В связи с успехами проектов квантовых компьютеров опять рассказывают про закат современной криптографии, а рассказывать-то нужно о том, что постквантовый криптографический мир наступит раньше, чем будут созданы опасные квантовые компьютеры (если их вообще создадут). Более или менее точное описание ситуации, укладывающееся в одно предложение гласит: предполагается, что на универсальном квантовом компьютере можно будет реализовать специальный [&]

https://dxdt.ru/2019/12/21/8845/

Добавил к техническому описанию TLS совсем краткое приложение, рассказывающее про DNS-over-HTTPS и DNS-over-TLS как примеры использования TLS для защиты других протоколов. Так как это приложение, и оно небольшое, основную версию документа решил не менять. Вообще, в этом году обновлений для описания TLS получилось не так много. В июле я внёс исправления и уточнения в основной [&]

https://dxdt.ru/2019/12/10/8843/

На Wired небольшая заметка (англ.) о том, что системы искусственного интеллекта, которые построены на основе популярных сейчас методов машинного обучения, могут содержать в себе алгоритмические закладки, приводящие, в случае активации, к неожиданным эффектам. Это довольно старая тема, но сейчас она начинает проникать в популярные СМИ. Речь идёт о том, что на этапе обучения в систему [&]

https://dxdt.ru/2019/11/25/8840/

Microsoft сообщает, что планирует внедрить поддержку DNS-over-HTTPS и DNS-over-TLS в ОС Windows. На ресурсе D-Russia.ru  мой комментарий по этой теме.

https://dxdt.ru/2019/11/22/8838/

Много сообщений о том, что Интернету 29 октября 2019 года исполнилось 50 лет. В качестве точки отсчёта приводят факт обмена сообщениями между двумя компьютерами, которые находились на большом удалении (600 км)  этот обмен, согласно записям, произвели 29 октября 1969 года (Charley Kline, UCLA и SRI). Это событие, впрочем, моментом возникновения Интернета  не является. [&]

https://dxdt.ru/2019/10/29/8834/

Очень много сообщений про DNS-over-HTTPS в Firefox, про то, что внедрение этого протокола, якобы, позволяет обходить любые блокировки и DPI. Между тем, DNS-over-HTTPS (DoH) в Firefox  это способ сокрытия DNS-запросов и DNS-ответов от третьей стороны, причём скрываются только запросы от браузера до рекурсивного резолвера (подразумевается, что до резолвера Cloudflare). Заметьте, что использование DoH не [&]

https://dxdt.ru/2019/09/14/8826/

Что может сделать небольшой гражданский дрон (беспилотник) в случае, если из-за помех нет связи с пультом управления и также потерян сигнал спутниковой навигации? Понятно, что самое простое  это попытаться относительно медленно спуститься вниз и приземлиться. Такой вариант обычно и запрограммирован. Но оператору хотелось бы, чтобы дрон вернулся к нему в любом случае, если не [&]

https://dxdt.ru/2019/08/26/8824/

Некоторое время назад в СМИ обсуждалось введение в Казахстане обязательного TLS-сертификата, который требовалось установить на клиентские устройства, что позволяло выполнять прозрачный перехват TLS-трафика. Эта история уже не новая: такая же схема обсуждалась в Казнете несколько лет назад. Внедрение этого, весьма спорного, метода анализа защищённого трафика в 2019 году вызвало бурные возражения. В итоге: период, когда [&]

https://dxdt.ru/2019/08/09/8819/

Выпустил (некоторое время назад) очередное обновление технического описания протокола TLS. Обновление не очень большое, тем не менее: во-первых, я перечитал весь текст и внёс мелкие правки, дополнения и исправления (в частности, исправил ряд опечаток, обнаруженных читателями); во-вторых, добавил краткое описание ESNI (технологии, позволяющей передавать имя сервера в защищённом виде); в третьих, опубликовал короткое приложение под [&]

https://dxdt.ru/2019/08/05/8815/

На сайте Statdom.ru (это проект Технического Центра Интернет) опубликована статистика по проникновению технологии ESNI в российских национальных доменных зонах. Напомню, что ESNI позволяет скрыть имя сервера, с которым соединяется клиент, при установлении TLS-соединения. Сейчас ESNI поддерживается браузером Firefox. На стороне сервера с поддержкой пока не очень хорошо, но Cloudflare её уже реализовали, поэтому заметное количество [&]

https://dxdt.ru/2019/07/18/8811/

Добавил поддержку TLS 1.3 (это самая свежая версия протокола) на сервере, где работает dxdt.ru. Сейчас на сервере доступны только TLS 1.3 и TLS 1.2 (все более ранние  я отключил). Так как поддержка актуальной версии TLS требует подходящей версии Apache (собранного с веткой OpenSSL 1.1.1), то пришлось перейти с операционной системы CentOS 7 на Fedora [&]

https://dxdt.ru/2019/06/30/8809/

Под спутниковыми интернетами здесь подразумевается предоставление глобального широкополосного доступа к Интернету спутниковой группировкой. Таких систем предлагается несколько, а сами аппараты уже начали запускать: например, Starlink и OneWeb. Я уже писал, что подобная спутниковая система является отличной платформой для создания универсального орбитального радара, предназначенного для наблюдения за поверхностью Земли. В этот раз речь о другом: насколько [&]

https://dxdt.ru/2019/05/28/8792/

(Записка с перечнем поддерживаемых элементов протокола TLS 1.3. Чтобы не потерялось.) Тестовый сервер TLS 1.3 на tls13.1d.pw: 1. Версия протокола: 1.3 (0x0304), Draft-28 (совпадает с 1.3, кроме номера версии) и Draft-23 (в этой версии есть небольшие отличия в алгоритмах от 1.3, версия до сих пор встречается на практике). Вообще, draft-версии соответствуют черновикам RFC, протокол реализовывался [&]

https://dxdt.ru/2019/05/23/8788/

Некоторое время назад тестовый сервер TLS 1.3, который я реализовал и, в меру сил, поддерживаю по адресу tls13.1d.pw, продемонстрировал свою практическую полезность. А я забыл об этом написать на dxdt.ru  соответственно, пишу сейчас. Тестовый сервер поддерживает сочетание HelloRetryRequest (HRR) и ESNI (зашифрованное поле SNI). То есть, сервер иногда отправляет клиенту запрос на пересогласование параметров [&]

https://dxdt.ru/2019/05/23/8785/

Существенная часть информации о TLS-соединении доступна системам инспекции трафика (DPI). Чаще всего, конечно, упоминается поле SNI (Server Name Indication), в котором передаётся имя сервера. Для маскировки SNI в TLS 1.3 уже предложен дополнительный механизм Encrypted SNI. Версии TLS ниже 1.3 подразумевают передачу серверных TLS-сертификатов в открытом виде (на начальном этапе установления соединения). В состав сертификата [&]

https://dxdt.ru/2019/05/17/8773/

Речь о протоколе, который скрывает метаинформацию о самом факте обмена сообщениями. Какими свойствами должен обладать такой протокол? Можно ли что-то подобное вообще реализовать на практике? Прежде чем такие вопросы более или менее содержательно формулировать, нужно, конечно, выбрать модель угроз. Предположим, что стоит задача устойчивого обмена короткими сообщениями (тексты и фотографии низкого разрешения) через тот или [&]

https://dxdt.ru/2019/05/09/8770/

Подробное описание того, как работает (на практике) технология ESNI (зашифрованное поле SNI TLS), в текущей draft-версии. В качестве примера я использую тестовый сервер tls13.1d.pw, где ESNI поддерживается (а поддерживающий браузер  это Firefox свежих версий, но ESNI там нужно включить, вместе с DNS-over-HTTPS). Введение ESNI требует публикации данных в DNS, а также наличия дополнительного секретного [&]

https://dxdt.ru/2019/04/17/8759/

Ракета, стартующая на далёкой планете.

https://dxdt.ru/2019/04/12/8755/

Речь про Интернет. Скрытые сервисы, это замаскированные сервисы, которые внешне неотличимы от каких-то обычных сервисов, но выполняют другую функцию. Своего рода стеганография на уровне установления соединения. Хороший пример  прокси-сервер, имитирующий обычный веб-узел, доступный по HTTPS. Для обнаружения скрытого сервиса нужно знать секретный ключ. Например, для веб-узла, который является прокси, логика такая: клиент, установив соединение, [&]

https://dxdt.ru/2019/04/02/8751/

Пара статей, которые вышли некоторое время назад. В Открытых системах опубликована моя статья про фильтрацию и блокировки в Интернете. В основном, с точки зрения использования метаинформации для обеспечения избирательности фильтров, применительно к DNS и Вебу (здесь рассматривается HTTPS), но и про возможное развитие в разрезе маршрутизации трафика тоже немного порассуждал, в разделе Перспективы и фантастика.Ссылка: [&]

https://dxdt.ru/2019/03/17/8743/