Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Categories:

TLS 1.3 и возможность прослушки

В преддверии IETF 100 начался новый виток борьбы вокруг возможности прослушки шифрованного трафика внутри датацентров. Задача более-менее актуальная, наверное. Во всяком случае, Enterprise за это топит.

В старых (точнее, актуальных) версиях TLS эта возможность есть у владельца ключа. Ключи берутся RSA-шные, ключевой обмен делается через шифрование на приватном ключе. В NSA такой возможности тоже были рады, судя по некоторым подробностям программы PRISM. В результате публикаций Сноудена схема Диффи-Хеллмана стала использоваться гораздо шире.

В версии 1.3, которая уже почти год в стадии «вот-вот», RSA Key Exchange выпилили. На митинге в Корее год назад попытались протолкнуть обратно — не вышло. На митинге в Праге предложили использовать долговременные параметры Диффи-Хеллмана. Это не то чтобы запинали, но у этой идеи масса недостатков. В частности, пользователь не может отследить, что его трафик в принципе доступен владельцу долговременных параметров.

Перед минингом в Сингапуре появился на свет новый драфт, где используется трёхсторонняя схема Диффи-Хеллмана, параметры передаются в TLS Extension, и это уже можно (и нужно) отследить на клиенте.

А на днях Катлин Мориарти, директор IETF Security Area, опубликовала предложение, которое на мой взгляд должно решить проблему прослушки внутри датацентров — расшифровывать трафик на входе, а внутри ДЦ использовать в качестве транспорта шифрование не на уровне TLS, а на уровне более низком, протокола IPSec. С технической точки зрения это кажется соломоновым решением. С практически-инженерной может оказаться трудно реализуемым. Кое-какие дырки в стандартах ещё предстоит закрыть.

В общем, надо смотреть, потому что вопрос ещё не закрыт.

This entry was originally posted at https://beldmit.dreamwidth.org/833353.html. Your comment? (comment count unavailable comments)
Tags: ietf, security, компьютерное
Subscribe

  • Кошки++

    Вчера Нина с Таней поехали по местному объявлению и привезли мелкую шпротную короткошёрстную кошечку. Назвали Шаня. Прежние владельцы её где-то…

  • Просто так

    Автор - dvornyagka Сидит на башне Саруман – и что творится в мире Он видит в точности и в срок в надежном палантире. Но снаряжая войско…

  • RIP кошка Вьюшка

    Прожила она у нас почти день в день 11 лет — вот запись о её обретении, 14 августа 2010 года. Была меховая, с очень пушистым хвостом, мурчала и…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments