În ciuda obiectivului de a menține comunicațiile web private, deficiențele în conceperea și implementarea serviciului Transport Layer Security au condus la breșe în ceea ce privește securitatea. Însă cea mai recentă versiune – TLS 1.3 – primește o revizuire care întărește și simplifică cripto protocolul.
Ce este TLS?
TLS este un protocol criptografic care asigură securitatea comunicațiilor end-to-end prin rețele și este utilizat la scară largă pentru comunicații în internet și tranzacții online. Este un standard IETF destinat să prevină interceptarea, manipularea fraudelor și falsificarea mesajelor. Aplicațiile obișnuite care utilizează TLS includ browsere Web, mesagerie instantanee, e-mail și voice over IP.
Multe companii utilizează TLS pentru a asigura toate comunicațiile dintre serverele Web și browserele lor, indiferent dacă sunt transmise sau nu date sensibile.
Predecesorul TLS, Secure Socket Layer (SSL), a fost dezvoltat de Netscape în 1995. Versiunile SSL 1.0 și 2.0 conțin multe defecțiuni de securitate care au determinat o reproiectare completă a protocolului. În 1996, Netscape a lansat SSL versiunea 3.0, care a stat la baza TLS1.0. În 1999, Consiliul PCI a sugerat eventuala depreciere a SSL, deoarece TLS 1.0 a fost un upgrade semnificativ la SSL 3.0.
TLS vs. SSL
TLS este mai eficient și mai sigur decât SSL, deoarece are o autentificare mai puternică a mesajelor, generare de elemente cheie și alți algoritmi de criptare. De exemplu, TLS acceptă chei pre-partajate, parole secure-remote și Kerberos, în timp ce SSL nu. TLS și SSL nu sunt interoperabile, dar TLS oferă compatibilitate retroactivă pentru dispozitivele mai vechi care încă utilizează SSL.
Specificația protocolului TLS definește două straturi. Protocolul de înregistrare TLS asigură securitatea conexiunilor și protocolul TLS handshake permite clientului și serverului să se autentifice reciproc și să negocieze cheile de securitate înainte ca orice date să fie transmise.
TLS handshake este un proces în mai multe etape. Un TLS handshake implică trimiterea mesajelor „hello” și schimb de chei între client și server, mesaj cifrat și un mesaj de descifrat. Procesul în mai multe etape face ca TLS să fie suficient de flexibil pentru a fi utilizat în diferite aplicații, deoarece formatul și ordinea schimbului pot fi modificate.
Defectele și breșele de securitate TLS
Defectele din protocoale și implementări provoacă în mod constant probleme cu instrumentele de securitate și tehnologie, iar TLS a avut cu siguranță o parte din aceste defecte. Unele dintre cele mai importante atacuri asupra TLS / SSL:
– BEAST (2011): Browser Exploit Against SSL / TLS este o eploatare de browser care a profitat de o slăbiciune în lanțul de blocare a cifrilor (CBC) pentru extragerea plaintext-ului necriptat dintr-o sesiune criptată.
– CRIME și BREACH (2012 și 2013): creatorii BEAST au creat breșa de securitate Compression Ratio Info-link Made Easy (CRIME), care permite unui hacker să preia conținutul cookie-urilor Web, chiar și atunci când se utilizează compresie și TLS. Un caz de folosire nefavorabilă a acestuia este recuperarea cookie-urilor de autentificare, astfel încât atacatorii să poată deturna sesiunile web autentificate. Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext, sau BREACH, este la fel ca și CRIME și extrage token-uri de conectare, adrese de e-mail și alte informații.
– Heartbleed (2014): Heartbleed permite hackerilor să fure chei private din ceea ce ar trebui să fie servere securizate. Serverele infectate rămân deschise pentru a permite oricărei persoane de pe Internet să citească memoria din sistemele protejate de o versiune vulnerabilă a OpenSSL.
TLS 1.3 îmbunătățește securitatea, performanța și confidențialitatea
TLS 1.3 a fost prima rescriere majoră, așa cum a fost elaborat de Internet Engineering Task Force (IETF) pentru modernizarea protocolului. Gândiți-vă la versiunile anterioare ca la un plasture pus pe un cod eronat. Acesta a rezistat un timp, dar în cele din urmă băieții răi și-au dat seama cum să treacă de acest plasture. Lucrările la TLS1.3 au început în aprilie 2014 și au durat patru ani și au fost făcute 28 de proiecte înainte de a fi aprobat în martie 2018.
Implementarea TLS 1.3 ar trebui să fie simplă deoarece este proiectat să înlocuiască fără probleme TLS 1.2 și utilizează aceleași certificate și chei. De asemenea, clienții și serverele pot negocia automat o conexiune dacă este acceptată pe ambele părți.
Comentarii