Në fillim të vitit, në një raport për problemet e internetit dhe aksesueshmërinë për 2018-2019 se përhapja e TLS 1.3 është e pashmangshme. Disa kohë më parë, ne vetë vendosëm versionin 1.3 të protokollit të Sigurisë së Shtresës së Transportit dhe, pas mbledhjes dhe analizimit të të dhënave, më në fund jemi gati të flasim për veçoritë e këtij tranzicioni.
Kryetarët e grupeve të punës IETF TLS :
“Me pak fjalë, TLS 1.3 duhet të sigurojë bazën për një internet më të sigurt dhe efikas për 20 vitet e ardhshme.”
Разработка u deshën 10 vite të gjata. Ne në Qrator Labs, së bashku me pjesën tjetër të industrisë, kemi ndjekur nga afër procesin e krijimit të protokollit që nga drafti fillestar. Gjatë kësaj kohe, ishte e nevojshme të shkruheshin 28 versione të njëpasnjëshme të draftit në mënyrë që të shihej përfundimisht dritën e një protokolli të balancuar dhe të lehtë për t'u vendosur në 2019. Mbështetja aktive e tregut për TLS 1.3 është tashmë e dukshme: zbatimi i një protokolli sigurie të provuar dhe të besueshëm plotëson nevojat e kohës.
Sipas Eric Rescorla (CTO i Firefox dhe autori i vetëm i TLS 1.3) :
"Ky është një zëvendësim i plotë për TLS 1.2, duke përdorur të njëjtat çelësa dhe certifikata, kështu që klienti dhe serveri mund të komunikojnë automatikisht përmes TLS 1.3 nëse të dy e mbështesin atë," tha ai. “Tashmë ka mbështetje të mirë në nivelin e bibliotekës dhe Chrome dhe Firefox mundësojnë TLS 1.3 si parazgjedhje.”
Paralelisht, TLS po përfundon në grupin e punës të IETF , duke deklaruar versionet e vjetra të TLS (duke përjashtuar vetëm TLS 1.2) të vjetëruara dhe të papërdorshme. Me shumë mundësi, RFC-ja përfundimtare do të dalë para fundit të verës. Ky është një sinjal tjetër për industrinë e IT: përditësimi i protokolleve të enkriptimit nuk duhet të vonohet.
Një listë e implementimeve aktuale të TLS 1.3 është në dispozicion në Github për këdo që kërkon bibliotekën më të përshtatshme: . Është e qartë se miratimi dhe mbështetja për protokollin e përditësuar do të jetë dhe tashmë po përparon me shpejtësi. Kuptimi se si është bërë kriptimi themelor në botën moderne është përhapur mjaft gjerësisht.
Çfarë ka ndryshuar që nga TLS 1.2?
Nga :
“Si e bën TLS 1.3 botën një vend më të mirë?
TLS 1.3 përfshin disa avantazhe teknike - të tilla si një proces i thjeshtuar i shtrëngimit të duarve për të krijuar një lidhje të sigurt - dhe gjithashtu i lejon klientët të rifillojnë më shpejt seancat me serverët. Këto masa synojnë të reduktojnë vonesën e konfigurimit të lidhjes dhe dështimet e lidhjes në lidhjet e dobëta, të cilat shpesh përdoren si justifikim për ofrimin e vetëm lidhjeve HTTP të pakriptuara.
Po aq e rëndësishme, ai heq mbështetjen për disa algoritme të vjetëruara dhe të pasigurta të enkriptimit dhe hashimit që ende lejohen (megjithëse nuk rekomandohen) për përdorim me versionet e mëparshme të TLS, duke përfshirë SHA-1, MD5, DES, 3DES dhe AES-CBC. ndërsa duke shtuar mbështetje për paketat e reja të shifrave. Përmirësime të tjera përfshijnë elementë më të koduar të shtrëngimit të duarve (për shembull, shkëmbimi i informacionit të certifikatës tani është i koduar) për të zvogëluar sasinë e të dhënave për një përgjues të mundshëm trafiku, si dhe përmirësime për të përcjellë sekretin kur përdorni mënyra të caktuara të shkëmbimit të çelësave në mënyrë që komunikimi në çdo kohë duhet të mbetet i sigurt edhe nëse algoritmet e përdorura për të kriptuar atë do të komprometohen në të ardhmen.”
Zhvillimi i protokolleve moderne dhe DDoS
Siç mund ta keni lexuar tashmë, gjatë zhvillimit të protokollit , në grupin e punës IETF TLS . Tani është e qartë se ndërmarrjet individuale (përfshirë institucionet financiare) do të duhet të ndryshojnë mënyrën se si sigurojnë rrjetin e tyre në mënyrë që të akomodojnë protokollin e integruar tashmë .
Arsyet pse kjo mund të kërkohet përcaktohen në dokument, . Punimi prej 20 faqesh përmend disa shembuj ku një ndërmarrje mund të dëshirojë të deshifrojë trafikun jashtë brezit (gjë që PFS nuk e lejon) për qëllime të mbrojtjes DDoS të monitorimit, pajtueshmërisë ose të shtresës së aplikimit (L7).
Ndërsa ne sigurisht nuk jemi të përgatitur të spekulojmë mbi kërkesat rregullatore, produkti ynë i pronarit për zbutjen e DDoS (duke përfshirë një zgjidhje informacione të ndjeshme dhe/ose konfidenciale) u krijua në 2012 duke marrë parasysh PFS, kështu që klientët dhe partnerët tanë nuk kishin nevojë të bënin ndonjë ndryshim në infrastrukturën e tyre pas përditësimit të versionit TLS në anën e serverit.
Gjithashtu, që nga zbatimi, nuk është evidentuar asnjë problem në lidhje me enkriptimin e transportit. Është zyrtare: TLS 1.3 është gati për prodhim.
Megjithatë, ka ende një problem që lidhet me zhvillimin e protokolleve të gjeneratës së ardhshme. Problemi është se progresi i protokollit në IETF zakonisht varet shumë nga kërkimi akademik dhe gjendja e kërkimit akademik në fushën e zbutjes së sulmeve të shpërndara të mohimit të shërbimit është e mjerueshme.
Pra, një shembull i mirë do të ishte Drafti i IETF "QUIC Manageability", pjesë e paketës së ardhshme të protokolleve QUIC, thotë se "metodat moderne për zbulimin dhe zbutjen e [sulmeve DDoS] zakonisht përfshijnë matje pasive duke përdorur të dhënat e rrjedhës së rrjetit".
Ky i fundit është, në fakt, shumë i rrallë në mjediset reale të ndërmarrjeve (dhe vetëm pjesërisht i zbatueshëm për ISP-të), dhe në çdo rast nuk ka gjasa të jetë një "rast i përgjithshëm" në botën reale - por shfaqet vazhdimisht në botime shkencore, zakonisht të pambështetura. duke testuar të gjithë spektrin e sulmeve të mundshme DDoS, duke përfshirë sulmet e nivelit të aplikacionit. Kjo e fundit, të paktën për shkak të shtrirjes mbarëbotërore të TLS, padyshim që nuk mund të zbulohet nga matja pasive e paketave dhe flukseve të rrjetit.
Po kështu, ne nuk e dimë ende se si shitësit e pajisjeve për zbutjen e DDoS do të përshtaten me realitetet e TLS 1.3. Për shkak të kompleksitetit teknik të mbështetjes së protokollit jashtë brezit, përmirësimi mund të marrë pak kohë.
Vendosja e qëllimeve të duhura për të udhëhequr kërkimin është një sfidë e madhe për ofruesit e shërbimeve të zbutjes DDoS. Një fushë ku mund të fillojë zhvillimi është në IRTF, ku studiuesit mund të bashkëpunojnë me industrinë për të përmirësuar njohuritë e tyre për një industri sfiduese dhe për të eksploruar rrugë të reja kërkimi. Ne gjithashtu ofrojmë një mirëseardhje të ngrohtë për të gjithë studiuesit, nëse ka ndonjë - ne mund të kontaktohemi me pyetje ose sugjerime në lidhje me kërkimin DDoS ose grupin kërkimor SMART në
Burimi: www.habr.com