji bo karanîna bi guhertoyên berê yên TLS, di nav de SHA-1, MD5, DES, 3DES, û AES-CBC, radike. zêdekirina piştgirî ji bo reqemên şîfre yên nû. Pêşveçûnên din hêmanên şîfrekirî yên desthejandinê hene (mînak, pevguhertina agahdariya sertîfîkayê naha hatî şîfre kirin) da ku hêjmara îşaretan li ser gûhdarek potansiyel a seyrûseferê kêm bike, û her weha çêtirkirinên ji bo pêşdebirina nepenîtiyê dema ku hin awayên pevguhertina mifteyê bikar tînin da ku ragihandinê Ger ku di pêşerojê de algorîtmayên ku ji bo şîfrekirina wê têne bikar anîn jî, divê her dem ewledar bimînin."
Pêşxistina protokolên nûjen û DDoS
Wekî ku we berê xwendiye, di dema pêşveçûna protokolê de , di koma xebatê ya IETF TLS de . Naha diyar e ku pargîdaniyên ferdî (di nav de saziyên darayî) neçar in ku awayê ewlehiya tora xwe biguhezînin da ku protokola ku nuha hatî çêkirin bicîh bînin. .
Sedemên ku dibe ku ev pêdivî be di belgeyê de têne destnîşan kirin, . Kaxeza 20-rûpelî behsa çend mînakan dike ku dibe ku pargîdaniyek bixwaze seyrûsefera derveyî-bandê (ya ku PFS destûrê nade) ji bo mebestên parastinê yên DDoS-ê çavdêrî, lihevhatin an pêveka serîlêdanê (L7) deşîfre bike.
Digel ku em bê guman amade ne ku li ser hewcedariyên birêkûpêk spekulasyonê bikin, hilbera kêmkirina DDoS-ya me ya xwedan (tevî çareseriyek agahdariya hesas û/an nepenî) di sala 2012-an de li gorî PFS-ê hate afirandin, ji ber vê yekê xerîdar û hevkarên me ne hewce bûn ku piştî nûvekirina guhertoya TLS-ê li ser milê serverê ti guhertinan di binesaziya xwe de bikin.
Di heman demê de, ji dema pêkanînê ve, ti pirsgirêkên têkildarî şîfrekirina veguhastinê nehatine tespît kirin. Ew fermî ye: TLS 1.3 ji bo hilberînê amade ye.
Lêbelê, hîn jî pirsgirêkek bi pêşveçûna protokolên nifşa paşîn ve girêdayî ye. Pirsgirêk ev e ku pêşkeftina protokolê di IETF-ê de bi gelemperî bi lêkolîna akademîk ve girêdayî ye, û rewşa lêkolîna akademîk di warê kêmkirina êrîşên redkirina-karûbarê belavbûyî de xirab e.
Ji ber vê yekê, mînakek baş dê bibe Pêşniyara IETF "Rêvebirina QUIC", beşek ji pakêta protokola QUIC ya pêşerojê, dibêje ku "rêbazên nûjen ji bo tespîtkirin û kêmkirina [êrîşên DDoS] bi gelemperî pîvandina pasîf bi karanîna daneya herikîna torê digire."
Ya paşîn, bi rastî, di hawîrdorên pargîdaniya rastîn de pir kêm e (û tenê bi qismî ji bo ISP-yan tê sepandin), û di her rewşê de ne mimkûn e ku di cîhana rastîn de "doza gelemperî" be - lê bi domdarî di weşanên zanistî de xuya dike, bi gelemperî nayê piştgirî kirin. bi ceribandina tevahiya spektra êrîşên potansiyel ên DDoS, tevî êrîşên asta serîlêdanê. Ya paşîn, bi kêmî ve bi cîhkirina TLS-ê li çaraliyê cîhanê, eşkere ye ku bi pîvandina pasîf a pakêtên torê û herikandinê nayê tespît kirin.
Di heman demê de, em hîn nizanin ka dê firoşkarên hardware kêmkirina DDoS çawa bi rastiyên TLS 1.3 re adapte bibin. Ji ber tevliheviya teknîkî ya piştgirîkirina protokola derveyî-bandê, nûvekirin dibe ku hin dem bigire.
Sazkirina armancên rast ji bo rêberiya lêkolînê ji bo pêşkêşkerên karûbarê kêmkirina DDoS pirsgirêkek sereke ye. Yek qadeke ku pêşveçûn dikare dest pê bike ev e li IRTF, ku lêkolîner dikarin bi pîşesaziyê re hevkariyê bikin da ku zanîna xwe ya pîşesaziyek dijwar safî bikin û rêyên nû yên lêkolînê bigerin. Em her weha pêşwaziyek germ ji hemî lêkolîneran re dikin, heke hebe - em dikarin bi pirs an pêşniyarên têkildarî lêkolîna DDoS an koma lêkolînê ya SMART re têkilî daynin.
Source: www.habr.com