Σελ. 1 από 2 12 ΤελευταίαΤελευταία
Εμφάνιση 1-15 από 19
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.688
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Intenet
    Μια σημαντική αναβάθμιση της ασφάλειας στο Internet μετά από 4 χρόνια και 28 προσχέδια, εγκρίθηκε από την Internet Engineering Task Force (IETF).

    Συγκεκριμένα εγκρίθηκε το πρωτόκολλο TLS 1.3 παρά τους φόβους πως μπορεί να προκαλέσει δικτυακά προβλήματα, και αναμένεται να ξεκινήσει η χρήση του σε πλήρη κλίμακα. Το TLS 1.3 στοχεύει στην αποτροπή προσπαθειών υποκλοπής από υπηρεσίες όπως η NSA και αναμένεται να επιταχύνει την ταχύτητα των ασφαλών επικοινωνιών λόγω της καθαρής κατασκευής του.

    Η ανάπτυξη του υπήρξε αργή και με προβλήματα, αφού υπήρξαν περιπτώσεις προβλημάτων hardware μετά την αναβάθμιση, ενώ εκφράστηκαν απόψεις πως μπορεί να αυξάνει τον κίνδυνο επιθέσεων σε ασφαλή δίκτυα. Υπήρξε μάλιστα προσπάθεια να εισαχθεί backdoor σε αυτό, αλλά ευτυχώς απορρίφθηκε.

    TLS – standing for Transport Layer Security – basically works by creating a secure connection between a client and a server – your laptop, for example, and a company's website. All this is done before any real information is shared – like credit card details or personal information.

    Under TLS 1.2 this is a fairly lengthy process that can take as much as half-a-second:

    • The client says hi to the server and offers a range of strong encryption systems it can work with
    • The server says hi back, explains which encryption system it will use and sends an encryption key
    • The client takes that key and uses it to encrypt and send back a random series of letters
    • Together they use this exchange to create two new keys: a master key and a session key – the master key being stronger; the session key weaker.
    • The client then says which encryption system it plans to use for the weaker, session key – which allows data to be sent much faster because it doesn't have to be processed as much
    • The server acknowledges that system will be used, and then the two start sharing the actual information that the whole exchange is about


    TLS 1.3 speeds that whole process up by bundling several steps together:
    • The client says hi, here's the systems I plan to use
    • The server gets back saying hi, ok let's use them, here's my key, we should be good to go
    • The client responds saying, yep that all looks good, here are the session keys
    Πηγή : The Register

  2. #2
    Το avatar του μέλους gravis
    gravis Guest
    Καλορίζικο!

  3. #3
    Εγγραφή
    06-07-2005
    Περιοχή
    Νέα Υόρκη
    Ηλικία
    48
    Μηνύματα
    11.626
    Downloads
    6
    Uploads
    2
    Τύπος
    Cable
    Ταχύτητα
    300 Mbps down/10 Mbps up
    ISP
    Spectrum
    Για ποιο λόγο αυξάνει τον κίνδυνο επιθέσεων σε ασφαλή δίκτυα;

  4. #4
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.688
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από tsigarid Εμφάνιση μηνυμάτων
    Για ποιο λόγο αυξάνει τον κίνδυνο επιθέσεων σε ασφαλή δίκτυα;
    Most recently, banks and businesses complained that, thanks to the way the new protocol does security, they will be cut off from being able to inspect and analyze TLS 1.3 encrypted traffic flowing through their networks, and so potentially be at greater risk from attack.
    Κάποιος δικτυας ας μας πει.
    We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
    I forgot that I might see, so many Beautiful things
    everything that has a beginning has an end
    See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me

  5. #5
    Εγγραφή
    01-12-2003
    Περιοχή
    Κως
    Ηλικία
    49
    Μηνύματα
    1.344
    Downloads
    3
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    54998/5495
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΚΩΣ
    Router
    ZTE H1600
    SNR / Attn
    26,5(dB) / 8(dB)
    Path Level
    Interleaved
    Μερικά σχετικά site που βρήκα.

    How to enable TLS 1.3 support in Firefox and Chrome
    https://www.ghacks.net/2017/06/15/ho...ox-and-chrome/

    Browsers που υποστηρίζουν TLS 1.3
    https://caniuse.com/#feat=tls1-3

    Έλεγχος αν ο Browser σας υποστηρίζει TLS 1.3 (δίπλα από το TLS 1.3 στην ενότητα Protocol Features, να γράφει Yes)
    https://www.ssllabs.com/ssltest/viewMyClient.html

    Πλεονεκτήματα TLS 1.3
    https://kinsta.com/blog/tls-1-3/
    Τελευταία επεξεργασία από το μέλος tiatrou : 26-03-18 στις 00:24.

  6. #6
    Εγγραφή
    04-01-2015
    Ηλικία
    32
    Μηνύματα
    279
    Downloads
    0
    Uploads
    0
    ISP
    -
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    Κάποιος δικτυας ας μας πει.
    Το επιχείρημα των τραπεζών είναι ότι πρέπει να είναι σε θέση να αποκρυπτογραφούν τις συνδέσεις στα enterprise networks για να συμμορφωθούν με τους κανονισμούς, να εφαρμόσουν προστασίες απώλειας δεδομένων, να ανιχνεύσουν εισβολές και κακόβουλα προγράμματα, να παγιδεύσουν πακέτα καθώς και να μετριάσουν επιθέσεις DDoS.

    Επίσης, είχα διαβάσεις πως ζήτησαν από την ομάδα που δούλευε πάνω στο TLS 1.3 να δημιουργήσουν μια μέθοδο αποκρυπτογράφησης ως μέρος των προδιαγραφών, για να κάνουν πιο εύκολα τη δουλειά τους, αλλά έφαγαν χοντρό άκυρο.

  7. #7
    Το avatar του μέλους eyw
    eyw Guest
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    ... Το TLS 1.3 στοχεύει στην αποτροπή προσπαθειών υποκλοπής από υπηρεσίες όπως η NSA ...
    ok.

    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    ... Υπήρξε μάλιστα προσπάθεια να εισαχθεί backdoor σε αυτό, αλλά ευτυχώς απορρίφθηκε. ...
    ευτυχώς.

  8. #8
    Εγγραφή
    31-05-2006
    Περιοχή
    Στο σπίτι του Θόδωρα
    Ηλικία
    41
    Μηνύματα
    3.449
    Downloads
    0
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    Χίλια/Χίλια
    ISP
    INALAN
    Router
    UniFi Express
    Παράθεση Αρχικό μήνυμα από automatix Εμφάνιση μηνυμάτων
    Το επιχείρημα των τραπεζών είναι ότι πρέπει να είναι σε θέση να αποκρυπτογραφούν τις συνδέσεις στα enterprise networks για να συμμορφωθούν με τους κανονισμούς, να εφαρμόσουν προστασίες απώλειας δεδομένων, να ανιχνεύσουν εισβολές και κακόβουλα προγράμματα, να παγιδεύσουν πακέτα καθώς και να μετριάσουν επιθέσεις DDoS.

    Επίσης, είχα διαβάσεις πως ζήτησαν από την ομάδα που δούλευε πάνω στο TLS 1.3 να δημιουργήσουν μια μέθοδο αποκρυπτογράφησης ως μέρος των προδιαγραφών, για να κάνουν πιο εύκολα τη δουλειά τους, αλλά έφαγαν χοντρό άκυρο.
    Για όποιον θέλει κάτι παραπάνω μπορεί να δεί κι αυτό το whitepaper:
    Encryption and DPI: Current and Future Services Impact
    TLS 1.3 encrypts the handshake to a greater extent than TLS 1.2. Specifically, the server certificate is transferred in an encrypted format rather than in plain text. It will be impossible for a DPI device to verify the authenticity of the server based on the certificate chain and the known trusted Certificate Authority roots. The Server Name Indication (SNI) extension required for TLS/HTTPS virtual hosting is mandated and still transferred in the clear for a full handshake.

