NOW 07

ΣΕΠΤΕΜΒΡΙΟΣ 2019 #24 περιττές επιδόσεις στην κατανάλωση του δικτύου. Με την πάροδο των χρόνων, οι ερευνητές (αλλά και οι επιτιθέμενοι) ανακάλυψαν μεγάλο αριθμό ευπαθειών σε πολλά συστατικά του TLS 1.2, συμπεριλαμβανο- μένων των αλγορίθμων ανταλλαγής κλειδιών, της κρυπτογράφησης και των ψηφιακών υπογραφών. Σε αυτές ανήκουν τα γνωστά Heartbleed και BERserk, ωστόσο υπήρχαν και ευπάθειες του ίδιου του πρωτοκόλ- λου που αφορούσαν κακές αποφάσεις σχεδιασμού σε προηγούμενες εκδόσεις TLS, δηλαδή πριν από το TLS 1.2. Παρόλο που η πλειονότητα των σφαλμάτων διορθώθηκε στο TLS 1.2, τα τρωτά σημεία του σχεδι- ασμού του πρωτοκόλλου δεν μπορούσαν δυστυχώς να διορθωθούν με τη χρήση μόνο μιας ενημερωμένης έκδοσης κώδικα λογισμικού. Και όπως αποδείχτηκε τελικά, για την πλήρη λύση των προβλημάτων χρει- άστηκε η IETF να επανασχεδιάσει πλήρως το πρωτόκολλο handshake στην έκδοση TLS 1.3. Υπήρξαν πολλές ανησυχίες για την ασφάλεια του TLS, όμως μία από τις σημαντικότερες ήταν η συνειδητοποίηση ότι το TLS 1.2 (όπως και όλες οι παλαιότερες εκδόσεις) ήταν ευάλωτο σε επι- θέσεις υποβάθμισής του, εξαιτίας ενός ελλείμματος στο σχεδιασμό του πρωτοκόλλου handshake. Ειδικότερα, το TLS 1.2 δεν χρησιμοποιούσε ψηφιακές υπογραφές για την προστασία της ακεραιότητας της χειρα- ψίας. Οι υπογραφές προστάτευαν ένα μέρος της χειραψίας, μόνο μετά τη διαπραγμάτευση με κρυπτογράφηση. Έτσι, οι επιτιθέμενοι μπορού- σαν να χειραγωγήσουν τυχόν διαπραγματεύσεις κρυπτογράφησης τρί- των μερών που συμβαίνουν στο ίδιο δίκτυο υπολογιστών και να ανα- γκάσουν τη χρήση ενός ανασφαλούς κρυπτογράφου. Στη συνέχεια, θα μπορούσαν να σπάσουν αυτή την ευάλωτη κρυπτογράφηση και να αποκτήσουν αδικαιολόγητη πρόσβαση σε ολόκληρη τη συζήτηση. Θέματα απόδοσης του TLS 1.2 Εκτός από τα θέματα ασφάλειας, η ανάγκη του TLS 1.2 να διαπραγ- ματεύεται πολυάριθμες παραμέτρους TLS μπορεί να επιβάλει αυ- ξημένες επιδόσεις στις HTTPS συνδέσεις, ή σε άλλες προστατευμέ- νες από το TLS επικοινωνίες. Η χειραψία τεσσάρων βημάτων στο TLS 1.2 απαιτεί δύο ανταλλαγές κυκλικής εκκίνησης, με επιλογή αρχικά της κρυπτογραφικής σουίτας και την ανταλλαγή στη συ- νέχεια των πιστοποιητικών και των συμμετρικών κλειδιών. Αυτό σημαίνει ότι για κάθε σύνδεση TLS απαιτούνται δύο πρόσθετες συναλλαγές με το διακομιστή. Ως αποτέλεσμα αυτών των λειτουρ- γιών, οι συνδέσεις TLS απαιτούν περισσότερο εύρος ζώνης και μεγαλύτερη ισχύ από το (μη κρυπτογραφημένο) HTTP, το οποίο μπορεί να είναι ιδιαίτερα δαπανηρό για εφαρμογές IoT, όπου η κα- τανάλωση μικρής ισχύος και εύρους ζώνης αποτελούν αυστηρούς περιορισμούς. Θέματα ιδιωτικότητας του TLS 1.2 Το TLS 1.2 διαθέτει επίσης ευπάθειες που σχετίζονται με θέματα του ιδιωτικού απόρρητου των χρηστών. Ειδικότερα, το TLS προσφέρει μια επέκταση που είναι γνωστή ως Ένδειξη Ονόματος Διακομιστή ή SNI (Server Name Indication). Το SNI επιτρέπει στο όνομα του δια- κομιστή να περιλαμβάνεται στην αρχική χειραψία SSL. Η επέκταση αυτή χρησιμοποιείται για εικονική φιλοξενία, όπου οι διακομιστές μπορούν να εξυπηρετούν πολλούς τομείς στην ίδια IP διεύθυνση και θύρα (port), ενώ παρουσιάζουν ένα διαφορετικό πιστοποιητικό για κάθε τομέα. Στο TLS 1.2 τα SNI αποστέλλονται χωρίς κρυπτογράφη- ση και επομένως παρά τη χρήση του HTTPS, ένας εισβολέας δικτύου μπορεί να προκαλέσει διαρροή αυτών των πληροφοριών και να πα- ρακολουθήσει τις ιστοσελίδες που επισκέπτεται ένας χρήστης. Πώς διορθώνονται όλα αυτά τα προβλήματα με το TLS 1.3; Το TLS 1.2 (όπως και οι παλαιότερες εκδόσεις) επικεντρώθηκε στη διατήρηση της συμβατότητας προς τα πίσω. Κάθε νεότερη έκδοση βασίστηκε στις προηγούμενες, με μικρές αναθεωρήσεις που προ- σπαθούσαν να εξαλείψουν τα τρωτά σημεία των προηγούμενων. Δυστυχώς όμως, αυτό σήμαινε ότι οι αποφάσεις του κακού σχε- διασμού των πρωτοκόλλων (όπως η μη προστατευμένη χειραψία) κληρονομούνταν και στις νεότερες εκδόσεις. Το TLS 1.3 εγκατέλει- ψε τη συμβατότητα προς τα πίσω υπέρ ενός κατάλληλου σχεδίου ασφαλείας. Έτσι λοιπόν, το TLS 1.3 σχεδιάστηκε από το μηδέν για να παρέχει λειτουργικότητα παρόμοια (αλλά όχι και συμβατή) με το TLS 1.2, με σημαντικά όμως βελτιωμένη ασφάλεια, απόδοση και ιδιωτικότητα. Ασφάλεια του TLS 1.3 Βασική αρχή του TLS 1.3 είναι η απλότητα και στην έκδοση αυτή έχουν αφαιρεθεί όλοι οι αλγόριθμοι ανταλλαγής κλειδιών, εκτός Το TLS 1.3 είναι απλούστερο, ταχύτερο και διαθέτει βελτιωμένη ασφάλεια. 1 Εμφάνιση χρονολογικά των εκδόσεων του TLS και του SSL. 2