Оны эхэнд 2018-2019 оны интернетийн асуудал, хүртээмжийн талаарх тайланд TLS 1.3-ийн тархалт зайлшгүй юм. Хэсэг хугацааны өмнө бид өөрсдөө Тээврийн давхаргын аюулгүй байдлын протоколын 1.3 хувилбарыг суулгасан бөгөөд өгөгдөл цуглуулж, дүн шинжилгээ хийсний дараа энэ шилжилтийн онцлогуудын талаар ярихад бэлэн боллоо.
IETF TLS Ажлын хэсгийн дарга нар :
"Товчхондоо TLS 1.3 нь дараагийн 20 жилийн хугацаанд илүү найдвартай, үр ашигтай интернетийн үндэс суурийг тавих ёстой."
Хөгжил урт 10 жил зарцуулсан. Qrator Labs-т бид бусад салбарынхантай хамт анхны ноорогоос протокол үүсгэх үйл явцыг анхааралтай дагаж мөрдсөн. Энэ хугацаанд 28 онд тэнцвэртэй, ашиглахад хялбар протоколын гэрлийг харахын тулд төслийн дараалсан 2019 хувилбарыг бичих шаардлагатай байв. TLS 1.3-ийн зах зээлийн идэвхтэй дэмжлэг аль хэдийн тодорхой болсон: батлагдсан, найдвартай хамгаалалтын протоколыг хэрэгжүүлэх нь цаг үеийн хэрэгцээг хангаж байна.
Эрик Рескорлагийн хэлснээр (Firefox CTO ба TLS 1.3-ийн цорын ганц зохиогч) :
"Энэ нь ижил түлхүүр, гэрчилгээг ашиглан TLS 1.2-г бүрэн орлуулах тул үйлчлүүлэгч болон сервер хоёулаа үүнийг дэмждэг бол TLS 1.3-ээр автоматаар харилцах боломжтой" гэж тэр хэлэв. "Номын сангийн түвшинд аль хэдийн сайн дэмжлэг байгаа бөгөөд Chrome болон Firefox нь TLS 1.3-ийг анхдагчаар идэвхжүүлдэг."
Үүний зэрэгцээ IETF-ийн ажлын хэсэгт TLS дуусч байна , TLS-ийн хуучин хувилбаруудыг (зөвхөн TLS 1.2-аас бусад) хуучирсан, ашиглах боломжгүй гэж зарласан. Хамгийн магадлалтай, эцсийн RFC зуны сүүлээс өмнө гарах болно. Энэ бол мэдээллийн технологийн салбарт өөр нэг дохио юм: шифрлэлтийн протоколуудыг шинэчлэхийг хойшлуулж болохгүй.
Одоогийн TLS 1.3 хувилбаруудын жагсаалтыг хамгийн тохиромжтой номын сан хайж байгаа хэн бүхэнд Github дээрээс авах боломжтой. . Шинэчилсэн протоколыг батлах, дэмжих ажил хурдацтай явагдаж байгаа нь тодорхой байна. Орчин үеийн ертөнцөд үндсэн шифрлэлт хэрхэн болсон тухай ойлголт нэлээд өргөн тархсан.
TLS 1.2-оос хойш юу өөрчлөгдсөн бэ?
Эхлээд :
“TLS 1.3 хэрхэн дэлхийг илүү сайхан болгодог вэ?
TLS 1.3 нь аюулгүй холболтыг бий болгохын тулд хялбаршуулсан гар барих процесс гэх мэт техникийн тодорхой давуу талуудыг багтаасан бөгөөд үйлчлүүлэгчдэд серверүүдтэй сессийг илүү хурдан үргэлжлүүлэх боломжийг олгодог. Эдгээр арга хэмжээ нь зөвхөн шифрлэгдээгүй HTTP холболтуудыг хангах үндэслэл болгон ашигладаг сул холбоосууд дээрх холболтын саатал болон холболтын доголдлыг багасгах зорилготой юм.
Үүний нэгэн адил энэ нь SHA-1, MD5, DES, 3DES, AES-CBC зэрэг TLS-ийн өмнөх хувилбаруудад ашиглахыг зөвшөөрөгдсөн (гэхдээ зөвлөдөггүй) хэд хэдэн хуучирсан, найдваргүй шифрлэлт болон хэшлэх алгоритмуудын дэмжлэгийг устгадаг. шинэ шифрийн багцуудад дэмжлэг нэмэх. Бусад сайжруулалтууд нь гар барихын илүү шифрлэгдсэн элементүүдийг (жишээлбэл, гэрчилгээний мэдээлэл солилцох нь одоо шифрлэгдсэн) байж болзошгүй траффикийг чагнагчийг илрүүлэх сэжүүрүүдийн хэмжээг багасгах, түүнчлэн зарим түлхүүр солилцох горимуудыг ашиглах үед дамжуулах нууцлалыг сайжруулсан. Ирээдүйд үүнийг шифрлэхэд ашигласан алгоритмууд эвдэрсэн ч гэсэн үргэлж аюулгүй байх ёстой."
