Carding 4 Carders
Professional
В марте прошлого года IETF завершила и одобрила версию 1.3 TLS, а в прошлом месяце последовала «формальная» публикация RFC 8446, но что вы об этом знаете? Что это будет значить для вас? Не упустите возможность ознакомиться с последним обзором UL об этом обновлении протокола TLS. Версия 1.3 является первым крупным обновлением за 10 лет протокола TLS, который является одним из наиболее широко используемых для защиты связи в Интернете и за его пределами.
Поскольку версия 1.3 представляет собой существенное обновление, отрасли потребуется некоторое время, чтобы полностью внедрить новый стандарт. В отличие от предыдущей версии 1.2, внедрение новой версии 1.3 ожидается раньше. Различные браузеры, компоненты (например, библиотеки) и другие приложения уже имеют (экспериментальную) поддержку нового стандарта.
Что нового?
TLS версии 1.3 имеет общие улучшения, которые делают его более быстрым, безопасным и более чистым. Улучшение скорости должно быть наиболее заметным при подключении с высокой задержкой, поскольку требуется меньшее количество циклов туда и обратно.
В версии 1.3 TLS есть несколько изменений. Здесь перечислены не все из них, но мы выделим те, которые наиболее актуальны для финансовой индустрии:
Преимущества TLS 1.3
Версия 1.3 имеет несколько преимуществ для финансовой отрасли. Поскольку теперь требуются более строгая криптография и «прямая секретность», это снижает риск и в то же время увеличивает конфиденциальность пользователей. Последнее очень актуально, особенно для приложений интернет-банкинга и мобильного банкинга, и усиление безопасности выгодно для всей отрасли, так как это позволяет упреждающе защитить себя от будущих атак.
В то же время TLS 1.3 разработан, чтобы быть быстрее, это в первую очередь сократит количество обращений к сети, снизит задержку и тем самым улучшит взаимодействие с пользователем. Доступен еще более быстрый режим «нулевого обратного отсчета» (0-RTT), но это связано с затратами на безопасность, поэтому следует соблюдать осторожность перед использованием 0-RTT в транзакционных системах. Наконец, по мере того, как дизайн протокола был очищен, обслуживание и внесение изменений должны быть проще и сокращать долгосрочные затраты.
Последствия TLS 1.3
Как и все новое или изменяющееся, это окажет влияние. Для финансовой индустрии есть несколько моментов, на которые стоит обратить особое внимание.
Поскольку «прямая секретность» становится необходимой, решения, в которых система обнаружения вторжений (IDS) отслеживает весь сетевой трафик, применяя расшифровку TLS (с использованием закрытого ключа), больше не возможны. Если применить IDS таким образом, изменения в архитектуре станут необходимостью. Другой эффект может заключаться в том, что отладка или устранение неполадок в производственной среде могут стать более сложными. Поскольку захваченные данные больше не могут быть расшифрованы, это больше не может использоваться в качестве крайней меры или грубого решения.
Из-за использования более надежной криптографии может потребоваться пересмотр требований к аппаратному и программному обеспечению. Это особенно актуально для встроенных систем, таких как POS-терминалы и крупномасштабные системы, уже близкие к своим пределам с точки зрения производительности системы и нагрузки. Мощность обработки, внутренняя память или безопасное хранилище ключей, достаточные для сегодняшних криптографических требований, могут стать слишком ограниченными для размещения и поддержки будущих обновлений.
Для решений, основанных на возможностях TLS используемой платформы, библиотеки или устройства, обновления TLS 1.3 для платформы могут иметь интересный эффект. Таким образом, поведение человека может немного отличаться. Обычной практикой является тестирование такого обновления перед его развертыванием в производственной среде, но, в частности, с мобильными приложениями на пользовательском устройстве момент выполнения этого обновления может быть вне вашего контроля, а также вне контроля клиента. С другой стороны, это будет проблемой только в том случае, если ваш бэкэнд не поддерживает прямую совместимость, что находится под вашим контролем, и вы можете заранее принять меры для его тестирования.
