Μια σημαντική αναβάθμιση της ασφάλειας στο Internet μετά από 4 χρόνια και 28 προσχέδια, εγκρίθηκε από την Internet Engineering Task Force (IETF).
Συγκεκριμένα εγκρίθηκε το πρωτόκολλο TLS 1.3 παρά τους φόβους πως μπορεί να προκαλέσει δικτυακά προβλήματα, και αναμένεται να ξεκινήσει η χρήση του σε πλήρη κλίμακα. Το TLS 1.3 στοχεύει στην αποτροπή προσπαθειών υποκλοπής από υπηρεσίες όπως η NSA και αναμένεται να επιταχύνει την ταχύτητα των ασφαλών επικοινωνιών λόγω της καθαρής κατασκευής του.
Η ανάπτυξη του υπήρξε αργή και με προβλήματα, αφού υπήρξαν περιπτώσεις προβλημάτων hardware μετά την αναβάθμιση, ενώ εκφράστηκαν απόψεις πως μπορεί να αυξάνει τον κίνδυνο επιθέσεων σε ασφαλή δίκτυα. Υπήρξε μάλιστα προσπάθεια να εισαχθεί backdoor σε αυτό, αλλά ευτυχώς απορρίφθηκε.
Πηγή : The RegisterTLS – standing for Transport Layer Security – basically works by creating a secure connection between a client and a server – your laptop, for example, and a company's website. All this is done before any real information is shared – like credit card details or personal information.
Under TLS 1.2 this is a fairly lengthy process that can take as much as half-a-second:
- The client says hi to the server and offers a range of strong encryption systems it can work with
- The server says hi back, explains which encryption system it will use and sends an encryption key
- The client takes that key and uses it to encrypt and send back a random series of letters
- Together they use this exchange to create two new keys: a master key and a session key – the master key being stronger; the session key weaker.
- The client then says which encryption system it plans to use for the weaker, session key – which allows data to be sent much faster because it doesn't have to be processed as much
- The server acknowledges that system will be used, and then the two start sharing the actual information that the whole exchange is about
TLS 1.3 speeds that whole process up by bundling several steps together:
- The client says hi, here's the systems I plan to use
- The server gets back saying hi, ok let's use them, here's my key, we should be good to go
- The client responds saying, yep that all looks good, here are the session keys
Εμφάνιση 1-15 από 19
-
25-03-18, 19:06 Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.126
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
25-03-18, 20:59 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #2
Καλορίζικο!
-
25-03-18, 21:25 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #3
Για ποιο λόγο αυξάνει τον κίνδυνο επιθέσεων σε ασφαλή δίκτυα;
-
25-03-18, 23:24 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #4
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.126
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
Most recently, banks and businesses complained that, thanks to the way the new protocol does security, they will be cut off from being able to inspect and analyze TLS 1.3 encrypted traffic flowing through their networks, and so potentially be at greater risk from attack.We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
I forgot that I might see, so many Beautiful things
everything that has a beginning has an end
See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
-
26-03-18, 00:10 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #5
Μερικά σχετικά site που βρήκα.
How to enable TLS 1.3 support in Firefox and Chrome
https://www.ghacks.net/2017/06/15/ho...ox-and-chrome/
Browsers που υποστηρίζουν TLS 1.3
https://caniuse.com/#feat=tls1-3
Έλεγχος αν ο Browser σας υποστηρίζει TLS 1.3 (δίπλα από το TLS 1.3 στην ενότητα Protocol Features, να γράφει Yes)
https://www.ssllabs.com/ssltest/viewMyClient.html
Πλεονεκτήματα TLS 1.3
https://kinsta.com/blog/tls-1-3/Τελευταία επεξεργασία από το μέλος tiatrou : 26-03-18 στις 00:24.
-
26-03-18, 00:38 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #6
Το επιχείρημα των τραπεζών είναι ότι πρέπει να είναι σε θέση να αποκρυπτογραφούν τις συνδέσεις στα enterprise networks για να συμμορφωθούν με τους κανονισμούς, να εφαρμόσουν προστασίες απώλειας δεδομένων, να ανιχνεύσουν εισβολές και κακόβουλα προγράμματα, να παγιδεύσουν πακέτα καθώς και να μετριάσουν επιθέσεις DDoS.
Επίσης, είχα διαβάσεις πως ζήτησαν από την ομάδα που δούλευε πάνω στο TLS 1.3 να δημιουργήσουν μια μέθοδο αποκρυπτογράφησης ως μέρος των προδιαγραφών, για να κάνουν πιο εύκολα τη δουλειά τους, αλλά έφαγαν χοντρό άκυρο.
-
26-03-18, 02:29 Re: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #7
-
26-03-18, 09:25 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #8
Για όποιον θέλει κάτι παραπάνω μπορεί να δεί κι αυτό το whitepaper:
Encryption and DPI: Current and Future Services Impact
TLS 1.3 encrypts the handshake to a greater extent than TLS 1.2. Specifically, the server certificate is transferred in an encrypted format rather than in plain text. It will be impossible for a DPI device to verify the authenticity of the server based on the certificate chain and the known trusted Certificate Authority roots. The Server Name Indication (SNI) extension required for TLS/HTTPS virtual hosting is mandated and still transferred in the clear for a full handshake.
While encrypted SNI has been a topic of discussion, there is no known technical means of encrypting SNI without sacrificing performance.
All encrypted packets are to be sent with the record type of Application Data, where the record type used to be a function of whether the data being transferred was control or application data. This makes content analysis harder.
The specification also defines content padding, allowing blank data to be appended to the payload before encryption. This does expand the size of the payload, expending additional bandwidth, but yields the benefit of making content analysis harder. To what extent content padding will be used in actual implementations remains to be seen.
Το μεγάλο πρόβλημα βέβαια δεν είναι στις τεχνικές αλλά στο ότι η IETF χρειάστηκε να δουλέψει σε ένα πρωτόκολλο ασφαλείας για να αποφύγει το government surveillance. Και όποιος ζήτησε να μπει backdoor μάλλον δεν έπρεπε να μπει καν στη συζήτηση.You thought there would be a funny slogan here.
You just fell for one of my classical pranks.
Bazinga
-
26-03-18, 11:14 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #9
Για όποιον θέλει να διαβάσει (βασικά να βγάλει τα μάτια του), εδώ είναι η πλήρης ανάλυση
του TLS 1.3 και του impact του:
https://tools.ietf.org/html/draft-ca...s-use-cases-00
Για να σας σώσω από το διάβασμα, το μεγάλο κερασάκι είναι εδω:
Στο τέλος του 2.2.1
"In TLS 1.2, the ClientHello, ServerHello and Certificate messages are all sent in clear-text, however in TLS 1.3, the Certificate message
is encrypted thereby hiding the server identity from any intermediary. Note that even _if_ the SNI is provided (in cleartext)
by the client, there is no guarantee that the actual server responding is the one indicated in the SNI from the client.
Example scenarios that are impacted by this involve selective network security, such as whitelists or blacklists based on security
intelligence, regulatory requirements, categories (e.g. financial services), etc. An added challenge is that some of these scenarios
require the middlebox to perform inspection, whereas other scenarios require the middlebox to _not_ perform inspection."
Tι μας λέει:
Αν το TLS1.3 γίνει απόλυτο standard, δηλαδή πχ o chrome ΔΕΝ ΔΕΧΕΤΑΙ dropback σε TLS/1.2 όταν συνδέεται πχ στο amazon
1. To antivirus σας δε θα μπορει (ΕΠΙΤΕΛΟΥΣ) να κανει replicate το SSL certificate ώστε να το αντικαταστήσει με ένα self-signed για να "ελέγξει τι κατεβάζετε". Χοντρά χοντρά, όταν ξεκινήσει η μεταφορά, το αντιvirus σας είναι τυφλό στα data, δεν γίνεται interception.
2. Ακόμα και να περάσει με το SNI (Server Name Indication) σε clear text, αυτό μπορεί να είναι απλά "μαιμού" και να μην έχει καμία σχέση με το
πιστοποιητικό και τον πρωτύτυπο server του. Εδώ θα γίνει το πανηγύρι, βλέπω custom browsers (TOR-like κλπ) να συνδέονται σε "διακεκριμένους" servers με SNI τόσο τυχαίο όσο ο γάμος του καραγκιόζη - που ομως ξέρει ο server να ξεχωρίζει. Το μαυρο-δίκτυο θα έχει την τιμητική τουΌλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
από εδώ: https://play.google.com/store/apps/d...=Carbon+People
-
26-03-18, 12:57 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #10
Το τελευταίο σενάριο είναι προβληματικό για άτομα που έχουν antivirus, ωστόσο δεν το βλέπω να μην γίνεται fallback σε 1.2, τουλάχιστον σύντομα.
-
26-03-18, 17:13 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #11
Αν όντως το 1.3 γίνει το απόλυτο standard, παίζει αυτό να βοηθήσει και σε επίπεδο net neutrality;
Π.χ. να μην μπορεί ο Χ ISP να χρεώνει διαφορετικά για την κίνηση από την Υ υπηρεσία, αφού δεν θα μπορεί να δει σε ποιά υπηρεσία συνδέεσαι; Ή δεν το έχω καταλάβει καλά;
-
26-03-18, 17:53 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #12
Η ιδεα του SNI εχει νοημα σε shared servers οπου, στην ιδια IP υπαρχουν πολλα hostnames.
Δεν νομιζω οτι καποιος ISP θα ενδιαφεροταν να ελεγξει σε αυτο το επιπεδο, δεδομενης της μικρης κινησης.
Ο ISP παντα βλεπει την IP, οποτε αν σε αυτη αντιστοιχει μονο ενας server (οπως συμβαινει στα μεσαια μεγαλα sites) τοτε δεν κερδιζεις κατι.
-
26-03-18, 20:33 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #13
Μπαίνοντας στον έλεγχο:
https://www.ssllabs.com/ssltest/viewMyClient.html
Mε chrome (εκδ 56) βρίσκεις υποστήριξη TLS1.3
ενώ με firefox (εκδ 59 την τελευταία) βρίσκεις υποστήριξη TLS1.2
παρότι στο about:config το security.tls.version.max είναι 3
Ή το firefox δεν έχει πλήρως υλοποιήσει το πρωτόκολλο, ή κάτι άλλο παίζειΌλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
από εδώ: https://play.google.com/store/apps/d...=Carbon+People
-
26-03-18, 20:33 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #14
Το έχω ενεργοποιημένο στον ff.
Δεν είδα κάποιο πρόβλημα.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
26-03-18, 20:35 Απάντηση: Εγκρίθηκε το ασφαλέστερο πρωτόκολλο TLS 1.3 #15Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
από εδώ: https://play.google.com/store/apps/d...=Carbon+People
Bookmarks