Veebi turvalisuse parandamine jõudlust ohverdamata

Tee kodutöid! (Juuli 2019).

Anonim

Võimalik, et loete seda artiklit veebibrauseris, mis kasutab HTTPSi, protokoll, mille kaudu andmeid veebibrauseri ja veebisaidi kasutajate vahel on ühendatud. Tegelikult läbib HTTPS-i umbes ligi pooled veebiliiklusest. Vaatamata "S" turvalisusele "HTTPS", see protokoll ei ole kaugeltki täiesti turvaline.

"HTTPS-i ökosüsteem on näinud pika ja mõnevõrra masendavat vea seeriat, " ütleb Bryan Parno, arvutiteaduste ja elektri- ja arvutitehnikate dotsent. "See on pidev tsükkel: viga, paanika, parandamine. Viga, paanika, probleem."

Parno ütleb, et probleem seisneb selles, et täna on tarkvaraga kaasas vähe turbe tagatisi. Traditsiooniliselt saavad müüjad ründest tingitud haavatavuste pärast teada ja seejärel väljastavad selle konkreetse rünnakuga parandamise plaadi.

Vancouveri USENIXi turvasümpoosionil esitatud paberil näitasid Parno ja teadlaste meeskond uut programmeerimisvahendit "Vale", mis võimaldab suure jõudlusega krüptograafilise koodi kontrollimist korrektseks ja turvaliseks. Meeskond demonstreeris oma kinnitusviisi HTTPS-i ökosüsteemi mitme krüptograafilise komponendi suhtes.

"Meie oli üks esimesi tõestatud koodi demonstratsioone, mis toimivad sama kiiresti või kiiremini kui kontrollimata kood, " ütleb Parno. "Kinnitatud tähendab, et teil on tegelikult formaalne matemaatiline tõestus selle kohta, et kogu kood, mis moodustab need HTTPS-i komponendid, vastab tegelikult mõnele kõrgtaseme turvalisuse spetsifikatsioonile."

Üks peamisi põhjuseid, miks veebisaidid on kinnitatud HTTPS-i kinnitatud koodi kasutamisel, on see, et siiani on enamik kinnitatud koodi teinud tunduvalt aeglasemalt kui kontrollimata koodi. Veebisaidi ja kasutaja vahel toimuv aeglasem andmeedastus muudab madalama kvaliteediga kogemuse.

Lisaks sellele, et krüptograafilised komponendid olid õiged, näitas meeskond nende kontrollisüsteemi edukust vastupidavuse tõendamisel kahe kõige populaarsema sidekanali rünnaku jaoks: ajastusrünnakud - milles vastane kasutab taotluse esitamise ja vastuvõtmise vahelist ajaviivitust krüpteerimisvõtme ja mäluruumi rünnakute kohta käivate andmete tuletamiseks, milles vastane jälgib ohver mälupääsu jagatud andmetöötluskeskkonnas, et leida krüpteerimisvõti.

Aga Parno hoiatas: kui see on lähedal, ei ole nende kontrollisüsteem HTTPS-i kuulikindel vest. Tõendamine sõltub suuresti turvalisuse spetsifikatsioonist, mida arendajad selle toidab.

"Te olete ainult nii hea kui teie spetsifikatsioon, " ütleb Parno. "Asjad, mida te ei suutnud oma spetsifikatsioonis lüüa, võivad endiselt haavatavaks rünnata."

Uuringu muud autorid olid Microsofti teadlased Barry Bond, Chris Hawblitzel, K. Rustan M. Leino, Jacob R. Lorch ja Srinath Setty, Michigani ülikooli Manos Kapritsos, Austani Texase Ülikoolist Ashay Rane ja Laure Cornelli Ülikooli Thompson.

menu
menu