圖片來源: 

UK GOV

英國網路安全中心(National Cyber Security Centre,NCSC)在部落格發表文章,表示即將到來的TLS 1.3,對企業的安全性產生負面影響。

NCSC表示,由於電商興起,所以為確保連線的安全性,因此加密的需求上升,使用範圍不只在於網路交易,也擴及到了企業內部的連線,幾乎所有類型網站以及服務都支援TLS,這原本是一件好事,但是現在釣魚網站或是惡意連線為了取信於使用者,也都利用TLS隱藏其真實意圖。

不少企業會解開內部TLS連線,檢查其中內容以確保企業安全,但這並不是指暴力破解,而是因為企業安全性設備有其認證授權機制,客戶端會同意這些裝置的窺探,而安全性設備通常也會設置一份忽略檢查的白名單,像是健保、銀行以及其他涉及個人隱私網站,以保護員工的敏感資料不被監控。同時,被判斷為低風險的連線也會退出代理連接,降低檢驗成本。

但是,這些行為將在TLS 1.3有大改變,且會讓企業的安全性管控變得困難,NCSC表示,企業的安全設備將無法使用白名單功能,因為伺服器認證的資料也被加密,所以如果企業要完全管控安全性,就必須要連那些含有個人敏感資料的連線一同破解,也就大大的傷害了員工的隱私性。而且NCSC說,在TLS 1.3中,一開始使用代理伺服器就必須全程使用,無法中途退出,因此也不能在判斷連線為低風險時,退出代理。

這表示無論連線需不需要,當企業想要完全掌握連線安全性,就必須強迫企業內連線全部使用代理伺服器,除了侵犯隱私外,也大大增加了設備以及電力的成本。由於TLS 1.3對連線進行更嚴謹的加密,NCSC提到,這將會增加企業安全事件調查的難度,因為許多可用資料將難以取得,無疑的TLS 1.3對個人隱私提供了更完全的保護,但對於企業安全則產生負面影響。

Google資深軟體工程師Adam Langley在自己的部落格寫到,在網路上有許多對於TLS 1.3的誤解,尤其當英國政府出來聲明,且許多人開始引用為證據時,他必須站出來破解這些迷思。

Adam Langley表示,會發生NCSC所述情形,其中一項關鍵問題是連線認證資料在TLS 1.3中被加密這項功能。一部分原因是要讓瀏覽更加的安全且維持使用者隱私,因為沒有加密的東西便會造成一些額外的問題。Adam Langley明確指出,TLS 1.3很難部署,因為在連線交握階段就已經在網路暴露。他認為TLS早就應該透過壓縮認證來提高TLS的效率,但直到TLS 1.3才被實現。

惡意連線之所以難以被發現,是因為客戶端可能被惡意軟體控制並且企圖欺騙代理伺服器,而且認證又是與實際互動的伺服器緊密綁定,也就是說認證並無法發揮作用,其原因在於只要連接該伺服器,任何網站的認證,以及來自該認證ServerKeyExchange上的有效簽名都能被輕易地取得。

Adam Langley說,因此企業應該擔心,惡意軟體的CNC伺服器(Command and Control Server)回傳信譽良好的網站認證企圖欺騙代理伺服器,而且在惡意軟體伺服器與客戶端互相掩飾之下,無論代理伺服器介入或是執行加密檢驗,都無法發現不法的行為,因為這樣的設計有根本上的缺陷,這才是企業真正應該面對的安全性問題。


Advertisement

更多 iThome相關內容