Tamin'ny fiandohan'ny taona, tamin'ny tatitra momba ny olana amin'ny Internet sy ny fidirana amin'ny taona 2018-2019 fa tsy azo ihodivirana ny fiparitahan'ny TLS 1.3. Fotoana vitsy lasa izay, ny tenanay dia nametraka ny version 1.3 an'ny protocole Transport Layer Security ary, rehefa avy nanangona sy namakafaka ny angona, dia vonona ny hiresaka momba ny endri-javatra amin'ity tetezamita ity.
IETF TLS Filohan'ny Vondrona Mpiasa :
"Raha fintinina, ny TLS 1.3 dia tokony hanome fototra ho an'ny Internet azo antoka sy mahomby kokoa mandritra ny 20 taona manaraka."
famolavolana naharitra 10 taona. Izahay ao amin'ny Qrator Labs, miaraka amin'ny sisa amin'ny indostria, dia nanaraka akaiky ny fizotran'ny famoronana protocol tamin'ny drafitra voalohany. Nandritra io fotoana io dia nilaina ny nanoratra dikan-teny 28 nifanesy tamin'ny volavolan-dalàna mba hahitana ny hazavan'ny protocol voalanjalanja sy mora ampiasaina amin'ny taona 2019. Ny fanohanana ny tsena mavitrika ho an'ny TLS 1.3 dia efa miharihary: ny fampiharana ny protocol fiarovana voaporofo sy azo antoka dia mahafeno ny filan'ny fotoana.
Araka ny voalazan'i Eric Rescorla (Firefox CTO ary mpanoratra tokana ny TLS 1.3) :
"Ity dia fanoloana feno ho an'ny TLS 1.2, mampiasa fanalahidy sy mari-pankasitrahana mitovy, ka ny mpanjifa sy ny mpizara dia afaka mifandray ho azy amin'ny TLS 1.3 raha samy manohana izany izy ireo," hoy izy. "Efa misy fanohanana tsara eo amin'ny sehatry ny tranomboky, ary ny Chrome sy Firefox dia mamela ny TLS 1.3 amin'ny alàlan'ny default."
Miaraka amin'izany, ny TLS dia mifarana amin'ny vondrona miasa IETF , manambara ny dikan-teny taloha an'ny TLS (tsy misy afa-tsy TLS 1.2) ho lany andro sy tsy azo ampiasaina. Azo inoana fa hivoaka alohan'ny faran'ny fahavaratra ny RFC farany. Famantarana iray hafa ho an'ny indostrian'ny IT ity: tsy tokony hahemotra ny fanavaozana ny protocols encryption.
Misy lisitry ny fampiharana TLS 1.3 amin'izao fotoana izao ao amin'ny Github ho an'izay mitady tranomboky mety indrindra: . Mazava fa ny fananganana sy ny fanohanana ny protocol nohavaozina dia ho-ary efa mandroso haingana. Niparitaka be ny fahatakarana ny nahatonga ny fanafenana fototra amin'izao tontolo maoderina izao.
Inona no niova hatramin'ny TLS 1.2?
avy amin'ny :
“Ahoana no mahatonga ny TLS 1.3 ho toerana tsara kokoa izao tontolo izao?
Ny TLS 1.3 dia ahitana tombony ara-teknika sasany—toy ny fizotry ny fifampikasohana tsotsotra mba hametrahana fifandraisana azo antoka—ary mamela ny mpanjifa hanohy haingana kokoa ny fotoam-pivoriana miaraka amin'ireo mpizara. Ireo fepetra ireo dia natao hampihenana ny faharetan'ny fametrahana fifandraisana sy ny tsy fahombiazan'ny fifandraisana amin'ny rohy malemy, izay matetika ampiasaina ho fanamarinana amin'ny fanomezana fifandraisana HTTP tsy voafehy ihany.
Ny tena zava-dehibe dia manaisotra ny fanohanan'ny lova maro sy ny fanafenana tsy azo antoka ary ny algorithm hashing izay mbola avela (na dia tsy soso-kevitra aza) hampiasaina amin'ny dikan-teny TLS teo aloha, anisan'izany ny SHA-1, MD5, DES, 3DES ary AES-CBC. manampy fanohanana ireo suite cipher vaovao. Ny fanatsarana hafa dia ahitana singa misy miafina kokoa amin'ny fifanomezan-tànana (ohatra, ny fifanakalozam-baovaon'ny mari-pankasitrahana dia voafehy ankehitriny) mba hampihenana ny habetsaky ny fanondro amin'ny mety ho sofin'ny fifamoivoizana, ary koa ny fanatsarana ny fandefasana tsiambaratelo rehefa mampiasa ny fomba fifanakalozana fototra sasany mba ahafahana mifandray amin'ny fotoana rehetra dia tsy maintsy mijanona ho azo antoka na dia simba amin'ny ho avy aza ny algorithm ampiasaina amin'ny fanafenana azy.
