Verden bevæger sig til TLS 1.3, hvilket er en meget god ting! Denne artikel giver et overblik på højt niveau TLS 1.3 og en diskussion om effektiviteten af dets nye funktioner.
Transport Layer Security
Transportlagsikkerhed eller TLS, er en kryptografisk protokol, der beskytter data, der udveksles over et computernetværk. TLS er blevet berømt som S in HTTPS. Mere specifikt, TLS bruges til at beskytte webbrugerdata mod netværksangreb.
TLS blev designet som et mere sikkert alternativ til sin forgænger Secure Sockets Layer (SSL). I årenes løb har sikkerhedsforskere opdaget masser af sårbarheder, der påvirker SSL, hvilket motiverede IETF til at designe TLS i et forsøg på at afbøde dem.
Ironisk nok, tidligere versioner af TLS blev også påvirket af farlige sårbarheder, hvilket i sidste ende førte til TLS 1.2 (dvs. standardversionen anbefalet af branchefolk).
De fleste af de kendte protokolsårbarheder blev afbød i TLS 1.2, men dette sikkerhedsniveau var stadig resultatet af en række patches oven på et defekt design.
Som et svar TLS 1.3 blev udarbejdet fra bunden i et forsøg på rent design af et moderne og sikkert TLS protokol. Fem års test senere er den endelig godkendt og er nu tæt på at være standardinternet for internetsikkerhed.
TLS versioner og deres respektive RFC-dokumenter kan findes på listen nedenfor:
- TLS 1.0 blev offentliggjort som RFC 2246 i 1996
- TLS 1.1 blev offentliggjort som RFC 4346 i 2006
- TLS 1.2 blev offentliggjort som RFC 5246 i 2008
- TLS 1.3 blev offentliggjort som foreslået standard i RFC 8446 i 2018.
Hvordan ældre TLS versioner fungerer?
At effektivt diskutere fordelene ved TLS 1.3, skal vi først tale om, hvor ældre TLS versioner fungerer (og hvordan de ikke fungerer).
TLS er en hybrid kryptosystem, hvilket betyder, at det bruger begge dele asymmetrisk (offentlig nøgle) og symmetrisk (kodeord / sætningsbaseret) kryptering. Dette skyldes asymmetrisk kryptografi at være størrelsesordener langsommere end dets symmetriske ækvivalenter.
Følgelig TLS anvender kun offentlige nøgler, så klienter og servere sikkert kan udveksle en symmetrisk nøgle. Denne nøgle kan derefter bruges til at kryptere al efterfølgende kommunikation og undgå den ydelse, der er pålagt ved asymmetrisk kryptering.
TLS 1.2 understøtter flere nøgleudvekslingsalgoritmer (f.eks. RSA, DH osv.) Sammen med flere algoritmer (også kendt som ciphers) bruges til at kryptere og dekryptere meddelelser. Denne store mængde alternative muligheder kræver, at klienter og servere forhandler, så alle parter bruger det samme TLS parametre.
Denne forhandling er standardiseret i en kaldet protokol håndtryk. Hvis du ikke er bekendt med det, så henvis til denne artikel for mere information.
Så hvad er der galt med TLS 1.2?
Skønt TLS 1.2 har vist sig at fungere fint i de fleste tilfælde, der er bekymring for det overordnede niveau af sikkerhed og privatliv, det giver efter år med opdatering og revisioner.
Bortset fra sikkerhedshensyn, dog TLS 1.2 pålægger også unødvendig ydeevne og netværksomkostninger.
TLS 1.2 sikkerhedsproblemer
I årenes løb har forskere (og angribere) opdaget en række sårbarheder hos mange TLS 1.2 komponenter, herunder nøgleudvekslingsalgoritmer, cifre og digitale signaturer. Nogle af disse var implementeringsfejl, som du måske har hørt om, f.eks heartbleed-bug or Bersærk. Imidlertid var nogle protokolsårbarheder - det vil sige, de udnytter dårlige designbeslutninger tidligere TLS versioner (dvs. før TLS 1.2).
Selvom størstedelen af implementeringen og andre fejl blev rettet ind TLS 1.2, desværre kan sårbarhederne i protokoldesignet ikke afhjælpes ved hjælp af kun en softwarepatch. Som det viser sig, var det nødvendigt at IETF fuldstændigt omdesigne håndtrykprotokollen i TLS 1.3.
Der har været mange bekymringer omkring TLS sikkerhed, men en af de mest indflydelsesrige var erkendelsen af, at TLS 1.2 (og alle tidligere versioner, inklusive SSL) er sårbare over for nedgraderingsangreb på grund af en fejl i dets håndtrykprotokoldesign. Mere specifikt, TLS 1.2 bruger ikke digitale signaturer til at beskytte håndtrykets integritet. Signaturer beskytter en del af håndtrykket først efter forhandlingen om chiffer-pakken.
Som en konsekvens kan angribere manipulere enhver tredjeparts cipher-suite-forhandling, der finder sted i det samme computernetværk (f.eks. Lufthavn wifi), og tvinge brugen af en usikker ciffer. De kan derefter bryde den sårbare ciffer og få uberettiget adgang til hele samtalen.
TLS 1.2 præstationsproblemer
Ud over disse sikkerhedshensyn, TLS 1.2 har brug for at forhandle adskillige TLS parametre kan pålægge HTTPS (eller andet) en ydelse overhead TLS beskyttet) kommunikation.
TLS 1.2s 4-trins håndtryk kræver to returflytninger, først for at vælge chiffer-suite og derefter for at udveksle certifikater og symmetriske nøgler (eller nøgledelinger).
Dette betyder, at for alle TLS forbindelse, der skal etableres to yderligere transaktioner med serveren er påkrævet. Som resultat, TLS forbindelser kræver mere båndbredde og strøm end (ikke-krypteret) HTTP, hvilket kan være særligt dyrt for Internet-of-Things-applikationer (IoT), hvor lavt strøm- og båndbreddeforbrug er hårde begrænsninger.
TLS 1.2 beskyttelse af personlige oplysninger
Endelig TLS 1.2 er blevet kritiseret for at gå på kompromis med webbrugerens privatliv.
Mere specifikt, TLS tilbyder en udvidelse kendt som Angivelse af servernavn eller SNI. SNI tillader, at værtsnavnet på en server inkluderes i det første SSL-håndtryk. Denne udvidelse bruges til virtuel hosting, hvor servere kan tjene flere domæner på den samme IP-adresse og port, mens de præsenterer et andet certifikat for hvert domæne.
In TLS 1.2 sendes SNI'er ukrypteret, så på trods af brugen af HTTPS, kan en netværksangreb lække disse oplysninger og spore websider, som en bruger besøger.
Hvordan TLS 1.3 rette alt det?
TLS 1.2 (og tidligere versioner) var fokuseret på at opretholde bagudkompatibilitet. Hver version bygger på de foregående med mindre revisioner, der forsøger at eliminere sårbarheder, der er offentliggjort mellem TLS versioner.
Desværre betød dette også, at dårlige protokolledesignbeslutninger (f.eks. Den ubeskyttede håndtryk) også blev arvet i de nyere versioner.
TLS 1.3 opgiver bagudkompatibilitet til fordel for et korrekt sikkerhedsdesign. Det er designet fra bunden til at give funktionalitet, der ligner (men ikke er kompatibel) til TLS 1.2, men med væsentligt forbedret ydelse, privatliv og sikkerhed.
TLS 1.3-sikkerhed
Et grundlæggende element i TLS 1.3 er enkelhed. I den nye version er alle nøgleudvekslingsalgoritmer undtagen Diffie-Hellman (DH) nøgleudskiftning blev fjernet. TLS 1.3 har også defineret et sæt af afprøvede DH-parametre, hvilket fjerner behovet for at forhandle parametre med serveren.
Hvad mere er, TLS 1.3 understøtter ikke længere unødvendige eller sårbare cifre, såsom CBC-tilstand og RC4-chiffer. Disse cifre er kendt for at være modtagelige for angreb, men blev stadig understøttet i de fleste TLS implementeringer til ældre kompatibilitet. Heldigvis påvirker den nylige hastighed med nedgraderingsangreb tidligt TLS versioner motiverede IETF til helt at fjerne sådanne cifre fra TLS 1.3.
Desuden TLS 1.3 kræver, at servere kryptografisk underskriver hele håndtrykket, inklusive cifferforhandling, hvilket forhindrer angribere i at ændre eventuelle håndtrykparametre. Det betyder at TLS 1.3 er arkitektonisk uigennemtrængelig for de nedgraderingsangreb, der var berørt tidligere TLS versioner.
Endelig blev underskrifterne selv forbedret ved at implementere en ny standard, kaldet RSA-PSS. RSA-PSS-underskrifter er immun mod kryptografiske angreb, der påvirker de underskudsordninger, der blev anvendt i tidligere TLS versioner.
TLS 1.3 ydelse
Udover forbedret sikkerhed er det reducerede sæt parametre og den forenklede håndtryk ind TLS 1.3 bidrager også til at forbedre den samlede ydeevne. Da der kun er en nøgleudvekslingsalgoritme (med indbyggede parametre) og bare en håndfuld understøttede cifre, er den absolutte båndbredde, der kræves for at oprette en TLS 1.3 kanaler er betydeligt mindre end tidligere versioner.
Endvidere TLS 1.3 understøtter nu en ny håndtrykprotokol, kaldet 1-RTT-tilstand. I 1-RTT kan klienten sende DH-nøgeldele i den første håndtrykmeddelelse, fordi det kan være ret sikker på de parametre, som serveren vil bruge. I det sjældne tilfælde, at serveren ikke understøtter dem, kan den producere en fejl, så klienten sender en anden konfiguration.
I stedet for først at forhandle om parametrene og derefter udveksle nøgler eller nøgledele, TLS 1.3 tillader en klient at opsætte en TLS kanal med kun en tur-retur-transaktion (i stedet for to, som det tidligere blev gjort). Dette kan have en stor kumulativ effekt i de ressourcer til behandling, strøm og netværk, der kræves for at en klient kan kommunikere med en server over TLS 1.3.
Ydelsesoptimeringer stopper dog ikke her med en anden TLS 1.3-funktion, kaldet 0-RTT genoptagelsestilstand. Når en browser besøger en server for første gang og fuldfører en TLS håndtryk, både klienten og serveren kan gemme en foruddelet krypteringsnøgle lokalt.
Hvis browseren besøger serveren igen, kan den bruge denne genoptagelsesnøgle til at sende krypterede applikationsdata i sin første meddelelse til serveren. Dette har den samme latenstid som ikke-krypteret HTTP, fordi oprindelige håndtryk er ikke påkrævet.
Det skal bemærkes, at der har været en vis sikkerhed bekymringer omkring 0-RTT-tilstand i fortiden.
TLS 1.3 privatlivets fred
At lære af tidligere fejl, TLS 1.3 tilbyder nu en udvidelse der krypterer SNI-oplysninger. Når den bruges korrekt, forhindrer denne udvidelse angribere i at lække fjernserverens domænenavn, så de har ingen metode til at spore HTTPS-brugerhistorik. Denne funktion giver større fortrolighed til internetbrugere end tidligere versioner af TLS.
Konklusion
Mens TLS 1.2 har tjent hæderligt i alle disse år, TLS 1.3 er sikkert mere sikker og effektiv. TLS 1.3 er blevet omfattende testet i eksperimentelle browserimplementeringer, og det er nu klar til at erstatte TLS 1.2 som den valgte netværkssikkerhedsprotokol. Forlagsvirksomhed TLS 1.3 er et stort skridt nærmere et hurtigere og mere sikkert internet for alle.
Tak for at du valgte SSL.com, hvor vi tror a sikrere Internettet er en bedre Internettet.
