سال کے آغاز میں، 2018-2019 کے لیے انٹرنیٹ کے مسائل اور رسائی کے بارے میں ایک رپورٹ میں کہ TLS 1.3 کا پھیلاؤ ناگزیر ہے۔ کچھ عرصہ پہلے، ہم نے خود ٹرانسپورٹ لیئر سیکیورٹی پروٹوکول کا ورژن 1.3 تعینات کیا تھا اور ڈیٹا اکٹھا کرنے اور تجزیہ کرنے کے بعد، ہم آخر کار اس منتقلی کی خصوصیات کے بارے میں بات کرنے کے لیے تیار ہیں۔
IETF TLS ورکنگ گروپ کی کرسیاں :
"مختصر طور پر، TLS 1.3 کو اگلے 20 سالوں کے لیے زیادہ محفوظ اور موثر انٹرنیٹ کی بنیاد فراہم کرنی چاہیے۔"
ترقی 10 طویل سال لگے. ہم نے Qrator Labs میں، باقی صنعتوں کے ساتھ، ابتدائی مسودے سے پروٹوکول بنانے کے عمل کی قریب سے پیروی کی ہے۔ اس وقت کے دوران، 28 میں ایک متوازن اور آسانی سے تعیناتی پروٹوکول کی روشنی کو دیکھنے کے لیے مسودے کے لگاتار 2019 ورژن لکھنے کی ضرورت تھی۔ TLS 1.3 کے لیے فعال مارکیٹ سپورٹ پہلے ہی واضح ہے: ایک ثابت شدہ اور قابل اعتماد سیکیورٹی پروٹوکول کا نفاذ وقت کی ضروریات کو پورا کرتا ہے۔
ایرک ریسکورلا کے مطابق (Firefox CTO اور TLS 1.3 کے واحد مصنف) :
انہوں نے کہا کہ "یہ TLS 1.2 کا مکمل متبادل ہے، ایک ہی کیز اور سرٹیفکیٹس کا استعمال کرتے ہوئے، اس لیے کلائنٹ اور سرور خود بخود TLS 1.3 پر بات چیت کر سکتے ہیں اگر وہ دونوں اس کی حمایت کرتے ہیں،" انہوں نے کہا۔ "لائبریری کی سطح پر پہلے سے ہی اچھی سپورٹ موجود ہے، اور کروم اور فائر فاکس TLS 1.3 کو بطور ڈیفالٹ فعال کرتے ہیں۔"
متوازی طور پر، TLS IETF ورکنگ گروپ میں ختم ہو رہا ہے۔ ، TLS کے پرانے ورژن (صرف TLS 1.2 کو چھوڑ کر) کو متروک اور ناقابل استعمال قرار دینا۔ زیادہ تر امکان ہے، فائنل RFC موسم گرما کے اختتام سے پہلے جاری کر دیا جائے گا۔ یہ آئی ٹی انڈسٹری کے لیے ایک اور اشارہ ہے: انکرپشن پروٹوکول کو اپ ڈیٹ کرنے میں تاخیر نہیں ہونی چاہیے۔
موجودہ TLS 1.3 کے نفاذ کی ایک فہرست Github پر دستیاب ہے ہر اس شخص کے لیے جو موزوں ترین لائبریری کی تلاش میں ہے: . یہ واضح ہے کہ اپ ڈیٹ شدہ پروٹوکول کو اپنانا اور سپورٹ کرنا — اور پہلے ہی — تیزی سے آگے بڑھ رہا ہے۔ جدید دنیا میں بنیادی خفیہ کاری کس طرح بن گئی ہے اس کی تفہیم کافی حد تک پھیل چکی ہے۔
TLS 1.2 کے بعد کیا بدلا ہے؟
میں سے :
"TLS 1.3 دنیا کو ایک بہتر جگہ کیسے بناتا ہے؟
TLS 1.3 میں کچھ تکنیکی فوائد شامل ہیں—جیسے کہ ایک محفوظ کنکشن قائم کرنے کے لیے ایک آسان مصافحہ عمل—اور یہ کلائنٹس کو سرورز کے ساتھ زیادہ تیزی سے سیشنز دوبارہ شروع کرنے کی بھی اجازت دیتا ہے۔ ان اقدامات کا مقصد کمزور لنکس پر کنکشن سیٹ اپ میں تاخیر اور کنکشن کی ناکامیوں کو کم کرنا ہے، جو اکثر صرف غیر خفیہ کردہ HTTP کنکشن فراہم کرنے کے جواز کے طور پر استعمال ہوتے ہیں۔
بالکل اسی طرح اہم بات یہ ہے کہ، یہ کئی میراثی اور غیر محفوظ انکرپشن اور ہیشنگ الگورتھم کے لیے سپورٹ کو ہٹاتا ہے جن کی TLS کے پرانے ورژنز بشمول SHA-1، MD5، DES، 3DES، اور AES-CBC کے ساتھ استعمال کی اجازت ہے (حالانکہ اس کی سفارش نہیں کی گئی)۔ نئے سائفر سویٹس کے لیے سپورٹ شامل کرنا۔ دیگر بہتریوں میں ہینڈ شیک کے مزید خفیہ کردہ عناصر شامل ہیں (مثال کے طور پر، سرٹیفکیٹ کی معلومات کا تبادلہ اب انکرپٹ ہو چکا ہے) تاکہ ممکنہ ٹریفک ایو ڈراپر کے لیے سراگوں کی مقدار کو کم کیا جا سکے، اور ساتھ ہی ساتھ کچھ کلیدی تبادلے کے طریقوں کا استعمال کرتے ہوئے رازداری کو آگے بڑھانے میں بہتری لائی جائے تاکہ مواصلات ہر وقت محفوظ رہنا چاہیے یہاں تک کہ اگر اسے خفیہ کرنے کے لیے استعمال کیے جانے والے الگورتھم مستقبل میں سمجھوتہ کر رہے ہوں۔
جدید پروٹوکول اور ڈی ڈی او ایس کی ترقی
جیسا کہ آپ پہلے ہی پڑھ چکے ہوں گے، پروٹوکول کی ترقی کے دوران ، IETF TLS ورکنگ گروپ میں . اب یہ واضح ہو گیا ہے کہ انفرادی کاروباری اداروں (بشمول مالیاتی اداروں) کو اپنے نیٹ ورک کو محفوظ بنانے کے طریقے کو تبدیل کرنا ہو گا تاکہ پروٹوکول کے اب بلٹ ان کو ایڈجسٹ کیا جا سکے۔ .
اس کی ضرورت کی وجوہات دستاویز میں بیان کی گئی ہیں، . 20 صفحات پر مشتمل مقالے میں متعدد مثالوں کا ذکر کیا گیا ہے جہاں ایک انٹرپرائز نگرانی، تعمیل یا ایپلیکیشن لیئر (L7) DDoS تحفظ کے مقاصد کے لیے آؤٹ آف بینڈ ٹریفک (جس کی PFS اجازت نہیں دیتا) کو ڈیکرپٹ کرنا چاہتا ہے۔
اگرچہ ہم یقینی طور پر ریگولیٹری تقاضوں پر قیاس کرنے کے لیے تیار نہیں ہیں، ہماری ملکیتی ایپلیکیشن DDoS تخفیف پروڈکٹ (بشمول ایک حل حساس اور/یا خفیہ معلومات) کو PFS کو مدنظر رکھتے ہوئے 2012 میں بنایا گیا تھا، اس لیے ہمارے کلائنٹس اور شراکت داروں کو سرور کی جانب سے TLS ورژن کو اپ ڈیٹ کرنے کے بعد اپنے بنیادی ڈھانچے میں کوئی تبدیلی کرنے کی ضرورت نہیں تھی۔
اس کے علاوہ، نفاذ کے بعد سے، نقل و حمل کی خفیہ کاری سے متعلق کسی مسائل کی نشاندہی نہیں کی گئی ہے۔ یہ سرکاری ہے: TLS 1.3 پیداوار کے لیے تیار ہے۔
تاہم، اب بھی اگلی نسل کے پروٹوکول کی ترقی سے وابستہ ایک مسئلہ ہے۔ مسئلہ یہ ہے کہ IETF میں پروٹوکول کی پیشرفت عام طور پر بہت زیادہ تعلیمی تحقیق پر منحصر ہوتی ہے، اور تقسیم شدہ انکار سروس کے حملوں کو کم کرنے کے میدان میں تعلیمی تحقیق کی حالت مایوس کن ہے۔
تو، ایک اچھی مثال ہو گی IETF ڈرافٹ "QUIC مینیج ایبلٹی"، آنے والے QUIC پروٹوکول سوٹ کا حصہ، کہتا ہے کہ "[DDoS حملوں] کا پتہ لگانے اور اس کو کم کرنے کے جدید طریقے عام طور پر نیٹ ورک فلو ڈیٹا کا استعمال کرتے ہوئے غیر فعال پیمائش کو شامل کرتے ہیں۔"
مؤخر الذکر، حقیقت میں، حقیقی انٹرپرائز ماحول میں بہت کم ہے (اور صرف جزوی طور پر ISPs پر لاگو ہوتا ہے)، اور کسی بھی صورت میں حقیقی دنیا میں "عام کیس" ہونے کا امکان نہیں ہے - لیکن سائنسی اشاعتوں میں مسلسل ظاہر ہوتا ہے، عام طور پر اس کی حمایت نہیں کی جاتی ہے۔ ممکنہ DDoS حملوں کے پورے سپیکٹرم کی جانچ کر کے، بشمول ایپلیکیشن لیول کے حملے۔ مؤخر الذکر، کم از کم دنیا بھر میں TLS کی تعیناتی کی وجہ سے، ظاہر ہے کہ نیٹ ورک پیکٹ اور بہاؤ کی غیر فعال پیمائش سے پتہ نہیں چل سکتا۔
اسی طرح، ہم ابھی تک نہیں جانتے کہ DDoS تخفیف ہارڈویئر وینڈرز TLS 1.3 کی حقیقتوں کے مطابق کیسے موافقت کریں گے۔ آؤٹ آف بینڈ پروٹوکول کو سپورٹ کرنے کی تکنیکی پیچیدگی کی وجہ سے، اپ گریڈ میں کچھ وقت لگ سکتا ہے۔
تحقیق کی رہنمائی کے لیے صحیح اہداف کا تعین کرنا DDoS تخفیف سروس فراہم کرنے والوں کے لیے ایک بڑا چیلنج ہے۔ ایک ایسا شعبہ جہاں ترقی شروع ہو سکتی ہے۔ IRTF میں، جہاں محققین ایک چیلنجنگ صنعت کے بارے میں اپنے علم کو بہتر بنانے اور تحقیق کی نئی راہیں تلاش کرنے کے لیے صنعت کے ساتھ تعاون کر سکتے ہیں۔ ہم تمام محققین کا پرتپاک خیرمقدم بھی کرتے ہیں، اگر کوئی ہو تو - DDoS تحقیق یا SMART ریسرچ گروپ سے متعلق سوالات یا تجاویز کے لیے ہم سے رابطہ کیا جا سکتا ہے۔
ماخذ: www.habr.com