-
Translated by Roope Salminen
(ITKST56 course assignment at JYU.FI)
(33C3 intromusiikki)
-
Herald: Seuraava esitelmä
käsittelee TLS 1.3:n käyttöönottoa
-
ja sen pitävät Filippo Valsorda
sekä Nick Sullivan,
-
jotka molemmat
työskentelevät Cloudflarelle.
-
Joten toivottakaamme lämpimästi
tervetulleeksi Nick ja Filippo!
-
(aplodeja)
-
Filippo: Hei kaikki. Puheen-
aiheenamme tänään on TLS 1.3.
-
TLS 1.3 on tietenkin uusin versio
TLS:stä, joka tulee sanoista
-
"Transport Layer Security".
Se on ehkä tunnetuin
-
vihreästä lukosta selaimessa,
tai vanhalta nimeltään SSL,
-
jota yritämme edelleen
tappaa. TLS on
-
läpinäkyvä turvallisuusprotokolla,
joka voi turvallisesti tunneloida
-
mielivaltaista sovellusliikennettä.
Sitä käyttävät tietenkin web-selaimet,
-
sitä käyttävät sähköpostipalvelimet
turvaamaan keskinäistä
-
SMTP-liikennettään. Sitä käyttävät
Tor-solmut keskinäiseen kommunikointiinsa.
-
Mutta... Se kehittyi yli 20 vuoden ajan,
-
mutta pohjimmiltaan se koskee asiakasta
ja palvelinta, jotka haluavat kommunikoida
-
turvallisesti verkon yli.
Kommunikoidakseen turvallisesti verkon yli
-
niiden täytyy luoda avainmateriaalia,
sopia keskenään avainmateriaalista
-
molemmin puolin salatakseen
tulevan liikenteen.
-
Se, miten avainmateriaalista sovitaan,
hoidetaan vaiheessa, jota kutsumme
-
"kättelyksi". Kättelyssä on mukana
julkisen avaimen kryptografiaa ja
-
dataa, jota lapioidaan asiakkaalta
palvelimelle, palvelimelta asiakkaalle.
-
Tältä kättely näyttää TLS 1.2:ssa.
-
Asiakas aloittaa tanssit
lähettämällä "Client Hello"-viestin,
-
jossa kertoo, mitä tuettuja
parametreja se voi käyttää.
-
Palvelin vastaanottaa sen ja
lähettää oman viestinsä, joka on
-
"Server Hello", joka sanoo "Selvä! Käyte-
tään tätä salausalgoritmien yhdistelmää,
-
jota sanot tukevasi, ja tässä on minun
avainosuuteni käytettäväksi
-
tässä avaintenvaihtoalgoritmissa.
Lisäksi, tässä on varmenne,
-
jonka on allekirjoittanut auktoriteetti,
joka todistaa, että todellakin olen
-
Cloudflare.com. Ja tässä on allekirjoitus
varmenteesta todistamaan, että tämä
-
avainosuus on todellakin se, jota haluan
sinun käyttävän avainten luomiseen."
-
Asiakas vastaanottaa sen ja generoi
oman avainosuutensa, eli oman puolensa
-
Diffie-Hellman avaintenvaihdosta,
ja lähettää avainosuuden sekä
-
viestin kertoakseen: "Se oli siinä.
Kättely on nyt paketissa".
-
Tätä kutsutaan "Finished" viestiksi.
Palvelin vastaanottaa sen, luo
-
oman "Finished" viestinsä
ja vastaa sillä. Eli
-
nyt voimme vihdoin lähettää sovellusdataa.
Kerrataanpa vielä prosessi:
-
Asiakas -> Palvelin, Palvelin -> Asiakas;
Asiakas -> Palvelin, Palvelin -> Asiakas.
-
Meidän täytyi tehdä 2 edestakaista matkaa
asiakkaan ja palvelimen välillä ennen
-
mitään muuta. Emme ole lähettäneet
tavuakaan sovelluskerroksella
-
ennen tätä. Tämä tietenkin
matkapuhelinverkoissa
-
tai tietyissä osissa
maailmaa voi kerryttää
-
satojen millisekuntien viiveen.
Ja tämä täytyy tehdä
-
joka kerta, kun uutta yhteyttä avataan.
Joka kerta asiakkaan ja palvelimen
-
täytyy kulkea kahdesti välinsä
luodakseen avaimet ennen
-
kuin yhteyttä voi oikeasti
käyttää. TLS 1.1
-
ja 1.0 eivät eronneet suuresti
1.2:sta. Voisikin kysyä: "Miksi sitten
-
pitää kokonainen esitys TLS 1.3:sta,
joka on luultavasti vain taas yksi
-
iteraatio samasta konseptista?" No, TLS
1.3 on oikeasti iso uudelleensuunnittelu.
-
Erityisesti kättely on restukturoitu.
Ja tämän näkyvin tulos
-
on se, että yksi kokonainen
edestakainen matka on karsittu pois.
-
Eli, tältä näyttää TLS 1.3-kättely.
-
Kuinka 1.3 poistaa edestakaisen matkan?
Miten se pystyy siihen? Se kykenee siihen
-
ennustamalla, mitä
avaintenvaihtoalgoritmia
-
palvelin tulee käyttämään, ja
lähettämällä ennakkoon avainosuuden
-
tuota algoritmia varten palvelimelle.
Eli ensimmäisessä viestissä meillä oli
-
"Client Hello", tuetut parametrit
ja avainosuus algoritmille,
-
josta asiakas uskoo palvelimen pitävän.
Palvelin vastaanottaa viestin,
-
ja jos kaikki menee hyvin, se ajattelee:
"Ah! Okei! Tykkään tästä avainosuudesta.
-
Tässä on oma avainosuuteni samaa
algoritmia varten, ja tässä muut
-
parametrit, joita meidän tulisi käyttää."
Se välittömästi sekoittaa avainosuudet
-
saadakseen jaetun yhteisen avaimen, koska
nyt sillä on molemmat avainosuudet -
-
asiakkaan ja palvelimen - ja lähettää
taas varmenteen ja allekirjoituksen
-
varmenteesta, ja sitten välittömästi
lähettää "Finished"-viestin, koska
-
se ei tarvitse mitään muuta asiakkaalta.
Asiakas vastaanottaa tuon, ottaa
-
avainosuuden, luo jaetun yhteisen avaimen
ja lähettää oman "Finished" viestinsä,
-
ja on valmis lähettämään sitä sovellus-
dataa, jota olikaan lähettämässä.
-
Esimerkiksi HTTP-pyynnön.
Nyt prosessi meni näin:
-
Asiakas -> Palvelin, Palvelin -> Asiakas.
-
Ja olemme valmiita lähettämään
sovelluskerroksen dataa. Eli, jos olit
-
avaamassa HTTPS-yhteyttä, selaimesi
-
ei tarvitse odottaa nelinkertaista viivettä,
nelinkertaista pingiä. Sen täytyy
-
odottaa vain kaksinkertainen, ja tämä
tietysti säästää satoja millisekunteja
-
viivettä kun avataan uusia yhteyksiä.
Tämä oli onnellinen tapaus.
-
Näin käy, kun ennustus osuu oikeaan
ja palvelin tykkää asiakkaan
-
avainosuudesta. Jos palvelin
ei tue avainosuutta, jonka
-
asiakas lähetti, se lähettää kohteliaan
pyynnön käyttää jotain toista algoritmia,
-
jota asiakas sanoi tukevansa. Tätä viestiä
kutsutaan nimellä "Hello Retry Request".
-
Siinä on eväste, joten se voi olla tilaton
mutta periaatteessa se on varakeino,
-
jolla palataan käytännössä TLS 1.2-
kaltaiseen kättelyyn. Eikä se ole kovin
-
vaikea toteuttaa, koska asiakas jatkaa
uudella "Client Hello":lla, joka näyttää
-
periaattessa täysin samalta kuin
täysin tuorekin. Nyt...
-
Tässä kohtaa olen valehdellut. TLS 1.2
ei aina ole 2 edestakaista matkaa.
-
Suurin osa yhteyksistä, joita näemme
esimerkiksi Cloudflaren reunalta ovat
-
istunnon jatkamisia. Eli asiakas on ollut
yhteydessä k.o. sivustolle aiemmin.
-
Ja voimme käyttää tätä, voimme hyödyntää
tätä ja tehdä kättelystä nopeamman.
-
Tämä tarkoittaa, että asiakas muistaa
jotain avainmateriaalista, jotta pystyy
-
avaamaan seuraavan yhteyden vain yhdellä
edestakaisella matkalla myös TLS 1.2:ssa.
-
Eli tältä se näyttää. Tässä on normaali
TLS 1.2:n täysi kahden edestakaisen
-
matkan yhteys. Ja tässä palvelin lähettää
lipun uutta istuntoa varten. Istuntolippu
-
ei ole sen kummempi kuin salattu
kapseloitu blob sisältäen avainmateriaalia,
-
jonka asiakas säilyttää. Istuntolippu on
salattu ja allekirjoitettu avaimella,
-
jonka vain palvelin tietää. Eli se on
täysin läpinäkymätön asiakkaalle.
-
Mutta asiakas säilyttää sen sekä
yhteyden avainmateriaalin,
-
jotta seuraavan kerran kun se avaa
yhteyttä samalle sivustolle
-
se lähettää "Client Hello":n
ja istuntolipun.
-
Jos palvelin tunnistaa istuntolipun, se
purkaa sen salauksen ja löytää sisältä
-
avainmateriaalin. Ja nyt, vain yhden edes-
takaisen matkan jälkeen, palvelimella on
-
yhteistä avainmateriaalia asiakkaan kanssa
koska asiakas säilytti sen viime kerrasta
-
ja palvelin juuri purki sen
salatusta istuntolipusta.
-
Ok? Eli nyt palvelimella on jo käytet-
tävissä yhteisiä jaettuja avaimia ja se
-
lähettää "Finished"-viestin ja asiakas
vastaa "Finished"-viestillä ja pyynnöllä.
-
Eli tämä on TLS 1.2. Tätä tapahtuu
jo nyt joka päivä useimpien
-
modernien TLS-yhteyksien kanssa.
-
TLS 1.3-istunnon jatkaminen ei ole kovin
erilainen. Siinäkin on istuntolipun käsite
-
Istuntolipun sisällön nimi on muutettu
"PSK":ksi, mutta se tulee vain sanoista
-
"Pre-shared Key", koska sitähän se on:
pelkkää avainmateriaalia, josta
-
oli sovittu aiemmin.
Ja se toimii samalla tavalla:
-
palvelin vastaanottaa istuntolipun,
purkaa salauksen ja hyppää
-
"Finished"-viestiin. Nyt...
-
Ongelma istunnon jatkamisessa on se,
että jos hyökkääjällä on hallussaan
-
istuntolipun avain - eli avain, jota
palvelin käyttää salamaan istuntolipun,
-
jonka sisällä avainmateriaali on -
-
hyökkääjä voi passiivisesti, tai jopa
tulevaisuudessa kaapatun yhteyden
-
tapauksessa, purkaa istuntolipun
"Client Hello":sta, löytää sieltä PSK:n
-
ja käyttää sitä purkamaan koko loppu-
yhteyden salauksen. Tämä ei ole hyvä.
-
Tämä tarkoittaa, että joku voi
passiivisesti purkaa salauksen
-
hallinnoimalla istuntolipun avainta.
Tähän vastataan yleensä sanomalla, että
-
Lippujen avaimet vanhenevat nopeasti.
Mutta eikö olisi mukavaa, jos meidän ei
-
tarvitsisi luottaa siihen. Ja on itse
asiassa julkaisuja, jotka kertovat meille
-
että toteutukset eivät aina
tee tuota oikein. Siispä,
-
TLS 1.3 sen sijaan mahdollistaa
Diffie-Hellmanin käytön
-
istunnon jatkamisessa. 1.2:ssa
ei ollut keinoja suojautua istunto-
-
lipun avaimen murtamisen
seurauksilta. 1.3:ssa voi sen sijaan
-
lähettää avainosuuden
osana "Client Hello":ta
-
ja palvelin lähettää avainosuuden
"Server Hello":n yhteydessä,
-
ja osapuolet suorittavat Diffie-Hellmanin.
Diffie-Hellmania käytettiin
-
jatkosuojauksen toteuttamiseen esimerkiksi
sen varalta, että varmenteen yksityinen
-
avain joutuisi vääriin käsiin 1.2:ssa, ja
tässä sitä käytetään jatkosuojauksen
-
toteuttamiseen istunnon jatkamisessa.
Nyt, saatatte miettiä:
-
"Tämä näyttää periaatteessa
normaalilta 1.3 kättelyltä,
-
mikä virka PSK:lla on ylipäätään?"
Tästäpä puuttuukin jotakin.
-
Varmennetta ei ole. Koska ei ole
tarvetta autentikoida uudelleen
-
varmenteen avulla, koska asiakas ja
palvelin juttelivat aiemmin, joten
-
asiakas tietää tarkistaneensa jo
palvelimen varmenteen,
-
ja mikäli palvelin pystyy purkamaan
istuntolipun salauksen, se tarkoittaa,
-
että palvelin on se joksi itseään väittää.
Joten kaksi avainosuutta yhdistetään.
-
Sitten ne yhdistetään PSK:n kanssa, jotta
saadaan avain, jolla salataan loput
-
yhteydestä. On olemassa vielä
yksi uusi ominaisuus, jonka
-
TLS 1.3 istunnon jatkaminen tuo
mukanaan. Se on se seikka, että se
-
mahdollistaa kättelyn ilman edestakaista
matkaa (0-RTT). Muistutuksena,
-
kaikki kättelyt 1.3:ssa koostuvat enim-
mäkseen yhdestä edestakaisesta matkasta.
-
TSL 1.2 istunnon jatkamiset voivat olla
minimissään yhden edestakaisen matkan.
-
TLS 1.3 istunnon jatkamiset voivat toimia
ilman edestakaista matkaa. Kuinka 0-RTT
-
kättely toimii? Ajatellaanpa.
Alkuun on PSK.
-
Pre-shared Key.
Asiakas voi käyttää sitä salaamaan
-
tämän alkudatan, jonka haluaa lähettää
palvelimelle. Joten asiakas avaa
-
yhteyden palvelimeen, johon
on jo aiemmin ollut yhteydessä,
-
ja lähettää "Client Hello":n,
istuntolipun,
-
avainosuuden Diffie-Hellmaniin ja
alkudatan. Alkudata on
-
blob sovellusdataa - se voi olla
esimerkiksi HTTP-pyyntö -
-
salattuna PSK:lla.
Palvelin vastaanottaa tämän,
-
purkaa istuntolipun, löytää PSK:n,
käyttää PSK:ta purkamaan
-
alkudatan ja jatkaa sitten normaalisti:
yhdistää avainosuudet, lisää PSK:n,
-
luo uuden avaimen lopulle
yhteydelle ja jatkaa yhteyttä.
-
Eli mitä tässä tapahtui? Voimme lähettää
sovellusdataa välittömästi yhteyden
-
avaamisen yhteydessä. Tämä tarkoittaa,
että poistimme suorituskyvyn
-
yleiskustannukset TLS:ssä.
-
0-RTT kättelyissä on kuitenkin kaksi
vaaran paikkaa, jotka ovat teoriassa
-
mahdoton poistaa. Yksi on se, että
se kiva asia joka tuli PSK ECDHE moodin
-
mukana, se jossa käytetään Diffie-
Hellmania istunnon jatkamiseen
-
1.3:ssa, ei auta 0-RTT datan kanssa.
-
Käytämme Diffie-Hellmania kun
saavumme dian vihreään laatikkoon.
-
Tietysti alkudata on salattu vain
PSK:lla. Mietitäänpä taas
-
hyökkääjää. Hyökkääjä jollain keinolla
varasti istuntolippumme salausavaimet.
-
Se voi katsoa "Client Hello":a, purkaa
istuntolipun, saada PSK:n,
-
käyttää PSK:ta purkamaan
alkudatan salauksen.
-
Se voi tehdä tämän kaapatustakin liiken-
teestä, jos saa istuntolipun myöhemmin.
-
Siispä alkudata ei ole jatkosuojattu
istuntolipun avainten suhteen.
-
Pelkkä PSK on kuitenkin hyödytön, jos
käytämme Diffie-Hellmania palvelimen
-
vastauksessa. Se on hyödyllinen ainoastaan
asiakkaan ensimmäisen viestin kohdalla.
-
Kerrataanpa. Tässä on
paljon asiaa. TLS 1.2 toi
-
jatkosuojauksen sen varalle, että
varmenteen yksityinen avain
-
joutuisi vääriin käsiin, jo kauan sitten
käyttämällä ECDHE moodeja.
-
Siis 1.2 yhteydet voivat olla aina jatko-
suojattuja varmenteen murtamisen
-
varalta. TLS 1.3 toimii samoin.
-
Ei ole moodia, joka olisi jatkosuojaamaton
varmenteen murtamisen varalta.
-
Mutta, jos ajatellaan mitä
istuntolipun avaimelle voi käydä:
-
TLS 1.2 ei koskaan tarjoa jatkosuojausta.
-
TLS 1.2:ssa istuntolipun avaimen
murtaminen johtaa aina kykyyn passiivisesti
-
murtaa tulevien jatkettujen
istuntojen salaus.