Орчин үеийн протокол ба DDoS-ийг хөгжүүлэх
Протоколыг боловсруулах явцад та аль хэдийн уншсан байх , IETF TLS ажлын хэсэгт . Тусдаа аж ахуйн нэгжүүд (санхүүгийн байгууллагуудыг оролцуулаад) протоколд суулгасан протоколд нийцүүлэхийн тулд өөрсдийн сүлжээгээ хамгаалах арга барилаа өөрчлөх шаардлагатай болох нь тодорхой боллоо. .
Үүнийг шаардаж болох шалтгааныг баримт бичигт тусгасан болно. . 20 хуудас бүхий баримт бичигт аж ахуйн нэгж DDoS хамгаалалтын хяналт, дагаж мөрдөх эсвэл хэрэглээний давхарга (L7) зорилгоор зурвасаас гадуурх урсгалыг (PFS зөвшөөрдөггүй) тайлахыг хүсч болох хэд хэдэн жишээг дурьдсан болно.
Хэдийгээр бид зохицуулалтын шаардлагуудын талаар таамаглахад бэлэн биш байгаа ч DDoS-ийн нөлөөллийг бууруулах бүтээгдэхүүн (шийдвэрийг оруулаад) эмзэг ба/эсвэл нууц мэдээлэл) нь PFS-ийг харгалзан 2012 онд бүтээгдсэн тул манай үйлчлүүлэгчид болон түншүүд серверийн TLS хувилбарыг шинэчилсний дараа дэд бүтцэд ямар нэгэн өөрчлөлт оруулах шаардлагагүй болсон.
Мөн хэрэгжиж эхэлснээс хойш тээврийн шифрлэлттэй холбоотой ямар нэгэн асуудал гараагүй байна. Энэ нь албан ёсны: TLS 1.3 үйлдвэрлэхэд бэлэн байна.
Гэсэн хэдий ч дараагийн үеийн протоколуудыг боловсруулахтай холбоотой асуудал байсаар байна. Асуудал нь IETF-ийн протоколын ахиц дэвшил нь ихэвчлэн эрдэм шинжилгээний судалгаанаас ихээхэн хамааралтай байдаг бөгөөд тараагдсан үйлчилгээнээс татгалзах халдлагыг бууруулах чиглэлээр эрдэм шинжилгээний судалгааны байдал маш муу байна.
Тиймээс сайн жишээ байх болно Удахгүй гарах QUIC протоколын багцын нэг хэсэг болох "QUIC Manageability" IETF төсөлд "[DDoS халдлагыг] илрүүлэх, багасгах орчин үеийн аргууд нь ихэвчлэн сүлжээний урсгалын өгөгдлийг ашиглан идэвхгүй хэмжилтийг агуулдаг" гэж заасан.
Сүүлийнх нь бодит аж ахуйн нэгжийн орчинд маш ховор тохиолддог (мөн ISP-д зөвхөн хэсэгчлэн хамааралтай) бөгөөд ямар ч тохиолдолд бодит ертөнцөд "ерөнхий тохиолдол" байх магадлал багатай боловч шинжлэх ухааны хэвлэлд байнга гарч ирдэг, ихэвчлэн дэмжигддэггүй. боломжит DDoS халдлага, түүний дотор програмын түвшний халдлагуудыг бүхэлд нь турших замаар. Сүүлийнх нь наад зах нь TLS-ийг дэлхий даяар байршуулсны улмаас сүлжээний пакет болон урсгалыг идэвхгүй хэмжих замаар илрүүлэх боломжгүй нь ойлгомжтой.
Үүний нэгэн адил бид DDoS бууруулах техник хангамж үйлдвэрлэгчид TLS 1.3-ийн бодит байдалд хэрхэн дасан зохицож ажиллахыг хараахан мэдэхгүй байна. Хамтлагаас гадуурх протоколыг дэмжих техникийн нарийн төвөгтэй байдлаас шалтгаалан шинэчлэлт хийхэд хэсэг хугацаа шаардагдана.
Судалгааг чиглүүлэхийн тулд зөв зорилго тавих нь DDoS-ийн нөлөөллийг бууруулах үйлчилгээ үзүүлэгчдийн хувьд томоохон сорилт юм. Хөгжлийн эхлэлийг тавьж болох нэг салбар Судлаачид сорилттой салбарын талаарх өөрсдийн мэдлэгээ боловсронгуй болгож, судалгааны шинэ гарцуудыг судлахын тулд салбартай хамтран ажиллах боломжтой IRTF-д. Мөн бид бүх судлаачдыг халуун дотноор угтан авч байна, хэрэв байгаа бол DDoS судалгаа эсвэл SMART судалгааны бүлэгтэй холбоотой асуулт, санал байвал бидэнтэй холбогдож болно.
Эх сурвалж: www.habr.com