Verden beveger seg til TLS 1.3, noe som er veldig bra! Denne artikkelen gir en oversikt over høyt nivå TLS 1.3, og en diskusjon om effektiviteten til de nye funksjonene.
Transport Layer Security
Transport Layer Security, eller TLS, er en kryptografisk protokoll som beskytter data som utveksles over et datanettverk. TLS har blitt kjent som S in HTTPS. Mer spesifikt, TLS brukes til å beskytte nettbrukerdata fra nettverksangrep.
TLS ble designet som et sikrere alternativ til forgjengeren Secure Sockets Layer (SSL). Gjennom årene har sikkerhetsforskere oppdaget massevis av sårbarheter som påvirker SSL, noe som motiverte IETF til å designe TLS i et forsøk på å dempe dem.
Ironisk nok, tidligere versjoner av TLS ble også påvirket av farlige sårbarheter, noe som til slutt førte til TLS 1.2 (dvs. standardversjonen anbefalt av fagfolk i bransjen).
Flertallet av kjente protokollsårbarheter ble redusert i TLS 1.2, men dette sikkerhetsnivået var fortsatt resultatet av en serie lapper på toppen av et feil design.
Som et svar, TLS 1.3 ble tegnet fra bunnen av i et forsøk på å designe et moderne og sikkert TLS protokoll. Fem år med testing senere er den endelig godkjent og er nå nær å være standard Internett-sikkerhetsstandard.
TLS versjoner og deres respektive RFC-dokumenter finner du i listen nedenfor:
- TLS 1.0 ble publisert som RFC 2246 i 1996
- TLS 1.1 ble publisert som RFC 4346 i 2006
- TLS 1.2 ble publisert som RFC 5246 i 2008
- TLS 1.3 ble publisert som foreslått standard i RFC 8446 i 2018.
Hvordan eldre TLS versjoner fungerer?
Å effektivt diskutere fordelene med TLS 1.3, må vi først snakke om hvor eldre TLS versjoner fungerer (og hvordan de ikke gjør det).
TLS er en hybrid kryptosystem, noe som betyr at det bruker begge deler asymmetrisk (offentlig nøkkel) og symmetrisk (passord / frase basert) kryptering. Dette skyldes asymmetrisk kryptografi å være størrelsesorden langsommere enn dets symmetriske ekvivalenter.
Følgelig TLS bruker bare offentlige nøkler slik at klienter og servere kan utveksle en symmetrisk nøkkel sikkert. Denne nøkkelen kan deretter brukes til å kryptere all påfølgende kommunikasjon, og unngå ytelsen overhead pålagt av asymmetrisk kryptering.
TLS 1.2 støtter flere nøkkelutvekslingsalgoritmer (f.eks. RSA, DH, etc.), sammen med flere algoritmer (også kjent som chiffer) brukes til å kryptere og dekryptere meldinger. Denne store mengden alternative alternativer krever at klienter og servere forhandler, slik at alle parter bruker det samme TLS parametre.
Denne forhandlingen er standardisert i en protokoll som heter håndtrykk. Hvis du ikke er kjent med det, vennligst referer til denne artikkelen for mer informasjon.
Så hva er galt med TLS 1.2?
Selv TLS 1.2 har vist seg å fungere fint i de fleste tilfeller, det er bekymringer for det generelle sikkerhets- og personvernnivået det gir etter mange års oppdatering og revisjon.
Bortsett fra sikkerhetshensyn, skjønt, TLS 1.2 pålegger også unødvendig ytelse og nettverksomkostninger.
TLS 1.2 sikkerhetsproblemer
Gjennom årene har forskere (og angripere) oppdaget en rekke sårbarheter hos mange TLS 1.2 komponenter, inkludert nøkkelutvekslingsalgoritmer, kryptering og digitale signaturer. Noen av disse var implementeringsfeil som du kanskje har hørt om, for eksempel heartbleed or Berserk. Noen var imidlertid protokollsårbarheter - det vil si at de utnytter dårlige designbeslutninger tidligere TLS versjoner (dvs. før TLS 1.2).
Selv om flertallet av implementering og andre feil ble løst i TLS 1.2, dessverre kan ikke sårbarhetene i protokolldesignet utbedres med bare en programvareoppdatering. For å gjøre det måtte IETF redesigne håndtrykkprotokollen helt inn TLS 1.3.
Det har vært mange bekymringer om TLS sikkerhet, men en av de mest innflytelsesrike var erkjennelsen TLS 1.2 (og alle tidligere versjoner, inkludert SSL) er sårbare for nedgraderingsangrep på grunn av en feil i håndtrykkprotokolldesignet. Mer spesifikt, TLS 1.2 bruker ikke digitale signaturer for å beskytte håndtrykkets integritet. Signaturer beskytter en del av håndtrykket, bare etter forhandlingen av krypteringssuiten.
Som en konsekvens kan angripere manipulere enhver tredjeparts chiffer-pakkeforhandling som oppstår i det samme datanettverket (f.eks. Flyplass-wifi), og tvinge bruken av en usikker chiffer. De kan da bryte den sårbare chifferen og få uberettiget tilgang til hele samtalen.
TLS 1.2 ytelsesproblemer
I tillegg til disse sikkerhetshensynene, TLS 1.2 trenger å forhandle mange TLS parametere kan påføre HTTPS (eller annet) en ytelsesomkostning TLS beskyttet) kommunikasjon.
TLS 1.2s 4-trinns håndtrykk krever to rundvekslinger, først for å velge krypteringssuite, og deretter for å utveksle sertifikater og symmetriske nøkler (eller nøkkelaksjer).
Dette betyr at for alle TLS tilkobling som skal opprettes, to ekstra transaksjoner med serveren kreves. Som et resultat, TLS tilkoblinger krever mer båndbredde og kraft enn (ukryptert) HTTP, noe som kan være spesielt kostbart for IoT-applikasjoner (Internet-of-Things), der lavt strømforbruk og båndbreddeforbruk er harde begrensninger.
TLS 1.2 Personvernproblemer
Til slutt, TLS 1.2 har blitt kritisert for å kompromittere personvernet til nettbrukere.
Mer spesifikt, TLS tilbyr en utvidelse kjent som Servernavnindikasjon eller SNI. SNI lar vertsnavnet til en server inkluderes i det første SSL-håndtrykket. Denne utvidelsen brukes til virtuell hosting, der servere kan betjene flere domener på samme IP-adresse og port, mens de presenterer et annet sertifikat for hvert domene.
In TLS 1.2 sendes SNI-er ukryptert, så til tross for bruk av HTTPS, kan en nettverksangriper lekke denne informasjonen og spore websidene en bruker besøker.
Hvordan gjør TLS 1.3 fikse alt det?
TLS 1.2 (og tidligere versjoner) var fokusert på å opprettholde bakoverkompatibilitet. Hver versjon bygde på de forrige med mindre revisjoner som forsøkte å eliminere sårbarheter publisert mellom TLS versjoner.
Dessverre betydde dette også at dårlige beslutninger om protokolldesign (f.eks. Den ubeskyttede håndtrykk) også ble arvet i de nyere versjonene.
TLS 1.3 forlater bakoverkompatibilitet til fordel for riktig sikkerhetsdesign. Den er designet fra bunnen av for å gi funksjonalitet som er lik (men ikke kompatibel) TLS 1.2, men med betydelig forbedret ytelse, personvern og sikkerhet.
TLS 1.3-sikkerhet
En kjerneprinsipp av TLS 1.3 er enkelhet. I den nye versjonen, alle nøkkelutvekslingsalgoritmer, unntatt Diffie–Hellman (DH) nøkkelutveksling, ble fjernet. TLS 1.3 har også definert et sett med velprøvde DH-parametere, noe som eliminerer behovet for å forhandle parametere med serveren.
Hva mer, TLS 1.3 støtter ikke lenger unødvendige eller sårbare kodere, for eksempel CBC-modus og RC4-kryptering. Disse kodene er kjent for å være utsatt for angrep, men ble fremdeles støttet i de fleste TLS implementeringer for eldre kompatibilitet. Heldigvis påvirket det siste rush av nedgraderingsangrep tidlig TLS versjoner motiverte IETF til helt å fjerne slike krypter fra TLS 1.3.
I tillegg TLS 1.3 krever at servere kryptografisk signerer hele håndtrykket, inkludert krypteringsforhandlinger, som forhindrer angripere i å endre noen håndtrykksparametere. Dette betyr at TLS 1.3 er arkitektonisk ugjennomtrengelig for nedgraderingsangrepene som påvirket tidligere TLS versjoner.
Til slutt ble signaturene i seg selv også forbedret ved å implementere en ny standard, kalt RSA-PSS. RSA-PSS-signaturer er immun mot kryptografiske angrep som påvirker signaturordningene som ble brukt tidligere TLS versjoner.
TLS 1.3 ytelse
Foruten forbedret sikkerhet, redusert sett med parametere og forenklet håndtrykk TLS 1.3 bidrar også til å forbedre den generelle ytelsen. Siden det bare er en nøkkelutvekslingsalgoritme (med innbakte parametere) og bare en håndfull støttede krypter, er den absolutte båndbredden som kreves for å sette opp en TLS 1.3 kanaler er betydelig mindre enn tidligere versjoner.
Dessuten, TLS 1.3 støtter nå en ny protokoll for håndtrykk, kalt 1-RTT-modus. I 1-RTT kan klienten sende DH-nøkkelandeler i den første håndtrykkmeldingen, fordi den kan være ganske sikker på parametrene serveren vil bruke. I sjeldne tilfeller at serveren ikke støtter dem, kan den produsere en feil slik at klienten sender en annen konfigurasjon.
I stedet for å forhandle om parametrene først og deretter bytte nøkler eller nøkkelaksjer, TLS 1.3 lar en klient sette opp en TLS kanal med bare én rundturstransaksjon (i stedet for to, slik det tidligere ble gjort). Dette kan ha en stor kumulativ effekt i prosesserings-, kraft- og nettverksressursene som kreves for at en klient skal kommunisere med en server over TLS 1.3.
Ytelsesoptimaliseringer stopper ikke her skjønt, med en annen TLS 1.3-funksjon, kalt 0-RTT gjenopptaksmodus. Når en nettleser besøker en server for første gang og fullfører en TLS håndtrykk, både klienten og serveren kan lagre en forhåndsdelt krypteringsnøkkel lokalt.
Hvis nettleseren besøker serveren igjen, kan den bruke denne gjenopptaksnøkkelen til å sende krypterte applikasjonsdata i sin første melding til serveren. Dette har samme forsinkelse som ikke-kryptert HTTP, fordi første håndtrykk ikke er påkrevd.
Det skal bemerkes at det har vært en viss sikkerhet bekymringer omtrent 0-RTT-modus i det siste.
TLS 1.3 personvern
Lære av tidligere feil, TLS 1.3 tilbyr nå en forlengelse som krypterer SNI-informasjon. Når den brukes riktig, forhindrer denne utvidelsen angripere fra å lekke den eksterne serverens domenenavn, så de har ingen metode for å spore HTTPS-brukerhistorikk. Denne funksjonen gir større privatliv til Internett-brukere enn tidligere versjoner av TLS.
konklusjonen
Samtidig som TLS 1.2 har tjent hederlig i alle år, TLS 1.3 er beviselig mer sikker og effektiv. TLS 1.3 har blitt testet grundig i eksperimentelle nettleserimplementeringer, og den er nå klar til å erstattes TLS 1.2 som valgfri nettverkssikkerhetsprotokoll. Publisering TLS 1.3 er et stort skritt nærmere et raskere og tryggere internett for alle.
Takk for at du valgte SSL.com, der vi tror a sikrere Internett er et bedre Internett.