We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

"Net Secure" autentifikavimas ir šifravimas


oles@ovh.net
04-01-2010, 12:48 AM
Laba diena,

Paskutinieji įvykiai sukėlė vidines diskusijas, kuriomis norime pasidalinti su jumis. Jūsų atsiliepimai būtini, kad galėtume imtis tinkamų veiksmų. Iš esmės, reikia praplėsti ribas ir manome, kad tai turi padaryti prieglobos teikėjas.

Štai mūsų mintys.

Egzistuoja technologijos, šifruojančios tinklu perduodamus duomenis. Žinoma, kalbame apie SSL ir „skaitmeninius raktus“, dar žinomus kaip „sertifikatai“. Sertifikatus, ne tik šifruojančius duomenų mainus tarp kliento/serverio ar serverio/serverio, bet ir autentifikuojančio asmenis. Kadangi šios technologijos valdomos 2-3 Amerikos gigantų (manau žinote, kurių) šių technologijų naudojimas ribojamas kaina. Niekam ne paslaptis, kad SSL kainuoja santykinai brangiai ir net nusipirkus sertifikatą jis neįdiegiamas automatiškai. Norite paprasčiau? Per daug techninių problemų? Trūksta patirties? Tingite? Bet kuriuo atveju taip yra todėl, kad technologijos nėra nemokamos ir jeigu niekas negali jų naudoti, niekas ir nenaudos. Taip pat egzistuoja daug problemų, kurių rezultatas toks: reikėtų, kad vienas Amerikos gigantas (žinote, apie ką kalbu) perimtų žiniatinklio pašto sesiją iš Kinijos, kur visi žino, kad visas duomenų srautas praeina per valstybinę ugniasienę, ir būtinai išsinuomoti SSL. Visai neseniai vienas Prancūzijos IPT įdiegė SSL "mano abonemente". Tai puslapis, kuriame įvedate prisijungimo vardą ir slaptažodį. O dažniausiai mūsų klientai siūlo "mano abonementą" be informacijos šifravimo. Atsiranda fišingas, SPAM, įsilaužimai, paketų perėmimas ir to pasekmės - nuo informacijos vagysčių iki baudų ar kelių metų už grotų, kadangi mes garsiai galvojame apie tai, apie ką kiti nedrįsta nė pasvajoti.

Tai pastebėjome prieš kelis metus. Dėl šios priežasties jau 3 metus siūlome nebrangius SSL sertifikatus. Po to per 12 mėnesių dar 3 kartus sumažinome šių technologijų kainą.

Atėjo laikas, kai reikia judėti dar toliau ir pateikti šias technologijas į sistemų administratorių ir plėtotojų rankas, o ne palikti kelių Amerikos kompanijų (žinote, kurių) rankose, kurios parduoda sertifikatus per brangiai.

Kelias savaites atlikinėjome SSL sertifikatų testavimą adresu https://test.ovh.com. Ačiū už jūsų komentarus, kurie padėjo pasistūmėti šiame projekte iki „Net Secure“.

OVH nemokamai skirs SSL sertifikatus ne tik OVH registruotiems, bet visiems OVH saugomiems domenams. Įskaitant „wildcarts“ ir „konteinerius“. Taip pat bus teikiama garantija nuo 1 euro už 1 klasę iki 1 000 000 eurų už EV. Visiškai nemokamai, tačiau turėsite saugoti savo domeną OVH, priegloboje ar skirtajame serveryje. Taigi, nemokamai suteiksime laisvę pagal jūsų norus. Tikslas dvigubas: pirma, padarysime šias technologijas prieinamas, panašiai kaip „open source“ ir išpopuliarinsime jas tarp sistemų administratorių, galutinių vartotojų ir lankytojų. Po to sukursime visiškai saugų tinklą ne tik teisine, bet ir kasdieninio naudojimo prasme.

Norime sistemų administratorius išmokyti naudoti SSL ne vien žiniatinkliui (https), bet ir su POP3, IMAP ir SMTP. Šių 3 protokolų variantas S (SSL) neturėtų būti pasirinkimo reikalas, tokia problema turėtų išsispręsti savaime. Todėl su serveriais duosime visiškai nemokamus SSL sertifikatus.

Savo žiniatinklio pašte integruosime „asmeninius sertifikatus“, kuriuos galėsite aktyvuoti vienu spragtelėjimu. Taigi, visi iš jūsų paskyros išsiųsti laiškai bus pasirašyti jūsų sertifikatu. Laišką gavęs asmuo bus tikras, kad jūs siuntėte laišką ir laiškas nebuvo pakeistas trečiųjų asmenų, tai užtikrina viešasis raktas. Pasirašysite laiškus privačiuoju raktu ir galėsite patikrinti parašą privačiuoju. Galvojame, kad po 12-18 mėnesių įtrauksime tokį tikrinimą serverių lygmenyje ir galėsime automatiškai tikrinti visus laiškus. Po to, remdamiesi parašu, suklasifikuosime laiškus kaip SPAM arba ne SPAM. Šią informaciją įtrauksime į SPAM aptikimo algoritmą.

Galiausiai pasiūlysime „asmeninius sertifikatus“, kad pakeistume prisijungimo vardo/slaptažodžio metodą „soft-token“ metodu. Todėl, norėdami prisijungti prie savo abonemento, tvarkytuvo ar „kliento erdvės“, galėsite pamiršti prisijungimo vardą bei slaptažodį ir naudoti savo sertifikatą. Pamirškite fišingą, įsilaužimus, paketų perėmimą. Informacija ne tik šifruojama, bet jūs autentifikuojatės, todėl serveris „žino“, su kuo keičiasi informacija. Tai pažangi technologija, kurią OVH siūlys norėdama „saugaus mokėjimo“ paslaugą tikrai apsaugoti. Negalvojame prašyti įvesti ir išsaugoti jūsų kortelės numerio, kad išvengtume klaidų, kurias padarė kiti. Žinote mano požiūrį, visada yra amerikietiški gigantai. Ir jokio Europos giganto prekyboje! Ar tai normalu?

Turime savo žiniatinklio paštą, kurį galite saugiai naudoti be prisijungimo vardo/slaptažodžio, pakanka jūsų sertifikato. Galite pasirašyti ir tikrinti savo siunčiamų ir gaunamų laiškų parašus. Tai ideali vieta siūlyti jums saugias paslaugas ir ilgalaikį saugojimą (30 metų). Be to, kiekvienas gautas dokumentas pasirašomas ir turi juridinę galią, kadangi negalite nei keisti dokumento datos, nei jo redaguoti. Sakysite, kad dokumentai saugomi nešifruoti. Tai paprasta. Jūsų saugyklai priskiriame šifravimo sluoksnį ir visi jūsų dokumentai automatiškai užšifruojami naudojant jūsų viešąjį raktą. Išsaugomi užšifruoti duomenys ir niekas negali jų skaityti be jūsų privataus rakto. Bendrai naudojamai erdvei niekas netaikoma... Ech, „seifinės saugyklos“, kurias siūlo kai kurie draudėjai ar bankai. Technologinis pokštas... Mūsų saugyklos su autentifikacija, šifravimu, paliekamu laiko įrašu, yra „protingos“, todėl į jas galima siųsti algalapius ar sąskaitas - faktūras. Tiesiog el. paštu! Pasirašykite dokumentus, tikrinkite, kas juos pasirašė ir klasifikuokite dokumentus saugykloje. Automatiškai!

Asmeniniai 1 klasės sertifikatai grindžiami 1 elementu, pvz., el. pašto adresu. 3 klasės grindžiami 3 elementais ir atitinka „akis į akį“, juos galėsite naudoti... pašte ar banke. Be to, Prancūziško IDeNum projekto dėka, asmeniniai sertifikatai Prancūzijoje pasirodys 5 metų bėgyje. Jau dabar, pranešant apie pajamas, reikalingas toks sertifikatas, kurį galite įsigyti už kelis eurus „protingos kortelės“ palaikymui. Tai kodėl nesubendrinus ir nepanaudojus šio sertifikato žiniatinklyje? Pamirškite VISUS prisijungimo vardus ir slaptažodžius visose svetainėse, supaprastinkite savo gyvenimą, apsaugokite savo pirkimus, identifikuokitės taip. Įdėkite savo kortelę ir naršykite saugiai.

Kalbame apie 5 metus. Apsiribokime 2015. Manome, kad iki to laiko reikia pradėti visus sistemų administratorius pripratinti prie „Net Secure“. Tačiau, jeigu, neatsižvelgiant į nemokamai teikiamas technologijas, lankytojai ir toliau naudos http, tikrins laiškus per POP3 ir siųs nepasirašytus laiškus, tai bus sistemų administratorių kaltė, kadangi jie nebus atlikę savo darbo.

1 žingsnis - paslaugų be šifravimo pardavimas už didesnę kainą. Kitaip sakant, jeigu norėsite naudoti „nešifruotas“ OVH paslaugas, mokėsite daugiau. Dvigubai brangiau 2015, trigubai 2016... Ir 10 kartų brangiau 2025. Nenorite? Jeigu nenorite, turėsite naudoti tik šifruotas ir apsaugotas paslaugas už nepakitusią kainą. 2 žingsnis yra sunkesnis kelias. Galvojame, kad nuo 2025 sumažinsime neapsaugotų protokolų resursus ir duomenų pralaidumą. Po to 3 žingsnis. Nuo 2030visos nesaugios paslaugos bus pašalintos iš mūsų tinklo ir „Net Secure“ taps mūsų prieglobos tinklo realija.

Tuo pat metu, prieigos prie interneto lygmenyje, OVH pasiūlys VDSL, grįstą ateities VDSL2-S. Tai 34 Mbps simetrinė prieiga prie interneto vienoje vario laidų poroje su integruotu šifravimu. Nemaišykite to su VPN, kuris yra IP sluoksnio paslauga.

Be to, šiuo metu dirbame su Amerikos giganto įranga (žinote mano nuomonę), kad atitiktume VDSL2-S normatyvus, kurie užtikrins ne tik patrauklų greitį, bet ir šifravimą galiniuose taškuose. Viskas atliekama OSI 2 sluoksnyje, kur integruojamas Ethernet paketų autentiškumas su MAC sertifikatu ir šifravimu tarp maršrutizatorių, modemų ir komutatorių. Kiekvienas MAC turės savo sertifikatą ir negalės komunikuoti su kitais MAC, kol tarpusavyje neapsikeis MAC sertifikatais. Be to, jeigu MAC neturi leidimo, jis negalės komunikuoti su kitais MAC. Iš esmės, tai toks pat kaip SSL principas. Skirtumas tik toks, kad sertifikatai integruoti MAC lygmenyje, todėl galima sukurti šifruotus tunelius tarp MAC ir IP ir taip saugiai sujungti darbo vietą su galine svetaine, esančia ne mūsų tinkle, viskas bus atliekama automatiškai. Niekas negalės perimti paketų, net mūsų administratoriai. Pasitikėjimas yra gerai. Pasitikėjimo plėtojimas tarp technologijų - dar geriau. Ši technologija mūsų laboratorijoje veikia, tačiau turime našumo problemų. Pagalvokite patys, reikia šifruoti galybę informacijos labai labai žemame lygmenyje. Manome, kad ši problema bus išspręsta, kai pasirodys 8 branduolių CPU, kuriuos mūsų partneriai integruos tiesiai į komutatorius 2960-S. Visi skirtųjų serverių klientai galės naudotis OSI 2 lygmenyje apsaugotu tinklu ir nereikės naudoti VLAN, privataus VLAN ar apsaugoto „switchport“ režimo. Kol kas turime techninių nesklandumų, kadangi saugumą užtikrinanti technologija neprieinama.

Visiems šiems projektams OVH paskirta 10 metų. Jeigu jie bus sėkmingi, tai tik todėl kad jūs naudosite šias technologijas. Ir jeigu jūs naudositės, vadinasi, jūs sutinkate su mūsų išvadomis ir dauguma, kuri pageidauja sureguliuoti šiandienos internetą ir rytoj pasiūlyti „Net Secure“.

Ačiū už jūsų nuomonę.

Pagarbiai,
Octave