TLS 1.3 является обязательным в США? ETSI предупреждает о хаосе
По данным Европейского института стандартов электросвязи (ETSI), американское агентство по кибербезопасности NIST намерено установить шифрование транспорта TLS 1.3 в качестве стандарта в своих органах власти и, таким образом, создает серьезные угрозы безопасности.
Переход должен произойти к январю 2020 г.
Европа опубликовала заявление для агентства кибербезопасности США, в котором предсказывала катастрофические последствия для сторонников TLS 1.3. Переход может нанести огромный ущерб, и решение будет озадачивающим и удивительным. Инженерная рабочая группа Интернета имела в виду прямо противоположное при разработке нового поколения безопасности транспортного уровня, а именно, явный шаг к большей конфиденциальности и безопасности. Даже если предыдущие версии должны оставаться разрешенными на данный момент, очевидно, что нечего встряхивать при реализации технологии безопасности в качестве нового руководства.
Запрет европейским экспертам по безопасности
Переход с TLS 1.2 на TLS 1.3 имеет прямое влияние на мониторинг и контроль в Интернете. Это затрагивает частных пользователей, а также крупные компании, банки и органы власти. Каждый, кто использует облако, должен знать, что версия 1.3 включает функцию безопасности, называемую прямой секретностью. Цель разработки этой технологии заключалась в том, чтобы злоумышленник мог получить доступ к текущему сеансу Интернета только в чрезвычайной ситуации, что было бы достаточно плохо. По крайней мере, у него нет доступа к предыдущим сеансам. В целом новая версия намного безопаснее.
ServerHello, и все — больше никакого простого текста
В принципе, все слабые места версии 1.2 устранены. Особое внимание было уделено поддержке прямой секретности, что означает, что получить доступ к ранее переданным данным с помощью украденного ключа практически невозможно. В отличие от прошлого, в сообщениях рукопожатия все без исключения зашифровано. Вежливость сменяется анонимностью. Этот факт вызывает энтузиазм у охранников США, потому что даже самые проницательные профессионалы больше не могут получить к нему доступ.
Сначала ввести GDPR, а потом вместе с хакерами пожаловаться на слишком большую защиту данных?
Они сумасшедшие, европейцы. Чем дольше вы думаете об этом, тем чаще возникает мысль, что это немного шизофренично. Просто позвольте этому подействовать на вас на мгновение:
критики из Европы реагируют на значительные улучшения в вариантах шифрования. Они хвалят поддающиеся проверке уязвимые предыдущие версии, которые были связаны с атаками грубой силы и всевозможными другими сценариями ужасов. Странно, правда? Теперь каждый может составить собственную теорию заговора по возможным мотивам. Может быть, кто-то хотел бы знать, что здесь и там открываются небольшие лазейки с властями США … о нет, оставим это. Это была просто идея, возможно, совершенно абсурдная.
Может ли шифрование быть слишком безопасным?
Может, утверждает европейский ETSI. В некоторых компаниях, особенно в государственных органах и банках, является обязательным следить за своей собственной деятельностью в Интернете и анализировать данные или их передачу из предыдущих сеансов Интернета. Цель — выявить бреши в безопасности. Для этого потребуется дополнительное расширение, интегрированное непосредственно в протокол шифрования. Теоретически теперь можно было определить, кто будет читать секретные данные «под прикрытием». Однако американцы его придерживаются и отказываются давать кому-либо полномочия на это. Таким образом, они, похоже, не доверяют мотивам ETSI, и мы немного разочарованы тем, что переход на TLS 1.3 не получил такого одобрения со стороны экспертов в этой стране. Это дает нам глубокое понимание и подтверждает, что мы продолжим предоставлять независимую информацию о защите данных и безопасности в Интернете.
Те: Heise.de; Фото: pixabay.com