Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Categories:

TLS 1.3 и возможность прослушки

В преддверии IETF 100 начался новый виток борьбы вокруг возможности прослушки шифрованного трафика внутри датацентров. Задача более-менее актуальная, наверное. Во всяком случае, Enterprise за это топит.

В старых (точнее, актуальных) версиях TLS эта возможность есть у владельца ключа. Ключи берутся RSA-шные, ключевой обмен делается через шифрование на приватном ключе. В NSA такой возможности тоже были рады, судя по некоторым подробностям программы PRISM. В результате публикаций Сноудена схема Диффи-Хеллмана стала использоваться гораздо шире.

В версии 1.3, которая уже почти год в стадии «вот-вот», RSA Key Exchange выпилили. На митинге в Корее год назад попытались протолкнуть обратно — не вышло. На митинге в Праге предложили использовать долговременные параметры Диффи-Хеллмана. Это не то чтобы запинали, но у этой идеи масса недостатков. В частности, пользователь не может отследить, что его трафик в принципе доступен владельцу долговременных параметров.

Перед минингом в Сингапуре появился на свет новый драфт, где используется трёхсторонняя схема Диффи-Хеллмана, параметры передаются в TLS Extension, и это уже можно (и нужно) отследить на клиенте.

А на днях Катлин Мориарти, директор IETF Security Area, опубликовала предложение, которое на мой взгляд должно решить проблему прослушки внутри датацентров — расшифровывать трафик на входе, а внутри ДЦ использовать в качестве транспорта шифрование не на уровне TLS, а на уровне более низком, протокола IPSec. С технической точки зрения это кажется соломоновым решением. С практически-инженерной может оказаться трудно реализуемым. Кое-какие дырки в стандартах ещё предстоит закрыть.

В общем, надо смотреть, потому что вопрос ещё не закрыт.

This entry was originally posted at https://beldmit.dreamwidth.org/833353.html. Your comment? (comment count unavailable comments)
Tags: ietf, security, компьютерное
Subscribe

  • Чешский лес

    Андрей Бондаренко сегодня вывез нас с Ниной в наружу. Первой порцией наружи оказался лес с дикорастущей черешней. Вероятно, местами забродившей,…

  • Менять невозможно по собственной воле среду обитанья

    Уф. Прошёл квест "смени страну в Google Play", потому что без него не ставилось приложение от T-Mobile. А там это, сладкое слово "халява",…

  • Чешский, продолжение

    Пока у меня долго и нудно идёт билд, напишу про то, как я учу чешский полгода спустя после начала. По словарному запасу по-прежнему самым важным…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments