වසර ආරම්භයේදී, 2018-2019 සඳහා අන්තර්ජාල ගැටළු සහ ප්රවේශ්යතා පිළිබඳ වාර්තාවක TLS 1.3 පැතිරීම නොවැළැක්විය හැකි බව. කලකට පෙර, අපි ප්රවාහන ස්ථර ආරක්ෂණ ප්රොටෝකෝලයේ 1.3 අනුවාදය යොදවා ඇති අතර, දත්ත එකතු කර විශ්ලේෂණය කිරීමෙන් පසුව, මෙම සංක්රාන්තියේ විශේෂාංග ගැන කතා කිරීමට අපි අවසානයේ සූදානම් වෙමු.
IETF TLS ක්රියාකාරී කණ්ඩායම් පුටු :
කෙටියෙන් කිවහොත්, TLS 1.3 ඉදිරි වසර 20 සඳහා වඩාත් ආරක්ෂිත සහ කාර්යක්ෂම අන්තර්ජාලයක් සඳහා පදනම සැපයිය යුතුය.
සංවර්ධනය දිගු වසර 10 ක් ගත විය. Qrator Labs හි අපි, අනෙකුත් කර්මාන්තය සමඟ, මූලික කෙටුම්පතේ සිට ප්රොටෝකෝලය නිර්මාණය කිරීමේ ක්රියාවලිය සමීපව අනුගමනය කර ඇත. මෙම කාලය තුළ, 28 දී සමතුලිත සහ පහසුවෙන් යෙදවිය හැකි ප්රොටෝකෝලයක ආලෝකය අවසානයේ දැකීමට කෙටුම්පතේ අනුවාද 2019ක් ලිවීම අවශ්ය විය. TLS 1.3 සඳහා ක්රියාකාරී වෙළඳපල සහාය දැනටමත් පැහැදිලිය: ඔප්පු කරන ලද සහ විශ්වාසදායක ආරක්ෂක ප්රොටෝකෝලයක් ක්රියාත්මක කිරීම කාලවල අවශ්යතා සපුරාලයි.
Eric Rescorla ට අනුව (Firefox CTO සහ TLS 1.3 හි එකම කර්තෘ) :
"මෙය TLS 1.2 සඳහා සම්පූර්ණ ආදේශකයක් වන අතර, එකම යතුරු සහ සහතික භාවිතා කරයි, එබැවින් සේවාදායකයාට සහ සේවාදායකයාට TLS 1.3 හරහා ස්වයංක්රීයව සන්නිවේදනය කළ හැක්කේ ඔවුන් දෙදෙනාම එයට සහය දක්වන්නේ නම්," ඔහු පැවසීය. "පුස්තකාල මට්ටමින් දැනටමත් හොඳ සහයෝගයක් ඇත, සහ Chrome සහ Firefox පෙරනිමියෙන් TLS 1.3 සක්රීය කරයි."
සමාන්තරව, TLS IETF ක්රියාකාරී කණ්ඩායමෙන් අවසන් වේ , TLS හි පැරණි අනුවාද (TLS 1.2 පමණක් හැර) යල් පැන ගිය සහ භාවිතයට ගත නොහැකි බව ප්රකාශ කිරීම. බොහෝ විට, අවසාන RFC ගිම්හානය අවසන් වීමට පෙර නිකුත් කරනු ඇත. මෙය තොරතුරු තාක්ෂණ කර්මාන්තයට තවත් සංඥාවකි: සංකේතාංකන ප්රොටෝකෝල යාවත්කාලීන කිරීම ප්රමාද නොකළ යුතුය.
දැනට පවතින TLS 1.3 ක්රියාත්මක කිරීම් ලැයිස්තුවක් Github හි වඩාත්ම සුදුසු පුස්තකාලයක් සොයන ඕනෑම කෙනෙකුට ලබා ගත හැකිය: . යාවත්කාලීන කරන ලද ප්රොටෝකෝලය සඳහා සම්මත කර ගැනීම සහ සහාය වීම - සහ දැනටමත් - වේගයෙන් ඉදිරියට යන බව පැහැදිලිය. නවීන ලෝකයේ මූලික සංකේතනය වී ඇති ආකාරය පිළිබඳ අවබෝධය ඉතා පුළුල් ලෙස පැතිරී ඇත.
TLS 1.2 සිට වෙනස් වී ඇත්තේ කුමක්ද?
