The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Дебаты вокруг TLS 1.3 и совершенной прямой секретности

23.07.2017 19:16

В настоящее время завершается процесс стандартизации TLS (Transport Layer Security) версии 1.3. В рамках новой версии, среди прочих изменений, предполагается полный отказ от методов шифрования (cyphersuites), не поддерживающих совершенную прямую секретность (PFS, Perfect Forward Secrecy).

Свойство совершенной прямой секретности гарантирует, что при утечке долговременных ключей не удастся расшифровать ранее зашифрованные сообщения. Очевидно, использование методов шифрования с этим свойством привлекательно для конечных пользователей. Однако это свойство создаёт проблемы при использовании в корпоративной среде: становится невозможным анализ проходящего трафика даже при наличии и потребности в таковом (например, для детектирования проблемных узлов). В связи с этим ряд крупных сетевых операторов всё настойчивее просит соответствующую рабочую группу IETF о том, чтобы не отказываться полностью от методов шифрования без поддержки совершенной прямой секретности.

Следует отметить что речь идёт именно о тех случаях, когда перехват трафика используется не для компрометации пользователей (для слежения за ними), а для обеспечения отказоустойчивости сетевых сервисов. На данный момент доминируют три точки зрения на вопрос:

  • Отказ от совершенной прямой секретности недопустим, так как ущемляет интересы пользователей и может использоваться во вред им.
  • В то время как для ряда задач совершенная прямая секретность важна и даже необходима, она не требуется всегда и везде. В то же время чрезмерное усложнение жизни для сетевых операторов может привести к естественному избеганию нового стандарта, от чего как раз пострадают пользователи. Здесь можно вспомнить IPv6, который до сих пор медленно внедряется из-за целого ряда ошибок.
  • Интернет — для пользователей, а не для сетевых операторов, и если интересы первых идут вразрез с интересами вторых, то это не проблема пользователей. Пусть сетевые операторы предлагают решения (в качестве варианта рассматривается, например, использование постоянных параметров для алгоритма Диффи-Хелмана).


  1. Главная ссылка к новости (https://www.cs.uic.edu/~s/musi...)
  2. OpenNews: Первый выпуск новой SSL/TLS-библиотеки BearSSL
  3. OpenNews: В Firefox 52 планируют по умолчанию включить поддержку TLS 1.3
  4. OpenNews: В Chrome добавлены средства шифрования, стойкие к подбору на квантовом компьютере
Автор новости: Вадим Жуков
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46902-tls
Ключевые слова: tls, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (91) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, jOKer (ok), 21:52, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Ну, я бы сказал, что телега не должна быть впереди лошади, - интересы пользователей Сети важнее всего.
     
     
  • 2.8, qsdg (ok), 22:18, 23/07/2017 [^] [^^] [^^^] [ответить]  
  • –25 +/
    Интересы тех, кто платит -- важнее. Так было и будет всегда, и это правильно.
     
     
  • 3.9, Олег (??), 22:27, 23/07/2017 [^] [^^] [^^^] [ответить]  
  • +34 +/
    Надеюсь в суде к вам всегда такое же правило будут применять, а не смотреть на конституцию..
     
     
  • 4.18, arrnorets (ok), 00:21, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Странная аналогия. При чем тут суд, когда речь идет о новой версии стандарта TLS, а не о преступлении? Все логично: Интернет давно стал объектом коммерции, и не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится.
     
     
  • 5.41, ананим.orig (?), 09:08, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Интернет давно стал объектом коммерции

    внутренние органы тоже. И?

     
     
  • 6.66, arrnorets (ok), 20:53, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Засада в том, что для внутренних органов это процесс абнормальный, а для Интернет - естественный. В том, что структуры ВД в твоей стране стали объектом коммерции - ты сам частично виноват, страдай, что)
     
     
  • 7.91, Аноним (-), 17:51, 31/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Засада в том, что для внутренних органов это процесс абнормальный, а для
    > Интернет - естественный. В том, что структуры ВД в твоей стране
    > стали объектом коммерции - ты сам частично виноват, страдай, что)

    идеализм - хорошо, но обслуживание интересов богатых в ущерб остальным развито не только у него, окупай уоллстрит - напоминание

     
  • 5.55, X4asd (ok), 12:20, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится

    почему?

    почему это не получится? :-D

     
     
  • 6.67, arrnorets (ok), 20:58, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится
    > почему?
    > почему это не получится? :-D

    Потому :) Смирись. Либо донать.

     
  • 3.12, Аноним (-), 23:17, 23/07/2017 [^] [^^] [^^^] [ответить]  
  • +23 +/
    Так платят-то как раз пользователи. Операторам.
     
  • 3.42, Андрей (??), 09:18, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Оно не правильно. Но так оно и есть...
     
  • 3.43, Аноним (-), 09:51, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А за чей счет банкет? Юзеры и платят провайдерам.
     
  • 3.68, Аноним (-), 21:29, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а платит пользователь. так что, мимо.

    ЗЫ: третий вариант. Запилите тесты с постоянным шифврованием и тестируйте себе...

     
  • 2.49, all_glory_to_the_hypnotoad (ok), 10:42, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну, я бы сказал, что телега не должна быть впереди лошади, - интересы пользователей Сети важнее всего.

    т.е. это ты так пользователей причислил к классу кобыл? Ну в принципе оно так и есть, а операторы тихо едут на телеге. Потому пользователю повесят правильную морковку и он будет делать что хочет оператор.

     
  • 2.56, А (??), 12:52, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кому важнее?
     

  • 1.2, Аноним (-), 21:55, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как на счет постквантового легковесного шифрования?
     
     
  • 2.4, Аноним (-), 21:58, 23/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нужен гибриный. Квантовое ломают на классическом, классическое на квантовом.
     
     
  • 3.11, bircoph (ok), 23:02, 23/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Недоработанное квантовое можно сломать на классическом. Нормально проработанное нельзя. Тот же Нью-Рено хендшейк уже вполне неплох.
     
  • 3.92, Аноним (-), 17:55, 31/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нужен гибриный. Квантовое ломают на классическом, классическое на квантовом.

    уже есть: гугл использует экспериментальный хэндшейк с 25519+rlwp, ключи - от обоих. первый не ломается на обычных компьютерах, второй на квантовых, сессионный ключ состоит из ключей обоих - ломать надо оба.

     

  • 1.3, Аноним (-), 21:57, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Лобби бесполезно, трафик не должен быть проанализирован или расшифрован.
     
     
  • 2.58, Аноним (-), 14:16, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Попытка сокрытия информации - нарушение базового, основополагающего принципа свободы информации.
     
     
  • 3.93, Аноним (-), 18:27, 31/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Попытка сокрытия информации - нарушение базового, основополагающего принципа свободы
    > информации.

    ты почему-то тоже написал что ты аноним, вместо того чтобы написать свой инн мабилу паспорт креду. как же твой принцип?

     

  • 1.5, User (??), 22:00, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Совершенная секретность с упреждением!!! грамотеи, штоб вас!
     
     
  • 2.6, Аноним (-), 22:05, 23/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Совершенная прямая секретность - общепринятый перевод термина Perfect forward secrecy.
    https://ru.wikipedia.org/wiki/Perfect_forward_secrecy
     
     
  • 3.40, Аноним (-), 08:38, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Текст в википедии не делает его «общепринятым»
     
     
  • 4.52, X4asd (ok), 11:47, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Текст в википедии не делает его «общепринятым»

    да. всё наоборот -- общеприятная терминология описывается в Википедии

     
     
  • 5.65, Moomintroll (ok), 17:42, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > всё наоборот -- общеприятная терминология описывается в Википедии

    К сожалению, так и есть — https://ru.wikipedia.org/wiki/Силиконовая_долина

    "(перенаправлено с «Кремниевая долина»)"

     
  • 2.81, t28 (?), 09:43, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Совершенная секретность с упреждением!!! грамотеи, штоб вас!

    Ага. Читаешь такое: «совершенную прямую секретность», и глаза вытекают.
    В ту же коробку к «из коробки» и «бесшовный».

     
     
  • 3.95, www2 (ok), 17:18, 02/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Приведите свои, правильные варианты перевода "из коробки" и "бесшовный".

    У слов "из коробки" есть ещё аналогичная идиома - "с батарейками".

    "Бесшовшный" - это "безынтерфейсный" или "синергетический", или "глубоко интегрированный".

    Вообще, если какой-то отдельный человек не понимает идиом, то это его личная проблема.

     
  • 2.82, Аноним (-), 12:48, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Совершенная секретность с упреждением!!! грамотеи, штоб вас!

    Простите, я с момента знакомства с этим термином знал только английское написание — как-то не приходилось с коллегами из России его обсуждать (во всяком случае, на родном языке). Так что, действительно, сходил в «Википедию». Вы правьте новости-то, если что не так. Это же Опеннет. :)

     

  • 1.7, Аноним (-), 22:06, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    о каких операторах речь? зачем им влазить в tls ?
     
     
  • 2.32, tensor (?), 05:14, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    В копроративной среде очень любят DLP, в провайдерской - DPI.
    Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
    А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию или борьбы с утечками коммерческой тайны.
     
     
  • 3.53, X4asd (ok), 11:50, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > В копроративной среде очень любят DLP, в провайдерской - DPI.
    > Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
    > А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию
    > или борьбы с утечками коммерческой тайны.

    пусть сделают отдельный свой потокол Clown-TLS и свои отдельные clowntls-web-клиенты и сервера/сайты на нём -- и сидят себе радуются жизни внутри своего корпоративного сектора. вот там пусть и вставляют друг другу болты в зад или что они там любят делать..

    зачем они хотят насcрать в наш НЕкорпоративный TLS?

     
  • 3.69, Аноним (-), 21:31, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В копроративной среде очень любят DLP, в провайдерской - DPI.
    > Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
    > А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию
    > или борьбы с утечками коммерческой тайны.

    Все, что зашифровано неправильно будут блочить, и нет проблем. Почта корпоративная, прокся со своим сертификатом.
    Или я чего-то не понимаю?

     

  • 1.13, th3m3 (ok), 23:21, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Безопасность важнее всего. Чем лучше шифрование, тем довольнее пользователи.
     
  • 1.14, bircoph (ok), 23:48, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Сразу любители MITM повылазили. Всех бы их на заметку и в расход.
     
     
  • 2.35, Аноним (-), 07:33, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > на заметку

    Да запросто. Половина провайдеров страдает этим для блокировки неугодных интернет-ресурсов.

    > и в расход

    А вот с этим сложнее...

     
     
  • 3.73, Аноним (-), 00:23, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Половина провайдеров страдает этим

    Пруф?

     

  • 1.15, L29Ah (ok), 23:48, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как мне снифать мой браузер и прочий гoвнософт с PFS? В GNU/Linux ещё понятно, можно LD_PRELOADнуть костыль для конкретной TLS-библиотеки, а в каком-нибудь б-гомерзком задроиде или шиндовс вообще не ясно чо делать.
     
     
  • 2.17, h31 (ok), 00:12, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    man SSLKEYLOGFILE.
     
     
  • 3.23, Аноним (-), 02:32, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А менюшка или GUI есть?
     
  • 3.90, анон (?), 15:32, 28/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в 99.9% случае приложухи которые используют nss и/или которым не покласть на эту переменную окружения - опенсорс и даже с документацией, и перехватывать от них трафик можно каким-нибудь бурпом или фидлером просто добавив свой серт.

