GH GambleHub

Κρυπτογράφηση διαμετακόμισης

Κρυπτογράφηση διαμετακόμισης

1) Ορισμός και όρια του ελέγχου

Η κρυπτογράφηση κατά τη διαμετακόμιση είναι η προστασία των δεδομένων σε όλη τη διαδρομή μετάδοσης του δικτύου (φυλλομετρητής εξυπηρετητής, υπηρεσία υπηρεσίας, πράκτορας μεσίτης, εφαρμογή βάσης δεδομένων, κέντρο δεδομένων κέντρο δεδομένων) έτσι ώστε η παθητική παρακολούθηση και οι ενεργητικές επιθέσεις στο κανάλι να μην αποκαλύπτουν το περιεχόμενο και να μην επιτρέπουν την τροποποίησή του χωρίς ανίχνευση.

Τι καλύπτουμε: δημόσιοι και ιδιωτικοί API (HTTP/HTTPS, gRPC), streaming και μεσίτες (Kafka, NATS, RabbitMQ), WebSocket, βάσεις δεδομένων και κρυψώνες μέσω του δικτύου, κυκλοφορία υπηρεσιών εντός συσπειρώσεων, VPN/μεταξύ δεδομένων κέντρα και σύννεφα, αιτήματα DNS, πελάτες κινητών/IoT.

Αυτό που δεν καλύπτουμε πλήρως: επιθέσεις στα τελικά σημεία (συμβιβασμός ξενιστή/φυλλομετρητή), τρωτά σημεία εφαρμογής, διαρροές από κούτσουρα/χωματερές. Αυτό λύνεται με ξεχωριστούς ελέγχους (A&A, ελαχιστοποίηση δικαιωμάτων, κρυπτογράφηση σε ηρεμία, ασφαλής καταγραφή).

2) Μοντέλο και στόχοι απειλής

Κίνδυνοι: παρακολούθηση της κυκλοφορίας/απάτη (MITM), υποβάθμιση πρωτοκόλλου/σουίτα κρυπτογράφησης, πλαστά πιστοποιητικά/CA, διαρροή κλειδιών, επιθέσεις SNI/μεταδεδομένων, μικτό περιεχόμενο, παρερμηνεία TLS σε εξισορροπητές, επισφαλείς διασυνδέσεις υπηρεσιών.

Στόχοι:

1. Εμπιστευτικότητα + ακεραιότητα με κρυπτογραφική εξακρίβωση ταυτότητας.

2. Αντίθεση στην υποβάθμιση (αυστηρή πολιτική και σύγχυση).

3. Ταυτοποίηση των μερών (εξυπηρετητής, εάν χρειάζεται - αμοιβαία).

4. Πιστοποιητικό διαχείρισης/βασικός κύκλος ζωής και έλεγχος.

5. Προφίλ επιδόσεων χωρίς συμβιβασμούς ασφαλείας.

3) Βασικές αρχές

Το TLS είναι παντού εξ ορισμού. Εξωτερική και εσωτερική κυκλοφορία - κρυπτογράφηση.
Σύγχρονες εκδόσεις. TLS 1. 3 ως πρότυπο· TLS 1. 2 - μόνο στο πλαίσιο αυστηρών πολιτικών. Απενεργοποίηση 1. 0/1. 1.
Κρυπτογραφικές σουίτες AEAD με PFS. AES-GCM ή ChaCha20-Poly1305· PFS μέσω (EC) DHE.
Καμπύλες/ X25519 εξέτασης κλειδιών (κατά προτίμηση) ή secp256r1 (P-256). Κλειδιά RSA ≥2048, καλύτερα από το ECDSA (P-256).
mTLS όπου η εμπιστοσύνη είναι σπάνια. Διυπηρεσιακά κανάλια, διοικητικά API, μεσίτες, βάσεις δεδομένων - μέσω αμοιβαίας επαλήθευσης ταυτότητας.
HSTS για το διαδίκτυο. Αναγκαστικό HTTPS + προφόρτωση για δημόσιους χώρους.
«Κρυπτογράφηση και κρυπτογράφηση ξανά» συνειδητά. Τερματισμός TLS στην περίμετρο + επανακρυπτογράφηση σε backends ή passthrough end-to-end - επιλέξτε σύμφωνα με το μοντέλο απειλής.
Crypto-ευκινησία. Ικανότητα αλλαγής καμπυλών/σουιτών/εκδόσεων με μηδενικό downtime.