සිට :
“TLS 1.3 ලෝකය වඩා හොඳ තැනක් කරන්නේ කෙසේද?
TLS 1.3 හි ඇතැම් තාක්ෂණික වාසි ඇතුළත් වේ-ආරක්ෂිත සම්බන්ධතාවයක් ස්ථාපිත කිරීම සඳහා සරල කරන ලද අතට අත දීමේ ක්රියාවලියක් වැනි-එසේම සේවාදායක සමඟ සැසි නැවත ආරම්භ කිරීමට සේවාදායකයින්ට ඉඩ සලසයි. මෙම පියවරයන් දුර්වල සබැඳි මත සම්බන්ධතා පිහිටුවීමේ ප්රමාදය සහ සම්බන්ධතා බිඳවැටීම් අඩු කිරීමට අදහස් කරන අතර, ඒවා බොහෝ විට සංකේතනය නොකළ HTTP සම්බන්ධතා සැපයීම සඳහා සාධාරණීකරණයක් ලෙස භාවිතා කරයි.
වැදගත් ලෙසම, එය SHA-1, MD5, DES, 3DES, සහ AES-CBC ඇතුළුව TLS හි පෙර අනුවාද සමඟ භාවිතා කිරීමට තවමත් අවසර දී ඇති (නිර්දේශිත නොවන නමුත්) උරුම සහ අනාරක්ෂිත සංකේතාංකන සහ හැෂිං ඇල්ගොරිතම කිහිපයක් සඳහා සහය ඉවත් කරයි. නව කේතාංක කට්ටල සඳහා සහය එක් කිරීම. වෙනත් වැඩිදියුණු කිරීම් අතරට, විභව ගමනාගමන අනවසරයෙන් සවන්දෙන්නෙකුට හෝඩුවාවන් ප්රමාණය අඩු කිරීම සඳහා හෑන්ඩ්ෂේක් (උදාහරණයක් ලෙස, සහතික තොරතුරු හුවමාරුව දැන් සංකේතනය කර ඇත) තවත් සංකේතාත්මක අංග ඇතුළත් වේ. එය සංකේතනය කිරීමට භාවිතා කරන ඇල්ගොරිතම අනාගතයේදී සම්මුතියකට ලක් වුවද සෑම විටම ආරක්ෂිතව පැවතිය යුතුය.
නවීන ප්රොටෝකෝල සහ DDoS සංවර්ධනය
ඔබ දැනටමත් කියවා ඇති පරිදි, ප්රොටෝකෝලය සංවර්ධනය කිරීමේදී , IETF TLS ක්රියාකාරී කණ්ඩායමේ . තනි ව්යවසායන් (මූල්ය ආයතන ඇතුළුව) දැන් ගොඩනඟා ඇති ප්රොටෝකෝලයට අනුගත වීම සඳහා තමන්ගේම ජාලයක් සුරක්ෂිත කරන ආකාරය වෙනස් කිරීමට සිදුවනු ඇති බව දැන් පැහැදිලිය. .
මෙය අවශ්ය වීමට හේතු ලේඛනයේ දක්වා ඇත, . පිටු 20ක පත්රිකාවේ ව්යවසායයකට නිරීක්ෂණ, අනුකූලතාව හෝ යෙදුම් ස්තරය (L7) DDoS ආරක්ෂණ අරමුණු සඳහා (PFS ඉඩ නොදේ) පිටත ගමනාගමනය විකේතනය කිරීමට අවශ්ය විය හැකි උදාහරණ කිහිපයක් සඳහන් කරයි.
නියාමන අවශ්යතා පිළිබඳ අනුමාන කිරීමට අපි නිසැකවම සූදානම් නැති අතර, අපගේ හිමිකාර යෙදුම DDoS අවම කිරීමේ නිෂ්පාදනය (විසඳුමක් ඇතුළුව සංවේදී සහ/හෝ රහසිගත තොරතුරු) PFS සැලකිල්ලට ගනිමින් 2012 දී නිර්මාණය කරන ලදී, එබැවින් අපගේ සේවාදායකයින්ට සහ හවුල්කරුවන්ට සේවාදායක පැත්තේ TLS අනුවාදය යාවත්කාලීන කිරීමෙන් පසු ඔවුන්ගේ යටිතල පහසුකම් සඳහා කිසිදු වෙනසක් කිරීමට අවශ්ය නොවීය.