-
1.3:ssa sen sijaan, jos käytämme
PSK ECDHE:tä, ainoastaan alkudatan salaus
-
voidaan purkaa käyttämällä
pelkästään istuntolipun avainta.
-
Kuten sanoin, vaaran paikkoja on kaksi.
-
Toinen se, että 0-RTT dataa voidaan
käyttää toistohyökkäyksessä.
-
Olkoon tilanne tämä: alkudata
sisältää dataa, joka on jollain tapaa
-
autentikoitu. Se voi olla HTTP-
pyyntö, joka sisältää evästeitä.
-
Tuo HTTP-pyyntö jollain
tapaa suorittaa transaktion,
-
okei? Ehkä se on tilisiirto. Ohjeistaa
palvelinta tekemään jotain. Hyökkääjä
-
haluaa toistaa tuota tapahtumaa. Se ei
tietenkään voi purkaa sen salausta
-
- sehän on suojattu TLS:llä. Eli se ei voi
nähdä evästeen sisältöä, eikä se voi
-
muokata sitä, koska se on TLS-suojattu.
Mutta se voi kaapata salatun
-
viestin ja lähettää sen uudelleen
-
palvelimelle. Jos palvelimia on yksi,
tähän on helppo ratkaisu.
-
Pidä kirjaa nähdyistä viesteistä
ja ajattele kutakuinkin näin:
-
"Ei. Tämä näyttää täsmälleen samalta kuin
mitä sain aiemmin." Mutta jos esimerkiksi,
-
kuten Cloudflare, pyörität useita data-
keskuksia ympäri maailmaa, et voi pitää
-
yhdenmukaisia tiloja jatkuvasti, reaali-
ajassa, kaikkien koneiden välillä. Olisi
-
eri koneita, jotka tämän viestin
saatuaan ajattelisivat näin:
-
"Toki, minulla on istuntolipun avain,
dekryptaan PSK:n, käytän PSK:ta,
-
dekryptaan alkudatan, löydän sieltä jotain
ja suoritan sen mitä se käskee minun
-
tehdä." Tämä ei tietenkään ole suotavaa.
-
Yksi TLS.n tarjoama vastatoimi on,
että asiakas lähettää samassa
-
paketissa arvon, joka kertoo
millisekunteina, kuinka kauan sitten sain
-
haltuuni istuntolipun. Palvelin katsoo
sitä arvoa, ja jos se ei täsmää
-
sen omaan näkemykseen tästä
tiedosta, se hylkää viestin.
-
Tämä tarkoittaa, että jos hyökkääjä
kaappaa viestin ja 10 s myöhemmin
-
yrittää toistohyökkäystä, ajat eivät
täsmää ja palvelin hylkää viestin.
-
Tämä ei kuitenkaan ole täysi ratkaisu,
sillä tarpeeksi nopea hyökkääjä voi
-
silti tehdä toistohyökkäyksiä.
Eli, palvelin voi ainoastaan joko
-
hyväksyä 0-RTT datan
tai hylätä sen.
-
Se ei voi vain ottaa jotain osaa siitä tai
kurkistaa siihen ja päättää sitten, koska
-
"Server Hello"-viesti kertoo (asiakkaalle)
hyväksyttiinkö vai hylättiinkö se.
-
Ja asiakas jatkaa alkudatan lähettämistä
kunnes se saa "Server Hello"-viestin.
-
Tässä on kilpailu. Joten palvelimen täytyy
sokkona päättää "Otanko 0-RTT dataa vastaan
-
vai hylkäänkö sen kaiken?" Jos se ottaa
sen, ja sitten huomaa sen olevan jotain
-
mitä se ei voi prosessoida koska "Herran-
jestas, täällä on HTTP POST, joka käskee
-
siirtämään rahaa. En voi tehdä tätä, jos
en tiedä ettei tämä ole toistohyökkäys."
-
Palvelimen täytyy saada jonkinlainen
vahvistus. Hyvä uutinen on se, että jos
-
palvelin odottaa "Finished"
viestiä... Palvelin lähettää
-
"Server Hello":n, "Finished":n ja
odottaa asiakkaan vastaavaa.
-
Kun asiakkaan oma saapuu, se tarkoittaa,
ettei kyseessä ollut toistohyökkäys,
-
sillä tuo "Finished" viesti
viimeistelee koko kättelyn
-
yhdessä tietyn satunnaisarvon kanssa,
jonka palvelin lähetti. Kyseessä ei siis
-
voi olla toistohyökkäys. Eli nämä ovat
palvelimen vaihtoehdot: se voi hyväksyä
-
alkudatan ja jos se on jotain mikä
ei ole idempotenttia, jotain mikä on
-
vaarallista jos se toistetaan, se voi
yksinkertaisesti odottaa vahvistusta.
-
Mutta se tarkoittaa, että se on laitettava
välimuistiin, ja tässä on riski, mikäli
-
hyökkääjä lähettää HTTP POST:n valtavalla
rungolla tarkoituksenaan täyttää muisti.
-
Tajusimme voivamme auttaa tässä,
jos kirjoitamme istuntolippuihin,
-
mikä on maksimimäärä alkudataa,
jonka asiakas voi lähettää.
-
Jos huomaamme jonkun lähettävän
enemmän, kyseessä on hyökkääjä ja
-
katkaisemme yhteyden, tyhjennämme
välimuistin vapauttaaksemme muistia.
-
Mutta. Joka tapauksessa. Vastatoimista
huolimatta, ellemme pysty pitämään
-
yhtenäistä maailmanlaajuista tilaa
palvelimien välillä, meidän täytyy kertoa
-
sovellukselle toistohyökkäyksen mahdol-
lisuudesta. Spesifikaatio tietää tämän.
-
TLS 1.3 spesifikaatio YKSISELITTEISESTI toteaa
-
protokollien EI tule käyttää
0-RTT:tä ilman profiilia, joka
-
määrittelee sen käytön. Eli tarkoittaa
"tietämättä mitä ne ovat tekemässä".
-
Tämä tarkoittaa, että TLS-pinon APIen
täytyy tehdä oletuksena 1-RTT,
-
johon toistohyökkäykset eivät
toimi, ja sitten antaa palvelimen
-
kutsua joitakin API:a hylätäkseen
tai odottaakseen vahvistusta,
-
ja antaa asiakkaan päättää, mitä tähän
vaaralliseen toistohyökkäysalttiiseen
-
dataan tulee. Tämä riippuu
-
protokollasta, mutta entäpä
lempiprotokollamme? Entäpä
-
HTTP? HTTP:n pitäisi olla
helppo. HTTP-spesifikaatio,
-
käykää vaikka lukemassa, sanoo:
"GET-pyynnöt ovat idempotentteja,
-
niiden ei tule muuttaa mitään palveli-
mella". Selvä! Sallimme nyt ainoastaan
-
GET-pyynnöt alkudatassa, koska niitä ei
voi hyödyntää toistohyökkäyksissä!
-
Jes! Ei. (huokaus) Internetissä on
takuuvarmasti palvelin,
-
jossa on jotain sen kaltaista kuin
“send-money.php?to=filippo&amount=this”
-
ja se on GET-pyyntö. Ja jos hyökkääjä
kaappaa tämän, mikä on alkudataa,
-
ja sitten käyttää tätä toistohyök-
käyksessä toista palvelinta vastaan, se
-
suoritetaan kahdesti.
Ja se ei käy päinsä.
-
Mitä siis voidaan tehdä?
-
Teemme kompromisseja!
-
Jos tunntet sovelluksesi, voit tehdä hyvin
spesifejä kompromisseja. Esimerkiksi
-
Google on ajanut QUIC:iä
0-RTT:llä hyvinkin pitkään.
-
Uskoakseni 3 vuotta? Se tarkoittaa, että
he tuntevat sovelluksensa oikein hyvin.
-
Ja he tietävät, ettei heillä ole
"send-money.php" päätepisteitä.
-
Mutta jos olet kuin Cloudflare, joka
hallinnnoi suurta määrää sovelluksia,
-
et voi tehdä noin laajoja olettamuksia,
ja täytyy sen sijaan yrittää
-
löytää kultainen keskitie. Me
saattaisimme esimerkiksi päättää
-
sallia GET-pyynnöt ainoastaan
juurihakemistoon. Eli "GET /",
-
mikä saattaisi tuoda eniten hyötyä, sillä
ehkä suurin osa yhteyksistä alkaa noin,
-
ja se on vähiten todennäköinen
aiheuttamaan hankaluuksia.
-
Mietimme edelleen kuinka sovellamme
tätä sovelluksiin. Eli jos tiedossasi
-
on sovellus, joka tulisi kärsimään
jostain noin yksinkertaisesta,
-
lähetä meille sähköpostia. Mutta
itse asiassa, jos sinulla on noin
-
haavoittuvainen sovellus, minulla
on huonoja uutisia. Thai Duong et. al.
