हामीले TLS 1.3 सक्षम गरेका छौं। किन त्यसै गर्नुपर्छ

वर्षको सुरुमा, 2018-2019 को लागि इन्टरनेट समस्या र पहुँचमा एक रिपोर्टमा हामीले पहिले नै लेखेका छौंTLS 1.3 को फैलावट अपरिहार्य छ। केहि समय पहिले, हामीले आफैंले यातायात तह सुरक्षा प्रोटोकलको संस्करण 1.3 तैनात गर्यौं र, डेटा सङ्कलन र विश्लेषण पछि, हामी अन्ततः यस संक्रमणका सुविधाहरूको बारेमा कुरा गर्न तयार छौं।

IETF TLS कार्य समूह अध्यक्षहरू लेख्नुहोस्:
"छोटकरीमा, TLS 1.3 ले अर्को 20 वर्षको लागि थप सुरक्षित र कुशल इन्टरनेटको लागि आधार प्रदान गर्नुपर्छ।"

विकास TLS 1.3 10 लामो वर्ष लाग्यो। हामीले Qrator Labs मा, उद्योगका बाँकी भागहरूसँगै प्रारम्भिक मस्यौदादेखि नै प्रोटोकल निर्माण प्रक्रियालाई नजिकबाट पछ्याएका छौं। यस अवधिमा, सन् २०१९ मा सन्तुलित र सजीलो डिप्लोइ प्रोटोकलको प्रकाश हेर्नको लागि मस्यौदाको लगातार २८ संस्करणहरू लेख्न आवश्यक थियो। TLS 28 को लागि सक्रिय बजार समर्थन पहिले नै स्पष्ट छ: प्रमाणित र भरपर्दो सुरक्षा प्रोटोकलको कार्यान्वयनले समयको आवश्यकताहरू पूरा गर्दछ।

एरिक रेस्कोर्लाका अनुसार (फायरफक्स सीटीओ र TLS १.३ को एकमात्र लेखक) द रजिस्टर संग एक साक्षात्कार मा:

"यो TLS 1.2 को लागि पूर्ण प्रतिस्थापन हो, उही कुञ्जीहरू र प्रमाणपत्रहरू प्रयोग गरेर, त्यसैले ग्राहक र सर्भरले TLS 1.3 मा स्वचालित रूपमा सञ्चार गर्न सक्छ यदि तिनीहरू दुवैले यसलाई समर्थन गर्दछन्," उनले भने। "पुस्तकालय स्तरमा पहिले नै राम्रो समर्थन छ, र क्रोम र फायरफक्सले पूर्वनिर्धारित रूपमा TLS 1.3 सक्षम गर्दछ।"

समानान्तरमा, TLS IETF कार्य समूहमा समाप्त हुँदैछ RFC तयारी, TLS को पुराना संस्करणहरू (केवल TLS 1.2 बाहेक) अप्रचलित र अनुपयोगी घोषणा गर्दै। सम्भवतः, अन्तिम RFC गर्मीको अन्त्य हुनु अघि जारी हुनेछ। यो IT उद्योगको लागि अर्को संकेत हो: एन्क्रिप्शन प्रोटोकलहरू अद्यावधिक गर्न ढिलाइ हुनु हुँदैन।

हालको TLS 1.3 कार्यान्वयनहरूको सूची सबैभन्दा उपयुक्त पुस्तकालय खोज्ने जो कोहीको लागि Github मा उपलब्ध छ: https://github.com/tlswg/tls13-spec/wiki/Implementations। यो स्पष्ट छ कि अद्यावधिक गरिएको प्रोटोकलको लागि ग्रहण र समर्थन हुनेछ - र पहिले नै - द्रुत रूपमा प्रगति भइरहेको छ। आधुनिक संसारमा आधारभूत इन्क्रिप्सन कसरी भएको छ भन्ने बुझाइ व्यापक रूपमा फैलिएको छ।

TLS 1.2 पछि के परिवर्तन भएको छ?

Из इन्टरनेट सोसाइटी नोटहरू:
"TLS 1.3 ले संसारलाई कसरी राम्रो ठाउँ बनाउँछ?

TLS 1.3 ले केही प्राविधिक फाइदाहरू समावेश गर्दछ-जस्तै सुरक्षित जडान स्थापना गर्नको लागि सरलीकृत ह्यान्डशेक प्रक्रिया-र ग्राहकहरूलाई सर्भरहरूसँग अझ छिटो सत्रहरू पुन: सुरु गर्न अनुमति दिन्छ। यी उपायहरू कमजोर लिङ्कहरूमा जडान सेटअप विलम्बता र जडान विफलताहरू कम गर्ने उद्देश्यले गरिन्छ, जुन प्रायः अनइन्क्रिप्टेड HTTP जडानहरू प्रदान गर्नको लागि औचित्यको रूपमा प्रयोग गरिन्छ।

जस्तै महत्त्वपूर्ण रूपमा, यसले SHA-1, MD5, DES, 3DES, र AES-CBC लगायत TLS को अघिल्लो संस्करणहरूमा प्रयोगको लागि अझै पनि अनुमति दिइएका धेरै विरासत र असुरक्षित इन्क्रिप्सन र ह्यासिङ एल्गोरिदमहरूको समर्थन हटाउँछ। नयाँ साइफर सुइटहरूको लागि समर्थन थप्दै। अन्य सुधारहरूमा सम्भावित ट्राफिक इभड्रपरमा सुरागको मात्रा कम गर्न ह्यान्डशेकका थप इन्क्रिप्टेड तत्वहरू समावेश छन् (उदाहरणका लागि, प्रमाणपत्र जानकारीको आदानप्रदान अब इन्क्रिप्ट गरिएको छ), साथै केही कुञ्जी आदानप्रदान मोडहरू प्रयोग गर्दा गोप्यता फर्वार्ड गर्न सुधारहरू ताकि सञ्चार। यसलाई इन्क्रिप्ट गर्न प्रयोग गरिने एल्गोरिदमहरू भविष्यमा सम्झौता भए तापनि सधैं सुरक्षित रहनुपर्छ।"

आधुनिक प्रोटोकल र DDoS को विकास

तपाईंले पहिले नै पढ्नुभएको हुन सक्छ, प्रोटोकलको विकासको क्रममा र पछि पनि, IETF TLS कार्य समूहमा गम्भीर विरोधाभास उत्पन्न भयो। यो अब स्पष्ट छ कि व्यक्तिगत उद्यमहरूले (वित्तीय संस्थाहरू सहित) प्रोटोकलको अब निर्मित-इन समायोजन गर्नको लागि तिनीहरूको आफ्नै नेटवर्क सुरक्षित गर्ने तरिका परिवर्तन गर्नुपर्नेछ। पूर्ण अगाडि गोपनीयता.

यो किन आवश्यक हुन सक्छ कारणहरू कागजातमा सेट गरिएको छ, स्टीव फेन्टर द्वारा लिखित। 20-पृष्ठ कागजले धेरै उदाहरणहरू उल्लेख गर्दछ जहाँ एक उद्यमले अनुगमन, अनुपालन वा अनुप्रयोग तह (L7) DDoS सुरक्षा उद्देश्यहरूको लागि बाहिर-ब्यान्ड ट्राफिक (जसलाई PFS ले अनुमति दिँदैन) डिक्रिप्ट गर्न चाहन्छ।

यद्यपि हामी निश्चित रूपमा नियामक आवश्यकताहरूमा अनुमान गर्न तयार छैनौं, हाम्रो स्वामित्व DDoS शमन उत्पादन (समाधान सहित। खुलासा आवश्यक छैन संवेदनशील र/वा गोप्य जानकारी) 2012 मा PFS लाई ध्यानमा राखेर सिर्जना गरिएको थियो, त्यसैले हाम्रा ग्राहकहरू र साझेदारहरूले सर्भर साइडमा TLS संस्करण अद्यावधिक गरेपछि तिनीहरूको पूर्वाधारमा कुनै परिवर्तन गर्न आवश्यक पर्दैन।

साथै, कार्यान्वयन पछि, यातायात ईन्क्रिप्शन सम्बन्धी कुनै समस्या पहिचान गरिएको छैन। यो आधिकारिक छ: TLS 1.3 उत्पादनको लागि तयार छ।

यद्यपि, त्यहाँ अझै पनि अर्को पुस्ताको प्रोटोकलको विकाससँग सम्बन्धित समस्या छ। समस्या यो हो कि IETF मा प्रोटोकल प्रगति सामान्यतया अकादमिक अनुसन्धानमा धेरै निर्भर हुन्छ, र वितरित अस्वीकार-सेवा आक्रमणहरू कम गर्ने क्षेत्रमा शैक्षिक अनुसन्धानको अवस्था निराशाजनक छ।

त्यसैले, एक राम्रो उदाहरण हुनेछ खण्ड 4.4 IETF मस्यौदा "QUIC व्यवस्थापनता," आगामी QUIC प्रोटोकल सुइटको भागले बताउँछ कि "[DDoS आक्रमणहरू] पत्ता लगाउन र कम गर्नका लागि आधुनिक विधिहरूमा सामान्यतया नेटवर्क प्रवाह डेटा प्रयोग गरेर निष्क्रिय मापन समावेश हुन्छ।"

पछिल्लो, वास्तवमा, वास्तविक उद्यम वातावरणमा धेरै दुर्लभ छ (र केवल आंशिक रूपमा ISP हरूमा लागू हुन्छ), र कुनै पनि अवस्थामा वास्तविक संसारमा "सामान्य केस" हुने सम्भावना छैन - तर वैज्ञानिक प्रकाशनहरूमा निरन्तर देखा पर्दछ, सामान्यतया समर्थित छैन। सम्भावित DDoS आक्रमणहरूको सम्पूर्ण स्पेक्ट्रम परीक्षण गरेर, अनुप्रयोग स्तर आक्रमणहरू सहित। पछिल्लो, TLS को कम्तिमा विश्वव्यापी परिनियोजनको कारण, स्पष्ट रूपमा नेटवर्क प्याकेटहरू र प्रवाहहरूको निष्क्रिय मापनद्वारा पत्ता लगाउन सकिँदैन।

त्यसै गरी, हामीलाई अझै थाहा छैन कि DDoS शमन हार्डवेयर विक्रेताहरूले TLS 1.3 को वास्तविकताहरूमा कसरी अनुकूलन गर्नेछन्। आउट-अफ-ब्यान्ड प्रोटोकललाई समर्थन गर्ने प्राविधिक जटिलताका कारण, अपग्रेड गर्न केही समय लाग्न सक्छ।

अनुसन्धानलाई मार्गदर्शन गर्न सही लक्ष्यहरू सेट गर्नु DDoS शमन सेवा प्रदायकहरूको लागि ठूलो चुनौती हो। एक क्षेत्र जहाँ विकास सुरु हुन सक्छ स्मार्ट अनुसन्धान समूह IRTF मा, जहाँ अनुसन्धानकर्ताहरूले चुनौतीपूर्ण उद्योगको आफ्नै ज्ञानलाई परिष्कृत गर्न र अनुसन्धानका नयाँ मार्गहरू अन्वेषण गर्न उद्योगसँग सहकार्य गर्न सक्छन्। हामी सबै अनुसन्धानकर्ताहरूलाई न्यानो स्वागत पनि गर्दछौं, यदि त्यहाँ कुनै पनि छ भने - हामीलाई DDoS अनुसन्धान वा SMART अनुसन्धान समूहसँग सम्बन्धित प्रश्न वा सुझावहरूको लागि सम्पर्क गर्न सकिन्छ। [ईमेल सुरक्षित]

स्रोत: www.habr.com