Hacker News

HTTPS mai ƙarfi kuma mai inganci

Sharhi

12 min read Via security.googleblog.com

Mewayz Team

Editorial Team

Hacker News

Agogon yana kan ɓoye-ɓoye na yau - Kuma Yawancin Kasuwanci ba su da Ra'ayi

A duk lokacin da abokin ciniki ya ba da biyan kuɗi, sa hannu a cikin dashboard, ko aika saƙo ta hanyar dandalin ku, HTTPS ta yi shiru tana kiyaye waɗannan bayanan ta amfani da algorithms na sirri waɗanda suka dage tsawon shekaru. Amma ana ci gaba da aikin girgizar ƙasa. Kwamfutoci masu ƙima - inji waɗanda ke yin amfani da baƙon ilimin kimiyyar lissafi na babban matsayi da haɗe-haɗe - suna gabatowa da sauri ikon rusa tushen lissafi na RSA, ECDSA, da musayar maɓallin Diffie-Hellman. Barazanar ba ta ka'ida ba ce kuma. A cikin 2024, NIST ta kammala ƙa'idodinta na farko guda uku bayan jimla cryptography (PQC). Google, Cloudflare, da Apple sun riga sun fara tura algorithms masu jure juriya a samarwa. Ga duk kasuwancin da ke watsa bayanai masu mahimmanci akan intanit - wanda shine ingantaccen kowane kasuwanci - fahimtar adadin HTTPS mai aminci ba zaɓi bane. Yana da mahimmancin aiki.

Me yasa HTTPS na Yanzu Za Ta Karye Karkashin Harin Jumla

HTTPS na yau ya dogara da TLS (Transport Layer Security), wanda ke amfani da asymmetric cryptography yayin lokacin musafaha don kafa sirrin raba tsakanin abokin ciniki da uwar garken. Tsaron wannan musafaha ya dogara da matsalolin lissafi waɗanda kwamfutoci na gargajiya ba za su iya magance su yadda ya kamata ba: ƙirƙira manyan integers (RSA) ko ƙididdige logarithms masu hankali akan lanƙwasa elliptical (ECDH). Kwamfuta mai ƙarfi mai ƙarfi da ke aiki da Algorithm na Shor zai iya magance duka biyun a cikin lokaci mai yawa, rage abin da zai ɗauki na'urar kwamfuta ta gargajiya miliyoyin shekaru zuwa sa'o'i ko mintuna kaɗan.

Babban abin ban tsoro shine dabarun "girbi yanzu, zazzagewa daga baya" dabarun da 'yan wasan kasa na kasa ke amfani da su. Maƙiya suna yin rikodin zirga-zirgar ɓoyayyiyar hanya a yau tare da niyyar zame shi da zarar kwamfutoci masu yawa suka girma. Bayanan kudi, bayanan kiwon lafiya, mallakar fasaha, sadarwar gwamnati - duk abin da aka kama a cikin wucewa yanzu ya zama mai rauni a baya. Hukumar tsaron kasar ta yi gargadin cewa wannan barazanar ta shafi duk wani bayanan da dole ne su kasance cikin sirri fiye da shekaru 10, wanda ya kunshi galibin muhimman bayanai na kasuwanci.

Ƙididdiga sun bambanta akan lokacin da kwamfutar ƙididdiga mai dacewa (CRQC) zata zo. Taswirar hanya ta IBM tana kaiwa 100,000 qubits ta 2033. Google ya nuna matakan gyara kuskuren ƙididdiga tare da guntun Willow ɗin sa a ƙarshen 2024. Yayin da CRQC mai iya karya 2048-bit RSA na iya zama 10-15 shekaru baya, ƙaura zuwa ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙaura dole ne fara aiwatar da ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun bayanai na tarihi. abubuwan more rayuwa na duniya.

Sabbin Matsayi: ML-KEM, ML-DSA, da SLH-DSA

Bayan tsarin kimantawa na shekaru takwas da ya haɗa da gabatarwa daga masu rubutun ra'ayin yanar gizo a duk duniya, NIST ta buga ka'idodin cryptographic guda uku a cikin watan Agusta 2024. Waɗannan algorithms an tsara su don tsayayya da hare-hare daga duka kwamfutoci da kwamfutoci na gargajiya, suna tabbatar da tsaro na dogon lokaci ba tare da la'akari da saurin haɓaka kayan aikin ƙididdigewa ba.

ML-KEM (Tsarin Maɓallin Ƙirar Maɓallin Maɓalli-Lattice, tsohon CRYSTALS-Kyber) yana sarrafa ɓangaren musanya na musafaha TLS. Yana maye gurbin ECDH ta hanyar amfani da taurin lissafi na gyare-gyaren matsalolin lattice, waɗanda ba za su iya jurewa ba har ma da kwamfutoci masu yawa. ML-KEM yana da inganci sosai - maɓallan maɓallansa sun fi ECDH girma (kusan 1,568 bytes na ML-KEM-768 da 32 bytes don X25519), amma ƙididdiga sama da ƙasa kaɗan ne, sau da yawa sauri fiye da ayyukan lanƙwasa elliptic na gargajiya.

ML-DSA (Module-Lattice-Based Digital Signature Algorithm, tsohon CRYSTALS-Dilithium) da kuma SLH-DSA (Stateless Hash-Based Digital Signature Algorithm, tsohon SPHINCS+) adreshin ingantacciyar hanyar sadarwa - yana tabbatar da cewa wane ne ke haɗa uwar garken. ML-DSA yana ba da ƙananan sa hannu waɗanda suka dace da yawancin aikace-aikace, yayin da SLH-DSA ke ba da ra'ayin mazan jiya dangane da ayyukan hash kawai, yana ba da zurfin tsaro idan zato na tushen lattice ya taɓa raunana.

Yanayin Haɗe-haɗe: Hanyar Prgmatic zuwa Kiyaye Kiɗa

Babu wani injiniyan tsaro da ke da alhakin canza canjin dare. Madadin haka, masana'antar ta haɗu a kanHarkokin matasanwanda ya haɗu da algorithm na al'ada tare da ƙididdigar ƙididdiga a cikin kowane musafaha TLS. Idan algorithm na jimla bayan ƙididdigewa ya zama yana da raunin da ba a gano shi ba, algorithm na gargajiya har yanzu yana kare haɗin. Idan kwamfuta mai ƙididdigewa ta karya algorithm na al'ada, algorithm ɗin bayan-ƙira yana riƙe da layi. Kuna rasa tsaro ne kawai idan an lalata su a lokaci guda - yanayin da ba zai yuwu ba.

Chrome da Firefox sun riga sun goyi bayan musayar maɓalli na matasan X25519Kyber768 ta tsohuwa tun farkon 2025, ma'ana miliyoyin haɗin HTTPS yau da kullun sun riga sun kasance amintattu a gefen maɓallin musayar. Cloudflare ya ba da rahoton cewa sama da kashi 35% na zirga-zirgar sa na TLS 1.3 yana amfani da yarjejeniyar maɓalli bayan jimla. AWS, Microsoft Azure, da Google Cloud duk sun gabatar da zaɓuɓɓukan TLS masu aminci ga ƙididdiga don ayyukan sarrafa su. Canjin yana faruwa da sauri fiye da yadda yawancin kasuwancin ke fahimta.

Kudin ƙaura zuwa HTTPS mai aminci ana auna shi a cikin sa'o'in injiniya da zagayowar gwaji. Ana auna farashin rashin ƙaura a cikin sulhu na dindindin na kowane sirrin kasuwancin ku da aka taɓa watsa. Haɗin kai yana kawar da buƙatar zaɓi tsakanin tsaro da taka tsantsan - kuna samun duka biyun.

Haqiqanin Aiki: Latency, Bandwidth, and Handshaking Overhead

Daya daga cikin abubuwan da suka fara damu game da bayanan ƙididdiga na ƙididdiga shine lalacewar aiki. Manya-manyan maɓalli da sa hannu suna nufin ƙarin bytes akan waya da yuwuwar musafaha a hankali. Aiki na zahiri na duniya ya nuna waɗannan damuwar ana iya sarrafa su sosai, amma ba sifili bane.

Don musayar maɓalli, ML-KEM-768 yana ƙara kusan 1.1 KB zuwa musafaha TLS idan aka kwatanta da X25519 kaɗai. A cikin yanayin haɗaɗɗiyar (X25519 + ML-KEM-768), jimlar ƙarin sama da ƙasa kusan 1.2 KB. A kan cibiyoyin sadarwa na zamani, wannan yana fassara zuwa haɓakar latency mara kyau - yawanci ƙasa da millisecond 1 akan hanyoyin haɗin yanar gizo. Bayanan samarwa na Cloudflare bai nuna wani tasiri mai aunawa akan lokutan lodin shafi ba ga mafi yawan masu amfani. Koyaya, akan hanyoyin sadarwa masu takurawa (hanyoyin tauraron dan adam, na'urorin IoT, yankuna masu iyakataccen bandwidth), abin da ke sama zai iya haɓakawa, musamman lokacin da sarƙoƙin takaddun shaida suma suna ɗauke da sa hannun bayan jimla.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Sa hannun tabbatarwa suna ba da babban ƙalubale. Sa hannun ML-DSA-65 kusan 3.3 KB idan aka kwatanta da 64 bytes don ECDSA-P256. Lokacin da kowace takaddun shaida a cikin sarkar ta ɗauki sa hannun bayan ƙididdiga, nau'in sarkar takaddun shaida uku na iya ƙara 10 KB ko fiye zuwa musafaha. Wannan shine dalilin da ya sa masana'antar ke binciko dabaru kamar matsawar takaddun shaida, Takaddun Takaddun Bishiyar Merkle, da haɓaka matakin-TLS don kiyaye girman musafaha a aikace. Kasuwancin da ke tafiyar da dandamali tare da sansanonin masu amfani da duniya - musamman waɗanda ke ba masu amfani da wayar hannu a kasuwannin da ke tasowa - yakamata su gwada waɗannan tasirin a hankali.

Abin da Ya Kamata Kasuwa Su Yi Yanzu: Jerin Tattaunawar Hijira Mai Aiki

Ƙaura-amintaccen ƙaura ba abu ɗaya ba ne amma tsari ne mai tsauri. Ƙungiyoyin da suka fara ƙirƙira abubuwan dogaronsu na sirri a yau za su fi waɗanda ke jiran umarni na tsari. Anan akwai tsari mai amfani don fara sauyi:

  1. Gudanar da ƙididdiga ta sirri. Gano kowane tsari, yarjejeniya, da ɗakin karatu da ke amfani da RSA, ECDSA, ECDH, ko Diffie-Hellman. Wannan ya haɗa da daidaitawar TLS, ƙofofin API, VPNs, sa hannun lamba, ɓoye bayanan bayanai, da haɗin kai na ɓangare na uku.
  2. Ba da fifiko ta hanyar fahimtar bayanai da tsawon rai.Tsarin sarrafa bayanan kuɗi, bayanan kiwon lafiya, takaddun doka, ko bayanan sirri waɗanda dole ne su kasance sirri na shekaru yakamata suyi ƙaura da farko. "Gbibi yanzu, cire bayanan daga baya" yana ba da sirrin rayuwa mafi girma fifiko.
  3. Kaddamar da matasan bayan jimla TLS akan wuraren da ke fuskantar jama'a. Idan kayan aikin ku suna gudana a bayan Cloudflare, AWS CloudFront, ko CDN masu kama da haka, ƙila kun riga kun sami damar yin musayar maɓalli mai aminci. Kunna shi a sarari kuma tabbatar da kayan aikin kamar Qualys SSL Labs ko Buɗewar Quantum Safe na gwajin aikin.
  4. Sabuntawa da ɗakunan karatu na sirri. Tabbatar cewa tarin fasahar ku yana amfani da ɗakunan karatu waɗanda ke goyan bayan ML-KEM da ML-DSA - OpenSSL 3.5+, BoringSSL, liboqs, ko AWS-LC. Matsa zuwa nau'ikan da suka haɗa da aiwatar da NIST-na ƙarshe, ba daftarin juzu'i ba.
  5. Gwajin don dacewa da koma bayan aiki. Babban musafaha na iya yin mu'amala mara kyau tare da akwatunan tsakiya, wutan wuta, da ma'aunin nauyi na gado waɗanda ke sanya iyakokin girma akan saƙonnin TLS ClientHello. Google ya ci karo da wannan a farkon shirin Kyber kuma dole ne ya aiwatar da hanyoyin warwarewa.
  6. Kafa dabarun crypto-agility. Tsare-tsaren ƙira ta yadda za a iya musanya algorithms na sirri ba tare da sake rubuta lambar aikace-aikacen ba. Wannan yana nufin ƙaddamar da ayyukan crypto a bayan hanyoyin daidaitawa da kuma guje wa zaɓukan algorithm masu ƙarfi.
Don dandamali kamarMewayzwanda ke sarrafa bayanan kasuwanci masu mahimmanci a cikin 207 hadedde kayayyaki - daga bayanan CRM da daftarin biyan kuɗi, HR, da nazari - iyakokin dogaro da bayanan sirri yana da mahimmanci. Kowane kiran API tsakanin kayan masarufi, kowane saƙon gidan yanar gizo zuwa sabis na ɓangare na uku, kowane zaman mai amfani ɗauke da bayanan kuɗi ko ma'aikaci yana wakiltar farfajiyar ɓoyewa wanda dole ne a ƙarshe canzawa zuwa ƙa'idodi masu aminci. Platforms tare da tsarin gine-ginen tsaro na tsakiya suna da fa'ida anan: haɓaka ainihin layin TLS da ɗakunan karatu na sirri na iya ɓata kariya a cikin kowane nau'i a lokaci guda, maimakon buƙatar gyara-module-by-module.

Tsarin Tsarin Tsarin Mulki yana Gaggauta

Gwamnatoci ba sa jiran kwamfutoci masu yawa su zo kafin su ba da umarni. Ƙididdigar Tsaro ta Ƙasar Amurka NSM-10 (2022) ta umurci hukumomin tarayya da su ƙirƙira tsarin rubutun su da haɓaka tsare-tsaren ƙaura. Dokar Shirye-shiryen Tsaro ta Yanar Gizo na Ƙididdigar Ƙididdigar Ƙididdigar Ƙididdigar Ƙididdigar Ƙididdigar Ƙididdigar Ƙididdigar Ƙididdigar Ƙididdigar Ƙididdigar Ƙididdiga ta Yanar Gizo na buƙatar hukumomi su ba da fifiko ga ɗaukar bayanan bayanan ƙididdiga. Jagororin shirye-shiryen ƙididdigewa na CISA suna ba da shawarar aikewa da gaurayawan farawa nan da nan. Tsarin takaddun shaida ta yanar gizo na Tarayyar Turai yana haɗa da buƙatun bayan ƙididdiga, kuma masu kula da kuɗi ciki har da Bankin Matsugunan Duniya sun nuna haɗarin ƙididdigewa a cikin jagorar sa ido.

Don kasuwancin da ke aiki a cikin masana'antu da aka tsara - kuɗi, kiwon lafiya, kwangilar gwamnati, SaaS mai tsananin bayanai - ƙayyadaddun ƙayyadaddun lokaci suna ƙara ƙarfi. Kamfanonin da suka ɗauki HTTPS masu aminci da ƙima za su guje wa ɓarna lokacin da aka ba da izini. Mafi mahimmanci, za su iya nunawa abokan ciniki da abokan haɗin gwiwa cewa kariyar bayanan su yana da asusun ajiyar barazanar da ke tasowa, ba kawai na yanzu ba. A cikin kasuwanni masu gasa inda amana ke bambanta, wannan matakin tsaro na gaba yana ɗaukar ƙimar kasuwanci ta gaske.

Gina Makomar Juriya mai Juriya, musafaha ɗaya lokaci guda

Canji zuwa HTTPS mai aminci shine mafi girman ƙaura a cikin tarihin intanit. Yana taɓa kowane uwar garken, kowane mai bincike, kowane app ta hannu, kowane API, da kowace na'urar IoT da ke sadarwa akan TLS. Labari mai dadi shine cewa an kammala ma'auni, abubuwan aiwatarwa suna girma, kuma aikin sama da ƙasa yana tabbatar da sarrafawa. Samfurin tura kayan masarufi yana nufin kasuwanci za su iya ɗaukar juriya na ƙididdigewa da ƙari, ba tare da sadaukar da daidaituwa ba ko ɗaukar haɗarin da bai dace ba.

Abin da ya raba ƙungiyoyin da za su gudanar da wannan sauye-sauye cikin sauƙi da waɗanda za su yi taɗi shine kawai lokacin da suka fara. Ƙarfin ƙira - ikon canza yanayin tsaron ku kamar yadda barazana da ƙa'idodi suka canza - yakamata ya zama ƙa'idar ƙira, ba tunani na baya ba. Don dandamali na kasuwanci da ke sarrafa cikakken bayanan aiki, daga abokan hulɗar abokin ciniki da ma'amalar kuɗi zuwa bayanan ma'aikata da bututun nazari, haƙƙin samun wannan haƙƙin ba zai iya zama mafi girma ba. Makomar ƙididdigewa ba abu ne mai nisa ba. Hijira ce ta fara da tura ku na gaba.

Sanya Kasuwancin ku tare da Mewayz

Mewayz yana kawo nau'ikan kasuwanci guda 207 cikin dandali daya - CRM, daftari, sarrafa ayyuka, da ƙari. Haɗa masu amfani 138,000+ waɗanda suka sauƙaƙa tafiyar aikin su.

Fara A Yau →