-
osoittivat, että tämän päivän selaimet,
ilman TLS 1.3:a tai muutakaan,
-
toistavat HTTP-pyyntöjä
verkkovirheiden sattuessa.
-
Ja ne toistavat ne hiljaisesti.
Eli lopputulema ei välttämättä ole
-
huonompi kuin nykytila. Selvä.
Näen, että kaikki alkavat olla
-
levottomia ja ajattelevat
"Kryptografit ovat taas asialla!
-
He tekevät tarvitsemastamme turvallisuus-
protokollasta tarpeettoman monimutkaisen
-
turvatakseen työpaikkansa
seuraavaksi 15 vuodeksi!" Eikö?
-
Ei. Ei. Voin itseasiassa taata, että
-
yksi suurista muutoksista, mielestäni
suurempi kuin edestakaiset matkat 1.3:ssa,
-
on, että kaikkea punnitaan saadun hyödyn
ja sen aiheuttaman monimutkaisuuden
-
kannalta. Ja vaikka 0-RTT pääsi jatkoon
-
valtaosa ei päässyt.
-
Nick: Selvä. Kiitos Filippo. Toimiiko
mikrofonini? Kuuletteko minut? Selvä.
-
TLS 1.3:n ollessa iteraatio TLS:stä
mekin katsoimme taaksepäin, tai,
-
"me", jotka olemme ihmiset jotka tutkivat
TLS:ää, katsoimme taaksepäin ja
-
kertasimme olemassa olevia TLS 1.2:n omi-
naisuuksia, jotka vaikuttivat järkeviltä
-
aikanaan ja päätimme, oliko kompleksisuus
tai vaara, jonka nämä TLS:n ominaisuudet tai
-
protokollat tai primitiivit toivat mukanaan
-
järkeviä säilyttää. Ja yksi iso,
joka sattui prosessin alussa on
-
"staattinen RSA" moodi. Näin TLS on
toiminut SSL:n ajoista lähtien.
-
Sen sijaan, että käytettäisiin Diffie-
Hellmania yhteisen avaimen luontiin,
-
asiakas luo oman jaetun avaimensa, ja
salaa sen palvelimen varmenteen
-
julkisella avaimella, joka on
RSA-avain, ja lähettää sen sitten
-
sellaisenaan palvelimelle. Ja
palvelin sitten käyttää omaa
-
yksityistä avaintaan purkamaan salauksen
ja löytää yhteisen avaimen. Eli asiakas
-
luo kaiken avainmateriaalin tässä
tapauksessa. Yksi asia on melko selvä
-
tässä on, että jos varmenteen
yksityinen avain murretaan,
-
vaikka vuosiakin myöhemmin, joku
jolla on tallenteet tapahtumista voi
-
mennä taaksepäin ja purkaa tämän avain-
materiaalin ja siten koko keskustelun.
-
Tämä poistettiin ihan TLS 1.3-prosessin
alkuvaiheessa, noin kaksi vuotta sitten.
-
Joten suureksi yllätykseksemme,
ja kaikkien, jotka kuuluvat
-
TLS:ää koskevaan sähköpostitus-
listaan, ihan vasta äskettäin,
-
standardointiprosessin loppuvaiheessa,
kun TLS 1.3 oli melkein valmis,
-
tämä sähköposti ilmestyi. Ja tämä on
Andrew Kennedyltä, joka työskentelee
-
BITS:lle, mikä tarkoittaa pääpiirteittäin,
että hän työskentelee pankeille. Hän sanoo
-
"RSA-avaintenvaihdon tuen lopettaminen
TLS 1.3:ssa aiheuttaa suuria ongelmia
-
finanssilaitoksille, joista melkein kaikki
käyttävät TLS:ää sisäisesti ja joilla on
-
suuria, turvallisuuskriittisiä investoin-
teja ulkopuoliseen TLS-dekryptaamiseen.
-
"Ulkopuoliseen (3. osapuolen) TLS-dekryp-
taamiseen" hmm.. (naurua - aplodeja)
-
Se todella kuulostaa kriittiseltä...
kriittiseltä jollekin, eikö?
-
(naurua - aplodeja)
Eli...
-
(naurua)
(aplodeja)
-
Yksi valonpilkahduksista oli Kenny
Patersonin vastaus tähän,
-
joka kuului näin: "Minun näkemykseni
pyyntöäsi koskien: ei.
-
Perustelu: Yritämme rakentaa TURVALLISEM-
PAA internetiä." Korostus
-
on oma lisäykseni, mutta
hän varmasti tarkoitti sitä.
-
(aplodeja)
-
Tämän jälkeen pankkiväki saapui IETF:ään
ja näytti tämän dian kuvaillakseen, kuinka
-
vaikeaa heidän järjestelmänsä
debuggaaminen on. Tämä on yksinkertaista..
-
Ilmeisesti pankkiympäristössä. Nuo
ovat eri kytkimiä, reitittimiä,
-
väliohjelmistoja, web-sovelluksia
ja kaikki keskustelevat TLS:llä.
-
Tämän keskustelun jälkeen
päädyimme kompromissiin.
-
Protokollan vaarantamisen
sijaan Matthew Green
-
opetti heille, kuinka käyttää Diffie-
Hellmania väärin. Lopulta he kykenivät
-
siihen, mitä halusivat ilman,
että me - tai kukaan muu
-
akateemisessa yhteisössä tai
TLS-yhteisössä - palautti
-
TLS:ään tämän turvattoman osan.
-
Jos haluat lukea tämän, se kertoo
kuinka tähän pystytään. Joka tapauksessa
-
- emme laittaneet sitä takaisin.
Kiteytettynä, älkää tehkö näin!
-
(aplodeja)
-
Eli tapoimme staattisen RSA:n, ja mitä
muuta tapoimme? No, kun katsotaan
-
taaksepäin hyötyihin ja haittoihin,
TLS 1.2 käyttää tiettyjä primitiivejä,
-
jotka vain eivät ole
kestäneet ajan hammasta.
-
RC4 jonosalain. Poissa!
(aplodeja)
-
3DES (Triple DES) lohkosalain. Poissa!
(aplodeja)
-
MD5, SHA1... molemmat poissa. Yo!
(jatkuvia aplodeja)
-
On vielä rakennelmia, jotka...
peruslohkosalainrakennelmia,
-
jotka ovat poissa: AES-CBC.
Poissa. RSA-PKCS1-1.5,
-
tämä on tiedetty ongelmalliseksi
jo vuodesta 1998, myöskin poissa!
-
Myös muita ominaisuuksia, kuten kompressio
ja uudellenneuvottelu, on poistettu.
-
Jälkimmäisen korvasi hyvin kevyt "avaimen
päivitys"-mekanismi. Siis TLS 1.3:ssa
-
mikään näistä ei läpäissyt hyöty vs.
kompleksisuus -testiä. Ja monet näistä
-
haavoittuvuksista, joita saatatte
tunnistaa, ovat mahdottomia TLS 1.3:ssa.
-
(aplodeja)
-
TLS 1.3:n filosofia monessa kohtaa
on yksinkertaistaa ja lujittaa
-
mahdollisimman paljon. Tästä on
useita pieniä esimerkkitapauksia.
-
Osa tämän julkaisun kirjoittajista
saattaa löytyä yleisöstä. Oli tapa
-
käytää lohkosalaimia itse
tallennekerroksella tavalla,
-
joka ei ollut niin kestävä kuin se
voisi olla. Se on korvattu paljon
-
yksinkertaisemmalla tavalla.
TLS 1.2:ssa oli tällainen
-
erikoinen "Catch 22", jossa
salaimen neuvottelua suojaa
-
"Finished"-viesti, joka on viestin
autentikointikoodi, mutta
-
tuon koodin algoritmi päätettiin
salainneuvottelussa, joten
-
siinä oli tällainen takaisinsyöttö-
efekti. Hyökkäykset kuten FREAK, LogJam ja
-
CurveSwap onnistuivat hyödyntämään näitä
alentaakseen yhteyksien turvallisuuksia.
-
Tätä tapahtui ihan käytännössä.
Syy on, että näitä salausalgoritmien
-
joukkoja kättelyssä ei ole
digitaalisesti allekirjoitettu
-
yksityisellä vaimella. Tämä muutettiin
TLS 1.3:ssa. Kaikki allekirjoituksen
-
yläpuolella oleva on
allekirjoitettu. Tämä on hienoa!
-
Mitä muuta muutimme? Tai, mitä
muuta TLS 1.3 muutti verrattuna
-
TLS 1.2:een? Vähemmän, mutta parempia
valintoja. Kryptografiassa paremmat
-
valinnat tarkoittavat aina vähemmän
valintoja. Nyt on tietyt ehdokkaat
-
käyrille ja äärellisille kunnille, joita
voi käyttää. Ei mielivaltaisia palvelimen
-
keksimiä DH-ryhmiä, ei mielivaltaisia
käyriä. Ja tämä sopivien parametrien listan
-
karsiminen, johtaa siihen
että 1-RTT toimii niin usein.
-
Kuten Filippo sanoi,
asiakkaan täytyy arvata
-
mitä avaimenmuodostus-
metodeja palvelin tukee,
-
ja lähettää sopiva avainosuus. Jos on
olemassa lyhyt lista pelkästään turvallisia
-
vaihtoehtoja, tätä tapahtuu
useammin. Eli, kun konfiguroit
-
TLS-palvelintasi, se ei enää näytä
monimutkaiselta pikaruokalistalta,
-
vaan enemmänkin häämenulta. Ota yksi
jokaisesta kategoriasta ja lopputulos on
-
herkullisempikin. Voit tutkia tätä
Wiresharkissakin, sekin on yksinkertaista.
-
Salausalgoritmit, laajennukset,
käyrät ja voit jatkaa siitä.
-
Filippo: TLS 1.3 korjasi myös
sen, mikä mielestäni oli yksi
-
suurimpia suunnitteluvirheitä
TLS 1.2:ssa. Puhuimme siitä,
-
miten jatkosuojaus toimii istuntojen
jatkamisessa 1.2:ssa ja 1.3:ssa.
-
Mutta TLS 1.2 on vieläkin ongelmallisempi.
TLS 1.2 käärii istuntolippujen
-
sisään vanhan yhteyden
varsinaisen pääsalaisuuden.
-
Eli se ottaa varsinaiset alkuperäisen yhteyden
liikenteen salaamiseen käytetyt avaimet,
-
salaa ne istuntolipun avaimella, ja
lähettää ne asiakkaalle, jotta se voi
-
lähettää ne takaisin ensi kerralla.
Puhuimme riskistä, että hyökkääjä saa
-
istuntolipun avaimet haltuunsa,
dekryptaa instuntoliput ja murtaa
-
jatkosuojauksen ja
dekryptaa jatketut istunnot.
-
TLS 1.2:ssa asiat ovat vielä huonommin.
Jos hyökkääjä dekryptaa istuntoliput, se
-
voi takaperoisesti dekryptata
koko alkuperäisen
-
jatkamattoman istunnon. Ja
tämä on täysin tarpeetonta.
-
Meillä on tiivistefunktioita, yksisuun-
taisia funktioita, joihin laitetaan syöte
-
ja saadaan jotain, josta ei päästä
takaisin alkuperäiseen. Näin 1.3 tekee.
-
1.3. johtaa uusia, tuoreita avaimia
seuraavaa istuntoa varten
-
ja käärii ne istuntolipun sisään, jotta
niistä saadaan PSK. Eli vaikka
-
dekryptaisit 1.3 istuntolipun,
voit yrittää murtaa
-
seuraavaa yhteyttä ja olemme nähneet,
että saatat pystyä dekryptaamaan
-
ainoastaan alkudatan, tai koko yhteyden,
käytetystä moodista riippuen. Mutta
-
et mitenkään voi dekryptata alkuperäistä
jatkamattoman istunnon yhteyttä.
-
Tämä olisi itsessään riitävän huono asia,
mutta 1.2 tekee toisen päätöksen, joka
-
ihmetytti minua. Koko "käytetään pää-
salaisuutta" saataa johtua siitä, että
-
istuntoliput olivat pelkkä laajennus
1.2:ssa, mitä ne eivät ole 1.3:ssa.
-
Mutta 1.2 lähettää "New Session
Ticket"-viestin alkuperäisen
-
kättelyn alussa
- salaamattomana! Tarkoitan siis,
-
salattuna istuntolipun avaimilla, mutta
ei nykyisen istunnon avaimilla.
-
Eli mikä tahansa palvelin, joka tukee
-
istuntolippuja, tulee kaikkien
yhteyksien alussa - vaikka
-
istunnon jatkamista ei ikinä tapahtuisi -
lähettämään istuntolipun, joka ei ole
-
muuta kuin sen yhteyden
hetkelliset (katoavat) avaimet
-
käärittynä istuntolipun
avaimilla. Nyt, jos olet
-
Maailmanlaajuinen pahantekijä,
joka haluaa suorittaa
-
joukkovalvontaa ja haluaisit
dekryptata jälkikäteen
-
kaikki yhteydet, ja jotenkin saisit
käsiisi istuntolippujen avaimet,
-
se mitä löytäisit kaikkien
TLS 1.2-yhteyksien alusta, on
-
istuntoavaimet salattuna
istuntolipun avaimilla.
-
1.3 ratkaisee tämän ja 1.3:ssa tällaiset
hyökkäykset ovat täysin mahdottomia.
-
Ainoa asia, jonka voisit passivisesti,
siis jälkikäteen, dekryptata
-
on alkudata. Et mitenkään voisi
dekryptata jatkamattomia yhteyksiä ja
-
mitään mikä tulee 0-RTT:n jälkeen.
-
Nick: Eli se on turvallisempi.
Lyhyesti sanottuna.
-
Filippo: Toivon mukaan!
Nick: ...toivottavasti.
-
Ja mistä tiedämme sen olevan turvallisempi?
Nämä turvallisuusparametrit ja turvallisuus-
-
vaatimukset koskien TLS:ää on
formalisoitu ja, toisin kuin aiemmissa
-
TLS-versioissa, formalisointia
harjoittavat akateemikot otettiin
-
mukaan aiemmin. Useat julkaisut
ovat analysoineet tilakonetta
-
ja TLS 1.3:n eri moodeja, ja
nämä ovat auttaneet paljon
-
protokollan kehityksessä.
-
Kuka siis oikeastaan kehittää
TLS 1.3:a? No, kyseessä
-
on järjestö nimeltä IETF, joka tulee
sanoista Internet Engineering Taskforce.
-
Se on ryhmä vapaaehtoisia, jotka tapaavat
kolmesti vuodessa, joilla on postituslistoja
-
ja he väittelevät loputtomasti näistä
protokollista. He määrittelevät internetissä
-
käytettävät protokollat. Ja alunperin,
ensimmäinen asia mitä tästä näin - tässä
-
on twiittini syyskuulta 2013 - oli
toivomuslista koskien TLS 1.3:a.
-
Ja sen jälkeen IETF julkaisi
ensimmäisen version...
-
Dokumentit, jotka määrittelevät proto-
kollia tunnetaan nimellä RFC, ja
-
ennen kuin jostakin tulee RFC, siitä käy-
tetään nimeä "Internet Draft". Eli
-
aloitetaan Internet Draft 0:sta, ja sitä
iteroidaan, kunnes lopulta se joko
-
hylätään tai hyväksytään RFC:ksi. Ensim-
mäinen oli siis melkein 3 vuotta sitten
-
huhtikuussa 2014, ja nykyinen
luonnos (18), jonka ajatellaan olevan
-
melkein valmis, on vaiheessa jota
kutsutaan "Last Call":ksi IETF:ssä,
-
julkaistiin vastikään lokakuussa.
Tietoturvallisuusympäristössä tällä
-
aikavälillä on nähty todella monia
erilaisia hyökkäyksiä TLS:ää vastaan.
-
Esim: Triple Handshake, POODLE, FREAK,
LogJam, DROWN (josta oli esitys aiemmin
-
tänään), Lucky Microseconds, SLOTH.
Kaikki nämä eri akronyymit - joista
-
ehkä olette tai ette ole kuullut -
ovat tapahtuneet kehitystyön aikana.
-
Eli TLS 1.3 on kehittyvä
dokumentti, ja toivottavasti
-
siitä tulee lyhyt. Tarkoitan
siis, että TLS 1.2 oli 79 sivua.
-
Se on vähän vaikeaselkoinen, mutta lukekaa
toki jos kiinnostaa. TLS 1.3 sen sijaan,
-
jos lopusta karsii ylimääräistä tavaraa
pois, tulee aika lähelle. Ja se on
-
helppolukuisempi. Se on paljon tarkempi,
vaikka sieltä löytyykin kiinnostavia
-
ominaisuuksia kuten 0-RTT istunnon jatka-
minen. Kuinka se käytännössä kirjoitetaan?
-
Vastaus on... Github! Ja postituslista!
Eli, jos haluat lähettää pull pyynnön
-
tähän TLS-työryhmään, sieltä se löytyy.
Tällä tavoin luonnos oikeasti muotoutuu.
-
Ja kannattanee lähettää viesti
postituslistaan, jossa kuvailet
-
muutoksiasi, jos haluat. Ehdottaisin,
jos joku haluaa osallistua - nyt on aika
-
myöhäistä - onhan se "Last Call"-vaiheessa,
mutta postituslista on vielä avoinna.
-
Olen työstänyt tätä useiden muiden
kanssa, Filippo mukaan lukien. Olimme
-
osallisina luonnoksessa, työskennelleet
yli vuoden tämän parissa. Voitte käydä
-
katsomassa Githubista ongelmat ja
näette, kuinka paljon työtä se on vaatinut.
-
Luonnos on muuttunut
vuosien ja kuukausien varrella.
-
Esim. luonnos 9:ssä oli tämä
monimutkainen puumalli
-
kierrosavaimen laskennalle, tässä
näette "htk"... kaikki nämä eri asiat
-
liittyivät TLS-kättelyn eri avaimiin.
Tämän inspiraation lähteenä oli QUIC,
-
Googlen protokolla, jonka Filippo mainitsi
aiemmin, sekä julkaisu nimeltä "OPTLS".
-
Ja siinä oli useita eri moodeja:
semistaattinen Diffie-Hellman ja tämä
-
puumallinen avaintenlaskenta. Ajan
mittaan tätä pelkistettiin tästä
-
monimutkaisesta kaaviosta siihen, mitä
nyt käytämme TLS 1.3:ssa. Joka on hyvin
-
yksinkertainen avaimenjohtamisalgoritmi.
Vaati paljon työtä päästä jostain suuresta
-
johonkin näin pieneen. Mutta se onnistui!
Muita TLS 1.3:n kanssa sattuneita,
-
kryptografisesti vähemmän
merkittäviä asioita, on
-
nimeäminen! Jos joku on seurannut
kehitystä, TLS 1.3 ei välttämättä ole
-
yksimielinen valinta tämän protokollan
nimeksi. Kuten Filippo mainitsi, 1.0,
-
1.1, 1.2 ovat melko pieniä iteraatioita
jopa SSLv3:een verrattuna, kun taas
-
TLS 1.3 on aika iso muutos.
Siispä nimelle on paljon
-
vaihtoehtoja! Otetaanpa äänestys
kättä nostamalla. Kenen
-
mielestä nimen pitäisi olla 1.3?
(nauraa)
-
Kiitos Filippo! (Filippo nauraa)
Jep, eli aika suuri osa.
-
Entäpä TLS 2? Ketään? Oho. Tämä
näyttää itse asiassa enemmältä kuin...
-
Filippo: Muistakaa että SSLv2
on juttu! Ja se on kamala juttu!
-
Nick: Ette halua sekoittaa sitä
meihin! No entä sitten TLS 4?
-
Edelleen merkittävä osa ihmisiä...
Entäs TLS 2017? Noniin...
-
Selvä. TLS 7 ketään? Okei...
-
Filippo: TLS Millenium 2019 X?
-
Kyllä! Myyty!
Nick: TLS Vista?
-
(naurua) - (Nick ja Filippo nauravat)
(aplodeja)
-
Nick: Paljon vaihtoehtoja! Mutta ihan
vain muistutuksena, muu maailma ei
-
oikeastaan käytä nimeä TLS. Tässä on
Google trends, kiinnostus aikajanalla,
-
kun vertaillaan "SSL vs. TLS". SSL on nimi,
jota suuri osa maailmasta käyttää. SSL:n
-
korkein versio on versio 3, ja siinä on
syy miksi ihmiset ajattelivat, että
-
"TLS 4" on hyvä ajatus. Koska: "Ihmiset
ovat hämillään: 3 on enemmän
-
kuin 1.2 jne. jne."
-
Tämä äänestys ei ollut ainoa. Tässä
on epävirallisia Twitter-äänestyksiä.
-
"Mmm, pekonia!" oli hyvä.
52 % Ryan Hurstin äänestykessä.
-
(naurua)
-
Versionumerot TLS:ssä
ovat inhottava aihe.
-
Esim. olemassa olevat versiot TLS:stä
- jos katsotaan verkon yli kulkevaa tietoa,
-
ne eivät täsmää. Eli SSL 3
on 3.0, mikä täsmää.
-
Mutta TLS 1 on 3.1, 3.2...
TLS 1.2 on 3.3 ja alun perin
-
uskoakseni TLS 1.3:n
luonnokseen 16 asti se oli 3.4
-
Eli ikäänkuin pikkupäivitys
TLS 1.2:een, hyvin hämmentävää.
-
Internetmittausten jälkeen pääteltiin,
-
että moni palvelin, jos lähetät "Client
Hello":n arvolla "3.4", katkaisee yhteyden.
-
Tämä on oikeasti todella huono juttu, se
estää selaimia alentamasta yhteyttä
-
turvallisesti. Mitä palvelimen kuuluisi
tehdä, jos se näkee version joka on
-
korkeampi kuin 3.3, on vain vastata "3.3"
sanoakseen: "Tämän parempaan en pysty".
-
Mutta kävi ilmi, että moni näistä vain
hajoaa. Joten 3.3 on nyt "Client Hello":ssa
-
ja 3.4 neuvotellaan aliprotokollana.
Eli tämä on sotkuista.
-
Eikö? Mutta punnitsemme hyötyjä moni-
mutkaisuutta vastaan, ja tämä on niitä
-
missä palvelimien toimivuus painaa
enemmän kuin lisääntynyt monimutkaisuus,
-
jonka tuo uuden asian lisääminen. Ja tämän
estämiseksi tulevaisuudessa
-
David Benjamin ehdotti jotain nimeltä
GREASE, missä jokaiseen TLS-neuvottelun
-
osaan tulee, asiakkaana, lisätä
jotain satunnaista tavaraa,
-
jotta palvelimet tottuvat
näkemään asioita, jotka eivät ole
-
versioita, joihin ne ovat tottuneet.
Eli, 0x8a8a. Se on GREASE-d!
-
Filippo: Se on ihan todellinen asia!
Se on todellinen hyvin hyödyllinen asia!
-
Nick: Tämä tulee olemaan hyvin
hyödyllinen, tulevaisuutta ajatellen,
-
estämään tällaisia asioita tapahtumasta.
Mutta on ikävää, että sen täytyi tapahtua.
-
Aikamme on käymässä vähiin, mutta
me halusimme todella päästä mukaan
-
ja sotkemaan kätemme. Ja yksi asia
mitä IETF rakastaa, kun kehittelee näitä
-
standardeja on koodin ajaminen. Joten
aloitimme IETF 95 Hackathonilla,
-
joka pidettiin huhtikuussa ja
onnistuimme lopulta saamaan Firefoxin
-
lataamaan Cloudflaren isännöimän
palvelimen TLS 1.3:lla. Tämä oli suuri
-
saavutus silloin. Käytimme NSS:ää,
joka on Firefoxin turvallisuuskirjasto ja
-
"Mint":iä, joka oli uusi tyhjästä
-
rakennettu versio TLS 1.3:sta Go-kielellä.
-
Ja lopputulema oli, että se toimi! Mutta
tämä oli ainoastaan konseptitodistus (PoC).
-
Filippo: Rakentaaksemme jotain tuotanto-
valmiimpaa, katsoimme TLS-kirjastoa,
-
jonka muokkaaminen tuntui meistä
helpoimmalta. Yllätyksettömästi se
-
ei ollut OpenSSL. Joten päätimme
-
rakentaa 1.3:n Go:n
crypto/tls-kirjaston päälle,
-
joka löytyy Go:n standardikirjastosta.
Lopputulos on "tls-tris", ja se on
-
suora korvaaja crypto/tls:lle ja
se tulee tämän varoituksen
-
saattelemana, joka sanoo: "Kaiken hyvän
ja oikeudenmukaisuuden nimessä,
-
älä käytä tätä!". Varoitus koski alunperin
kaikkea, mutta nyt se ei enää niinkään
-
koske tietoturvaa, auditoitutimme tämän,
mutta se koskee edelleen vakautta.
-
Työstämme tämän saamista ylävirtaan,
mikä tulee vakiinnuttamaan API:n.
-
Ja voitte seurata ylävirtaprosessia,
Googlen väki oli ystävällinen ja
-
avasi meille oman haaran kehitystyötä
varten, ja se ei varmasti tule osumaan
-
seuraavaan Go:n julkaisuun, Go 1.8, mutta
odotamme innolla, että saamme tämän ylävirtaan.
-
Joka tapauksessa, vaikka käyttäisit
Go:ta, käyttöönotto on vaikeaa.
-
Ensimmäisen kerran kun otimme Tris:n
käyttöön, luonnoksen numero oli 13.
-
Ja tukeakseen selaimia tästä
eteenpäin, meidän täytyi tukea
-
useita luonnosversioita saman
aikaisesti käyttämällä joskus
-
erikoisia yksityiskohtia. Ja joskus meidän
täytyi tukea asioita, jotka eivät todellakaan
-
olleet edes luonnoksia, koska selaimet
alkoivat... hajaantua eri suuntiin.
-
No, joka tapauksessa meillä
oli testimatriisi, joka ajoi
-
kaikki meidän commit:imme kaikkia
asiakaskirjastojen versioita vastaan,
-
ja tämä varmisti, että olemme
aina yhteensopivia selainten kanssa.
-
Ja nykyään asiakkaat ovat itse asiassa
paljon vakaampia, ja todellakin,
-
saatat jopa jo tietämättäsi
käyttää sitä. Esim. Chrome Beta,
-
beta-kanavalla se on päällä noin 50 %:lla
instansseista kokeiluna Googlen puolelta.
-
Ja tältä meidän kuvaajamme
näyttivät julkaisun aikaan,
-
kun Firefox Nightly laittoi sen oletuksena
päälle ja kun Chrome Canary laittoi sen
-
oletuksena päälle. Nykyään meno on
vakaata: noin 700 pyyntöä sekunnissa
-
kulkee TLS 1.3:a käyttäen. Ja omalla
puolellamme laitoimme sen
-
päälle miljoonille Cloudflaren
isännöimille sivustoille.
-
Ja, kuten sanottua, spesifikaatio
on muuttuva dokumentti
-
ja se on kaikille avoin. Sen voi nähdä
Githubissa. Tris implementaatio on siellä
-
myös, vaikkakin siinä on tämä pelottava
varoitus, ja tässä blogissa tulemme
-
luultavasti julkaisemaan kaiken jatko-
tutkimuksen ja tulokset. Kiitos paljon ja
-
jos teillä on kysymyksiä, astukaa esiin,
uskon että meillä on muutama minuutti.
-
(aplodeja)
-
Herald: Kiitos, meillä on reilusti
aikaa kysymyksille. Ensimmäinen
-
kysymys tulee internetistä.
-
Signal Angel: Ensimmäisessä kysymyksessä
ihmiset kysyvät onko viisasta, että
-
päätös 0-RTT:n suhteen menee
sovellukselle, eli se jätetään
-
sovelluksen kehittäjille?
-
Filippo: (nauraa)
(aplodeja)
-
Filippo: Hyvä kysymys. Kuten sanoimme,
tämä tosiaan rikkoo abstraktion.
-
Eli se EI ole oletusarvoisesti rikki.
Jos ainoastaan päivität Go:n ja
-
saat käyttöösi TLS 1.3:n, et tule
kohtaamaan yhtään 0-RTT:tä,
-
koska tosiaan se vaatisi yhteistyötä
sovellukselta. Eli mikäli sovellus ei
-
tiedä mitä tekee sen kanssa, se ei
yksinkertaisesti voi käyttää sitä, mutta
-
saa kaikki turvallisuushyödyt sekä 1-RTT-
kättelyn hyödyt joka tapauksessa.
-
Herald: Selvä, seuraava kysymys
tulee mikrofonista yksi.
-
Kysyjä: Protokollan ensimmäisten
testien yhteydessä, oletteko
-
saaneet konkreettisia arvoja sille, miltä
nuo suorituskyvyn parannukset näyttävät?
-
(Filippo huokaisee)
-
Nick: Yhdeltä edestakaiselta matkalta!
(nauraa) Riippuu siitä paljonko 1-RTT on.
-
Filippo: Nimenomaan. Yksi edestakainen
matka on... en pysty sanomaan lukua
-
koska tietysti, jos asut San Franciscossa,
jossa on nopea kuituyhteys, se on
-
mitä? Ehkä 3 millisekuntia? 6...?
Jos taas asut vaikka jossain maassa,
-
missä EDGE on ainoa
käytettävissä oleva yhteys,
-
se on ehkä sekunti. Meillä taitaa
olla keskiarvo, joka on noin... 100
-
ja 200 millisekunnin välillä, mutta emme
ole virallisesti mitanneet näitä lukuja.
-
Herald: Ok, seuraava kysymys
tulee mikrofonista 3.
-
Kysyjä: Yksi huomautus, jonka haluan sanoa
on, että yksi parannus joka saavutettiin
-
TLS 1.3:ssa on että asiakas-
varmenteisiin lisättiin salaus.
-
Joten asiakasvarmenteet lähetetään
salattuina, mikä on tärkeää, jos
-
ajattelee asiakasta, joka liikkuu sekä
joukkovalvovaa elintä, joka voisi
-
jäljittää asiakkaita tällä. Ja toinen
huomio/kysymys, joka saattaisi...
-
Herald: Kysymykset päättyvät kysymys-
merkkiin. Joten yritäthän pitää lyhyenä?
-
Kysyjä: Kyllä... Tämä saattaa
olla tyhmä kysymys...
-
Vakio Diffie-Hellman-ryhmät...
eivätkö ne olleet ongelma LogJam-
-
hyökkäyksessä, joten... auttaako
tämä LogJam-hyökkäyksiä vastaan?
-
Nick: Viittaatko siihen pankeille
suunnattuun ehdotukseen?
-
Kysyjä: Ei ei, yleisesti siihen,
että voidaan laskea ennakkoon...
-
Nick: Aivan, kyllä, eli LogJamin kohdalla
oli ongelma, missä oli DH-ryhmä, joka
-
oli oletuksena käytössä monella
eri palvelimella. Apachen käyttämä,
-
joka oli 1024 (bittiä).
TLS 1.3:ssa tämä rajoitettiin
-
ennalta laskettuun DH-ryhmään,
joka on yli 2000 bittiä pienimmilläänkin,
-
ja valtavallakin laskentateholla varustettuna,
jos on 2000 bitin DH ryhmä, ei ole
-
käytännössä mahdollista tehdä esilasken-
taa minkäänlaista hyökkäystä varten.
-
Mutta kyllä, tuo on hyvä pointti.
-
Filippo: ...ja koska ne ovat kiinteitä, ei
ole keinoa pakottaa protokollaa käyttämään
-
mitään muuta, joka ei olisi niin vahva.
Kysyjä: Selvä, kiitos!
-
Herald: Seuraava kysymys mikrofonista 4.
-
Kysyjä: Kiitos esityksestä!
Tiivistelmässä mainitsitte, että eräs
-
toinen lopetettava ominaisuus oli SNI,
-
yhdessä 0-RTT:n kanssa, mutta on edelleen
tapoja implementoida se. Voitteko selventää?
-
Filippo: Pidimme siis tämän esitelmän
kahdesti sisäisesti, ja tämä kysymys
-
esitettiin molemmilla
kerroilla. Joten... (nauraa)
-
Eli, SNI on pieni parametri, jonka asiakas
lähettää palvelimelle kertoakseen,
-
mille sivustolle se yrittää
yhdistää. Esim. Cloudflarella on
-
useita sivustoja koneidemme takana, joten
sinun täytyy kertoa meille "Haluan siis
-
oikeasti yhdistää "blog.filippo.io":n. Tämä
on yksityisyyden kannalta ongelmallista,
-
koska joku voi pelkästään verkon yli
kulkevista tavuista nähdä, mihin
-
nimenomaiseen sivuun yhdistät. Epäonninen
seikka on se, että tässä on sama onglema
-
kuin alkudatan jatkosuojauksessa.
SNI lähetetään "Client Hello":ssa, ja
-
tässä kohtaa ei ole vielä neuvoteltu
yhtään avainta, joten ei ole mitään millä
-
sen voisi salata. Mutta jos ei lähetä
SNI:tä ensimmäisessä viestissä,
-
palvelin ei tiedä minkä sertifikaatin
se lähettää, joten se ei voi lähettää
-
allekirjoitusta ensimäisessä viestissä,
joten ei ole avaimia. Eli täytyisi tehdä
-
2-RTT, ja nyt olisimme taas samassa
pisteessä kuin TLS 1.2. Joten,
-
valitettavasti, se ei
toimi 1-RTT kättelyissä.
-
Nick: HTTP2:n spesifikaatiossa on kuitenkin
ehdotuksia, jotka mahdollistaisivat multi-
-
pleksaamisen. Tämä on vielä työn alla.
Voisi olla mahdollista yhdistää ensin
-
yhteen verkkotunnukseen ja sitten luoda
toinen yhteys olemassa olevan sisällä.
-
Ja tämä voisi mahdollisesti
suojata SNI:tä.
-
Filippo: Eli joku tarkkailija ajattelisi,
että menet sivulle blog.filippo.io mutta
-
kun avaat yhteyden, voisit pyytää
HTTP2:ta näyttämään myös
-
"tämän toisen sivun". Kiitos!
-
Herald: Selvä, seuraava
kysymys, mikrofoni 7,
-
tai itse asiassa 5, pahoittelut.
-
Kysyjä: Mainitsitte, että TLS 1.3:sta
on olemassa formaali verifikaatio.
-
Millä ohjelmistolla tämä
formaali verifikaatio on tehty?
-
Nick: Oli useita ohjelmisto-
implementaatioita ja protokollia...
-
Katsotaanpa, jos pääsen
takaisinpäin... tässä.
-
Tamarin on ohjelmisto, jonka on
kehittänyt muun muassa Cas Cremers
-
Oxfordissa ja Royal Hollowayssa.
miTLS on uskoakseni kirjoitettu F#:lla
-
INRIA:n toimesta. Ja nqsb-TLS
on kirjoitettu OCaml:lla.
-
Joten useita eri kieliä käytettiin näiden
kehityksessä ja käsittääkseni nqsb-TLS:n
-
kehittäjät ovat paikalla...
-
Herald: Selvä, seuraava
kysymys mikrofoni 8.
-
Kysyjä: Hei! Kiitos. Kiitos
informatiivisesta esityksestä.
-
SSL:n ja TSL:n historia on täynnä "mikä
muka voisi mennä vikaan"-ideoita ja hetkiä,
-
jotka lopulta kostautuivat. Joten
kysymykseni, kun otetaan huomioon,
-
että on useita pienempiä organisaatioita
tai pienempiä hosting-yrityksiä jne.,
-
jotka luultavasti implementoivat 0-RTT:n
väärin. Mikä on ensivaikutelmanne? Kuinka
-
todennäköistä on, että tämä todella
tulee kostautumaan pian? Kiitos.
-
Filippo: Kuten sanoin, olen itse asiassa
aavistuksen skeptinen vaikutusten suhteen
-
koskien HTTP:tä, sillä selaimet saadaan
uudelleenlähettämään pyyntöjä jo nyt.
-
Ja olemme nähneet tästä
julkaisuja ja blogipostauksia. Mutta
-
kukaan ei kyennyt näyttämään
toteen, että se olisi rikkonut
-
suuren osuuden internetistä. Ollakseni
rehellinen, en osaa vastata, kuinka
-
pahasti se kostautuu. Mutta muistetaan,
että tasapainon toinen puoli
-
on se määrä ihmisiä, jotka sanovat
etteivät aio ottaa TSL:ää käyttöön
-
koska se on "hidas". Ei.
-
Se on 0-RTT, TLS on nopea!
Menkää ja salatkaa kaikki!
-
Siis nuo ovat ne kaksi huolenaihetta,
jotka täytyy saada tasapainoon.
-
Lisäksi, oma henkilökohtainen
mielipiteeni ei paina paljoa.
-
Tämä oli päätös, jonka teki koko
postituslistasta koostuva yhteisö.
-
Ja voin vakuuttaa, että jokainen on ollut
hyvin konservatiivinen kaiken suhteen,
-
ottanut huomioon jopa... niin, senkin
olisiko nimi johtanut ihmisiä harhaan.
-
En osaa ennustaa tulevaisuutta. Voin
vain sanoa toivovani, että teimme
-
parhaan valinnan tehdäksemme suurimman
osan verkosta niin turvalliseksi kuin voimme.
-
Herald: Seuraava kysymys
tulee internetistä.
-
Signal Angel, onko meillä vielä
kysymys internetistä?
-
Signal Angel: Kyllä meillä on.
-
Mitkä ovat suurimmat implementoinnin
yhteensopimattomuudet, jotka on löydetty
-
nyt kun lopullinen spesifikaatio
on melko valmis?
-
Herald: Voitko toistaa kysymyksen?
-
(Signal Angel toistaa kysymyksen)
-
Filippo: Okei. Koskien
luonnosteluvaihetta?
-
Osa niistä, jotka eivät olleet versio-
yhteensopivia oli, uskoakseni, enimmäkseen
-
"middleboxeja" ja palomuureja.
-
Nick: Oli joitain todella isoja
sivustojakin. Paypal taisi olla yksi?
-
Filippo: Vaikkakin, prosessin aikana
meillä oli yhteensopivuusongelmia monista
-
syistä. Mukaanlukien se, missä
toinen kehittäjistä kirjoitti väärin
-
muuttujan numeron.
(nauraa)
-
Luonnosten aikana joskus yhteensopivuus
meni rikki, mutta oli myös paljon yhteis-
-
työtä asiakasimplementaatioiden ja meidän
puolemme palvelinimplementaatioiden välillä.
-
Voin onnekseni todeta, että varsinaisten
1.3 implementaatioiden kanssa tehtiin
-
paljon yhteensopivuustestejä, ja kaikki
ongelmat saatiin melko nopeasti korjattua.
-
Herald: Okei, seuraava kysymys
tulee mikrofonista numero 1.
-
Kysyjä: Minulla on 2 nopeaa kysmystä
koskien istunnon jatkamista.
-
Jos palvelimelle tallennetaan jotain
dataa istunnosta, eikö se olisi tavallaan
-
jonkinlainen supereväste? Eikö se ole
yksityisyyden kannalta vaarallista?
-
Ja toinen kysymys on: entä DNS-
kuormantasaajat tai jotkut muut
-
valtavat määrät palvelimia, missä pyynnöt
menevät joka kerta eri palvelimelle?
-
Filippo: Ok, eli nämä koskevat yksityiskohtia
istuntolippujen tehokkaasta jakelusta.
-
TLS 1.3 ottaa huomioon yksityisyydensuojan
koskien istuntolippuja, ja tosiaan se
-
mahdollistaa palvelimen lähettämään useita
istuntolippuja. Palvelin voi siis edelleen
-
tietää mikä asiakas sen lähettää, jos niin
haluaa. Mutta kukaan ulkopuolelta yhteyttä
-
tarkkaileva ei siihen kykene, koska ne
lähetetään salattuina, toisin kuin TLS 1.2:ssa
-
ja niitä voi olla useita. Kukaan ulko-
puolinen ei pysty yhdistämään sitä
-
alkuperäiseen yhteyteen. Tämän parempaan
ei pysty, sillä jos palvelimen ja asiakkaan
-
täytyy käyttää uudelleen jotain jaettua
tietoa, palvelimen täytyy saada tietää
-
kuka oli kyseessä. Mutta istuntolippuja
ei voi 1.3:ssa jäljittää kolmannen
-
osapuolen toimesta. Ja... kun tehdään
kuormantasausta... on eräs mielenkiintoinen
-
julkaisu istuntolippujen jakelusta, mutta
olennaista on, että kannattaa varmaan
-
selvittää miten asiakkaat liikkuvat
palvelimien välillä ja löytää tasapaino
-
sen välillä kannattaako istuntolipun
avain jakaa, jolloin se on tehokkaampaa
-
vai jättää istuntolipun avain jakamatta,
jolloin niitä on vaikeampi saada käsiinsä.
-
Saattaisit tehdä maantieteellisen
sijainnin mukaan, tai yhden räkin...
-
Se riippuu ihan toteutuksesta.
-
Herald: Okei, viimeinen
kysymys menee mikrofonille 3.
-
Kysyjä: Minulla on kysymys koskien
GREASE-mekanismia, joka toteutetaan
-
asiakkaan puolella. Jos
ymmärsin oikein, siinä lisätään
-
satunnaisia versionumeroita
olemattomista TLS- tai SSL-versioista
-
ja siten koulutetaan
palvelimet mukautumaan
-
spesifikaatioon. Mitkä ovat
tosielämän testien tulokset?
-
Moniko palvelin menee
tästä oikeasti nurin?
-
Filippo: Odotusarvoisesti ei yksikään,
koska ne kaikki ovat nyt ottamassa
-
1.3:a käyttöön, joten kaikki asiakkaat,
joita ne kohtaavat käyttäisivät GREASE:a.
-
Kuitenkin, juuri kun Google otti GREASE:n
käyttöön luulen sen rikkoneen... En ole
-
varma, joten en sano mikä palvelin-
implementaatio, mutta yhden pienemmistä
-
tunnistettiin heti olevan...
se Haskell-kielellä kirjoitettu!
-
Nick: Aivan!
Filippo: En muista sen nimeä,
-
en osaa lukea Haskellia, joten en
tarkalleen tiedä mitä ne tekivät, mutta
-
ne katkaisivat yhteyksiä
GREASE:n takia.
-
Nick: Ja huomautuksena, GREASE:a käytetään
myös salausneuvotteluissa ja kaikessa
-
mikä on neuvottelu TLS 1.3:ssa.
Tämä tosiaan rikkoi
-
pienen osan palvelimista, mutta
sen verran pienen osan,
-
että ihmiset hyväksyivät sen.
-
Kysyjä: Kiitos!
Nick: 2 % on liikaa!
-
Herald: Kiitos oikein paljon.
Filippo: Kiitos!
-
(aplodeja)
-
(33C3 loppumusiikki)
-
Translated by Roope Salminen
(ITKST56 course assignment at JYU.FI)