Begin dit jaar in een rapport over internetproblemen en bereikbaarheid voor 2018-2019 dat de verspreiding van TLS 1.3 onvermijdelijk is. Enige tijd geleden hebben we zelf versie 1.3 van het Transport Layer Security-protocol geïmplementeerd en na het verzamelen en analyseren van gegevens zijn we eindelijk klaar om te praten over de kenmerken van deze transitie.
IETF TLS-werkgroepvoorzitters :
“Kortom: TLS 1.3 moet de basis vormen voor een veiliger en efficiënter internet voor de komende twintig jaar.”
ontwerp heeft 10 lange jaren geduurd. Wij bij Qrator Labs hebben, samen met de rest van de industrie, het protocolcreatieproces vanaf het eerste ontwerp nauwlettend gevolgd. Gedurende deze tijd was het nodig om 28 opeenvolgende versies van het concept te schrijven om uiteindelijk in 2019 het licht te zien van een evenwichtig en eenvoudig te implementeren protocol. De actieve marktondersteuning voor TLS 1.3 is al zichtbaar: de implementatie van een bewezen en betrouwbaar beveiligingsprotocol voldoet aan de behoeften van deze tijd.
Volgens Eric Rescorla (Firefox CTO en enige auteur van TLS 1.3) :
“Dit is een volledige vervanging voor TLS 1.2, waarbij dezelfde sleutels en certificaten worden gebruikt, zodat de client en server automatisch kunnen communiceren via TLS 1.3 als ze dit allebei ondersteunen”, zei hij. “Er is al goede ondersteuning op bibliotheekniveau, en Chrome en Firefox schakelen standaard TLS 1.3 in.”
Tegelijkertijd eindigt TLS in de IETF-werkgroep , waarbij oudere versies van TLS (met uitzondering van alleen TLS 1.2) verouderd en onbruikbaar worden verklaard. Hoogstwaarschijnlijk zal de definitieve RFC voor het einde van de zomer worden vrijgegeven. Dit is een ander signaal aan de IT-industrie: het updaten van encryptieprotocollen mag niet worden uitgesteld.
Een lijst met huidige TLS 1.3-implementaties is beschikbaar op Github voor iedereen die op zoek is naar de meest geschikte bibliotheek: . Het is duidelijk dat de acceptatie en ondersteuning van het bijgewerkte protocol snel zal vorderen – en nu al gebeurt. Het inzicht in hoe fundamenteel encryptie in de moderne wereld is geworden, heeft zich behoorlijk wijd verspreid.
Wat is er veranderd sinds TLS 1.2?
Van :
“Hoe maakt TLS 1.3 de wereld een betere plek?
TLS 1.3 bevat bepaalde technische voordelen, zoals een vereenvoudigd handshake-proces om een veilige verbinding tot stand te brengen, en stelt clients ook in staat sneller sessies met servers te hervatten. Deze maatregelen zijn bedoeld om de latentie bij het opzetten van verbindingen en verbindingsfouten op zwakke links te verminderen, die vaak worden gebruikt als rechtvaardiging voor het aanbieden van alleen niet-versleutelde HTTP-verbindingen.
Net zo belangrijk is dat de ondersteuning wordt verwijderd voor verschillende oudere en onveilige versleutelings- en hash-algoritmen die nog steeds zijn toegestaan (hoewel niet aanbevolen) voor gebruik met eerdere versies van TLS, waaronder SHA-1, MD5, DES, 3DES en AES-CBC. ondersteuning toevoegen voor nieuwe coderingssuites. Andere verbeteringen zijn onder meer meer gecodeerde elementen van de handshake (de uitwisseling van certificaatinformatie is nu bijvoorbeeld gecodeerd) om het aantal aanwijzingen voor een potentiële verkeersafluisteraar te verminderen, evenals verbeteringen om de geheimhouding door te geven bij het gebruik van bepaalde sleuteluitwisselingsmodi, zodat de communicatie te allen tijde veilig moeten blijven, zelfs als de algoritmen die worden gebruikt om het te versleutelen in de toekomst worden gecompromitteerd.”
Ontwikkeling van moderne protocollen en DDoS
Zoals je misschien al hebt gelezen tijdens de ontwikkeling van het protocol , in de IETF TLS-werkgroep . Het is nu duidelijk dat individuele ondernemingen (waaronder financiële instellingen) de manier waarop zij hun eigen netwerk beveiligen zullen moeten veranderen om tegemoet te komen aan de nu ingebouwde mogelijkheden van het protocol. .
De redenen waarom dit nodig kan zijn, worden uiteengezet in het document. . Het twintig pagina's tellende artikel vermeldt verschillende voorbeelden waarbij een onderneming out-of-band verkeer (wat PFS niet toestaat) zou willen decoderen voor monitoring-, compliance- of applicatielaag (L20) DDoS-beschermingsdoeleinden.
Hoewel we zeker niet bereid zijn te speculeren over wettelijke vereisten, is ons eigen product voor DDoS-beperking (inclusief een oplossing gevoelige en/of vertrouwelijke informatie) is in 2012 gecreëerd, rekening houdend met PFS, zodat onze klanten en partners geen wijzigingen in hun infrastructuur hoefden aan te brengen na het updaten van de TLS-versie aan de serverzijde.
Bovendien zijn er sinds de implementatie geen problemen met betrekking tot transportversleuteling geïdentificeerd. Het is officieel: TLS 1.3 is klaar voor productie.
Er is echter nog steeds een probleem verbonden aan de ontwikkeling van protocollen van de volgende generatie. Het probleem is dat de protocolvoortgang in de IETF doorgaans sterk afhankelijk is van academisch onderzoek, en dat de stand van het academisch onderzoek op het gebied van het beperken van gedistribueerde denial-of-service-aanvallen somber is.
Een goed voorbeeld zou dus zijn Het IETF-concept “QUIC Manageability”, onderdeel van de komende QUIC-protocolsuite, stelt dat “moderne methoden voor het detecteren en beperken van [DDoS-aanvallen] doorgaans passieve metingen met behulp van netwerkstroomgegevens omvatten.”
Dit laatste is in feite zeer zeldzaam in echte bedrijfsomgevingen (en slechts gedeeltelijk toepasbaar op ISP's), en het is in ieder geval onwaarschijnlijk dat dit een "algemeen geval" zal zijn in de echte wereld - maar verschijnt voortdurend in wetenschappelijke publicaties, meestal niet ondersteund door het hele spectrum van potentiële DDoS-aanvallen te testen, inclusief aanvallen op applicatieniveau. Dit laatste kan, in ieder geval vanwege de wereldwijde inzet van TLS, uiteraard niet worden gedetecteerd door passieve meting van netwerkpakketten en -stromen.
Op dezelfde manier weten we nog niet hoe leveranciers van hardware voor DDoS-mitigatie zich zullen aanpassen aan de realiteit van TLS 1.3. Vanwege de technische complexiteit van de ondersteuning van het out-of-band protocol kan de upgrade enige tijd duren.
Het stellen van de juiste doelen om onderzoek te sturen is een grote uitdaging voor dienstverleners op het gebied van DDoS-mitigatie. Eén gebied waar de ontwikkeling kan beginnen is bij de IRTF, waar onderzoekers kunnen samenwerken met de industrie om hun eigen kennis van een uitdagende industrie te verfijnen en nieuwe onderzoeksmogelijkheden te verkennen. We heten ook alle onderzoekers van harte welkom, mocht die er zijn. U kunt contact met ons opnemen met vragen of suggesties gerelateerd aan DDoS-onderzoek of de SMART-onderzoeksgroep op
Bron: www.habr.com