Поскольку TLS - это протокол для защиты связи, каждое соединение имеет двух участников. Оба могут иметь собственную поддержку, жизненный цикл обновлений и управление изменениями. Во всех версиях TLS есть явные меры предосторожности для обратной и прямой совместимости. Из-за специфики или даже недостатков в некоторых реализациях протокола все еще могут возникать проблемы с совместимостью, несмотря на совместимость, встроенную в протокол.
Последнее, что стоит упомянуть, - это отмена повторных переговоров . Обычно это используется в довольно сложных случаях использования, если применяется явным образом, например, для дополнительной защиты конфиденциальности или отложенной аутентификации клиента. Почти любой из этих вариантов использования все еще возможен в TLS 1.3, но с использованием нового пересмотренного механизма возобновления сеанса.
Вывод
Технологии развиваются и прогрессируют, и TLS 1.3 был завершен и теперь выходит на рынок. В настоящее время в TLS 1.2 нет известных уязвимостей, поэтому вы можете рассматривать это как эволюционное обновление. В следующей части этой статьи мы рассмотрим актуальность для финансовой индустрии и действия, которые вам следует предпринять.
IETF опубликовал RFC 8446, определяющий TLS версии 1.3. Мы обсудили, что нового в этом последнем обновлении протокола Transport Layer Security. Читайте дальше, чтобы узнать, почему это актуально для финансовой индустрии и какие действия вам следует предпринять.
Актуальность для финансовой индустрии
Зачем финансовой индустрии нужна новая версия TLS? Во-первых, TLS используется во многих местах для защиты соединений. В финансах TLS также широко применяется для безопасной связи, например, между кассовыми терминалами (POS) и внутренними системами эквайера, для VPN и межбанковских соединений, от мобильных приложений и браузера пользователя до серверов банка, вплоть до внутренней сети Wi-Fi и, возможно, десятков других линий связи для каждой организации. Таким образом, TLS является одним из фундаментальных технических строительных блоков, используемых в финансовой индустрии для защиты от рисков безопасности и поддержания доверия клиентов к защите своих денег.
Поскольку это настолько широко распространено, правила PCI-DSS, применимые ко многим в отрасли, даже содержат некоторые явные требования к TLS. В 2014/2015 гг. Недавно обнаруженные атаки, нацеленные на уязвимости в старых версиях и реализациях SSL / TLS, которые использовались в полевых условиях, привели к введению требований для обновления до более новых версий (1.1 и 1.2) TLS. Поскольку многие в отрасли были не готовы и не могли уложиться в первоначальный срок, это требование было отложено на два года и только недавно полностью вступило в силу.
Обзор изменений
Мы описали некоторые последствия версии 1.3 для финансовой отрасли. Ниже краткое изложение:
Что вы должны сделать?
Подобно другим изменениям в фундаментальных частях решения, следует сначала пересмотреть применимую архитектуру и политики на предмет потенциального воздействия. Применение TLS в архитектуре не должно концептуально изменить его, но TLS 1.3 может вызвать легко упускаемую из виду проблему IDS из-за прямой секретности, как упоминалось ранее. Однако ни устранение неполадок, ни эффект IDS не новы, поскольку наборы шифров, включающие прямую секретность, уже применимы в более старых версиях TLS. Если вы явно отключили эти (на основе DHE или ECDHE) шифровальные наборы по этим причинам, вы можете пересмотреть свою стратегию работы с ними.
Еще один пункт в вашем контрольном списке - это тестирование вашей существующей реализации. Скорее всего, ваша производственная система уже проходит тестирование, поскольку (экспериментальная) поддержка TLS 1.3 уже доступна в некоторых основных браузерах, а фактическое использование в полевых условиях уже довольно долгое время. Ваша текущая реализация должна быть обратно совместимой, но действительно ли она работает так, как задумано? Или у вас возникают необъяснимые сбои подключения?
При разработке или обновлении POS-терминала рекомендуется учитывать обновление TLS. Это означает, что оборудование должно обладать достаточными возможностями, чтобы приспособиться к будущим, более требовательным алгоритмам или алгоритмам, основанным на других математических принципах. Посредством обновлений программного обеспечения - что само по себе является важным требованием - могут быть развернуты улучшения безопасности и поддержка новых версий протокола, что приведет к гибкости криптографии .
Для эквайеров, продавцов и других лиц, которые хотят заказать новые POS-терминалы, убедитесь, что вы получили модель, которая имеет достаточные возможности для будущих обновлений, и что она будет получать эти обновления от своего поставщика. Даже если бы не обновление до TLS 1.3, это все равно было бы мудрой идеей.
Для любого другого проекта, обновления или новой разработки следует учитывать TLS 1.3. Поскольку вы все равно создаете или модифицируете свою систему, включите поддержку новой версии протокола, пока вы в ней. Относитесь к нему так же, как к любому другому обновлению технологий для своих компонентов. Для большинства решений это не оправдывает проект сам по себе. Ну, если только продажа продуктов TLS не является вашим бизнесом.
Наконец, если вы действительно хотите добавить поддержку TLS 1.3 в свой продукт или услугу, просто начните. Добавьте его как элемент в процессы требований, разработки, интеграции, тестирования и развертывания. Поскольку рассматривается совместимость с предыдущими версиями, это не должно мешать работе вашего решения. Просто сделайте это явным образом, чтобы вы и остальная часть вашей организации знали, что ваш продукт или услуга поддерживает их, чтобы вы были готовы, когда возникнут срочные причины для миграции. И вы можете извлечь выгоду из улучшений TLS 1.3.
Вывод
Технологии развиваются и прогрессируют, и TLS 1.3 был завершен и теперь выходит на рынок как эволюционное обновление. Только в определенных ситуациях преимущества TLS 1.3 заслуживают немедленного обновления. Короче говоря, просто взять TLS 1.3 во внимание в своем следующем обновлении, и быть готовым, прежде чем причина сделать это заставляет вас в неподходящий момент в будущем.
tools.ietf.org
https://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tls
Поскольку версия 1.3 представляет собой существенное обновление, отрасли потребуется некоторое время, чтобы полностью внедрить новый стандарт. В отличие от предыдущей версии 1.2, внедрение новой версии 1.3 ожидается раньше. Различные браузеры, компоненты (например, библиотеки) и другие приложения уже имеют (экспериментальную) поддержку нового стандарта.
Что нового?
TLS версии 1.3 имеет общие улучшения, которые делают его более быстрым, безопасным и более чистым. Улучшение скорости должно быть наиболее заметным при подключении с высокой задержкой, поскольку требуется меньшее количество циклов туда и обратно.
В версии 1.3 TLS есть несколько изменений. Здесь перечислены не все из них, но мы выделим те, которые наиболее актуальны для финансовой индустрии:
- Обновления криптографических алгоритмов, поддерживающие только стойкую криптографию и несколько новых алгоритмов. Наиболее примечательными являются добавление шифра ChaCha в качестве резервного алгоритма для AES и включение шифров Elliptic Curve Cryptography (ECC) в базовую спецификацию.
- Удаление статических алгоритмов обмена / установления ключей, фактически требующих "прямой секретности".
- Первоначальное рукопожатие было изменено, что позволило ускорить (повторно) установление соединений, а также удалить ранее мешавшее «повторное согласование».
- Другие улучшения протокола, обеспечивающие большую гибкость за счет структурного использования расширений, повышение безопасности и очистку в целом.
Преимущества TLS 1.3
Версия 1.3 имеет несколько преимуществ для финансовой отрасли. Поскольку теперь требуются более строгая криптография и «прямая секретность», это снижает риск и в то же время увеличивает конфиденциальность пользователей. Последнее очень актуально, особенно для приложений интернет-банкинга и мобильного банкинга, и усиление безопасности выгодно для всей отрасли, так как это позволяет упреждающе защитить себя от будущих атак.
В то же время TLS 1.3 разработан, чтобы быть быстрее, это в первую очередь сократит количество обращений к сети, снизит задержку и тем самым улучшит взаимодействие с пользователем. Доступен еще более быстрый режим «нулевого обратного отсчета» (0-RTT), но это связано с затратами на безопасность, поэтому следует соблюдать осторожность перед использованием 0-RTT в транзакционных системах. Наконец, по мере того, как дизайн протокола был очищен, обслуживание и внесение изменений должны быть проще и сокращать долгосрочные затраты.
Последствия TLS 1.3
Как и все новое или изменяющееся, это окажет влияние. Для финансовой индустрии есть несколько моментов, на которые стоит обратить особое внимание.
Поскольку «прямая секретность» становится необходимой, решения, в которых система обнаружения вторжений (IDS) отслеживает весь сетевой трафик, применяя расшифровку TLS (с использованием закрытого ключа), больше не возможны. Если применить IDS таким образом, изменения в архитектуре станут необходимостью. Другой эффект может заключаться в том, что отладка или устранение неполадок в производственной среде могут стать более сложными. Поскольку захваченные данные больше не могут быть расшифрованы, это больше не может использоваться в качестве крайней меры или грубого решения.
Из-за использования более надежной криптографии может потребоваться пересмотр требований к аппаратному и программному обеспечению. Это особенно актуально для встроенных систем, таких как POS-терминалы и крупномасштабные системы, уже близкие к своим пределам с точки зрения производительности системы и нагрузки. Мощность обработки, внутренняя память или безопасное хранилище ключей, достаточные для сегодняшних криптографических требований, могут стать слишком ограниченными для размещения и поддержки будущих обновлений.
Для решений, основанных на возможностях TLS используемой платформы, библиотеки или устройства, обновления TLS 1.3 для платформы могут иметь интересный эффект. Таким образом, поведение человека может немного отличаться. Обычной практикой является тестирование такого обновления перед его развертыванием в производственной среде, но, в частности, с мобильными приложениями на пользовательском устройстве момент выполнения этого обновления может быть вне вашего контроля, а также вне контроля клиента. С другой стороны, это будет проблемой только в том случае, если ваш бэкэнд не поддерживает прямую совместимость, что находится под вашим контролем, и вы можете заранее принять меры для его тестирования.
Поскольку TLS - это протокол для защиты связи, каждое соединение имеет двух участников. Оба могут иметь собственную поддержку, жизненный цикл обновлений и управление изменениями. Во всех версиях TLS есть явные меры предосторожности для обратной и прямой совместимости. Из-за специфики или даже недостатков в некоторых реализациях протокола все еще могут возникать проблемы с совместимостью, несмотря на совместимость, встроенную в протокол.
Последнее, что стоит упомянуть, - это отмена повторных переговоров . Обычно это используется в довольно сложных случаях использования, если применяется явным образом, например, для дополнительной защиты конфиденциальности или отложенной аутентификации клиента. Почти любой из этих вариантов использования все еще возможен в TLS 1.3, но с использованием нового пересмотренного механизма возобновления сеанса.
Вывод
Технологии развиваются и прогрессируют, и TLS 1.3 был завершен и теперь выходит на рынок. В настоящее время в TLS 1.2 нет известных уязвимостей, поэтому вы можете рассматривать это как эволюционное обновление. В следующей части этой статьи мы рассмотрим актуальность для финансовой индустрии и действия, которые вам следует предпринять.
TLS 1.3: Актуальность для финансовой отрасли и действия, которые необходимо предпринять
IETF опубликовал RFC 8446, определяющий TLS версии 1.3. Мы обсудили, что нового в этом последнем обновлении протокола Transport Layer Security. Читайте дальше, чтобы узнать, почему это актуально для финансовой индустрии и какие действия вам следует предпринять.
Актуальность для финансовой индустрии
Зачем финансовой индустрии нужна новая версия TLS? Во-первых, TLS используется во многих местах для защиты соединений. В финансах TLS также широко применяется для безопасной связи, например, между кассовыми терминалами (POS) и внутренними системами эквайера, для VPN и межбанковских соединений, от мобильных приложений и браузера пользователя до серверов банка, вплоть до внутренней сети Wi-Fi и, возможно, десятков других линий связи для каждой организации. Таким образом, TLS является одним из фундаментальных технических строительных блоков, используемых в финансовой индустрии для защиты от рисков безопасности и поддержания доверия клиентов к защите своих денег.
Поскольку это настолько широко распространено, правила PCI-DSS, применимые ко многим в отрасли, даже содержат некоторые явные требования к TLS. В 2014/2015 гг. Недавно обнаруженные атаки, нацеленные на уязвимости в старых версиях и реализациях SSL / TLS, которые использовались в полевых условиях, привели к введению требований для обновления до более новых версий (1.1 и 1.2) TLS. Поскольку многие в отрасли были не готовы и не могли уложиться в первоначальный срок, это требование было отложено на два года и только недавно полностью вступило в силу.
Обзор изменений
Мы описали некоторые последствия версии 1.3 для финансовой отрасли. Ниже краткое изложение:
- «Прямая секретность» может усложнить применение IDS.
- Требования к оборудованию и программному обеспечению могут измениться.
- Обновления TLS могут происходить из-за поддержки TLS ваших платформ.
- Включена обратная и прямая совместимость, но в некоторых реализациях это неверно.
- Повторное согласование удалено, но все еще может быть выполнено другим способом.
Что вы должны сделать?
Подобно другим изменениям в фундаментальных частях решения, следует сначала пересмотреть применимую архитектуру и политики на предмет потенциального воздействия. Применение TLS в архитектуре не должно концептуально изменить его, но TLS 1.3 может вызвать легко упускаемую из виду проблему IDS из-за прямой секретности, как упоминалось ранее. Однако ни устранение неполадок, ни эффект IDS не новы, поскольку наборы шифров, включающие прямую секретность, уже применимы в более старых версиях TLS. Если вы явно отключили эти (на основе DHE или ECDHE) шифровальные наборы по этим причинам, вы можете пересмотреть свою стратегию работы с ними.
Еще один пункт в вашем контрольном списке - это тестирование вашей существующей реализации. Скорее всего, ваша производственная система уже проходит тестирование, поскольку (экспериментальная) поддержка TLS 1.3 уже доступна в некоторых основных браузерах, а фактическое использование в полевых условиях уже довольно долгое время. Ваша текущая реализация должна быть обратно совместимой, но действительно ли она работает так, как задумано? Или у вас возникают необъяснимые сбои подключения?
При разработке или обновлении POS-терминала рекомендуется учитывать обновление TLS. Это означает, что оборудование должно обладать достаточными возможностями, чтобы приспособиться к будущим, более требовательным алгоритмам или алгоритмам, основанным на других математических принципах. Посредством обновлений программного обеспечения - что само по себе является важным требованием - могут быть развернуты улучшения безопасности и поддержка новых версий протокола, что приведет к гибкости криптографии .
Для эквайеров, продавцов и других лиц, которые хотят заказать новые POS-терминалы, убедитесь, что вы получили модель, которая имеет достаточные возможности для будущих обновлений, и что она будет получать эти обновления от своего поставщика. Даже если бы не обновление до TLS 1.3, это все равно было бы мудрой идеей.
Для любого другого проекта, обновления или новой разработки следует учитывать TLS 1.3. Поскольку вы все равно создаете или модифицируете свою систему, включите поддержку новой версии протокола, пока вы в ней. Относитесь к нему так же, как к любому другому обновлению технологий для своих компонентов. Для большинства решений это не оправдывает проект сам по себе. Ну, если только продажа продуктов TLS не является вашим бизнесом.
Наконец, если вы действительно хотите добавить поддержку TLS 1.3 в свой продукт или услугу, просто начните. Добавьте его как элемент в процессы требований, разработки, интеграции, тестирования и развертывания. Поскольку рассматривается совместимость с предыдущими версиями, это не должно мешать работе вашего решения. Просто сделайте это явным образом, чтобы вы и остальная часть вашей организации знали, что ваш продукт или услуга поддерживает их, чтобы вы были готовы, когда возникнут срочные причины для миграции. И вы можете извлечь выгоду из улучшений TLS 1.3.
Вывод
Технологии развиваются и прогрессируют, и TLS 1.3 был завершен и теперь выходит на рынок как эволюционное обновление. Только в определенных ситуациях преимущества TLS 1.3 заслуживают немедленного обновления. Короче говоря, просто взять TLS 1.3 во внимание в своем следующем обновлении, и быть готовым, прежде чем причина сделать это заставляет вас в неподходящий момент в будущем.
RFC 8446: The Transport Layer Security (TLS) Protocol Version 1.3
This document specifies version 1.3 of the Transport Layer Security (TLS) protocol. TLS allows client/server applications to communicate over the Internet in a way that is designed to prevent eavesdropping, tampering, and message forgery. This document updates RFCs 5705 and 6066, and obsoletes...
tools.ietf.org