    While encrypted SNI has been a topic of discussion, there is no known technical means of encrypting SNI without sacrificing performance.

    All encrypted packets are to be sent with the record type of Application Data, where the record type used to be a function of whether the data being transferred was control or application data. This makes content analysis harder.

    The specification also defines content padding, allowing blank data to be appended to the payload before encryption. This does expand the size of the payload, expending additional bandwidth, but yields the benefit of making content analysis harder. To what extent content padding will be used in actual implementations remains to be seen.
    Δεν έχουν και πολύ άδικο να παραπονιούνται κάποιοι για αυτές τις τροποποιήσεις εφόσον θα τους κάνει τη ζωή πιο δύσκολη.
    Το μεγάλο πρόβλημα βέβαια δεν είναι στις τεχνικές αλλά στο ότι η IETF χρειάστηκε να δουλέψει σε ένα πρωτόκολλο ασφαλείας για να αποφύγει το government surveillance. Και όποιος ζήτησε να μπει backdoor μάλλον δεν έπρεπε να μπει καν στη συζήτηση.
    You thought there would be a funny slogan here.
    You just fell for one of my classical pranks.
    Bazinga

  9. #9
    Εγγραφή
    16-07-2004
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    55
    Μηνύματα
    2.049
    Downloads
    0
    Uploads
    0
    Τύπος
    PSTN
    Ταχύτητα
    20480/1024
    ISP
    ΟΤΕ Conn-x
    Router
    ZTE w300i
    Path Level
    Interleaved
    Για όποιον θέλει να διαβάσει (βασικά να βγάλει τα μάτια του), εδώ είναι η πλήρης ανάλυση
    του TLS 1.3 και του impact του:

    https://tools.ietf.org/html/draft-ca...s-use-cases-00

    Για να σας σώσω από το διάβασμα, το μεγάλο κερασάκι είναι εδω:

    Στο τέλος του 2.2.1

    "In TLS 1.2, the ClientHello, ServerHello and Certificate messages are all sent in clear-text, however in TLS 1.3, the Certificate message
    is encrypted thereby hiding the server identity from any intermediary. Note that even _if_ the SNI is provided (in cleartext)
    by the client, there is no guarantee that the actual server responding is the one indicated in the SNI from the client
    .

    Example scenarios that are impacted by this involve selective network security, such as whitelists or blacklists based on security
    intelligence, regulatory requirements, categories (e.g. financial services), etc. An added challenge is that some of these scenarios
    require the middlebox to perform inspection, whereas other scenarios require the middlebox to _not_ perform inspection."


    Tι μας λέει:

    Αν το TLS1.3 γίνει απόλυτο standard, δηλαδή πχ o chrome ΔΕΝ ΔΕΧΕΤΑΙ dropback σε TLS/1.2 όταν συνδέεται πχ στο amazon

    1. To antivirus σας δε θα μπορει (ΕΠΙΤΕΛΟΥΣ) να κανει replicate το SSL certificate ώστε να το αντικαταστήσει με ένα self-signed για να "ελέγξει τι κατεβάζετε". Χοντρά χοντρά, όταν ξεκινήσει η μεταφορά, το αντιvirus σας είναι τυφλό στα data, δεν γίνεται interception.

    2. Ακόμα και να περάσει με το SNI (Server Name Indication) σε clear text, αυτό μπορεί να είναι απλά "μαιμού" και να μην έχει καμία σχέση με το
    πιστοποιητικό και τον πρωτύτυπο server του. Εδώ θα γίνει το πανηγύρι, βλέπω custom browsers (TOR-like κλπ) να συνδέονται σε "διακεκριμένους" servers με SNI τόσο τυχαίο όσο ο γάμος του καραγκιόζη - που ομως ξέρει ο server να ξεχωρίζει. Το μαυρο-δίκτυο θα έχει την τιμητική του
    Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
    από εδώ: https://play.google.com/store/apps/d...=Carbon+People

  10. #10
    Το avatar του μέλους turboirc
    turboirc Guest
    Το τελευταίο σενάριο είναι προβληματικό για άτομα που έχουν antivirus, ωστόσο δεν το βλέπω να μην γίνεται fallback σε 1.2, τουλάχιστον σύντομα.

  11. #11
    Εγγραφή
    21-09-2004
    Ηλικία
    41
    Μηνύματα
    979
    Downloads
    1
    Uploads
    0
    Ταχύτητα
    6144/1024
    ISP
    Cyta Hellas
    DSLAM
    ΟΤΕ - Ν. ΙΩΝΙΑ
    Router
    Technicolor TG788vn
    SNR / Attn
    8(dB) / 48(dB)
    Αν όντως το 1.3 γίνει το απόλυτο standard, παίζει αυτό να βοηθήσει και σε επίπεδο net neutrality;
    Π.χ. να μην μπορεί ο Χ ISP να χρεώνει διαφορετικά για την κίνηση από την Υ υπηρεσία, αφού δεν θα μπορεί να δει σε ποιά υπηρεσία συνδέεσαι; Ή δεν το έχω καταλάβει καλά;

  12. #12
    Το avatar του μέλους turboirc
    turboirc Guest
    Η ιδεα του SNI εχει νοημα σε shared servers οπου, στην ιδια IP υπαρχουν πολλα hostnames.
    Δεν νομιζω οτι καποιος ISP θα ενδιαφεροταν να ελεγξει σε αυτο το επιπεδο, δεδομενης της μικρης κινησης.

    Ο ISP παντα βλεπει την IP, οποτε αν σε αυτη αντιστοιχει μονο ενας server (οπως συμβαινει στα μεσαια μεγαλα sites) τοτε δεν κερδιζεις κατι.

  13. #13
    Εγγραφή
    16-07-2004
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    55
    Μηνύματα
    2.049
    Downloads
    0
    Uploads
    0
    Τύπος
    PSTN
    Ταχύτητα
    20480/1024
    ISP
    ΟΤΕ Conn-x
    Router
    ZTE w300i
    Path Level
    Interleaved
    Μπαίνοντας στον έλεγχο:

    https://www.ssllabs.com/ssltest/viewMyClient.html

    chrome (εκδ 56) βρίσκεις υποστήριξη TLS1.3

    ενώ με firefox (εκδ 59 την τελευταία) βρίσκεις υποστήριξη TLS1.2
    παρότι στο about:config το security.tls.version.max είναι 3

    Ή το firefox δεν έχει πλήρως υλοποιήσει το πρωτόκολλο, ή κάτι άλλο παίζει
    Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
    από εδώ: https://play.google.com/store/apps/d...=Carbon+People

  14. #14
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.184
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Το έχω ενεργοποιημένο στον ff.
    Δεν είδα κάποιο πρόβλημα.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

  15. #15
    Εγγραφή
    16-07-2004
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    55
    Μηνύματα
    2.049
    Downloads
    0
    Uploads
    0
    Τύπος
    PSTN
    Ταχύτητα
    20480/1024
    ISP
    ΟΤΕ Conn-x
    Router
    ZTE w300i
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από deniSun Εμφάνιση μηνυμάτων
    Το έχω ενεργοποιημένο στον ff.
    Δεν είδα κάποιο πρόβλημα.
    Έχεις δίκιο, πρέπει το security.tls.version.max να είναι 4
    Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
    από εδώ: https://play.google.com/store/apps/d...=Carbon+People

Σελ. 1 από 2 12 ΤελευταίαΤελευταία

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας