The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Дебаты вокруг TLS 1.3 и совершенной прямой секретности"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от opennews (ok) on 23-Июл-17, 21:52 
В настоящее время завершается процесс стандартизации TLS (Transport Layer Security) версии 1.3. В рамках новой версии, среди прочих изменений, предполагается полный отказ от методов шифрования (cyphersuites), не поддерживающих совершенную прямую секретность (https://ru.wikipedia.org/wiki/Perfect_forward_secrecy) (PFS, Perfect Forward Secrecy).


Свойство совершенной прямой секретности гарантирует, что при утечке долговременных ключей не удастся расшифровать ранее зашифрованные сообщения. Очевидно, использование методов шифрования с этим свойством привлекательно для конечных пользователей. Однако это свойство создаёт проблемы при использовании в корпоративной среде: становится невозможным анализ проходящего трафика даже при наличии и потребности в таковом (например, для детектирования проблемных узлов). В связи с этим ряд крупных сетевых операторов всё настойчивее просит (https://www.cs.uic.edu/~s/musings/tls13-enterprises/) соответствующую рабочую группу IETF о том, чтобы не отказываться полностью от методов шифрования без поддержки совершенной прямой секретности.


Следует отметить что речь идёт именно о тех случаях, когда перехват трафика используется не для компрометации пользователей (для слежения за ними), а для обеспечения отказоустойчивости сетевых сервисов. На данный момент доминирует три точки зрения на вопрос:

-  Отказ от совершенной прямой секретности не допустим, так как ущемляет интересы пользователей и может использоваться во вред им.
-  В то время как для ряда задач совершенная прямая секретность важна и даже необходима, она не требуется всегда и везде. В то же время чрезмерное усложнение жизни для сетевых операторов может привести к естественному избеганию нового стандарта, от чего как раз пострадают пользователи. Здесь можно вспомнить IPv6, который до сих пор медленно внедряется из-за целого ряда ошибок (http://instituut.net/~job/SINOG4_Job_Snijders_IPv6_Panel.pdf).
-  Интернет — для пользователей, а не для сетевых операторов, и если интересы первых идут вразрез с интересами вторых, то это не проблема пользователей. Пусть сетевые операторы предлагают решения (в качестве варианта рассматривается, например, использование постоянных параметров для алгоритма Диффи-Хелмана).


URL: https://www.cs.uic.edu/~s/musings/tls13-enterprises/
Новость: http://www.opennet.ru/opennews/art.shtml?num=46902

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +18 +/
Сообщение от jOKer (ok) on 23-Июл-17, 21:52 
Ну, я бы сказал, что телега не должна быть впереди лошади, - интересы пользователей Сети важнее всего.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –25 +/
Сообщение от qsdg (ok) on 23-Июл-17, 22:18 
Интересы тех, кто платит -- важнее. Так было и будет всегда, и это правильно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +34 +/
Сообщение от Олег (??) on 23-Июл-17, 22:27 
Надеюсь в суде к вам всегда такое же правило будут применять, а не смотреть на конституцию..
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –6 +/
Сообщение от arrnorets (ok) on 24-Июл-17, 00:21 
Странная аналогия. При чем тут суд, когда речь идет о новой версии стандарта TLS, а не о преступлении? Все логично: Интернет давно стал объектом коммерции, и не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

41. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +4 +/
Сообщение от ананим.orig on 24-Июл-17, 09:08 
> Интернет давно стал объектом коммерции

внутренние органы тоже. И?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

66. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от arrnorets (ok) on 24-Июл-17, 20:53 
Засада в том, что для внутренних органов это процесс абнормальный, а для Интернет - естественный. В том, что структуры ВД в твоей стране стали объектом коммерции - ты сам частично виноват, страдай, что)
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

91. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 31-Июл-17, 17:51 
> Засада в том, что для внутренних органов это процесс абнормальный, а для
> Интернет - естественный. В том, что структуры ВД в твоей стране
> стали объектом коммерции - ты сам частично виноват, страдай, что)

идеализм - хорошо, но обслуживание интересов богатых в ущерб остальным развито не только у него, окупай уоллстрит - напоминание

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

55. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от X4asd (ok) on 24-Июл-17, 12:20 
> не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится

почему?

почему это не получится? :-D

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

67. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от arrnorets (ok) on 24-Июл-17, 20:58 
>> не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится
> почему?
> почему это не получится? :-D

Потому :) Смирись. Либо донать.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

12. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +23 +/
Сообщение от Аноним (??) on 23-Июл-17, 23:17 
Так платят-то как раз пользователи. Операторам.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

42. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Андрей (??) on 24-Июл-17, 09:18 
Оно не правильно. Но так оно и есть...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

43. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 24-Июл-17, 09:51 
А за чей счет банкет? Юзеры и платят провайдерам.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

68. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 24-Июл-17, 21:29 
Ну а платит пользователь. так что, мимо.

ЗЫ: третий вариант. Запилите тесты с постоянным шифврованием и тестируйте себе...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

49. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 24-Июл-17, 10:42 
> Ну, я бы сказал, что телега не должна быть впереди лошади, - интересы пользователей Сети важнее всего.

т.е. это ты так пользователей причислил к классу кобыл? Ну в принципе оно так и есть, а операторы тихо едут на телеге. Потому пользователю повесят правильную морковку и он будет делать что хочет оператор.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

56. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –1 +/
Сообщение от А (??) on 24-Июл-17, 12:52 
Кому важнее?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 23-Июл-17, 21:55 
А как на счет постквантового легковесного шифрования?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –1 +/
Сообщение от Аноним (??) on 23-Июл-17, 21:58 
Нужен гибриный. Квантовое ломают на классическом, классическое на квантовом.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от bircoph (ok) on 23-Июл-17, 23:02 
Недоработанное квантовое можно сломать на классическом. Нормально проработанное нельзя. Тот же Нью-Рено хендшейк уже вполне неплох.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

92. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –1 +/
Сообщение от Аноним (??) on 31-Июл-17, 17:55 
> Нужен гибриный. Квантовое ломают на классическом, классическое на квантовом.

уже есть: гугл использует экспериментальный хэндшейк с 25519+rlwp, ключи - от обоих. первый не ломается на обычных компьютерах, второй на квантовых, сессионный ключ состоит из ключей обоих - ломать надо оба.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

3. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от Аноним (??) on 23-Июл-17, 21:57 
Лобби бесполезно, трафик не должен быть проанализирован или расшифрован.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –7 +/
Сообщение от Аноним (??) on 24-Июл-17, 14:16 
Попытка сокрытия информации - нарушение базового, основополагающего принципа свободы информации.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

93. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним (??) on 31-Июл-17, 18:27 
> Попытка сокрытия информации - нарушение базового, основополагающего принципа свободы
> информации.

ты почему-то тоже написал что ты аноним, вместо того чтобы написать свой инн мабилу паспорт креду. как же твой принцип?

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

5. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +3 +/
Сообщение от User (??) on 23-Июл-17, 22:00 
Совершенная секретность с упреждением!!! грамотеи, штоб вас!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним (??) on 23-Июл-17, 22:05 
Совершенная прямая секретность - общепринятый перевод термина Perfect forward secrecy.
https://ru.wikipedia.org/wiki/Perfect_forward_secrecy
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

40. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от Аноним (??) on 24-Июл-17, 08:38 
Текст в википедии не делает его «общепринятым»
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

52. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от X4asd (ok) on 24-Июл-17, 11:47 
> Текст в википедии не делает его «общепринятым»

да. всё наоборот -- общеприятная терминология описывается в Википедии

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

65. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Moomintroll (ok) on 24-Июл-17, 17:42 
> всё наоборот -- общеприятная терминология описывается в Википедии

К сожалению, так и есть — https://ru.wikipedia.org/wiki/Силиконовая_долина

"(перенаправлено с «Кремниевая долина»)"

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

81. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –2 +/
Сообщение от t28 on 25-Июл-17, 09:43 
> Совершенная секретность с упреждением!!! грамотеи, штоб вас!

Ага. Читаешь такое: «совершенную прямую секретность», и глаза вытекают.
В ту же коробку к «из коробки» и «бесшовный».

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

95. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от www2 (ok) on 02-Авг-17, 17:18 
Приведите свои, правильные варианты перевода "из коробки" и "бесшовный".

У слов "из коробки" есть ещё аналогичная идиома - "с батарейками".

"Бесшовшный" - это "безынтерфейсный" или "синергетический", или "глубоко интегрированный".

Вообще, если какой-то отдельный человек не понимает идиом, то это его личная проблема.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

82. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним (??) on 25-Июл-17, 12:48 
> Совершенная секретность с упреждением!!! грамотеи, штоб вас!

Простите, я с момента знакомства с этим термином знал только английское написание — как-то не приходилось с коллегами из России его обсуждать (во всяком случае, на родном языке). Так что, действительно, сходил в «Википедию». Вы правьте новости-то, если что не так. Это же Опеннет. :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +7 +/
Сообщение от Аноним (??) on 23-Июл-17, 22:06 
о каких операторах речь? зачем им влазить в tls ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +10 +/
Сообщение от tensor on 24-Июл-17, 05:14 
В копроративной среде очень любят DLP, в провайдерской - DPI.
Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию или борьбы с утечками коммерческой тайны.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

53. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +7 +/
Сообщение от X4asd (ok) on 24-Июл-17, 11:50 
> В копроративной среде очень любят DLP, в провайдерской - DPI.
> Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
> А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию
> или борьбы с утечками коммерческой тайны.

пусть сделают отдельный свой потокол Clown-TLS и свои отдельные clowntls-web-клиенты и сервера/сайты на нём -- и сидят себе радуются жизни внутри своего корпоративного сектора. вот там пусть и вставляют друг другу болты в зад или что они там любят делать..

зачем они хотят насcрать в наш НЕкорпоративный TLS?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

69. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 24-Июл-17, 21:31 
> В копроративной среде очень любят DLP, в провайдерской - DPI.
> Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
> А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию
> или борьбы с утечками коммерческой тайны.

Все, что зашифровано неправильно будут блочить, и нет проблем. Почта корпоративная, прокся со своим сертификатом.
Или я чего-то не понимаю?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

13. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от th3m3 (ok) on 23-Июл-17, 23:21 
Безопасность важнее всего. Чем лучше шифрование, тем довольнее пользователи.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +6 +/
Сообщение от bircoph (ok) on 23-Июл-17, 23:48 
Сразу любители MITM повылазили. Всех бы их на заметку и в расход.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –1 +/
Сообщение от Аноним (??) on 24-Июл-17, 07:33 
> на заметку

Да запросто. Половина провайдеров страдает этим для блокировки неугодных интернет-ресурсов.

> и в расход

А вот с этим сложнее...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

73. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 25-Июл-17, 00:23 
> Половина провайдеров страдает этим

Пруф?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

15. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от L29Ah (ok) on 23-Июл-17, 23:48 
Как мне снифать мой браузер и прочий гoвнософт с PFS? В GNU/Linux ещё понятно, можно LD_PRELOADнуть костыль для конкретной TLS-библиотеки, а в каком-нибудь б-гомерзком задроиде или шиндовс вообще не ясно чо делать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +3 +/
Сообщение от h31 (ok) on 24-Июл-17, 00:12 
man SSLKEYLOGFILE.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –3 +/
Сообщение от Аноним (??) on 24-Июл-17, 02:32 
А менюшка или GUI есть?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

90. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от анон on 28-Июл-17, 15:32 
в 99.9% случае приложухи которые используют nss и/или которым не покласть на эту переменную окружения - опенсорс и даже с документацией, и перехватывать от них трафик можно каким-нибудь бурпом или фидлером просто добавив свой серт.

В случае же с андроидами, виндовсами и различным самописным калом так или иначе приходиться выдумывать костыли. Даже не буду далеко ходить за примером:

$ SSLKEYLOGFILE=/tmp/nope curl -qs -o /dev/null 'https://google.de/'
$ stat /tmp/nope
stat: cannot stat '/tmp/nope': No such file or directory

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от Аноним (??) on 24-Июл-17, 00:48 
>а в каком-нибудь б-гомерзком задроиде или шиндовс вообще не ясно чо делать.

Встраивать дллки в шиндошс запрещает только религия.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –1 +/
Сообщение от Аноним (??) on 24-Июл-17, 01:05 
Покласть рядом. DLL не может. :D
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от Elhana (ok) on 24-Июл-17, 01:11 
Если в софт не вшит свой сертификат, то MITM не составит труда сделать и без LD_PRELOAD, как это PacketCapture делает - добавляет свой сертификат и устраивает MITM через VPNService даже без рута
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от Аноним (??) on 23-Июл-17, 23:49 
а как работает это самое обеспечение отказоустойчивости?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –3 +/
Сообщение от Аноним (??) on 24-Июл-17, 01:09 
Там в оригинальном тексте есть пояснения. Вкратце — речь идёт о системах автоматического мониторинга трафика до/после тех или иных узлов. Есть целый ряд систем (в том числе на модных нейронных сетях), которые таким образом отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше. Это очень круто, на самом деле.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 24-Июл-17, 02:43 
Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить". Операторы идут в пень.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

57. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –3 +/
Сообщение от А (??) on 24-Июл-17, 12:55 
> Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить".

Кому должны? Вы свои хотелки не путайте с хотелкам провайдеров.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

60. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 24-Июл-17, 16:01 
> Вы свои хотелки не путайте с хотелкам провайдеров.

А у провайдеров вообще не должно быть никаких хотелок. Они живут за счёт пользователей и должны работать в интересах пользователей.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

62. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 24-Июл-17, 16:49 
> Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить". Операторы
> идут в пень.

Вот тут вы вообще не поняли, о чём речь, похоже.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним (??) on 24-Июл-17, 02:44 
> отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше

Вы слишком много на себя берете, вам достаточно утилизировать порт клиента.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

63. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –4 +/
Сообщение от Аноним (??) on 24-Июл-17, 16:54 
>> отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше
> Вы слишком много на себя берете, вам достаточно утилизировать порт клиента.

Вы все сговорились, что ли, что так массово тупите и невнимательно читаете?

Речь идёт о работе с трафиком внутри сети, в которой он так и так расшифровывается/шифруется. К приватности данных это не относится ВООБЩЕ. Если дядям/тётям в погонах будет надо, они и прямо с оконечного сервера будут данные получать (ценой увеличения нагрузки на сервер, но это сих товарищей не заботит).

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

74. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 25-Июл-17, 00:26 
> Если
> дядям/тётям в погонах будет надо, они и прямо с оконечного сервера
> будут данные получать (ценой увеличения нагрузки на сервер, но это сих
> товарищей не заботит).

Чтобы что-то оттуда получить, надо иметь соответствующую бумажку. А их мечта — получать всё без бумажки.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

83. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 25-Июл-17, 12:50 
>> Если
>> дядям/тётям в погонах будет надо, они и прямо с оконечного сервера
>> будут данные получать (ценой увеличения нагрузки на сервер, но это сих
>> товарищей не заботит).
> Чтобы что-то оттуда получить, надо иметь соответствующую бумажку. А их мечта —
> получать всё без бумажки.

Так прочтите же, наконец, новость, и осознайте, что об этих дядях и тётях речи не идёт!

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

54. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от X4asd (ok) on 24-Июл-17, 12:01 
> (в том числе на модных нейронных сетях), которые таким образом отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше. Это очень круто, на самом деле.

а когда gmail запретит передавать электронную почту в формате OpenPGP -- из-за того что их нейронные сети не могут выявлять внутри него спам -- тоже будешь говорить "Это очень круто, на самом деле"?

все эти bullshit-технологии связанные с нейронными сетями -- пусть себе в зад засовывают. если не могут сделать их в согласованном режиме. привязанное проволокой говоно -- не нужено, какое крутое-бы оно не было бы..

организовать ЯВНУЮ обратную связь на стороне web-сервера со стороной анализатора/фаервола -- ни кто не запрещает.

возьми ды и встрой в Apache-Http-Server отдельный модуль который будет осуществлять эту обратную связь -- в чём у кого проблема?

вся проблема этих "блокирующих" посредников -- в том что они пытаются что-то блокировать типа в автоматическом режиме без явной согласовонности с сервером осуществляющего сервис. как-будто-бы функция блокировщика и функция предоставления сервиса -- это якобы разные несвязанные вещи.

представь что на входе в здание стоит огромный-тупой-вышибала с бейсбольной-битой-в-руках и не пускает в здание подозлительных лиц (по его мнению), или просто тех кто ему не нравится.. вот только он не знает что именно за здание -- толи ночной клуб толи библиотека толи спортивный зал (и рации тоже у него нет).. но мнение кого именно не пускать он имеет (основанное на наблюдениях кто обычно входит). вот так это и работает сегодня..

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

61. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –1 +/
Сообщение от Аноним (??) on 24-Июл-17, 16:03 
> а когда gmail запретит передавать электронную почту в формате OpenPGP

Чего-чего? Это что это за формат почты такой, можно полюбопытствовать?

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

64. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним84701 (ok) on 24-Июл-17, 17:09 
> Чего-чего? Это что это за формат почты такой, можно полюбопытствовать?

https://tools.ietf.org/html/rfc4880
https://www.gnupg.org/
> GnuPG is a complete and free implementation of the OpenPGP standard as defined by RFC4880 (also known as PGP).

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

75. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –1 +/
Сообщение от Аноним (??) on 25-Июл-17, 00:27 
Ты меня совсем за идиота держишь? Каким боком это "формат почты"?
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

94. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним (??) on 31-Июл-17, 18:36 
> отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше. Это
> очень круто, на самом деле.

оччнь!!! можно уволить эникеев и ссэкономить, разок вложившись. потом правда хитрые жёппы оказывается немного обманывают искусственного и тот вносит в баню все подряд вплоть до серверов виндозапдейта, о чем все узнают сразу после очередного эксперта по криптованию - пети.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +8 +/
Сообщение от mumu (ok) on 24-Июл-17, 02:44 
Объясните идиоту с 15-ти летнем стажем в ИТ, каким образом расшифровка трафика помогает в отказоустойчивости?
Мы ведь имеем незашифрованные данные на обоих концах, можем их анализировать. И можем смотреть путь трафика. Зачем нам расшифровывать что-то посередине пути?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним (??) on 24-Июл-17, 02:45 
> Зачем нам расшифровывать что-то посередине пути

Для махинаций с трафиком и шпионажа. На самом деле не их дело что внутри канала.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

29. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +4 +/
Сообщение от Kuromi on 24-Июл-17, 02:57 
Имелась в виду государственная отказоустройчивость. Ради нее всем что угодно пожертвуют.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

36. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –2 +/
Сообщение от яя on 24-Июл-17, 07:49 
Доспустим есть некий сервис, который купили в лохматые годы, который работает на древнем софте, который обновлять не на что, но который жестко интегрирован в бизнес процессы. Есть несколько тысяч сотрудников, которые что-то там меняют, что автоматически генерирует бухгалтерию, можно установить систему автоматического обнаружения атак где-то рядом с самим серваком, где трафик не зашифрован и не париться. Но если таких сервисов много, то покупка систем автоматического обнаружения атак для каждого сервиса влетает в копеечку, зеркалировать трафик можно, но если сервисы децентрализованы, то опять расходы. Ну и обновление/замена сервисов это - проект, это подрядчик, это упущенная выгода, это риски, что базы данных утекут, поэтому, работает и нефиг туда лезть.

Это обратная сторона централизации, вы же не хотите платить провайдеру за размещение серверов и инженеров в вашем городе, ну может лично вы и не против, но большинство все равно орет, что дорого. Хотя музыку заказывает государство, за яйцами в одной корзине проще следить вот и укрупнили среднего игрока на рынке.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

44. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от XoRe (ok) on 24-Июл-17, 10:07 
> есть некий сервис, который купили в лохматые годы, который работает на
> древнем софте, который обновлять не на что, но который жестко интегрирован
> в бизнес процессы.
> Есть несколько тысяч сотрудников, которые что-то там меняют,
> что автоматически генерирует бухгалтерию

Вот она, бомба замедленного действия.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

79. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним (??) on 25-Июл-17, 08:33 
Расшифровка трафика посередине позволяет получать сведения о том, какой именно трафик передаётся и принимать решения относительно выбора маршрутов, приоритизации и кеширования.
Чем больше данных можно получить из трафика, тем более правильные решения можно принять.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от kvaps email(ok) on 24-Июл-17, 02:44 
Я так понимаю речь идёт и о системах автоматического выявления и купирования ddos-атак
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +3 +/
Сообщение от Андрей (??) on 24-Июл-17, 03:45 
Пока самый полезный комментарий, т.к. в новости отсутствуют важные (именно для пользователей) примеры
> для обеспечения отказоустойчивости сетевых сервисов

которые не возможны без расшифровки.

А если вместо расшифровки улучшать кооперирование с жертвами атак, разве полученных IP адресов недостаточно?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от Аноним (??) on 24-Июл-17, 05:37 
Им походу напел об этом какой-то админ, а пресс-секретарь в этом не бельмеса, поэтому прозвучало какое-то невнятно "бу-бу-бу" вместо аргументов со стороны противников совершенной секретности.

Хотят, как всегда, везде свой зонд просунуть, выявление ddos для них просто предлог. Сами устроят показательный ддос: вот мол, смотрите, мы были правы.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним (??) on 24-Июл-17, 05:51 
отличный комменарий, а теперь узнай что такое ddos и расскажи как поможет перехват трафика
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

37. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –1 +/
Сообщение от Аноним (??) on 24-Июл-17, 07:58 
Возможность посмотреть внутрь пакета как раз и даёт возможность выявить признаки, по которым можно отличить полезный трафик от его имитации.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

46. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от тоже Аноним email(ok) on 24-Июл-17, 10:28 
И что, много кто ддосит шифрованными пакетами?
Я, увы, не профи, и мне до сих пор казалось, что в таких целях больше балуются низкоуровневым мусором типа DNS Amplification - который уж никак не может быть зашифрован.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

76. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от mumu (ok) on 25-Июл-17, 04:39 
Расшифровка всех пакетов с целью понять, какие из них ddos? Вы вообще понимаете как работает ddos? Это не с одного ип-шника куча пакетов шлётся. Это миллионы клиентов устанавливают вполне реальные соединения и запросы. Что вы там внутри пакетов увидеть хотите?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

48. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Онанимус on 24-Июл-17, 10:41 
> отличный комменарий, а теперь узнай что такое ddos и расскажи как поможет
> перехват трафика

Вы путаетесь в терминах. Для dos анализ транзитных пакетов, как правило, не нужен. Для ddos - необходим.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

77. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от mumu (ok) on 25-Июл-17, 04:42 
Отлично. Вы пост-фактум расшифровали, что миллиард ип-шников со взломаных монгодокеров и прочих линксисов запросили по https картинку котика с сайта третьего лица. Что вам это дало? Расскажите на пальцах.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

80. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 25-Июл-17, 08:39 
> Отлично. Вы пост-фактум расшифровали, что миллиард ип-шников со взломаных монгодокеров
> и прочих линксисов запросили по https картинку котика с сайта третьего
> лица. Что вам это дало? Расскажите на пальцах.

Запросы к картинке с котиком будут сильно отличаться у реального пользователя и DDoS-бота.
Пользоавтель сначала заходит на конечный набор входных страниц, с некоторой вероятностью авторизуется, затем переходит на страницу, куда вставлена картинка с котиком. Браузер пользователя передаёт заголовки Referer, Cookie, исполняет javascript. Задержки между переходами обуславливаются необходимостью прочитать текст и подвигать мышью. Пользователи в большинстве своём используют рекурсивные DNS-запросы к серверам своего провайдера.

У бота же будет что-нибудь вроде while true; do curl http://example.com/cat.jpg; sleep 0.1; done. На практике, конечно же, боты умнее, но всё равно их можно отличить от людей, особенно имея запись трафика до начала атаки.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

86. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от mumu (ok) on 25-Июл-17, 14:33 
-
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

97. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от J.L. on 29-Мрт-18, 14:51 
>[оверквотинг удален]
> DDoS-бота.
> Пользоавтель сначала заходит на конечный набор входных страниц, с некоторой вероятностью
> авторизуется, затем переходит на страницу, куда вставлена картинка с котиком. Браузер
> пользователя передаёт заголовки Referer, Cookie, исполняет javascript. Задержки между
> переходами обуславливаются необходимостью прочитать текст и подвигать мышью. Пользователи
> в большинстве своём используют рекурсивные DNS-запросы к серверам своего провайдера.
> У бота же будет что-нибудь вроде while true; do curl http://example.com/cat.jpg; sleep
> 0.1; done. На практике, конечно же, боты умнее, но всё равно
> их можно отличить от людей, особенно имея запись трафика до начала
> атаки.

организовывается (шифрованный) канал от юзеров в мониторинг трафика и на официальном сайте нужной системы пишется "это правильный и наш айпи (мониторинга трафика)"
а от мониторинга трафика любой канал до целевой системы

защитой от ддос без согласия защищаемой системы занимается роскомнадзор

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

38. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от zanswer CCNA RS and S on 24-Июл-17, 08:11 
Если они будут использовать постоянные параметры Diffie-Hellman, то в таком случае достичь Perfect Forward Secrecy не удасться. Хотя с точки зрения стандарта это не такой уж и плохой вариант. В корпоративной среде, администраторы смогут указывать в рамках групповой политики, чтобы DH использовал постоянные параметры, а домашние пользователи будут использовать настройки DH по умолчанию, позволяющие менять ключевой материал с течением времени или каких-то событий, например установки нового соединения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от X2asd (ok) on 24-Июл-17, 08:21 
не понял. кто такие эти сетевые операторы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +2 +/
Сообщение от Аноним (??) on 24-Июл-17, 10:18 
ФСБ
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

50. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –3 +/
Сообщение от Онанимус on 24-Июл-17, 10:49 
Я вот чего подумал. Это будет хорошей проверкой на наличие приватных сплоитов. Если стандарт примут в строгом виде, то значит у большого брата есть сплоиты, если же продавят нестрогий вариант, то сплоита нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от ILoveIslam on 24-Июл-17, 11:05 
Совсем не факт, эту фичу просят братья поменьше.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

70. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 24-Июл-17, 22:11 
>Однако это свойство создаёт проблемы при использовании в корпоративной среде: становится невозможным анализ проходящего трафика даже при наличии и потребности в таковом (например, для детектирования проблемных узлов).

ШИТО?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от RnjNj on 24-Июл-17, 23:49 
> совершенной прямой секретности

Википедисты все-таки не верно это перевели ИМХО. Perfect Forward Secrecy - это когда у тебя есть лог зашифрованных пакетов между клиентом и сервером, потом ты достаешь приватный ключ сервера - а расшифровать все равно не возможно, потому что был использован кратковременный сессионный ключ, который вскоре после использования был уничтожен. К "прямоте" никакого отношения не имеет. Forward - как-то в смысле "будущее", секретность от возможного слива приватного ключа в будущем.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от mumu (ok) on 25-Июл-17, 04:44 
Именно. Речь именно о пост-фактум расшифровке. Она вообще нужна исключительно для слежения за частной жизнью. Никакого отношения к функционированию ИТ инфраструктуры она не имеет.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

84. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Аноним (??) on 25-Июл-17, 12:54 
> Именно. Речь именно о пост-фактум расшифровке. Она вообще нужна исключительно для слежения
> за частной жизнью. Никакого отношения к функционированию ИТ инфраструктуры она не
> имеет.

То есть вы предлагаете сессионные ключи для всех пользователей постоянно загружать на все наблюдатели трафика в режиме реального времени? Ну OK...

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

85. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от mumu (ok) on 25-Июл-17, 14:29 
> наблюдатели трафика

Наблюдатели трафика наблюдают трафик. Он весь есть в заголовках пакетов. А в новости обсуждаются наблюдатели содержимого трафика, который прошел когда-то давно. В пагонах такие наблюдатели.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

87. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  –2 +/
Сообщение от Аноним (??) on 25-Июл-17, 17:41 
В заголовках пакетов есть данные вплоть до L4. HTTP-заголовки, например, как смотреть прикажете?
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

89. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +1 +/
Сообщение от Аноним (??) on 26-Июл-17, 22:08 
Нечего их кому-то смотреть.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

88. "Дебаты вокруг TLS 1.3 и совершенной прямой секретности"  +/
Сообщение от Ilya Indigo (ok) on 25-Июл-17, 19:25 
> Интернет — для пользователей, а не для сетевых операторов!

Тут и добавить нечего и незачем.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor