خبر ابھی سامنے آئی ہے کہ ایپل ، کلاؤڈ فلایر ، فاسٹ ، اور موزیلا آئی ای ٹی ایف 102 ہیکاتھن میں ایچ ٹی ٹی پی ایس کے سرور نام شناختی طریقہ کار کے خفیہ کاری کو بڑھانے پر تعاون کر رہے ہیں جیسا کہ کلاؤڈ فلائر کے نک سلیوان کے ایک ٹویٹ سے اشارہ کیا گیا ہے۔ ٹویٹ میں چار ٹیک جنات کی طرف سے 'بہت اچھے کام' کہہ کر اور وہاں کام کرنے والے سرورز کے لنکس کے تحت شیئر کرکے مکس ٹیم کو مبارکباد دی گئی۔ esni.examp1e.net اور cloudflare-esni.com .
آئی ای ایف ایف 102 ہیکاتھون میں حیرت انگیز کام جس سے انکرپٹڈ ایس این آئی ٹیم شائقین پر مشتمل ہے ٹویٹ ایمبیڈ کریں ٹویٹ ایمبیڈ کریں mozilla اور @سیب . بورنگ ایس ایل ، این ایس ایس اور پکنلز میں اب عمل درآمد ہیں۔
ورکنگ سرور براہ راست پر ہیں https://t.co/sLI9xLRjlK اور https://t.co/AoC2SIlJ7N .
- نک سلیوان (@ گریٹیگریس) 15 جولائی ، 2018
آئی ای ٹی ایف ہیکاتھون ایک ایسا پلیٹ فارم ہے جو نوجوان ڈویلپرز اور ٹیک کے شائقین کو دعوت دیتا ہے کہ آج عام صارف کو درپیش ٹیک سے متعلقہ مسائل کے حل کے مسودے میں شامل ہوجائیں۔ ایونٹس میں شامل ہونے کے لئے آزاد ہیں ، سب کے لئے کھلا ، اور وہ مقابلہ کے مقابلہ میں ٹیم ورک کی حوصلہ افزائی کرتے ہیں۔ اس سال کا IETF ہیکاتھون 14 کو مونٹریال میں منعقد ہوا تھاویںاور 15ویںجولائی کا ایسا لگتا ہے کہ اس سے نکلنے کے لئے سب سے نمایاں کارنامہ ، ٹرانسپورٹ لیئر سیکیورٹی (ٹی ایل ایس) سرور نام اشارے (ایس این آئ) کا خفیہ کاری ، ایک مسئلہ ہے جس نے ڈویلپروں کو پچھلی دہائی سے دوچار کیا ہے ، ایک ، ایپل کے رکن ، کلاؤڈ فلایر ، تیزی سے ، اور موزیلا نے اب اس کے حل کی تجویز پیش کی ہے۔
IETF ہیکاتھون واقعہ IETF
گذشتہ ڈیڑھ دہائی میں ہائپر ٹیکسٹ ٹرانسفر پروٹوکول (HTTP) سے ٹرانسپورٹ پرت سیکیورٹی سرور نام اشارے ہائپر ٹیکسٹ ٹرانسفر پروٹوکول سیکور (TLS SNI HTTPS) میں عالمی سطح پر ایک واضح تبدیلی رونما ہوئی ہے۔ مسئلہ جو TLS SNI HTTPS سسٹم کی اصلاح کے ل rose نکلا تھا ، ہیکر کی SNI کو اس مقصد کے خلاف استعمال کرنے کی صلاحیت تھی جو بعد میں ڈیکرپشن کے ل data ڈیٹا ٹرانسفر سے میل کھاتا ہے۔
ایس این آئی کی ترقی سے پہلے ، ایک ہی پہلے کلائنٹ کے مصافحہ کو استعمال کرتے ہوئے متعدد ورچوئل سرورز سے محفوظ روابط قائم کرنا مشکل تھا۔ جب ایک IP ایڈریس نے ایک سرور سے بات چیت کی تو ، دونوں کا تبادلہ 'ہیلوز' ، سرور نے اپنی سرٹیفکیٹ بھجوایا ، کمپیوٹر نے اپنی مؤکل کی کلید بھیجی ، دونوں کا تبادلہ 'چینج سیفر اسپیک' کمانڈ ہوا اور پھر رابطہ قائم ہونے کے بعد بات چیت ختم ہوگئی۔ یہ صرف اتنا ہی کہا گیا ہے جس طرح سے یہ آسان ہوسکتا ہے لیکن اس عمل میں متعدد تبادلے اور ردعمل شامل ہیں جو آسانی سے کافی پریشانی میں مبتلا ہوگئے کیونکہ سرور کی تعداد میں اضافہ ہونے کے ساتھ گفتگو کی جارہی ہے۔ اگر تمام سائٹس ایک ہی سرٹیفکیٹ استعمال کرتی ہیں ، تو پھر یہ زیادہ مسئلہ نہیں تھا ، لیکن بدقسمتی سے ایسا شاید ہی کبھی ہوتا تھا۔ جب متعدد سائٹیں مختلف سرٹیفکیٹ آگے پیچھے بھیج رہی تھیں تو سرور کے لئے یہ طے کرنا مشکل تھا کہ کمپیوٹر کس سرٹیفکیٹ کو تلاش کر رہا ہے اور پیچیدہ ویب میں تبادلہ ہوتا ہے ، یہ شناخت کرنا مشکل ہوگیا کہ کس نے کس کو اور کس نے بھیجا ، اس طرح پوری سرگرمی ختم کردی۔ مکمل طور پر ایک انتباہی پیغام کے ساتھ۔
اس کے بعد TLS SNI کو جون 2003 میں IETF سمٹ کے ذریعے متعارف کرایا گیا تھا اور اس مقصد کا مقصد ، ایک لحاظ سے ، تبادلہ ویب میں شامل کمپیوٹرز اور خدمات کے نام کے ٹیگ تیار کرنا تھا۔ اس نے سرور کلائنٹ ہیلو تبادلے کے عمل کو مزید سیدھا کردیا کیونکہ سرور کو مطلوبہ عین مطابق سرٹیفکیٹ مہیا کرنے کے قابل بنا دیا گیا تھا اور دونوں کو اس بات پر الجھن میں پائے بغیر کہ اس نے کیا کہا ہے۔ یہ بات چیت کے لئے رابطے کے نام رکھنے اور الجھن میں نہ پڑنے جیسے پیغامات کہاں سے آرہی ہے ، اور ہر سوال کا مناسب طور پر جواب دینے کے قابل ہوسکتی ہے ، جس میں سے بھی کمپیوٹر کو ضرورت ہے اسے صحیح دستاویزات مہی .ا کرنا ہے۔ یہ SNI تعریف بالکل وہی ہے جس نے تبادلے کے عمل کو بہتر بنانے کے اس طریقہ کار سے سب سے بڑا مسئلہ پیدا کیا۔
ایچ ٹی ٹی پی ایس کو تبدیل کرنے میں بہت سی فرموں کو جس جدوجہد کا سامنا کرنا پڑا تھا وہ ہر سرٹیفکیٹ کے لئے درخواستوں کو انجام دینے کے ل individual انفرادی IP پتے کے ساتھ بہت سارے سرٹیفکیٹ کو SNI فارمیٹ میں ڈھالنا تھا۔ TLS نے ان کے لئے کیا اس طرح کی درخواستوں کا جواب دینے کے ل certificates سرٹیفکیٹ تیار کرنا آسان بنادیا تھا اور SNI نے جو کچھ بھی کیا وہ انٹرنیٹ کے پورے نیٹ ورک میں ایک شناختی نظام میں پھینک کر انفرادی نوعیت کے سرٹیفکیٹ IP پتوں کی ضرورت کو دور کرنا تھا۔ صدی کی اپ گریڈیشن کے ساتھ جو حقیقت سامنے آئی وہ یہ تھی کہ اس نے ہیکرز کو ڈیٹا کی منتقلی کی نگرانی اور سائے کے لئے قائم 'رابطہ نام' استعمال کرنے کی اجازت دی تھی اور بعد میں کسی بھی مرحلے پر ان کی معلومات کو خفیہ کرنے کی ضرورت ہوتی تھی۔
اگرچہ ٹی ایل ایس کو ایک انکرپٹڈ چینل میں اعداد و شمار کو آگے پیچھے بھیجنے کی اجازت دی گئی ہے ، جبکہ SNI اس بات کو یقینی بناتا ہے کہ وہ صحیح منزل تک پہنچ جائے ، تاہم ، مؤخر الذکر نے ڈی این ایس کی درخواستوں ، IP پتوں پر عمل کرکے آن لائن سرگرمی کی نگرانی کرنے اور اس کو اپنے وسائل سے مماثل بنانے کے لئے ذرائع فراہم کیے۔ ، اور ڈیٹا اسٹریمز۔ اگرچہ سخت SNI کوڈنگ کی پالیسیاں بھی DL معلومات کو TLS چینل کے ذریعے منتقل کرتے ہوئے نافذ کی گئی ہیں ، لیکن ہیکرز کو شناخت کے بطور اس کے استعمال کے قابل ہونے کے ل a ایک چھوٹی سی ونڈو باقی ہے جس کی معلومات کو وہ نکالنا اور اسے الگ کرنا چاہتے ہیں۔ ڈکرپشن۔ کمپلیکس سرورز جو TLS انکرپٹڈ ڈیٹا کی زیادہ سے زیادہ ٹریفک سے نمٹنے کے ل اپنے سرورز میں مواصلات بھیجنے کے لئے سادہ متن SNI کا استعمال کرتے ہیں اور یہی چیز ہیکرز کے لئے معلومات کے چینلز اور اسٹریمز کی شناخت کرنا آسان بناتی ہے جس کی وہ پیروی کرنا چاہتے ہیں۔ ایک بار جب ہیکر دلچسپی کے اعداد و شمار کی SNI معلومات نکالنے کے قابل ہوجاتا ہے ، تو وہ سرور کے ساتھ الگ TLS کنکشن میں کمانڈ کا غلط ری پلے لگانے کے قابل ہوجاتا ہے ، SNI کی معلومات کو چوری کرکے بھیج دیتا ہے اور معلومات کو بازیافت کرتا ہے۔ اس کے ساتھ وابستہ تھا۔ ماضی میں بھی اس SNI مسئلے کو حل کرنے کی متعدد کوششیں ہوچکی ہیں لیکن بیشتر اس سادگی کے اصول کے خلاف ہیں جس پر SNI سرور کے لئے شناخت کا ایک آسان طریقہ کار بنانے کے لئے کام کرتا ہے۔
سب سے پہلے اس طریقہ کار کو قائم کرنے کے لئے کام کرنے والے سربراہی اجلاس میں ، چار ٹیک جنات کے شرکاء TLS SNI کے لئے ایک انکرپشن تیار کرنے کے لئے مونٹریال میں کانفرنس میں واپس آئے ہیں کیونکہ ملٹی ایچ ٹی ٹی پی ایس ملحقہ نظام میں گرانڈر کی کارکردگی کے باوجود ، سیکیورٹی ابھی بھی ایک تشویش بنی ہوئی ہے جتنا اس نے پہلے کیا تھا
TLS میں SNI چھپانے کے لئے ، ایک 'پوشیدہ خدمت' کو 'فرنٹنگ سروس' کے شو کے تحت رکھنا ضروری ہے جو ہیکر دیکھ سکتا ہے۔ بغیر کسی چھپی ہوئی خدمت کا براہ راست مشاہدہ کرنے کے ، ہیکر کو یہ فرنٹنگ بھیس بنا کر گمراہ کیا جائے گا کہ وہ خفیہ اعداد و شمار کو دوبارہ جاری کرنے کے لئے استعمال کیے جانے والے خفیہ خدمت کے پیرامیٹرز کی شناخت کرنے کے قابل نہیں ہو گا۔ چونکہ مبصرین فرنٹنگ سروس کی پگڈنڈی پر عمل پیرا ہے ، مشاہدہ چینل سے کوائف ہٹا دیئے جائیں گے کیونکہ اسے اپنی مطلوبہ مخفی خدمت پر بھیج دیا گیا ہے جس کے بعد ہیکر اپنی پگڈنڈی کھو بیٹھے گا۔ چونکہ سرور کو بھی فرنٹنگ سروس کا سامنا کرنا پڑے گا ، چونکہ اعداد و شمار اپنا راستہ بناتے ہیں ، لہذا ایک دوسرا متوازی SNI سگنل فرنٹنگ سروس کو بھیجا جائے گا تاکہ ڈیٹا کو پوشیدہ سروس کی طرف موڑ دیا جاسکے اور اس سمت بدلنے کے عمل میں ، ہیکر سرور کی ویب میں کھو جائے۔ ڈبل ٹکٹوں کا یہ طریقہ کار اسی SNI کے تحت مزید مشترکہ ٹکٹ کے طور پر تیار کیا گیا ہے۔ چونکہ سرور میں اعداد و شمار کا ایک ٹکڑا بھیجا جاتا ہے ، اعداد و شمار ایک تعاون کرنے والے SNI دوبارہ ڈائریکٹر تیار کرتے ہیں اور دونوں TLS کو انکرپٹڈ ڈیٹا حاصل کرنے کے لئے مل کر کام کرتے ہیں جہاں اسے جانے کی ضرورت ہے۔ دونوں SNI پٹریوں پر محیط بے ترتیب فرنٹنگ سروس کو توڑنے کے قابل ہونے کے بغیر ، ہیکر اعداد و شمار کے پگڈنڈی کی پیروی نہیں کر سکے گا لیکن سرور پھر بھی ان دونوں کو مربوط کرنے اور ڈیٹا کو حتمی مقام کے طور پر چھپی ہوئی خدمت کو ڈیریکٹ کرنے میں کامیاب ہوگا۔ اس سے سرورز کو TLS خفیہ کاری میں اپنے ڈیٹا کی منتقلی کو بہتر بنانے کے لئے SNI کا استعمال جاری رکھنے کی اجازت دیتا ہے جبکہ یہ یقینی بناتے ہیں کہ ہیکرز SNI میکانزم سے فائدہ اٹھانے کے قابل نہیں ہیں۔
