Logo it.nowadaytechnol.com

Apple, Cloudflare, Fastly E Mozilla Devise Solution To Encrypting SNI

Apple, Cloudflare, Fastly E Mozilla Devise Solution To Encrypting SNI
Apple, Cloudflare, Fastly E Mozilla Devise Solution To Encrypting SNI

Video: Apple, Cloudflare, Fastly E Mozilla Devise Solution To Encrypting SNI

Video: Apple, Cloudflare, Fastly E Mozilla Devise Solution To Encrypting SNI
Video: How to setup Encrypted SNI in Firefox 2024, Marzo
Anonim
Image
Image

È appena emersa la notizia che Apple, Cloudflare, Fastly e Mozill hanno collaborato per migliorare la crittografia del meccanismo di identificazione del nome server di HTTPS all'Hackathon IETF 102, come indicato dal tweet di Nick Sullivan di Cloudflare. Il tweet si è congratulato con il team di mix dei quattro giganti della tecnologia dicendo "Lavoro fantastico" e condividendolo con i collegamenti ai server funzionanti su esni.examp1e.net e cloudflare-esni.com.

Fantastico lavoro all'hackathon IETF 102 da parte del team SNI crittografato composto da persone di @Cloudflare @fastly @mozilland @apple. Ora ci sono implementazioni in BoringSSL, NSS e picotls.

I server funzionanti sono attivi su https://t.co/sLI9xLRjlK e

- Nick Sullivan (@grittygrease), 15 luglio 2018

L'Hackathon IETF è una piattaforma che invita i giovani sviluppatori e gli appassionati di tecnologia a unirsi ai capi nella redazione di soluzioni per i problemi relativi alla tecnologia affrontati oggi dall'utente comune. Gli eventi sono liberi di partecipare, aperti a tutti e incoraggiano il lavoro di squadra rispetto alla concorrenza. L'Hackathon IETF di quest'anno si è tenuto a Montreal il 14th e 15th di luglio. Il risultato più importante che ne è venuto fuori, a quanto pare, è la crittografia di Transport Layer Security (TLS) Server Name Indication (SNI), problema che ha afflitto gli sviluppatori nell'ultimo decennio, uno che i membri di Apple, Cloudflare, Fastly, e Mozill hanno ora proposto una soluzione a.

Image
Image

Negli ultimi dieci anni e mezzo è stato registrato un chiaro passaggio globale da HTTP (Hyper Text Transfer Protocol) a Transport Layer Security Server Name Indication Hyper Text Transfer Protocol Secure (TLS SNI HTTPS). Il problema derivante dall'ottimizzazione del sistema TLS SNI HTTPS era la capacità dell'hacker di utilizzare SNI contro il suo scopo per abbinare il trasferimento dei dati per la decrittazione successiva.

Prima dello sviluppo di SNI, era difficile stabilire connessioni sicure a più server virtuali utilizzando lo stesso primo handshake del client. Quando un indirizzo IP ha interagito con un server, i due si sono scambiati "ciao", il server ha inviato i suoi certificati, il computer ha inviato la sua chiave client, i due si sono scambiati i comandi "ChangeCipherSpec" e quindi l'interazione è stata completata quando è stata stabilita la connessione. Questo può sembrare facile come è stato appena detto, ma il processo ha coinvolto più scambi e risposte che sono riusciti facilmente a diventare piuttosto problematici con l'aumento del numero di server con cui comunicare. Se tutti i siti utilizzavano gli stessi certificati, non si trattava di un grosso problema, ma sfortunatamente era raro. Quando più siti inviavano vari certificati avanti e indietro, era difficile per il server determinare quale certificato il computer stava cercando e nella complessa rete di scambi diventava difficile identificare chi inviava cosa e quando, interrompendo così l'intera attività con un messaggio di avviso del tutto.

Image
Image

TLS SNI è stato poi introdotto nel giugno del 2003 attraverso un vertice IETF e lo scopo è servito, in senso lato, è stato quello di creare un nome per i computer e i servizi coinvolti nello scambio web. Ciò ha reso il processo di scambio di ciao client-server molto più semplice poiché il server è stato reso in grado di fornire i certificati esatti necessari ei due sono stati messi in grado di avere il proprio scambio di conversazione senza confondersi su chi ha detto cosa. È un po 'come avere i nomi dei contatti per le chat e non essere confusi sulla provenienza dei messaggi e anche essere in grado di rispondere a ogni query in modo appropriato, fornendo i documenti giusti a qualsiasi computer ne abbia bisogno. Questa definizione SNI è esattamente ciò che ha causato il problema maggiore con questo metodo di ottimizzazione del processo di scambio.

La difficoltà che molte aziende hanno dovuto affrontare per passare a HTTPS è stata l'adattamento di molti certificati al formato SNI con singoli indirizzi IP per eseguire le richieste per ogni certificato. Ciò che TLS ha fatto per loro è stato semplificare la generazione di certificati per rispondere a tali richieste e ciò che SNI ha fatto ancora di più è stato rimuovere la necessità di indirizzi IP di certificati dedicati personalizzati inserendo l'intero sistema di identificazione attraverso l'intera rete di Internet. Ciò che è venuto con l'aggiornamento del secolo è stato il fatto che ha consentito agli hacker di utilizzare i "nomi di contatto" stabiliti per monitorare e trasferire i dati ombra ed estrarre le informazioni di cui hanno bisogno per decrittografare in una fase successiva.

Sebbene TLS consentisse l'invio di datto avanti e indietro in un canale crittografato, con SNI che assicurava che raggiungesse la destinazione corretta, quest'ultimo forniva anche agli hacker i mezzi per monitorare l'attività online e abbinarlo alla sua fonte seguendo richieste DNS, indirizzi IP, e flussi di dati. Sebbene siano state implementate politiche di codifica SNI più rigide passando anche le informazioni DNS attraverso il canale TLS, rimane una piccola finestra per consentire agli hacker di utilizzarla come mezzo di identificazione per seguire l'informazione che vorrebbero estrarre e isolarla per la decrittazione. I server complessi che gestiscono un traffico maggiore di dati crittografati TLS utilizzano SNI di testo semplice per inviare la comunicazione nei loro server e questo è ciò che rende più facile per gli hacker identificare i canali e i flussi di informazioni che vogliono seguire. Una volta che l'hacker è in grado di estrarre le informazioni SNI dei dati di interesse, è in grado di impostare la riproduzione falsa del comando in una connessione TLS separata con il server, inviando le informazioni SNI rubate e recuperando le informazioni ad esso associate. Ci sono stati diversi tentativi per risolvere questo problema SNI in passato, ma la maggior parte è andata contro il principio di semplicità su cui SNI opera per renderlo un metodo di identificazione conveniente per i server.

Tornando al vertice che ha lavorato per la prima volta per stabilire questo metodo, i partecipanti di quattro giganti della tecnologia sono tornati alla conferenza di Montreal per sviluppare una crittografia per TLS SNI perché nonostante la maggiore efficienza nel sistema adiacente multi HTTPS, la sicurezza rimane ancora una preoccupazione proprio come tanto quanto prima.

Per nascondere lo SNI in TLS, "Hidden Service" deve essere mantenuto sotto lo spettacolo di "Fronting Service" che l'hacker potrebbe vedere. Senza essere in grado di osservare direttamente il servizio nascosto, l'hacker sarà fuorviato dal travestimento di facciata sotto cui si nasconde in testo normale senza essere in grado di identificare i parametri del servizio segreto sottostante utilizzati per trasmettere i dati crittografati. Mentre l'osservatore segue le tracce del servizio di fronting, il dato verrà rimosso dal canale osservato quando viene reindirizzato al suo servizio nascosto previsto, a quel punto l'hacker avrà perso la sua traccia. Poiché il server sarà anche esposto al servizio di fronting, mentre i dati si dirigono lì, un secondo segnale SNI parallelo verrà inviato al servizio di fronting per reindirizzare il datto verso il servizio nascosto e in questo processo di cambio di direzione, l'hacker verrà perso il web del server. Questo meccanismo di biglietti doppi è ulteriormente sviluppato in biglietto combinato con lo stesso SNI. Come un pezzo di dati inviato al server, il datproduce un re-director SNI cooperante ei due lavorano insieme per ottenere il datto crittografato TLS dove deve andare. Senza essere in grado di decifrare il servizio di fronting randomizzato che copre entrambe le tracce SNI, l'hacker non sarà in grado di seguire le tracce dei dati, ma il server sarà comunque in grado di connettere i due e decrittografare il servizio nascosto come posizione finale dei dati. Ciò consente ai server di continuare a utilizzare SNI per ottimizzare il trasferimento dei dati nella crittografia TLS, assicurando al contempo che gli hacker non siano in grado di sfruttare il meccanismo SNI.

Consigliato: