Я существенно расширил техническое описание TLS в новой версии. Добавил: раздел про симметричные шифры (с описанием AES), описания криптосистем RSA и ECDSA, существенно расширил описание протокола Диффи-Хеллмана; кроме того – дополнил и актуализировал весь текст целиком. Объём вырос почти в два раза – и, да, там много информации, но зато хорошо охвачены технические моменты. На мой взгляд, теперь это одно из самых полных и детальных описаний TLS на русском. Естественно, есть что дописать в следующей версии: расширенное описание атак, подробности про шифры, приложение с глоссарием по математическому аппарату (тут мне оказалось довольно сложно заморозить версию: исходники всё время обрастают новыми деталями, которые я потом отношу к “слишком техничным”), приложение с примерами конфигураций серверов (надеюсь, что в самом обозримом будущем) и другие дополнения. Это кроме того, что скоро должна выйти из состояния draft новая версия спецификации – TLS 1.3 (или 2.0, или как её обозначат), в которой куча радикальных изменений, а поэтому придётся добавить отдельную главу (сейчас я уже внёс некоторые оговорки по тексту, акцентирующие внимание на запланированных отличиях в новой версии).

И, да, наверное нужно сделать там хорошую навигацию – пока добавил только содержание, – и гипертекст.

Надеюсь, что это полезный текст. Вот ссылка: “Как работает ТLS, в технических подробностях“.

(Добавлять ли раздел, посвящённый постквантовым криптосистемам?)



Комментарии (2) »

В контексте новой волны обсуждений разных “шпионских приложений – игр для смартфонов” особенно занятно то, что сам по себе смартфон, оказывается, мало кого пугал. Пока там не появилась очередная сверхпопулярная игра (специально не называю). Сошлюсь, пожалуй, на свою записку, опубликованную почти три года назад: “Эволюция телефонного аппарата как персонального жучка“.



Комментарии (1) »

Проникновение TLS в Рунете (для HTTPS) за год выросло в три раза. Об этом статья (местами – несколько техническая, но это важные подробности) на сайте проекта “Нетоскоп” – данные проекта statdom.ru, в рамках которого собирается статистика TLS. Если тенденция сохранится, что скоро практически весь веб-трафик будет передаваться по защищённым каналам. Ещё раз напомню: для всех “самых обычных” сайтов HTTPS, в современных условиях, необходим, так как обеспечивает целостность (собственно, об этом я пишу и в статье по ссылке).



Комментарии (1) »

В самом конце прошлого года вышел второй номер журнала “Интернет изнутри” (он издаётся при поддержке “МСК-IX”). Журнал рассказывает детали о технологиях, лежащих в основе Сети, посвящая читателя (предполагается, что это достаточно подготовленный читатель) в особенности применения тех или иных решений. Например, во втором номере – статьи про утечки маршрутов (BGP) и рефлекторные атаки. В этом номере также опубликована моя большая статья про TLS: “TLS: двадцать лет спустя”. Журнал доступен в формате PDF на сайте – рекомендую.



Комментарии (2) »

Написал для издания TheRunet колонку про тотальное шифрование в вебе – в меру сил продвигаем использование TLS. Небольшая цитата:

Кроме правильного применения шапочки из фольги, важно не прийти к выводу, что HTTPS не делает вашу приватность «более приватной». Делает, ещё как: никакие теории заговора и «разоблачения Сноудена» не могут отменить того факта, что при использовании защищённого протокола в вашу сессию чтения новостного сайта не вмешается взломщик-одиночка, перехвативший управление устаревшей WiFi-точкой интернет-кафе, где вы расположились в компании с печеньками и чашечкой горячего напитка. Но не нужно чрезмерно доверять HTTPS. Если вы вдруг решили, что у вас есть какие-то действительно секретные сведения (а это является маловероятным: вспомните, что веб пока что не зашифрован полностью, поэтому откуда бы этим секретным сведениям взяться?) — защищать их нужно другими способами.



Comments Off on “Данные в непрозрачных пакетах”

Частота появления новых записок на dxdt.ru снизилась, и вот почему: я за это время написал большой текст про TLS, рассказывающий как этот протокол работает в подробностях. Несмотря на то, что изложение начинается с истории разработки TLS – это технический, ориентированный на специалистов, текст, подразумевающий некоторую подготовку у читателя: местами протокол разобран буквально до байта (в качестве примеров я рассматриваю дампы TLS-сессий). Подробных русскоязычных описаний для TLS очень мало, а протокол этот получает всё большее распространение – неправильное понимание принципов работы TLS ведёт к неприятным ошибкам в реализациях сервисов, которые его используют. Поэтому, думаю, такое описание будет полезно.

Описание я планирую дополнять, потому что, несмотря на объём, охвачены ещё не все аспекты, которые хотелось бы рассмотреть. Сейчас в деталях рассмотрены такие ключевые моменты, как установление соединения (Handshake) и логика построения обмена сообщениями – это основа основ TLS. В ближайших планах: раздел, разбирающий современные шифры (в различных режимах работы), пояснения про использование криптографии на эллиптических кривых. Вероятно, будут исходники на С, поясняющие некоторые моменты реализаций. Конечно, нужен структурный путеводитель по RFC, имеющим отношение к TLS (их великое множество). Для того, чтобы получился полноценный тематический сайт я выделил проекту отдельный адрес: https://tls.dxdt.ru/. (Правда, пока там многое нужно оформить.)

Если есть какие-то поправки, уточнения, пожелания по новым темам (про что написать подробнее) – сообщайте, пожалуйста, либо мне почтой, либо в комментарии к этой записке.

Сам текст:

Ключи, шифры, сообщения: как работает TLS



Комментарии (12) »

На F-35 есть немало негативных характеристик. Вот ещё одна, приписываемая неназванному лётчику-испытателю: в статье сообщают, что испытатель, попытавшийся противостоять F-16 в маневренном бою, пришёл к выводу, что F-35A для маневренного боя вообще не подходит. В самом тексте, правда, ничего неожиданного нет: “недостаточная энерговооружённость”, “малые скорости поворота” и другие стандартные при описании маневренного боя недостатки. Сегодня на том же сайте опубликовали исходное сообщение – отчёт пилота, на который ссылались раньше – тоже занимательный документ. Конечно, странно ожидать от F-35 каких-то успехов в маневренном бою с более совершенными, в этом плане, истребителями из 70-х.



Комментарии (5) »

Чтобы не пропадал домен pwd4.me и выпущенный для него SSL-сертификат – сделал там одностраничный генератор паролей (который, хоть и использует Web Crypto API, – а поэтому работает только в современных браузерах, – но может быть признан лишь “учебным”). Кстати, HTTPS в подобных сервисах необходим, чтобы обезопасить пользователей от инъекции Javascript-кода.



Комментарии (5) »

В Wired.com статья, рассказывающая о том, как Крис Робертс (Chris Roberts) попытался вмешаться в управление авиалайнером, находившимся в воздухе, с борта этого лайнера, и теперь агенты ФБР изъяли у Робертса компьютерное оборудование, которое собираются “обыскать”.

В исходном запросе ФБР есть некоторые подробности о том, как специалист пытался “перехватить управление” самолётом: он специально выбрал место, неподалёку от которого находится лючок, позволяющий получить доступ к кабелям и коннекторам бортовой информационной системы, и напрямую подключился в сеть при помощи “модифицированного кабеля”. Дальше в ход пошли Kali Linux и знания об архитектуре бортового ПО. Утверждается, что пассажир смог изменить режим работы одного из двигателей, это как минимум.

Мне сложно сказать, можно ли таким способом действительно получить доступ к системе управления самолётом, но на гражданских воздушных судах всякое случается, в плане конструкции, а многие кабели там действительно идут в доступности из салона, что обусловлено требованиями по обслуживанию. В теории, система управления должна быть изолирована физически, но на практике, когда для принятия важных решений пилоты используют обычные планшеты фирмы Apple, можно полагать, что никакой реальной защиты от проникновения продвинутых пассажиров в бортовых системах действительно нет, чем и воспользовался Робертс. Скажем, сеть управления, как указано в технических требованиях, может быть разделена с “развлекательной сетью”, предназначенной для пассажиров, но между этими сетями существует программный шлюз, работающий на каком-нибудь из множества бортовых компьютеров.

В общем, таки не зря запрещали раньше пользоваться компьютерной техникой на борту, не зря. Просто, теперь забыли о реальных причинах, стоявших за вводом столь “абсурдного требования”.



Комментарии (3) »
Навигация по запискам: « Позже Раньше »