Da Internet a TLS 1.3: dove sei stato tutta la mia vita?

Internet
Credito: CC0 Dominio pubblico

L’Internet Engineering Task Force (IETF), che è il principale ente per gli standard Internet, ha dato il suo cenno di approvazione per qualcosa che renderà il Web più sicuro. Si chiama Transport Layer Security versione 1.3.

I criminali, almeno per ora, e fino a quando i piantagrane più persistenti non cominceranno a provare soluzioni alternative, dovrebbero sentirsi male. Ma buona fortuna a loro se persistono. Ne avranno bisogno.

“Tutto sommato, TLS 1.3 è un serio impulso alla sicurezza di Internet, essendo considerato quasi impossibile da decifrare, almeno con le risorse odierne”, ha affermato Catalin Cimpanu in Computer che suona. (TLS sta per Transport Layer Security funziona creando una connessione sicura tra client e server.)

Jon Fingas in Engadget ha sottolineato che “I vecchi algoritmi di crittografia non sono più opzioni, quindi un hacker non può forzare l’uso di un formato legacy per violare la sicurezza. Inoltre, i malfattori non possono riutilizzare le chiavi di decrittazione per transazioni future”.

Kieren McCarthy, Il registro, chiamato TLS 1.3 “Un aggiornamento tanto necessario per la sicurezza di Internet” che alla fine è passato all’IETF.

Il protocollo TLS versione 1.3 è un nuovo protocollo, un livello di sicurezza e il suo scopo è proteggere il Web da accessi non autorizzati. TLS 1.3, quindi, diventa il metodo standard in cui un client e un server stabiliscono un canale di comunicazione crittografato attraverso Internet, ha affermato Bleep Computer, ovvero connessioni HTTPS.

Christina Cardoza, redattrice di notizie di Tempi SD, ha dichiarato: “L’ultima versione ha più di quattro anni di lavoro con 28 versioni create durante quel periodo”.

In particolare, la decisione, ha detto Cimpanu, è arrivata dopo quattro anni di colloqui e 28 bozze di protocollo. Il 28 è stato selezionato come versione finale. Il documento “The Transport Layer Security (TLS) Protocol Version 1.3 draft-ietf-tls-tls13-28” è datato 20 marzo e la data di scadenza è il 21 settembre.

L’abstract affermava: “Questo documento specifica la versione 1.3 del protocollo Transport Layer Security (TLS). TLS consente alle applicazioni client/server di comunicare su Internet in un modo progettato per impedire l’intercettazione, la manomissione e la falsificazione dei messaggi”.

McCarthy ha riferito che “TLS 1.3 ha ottenuto l’approvazione unanime (beh, una ‘nessuna obiezione’ tra i sì), aprendo la strada alla sua diffusa implementazione e utilizzo in software e prodotti da Oracle Java al browser Chrome di Google”.

TLS 1.3 è sicuro in che modo?

In primo luogo, “Il nuovo protocollo mira a contrastare in modo completo qualsiasi tentativo da parte della NSA e di altri intercettatori di decrittare le connessioni HTTPS intercettate e altri pacchetti di rete crittografati”, ha affermato. Il registro.

In secondo luogo, “elimina molti dei vecchi algoritmi di crittografia supportati da TLS 1.2 che nel corso degli anni le persone sono riuscite a trovare buchi”, ha affermato McCarthy. “I vecchi sistemi crittografici potenzialmente consentivano ai malintenzionati di capire quali chiavi precedenti erano state utilizzate (chiamate “segretezza non inoltrata”) e quindi decrittografare le conversazioni precedenti”.

Piegare in Engadget ha pesato sui vantaggi del nuovo protocollo, in quanto “coinvolge sia la riduzione della finestra di opportunità per gli intrusi sia la prevenzione del riciclaggio del codice”.

Fingas ha scritto: “Per cominciare, la stretta di mano tra il tuo client e il server invocherà la crittografia prima, riducendo la quantità di dati non protetti inviati da entrambe le parti. I vecchi algoritmi di crittografia non sono più opzioni, quindi un hacker non può forzare l’uso di un formato legacy per violare la sicurezza. Inoltre, i malfattori non possono riutilizzare le chiavi di decrittazione per transazioni future.

Poi ci sono le controdeduzioni. E se i “bravi ragazzi” dovessero entrare? Questo è il tipo di argomento dietro coloro che erano infelici. McCarthy ha riferito che “banche e aziende si sono lamentate del fatto che, grazie al modo in cui il nuovo protocollo garantisce la sicurezza, non saranno in grado di ispezionare e analizzare il traffico crittografato TLS 1.3 che scorre attraverso le loro reti, e quindi potenzialmente essere maggiormente a rischio di attacco .”

McCarthy ha affermato: “Lo sforzo di inserire efficacemente una backdoor nel protocollo è stato accolto con disprezzo e rabbia dagli ingegneri di Internet”.

La proposta backdoor non è andata avanti.

Computer che suonaCatalin Cimpanu ha affermato che un altro vantaggio di TLS 1.3 è che è “più veloce nel negoziare l’handshake iniziale tra il client e il server, riducendo la latenza della connessione che molte aziende hanno citato quando giustificavano il non supporto di HTTPS su HTTP”.

Guardare Il registro‘s walkthrough di come è stato il processo, rispetto a come sarà nel nuovo 1.3.TLS. In breve, l’1.3 accelera il processo. I passaggi sono raggruppati.

Qual è il prossimo? Cimpanu ha affermato che “browser come Chrome, Edge, Firefox e Pale Moon hanno già implementato il supporto per le versioni precedenti della bozza di TLS 1.3 e ora dovrebbero aggiornare questo supporto allo standard ufficiale”.

Mettendo tutto questo in prospettiva, Fingas ha affermato che “Questo certamente non porrà fine alle minacce online, ma potrebbe fermare gli attacchi che sfruttano i difetti di base nel funzionamento di Internet”.


Leave a Reply