Pada awal tahun, dalam laporan mengenai masalah Internet dan kebolehcapaian untuk 2018-2019 bahawa penyebaran TLS 1.3 tidak dapat dielakkan. Beberapa ketika dahulu, kami sendiri menggunakan versi 1.3 protokol Keselamatan Lapisan Pengangkutan dan, selepas mengumpul dan menganalisis data, kami akhirnya bersedia untuk bercakap tentang ciri peralihan ini.
Pengerusi Kumpulan Kerja IETF TLS :
"Ringkasnya, TLS 1.3 harus menyediakan asas untuk Internet yang lebih selamat dan cekap untuk 20 tahun akan datang."
Pembangunan mengambil masa 10 tahun yang panjang. Kami di Qrator Labs, bersama-sama dengan seluruh industri, telah mengikuti dengan teliti proses penciptaan protokol dari draf awal. Pada masa ini, adalah perlu untuk menulis 28 versi draf berturut-turut untuk akhirnya melihat cahaya protokol yang seimbang dan mudah digunakan pada tahun 2019. Sokongan pasaran aktif untuk TLS 1.3 sudah jelas: pelaksanaan protokol keselamatan yang terbukti dan boleh dipercayai memenuhi keperluan semasa.
Menurut Eric Rescorla (Firefox CTO dan pengarang tunggal TLS 1.3) :
"Ini adalah pengganti lengkap untuk TLS 1.2, menggunakan kunci dan sijil yang sama, jadi pelanggan dan pelayan boleh berkomunikasi secara automatik melalui TLS 1.3 jika kedua-duanya menyokongnya," katanya. "Sudah ada sokongan yang baik di peringkat perpustakaan, dan Chrome dan Firefox mendayakan TLS 1.3 secara lalai."
Secara selari, TLS berakhir dalam kumpulan kerja IETF , mengisytiharkan versi lama TLS (tidak termasuk hanya TLS 1.2) usang dan tidak boleh digunakan. Kemungkinan besar, RFC terakhir akan dikeluarkan sebelum akhir musim panas. Ini adalah satu lagi isyarat kepada industri IT: mengemas kini protokol penyulitan tidak harus ditangguhkan.
Senarai pelaksanaan TLS 1.3 semasa tersedia di Github untuk sesiapa yang mencari perpustakaan yang paling sesuai: . Jelas sekali bahawa penerimaan dan sokongan untuk protokol yang dikemas kini akan—dan sudah pun—berkembang dengan pantas. Pemahaman tentang bagaimana penyulitan asas telah menjadi dalam dunia moden telah tersebar dengan agak meluas.
Apakah yang telah berubah sejak TLS 1.2?
Daripada :
“Bagaimanakah TLS 1.3 menjadikan dunia tempat yang lebih baik?
TLS 1.3 termasuk kelebihan teknikal tertentu—seperti proses jabat tangan yang dipermudahkan untuk mewujudkan sambungan selamat—dan juga membolehkan pelanggan menyambung semula sesi dengan pelayan dengan lebih cepat. Langkah-langkah ini bertujuan untuk mengurangkan kependaman persediaan sambungan dan kegagalan sambungan pada pautan lemah, yang sering digunakan sebagai justifikasi untuk menyediakan hanya sambungan HTTP yang tidak disulitkan.
Sama pentingnya, ia mengalih keluar sokongan untuk beberapa algoritma penyulitan dan pencincangan warisan dan tidak selamat yang masih dibenarkan (walaupun tidak disyorkan) untuk digunakan dengan versi TLS yang lebih awal, termasuk SHA-1, MD5, DES, 3DES dan AES-CBC. manakala menambah sokongan untuk suite sifir baharu. Penambahbaikan lain termasuk lebih banyak elemen jabat tangan yang disulitkan (contohnya, pertukaran maklumat sijil kini disulitkan) untuk mengurangkan jumlah petunjuk kepada penyadap trafik yang berpotensi, serta penambahbaikan pada kerahsiaan majukan apabila menggunakan mod pertukaran kunci tertentu supaya komunikasi pada setiap masa mesti kekal selamat walaupun algoritma yang digunakan untuk menyulitkannya dikompromi pada masa hadapan.”
Pembangunan protokol moden dan DDoS
Seperti yang anda mungkin telah membaca, semasa pembangunan protokol , dalam kumpulan kerja IETF TLS . Kini jelas bahawa perusahaan individu (termasuk institusi kewangan) perlu mengubah cara mereka mengamankan rangkaian mereka sendiri untuk menampung protokol terbina dalam sekarang. .
Sebab mengapa ini mungkin diperlukan dinyatakan dalam dokumen, . Kertas 20 halaman itu menyebut beberapa contoh di mana perusahaan mungkin mahu menyahsulit trafik luar jalur (yang tidak dibenarkan oleh PFS) untuk tujuan pemantauan, pematuhan atau lapisan aplikasi (L7) perlindungan DDoS.
Walaupun kami pastinya tidak bersedia untuk membuat spekulasi mengenai keperluan pengawalseliaan, produk mitigasi DDoS proprietari kami (termasuk penyelesaian maklumat sensitif dan/atau sulit) telah dibuat pada tahun 2012 dengan mengambil kira PFS, jadi pelanggan dan rakan kongsi kami tidak perlu membuat sebarang perubahan pada infrastruktur mereka selepas mengemas kini versi TLS di bahagian pelayan.
Selain itu, sejak pelaksanaan, tiada masalah yang berkaitan dengan penyulitan pengangkutan telah dikenal pasti. Ia rasmi: TLS 1.3 sedia untuk pengeluaran.
Walau bagaimanapun, masih terdapat masalah yang berkaitan dengan pembangunan protokol generasi akan datang. Masalahnya ialah kemajuan protokol dalam IETF lazimnya sangat bergantung pada penyelidikan akademik, dan keadaan penyelidikan akademik dalam bidang mengurangkan serangan penafian perkhidmatan yang diedarkan adalah suram.
Jadi, contoh yang baik adalah Draf IETF "Kebolehurusan QUIC," sebahagian daripada suite protokol QUIC yang akan datang, menyatakan bahawa "kaedah moden untuk mengesan dan mengurangkan [serangan DDoS] biasanya melibatkan pengukuran pasif menggunakan data aliran rangkaian."
Yang terakhir, sebenarnya, sangat jarang berlaku dalam persekitaran perusahaan sebenar (dan hanya sebahagiannya digunakan untuk ISP), dan dalam apa jua keadaan tidak mungkin menjadi "kes umum" di dunia nyata - tetapi muncul sentiasa dalam penerbitan saintifik, biasanya tidak disokong dengan menguji keseluruhan spektrum serangan DDoS yang berpotensi, termasuk serangan peringkat aplikasi. Yang terakhir, disebabkan sekurang-kurangnya penggunaan TLS di seluruh dunia, jelas tidak dapat dikesan dengan pengukuran pasif paket rangkaian dan aliran.
Begitu juga, kami belum mengetahui cara vendor perkakasan pengurangan DDoS akan menyesuaikan diri dengan realiti TLS 1.3. Disebabkan oleh kerumitan teknikal untuk menyokong protokol luar jalur, peningkatan mungkin mengambil sedikit masa.
Menetapkan matlamat yang betul untuk membimbing penyelidikan ialah cabaran utama bagi penyedia perkhidmatan pengurangan DDoS. Satu bidang di mana pembangunan boleh bermula ialah di IRTF, di mana penyelidik boleh bekerjasama dengan industri untuk memperhalusi pengetahuan mereka sendiri tentang industri yang mencabar dan meneroka jalan baharu penyelidikan. Kami juga mengucapkan selamat datang kepada semua penyelidik, sekiranya ada - kami boleh dihubungi dengan soalan atau cadangan berkaitan penyelidikan DDoS atau kumpulan penyelidikan SMART di
Sumber: www.habr.com