Fampandrosoana ny protocols maoderina sy DDoS
Araka ny efa novakianao, nandritra ny fampandrosoana ny protocol , ao amin'ny vondrona miasa IETF TLS . Mazava izao fa ny orinasa tsirairay (anisan'izany ireo andrim-panjakana ara-bola) dia tsy maintsy manova ny fomba fiarovana ny tambajotrany manokana mba handraisana ny protocole efa voaorina ankehitriny. .
Ny antony mety itakiana izany dia voalaza ao amin'ny antontan-taratasy, . Ny taratasy 20-pejy dia manonona ohatra maromaro izay mety haniry ny hanaisotra ny fifamoivoizana ivelan'ny tarika (izay tsy avelan'ny PFS) ho an'ny fanaraha-maso, fanaraha-maso na sosona fampiharana (L7) DDoS fiarovana.
Na dia azo antoka aza fa tsy vonona ny hanombantombana ny fepetra takian'ny lalàna izahay, ny vokatra fanalefahana DDoS fampiharana anay (anisan'izany ny vahaolana vaovao saro-pady sy/na tsiambaratelo) dia noforonina tamin'ny taona 2012 tamin'ny fandraisana ny PFS, ka tsy mila manova ny fotodrafitrasany ny mpanjifanay sy ny mpiara-miombon'antoka rehefa avy nanavao ny dikan-tLS amin'ny lafiny server.
Ary koa, hatramin'ny fampiharana dia tsy nisy olana mifandraika amin'ny fanafenana fitaterana hita. Ofisialy izany: TLS 1.3 dia vonona amin'ny famokarana.
Na izany aza, mbola misy olana mifandray amin'ny fivoaran'ny protocols manaraka. Ny olana dia ny fandrosoan'ny protocole ao amin'ny IETF dia miankina betsaka amin'ny fikarohana akademika, ary ny toetry ny fikarohana akademika eo amin'ny sehatry ny fanalefahana ny fanafihan'ny fandavana ny serivisy dia manjavozavo.
Noho izany, dia ho ohatra tsara Ny drafitra IETF "QUIC Manageability," ampahany amin'ny suite protocol QUIC ho avy, dia milaza fa "ny fomba maoderina hamantarana sy hanalefahana ny [fanafihana DDoS] dia matetika misy fandrefesana passive amin'ny fampiasana angon-drakitra tambajotra."
Ity farany ity, raha ny marina, dia tena tsy fahita firy amin'ny tontolon'ny orinasa tena izy (ary amin'ny ampahany ihany no azo ampiharina amin'ny ISP), ary amin'ny tranga rehetra dia tsy azo inoana fa "tranga ankapobeny" eo amin'ny tontolo tena izy - fa miseho tsy tapaka amin'ny famoahana siantifika, matetika tsy tohanana. amin'ny alàlan'ny fitsapana ny karazany rehetra amin'ny mety ho fanafihana DDoS, anisan'izany ny fanafihana amin'ny ambaratonga fampiharana. Ity farany, noho ny fampielezam-peo maneran-tany ny TLS, dia mazava ho azy fa tsy ho hita amin'ny alalan'ny fandrefesana passive ny fonosan'ny tambajotra sy ny fikorianan'izy ireo.
Toy izany koa, tsy mbola fantatsika ny fomba hampifanaraka ny mpivarotra fitaovana fanalefahana DDoS amin'ny zava-misy amin'ny TLS 1.3. Noho ny fahasarotana ara-teknika amin'ny fanohanana ny protocol ivelan'ny tarika dia mety haharitra ela ny fanavaozana.
Fanamby lehibe ho an'ireo mpanome tolotra fanalefahana DDoS ny fametrahana tanjona tsara hitarihana ny fikarohana. Sehatra iray ahafahana manomboka ny fampandrosoana ao amin'ny IRTF, izay ahafahan'ny mpikaroka miara-miasa amin'ny indostria hanatsara ny fahalalany manokana momba ny indostria sarotra sy hikaroka fomba fikarohana vaovao. Miarahaba antsika mpikaroka rehetra ihany koa izahay, raha misy - afaka mifandray aminay amin'ny fanontaniana na soso-kevitra mifandraika amin'ny fikarohana DDoS na ny vondrona mpikaroka SMART ao amin'ny
Source: www.habr.com