    В случае же с андроидами, виндовсами и различным самописным калом так или иначе приходиться выдумывать костыли. Даже не буду далеко ходить за примером:

    $ SSLKEYLOGFILE=/tmp/nope curl -qs -o /dev/null 'https://google.de/'
    $ stat /tmp/nope
    stat: cannot stat '/tmp/nope': No such file or directory

     
  • 2.19, Аноним (-), 00:48, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >а в каком-нибудь б-гомерзком задроиде или шиндовс вообще не ясно чо делать.

    Встраивать дллки в шиндошс запрещает только религия.

     
     
  • 3.20, Аноним (-), 01:05, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Покласть рядом. DLL не может. :D
     
  • 2.22, Elhana (ok), 01:11, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если в софт не вшит свой сертификат, то MITM не составит труда сделать и без LD_PRELOAD, как это PacketCapture делает - добавляет свой сертификат и устраивает MITM через VPNService даже без рута
     

  • 1.16, Аноним (-), 23:49, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    а как работает это самое обеспечение отказоустойчивости?
     
     
  • 2.21, Аноним (-), 01:09, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Там в оригинальном тексте есть пояснения. Вкратце — речь идёт о системах автоматического мониторинга трафика до/после тех или иных узлов. Есть целый ряд систем (в том числе на модных нейронных сетях), которые таким образом отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше. Это очень круто, на самом деле.
     
     
  • 3.24, Аноним (-), 02:43, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить". Операторы идут в пень.
     
     
  • 4.57, А (??), 12:55, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить".

    Кому должны? Вы свои хотелки не путайте с хотелкам провайдеров.

     
     
  • 5.60, Аноним (-), 16:01, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы свои хотелки не путайте с хотелкам провайдеров.

    А у провайдеров вообще не должно быть никаких хотелок. Они живут за счёт пользователей и должны работать в интересах пользователей.

     
  • 4.62, Аноним (-), 16:49, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить". Операторы
    > идут в пень.

    Вот тут вы вообще не поняли, о чём речь, похоже.

     
  • 3.27, Аноним (-), 02:44, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше

    Вы слишком много на себя берете, вам достаточно утилизировать порт клиента.

     
     
  • 4.63, Аноним (-), 16:54, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше
    > Вы слишком много на себя берете, вам достаточно утилизировать порт клиента.

    Вы все сговорились, что ли, что так массово тупите и невнимательно читаете?

    Речь идёт о работе с трафиком внутри сети, в которой он так и так расшифровывается/шифруется. К приватности данных это не относится ВООБЩЕ. Если дядям/тётям в погонах будет надо, они и прямо с оконечного сервера будут данные получать (ценой увеличения нагрузки на сервер, но это сих товарищей не заботит).

     
     
  • 5.74, Аноним (-), 00:26, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Если
    > дядям/тётям в погонах будет надо, они и прямо с оконечного сервера
    > будут данные получать (ценой увеличения нагрузки на сервер, но это сих
    > товарищей не заботит).

    Чтобы что-то оттуда получить, надо иметь соответствующую бумажку. А их мечта — получать всё без бумажки.

     
     
  • 6.83, Аноним (-), 12:50, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если
    >> дядям/тётям в погонах будет надо, они и прямо с оконечного сервера
    >> будут данные получать (ценой увеличения нагрузки на сервер, но это сих
    >> товарищей не заботит).
    > Чтобы что-то оттуда получить, надо иметь соответствующую бумажку. А их мечта —
    > получать всё без бумажки.

    Так прочтите же, наконец, новость, и осознайте, что об этих дядях и тётях речи не идёт!

     
  • 3.54, X4asd (ok), 12:01, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > (в том числе на модных нейронных сетях), которые таким образом отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше. Это очень круто, на самом деле.

    а когда gmail запретит передавать электронную почту в формате OpenPGP -- из-за того что их нейронные сети не могут выявлять внутри него спам -- тоже будешь говорить "Это очень круто, на самом деле"?

    все эти bullshit-технологии связанные с нейронными сетями -- пусть себе в зад засовывают. если не могут сделать их в согласованном режиме. привязанное проволокой говоно -- не нужено, какое крутое-бы оно не было бы..

    организовать ЯВНУЮ обратную связь на стороне web-сервера со стороной анализатора/фаервола -- ни кто не запрещает.

    возьми ды и встрой в Apache-Http-Server отдельный модуль который будет осуществлять эту обратную связь -- в чём у кого проблема?

    вся проблема этих "блокирующих" посредников -- в том что они пытаются что-то блокировать типа в автоматическом режиме без явной согласовонности с сервером осуществляющего сервис. как-будто-бы функция блокировщика и функция предоставления сервиса -- это якобы разные несвязанные вещи.

    представь что на входе в здание стоит огромный-тупой-вышибала с бейсбольной-битой-в-руках и не пускает в здание подозлительных лиц (по его мнению), или просто тех кто ему не нравится.. вот только он не знает что именно за здание -- толи ночной клуб толи библиотека толи спортивный зал (и рации тоже у него нет).. но мнение кого именно не пускать он имеет (основанное на наблюдениях кто обычно входит). вот так это и работает сегодня..

     
     
  • 4.61, Аноним (-), 16:03, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а когда gmail запретит передавать электронную почту в формате OpenPGP

    Чего-чего? Это что это за формат почты такой, можно полюбопытствовать?

     
     
  • 5.64, Аноним84701 (ok), 17:09, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Чего-чего? Это что это за формат почты такой, можно полюбопытствовать?

    https://tools.ietf.org/html/rfc4880
    https://www.gnupg.org/
    > GnuPG is a complete and free implementation of the OpenPGP standard as defined by RFC4880 (also known as PGP).

     
     
  • 6.75, Аноним (-), 00:27, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты меня совсем за идиота держишь? Каким боком это "формат почты"?
     
  • 3.94, Аноним (-), 18:36, 31/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше. Это
    > очень круто, на самом деле.

    оччнь!!! можно уволить эникеев и ссэкономить, разок вложившись. потом правда хитрые жёппы оказывается немного обманывают искусственного и тот вносит в баню все подряд вплоть до серверов виндозапдейта, о чем все узнают сразу после очередного эксперта по криптованию - пети.

     

  • 1.25, mumu (ok), 02:44, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Объясните идиоту с 15-ти летнем стажем в ИТ, каким образом расшифровка трафика помогает в отказоустойчивости?
    Мы ведь имеем незашифрованные данные на обоих концах, можем их анализировать. И можем смотреть путь трафика. Зачем нам расшифровывать что-то посередине пути?
     
     
  • 2.28, Аноним (-), 02:45, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зачем нам расшифровывать что-то посередине пути

    Для махинаций с трафиком и шпионажа. На самом деле не их дело что внутри канала.

     
  • 2.29, Kuromi (?), 02:57, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Имелась в виду государственная отказоустройчивость. Ради нее всем что угодно пожертвуют.
     
  • 2.36, яя (?), 07:49, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Доспустим есть некий сервис, который купили в лохматые годы, который работает на древнем софте, который обновлять не на что, но который жестко интегрирован в бизнес процессы. Есть несколько тысяч сотрудников, которые что-то там меняют, что автоматически генерирует бухгалтерию, можно установить систему автоматического обнаружения атак где-то рядом с самим серваком, где трафик не зашифрован и не париться. Но если таких сервисов много, то покупка систем автоматического обнаружения атак для каждого сервиса влетает в копеечку, зеркалировать трафик можно, но если сервисы децентрализованы, то опять расходы. Ну и обновление/замена сервисов это - проект, это подрядчик, это упущенная выгода, это риски, что базы данных утекут, поэтому, работает и нефиг туда лезть.

    Это обратная сторона централизации, вы же не хотите платить провайдеру за размещение серверов и инженеров в вашем городе, ну может лично вы и не против, но большинство все равно орет, что дорого. Хотя музыку заказывает государство, за яйцами в одной корзине проще следить вот и укрупнили среднего игрока на рынке.

     
     
  • 3.44, XoRe (ok), 10:07, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > есть некий сервис, который купили в лохматые годы, который работает на
    > древнем софте, который обновлять не на что, но который жестко интегрирован
    > в бизнес процессы.
    > Есть несколько тысяч сотрудников, которые что-то там меняют,
    > что автоматически генерирует бухгалтерию

    Вот она, бомба замедленного действия.

     
  • 2.79, Аноним (-), 08:33, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Расшифровка трафика посередине позволяет получать сведения о том, какой именно трафик передаётся и принимать решения относительно выбора маршрутов, приоритизации и кеширования.
    Чем больше данных можно получить из трафика, тем более правильные решения можно принять.
     

  • 1.26, kvaps (ok), 02:44, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так понимаю речь идёт и о системах автоматического выявления и купирования ddos-атак
     
     
  • 2.31, Андрей (??), 03:45, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пока самый полезный комментарий, т.к. в новости отсутствуют важные (именно для пользователей) примеры
    > для обеспечения отказоустойчивости сетевых сервисов

    которые не возможны без расшифровки.

    А если вместо расшифровки улучшать кооперирование с жертвами атак, разве полученных IP адресов недостаточно?

     
  • 2.33, Аноним (-), 05:37, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Им походу напел об этом какой-то админ, а пресс-секретарь в этом не бельмеса, поэтому прозвучало какое-то невнятно "бу-бу-бу" вместо аргументов со стороны противников совершенной секретности.

    Хотят, как всегда, везде свой зонд просунуть, выявление ddos для них просто предлог. Сами устроят показательный ддос: вот мол, смотрите, мы были правы.

     
  • 2.34, Аноним (-), 05:51, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    отличный комменарий, а теперь узнай что такое ddos и расскажи как поможет перехват трафика
     
     
  • 3.37, Аноним (-), 07:58, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Возможность посмотреть внутрь пакета как раз и даёт возможность выявить признаки, по которым можно отличить полезный трафик от его имитации.
     
     
  • 4.46, тоже Аноним (ok), 10:28, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И что, много кто ддосит шифрованными пакетами?
    Я, увы, не профи, и мне до сих пор казалось, что в таких целях больше балуются низкоуровневым мусором типа DNS Amplification - который уж никак не может быть зашифрован.
     
  • 4.76, mumu (ok), 04:39, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Расшифровка всех пакетов с целью понять, какие из них ddos? Вы вообще понимаете как работает ddos? Это не с одного ип-шника куча пакетов шлётся. Это миллионы клиентов устанавливают вполне реальные соединения и запросы. Что вы там внутри пакетов увидеть хотите?
     
  • 3.48, Онанимус (?), 10:41, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > отличный комменарий, а теперь узнай что такое ddos и расскажи как поможет
    > перехват трафика

    Вы путаетесь в терминах. Для dos анализ транзитных пакетов, как правило, не нужен. Для ddos - необходим.

     
     
  • 4.77, mumu (ok), 04:42, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Отлично. Вы пост-фактум расшифровали, что миллиард ип-шников со взломаных монгодокеров и прочих линксисов запросили по https картинку котика с сайта третьего лица. Что вам это дало? Расскажите на пальцах.
     
     
  • 5.80, Аноним (-), 08:39, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Запросы к картинке с котиком будут сильно отличаться у реального пользователя и ... большой текст свёрнут, показать
     
     
  • 6.86, mumu (ok), 14:33, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    -
     
  • 6.97, J.L. (?), 14:51, 29/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > DDoS-бота.
    > Пользоавтель сначала заходит на конечный набор входных страниц, с некоторой вероятностью
    > авторизуется, затем переходит на страницу, куда вставлена картинка с котиком. Браузер
    > пользователя передаёт заголовки Referer, Cookie, исполняет javascript. Задержки между
    > переходами обуславливаются необходимостью прочитать текст и подвигать мышью. Пользователи
    > в большинстве своём используют рекурсивные DNS-запросы к серверам своего провайдера.
    > У бота же будет что-нибудь вроде while true; do curl http://example.com/cat.jpg; sleep
    > 0.1; done. На практике, конечно же, боты умнее, но всё равно
    > их можно отличить от людей, особенно имея запись трафика до начала
    > атаки.

    организовывается (шифрованный) канал от юзеров в мониторинг трафика и на официальном сайте нужной системы пишется "это правильный и наш айпи (мониторинга трафика)"
    а от мониторинга трафика любой канал до целевой системы

    защитой от ддос без согласия защищаемой системы занимается роскомнадзор

     

  • 1.38, zanswer CCNA RS and S (?), 08:11, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если они будут использовать постоянные параметры Diffie-Hellman, то в таком случае достичь Perfect Forward Secrecy не удасться. Хотя с точки зрения стандарта это не такой уж и плохой вариант. В корпоративной среде, администраторы смогут указывать в рамках групповой политики, чтобы DH использовал постоянные параметры, а домашние пользователи будут использовать настройки DH по умолчанию, позволяющие менять ключевой материал с течением времени или каких-то событий, например установки нового соединения.
     
  • 1.39, X2asd (ok), 08:21, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    не понял. кто такие эти сетевые операторы?
     
     
  • 2.45, Аноним (-), 10:18, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ФСБ
     

  • 1.50, Онанимус (?), 10:49, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Я вот чего подумал. Это будет хорошей проверкой на наличие приватных сплоитов. Если стандарт примут в строгом виде, то значит у большого брата есть сплоиты, если же продавят нестрогий вариант, то сплоита нет.
     
     
  • 2.51, ILoveIslam (?), 11:05, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Совсем не факт, эту фичу просят братья поменьше.
     

  • 1.70, Аноним (-), 22:11, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Однако это свойство создаёт проблемы при использовании в корпоративной среде: становится невозможным анализ проходящего трафика даже при наличии и потребности в таковом (например, для детектирования проблемных узлов).

    ШИТО?

     
  • 1.72, RnjNj (?), 23:49, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > совершенной прямой секретности

    Википедисты все-таки не верно это перевели ИМХО. Perfect Forward Secrecy - это когда у тебя есть лог зашифрованных пакетов между клиентом и сервером, потом ты достаешь приватный ключ сервера - а расшифровать все равно не возможно, потому что был использован кратковременный сессионный ключ, который вскоре после использования был уничтожен. К "прямоте" никакого отношения не имеет. Forward - как-то в смысле "будущее", секретность от возможного слива приватного ключа в будущем.

     
     
  • 2.78, mumu (ok), 04:44, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно. Речь именно о пост-фактум расшифровке. Она вообще нужна исключительно для слежения за частной жизнью. Никакого отношения к функционированию ИТ инфраструктуры она не имеет.
     
     
  • 3.84, Аноним (-), 12:54, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Именно. Речь именно о пост-фактум расшифровке. Она вообще нужна исключительно для слежения
    > за частной жизнью. Никакого отношения к функционированию ИТ инфраструктуры она не
    > имеет.

    То есть вы предлагаете сессионные ключи для всех пользователей постоянно загружать на все наблюдатели трафика в режиме реального времени? Ну OK...

     
     
  • 4.85, mumu (ok), 14:29, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > наблюдатели трафика

    Наблюдатели трафика наблюдают трафик. Он весь есть в заголовках пакетов. А в новости обсуждаются наблюдатели содержимого трафика, который прошел когда-то давно. В пагонах такие наблюдатели.

     
     
  • 5.87, Аноним (-), 17:41, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В заголовках пакетов есть данные вплоть до L4. HTTP-заголовки, например, как смотреть прикажете?
     
     
  • 6.89, Аноним (-), 22:08, 26/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нечего их кому-то смотреть.
     

  • 1.88, Ilya Indigo (ok), 19:25, 25/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Интернет — для пользователей, а не для сетевых операторов!

    Тут и добавить нечего и незачем.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру