Der Internet Engineering Council (
IETF) hat einen
Entwurf eines neuen Protokolls veröffentlicht - Message Layer Security (MLS). Seine Mission ist es, sicheres Messaging zwischen zwei Geräten bereitzustellen. Es beschreibt abstrakte Datenstrukturen, die nicht nur in Chat-Anwendungen, sondern auch für die Arbeit mit
TLS 1.3 und JSON verwendet werden können. Lassen Sie uns über die Prinzipien von MLS sprechen.
/ Foto Rama CCIETF-Ingenieure haben zwei Dokumente veröffentlicht. Der erste
beschreibt die Messaging-Systemanforderungen für die Implementierung des MLS-Protokolls und der zweite
beschreibt das MLS-Protokoll selbst .
Informationen zur Messaging-Architektur
Der Messaging-Dienst (Messaging-Dienst) umfasst zwei Dienste, die die Sicherheit beim Empfangen / Senden von Nachrichten überwachen.
Der erste ist der Authentifizierungsdienst. Er ist verantwortlich für die Sicherheit personenbezogener Daten - Login, Telefonnummer sowie ein eindeutiges Schlüsselpaar zur Identifizierung von Kunden.
Der zweite - Zustelldienst - speichert und verteilt Schlüssel für den Austausch verschlüsselter Nachrichten zwischen Clients. Der Lieferservice arbeitet nur mit den Daten, die für die Nachrichtenübermittlung benötigt werden, und berührt keine persönlichen Informationen über Absender. Dies begrenzt den „Footprint“ von serverseitigen Metadaten.
In vielen Systemen werden Bereitstellungs- und Identifikationsdienste durch eine einzelne logische Entität oder einen Server dargestellt. In MLS sind dies jedoch zwei separate Komponenten. Die Autoren haben beschlossen, diese Prozesse zu trennen, damit MLS mit offenen Autorisierungsprotokollen wie
OAuth verwendet werden kann .
Dies bietet einen weiteren Vorteil. Selbst wenn der Messaging-Dienstanbieter die Authentifizierungs- und Übermittlungsprozesse steuert, werden Metadaten zuverlässig geschützt. Der Anbieter kann keine verschlüsselten Nachrichten mit öffentlichen Schlüsseln verknüpfen.
Wie MLS funktioniert
Messaging-Benutzer werden zusammengefasst. Um eine Gruppe zu erstellen, „fügen“ die Teilnehmer ihre UserInitKey-Schlüssel hinzu und bilden ein
Geheimnis . UserInitKey ist ein wichtiges
Diffie-Hellman- Paar und dient zur Initialisierung einzelner Benutzer.
Das Protokoll verwendet zwei Arten von
Binärbäumen . Der erste - der
Merkle-Baum (es ist ein Hash-Baum) - dient dazu, die Echtheit der von Mitgliedern der Gruppe durchgeführten Operationen zu bestätigen. Der zweite Typ - Ratschenbaum - wird verwendet, um ihre Geheimnisse zu extrahieren.
Die Gruppe kann die folgenden grundlegenden Operationen ausführen:
- Fügen Sie ein neues Mitglied der Gruppe hinzu (erstellen Sie einen Dialog).
- Aktualisieren Sie die geheimen Informationen der Gruppenmitglieder.
- Löschen Sie ein Mitglied der Gruppe.
Wenn ein Mitglied der Gruppe A einen Dialog mit B und C erstellen möchte, lädt es zuerst deren Initialisierungsschlüssel (InitKeys) herunter. Diese Schlüssel werden dann verwendet, um GroupAdd-Nachrichten zu bilden, die die Mitglieder B und C hinzufügen sollen.
GroupAdd-Nachrichten werden an die gesamte Gruppe gesendet und in der Reihenfolge B und C verarbeitet. Wenn ihre Antworten auf A zurückkehren, wird der Gruppenstatus aktualisiert und "Neuankömmlinge" angezeigt. Alle anderen Nachrichten, die von Systemmitgliedern gesendet wurden, bevor sie in die Gruppe aufgenommen wurden, werden ignoriert.
Im Gegensatz zu TLS und DTLS enthält das neue Protokoll nicht die Handshake-Phase als solche. MLS verwendet die sogenannten Handshake-Nachrichten. Die Teilnehmer an der Korrespondenz tauschen sie jedes Mal aus, wenn Sie ein neues Mitglied der Gruppe hinzufügen oder entfernen müssen.
Die Handshake-Nachricht enthält eine spezielle Nachricht zur Statusänderung der Gruppe sowie GroupInitKey, damit ein neues Mitglied initialisiert werden kann, und die Signaturen eines der aktuellen Mitglieder der Gruppe zusammen mit dem Merkl-Beweis (um die „Authentizität“ der Person zu überprüfen, die unterschrieben hat).
Was erwartet MLS?
Vertreter von Google, Mozilla, Twitter, MIT, dem französischen Forschungsinstitut
INRIA und der Wire-Kommunikationsplattform waren
an der Entwicklung der Architektur und der Anforderungen für MLS beteiligt. Das Protokoll selbst wurde von Mitarbeitern von Cisco, Facebook, Google und der Universität Oxford erstellt.
/ Fotobuchkatalog CCDas Schicksal des Protokolls wird nächsten Monat entschieden , wenn der IETF-Vorstand zusammentritt, um die Optionenentwürfe erneut zu erörtern. Wenn alles reibungslos verläuft, wird MLS in einem Jahr von der IESG (Internet Engineering Steering Group) genehmigt und zum Standard.
Was wir in IT-GRAD tun: • IaaS • PCI-DSS-Hosting • Cloud -152
Inhalt aus unserem IaaS-Unternehmensblog: