Internet Engineering Council (
IETF) telah menerbitkan
rancangan protokol baru - Message Layer Security (MLS). Misinya adalah untuk menyediakan perpesanan yang aman antara dua perangkat. Ini menjelaskan struktur data abstrak yang dapat digunakan tidak hanya dalam aplikasi obrolan, tetapi juga untuk bekerja dengan
TLS 1.3 dan JSON. Mari kita bicara tentang prinsip-prinsip MLS.
/ foto Rama CCInsinyur IETF telah merilis dua dokumen. Yang pertama
menggambarkan persyaratan sistem pesan untuk mengimplementasikan protokol MLS, dan yang kedua
menjelaskan protokol MLS itu sendiri .
Tentang Arsitektur Perpesanan
Layanan olahpesan (Messaging Service) mencakup dua layanan yang memantau keamanan penerimaan / pengiriman pesan.
Yang pertama adalah Layanan Otentikasi. Dia bertanggung jawab atas keamanan data pribadi - login, nomor telepon, serta pasangan kunci unik untuk mengidentifikasi pelanggan.
Yang kedua - Layanan Pengiriman - menyimpan dan mendistribusikan kunci antara klien untuk bertukar pesan terenkripsi. Layanan pengiriman hanya beroperasi dengan data yang diperlukan untuk pengiriman pesan, dan tidak menyentuh informasi pribadi tentang pengirim. Ini membatasi "footprint" dari metadata sisi server.
Dalam banyak sistem, layanan pengiriman dan identifikasi diwakili oleh entitas logis tunggal atau server. Namun, dalam MLS, ini adalah dua komponen yang terpisah. Para penulis memutuskan untuk memisahkan proses-proses ini sehingga MLS dapat digunakan dengan protokol otorisasi terbuka, seperti
OAuth .
Ini memberikan keuntungan lain. Bahkan jika penyedia layanan pesan mengontrol proses pengiriman dan otentikasi, metadata akan dilindungi dengan andal. Penyedia tidak akan dapat mengaitkan pesan terenkripsi dengan kunci publik.
Cara Kerja MLS
Pengguna pesan dikelompokkan bersama. Untuk membuat grup, peserta βmenambahkanβ kunci UserInitKey mereka dan membentuk
rahasia . UserInitKey adalah pasangan kunci
Diffie-Hellman dan berfungsi untuk menginisialisasi pengguna individu.
Protokol menggunakan dua jenis
pohon biner . Yang pertama -
pohon Merkle (itu adalah pohon hash) - berfungsi untuk mengkonfirmasi keaslian operasi yang dilakukan oleh anggota grup. Tipe kedua - Ratchet-tree - digunakan untuk mengekstrak rahasia mereka.
Grup dapat melakukan operasi dasar berikut:
- Tambahkan anggota baru grup (buat dialog).
- Perbarui informasi rahasia anggota grup.
- Hapus anggota grup.
Jika anggota grup A ingin membuat dialog dengan B dan C, ia pertama kali mengunduh kunci inisialisasi mereka (InitKeys). Kemudian kunci ini digunakan untuk membentuk pesan GroupAdd, yang seharusnya menambahkan anggota B dan C.
Pesan GroupAdd dikirim ke seluruh grup dan diproses dalam urutan B dan C. Ketika respons mereka kembali ke A, status grup diperbarui dan menampilkan "kedatangan baru". Pesan lain yang dikirim oleh anggota sistem sebelum diterima ke dalam grup diabaikan.
Tidak seperti TLS dan DTLS, protokol baru tidak mengandung fase "jabat tangan". MLS menggunakan apa yang disebut Pesan Jabat Tangan. Para peserta dalam korespondensi bertukar mereka setiap kali, Anda perlu menambah atau menghapus anggota baru grup.
Pesan Jabat Tangan merangkum pesan khusus tentang perubahan status grup, dan juga termasuk GroupInitKey, sehingga anggota baru dapat diinisialisasi, dan tanda tangan dari salah satu anggota grup saat ini, bersama dengan bukti Merkl (untuk memverifikasi "keaslian" orang yang menandatangani).
Apa yang menanti MLS
Perwakilan Google, Mozilla, Twitter, MIT, institut penelitian Prancis
, INRIA, dan platform komunikasi Wire
mengambil bagian dalam pengembangan arsitektur dan persyaratan untuk MLS. Protokol itu sendiri dibuat oleh orang-orang dari Cisco, Facebook, Google dan Oxford University.
/ foto Katalog Buku CCNasib protokol akan diputuskan bulan depan, ketika Dewan IETF bersidang untuk membahas rancangan opsi lagi. Jika semuanya berjalan lancar, maka dalam setahun MLS akan disetujui oleh IESG (Internet Engineering Steering Group), dan itu akan menjadi standar.
Apa yang kami lakukan di IT-GRAD: β’ IaaS β’ PCI DSS hosting β’ Cloud -152
Konten dari Blog Perusahaan IaaS kami: