IETF godkender nye internet-standarder til sikker godkendelse poletter

0
11

Nul

Internet Engineering Task Force (IETF) – den organisation, der udvikler og fremmer Internet-standarder,– har godkendt tre nye standarder i denne uge designet til at forbedre sikkerheden for autentifikation tokens mod “replay-angreb.”

Godkendelse møntefterligninger, der bruges overalt på nettet i disse dage. Når en person logger ind på sin Google-eller Facebook-konto, en godkendelse token er genereret og gemt i en cookie-fil i brugerens browser.

Når brugeren får adgang til Google eller Facebook site, i stedet for at bede brugeren om at indtaste han/hendes legitimationsoplysninger igen, brugerens browser giver hjemmesiden brugerens godkendelse token.

Men autentificering tokens har ikke kun været brugt med en browser cookies og hjemmesider. De er også brugt inde i OAuth-protokollen, JSON Web Token (JWT) standard, og en masse af offentlige eller private biblioteker gennemfører en token-baseret godkendelse, som ofte bruges sammen med Api ‘ er og enterprise software-løsninger.

Hackere har fundet ud af for længe siden, at de kunne stjæle disse tokens i stedet for at brugeres adgangskoder og adgang til konti uden at det er nødvendigt at kende et kodeord. Sådanne angreb er kendt som “replay-angreb.”

I denne uge, med bidrag fra både Google, Microsoft og Kings Mountain Systems engineers, IETF har formelt godkendt tre nye standarder, der har til formål at beskytte en token-baseret godkendelse systemer:

RFC 4871 – Token Bindende Protokol, Version 1.0 RFC 4872 – Transport Layer Security (TLS) for Udvidelse til Token Bindende Protokol NegotiationRFC 4873 – Token er Bindende over HTTP

Disse tre standarder er beregnet til at tilføje et ekstra lag af sikkerhed for, at processen med at skabe og forhandle om en ny adgang/ – godkendelse token.

Den overordnede idé er at skabe en forbindelse mellem brugerens enhed og token, så selv om en hacker formår at optage et token, han vil ikke være i stand til at udføre et replay angreb, medmindre han ved hjælp af nøjagtigt den samme enhed eller en enhed konfiguration af den token, der blev skabt på.

På det tekniske plan, i henhold til RFC 4871, dette kan gøres ved at kundens enhed, som genererede et par af en privat og en offentlig nøgle. Det optimale scenarie ville være, hvis begge taster blev genereret inde i en sikker hardware modul, såsom en PC ‘ s TPM (Trusted Platform Module), som er uløseligt forbinder den private nøgle med hardware.

Disse to nøgler (den private nøgle, der er lagret på brugerens PC og en offentlig nøgle til en ekstern server) er derefter anvendt til at signere og kryptere dele af forhandlingerne trin udføres, før generere den faktiske godkendelse token, hvilket resulterer i en hardware-afhængige symbolsk værdi.

I teorien, det lyder godt.

Da størstedelen af web-trafik, der i dag er krypteret, den nye Token Bindende protokol, der er blevet specielt designet omkring TLS handshake proces, der sker, før en TLS-krypteret session er etableret.

Protokollen forfattere siger, at de har udviklet token bindende proces, for at undgå at tilføje ekstra runde ture til TLS handshake proces, hvilket betyder, at der ikke vil være nogen unødvendig performance hit til de eksisterende servere.

Opdateringer til browsere og servere vil være nødvendigt for at støtte de tre Rfc ‘ er, Tal Være’ery, medstifter og Sikkerhed Research Manager ved KZen Netværk, fortalte ZDNet i et interview.

Den forsker, der også påpegede, at den nye Token Bindende protokol, er ikke nødvendigvis begrænset til bindende tokens på hardware niveau alene, og kan også arbejde og sikkert binde tokens på software niveau, hvilket betyder, at det kan blive gennemført næsten overalt.

“Det kan bruges til noget, der kommunikerer og behov for at opretholde en session,” Være’ery sagde. “Der omfatter Ti enheder, så godt.”

I øjeblikket, Token Bindende protokol er blevet designet omkring TLS 1.2, men det vil også være modificeret til at arbejde med nyere TLS 1.3.

RELATEREDE DÆKNING:

Det er 2018, og netværk middleware stadig ikke kan håndtere TLS-uden at bryde krypteringOpenSSL 1.1.1 ud med TLS-1.3 support og ‘komplet omskrivning” af RNG komponentWeb-hosting-udbydere tager tre dage i gennemsnit at svare til rapporter om misbrugDHS ordrer føderale agenturer til at styrke cybersecurity med HTTPS, e-mail-godkendelse (TechRepublic)Efter Facebook ‘ s hack, er der en masse ubrugelig efter brud rådgivning (CNET)

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre

0