Začiatkom roka v správe o problémoch a dostupnosti internetu na roky 2018-2019 že šírenie TLS 1.3 je nevyhnutné. Pred časom sme sami nasadili verziu 1.3 protokolu Transport Layer Security a po zozbieraní a analýze údajov sme konečne pripravení hovoriť o vlastnostiach tohto prechodu.
Predsedovia pracovnej skupiny IETF TLS :
„Stručne povedané, TLS 1.3 by mal poskytnúť základ pre bezpečnejší a efektívnejší internet na nasledujúcich 20 rokov.“
dizajn trvalo dlhých 10 rokov. My v Qrator Labs spolu so zvyškom odvetvia pozorne sledujeme proces vytvárania protokolu od počiatočného návrhu. Počas tejto doby bolo potrebné napísať 28 po sebe nasledujúcich verzií návrhu, aby v roku 2019 nakoniec uzrel svetlo sveta vyvážený a ľahko nasaditeľný protokol. Aktívna trhová podpora pre TLS 1.3 je už evidentná: implementácia overeného a spoľahlivého bezpečnostného protokolu spĺňa potreby doby.
Podľa Erica Rescorlu (CTO Firefoxu a jediného autora TLS 1.3) :
„Toto je úplná náhrada za TLS 1.2 s použitím rovnakých kľúčov a certifikátov, takže klient a server môžu automaticky komunikovať cez TLS 1.3, ak ho obaja podporujú,“ povedal. "Na úrovni knižnice už existuje dobrá podpora a prehliadače Chrome a Firefox štandardne povoľujú TLS 1.3."
Paralelne s tým TLS končí v pracovnej skupine IETF , vyhlasujúc staršie verzie TLS (okrem iba TLS 1.2) za zastarané a nepoužiteľné. S najväčšou pravdepodobnosťou bude konečné RFC vydané pred koncom leta. Toto je ďalší signál pre IT priemysel: aktualizácia šifrovacích protokolov by sa nemala odkladať.
Zoznam aktuálnych implementácií TLS 1.3 je dostupný na Github pre každého, kto hľadá najvhodnejšiu knižnicu: . Je jasné, že prijatie a podpora aktualizovaného protokolu bude – a už aj teraz – rýchlo napredovať. Pochopenie toho, akým zásadným sa stalo šifrovanie v modernom svete, sa rozšírilo pomerne široko.
Čo sa zmenilo od TLS 1.2?
Z :
„Ako robí TLS 1.3 svet lepším miestom?
TLS 1.3 obsahuje určité technické výhody – ako napríklad zjednodušený proces handshake na vytvorenie zabezpečeného pripojenia – a tiež umožňuje klientom rýchlejšie obnoviť relácie so servermi. Tieto opatrenia sú určené na zníženie latencie nastavenia pripojenia a zlyhania pripojenia na slabých prepojeniach, ktoré sa často používajú ako odôvodnenie poskytovania iba nešifrovaných pripojení HTTP.
Rovnako dôležité je, že odstraňuje podporu pre niekoľko starých a nezabezpečených šifrovacích a hašovacích algoritmov, ktoré sú stále povolené (hoci sa neodporúčajú) používať so staršími verziami TLS, vrátane SHA-1, MD5, DES, 3DES a AES-CBC. pridanie podpory pre nové šifrovacie súpravy. Ďalšie vylepšenia zahŕňajú viac šifrovaných prvkov handshake (napríklad výmena informácií o certifikáte je teraz šifrovaná), aby sa znížilo množstvo záchytných bodov pre potenciálneho odpočúvania prevádzky, ako aj vylepšenia preposielania tajomstva pri používaní určitých režimov výmeny kľúčov, takže komunikácia vždy musí zostať bezpečný, aj keď algoritmy používané na jeho šifrovanie budú v budúcnosti kompromitované.“
Vývoj moderných protokolov a DDoS
Ako ste si už mohli prečítať, počas vývoja protokolu , v pracovnej skupine IETF TLS . Teraz je jasné, že jednotlivé podniky (vrátane finančných inštitúcií) budú musieť zmeniť spôsob, akým zabezpečujú svoju vlastnú sieť, aby sa prispôsobili už zabudovanému protokolu. .
Dôvody, prečo sa to môže vyžadovať, sú uvedené v dokumente, . 20-stranový dokument uvádza niekoľko príkladov, kedy podnik môže chcieť dešifrovať prenos mimo pásma (čo PFS neumožňuje) na účely monitorovania, dodržiavania predpisov alebo ochrany aplikačnej vrstvy (L7) DDoS.
Aj keď určite nie sme pripravení špekulovať o regulačných požiadavkách, naša vlastná aplikácia DDoS zmierňujúca produkt (vrátane riešenia citlivé a/alebo dôverné informácie) bol vytvorený v roku 2012 s ohľadom na PFS, takže naši klienti a partneri nemuseli po aktualizácii verzie TLS na strane servera vykonávať žiadne zmeny vo svojej infraštruktúre.
Taktiež od implementácie neboli identifikované žiadne problémy súvisiace s transportným šifrovaním. Je to oficiálne: TLS 1.3 je pripravený na výrobu.
Stále však existuje problém spojený s vývojom protokolov novej generácie. Problém je v tom, že pokrok v protokoloch v IETF je zvyčajne silne závislý od akademického výskumu a stav akademického výskumu v oblasti zmierňovania distribuovaných útokov odmietnutia služby je tristný.
Takže dobrý príklad by bol V návrhu IETF „QUIC Manageability“, ktorý je súčasťou pripravovaného balíka protokolov QUIC, sa uvádza, že „moderné metódy na detekciu a zmiernenie [DDoS útokov] zvyčajne zahŕňajú pasívne meranie pomocou údajov o toku siete.
To druhé je v skutočnosti veľmi zriedkavé v skutočných podnikových prostrediach (a len čiastočne použiteľné pre ISP) a v každom prípade je nepravdepodobné, že by išlo o „všeobecný prípad“ v reálnom svete – ale neustále sa objavuje vo vedeckých publikáciách, ktoré zvyčajne nie sú podporované. testovaním celého spektra potenciálnych DDoS útokov, vrátane útokov na aplikačnej úrovni. Ten druhý, vzhľadom na prinajmenšom celosvetové nasadenie TLS, zjavne nie je možné odhaliť pasívnym meraním sieťových paketov a tokov.
Rovnako ešte nevieme, ako sa predajcovia hardvéru na zmiernenie DDoS prispôsobia realite TLS 1.3. Vzhľadom na technickú zložitosť podpory protokolu mimo pásma môže aktualizácia chvíľu trvať.
Stanovenie správnych cieľov na vedenie výskumu je hlavnou výzvou pre poskytovateľov služieb zmierňovania DDoS. Jednou z oblastí, kde môže vývoj začať, je na IRTF, kde môžu výskumníci spolupracovať s priemyslom s cieľom zdokonaliť svoje znalosti o náročnom odvetví a preskúmať nové cesty výskumu. Srdečne vítame aj všetkých výskumníkov, ak nejakí budú – s otázkami alebo návrhmi týkajúcimi sa výskumu DDoS alebo výskumnej skupiny SMART nás môžete kontaktovať na adrese
Zdroj: hab.com