dxdt.ru: занимательный интернет-журнал

Продолжаем рассматривать старые заметки dxdt.ru. В марте 2012 года (десять лет назад), например, опубликована пара заметок про древние оптические телеграфы и их возможную защиту от прослушивания и подмены сообщений: “Как древние греки с факелами и оптическим телеграфом могут обезопасить себя от подобной техники “прослушивания” канала связи? Есть простой способ: греки должны использовать разные шкалы сообщений, синхронно заменяя их на постах связи по расписанию, после передачи каждого сообщения. Шкалы отличаются интервалами времени, обозначающими каждое сообщение, и расположением сообщений”.

Другая заметка озаглавлена “Закрытый Интернет будущего” (в 2012 году такой заголовок всё ещё идёт на правах “технократического юмора”): “[…] известно, что сделать такой “закрытый” Интернет можно. Но нужно не только ограничить сервера по белому списку и фильтровать протоколы, а, прежде всего, строго контролировать программное обеспечение, доступное пользователям. Если вы разрешаете работать с Интернетом только “правильным” программам, в которых нет функции “сделать стеганографическую вставку в эту фотографию, которую я только что снял на мобильный телефон”, то проблема решается сама собой”. Современная тенденция немного иная: наметилось активное движение в сторону расщепления глобальной Сети на некие слои, соответствующие тем или иным приложениям – фольклорным воплощением этого движения является, например, общепринятый сейчас массовый бег из, условных, фейсбуков, в “мессенджеры типа Telegram”, опять же, условные.

Третья заметка из 2012 года о конспирологических “техноартефактах”, оказавшиеся реальностью: “Например, хорошо отработанная со всех сторон идея о “зомбоизлучателе”, который наводит голоса в голове. На поверку оказывается, что технология такая есть, да и не одна”. Что касается голосов, то, конечно, речь идёт об ультразвуковых источниках и о (теоретической) микроволновой схеме. Обязательно прочитайте комментарий к той заметке – там про системы тотальной слежки.

Традиционная записка к Новому году.

В 2021 году заметки на dxdt.ru продолжали выходить. Кроме того, я выпустил небольшое (но зато ежегодное) обновление технического описания TLS и написал несколько статей про важные интернет-технологии. Вообще, публикации именно на dxdt.ru за несколько лет сдвинулись в сторону математики и методов защиты информации, а из других привычных для этого блога направлений, периодически получающих одну или две новых заметки, остаются только радиолокация, системы связи и технологии передачи информации (см. ссылки ниже). Посмотрим, как будет дальше. Пока что я предполагаю, что станет больше математических заметок, но это всего лишь попытка угадать направление. Сайт dxdt.ru регулярно публикует заметки с 2005 года (архив сейчас доступен с 2006, но проект старше). Не сказать, что вот прямо очень долго, но, с другой стороны – всё же 16 лет. Статистика WordPress показывает, что на сайте сейчас 2608 заметок.

С наступающим Новым годом! Спасибо, что читаете.

Небольшая подборка публикаций dxdt.ru за 2021 год:

• TLS для DevOps;
• Доверенные программы для обмена сообщениями;
• Хитрости записи корней уравнений;
• Из практики: домашняя 3D-печать;
• Наземные терминалы Starlink как элементы радара.

На сайте ТЦИ опубликована моя статья, рассказывающая о технологии ECH (Encrypted Client Hello) и её, возможном, месте в современном наборе защищённых транспортов данных глобальной Сети. ECH – это развитие технологии ESNI, однако от ESNI всё ушло уже достаточно далеко.

На сайте ТЦИ опубликована очередная моя статья. На этот раз о том, как DNS может использоваться для размещения информации, необходимой для работы других протоколов. Например, в DNS могут размещаться криптографические ключи, нужные для установления соединения со скрытым сервисом. Конечно, имя, выбранное для размещения ключей, вовсе не обязательно должно совпадать с именем скрытого сервиса: извлечённые из DNS ключи позволят и расшифровать настоящее имя или адрес “точки входа”, и защитить трафик ещё до установления соединения. Почитайте:

Весьма вероятно, что в ближайшие несколько лет DNS сильно укрепит свою роль в работе Интернета, став источником информации, необходимой для гибкой, адаптирующейся под изменения сетевого транспорта, настройки протоколов на стороне клиента.

https://tcinet.ru/press-centre/articles/7511/

Цитата из моей статьи, опубликованной в “Открытых системах” в 2019 году, про развитие методов контроля над интернет-трафиком:

Среди перспектив развития систем контроля трафика (именно контроля) можно отметить пропуск только авторизованного трафика. Конечно, такой вариант пока кажется фантастикой. Авторизация трафика — это развитие схемы с белыми списками. В этом случае доступ по спискам IP-адресов и имен не ограничивается, но промежуточные узлы пропускают только трафик, который содержит специальные криптографические маркеры, подтверждающие его легитимность. Коммуникация остается двусторонней, поэтому маркеры выставляются источником и получателем — приложениями, работающими на оконечных узлах, а также всеми промежуточными узлами. Для генерации валидных маркеров требуется секретный ключ, который находится внутри приложения, а для получения ключа приложение должно пройти сертификацию.

https://www.osp.ru/os/2019/01/13054741

На сайте ТЦИ моя статья, рассказывающая, на этот раз, о технологии DNSSEC, которая позволяет удостоверить адресную информацию в DNS.

Для приложения, умеющего проверять DNSSEC-подписи, выстраивая цепочку доверия от локальной копии корневого ключа, становится не так важно, является ли доверенным доступный источник DNS-записей, например, резолвер провайдера доступа.

“DNSSEC: доверие по цепочке“

На сайте ТЦИ опубликована моя статья о технологиях DNS-over-HTTPS и DNS-over-TLS, о том, как эти технологии повлияют на развитие Интернета, на методы блокирования доступа и фильтрации трафика – “DNS-доступ под защитой: DoT и DoH“. Цитата:

Может показаться, что провайдер доступа и так знает по IP-адресам все узлы, к которым обращается пользователь, а поэтому просмотр DNS-запросов не даёт никакой новой информации. Это не так. Дело в том, что DNS предоставляет информацию другого уровня — уровня приложений, поэтому позволяет, в том числе, собирать данные, принципиально недоступные на более низком уровне. Прежде всего, DNS раскрывает имена узлов, а это совсем не то же самое, что IP-адреса. Часть DNS-трафика относится к различным вспомогательным протоколам (например, каталогизация на стороне приложения адресов доступных узлов, обращения к которым по IP может и не происходить). DNS играет важную служебную роль во многих протоколах, раскрывая их специфические характеристики (примеры здесь разнообразны: инструменты для майнинга криптовалют, мессенджеры, системы телеконференций, системы IP-телефонии и так далее).

В блоге Cloudflare подробная статья, рассказывающая популярно про технологию сокрытия имени сервера в TLS: Encrypted Client Hello (ECH).

ECH является полностью переработанным вариантом ESNI, однако, как пишут в статье, от ESNI на серверах Cloudflare пока отказываться не собирается, но лишь по той причине, что спецификация ECH ещё не достигла нужной “степени готовности”. Cloudflare сейчас является крупнейшим провайдером веб-доступа, поддерживающим ESNI и, собственно, единственным сервисом с массовой поддержкой этой технологии. При этом спецификация ESNI – так и не достигла статуса RFC, превратившись, на стадии очередного черновика, в ECH.

(Как работает ESNI – можно посмотреть на моём тестовом сервере https://tls13.1d.pw/, а вот поддержку ECH я ещё не собрался дописать.)

На сайте ТЦИ опубликована моя статья с результатами измерения распространённости поддержки TLS 1.3 на HTTPS-узлах Рунета. Под Рунетом подразумеваются имена второго уровня в зонах .RU, .SU, .РФ. Измерялось наличие поддержки TLS 1.3 для TCP-соединений на номере порта 443 (это номер HTTPS). TLS 1.3 уже довольно широко поддерживается, несмотря на относительную новизну протокола. Описание методики и результаты – в статье.