Metų pradžioje ataskaitoje apie interneto problemas ir prieinamumą 2018-2019 m. kad TLS 1.3 plitimas yra neišvengiamas. Prieš kurį laiką patys įdiegėme Transport Layer Security protokolo 1.3 versiją ir, surinkę bei išanalizavę duomenis, pagaliau esame pasiruošę kalbėti apie šio perėjimo ypatybes.
IETF TLS darbo grupės pirmininkai :
„Trumpai tariant, TLS 1.3 turėtų būti saugesnio ir efektyvesnio interneto pagrindas ateinančius 20 metų.
Vystymasis truko 10 ilgų metų. Mes, Qrator Labs, kartu su likusia pramonės šaka, atidžiai stebėjome protokolo kūrimo procesą nuo pradinio projekto. Per tą laiką reikėjo parašyti 28 iš eilės juodraščio versijas, kad galiausiai 2019 m. pamatytume subalansuoto ir lengvai įdiegiamo protokolo šviesą. Aktyvus rinkos palaikymas TLS 1.3 jau akivaizdus: patikrintas ir patikimas saugos protokolas atitinka laikmečio poreikius.
Pasak Erico Rescorla (Firefox CTO ir vienintelis TLS 1.3 autorius) :
„Tai yra pilnas TLS 1.2 pakaitalas, naudojant tuos pačius raktus ir sertifikatus, todėl klientas ir serveris gali automatiškai bendrauti per TLS 1.3, jei abu jį palaiko“, – sakė jis. „Bibliotekos lygiu jau yra geras palaikymas, o „Chrome“ ir „Firefox“ įgalina TLS 1.3 pagal numatytuosius nustatymus.
Lygiagrečiai TLS baigiasi IETF darbo grupėje , paskelbdama senesnes TLS versijas (išskyrus tik TLS 1.2) pasenusiomis ir netinkamomis naudoti. Labiausiai tikėtina, kad galutinis RFC bus išleistas iki vasaros pabaigos. Tai dar vienas signalas IT pramonei: šifravimo protokolų atnaujinimas neturėtų būti atidėtas.
Dabartinių TLS 1.3 diegimų sąrašas yra prieinamas Github visiems, ieškantiems tinkamiausios bibliotekos: . Akivaizdu, kad atnaujinto protokolo priėmimas ir palaikymas sparčiai vystysis ir jau vyksta. Supratimas, kaip šiuolaikiniame pasaulyje tapo esminis šifravimas, išplito gana plačiai.
Kas pasikeitė po TLS 1.2?
Nuo :
„Kaip TLS 1.3 daro pasaulį geresne vieta?
TLS 1.3 apima tam tikrus techninius pranašumus, pvz., supaprastintą rankos paspaudimo procesą, kad būtų užmegztas saugus ryšys, ir taip pat leidžia klientams greičiau atnaujinti seansus su serveriais. Šios priemonės skirtos sumažinti ryšio sąrankos delsą ir ryšio gedimus esant silpnoms nuorodoms, kurios dažnai naudojamos kaip pateisinimas teikti tik nešifruotus HTTP ryšius.
Lygiai taip pat svarbu, kad jis pašalina kelių pasenusių ir nesaugių šifravimo ir maišos algoritmų palaikymą, kurie vis dar leidžiami (nors nerekomenduojami) naudoti su ankstesnėmis TLS versijomis, įskaitant SHA-1, MD5, DES, 3DES ir AES-CBC. pridedant palaikymą naujiems šifravimo rinkiniams. Kiti patobulinimai apima labiau užšifruotus rankos paspaudimo elementus (pavyzdžiui, keitimasis sertifikato informacija dabar yra užšifruotas), siekiant sumažinti potencialaus srauto pasiklausytojo užuominų skaičių, taip pat persiuntimo slaptumo patobulinimus, kai naudojami tam tikri raktų mainų režimai, kad būtų užtikrintas ryšys. visada turi išlikti saugus, net jei ateityje bus pažeisti algoritmai, naudojami šifravimui.
Šiuolaikinių protokolų ir DDoS kūrimas
Kaip jau turbūt skaitėte, protokolo kūrimo metu , IETF TLS darbo grupėje . Dabar aišku, kad atskiros įmonės (įskaitant finansų įstaigas) turės pakeisti savo tinklo apsaugos būdą, kad galėtų pritaikyti protokolą, kuris dabar yra integruotas. .
Priežastys, kodėl to gali prireikti, nurodytos dokumente, . 20 puslapių dokumente minimi keli pavyzdžiai, kai įmonė gali norėti iššifruoti už juostos ribų esantį srautą (kurio PFS neleidžia) stebėjimo, atitikties ar taikomojo lygmens (L7) DDoS apsaugos tikslais.
Nors tikrai nesame pasirengę spėlioti dėl reguliavimo reikalavimų, mūsų patentuotas DDoS švelninimo produktas (įskaitant sprendimą jautri ir (arba) konfidenciali informacija) buvo sukurta 2012 m., atsižvelgiant į PFS, todėl mūsų klientams ir partneriams nereikėjo atlikti jokių infrastruktūros pakeitimų, atnaujinus TLS versiją serverio pusėje.
Be to, nuo įdiegimo nebuvo nustatyta jokių su transporto šifravimu susijusių problemų. Tai oficialu: TLS 1.3 paruoštas gamybai.
Tačiau vis dar yra problema, susijusi su naujos kartos protokolų kūrimu. Problema ta, kad IETF protokolo pažanga paprastai labai priklauso nuo akademinių tyrimų, o akademinių tyrimų padėtis paskirstytų paslaugų atsisakymo atakų mažinimo srityje yra niūri.
Taigi, geras pavyzdys būtų IETF projekte „QUIC Manageability“, kuris yra būsimo QUIC protokolų rinkinio dalis, teigiama, kad „modernūs metodai [DDoS atakoms] aptikti ir sušvelninti paprastai apima pasyvų matavimą naudojant tinklo srauto duomenis“.
Tiesą sakant, pastarasis yra labai retas realiose įmonėse (ir tik iš dalies taikomas interneto paslaugų teikėjams), ir bet kuriuo atveju mažai tikėtina, kad tai būtų „bendras atvejis“ realiame pasaulyje, tačiau jis nuolat pasirodo moksliniuose leidiniuose, dažniausiai nepalaikomas. išbandant visą galimų DDoS atakų spektrą, įskaitant programos lygio atakas. Akivaizdu, kad pastarasis, bent jau dėl pasaulinio TLS diegimo, negali būti aptiktas pasyviai matuojant tinklo paketus ir srautus.
Taip pat dar nežinome, kaip DDoS mažinimo aparatinės įrangos pardavėjai prisitaikys prie TLS 1.3 realybės. Dėl išorinio protokolo palaikymo techninio sudėtingumo atnaujinimas gali užtrukti.
DDoS mažinimo paslaugų teikėjų iššūkis yra nustatyti tinkamus tikslus, kuriais vadovaujantis būtų vadovaujamasi moksliniais tyrimais. Viena sritis, kurioje galima pradėti plėtrą, yra IRTF, kur mokslininkai gali bendradarbiauti su pramone, kad patobulintų savo žinias apie sudėtingą pramonę ir ištirtų naujas mokslinių tyrimų galimybes. Taip pat nuoširdžiai sveikiname visus tyrėjus, jei tokių yra – su DDoS tyrimais ar SMART tyrimų grupe susijusiais klausimais ar pasiūlymais galite susisiekti su mumis el.
Šaltinis: www.habr.com