Jukkasoft

Uncovering technology [www.jukkasoft.com]

TLS 1.3 yleiskatsaus

Perfect forward secrecy: yleisavain poistuu

Perfect forward secrecy tarkoittaa, että web-liikenteen tietoturva saa parannuksen; tallennettu verkkoliikennekin pysyy vain ja ainoastaan kahden osapuolen välisenä, eli tiedon salausta ei pystytä murtamaan. Nykyisellä, 10 vuotta sitten ratifioidulla teknologialla (TLS 1.2 vuodelta 2008) esimerkiksi tekninen tietohallinto on voinut avata liikennettä jälkikäteen. Avausmahdollisuus tarkoittaa myös yksityisen nettikansalaisen kannalta valitettavaa mahdollisuutta tietojen väärinkäyttöön.

TLS 1.3 korjaa tämän aukon.

Ennen tätä, salatun tietoliikenteen avaamiseen oli kaksi mahdollisuutta:

  • yrityksen tekninen ylläpito saattoi käyttää hallussaan olevaa avainta tietoliikenteen avaamiseen
  • kolmas osapuoli, “hakkeri”, tietomurtaja – saattoi saada jollain tapaa avaimen käsiinsä ja tehdä tietoliikenteen avaamista

TLS 1.3 -standardissa tämä “yleisavain” poistetaan. Tämä herätti närää viime metreillä, alkuvuodesta 2018. Pankkien tekninen edunvalvontajärjestö BITS

Miksi palvelimen avain on ollut heikko lenkki TLS 1.2 ja aiemmissa?

Käytännössä monet ylläpitotahot eivät välttämättä ymmärrä kuinka kriittinen asia salainen avain(puolisko) on.

Avainta ei saisi koskaan..

  • jättää suojaamatta tiedostotasolla (ACL – access control list)
  • kopioida, koska kopiosta itsestään voidaan aina ottaa kopio

Yllä olevat kaksi heikkoa lenkkiä eivät välttämättä ole ainoat syyt, miksi palvelimen avain joutuisi vääriin käsiin.

Avaimen julkistus voi tapahtua useasta eri syystä johtuen:

  • palvelimen ylläpidon osaamattomuus
  • ylläpidon hetkellinen huolimattomuus avaimen tietoturvassa
  • tahallinen hyökkäys ulkoa käsin, jossa hyökkääjän tavoitteena on avaimen varastaminen
  • avain voi joutua hakoteille esimerkiksi palvelimen (tietokoneen) jouduttua laillisen tutkimuksen kohteeksi

Miten TLS 1.3 standardi valittiin?

Vedos 28 meni läpi maaliskuussa 2018. IETF äänestää, Working Groupit vahvistavat viime kädessä päätökset. Toteutus tapahtuu kentällä, IT-teollisuudessa. Kyseessä on siis kuitenkin RFC-dokumentti, joka ei ole lakitekstiä. RFC:t ovat Internetin alkuajoista saakka olleet “parhaita käytäntöjä”, selkeitä dokumentteja, joissa on tiivistetty keskeisten toimijoiden ymmärrys erilaisista teknologioista. Käytännössä RFC:t ovat Internetin perustavanlaatuisia standardeja, jotka mahdollistavat kyseisen teknologian toiminnan.

Tietoturva paranee hiljalleen, sitä mukaa kun maailma siirtyy käyttämään TLS 1.3 -standardia web-liikenteessä. Erityisesti suojaus lisää sellaisen datan turvaa, joka on kaapattu verkossa – matkan aikana – ja tallennettu pysyvästi odottamaan sopivaa hetkeä.

Mikä on muutoksen aikataulu?

Nykyinen TLS 1.2 tulee hiljalleen väistymään TLS 1.3 -standardin tieltä. Samoin TLS 1.2 :ää vanhemmat standardit väistyvät eli ne poistetaan käytöstä. Parhaita arvioita voi kuunnella esimerkiksi Steve Gibsonin ja Leo Laporten podcastista, Security Now episode 658: Deprecating TLS 1.0 and 1.1

One response to “TLS 1.3 yleiskatsaus”

  1. WOT - konnat kuriin? (Web of Trust) | Jukkasoft's Blog Avatar
    WOT – konnat kuriin? (Web of Trust) | Jukkasoft's Blog

    […] palveluja, jotka eivät esimerkiksi käyttäneet aivan perustavanlaatuista turvamekanismia: yhteyden suojausta SSL-menetelmällä. Luultavasti edelleenkin tapahtuu vastaavia laiminlyöntejä, koska monesti aivan uusimpien […]

    Reply

Leave a Reply

Please log in using one of these methods to post your comment:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Website Powered by WordPress.com.

%d bloggers like this: