ကျွန်ုပ်တို့သည် TLS 1.3 ကိုဖွင့်ထားသည်။ ဘာကြောင့် ဒီလိုပဲ လုပ်သင့်တာလဲ။

နှစ်အစတွင်၊ 2018-2019 အတွက် အင်တာနက်ပြဿနာများနှင့် သုံးစွဲနိုင်မှုဆိုင်ရာ အစီရင်ခံစာတွင် ဖော်ပြထားသည်။ ငါတို့ရေးပြီးပြီ။TLS 1.3 ပျံ့နှံ့မှုသည် ရှောင်လွှဲ၍မရပါ။ လွန်ခဲ့သည့်အချိန်အနည်းငယ်က ကျွန်ုပ်တို့ကိုယ်တိုင်သည် Transport Layer Security protocol ၏ဗားရှင်း 1.3 ကို အသုံးပြုခဲ့ပြီး၊ ဒေတာစုဆောင်းခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာပြီးနောက်၊ ဤအကူးအပြောင်း၏အင်္ဂါရပ်များအကြောင်း ပြောဆိုရန် အဆင်သင့်ဖြစ်နေပါပြီ။

IETF TLS လုပ်ငန်းအဖွဲ့ ဥက္ကဋ္ဌများ ရေးသား:
“တိုတိုပြောရရင် TLS 1.3 ဟာ လာမယ့်နှစ် 20 အတွင်း ပိုမိုလုံခြုံပြီး ထိရောက်တဲ့အင်တာနက်အတွက် အခြေခံအုတ်မြစ်ကို ပံ့ပိုးပေးသင့်ပါတယ်။”

ပုံစံ TLS ၁.၃ ၁၀ နှစ်ကြာတယ်။ Qrator Labs မှ ကျွန်ုပ်တို့သည် အခြားစက်မှုလုပ်ငန်းအားလုံးနှင့်အတူ ကနဦးမူကြမ်းမှ ပရိုတိုကောဖန်တီးမှုလုပ်ငန်းစဉ်ကို အနီးကပ်လိုက်နာခဲ့သည်။ ဤအချိန်အတောအတွင်း၊ 10 ခုနှစ်တွင် ဟန်ချက်ညီပြီး အသုံးပြုရလွယ်ကူသော ပရိုတိုကောကို အဆုံးစွန်ထိ မြင်နိုင်စေရန်အတွက် မူကြမ်း 28 ခုကို ဆက်တိုက်ရေးသားရန် လိုအပ်ပါသည်။ TLS 2019 အတွက် တက်ကြွသောစျေးကွက်ပံ့ပိုးမှုမှာ ထင်ရှားနေပြီဖြစ်သည်- သက်သေပြပြီး ယုံကြည်စိတ်ချရသော လုံခြုံရေးပရိုတိုကောကို အကောင်အထည်ဖော်ခြင်းသည် ခေတ်၏လိုအပ်ချက်များနှင့် ကိုက်ညီပါသည်။

Eric Rescorla (Firefox CTO နှင့် TLS 1.3 ၏တစ်ဦးတည်းရေးသားသူ) ၏အဆိုအရ The Register နှင့် အင်တာဗျူးတစ်ခုတွင်:

"၎င်းသည် တူညီသောသော့များနှင့် လက်မှတ်များကို အသုံးပြု၍ TLS 1.2 အတွက် ပြီးပြည့်စုံသော အစားထိုးမှုဖြစ်သည်၊ ထို့ကြောင့် client နှင့် server သည် ၎င်းတို့နှစ်ဦးလုံးကို ပံ့ပိုးပါက TLS 1.3 နှင့် အလိုအလျောက် ဆက်သွယ်နိုင်သည်" ဟု ၎င်းက ပြောသည်။ "စာကြည့်တိုက်အဆင့်တွင် ကောင်းမွန်သောပံ့ပိုးမှုရှိပြီး Chrome နှင့် Firefox သည် TLS 1.3 ကို မူရင်းအတိုင်းဖွင့်ထားသည်။"

တဆက်တည်းတွင်၊ TLS သည် IETF အလုပ်အဖွဲ့တွင် အဆုံးသတ်ပါသည်။ RFC ပြင်ဆင်မှုTLS ဗားရှင်းအဟောင်းများ ( TLS 1.2 တစ်ခုတည်းသာ မပါ) အသုံးမပြုတော့ဘဲ အသုံးမပြုနိုင်တော့ကြောင်း ကြေငြာသည်။ ဖြစ်နိုင်ချေများသောအားဖြင့် RFC သည် နွေရာသီမကုန်မီတွင် နောက်ဆုံးထွက်ရှိမည်ဖြစ်သည်။ ဤသည်မှာ အိုင်တီလုပ်ငန်းအတွက် နောက်ထပ်အချက်တစ်ခုဖြစ်သည်- ကုဒ်ဝှက်ပရိုတိုကောများကို အပ်ဒိတ်လုပ်ခြင်းကို နှောင့်နှေးမနေသင့်ပါ။

လက်ရှိ TLS 1.3 အကောင်အထည်ဖော်မှုစာရင်းကို အသင့်တော်ဆုံးစာကြည့်တိုက်ကို ရှာဖွေနေသူတိုင်းအတွက် Github တွင် ရနိုင်သည်- https://github.com/tlswg/tls13-spec/wiki/Implementations. အပ်ဒိတ်လုပ်ထုံးလုပ်နည်းအတွက် မွေးစားခြင်းနှင့် ပံ့ပိုးမှုတို့သည် လျင်မြန်စွာ တိုးတက်နေပြီဖြစ်သည်မှာ ရှင်းပါသည်။ ခေတ်သစ်ကမ္ဘာတွင် အခြေခံ ကုဒ်ဝှက်ခြင်း မည်ကဲ့သို့ ဖြစ်လာသည်ကို နားလည်ခြင်းမှာ အတော်လေး ကျယ်ပြန့်လာပါသည်။

TLS 1.2 ကတည်းက ဘာတွေပြောင်းလဲသွားတာလဲ။

မှ အင်တာနက်လူမှုအဖွဲ့အစည်းက မှတ်ချက်ပြုသည်။:
“ TLS 1.3 က ကမ္ဘာကြီးကို ပိုကောင်းတဲ့နေရာကို ဘယ်လိုဖြစ်စေသလဲ။

TLS 1.3 တွင် လုံခြုံသောချိတ်ဆက်မှုကို တည်ထောင်ရန် ရိုးရှင်းသောလက်ဆွဲနှုတ်ဆက်ခြင်းလုပ်ငန်းစဉ်ကဲ့သို့သော နည်းပညာဆိုင်ရာအားသာချက်အချို့ပါဝင်ပြီး သုံးစွဲသူများအား ဆာဗာများနှင့် ဆက်ရှင်များကို ပိုမိုလျင်မြန်စွာ ပြန်လည်စတင်နိုင်စေပါသည်။ ဤအစီအမံများသည် ချိတ်ဆက်မှုစနစ်ထည့်သွင်းချိန်နေချိန်နှင့် အားနည်းသောလင့်ခ်များပေါ်တွင် ချိတ်ဆက်မှုပျက်ကွက်မှုများကို လျှော့ချရန် ရည်ရွယ်ပြီး မကြာခဏ ကုဒ်မထားသော HTTP ချိတ်ဆက်မှုများကိုသာ ပံ့ပိုးရန်အတွက် မျှတမှုအဖြစ် အသုံးပြုလေ့ရှိသည်။

အရေးကြီးသည်မှာ၊ ၎င်းသည် SHA-1၊ MD5၊ DES၊ 3DES နှင့် AES-CBC အပါအဝင် TLS ၏ အစောပိုင်းဗားရှင်းများနှင့် အသုံးပြုရန်အတွက် ခွင့်ပြုထားဆဲ (မအကြံပြုထားသော်လည်း) ၏ အမွေအနှစ်များစွာနှင့် မလုံခြုံသော ကုဒ်ဝှက်ခြင်းနှင့် hashing algorithms အတွက် ပံ့ပိုးမှုကို ဖယ်ရှားပေးပါသည်။ cipher suites အသစ်များအတွက် ပံ့ပိုးမှုထည့်ခြင်း။ အခြားသော တိုးတက်မှုများတွင် လက်ဆွဲခြင်း၏ ကုဒ်ဝှက်ထားသော အစိတ်အပိုင်းများ ပါဝင်သည် (ဥပမာ၊ လက်မှတ်အချက်အလက် ဖလှယ်မှုကို ယခု ကုဒ်ဝှက်ထားပါသည်) အလားအလာရှိသော လမ်းကြောင်းခိုးနားထောင်ခြင်းအတွက် သဲလွန်စပမာဏကို လျှော့ချရန်နှင့် ဆက်သွယ်ရေးအတွက် အချို့သောသော့လဲလှယ်မုဒ်များကို အသုံးပြုသည့်အခါ လျှို့ဝှက်ချက်သို့ ထပ်ဆင့်ပို့ရန် တိုးတက်မှုများ ပါဝင်ပါသည်။ ၎င်းကို စာဝှက်ရန် အသုံးပြုသည့် အယ်လဂိုရီသမ်များသည် အနာဂတ်တွင် အပေးအယူခံရသော်လည်း အချိန်တိုင်း လုံခြုံနေရမည်။"

ခေတ်မီပရိုတိုကောများနှင့် DDoS ဖွံ့ဖြိုးတိုးတက်မှု

ပရိုတိုကောကို ဖော်ဆောင်နေစဉ်အတွင်း သင်ဖတ်ရှုပြီးဖြစ်ပေမည်။ ပြီးနောက်IETF TLS အလုပ်အဖွဲ့တွင်၊ ပြင်းထန်သော ဆန့်ကျင်မှုများ ပေါ်ပေါက်ခဲ့သည်။. ယခုအခါတွင် ပရိုတိုကောလ်၏ ယခုထည့်သွင်းထားသော ပရိုတိုကောကို လိုက်လျောညီထွေဖြစ်စေရန်အတွက် တစ်ဦးချင်းလုပ်ငန်းများ (ဘဏ္ဍာရေးအဖွဲ့အစည်းများ အပါအဝင်) သည် ၎င်းတို့၏ကိုယ်ပိုင်ကွန်ရက်ကို လုံခြုံစေမည့်နည်းလမ်းကို ပြောင်းလဲရမည်ဖြစ်ကြောင်း ရှင်းရှင်းလင်းလင်းသိရသည်။ ပြီးပြည့်စုံသော ရှေ့သို့လျှို့ဝှက်ချက်.

လိုအပ်သည့် အကြောင်းရင်းများကို စာတမ်းတွင် ဖော်ပြထားပြီး၊ Steve Fenter မှရေးသားခဲ့သည်. စာမျက်နှာ 20 ပါ စာရွက်တွင် လုပ်ငန်းတစ်ခုသည် စောင့်ကြည့်ခြင်း၊ လိုက်နာမှု သို့မဟုတ် အပလီကေးရှင်းအလွှာ (L7) DDoS ကာကွယ်မှုဆိုင်ရာ ရည်ရွယ်ချက်များအတွက် (PFS မှ ခွင့်မပြုသော) လှိုင်းအသွားအလာကို ကုဒ်ဝှက်လိုသည့် ဥပမာများစွာကို ဖော်ပြထားပါသည်။

စည်းမျဉ်းစည်းကမ်းသတ်မှတ်ချက်များအပေါ် မှန်းဆရန် ကျွန်ုပ်တို့ သေချာပေါက် ပြင်ဆင်ထားခြင်းမရှိသော်လည်း၊ ကျွန်ုပ်တို့၏ တစ်ဦးတည်းပိုင် အပလီကေးရှင်း DDoS လျှော့ချရေး ထုတ်ကုန် (ဖြေရှင်းချက်တစ်ခု အပါအဝင်၊ ထုတ်ဖော်ရန်မလိုအပ်ပါ။ အရေးကြီးသော နှင့်/သို့မဟုတ် လျှို့ဝှက်အချက်အလက်များ) PFS ကို ထည့်သွင်းစဉ်းစားပြီး 2012 ခုနှစ်တွင် ဖန်တီးခဲ့ခြင်းဖြစ်ပြီး၊ ထို့ကြောင့် ကျွန်ုပ်တို့၏ဖောက်သည်များနှင့် ပါတနာများသည် ဆာဗာဘက်ရှိ TLS ဗားရှင်းကို အပ်ဒိတ်လုပ်ပြီးနောက် ၎င်းတို့၏ အခြေခံအဆောက်အဦအား ပြောင်းလဲမှုတစ်စုံတစ်ရာ ပြုလုပ်ရန် မလိုအပ်ပါ။

ထို့အပြင်၊ အကောင်အထည်ဖော်ချိန်မှစ၍၊ သယ်ယူပို့ဆောင်ရေးစာဝှက်စနစ်နှင့်ပတ်သက်သည့် ပြဿနာများကို ဖော်ထုတ်နိုင်ခြင်းမရှိပါ။ ၎င်းသည်တရားဝင်ဖြစ်သည်- TLS 1.3 ကိုထုတ်လုပ်ရန်အဆင်သင့်ဖြစ်နေပါပြီ။

သို့သော်လည်း မျိုးဆက်သစ် ပရိုတိုကောများ ဖွံ့ဖြိုးတိုးတက်မှုနှင့် ဆက်စပ်နေသည့် ပြဿနာတစ်ခု ရှိသေးသည်။ ပြဿနာမှာ IETF ရှိ ပရိုတိုကော တိုးတက်မှုသည် ပုံမှန်အားဖြင့် ပညာရပ်ဆိုင်ရာ သုတေသနအပေါ် ကြီးမားစွာ မှီခိုနေရပြီး ဖြန့်ဝေထားသော ငြင်းဆိုမှု-ဝန်ဆောင်မှု တိုက်ခိုက်မှုများကို လျော့ပါးသက်သာစေသည့် နယ်ပယ်တွင် ပညာရေးဆိုင်ရာ သုတေသန၏ အခြေအနေသည် စိတ်ပျက်စရာဖြစ်သည်။

ဒီတော့ ဥပမာကောင်းတစ်ခု ဖြစ်မယ်။ အပိုင်း ၄.၄ လာမည့် QUIC protocol suite ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သော IETF မူကြမ်းတွင် “[DDoS တိုက်ခိုက်မှုများကို ရှာဖွေခြင်းနှင့် လျော့ပါးစေရန်] ခေတ်မီနည်းလမ်းများသည် ပုံမှန်အားဖြင့် ကွန်ရက်စီးဆင်းမှုဒေတာကို အသုံးပြု၍ passive တိုင်းတာခြင်းတွင် ပါဝင်ပါသည်။”

နောက်တစ်ခုသည် အမှန်တကယ် လုပ်ငန်းပတ်ဝန်းကျင်တွင် အလွန်ရှားရှားပါးပါး (နှင့် ISP များအတွက် တစ်စိတ်တစ်ပိုင်းသာ သက်ဆိုင်သည်)၊ မည်သို့ပင်ဆိုစေ လက်တွေ့ကမ္ဘာတွင် "ယေဘူယျကိစ္စ" ဖြစ်နိုင်သည် - သို့သော် သိပ္ပံနည်းကျစာပေများတွင် အဆက်မပြတ်ပေါ်လာသည်၊ များသောအားဖြင့် ပံ့ပိုးမပေးပါ။ အပလီကေးရှင်းအဆင့်တိုက်ခိုက်မှုများအပါအဝင် ဖြစ်နိုင်ချေရှိသော DDoS တိုက်ခိုက်မှုများ၏ spectrum တစ်ခုလုံးကို စမ်းသပ်ခြင်းဖြင့်။ အနည်းဆုံး TLS ကို တစ်ကမ္ဘာလုံး ဖြန့်ကျက်ထားခြင်းကြောင့် နောက်ပိုင်းတွင်၊ network packet များနှင့် flows များကို passive တိုင်းတာခြင်းဖြင့် မတွေ့နိုင်ပေ။

အလားတူပင်၊ DDoS လျော့ပါးရေး ဟာ့ဒ်ဝဲရောင်းချသူများသည် TLS 1.3 ၏ အဖြစ်မှန်များနှင့် လိုက်လျောညီထွေဖြစ်အောင် မည်သို့လုပ်ဆောင်မည်ကို ကျွန်ုပ်တို့ မသိရသေးပါ။ တီးဝိုင်းပြင်ပပရိုတိုကောကို ပံ့ပိုးရာတွင် နည်းပညာပိုင်းဆိုင်ရာ ရှုပ်ထွေးမှုကြောင့် အဆင့်မြှင့်တင်မှုသည် အချိန်အနည်းငယ်ကြာနိုင်သည်။

သုတေသနလမ်းညွှန်ရန် မှန်ကန်သောပန်းတိုင်များသတ်မှတ်ခြင်းသည် DDoS လျော့ပါးသက်သာစေရေးဝန်ဆောင်မှုပေးသူများအတွက် အဓိကစိန်ခေါ်မှုတစ်ခုဖြစ်သည်။ ဖွံ့ဖြိုးတိုးတက်မှု စတင်နိုင်သည့် နယ်ပယ်တစ်ခုဖြစ်သည်။ SMART သုတေသနအဖွဲ့ IRTF တွင် သုတေသီများသည် စိန်ခေါ်မှုရှိသောစက်မှုလုပ်ငန်းဆိုင်ရာ ၎င်းတို့၏ကိုယ်ပိုင်အသိပညာကို ပြုပြင်ရန်နှင့် သုတေသနလမ်းကြောင်းအသစ်များကို ရှာဖွေရန် စက်မှုလုပ်ငန်းနှင့် ပူးပေါင်းဆောင်ရွက်နိုင်သည့် IRTF တွင်ဖြစ်သည်။ သုတေသီများအားလုံးကိုလည်း နွေးထွေးစွာ ကြိုဆိုလျက် ရှိပါလျှင် - DDoS သုတေသနအဖွဲ့ သို့မဟုတ် SMART သုတေသနအဖွဲ့နှင့် သက်ဆိုင်သည့် မေးခွန်းများ သို့မဟုတ် အကြံပြုချက်များနှင့် ဆက်သွယ်မေးမြန်းနိုင်ပါသည်။ [အီးမေးလ်ကိုကာကွယ်ထားသည်]

source: www.habr.com