එසේම, ක්රියාත්මක කිරීමෙන් පසුව, ප්රවාහන සංකේතනය සම්බන්ධ ගැටළු හඳුනාගෙන නොමැත. එය නිල: TLS 1.3 නිෂ්පාදනය සඳහා සූදානම්.
කෙසේ වෙතත්, ඊළඟ පරම්පරාවේ ප්රොටෝකෝල සංවර්ධනය හා සම්බන්ධ ගැටලුවක් තවමත් පවතී. ගැටළුව වන්නේ IETF හි ප්රොටෝකෝල ප්රගතිය සාමාන්යයෙන් අධ්යයන පර්යේෂණ මත දැඩි ලෙස රඳා පවතින අතර බෙදා හරින ලද සේවා ප්රතික්ෂේප කිරීමේ ප්රහාර අවම කිරීමේ ක්ෂේත්රයේ අධ්යයන පර්යේෂණවල තත්වය නරක ය.
එබැවින්, හොඳ උදාහරණයක් වනු ඇත ඉදිරි QUIC ප්රොටෝකෝල කට්ටලයේ කොටසක් වන IETF කෙටුම්පත “QUIC කළමනාකාරිත්වය”, “[DDoS ප්රහාර] හඳුනා ගැනීම සහ අවම කිරීම සඳහා නවීන ක්රමවලට සාමාන්යයෙන් ජාල ප්රවාහ දත්ත භාවිතයෙන් උදාසීන මිනුම් ඇතුළත් වේ.”
දෙවැන්න සැබෑ ව්යවසාය පරිසරයන් තුළ ඉතා දුර්ලභය (සහ ISPs සඳහා අර්ධ වශයෙන් පමණක් අදාළ වේ), සහ ඕනෑම අවස්ථාවක සැබෑ ලෝකයේ "සාමාන්ය අවස්ථාවක්" වීමට ඉඩක් නැත - නමුත් විද්යාත්මක ප්රකාශනවල නිරන්තරයෙන් පෙනී යයි, සාමාන්යයෙන් සහාය නොදක්වයි. යෙදුම් මට්ටමේ ප්රහාර ඇතුළුව විභව DDoS ප්රහාරවල සමස්ත වර්ණාවලියම පරීක්ෂා කිරීමෙන්. දෙවැන්න, අවම වශයෙන් TLS ලොව පුරා ව්යාප්ත වීම හේතුවෙන්, ජාල පැකට් සහ ප්රවාහයන් නිෂ්ක්රීයව මැනීමෙන් පැහැදිලිව හඳුනාගත නොහැක.
එලෙසම, DDoS අවම කිරීමේ දෘඩාංග වෙළෙන්දන් TLS 1.3 හි යථාර්ථයන්ට අනුගත වන්නේ කෙසේදැයි අපි තවමත් නොදනිමු. සංගීත කණ්ඩායමෙන් පිටත ප්රොටෝකෝලය සඳහා සහය දැක්වීමේ තාක්ෂණික සංකීර්ණතාව හේතුවෙන්, උත්ශ්රේණි කිරීම සඳහා යම් කාලයක් ගතවනු ඇත.
පර්යේෂණයට මඟ පෙන්වීම සඳහා නිවැරදි ඉලක්ක තැබීම DDoS අවම කිරීමේ සේවා සපයන්නන් සඳහා ප්රධාන අභියෝගයකි. සංවර්ධනය ආරම්භ කළ හැකි එක් ප්රදේශයකි IRTF හි, පර්යේෂකයන්ට අභියෝගාත්මක කර්මාන්තයක් පිළිබඳ ඔවුන්ගේම දැනුම පිරිපහදු කිරීමට සහ පර්යේෂණයේ නව මාර්ග ගවේෂණය කිරීමට කර්මාන්තය සමඟ සහයෝගයෙන් කටයුතු කළ හැකිය. අපි සියලු පර්යේෂකයන් වෙත උණුසුම් සාදරයෙන් පිළිගනිමු, ඒවා තිබේ නම් - DDoS පර්යේෂණ හෝ SMART පර්යේෂණ කණ්ඩායමට අදාළ ප්රශ්න හෝ යෝජනා සමඟ අප සම්බන්ධ කර ගත හැකිය.
මූලාශ්රය: www.habr.com