El Consejo de Ingeniería de Internet (
IETF) ha publicado un
borrador de un nuevo protocolo: Message Layer Security (MLS). Su misión es proporcionar mensajes seguros entre dos dispositivos. Describe estructuras de datos abstractos que pueden usarse no solo en aplicaciones de chat, sino también para trabajar con
TLS 1.3 y JSON. Hablemos de los principios de la MLS.
/ foto Rama CCLos ingenieros de IETF han publicado dos documentos. El primero
describe los requisitos del sistema de mensajería para implementar el protocolo MLS, y el segundo
describe el protocolo MLS en sí .
Acerca de la arquitectura de mensajería
El servicio de mensajería (Servicio de mensajería) incluye dos servicios que monitorean la seguridad de recibir / transmitir mensajes.
El primero es el servicio de autenticación. Es responsable de la seguridad de los datos personales: inicio de sesión, número de teléfono y un par de claves único para identificar a los clientes.
El segundo, el Servicio de entrega, almacena y distribuye claves entre clientes para intercambiar mensajes cifrados. El servicio de entrega funciona solo con los datos necesarios para la mensajería y no toca información personal sobre los remitentes. Esto limita la "huella" de los metadatos del lado del servidor.
En muchos sistemas, los servicios de entrega e identificación están representados por una única entidad lógica o servidor. Sin embargo, en MLS, estos son dos componentes separados. Los autores decidieron separar estos procesos para que MLS pueda usarse con protocolos de autorización abiertos, como
OAuth .
Esto proporciona otra ventaja. Incluso si el proveedor de servicios de mensajería controla los procesos de autenticación y entrega, los metadatos estarán protegidos de manera confiable. El proveedor no podrá asociar mensajes cifrados con claves públicas.
Cómo funciona MLS
Los usuarios de mensajería están agrupados. Para crear un grupo, los participantes "agregan" sus claves UserInitKey y forman un
secreto . UserInitKey es un par clave de
Diffie-Hellman y sirve para inicializar usuarios individuales.
El protocolo utiliza dos tipos de
árboles binarios . El primero, el
árbol Merkle (es un árbol hash), sirve para confirmar la autenticidad de las operaciones realizadas por los miembros del grupo. El segundo tipo, el árbol de trinquete, se utiliza para extraer sus secretos.
El grupo puede realizar las siguientes operaciones básicas:
- Agregue un nuevo miembro del grupo (cree un diálogo).
- Actualice la información secreta de los miembros del grupo.
- Eliminar un miembro del grupo.
Si un miembro del grupo A quiere crear un diálogo con B y C, primero descarga sus claves de inicialización (InitKeys). Luego, estas teclas se usan para formar mensajes GroupAdd, que deberían agregar los miembros B y C.
Los mensajes GroupAdd se envían a todo el grupo y se procesan en orden de B y C. Cuando sus respuestas regresan a A, el estado del grupo se actualiza y muestra "recién llegados". Cualquier otro mensaje enviado por los miembros del sistema antes de ser aceptado en el grupo se ignora.
A diferencia de TLS y DTLS, el nuevo protocolo no contiene la fase de "apretón de manos" como tal. MLS utiliza los llamados mensajes de apretón de manos. Los participantes en la correspondencia los intercambian cada vez, debe agregar o eliminar un nuevo miembro del grupo.
El mensaje Handshake encapsula un mensaje especial sobre el cambio de estado del grupo, y también incluye GroupInitKey para que se pueda inicializar el nuevo miembro y las firmas de uno de los miembros actuales del grupo, junto con la prueba de Merkl (para verificar la "autenticidad" de la persona que firmó).
Lo que le espera a la MLS
Representantes de Google, Mozilla, Twitter, MIT, el instituto de investigación francés
INRIA y la plataforma de comunicación Wire
participaron en el desarrollo de la arquitectura y los requisitos para MLS. El protocolo en sí fue creado por personas de Cisco, Facebook, Google y la Universidad de Oxford.
/ foto Catálogo de libros CCEl destino del protocolo se decidirá el próximo mes, cuando la Junta de IETF se reúna para discutir nuevamente el borrador de opciones. Si todo va bien, en un año MLS será aprobado por IESG (Internet Engineering Steering Group), y se convertirá en un estándar.
Lo que hacemos en IT-GRAD: • IaaS • Alojamiento de PCI DSS • Cloud -152
Contenido de nuestro Blog corporativo IaaS: