neprihlásený Streda, 24. júla 2019, dnes má meniny Vladimír   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Šifrovací protokol TLS 1.3 vydaný ako oficiálny tzv. navrhovaný štandard

Značky: bezpečnosťInternet

DSL.sk, 14.8.2018


Organizácia IETF, Internet Engineering Task Force, štandardizujúca internetové štandardy na konci uplynulého týždňa vydala novú verziu šifrovacieho protokolu TLS 1.3 ako oficiálny navrhovaný internetový štandard v podobe RFC 8446.

Už v marci bol pracovný návrh štandardu komisiou IESG, Internet Engineering Steering Group, zloženou z riadiacich pracovníkov IETF schválený pre posunutie do fázy navrhovaného štandardu, oficiálne bol vydaný 10. augusta.

Hoci IETF pozná aj stav tzv. internetového štandardu, mnohé špecifikácie aj základných a široko používaných protokolov mnohé roky alebo permanentne zostávajú v stave navrhovaného štandardu.

TLS, nástupca SSL, je dominantne používaným šifrovacím protokolom nad základným internetovým protokolom TCP určeným pre garantované doručovanie dát pomocou IP paketov, na ktorom je postavená veľká väčšina internetových protokolov vrátane protokolu pre prístup na webové servery HTTP respektíve pri využití TLS označovaného HTTPS.

Nová verzia 1.3 prináša množstvo noviniek, ktoré budú mať veľký praktický dopad na mieru bezpečnosti šifrovaných spojení.

TLS samotný využíva viaceré štandardné základné kryptografické algoritmy vrátane algoritmov pre asymetrické a symetrické šifrovanie.

TLS / SSL umožňuje jednak overiť identitu serveru a jednak šifruje prenášané dáta a garantuje, že nikto odchytávajúci tieto dáta ich nedokáže dešifrovať. Tieto vlastnosti ale samozrejme majú svoje limity, ak sa používajú staré základné kryptografické algoritmy, ak útočník dokáže získať kľudne aj neskôr privátny kľúč servera alebo útočník úspešne MITM útokom oslabí používané algoritmy.

TLS 1.3 práve odstraňuje tieto slabé stránky, keď vyžaduje používanie iba algoritmov nemajúcich tieto slabiny. Okrem iného vypúšťa podporu RSA a Diffie-Hellmana so statickým kľúčom a všetky asymetrické mechanizmy sú už podporované len s použitím aj dočasného kľúča u každého spojenia, tzv. doprednou bezpečnosťou. Útočníkovi pri takýchto algoritmoch nestačí získať hlavný privátny kľúč servera, aby dokázal dešifrovať predtým odchytené spojenia.

TLS 1.3 tiež vypúšťa podporu viacerých starších symetrických algoritmov a zostali len šifry typu AEAD, Authenticated Encryption with Associated Data. Vypadla tiež napríklad podpora hashovacej funkcie MD5 a naopak pribudla napríklad šifra ChaCha20. U ECC boli vypustené niektoré krivky, pridané niektoré ďalšie a každá má pevne stanovený jeden používaný bod.

Vypadli aj niektoré možnosti protokolu potenciálne oslabujúce bezpečnosť, napríklad kompresia, a dopĺňanie u RSA sa zmenilo na RSASSA-PSS.

Všetky správy protokolu po ServerHello sú teraz šifrované, čo znižuje riziko niektorých aktívnych útokov, a vylepšený bol diagram prechodu medzi stavmi.

Novinky sa netýkajú len bezpečnosti a napríklad zostavenie spojenia sa bežne dokončí iba na 1-RTT, teda za dobu kým príde paket z klienta na server a späť. Podporovaný je aj 0-RTT mód, pri ktorom klient môže pri znovupoužití skôr vytvorenej session hneď pri vytváraní spojenia v prvom pakete poslať aj dáta.

IETF očakáva podľa piatkového oznámenia pomerne rýchle nasadzovanie TLS 1.3. Podporovaný je napríklad už vo Firefoxe, ktorý sa ho pôvodne pokúsil nasadiť už na začiatku minulého roka ale pre problémy s kompatibilitou jeho podporu vypol. Následne ju opäť zapol vo verzii Firefox 60 z mája tohto roka.


      Zdieľaj na Twitteri



Najnovšie články:

Na Mesiaci je podľa vedcov možno oveľa viac ľadu ako sme si mysleli
Nový 16" MacBook bude údajne pomerne drahý
Satelit LightSail 2 úspešne rozložil svoju solárnu plachtu
Apple vydala mimoriadnu aktualizáciu pre staršie iPhony, kvôli pretečeniu v GPS
Microsoft pri inštalácii Windows 10 sťažil vytvorenie lokálneho účtu
Apple má byť blízko kúpy divízie modemov od Intelu
Ceny RAM čipov sa mali náhle výrazne zvýšiť
Fedora zvažuje kontroverzný až nezmyselný krok, koniec podpory mnohých 64-bitových CPU
Štát ide zverejňovať zdrojové kódy svojich IT systémov
India úspešne odštartovala na Mesiac


Diskusia:
                               
 

Poucny technicky blog post o zmenach v TLS 1.3 a utokoch na TLS vydal Cloudflare - https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/
Odpovedať Známka: 8.9 Hodnotiť:
 

Len skoda, ze FF zabil podporu starych doplnkov. Este stale som nenasiel zodpovedajuce nahrady (napr. za FEBE) a tak som update na teraz zakazal.
Odpovedať Známka: 10.0 Hodnotiť:
 

Kedy bude konecne server dsl.sk podporovat TLS???
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár