Logo no.nowadaytechnol.com

Apple, Cloudflare, Fastly Og Mozilla Devise Solution To Encrypting SNI

Apple, Cloudflare, Fastly Og Mozilla Devise Solution To Encrypting SNI
Apple, Cloudflare, Fastly Og Mozilla Devise Solution To Encrypting SNI

Video: Apple, Cloudflare, Fastly Og Mozilla Devise Solution To Encrypting SNI

Video: Apple, Cloudflare, Fastly Og Mozilla Devise Solution To Encrypting SNI
Video: How to setup Encrypted SNI in Firefox 2024, Mars
Anonim
Image
Image

Nyheter har nettopp kommet frem at Apple, Cloudflare, Fastly og Mozill har samarbeidet om å forbedre krypteringen av servernavnidentifikasjonsmekanismen til HTTPS på IETF 102 Hackathon som indikert av tweet fra Cloudflares Nick Sullivan. Tweeten gratulerte blandeteamet fra de fire teknologiske gigantene med å si “Fantastisk arbeid” og delte det under lenker til de fungerende serverne på esni.examp1e.net og cloudflare-esni.com.

Fantastisk arbeid på IETF 102 hackathon av det krypterte SNI-teamet som består av folk fra @Cloudflare @fastly @mozilland @apple. Det er nå implementeringer i BoringSSL, NSS og picotls.

Arbeidsservere er live på https://t.co/sLI9xLRjlK og

- Nick Sullivan (@grittygrease) 15. juli 2018

IETF Hackathon er en plattform som inviterer unge utviklere og teknologientusiaster til å delta i utkastene til løsninger for teknologirelaterte problemer som den vanlige brukeren står overfor i dag. Arrangementene er gratis å delta, åpne for alle, og de oppfordrer teamarbeid i motsetning til konkurranse. Årets IETF Hackathon ble arrangert i Montreal den 14th og 15th juli. Det ser ut til at den mest fremtredende prestasjonen som kommer ut av det, er krypteringen av Transport Layer Security (TLS) Server Name Indication (SNI), et problem som har plaget utviklere det siste tiåret, et som medlemmer av Apple, Cloudflare, Fastly, og Mozillhave nå foreslått løsning på.

Image
Image

Det har vært en klar global endring fra Hyper Text Transfer Protocol (HTTP) til Transport Layer Security Server Indication Hyper Text Transfer Protocol Secure (TLS SNI HTTPS) det siste tiåret. Problemet som oppstod ved å optimalisere TLS SNI HTTPS-systemet var hackers evne til å bruke SNI mot formålet med å matche datoverføring for dekryptering senere.

Før utviklingen av SNI var det vanskelig å etablere sikre forbindelser til flere virtuelle servere med samme første klienthåndtrykk. Når en IP-adresse samhandlet med en server, byttet de to "helvete", serveren sendte sertifikatene, datamaskinen sendte klientnøkkelen, de to utvekslet "ChangeCipherSpec" -kommandoer, og deretter ble interaksjonen avsluttet etter hvert som forbindelsen ble etablert. Dette kan høres enkelt ut som det nettopp er blitt sagt, men prosessen involverte flere utvekslinger og svar som lett klarte å bli ganske problematisk ettersom antall servere som kommuniseres med økte. Hvis alle nettstedene brukte de samme sertifikatene, var dette ikke så mye problem, men dessverre var det sjelden tilfelle. Når flere nettsteder sendte forskjellige sertifikater frem og tilbake, var det vanskelig for serveren å finne ut hvilket sertifikat datamaskinen lette etter, og i det komplekse nettet av utvekslinger ble det vanskelig å identifisere hvem som sendte hva og når, og dermed avsluttet hele aktiviteten med advarsel helt.

Image
Image

TLS SNI ble deretter introdusert i juni 2003 gjennom et IETF-toppmøte, og formålet med det, på en måte, var å skape navn for datamaskiner og tjenester involvert i utvekslingsnettet. Dette gjorde server-klienten hei utvekslingsprosessen mye mer rett frem da serveren var i stand til å gi de nøyaktige sertifikatene som trengs, og de to ble gjort i stand til å ha sin egen samtaleutveksling uten å bli forvirret om hvem som sa hva. Det er lite som å ha kontaktnavn for chatter og ikke bli forvirret om hvor meldingene kommer fra, og å kunne svare på hvert spørsmål på riktig måte og gi de riktige dokumentene til hvilken datamaskin som trenger det. Denne SNI-definisjonen er akkurat det som førte til det største problemet med denne metoden for å optimalisere utvekslingsprosessen.

Kampen mange firmaer møtte med å bytte til HTTPS var tilpasningen av mange sertifikater til SNI-formatet med individuelle IP-adresser for å utføre forespørsler om hvert sertifikat. Det TLS gjorde for dem var å gjøre det enklere å generere sertifikater for å svare på slike forespørsler, og det SNI gjorde enda lenger, var å fjerne behovet for individualiserte dedikerte sertifikat-IP-adresser ved å kaste inn hele identifikasjonssystemet over hele nettverket av internett. Det som fulgte med oppgraderingen av århundret, var det faktum at det tillot hackere å bruke de etablerte "kontaktnavnene" til å overvåke og skygge overføring av data og trekke ut informasjonen de trenger for å dekryptere på et senere tidspunkt.

Selv om TLS tillot at datto sendes frem og tilbake i en kryptert kanal, med SNI som sørger for at den når riktig destinasjon, ga sistnevnte også midler for hackere til å overvåke online aktivitet og matche den til kilden ved å følge DNS-forespørsler, IP-adresser, og datastrømmer. Selv om strengere SNI-kodingspolitikker er implementert ved å føre DNS-informasjon gjennom TLS-kanalen, er det fortsatt et lite vindu for hackere å kunne bruke dette som et identifikasjonsmiddel for å følge informasjonen de ønsker å hente ut og isolere den for dekryptering. Komplekse servere som håndterer større trafikk av TLS-kryptert databruk ren tekst SNI for å sende kommunikasjonen rundt på serverne sine, og dette er det som gjør det lettere for hackere å identifisere kanalene og informasjonsstrømmene de vil følge. Når hacker er i stand til å trekke ut SNI-informasjonen av datofinessen, er han / hun i stand til å sette opp faux replay av kommandoen i separat TLS-forbindelse med serveren, sende inn SNI-informasjon stjålet og hente informasjonen som var knyttet til den. Det har vært flere forsøk på å løse dette SNI-problemet tidligere, men de fleste har gått imot enkelhetsprinsippet som SNI arbeider for å gjøre det til en praktisk identifikasjonsmetode for servere.

Tilbake til toppmøtet som først jobbet med å etablere denne metoden, har deltakere fra fire tech-giganter returnert til konferansen i Montreal for å utvikle en kryptering for TLS SNI, for til tross for større effektivitet i det multi HTTPS tilstøtende systemet, er fortsatt sikkerhet bekymring akkurat som mye som det gjorde før.

For å skjule SNI i TLS, må "Hidden Service" holdes under showet av "Fronting Service" som hackeren kan se. Uten å være i stand til å observere den skjulte tjenesten direkte, vil hackeren bli villedet av frontkledningen som den gjemmer seg under i ren tekst uten å kunne identifisere de underliggende hemmelige tjenesteparametrene som brukes til å videreformidle de krypterte dataene. Når observatøren følger stien til frontlinjetjenesten, blir datoen fjernet fra den observerte kanalen når den blir omdirigert til den tiltenkte skjulte tjenesten, på hvilket tidspunkt hackeren vil ha mistet stien. Siden serveren også vil bli utsatt for fronting-tjenesten, når datan gjør veien dit, vil det andre parallelle SNI-signalet sendes til fronting-tjenesten for å omdirigere datowards den skjulte tjenesten, og i denne retningsendringsprosessen vil hackeren gå tapt i nettet til serveren. Denne mekanismen med dobbeltbilletter er videreutviklet til kombinert billett under samme SNI. Når ett stykke datat sendes til serveren, produserer datatilnærmingen SNI-regissør, og de to arbeider sammen for å få TLS-kryptert datto der den trenger å gå. Uten å være i stand til å knekke den randomiserte fronttjenesten som dekker begge SNI-sporene, vil ikke hackeren kunne følge stien til datmen, men serveren vil fremdeles kunne koble de to og dekryptere den skjulte tjenesten som dataens ultimate plassering. Dette gjør det mulig for servere å fortsette å bruke SNI for å optimalisere datatransferingen i TLS-kryptering, samtidig som det sikres at hackere ikke er i stand til å dra nytte av SNI-mekanismen.

Anbefalt: