اشتراک مقالات

بررسی ویژگی‌های پروتکل TLS 1.3

2822 مشاهده 10 21 اردیبهشت, 1398

بررسی ویژگی‌های پروتکل TSL 1.3

انتشار نسخه TLS 1.3 تاثیرات بسیار مهمی بر روی حفاظت از اطلاعات کاربران دارد. ممکن است برایتان سوال پیش بیاید که TLS چیست و چرا نسخه 1.3 مهم است. Transport Layer Security و یا به اختصار TLS، یکی از اجزای تشکیل دهنده­ی امنیت در اینترنت می­باشد. تمام صفحات وب امنی که با //:Https شروع می­شوند، بر اساس TLS می­باشند.

لایسنس اسپلانک

یک تصور اشتباه این است که حرف S در Https مربوط به SSL می‌باشد. SSL که مخفف Secure Sockets Layer است، در ابتدا توسط Netscape در سال 1994 توسعه یافت. نسخه‌های 1.0، 2.0 و 3.0 SSL توزیع شد و پس از آن نسخه 1.0 TLS در سال 1999 جایگزین SSL 3.0 شد. ضمننا حرف S در Https برای کلمه‌ی Secure می‌باشد.

نسخه‌های متعددی از TLS منتشر شده اند. نسخه‌ی 1.0 در سال 1999، نسخه‌ی 1.1  در 2006 و نسخه‌ی 1.2 در سال 2008. توسعه نسخه‌ی 1.3 در سال 2014 آغاز شد و پس از 28 نسخه اولیه، سرانجام در ماه اوت سال 2018 تصویب نهایی گردید. در طی این فرآیند، TLS 1.3 مجددا طراحی شده بود، زیرا بسیاری از میان‌افزارهای امنیتی قادر به مدیریت TLS 1.3 نبودند و اغلب اوقات اتصال را قطع می‌کردند. اما اکنون OpenSSL که یکی از مهمترین ابزارهای TLS می‌باشد، نسخه اول خود (1.1.1) که از TLS 1.3 پشتیبانی می‌کند را در دسترس قرار داده است.

تغییرات TLS 1.3

تغییرات TLS 1.3 به دو دسته‌ی کلی تقسیم می‌شوند. اولین دسته‌ی تغییرات مربوط به امنیت می‌باشند. این نسخه عملکرد بسیار بهتری در رسیدگی به امنیت ضعیف دارد. البته، بسیاری از پیشرفت‌های قبلی SSL و TLS در طول سال‌ها نیز برای بهبود امنیت بوده اند، اما برای حفظ سازگاری با نسخه‌های قبلی، بسیاری از موارد قدیمی همچنان در نسخه‌های بعدی حاضر بودند. این‌ها مواردی بودند که یک مسیر حمله را به وجود آورده که مجرمان اینترنتی را قادر ساختند تا امنیت جدید را برای حملات قدیمی‌تر دور بزند. حملات Logjam، FREAK، Lucky13، BEAST و POODLE به همین روش موفق شدند. برخی از Cipherها در نسخه‌های قبلی رمزنگاری ضعیفی داشتند که آن‌ها را در برابر Exploitهای مختلف از جمله RC4، CBC، SHA1، MD5 و غیره آسیب پذیر می‌ساخت.

در واقع، برخی از این Cipherها آنقدر ضعیف بودند که اگر کسی به کلید خصوصی (RSA static key) دسترسی داشت، نمی‌توانستند مانع رمزگشایی ترافیک ثبت شده شوند. البته TLS 1.2 کاربران را قادر می‌ساخت که برای اطمینان از ترجیح Cipherهای جدیدتر نسبت به Cipherهای قدیمی‌تر، اولویت تعیین کنند، اما بسیاری از افراد این کار را انجام نمی‌دادند. ترتیب پیش‌فرض Cipherها بسیاری از مردم را به طور ندانسته آسیب پذیر می‌ساخت. در نهایت TLS 1.3 این مسئله را با جایگزینی این Cipher‌های ناامن با راهکارهای مدرن‌تر و امن‌تر حل کرد. TLS 1.3، با منع فعال‌سازی این Cipherهای ناامن، از شما حفاظت می‌کند.

دومین تغییر بزرگ مربوط به افزایش سرعت فرایند  TLS Handshake می‌باشد. رمزگذاری و رمزگشایی TLS به طور معمول مقداری زمان می‌برد، مخصوصا در مقایسه با هنگامی که هیچگونه رمزگذاری‌ای درکار نباشد. زیرا انجام عملیات‌های TLS پردازش و تاخیر بیشتری را در پی دارد. یک Handshake معمولی در TLS 1.2 شامل تبادل تقریبا 5 الی 7 Packet بین Client و سرور می‌باشد که موجب ایجاد سربارهای غیر ضروری می‌شود. جابجایی هریک از این Packetها شامل مقدار مشخصی تأخیر است. TLS 1.3 تعداد Packetهای مورد نیاز برای Handshake را به صفر الی 3 کاهش می‌دهد. در این حالت اتصال زودتر آغاز شده که در نتیجه کاربر تجربه‌ی روان‌تری خواهد داشت. در برخی موارد، یک TLS Session می‌تواند حتی بدون تبادل هیچگونه Packetی ادامه پیدا کند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

یکی از کاستی‌های TLS 1.2 این است که برخلاف TLS 1.3، گواهینامه مبادله شده بین کلاینت و سرور رمزگذاری نشده است. این امر برای دستگاه‌های امنیتی شبکه به این معناست که رمزگشایی Passive درست و قانونی در TLS نسخه‌ی 1.3، که به کلید خصوصی سرور TLS نیاز دارد، امکان پذیر نخواهد بود. متاسفانه رسیدن به پوشیدگی کامل به معنای آن است که برای TLS 1.3 امکان رمزگشایی Passive قانونی وجود نخواهد داشت. خطر رمزگشایی Passive غیرقانونی و نامشروع آنقدر زیاد است که حتی در هنگامی که درخواست قانونی و مشروع باشد، نمی‌توان امکان استفاده از این نوع رمزگشایی را توجیه کرد.

برای دستگاه‌هایی که فعالیت‌های واسطه‌ی مشروع (Man In The Middle یا MITM) انجام می‌دهند مهمترین نکته این است که حتی اگر به استفاده TLS 1.2 ناچار شده، اتصال TLS 1.3 قطع نشود، حتی اگر TLS 1.3 توسط دستگاه پشتیبانی نمی‌شود. متاسفانه، بسیاری از دستگاه‌های شبکه ای که از TLS 1.3 پشتیبانی نمی‌کنند، این روش را انتخاب می‌کنند. خوشبختانه، در پروتکل TLS نسخه‌ی 1.3، راهی برای اطلاع کاربران از این تغییر پروتکل تعبیه شده است. با افزایش استفاده از TLS 1.3، حملات و ضعف‌های TLS 1.2 بیشتر شناخته شده و به همین دلیل جابجایی به TLS 1.2 گزینه‌ی مناسبی نخواهد بود. دستگاه‌های شبکه باید از TLS 1.3 پشتیبانی کنند و یا دیگر قادر نخواهند بود که ترافیک رمزگذاری شده‌ی TLS 1.3 را به طور قانونی بررسی کنند.

در عوض بسیاری از این دستگاه‌ها که فعالیت‌های واسطه‌ای انجام می‌دهند، می‌توانند از اطلاعات Certificate مشاهده شده در بخش رمزگذاری نشده‌ی TLS 1.2 برای تصمیم گیری در مورد قطع و وصل Session استفاده کنند. در هنگام استفاده از TLS 1.3، اگر یک دستگاه بخواهد به Certificate نگاه کند، باید Session را قطع کرده و آن را رمزگشایی کند تا قادر به مشاهده اطلاعات آن شود. برای انجام این کار، دستگاه امنیت شبکه باید از TLS 1.3 به طور کامل پشتیبانی کند.

مزایای بررسی SSL و TSL

مزیت اصلی بازرسی محتوای SSL و TSL امنیت بیشتر است. آزمایشگاه NSS پیش بینی می‌کند که حدود 75 درصد کل ترافیک تجاری تا سال آینده رمزگذاری شده خواهد بود. این بدان معنی است که اگر ترافیک رمزنگاری شده بررسی نشود، 75 درصد از کل ترافیک از Firewall نسل جدید (Next-Gen Firewall و یا به اختصار NGFW)، بازرسی نشده عبور خواهد کرد و یک مسیر حمله‌ی بزرگ باز خواهد ماند.

علاوه بر این، گزارش چشم انداز تهدید جهانی Fortinet برای سه ماهه سوم سال بیان کرد که بیش از 20 درصد از 20 عدد Exploit شناسایی شده‌‌ی منحصر به فرد مهم، از ترافیک رمزگذاری شده TLS برای مخفی کردن کد مخرب و برداشتن داده‌ها استفاده می‌کنند. به منظور ایمن‌سازی درست ترافیک TLS در برابر تهدیدات، به راه‌حل‌هایی نیاز است که می‌توانند به طور فعال TLS را کاملا بازرسی کنند. این فرایند شامل رمزگشایی داده‌ها، بررسی آن‌ها برای تهدیدات بالقوه، رمزگذاری مجدد و سپس فرستادن داده‌ها به گیرنده می‌باشد.

البته، برای کارامد بودن این مزایا، راه حل امنیتی باید به طور کامل از TLS 1.3 پشتیبانی کند. در غیر این صورت نه تنها نسبت به تعدادی از سوءاستفاده‌های مخرب آسیب پذیر شده، بلکه نیازهای رو به افزایش بازار دیجیتال به این معنی است که برای انتخاب بین ایجاد و بازرسی ترافیک رمزگذاری شده با سرعت‌های پایین دیروزی و یا محافظت نکردن از برخی از تعاملات و داده‌ها، تصمیم سختی در پیش‌رو خواهد بود.

خبر خوب برای مشتریانFortinet  این است که FortiOS 6.2 به طور کامل از TLS 1.3 برای بازرسی واسطه‌ی موثر و با کارایی بالا پشتیبانی می‌کند. Fortinet چندین سال است که بازرسی واسطه‌ی SSL و TSL را ارائه می‌کند. آخرین نسخه‌ی FortiOS 6.0، نه تنها به طور کامل از TLS 1.2  واسطه پشتیبانی می‌کند، بلکه هنگامی که باید با TSL 1.2 مذاکره کند نیز اتصال TSL 1.3 را قطع نخواهد کرد. علاوه بر این، راه حل‌های Fortinet شامل پردازنده‌های امنیتی سفارشی می‌باشند که امکان بازرسی SSL و TSL با بالاترین عملکرد در صنعت را فراهم می‌کنند. این را می‌توان در نتایج آزمایش فایروال NSS Labs 2018 که برروی ترافیک HTTPS انجام شده است، مشاهده کرد.

همانطور که تحولات دیجیتال نیازهای جدید برای ارائه اطلاعات و برنامه‌های سریع‌تر و غنی‌تر می‌آفریند، نتیجتا امنیت نیز باید با همین روند تکامل یابد. در غیر این صورت، برای نوآوری به یک محدودیت تبدیل شده، بر موفقیت یک سازمان تأثیر گذاشته و یا سازمان را در معرض خطر بیشتری قرار خواهد داد.

TLS 1.3 یکی از آن نوآوری‌های امنیتی است که کسب و کار دیجیتالی را ممکن می‌سازد. یادگیری در مورد پیامدهای آن و اطمینان حاصل کردن از اینکه ابزارهای امنیتی مورد استفاده قابلیت پشتیبانی از نیازها و ویژگی‌های جدید و مزایای TSL 1.3، بسیار حائذ اهمیت می‌باشد.

برچسب ها : کاربرد Transport Layer Securityآموزش TLSمزایای Transport Layer Securityراه اندازی TLSTLS چیستمعرفی TLSامنیت وببررسی TLSتعریف TLSکاربرد TLSمزایای TLSمفهومTLSمعایب TLSقابلیت های TLSامکانات TLSاجرای TLSTransport Layer Security چیستدرباره TLSبررسی Transport Layer Securityعملکرد TLS

مطلب مفید بود؟

 
بیشتر بخوانید