سال جي شروعات ۾، 2018-2019 لاء انٽرنيٽ جي مسئلن ۽ رسائي تي هڪ رپورٽ ۾ ته TLS 1.3 جي پکيڙ ناگزير آهي. ڪجھ عرصو اڳ، اسان پاڻ ٽرانسپورٽ پرت سيڪيورٽي پروٽوڪول جو نسخو 1.3 ترتيب ڏنو ۽، ڊيٽا گڏ ڪرڻ ۽ تجزيو ڪرڻ کان پوء، اسان آخرڪار هن منتقلي جي خاصيتن بابت ڳالهائڻ لاء تيار آهيون.
IETF TLS ڪم ڪندڙ گروپ چيئرز :
"مختصر ۾، TLS 1.3 کي ايندڙ 20 سالن تائين وڌيڪ محفوظ ۽ موثر انٽرنيٽ جو بنياد فراهم ڪرڻ گهرجي."
ترقي 10 ڊگھا سال لڳا. اسان Qrator Labs تي، باقي صنعت سان گڏ، شروعاتي مسودي کان پروٽوڪول ٺاھڻ جي عمل جي ويجھي پيروي ڪئي آھي. هن عرصي دوران، 28 ۾ 2019 ۾ هڪ متوازن ۽ آسان ترتيب ڏيڻ واري پروٽوڪول جي روشنيءَ کي ڏسڻ لاءِ ڊرافٽ جا لڳاتار 1.3 ورجن لکڻ ضروري هئا. TLS XNUMX لاءِ فعال مارڪيٽ سپورٽ اڳ ۾ ئي واضح آهي: هڪ ثابت ۽ قابل اعتماد سيڪيورٽي پروٽوڪول جو نفاذ وقت جي ضرورتن کي پورو ڪري ٿو.
Eric Rescorla جي مطابق (Firefox CTO ۽ TLS 1.3 جو واحد ليکڪ) :
"هي هڪ مڪمل متبادل آهي TLS 1.2 لاءِ، ساڳيون چاٻيون ۽ سرٽيفڪيٽ استعمال ڪندي، تنهن ڪري ڪلائنٽ ۽ سرور خودڪار طريقي سان ڳالهائي سگهن ٿا TLS 1.3 تي جيڪڏهن اهي ٻئي ان جي حمايت ڪن،" هن چيو. "لائبريري جي سطح تي اڳ ۾ ئي سٺي مدد موجود آهي، ۽ ڪروم ۽ فائر فاڪس ڊفالٽ طور TLS 1.3 کي فعال ڪن ٿا."
متوازي طور تي، TLS ختم ٿي رهيو آهي IETF ڪم ڪندڙ گروپ ۾ , TLS جي پراڻن ورجن جو اعلان ڪندي (صرف TLS 1.2 کان سواءِ) فرسوده ۽ ناقابل استعمال. گهڻو ڪري، فائنل آر ايف سي اونهاري جي آخر کان اڳ جاري ڪيو ويندو. هي آئي ٽي انڊسٽري لاءِ هڪ ٻيو سگنل آهي: انڪرپشن پروٽوڪول کي اپڊيٽ ڪرڻ ۾ دير نه ٿيڻ گهرجي.
موجوده TLS 1.3 جي عملن جي هڪ فهرست Github تي موجود آهي هر ڪنهن لاءِ سڀ کان مناسب لائبريري ڳولي رهيا آهن: . اهو واضح آهي ته اپ ڊيٽ ٿيل پروٽوڪول لاءِ اپنائڻ ۽ سپورٽ ٿيندي - ۽ اڳ ۾ ئي - تيزي سان ترقي ڪري رهي آهي. اهو سمجھڻ ته ڪيئن بنيادي انڪرپشن بڻجي چڪو آهي جديد دنيا ۾ وڏي پيماني تي پکڙيل آهي.
TLS 1.2 کان پوءِ ڇا تبديلي آئي آهي؟
کان :
”ڪيئن ٿو TLS 1.3 دنيا کي هڪ بهتر جڳهه بڻائي ٿو؟
TLS 1.3 ۾ ڪجهه ٽيڪنيڪل فائدن شامل آهن- جيئن ته هڪ محفوظ ڪنيڪشن قائم ڪرڻ لاءِ هڪ آسان هٿ ملائڻ وارو عمل- ۽ پڻ گراهڪن کي اجازت ڏئي ٿو ته هو وڌيڪ جلدي سرور سان سيشن ٻيهر شروع ڪن. انهن قدمن جو مقصد آهي ڪنيڪشن سيٽ اپ جي ويڪرائي کي گهٽائڻ ۽ ڪنيڪشن جي ناڪامين کي ڪمزور لنڪس تي، جيڪي اڪثر ڪري استعمال ڪيا ويندا آهن جواز طور صرف غير انڪرپٽ ٿيل HTTP ڪنيڪشن مهيا ڪرڻ لاءِ.
جيئن ته اهم طور تي، اهو ڪيترن ئي ورثي ۽ غير محفوظ انڪرپشن ۽ هيشنگ الگورتھم جي حمايت کي ختم ڪري ٿو جيڪي اڃا تائين اجازت ڏنل آهن (جيتوڻيڪ سفارش نه ڪئي وئي آهي) TLS جي اڳوڻي نسخن سان استعمال ڪرڻ لاء، بشمول SHA-1، MD5، DES، 3DES، ۽ AES-CBC. نئين سائفر سوٽ لاءِ سپورٽ شامل ڪرڻ. ٻين سڌارن ۾ هينڊ شيڪ جا وڌيڪ انڪرپٽ ٿيل عناصر شامل آهن (مثال طور، سرٽيفڪيٽ جي معلومات جي مٽا سٽا هاڻي انڪريپٽ ٿيل آهي) ته جيئن امڪاني ٽرئفڪ ايوارڊروپپر جي اشارن جي مقدار کي گهٽايو وڃي، ۽ انهي سان گڏ اڳتي وڌڻ جي رازداري کي بهتر ڪرڻ لاءِ جڏهن ڪجهه اهم مٽاسٽا جي طريقن کي استعمال ڪيو وڃي ته جيئن مواصلات هر وقت محفوظ رهڻ گهرجي جيتوڻيڪ ان کي انڪرپٽ ڪرڻ لاءِ استعمال ٿيندڙ الگورتھم مستقبل ۾ سمجهوتو ڪيو وڃي.
جديد پروٽوڪول ۽ DDoS جي ترقي
جيئن توهان اڳ ۾ ئي پڙهيو هوندو، پروٽوڪول جي ترقي دوران ، IETF TLS ڪم ڪندڙ گروپ ۾ . اهو هاڻي واضح ٿي چڪو آهي ته انفرادي ادارن (بشمول مالياتي ادارن) کي پنهنجي نيٽ ورڪ کي محفوظ ڪرڻ جو طريقو تبديل ڪرڻو پوندو ته جيئن پروٽوڪول جي هاڻ تعمير ٿيل .
ان جي ضرورت جا سبب دستاويز ۾ بيان ڪيا ويا آهن، . 20 صفحن واري پيپر ۾ ڪيترن ئي مثالن جو ذڪر ڪيو ويو آهي جتي هڪ ڪمپني شايد آئوٽ آف بينڊ ٽريفڪ (جنهن کي PFS اجازت نٿو ڏئي) مانيٽرنگ، تعميل يا ايپليڪيشن پرت (L7) DDoS تحفظ جي مقصدن لاءِ ڊيڪرپٽ ڪرڻ چاهي ٿي.
جڏهن ته اسان يقيني طور تي ريگيوليٽري گهرجن تي قياس ڪرڻ لاءِ تيار نه آهيون، اسان جي ملڪيت واري ايپليڪيشن DDoS گھٽائڻ واري پراڊڪٽ (بشمول هڪ حل حساس ۽/يا ڳجهي معلومات) 2012 ۾ ٺاهي وئي هئي PFS کي حساب ۾ رکندي، تنهنڪري اسان جي گراهڪن ۽ ڀائيوارن کي سرور جي پاسي تي TLS ورزن کي اپڊيٽ ڪرڻ کان پوء انهن جي انفراسٽرڪچر ۾ ڪا به تبديلي ڪرڻ جي ضرورت نه هئي.
انهي سان گڏ، عمل درآمد کان وٺي، ٽرانسپورٽ انڪرپشن سان لاڳاپيل ڪنهن به مسئلن جي نشاندهي نه ڪئي وئي آهي. اهو سرڪاري آهي: TLS 1.3 پيداوار لاءِ تيار آهي.
بهرحال، اڃا به هڪ مسئلو آهي جيڪو ايندڙ نسل جي پروٽوڪول جي ترقي سان لاڳاپيل آهي. مسئلو اهو آهي ته IETF ۾ پروٽوڪول جي ترقي عام طور تي تعليمي تحقيق تي تمام گهڻو منحصر آهي، ۽ ورهايل رد ٿيل سروس حملن کي گهٽائڻ جي ميدان ۾ تعليمي تحقيق جي حالت مايوس آهي.
تنهن ڪري، هڪ سٺو مثال هوندو IETF مسودو "QUIC انتظام،" ايندڙ QUIC پروٽوڪول سوٽ جو حصو، ٻڌائي ٿو ته "جديد طريقا ڳولڻ ۽ گھٽائڻ لاء [DDoS حملن] عام طور تي نيٽ ورڪ فلو ڊيٽا استعمال ڪندي غير فعال ماپ شامل آهن."
بعد ۾، حقيقت ۾، حقيقي ڪاروباري ماحول ۾ تمام ناياب آهي (۽ صرف جزوي طور تي ISPs تي لاڳو ٿئي ٿو)، ۽ ڪنهن به صورت ۾ حقيقي دنيا ۾ "عام ڪيس" ٿيڻ ممڪن ناهي - پر سائنسي اشاعتن ۾ مسلسل ظاهر ٿئي ٿو، عام طور تي سپورٽ نه آهي. امڪاني DDoS حملن جي پوري اسپيڪٽرم کي جانچڻ سان، بشمول ايپليڪيشن ليول حملن. بعد ۾، گهٽ ۾ گهٽ عالمي سطح تي TLS جي تعیناتي جي ڪري، واضح طور تي نيٽ ورڪ پيڪٽس ۽ وهڪري جي غير فعال ماپ ذريعي ڳولي نه ٿو سگهجي.
ساڳئي طرح، اسان اڃا تائين نه ڄاڻون ٿا ته ڪيئن DDoS گھٽائڻ هارڊويئر وينڊرز TLS 1.3 جي حقيقتن سان مطابقت رکندا. آئوٽ آف بينڊ پروٽوڪول کي سپورٽ ڪرڻ جي ٽيڪنيڪل پيچيدگي جي ڪري، اپڊيٽ ۾ ڪجهه وقت لڳي سگھي ٿو.
تحقيق جي رهنمائي ڪرڻ لاءِ صحيح مقصد مقرر ڪرڻ DDoS تخفيف سروس فراهم ڪندڙن لاءِ هڪ وڏو چئلينج آهي. ھڪڙو علائقو جتي ترقي شروع ٿي سگھي ٿي IRTF تي، جتي محقق صنعت سان تعاون ڪري سگھن ٿا ته جيئن هڪ مشڪل صنعت جي پنهنجي ڄاڻ کي بهتر بڻائي ۽ تحقيق جا نوان رستا ڳولي. اسان سڀني محققن کي دل جي گهراين سان ڀليڪار چئون ٿا، جيڪڏهن ڪو به هجي - اسان سان DDoS تحقيق يا SMART ريسرچ گروپ سان لاڳاپيل سوالن يا تجويزن سان رابطو ڪري سگهجي ٿو.
جو ذريعو: www.habr.com