Жылдын башында 2018-2019-жылдар үчүн Интернет көйгөйлөрү жана жеткиликтүүлүк жөнүндө отчетунда TLS 1.3 таралышы сөзсүз болот. Бир нече убакыт мурун, биз өзүбүз транспорттук катмардын коопсуздугу протоколунун 1.3 версиясын орноттук жана маалыматтарды чогултуп, талдап чыккандан кийин, акыры бул өткөөлдүн өзгөчөлүктөрү жөнүндө сүйлөшүүгө даярбыз.
IETF TLS жумушчу тобунун төрагалары :
"Кыскача айтканда, TLS 1.3 кийинки 20 жыл үчүн коопсуз жана натыйжалуу Интернет үчүн негиз болушу керек."
дизайн узак 10 жыл өттү. Биз Qrator Лабораториясында, башка тармактар менен бирге, баштапкы долбоордон баштап протоколду түзүү процессине кылдат көз салдык. Бул убакыттын ичинде, 28-жылы тең салмактуу жана колдонууга оңой протоколдун жарыгын көрүү үчүн долбоордун ырааттуу 2019 версиясын жазуу керек болчу. TLS 1.3 үчүн активдүү рыноктук колдоо буга чейин эле көрүнүп турат: далилденген жана ишенимдүү коопсуздук протоколун ишке ашыруу мезгилдин талаптарына жооп берет.
Эрик Рескорла (Firefox CTO жана TLS 1.3тин жалгыз автору) айтымында :
"Бул бир эле ачкычтарды жана сертификаттарды колдонуу менен TLS 1.2 үчүн толук алмаштыруу, ошондуктан кардар менен сервер TLS 1.3 аркылуу автоматтык түрдө байланыша алышат, эгерде экөө тең колдосо," деди ал. "Китепкананын деңгээлинде мурунтан эле жакшы колдоо бар жана Chrome жана Firefox демейки боюнча TLS 1.3ти иштетет."
Буга катар эле, TLS IETF жумушчу тобунда аяктап жатат , TLS эски версияларын (TLS 1.2 гана кошпогондо) эскирген жана колдонууга жараксыз деп жарыялоо. Кыязы, акыркы RFC жайдын аягына чейин чыгат. Бул IT индустриясына дагы бир сигнал: шифрлөө протоколдорун жаңыртуу кечиктирилиши керек эмес.
Учурдагы TLS 1.3 ишке ашыруулардын тизмеси эң ылайыктуу китепкананы издеген адамдар үчүн Githubда жеткиликтүү: . Жаңыртылган протоколду кабыл алуу жана колдоо тездик менен жүрүп жатканы жана азыртадан эле жүрүп жатканы түшүнүктүү. Заманбап дүйнөдө фундаменталдуу шифрлөө кандай болуп калганын түшүнүү кеңири жайылды.
TLS 1.2ден бери эмне өзгөрдү?
чейин :
"TLS 1.3 кантип дүйнөнү жакшыраак кылат?
TLS 1.3 коопсуз байланышты түзүү үчүн жөнөкөйлөштүрүлгөн кол алышуу процесси сыяктуу белгилүү бир техникалык артыкчылыктарды камтыйт жана ошондой эле кардарларга серверлер менен сессияларды тезирээк улантууга мүмкүндүк берет. Бул чаралар көбүнчө шифрленбеген HTTP туташуулар менен камсыз кылуу үчүн негиз катары колдонулган алсыз шилтемелердеги туташуунун кечигүү убактысын жана туташуу каталарын азайтуу үчүн арналган.
Маанилүү болгондой эле, ал TLSтин мурунку версиялары, анын ичинде SHA-1, MD5, DES, 3DES жана AES-CBC менен колдонууга уруксат берилген (бирок сунушталбайт) бир нече эски жана кооптуу шифрлөө жана хэширлөө алгоритмдерин колдоону жок кылат. жаңы шифр топтомун колдоо кошуу. Башка өркүндөтүүлөргө кол алышуунун шифрленген элементтери кирет (мисалы, күбөлүк маалыматы менен алмашуу азыр шифрленген), трафиктин потенциалдуу тыңшоочусуна болгон ачкычтардын санын азайтуу үчүн, ошондой эле айрым ачкыч алмашуу режимдерин колдонууда сырды кайра жөнөтүүнү жакшыртуу. Келечекте аны шифрлөө үчүн колдонулган алгоритмдер бузулса дагы, ар дайым коопсуз бойдон калууга тийиш.
Заманбап протоколдорду жана DDoS иштеп чыгуу
Протоколду иштеп чыгуу учурунда сиз буга чейин окугансыз , IETF TLS жумушчу тобунда . Эми айрым ишканалар (анын ичинде финансы институттары) протоколдун азыр орнотулганын жайгаштыруу үчүн өз тармагын коргоо ыкмасын өзгөртүүгө туура келери түшүнүктүү. .
Бул талап кылынышы мүмкүн болгон себептер документте, . 20 барактан турган кагазда DDoS коргоо максатында мониторинг, шайкештик же колдонмо катмары (L7) үчүн ишкана диапазондон тышкаркы трафиктин шифрин чечүүнү каалашы мүмкүн болгон бир нече мисалдарды эскерет.
Биз, албетте, ченемдик укуктук талаптар боюнча ой жүгүртүүгө даяр эмес болсок да, биздин менчик колдонмо DDoS жумшартуучу продукт (анын ичинде чечим сезимтал жана/же купуя маалымат) 2012-жылы PFS эске алуу менен түзүлгөн, ошондуктан биздин кардарлар жана өнөктөштөр сервер тарабында TLS версиясын жаңырткандан кийин алардын инфраструктурасына эч кандай өзгөртүүлөрдү киргизүүнүн кереги жок болчу.
Ошондой эле, ишке ашырылгандан бери транспорттук шифрлөө менен байланышкан көйгөйлөр аныкталган эмес. Бул расмий: TLS 1.3 өндүрүшкө даяр.
Бирок, кийинки муундагы протоколдорду иштеп чыгуу менен байланышкан көйгөй дагы эле бар. Көйгөй IETF протоколунун прогресси, адатта, академиялык изилдөөлөрдөн көз каранды жана бөлүштүрүлгөн кызмат көрсөтүүдөн баш тартуу чабуулдарын азайтуу жаатындагы академиялык изилдөөлөрдүн абалы начар.
Ошентип, жакшы үлгү болот IETF долбоорунда "QUIC башкаруу жөндөмдүүлүгү" алдыдагы QUIC протоколдор топтомунун бир бөлүгү, "[DDoS чабуулдарын] аныктоонун жана азайтуунун заманбап ыкмалары, адатта, тармактын агымынын маалыматтарын колдонуу менен пассивдүү өлчөөнү камтыйт" деп айтылат.
Акыркысы, чындыгында, чыныгы ишкана чөйрөлөрүндө өтө сейрек кездешет (жана ISPлерге жарым-жартылай гана тиешелүү) жана кандай болгон күндө да чыныгы дүйнөдө "жалпы окуя" болушу күмөн - бирок илимий басылмаларда дайыма пайда болот, адатта колдоого алынбайт. мүмкүн болуучу DDoS чабуулдарынын бүт спектрин, анын ичинде колдонмо деңгээлиндеги чабуулдарды сыноо аркылуу. Акыркысы, жок эле дегенде, TLSтин дүйнө жүзү боюнча жайылышына байланыштуу, тармак пакеттерин жана агымдарын пассивдүү өлчөө жолу менен аныктоо мүмкүн эмес.
Ошо сыяктуу эле, DDoS жумшартуу аппараттык камсыздоочулары TLS 1.3 реалдуулуктарына кантип ыңгайлашарын азырынча билбейбиз. Типтен тышкаркы протоколду колдоонун техникалык татаалдыгынан улам жаңыртуу бир аз убакытты талап кылышы мүмкүн.
Изилдөөгө туура максаттарды коюу DDoS жумшартуу кызмат көрсөтүүчүлөрү үчүн негизги көйгөй болуп саналат. Өнүгүү баштала турган аймактын бири IRTFте, изилдөөчүлөр татаал тармак боюнча өз билимдерин өркүндөтүү жана изилдөөнүн жаңы жолдорун изилдөө үчүн өнөр жай менен кызматташа алышат. Биз ошондой эле бардык изилдөөчүлөрдү жылуу тосуп алабыз, эгер бар болсо - DDoS изилдөөсүнө же SMART изилдөө тобуна байланыштуу суроолор же сунуштар боюнча биз менен байланыша алабыз.
Source: www.habr.com