4) Στοίβα πρωτοκόλλου και σενάρια

4. 1 HTTP/2, HTTP/3 (QUIC), gRPC, WebSocket

ALPN: h2 για HTTP/2, h3 για HTTP/3· αναστολή του h2c (χωρίς TLS).
μειώνει την καθυστέρηση, την ενσωματωμένη και την σύνθετη μετανάστευση· επιτρέπουν επιλεκτικά (κίνδυνος αναπαραγωγής).
gRPC: πάνω από h2/h3· υποχρεωτική άδεια TLS, προαιρετική άδεια mTLS + ανά RPC.
wss ://μόνο; σε πληρεξούσια/ισορροπητές - σωστή αναβάθμιση και TLS pinning του τομέα.

4. 2 Διυπηρεσιακή κυκλοφορία και μάτια εξυπηρέτησης

Μοντέλο Sidecar (Istio/Linkerd κ.λπ.). Αυτόματη mTLS, πολιτικές αδειοδότησης, εναλλαγή πιστοποιητικού.
SPIFFE/SPIRE. Αποκεντρωμένες ταυτότητες υπηρεσιών (SPIFFE ID), πιστοποιητικά SVID, σύντομες TTL.
Οι παράμετροι TLS είναι συγκεντρωτικές. Ελαχιστοποίηση διαφορών ρύθμισης στον κωδικό υπηρεσίας.

4. 3 Μεσίτες/Streaming/Ουρές αναμονής

Kafka/NATS/RabbitMQ: TLS για kliyent↔broker και broker↔broker· mTLS, εάν είναι δυνατόν.
SASL πάνω από TLS: αν το mTLS δεν είναι δυνατό, ταυτοποίηση με μάρκες/συνδέσμους, αλλά κρυπτογράφηση του καναλιού.
ACL και έγκριση θέματος. Έλεγχος κρυπτογράφησης ≠ πρόσβασης.

4. 4 Βάσεις δεδομένων και κρύπτες

PostgreSQL/MySQL/SQL Server: ενεργοποίηση TLS, επικύρωση CN/SAN, CA pin/root.
Redis/Memcached: χρήση ραπανιών stunnel/TLS. απαγόρευση της καθαρής κυκλοφορίας του προϊόντος.

4. 5 Δίκτυο/σήραγγες

Μεταξύ κέντρων δεδομένων/σύννεφων: IPsec (IKEv2) ή WireGuard (ένα σύγχρονο σύνολο πρωτόγονων).
Πρόσβαση Admin: SSH με σύγχρονο KEH/κρυπτογραφήματα; χωρίς κωδικούς πρόσβασης, μόνο κλειδιά/SSO.

4. 6 DNS και βοηθητικά πρωτόκολλα

DNS πάνω από HTTPS (DoH )/DNS πάνω από TLS (DOT) για πελάτες και εντός του συμπλέγματος, όπου είναι δυνατόν.
Απενεργοποίηση μικτού περιεχομένου. Τίποτα στη διεύθυνση http ://on pages https ://.

5) Πιστοποιητικά, PKI και διαχείριση κλειδιών

Μοντέλο PKI: για εξωτερικούς τομείς - δημόσια CA· για εσωτερική κυκλοφορία - ίδια CA ή SPIRE-CA.
Αυτοματοποίηση: ACME/Cert-manager για Kubernetes, σύντομη TTL, αυτόματη περιστροφή.
Συρραφή OCSP и ΚΕΑ. Ενεργοποιήστε τη συρραφή στα μέτωπα. τακτική ενημέρωση των αλυσίδων.
Καρφίτσες - με προσοχή. Σε πελάτες κινητής τηλεφωνίας/επιφάνειας εργασίας - pin CA/SPKI με μηχανισμό κύλισης έκτακτης ανάγκης.
Αποθήκευση κλειδιών: ιδιωτικά κλειδιά σε αποθήκες HSM/KMS/μυστικές. ελάχιστα ανοίγματα, απαγόρευση υλοτομίας.

6) Διαμορφώσεις: προφίλ πρακτικής

Συνιστώμενο προφίλ TLS (εξωτερική περίμετρο):
  • Εκδόσεις: TLS 1. 3 (απαιτείται), TLS 1. 2 (οπισθοδρόμηση).
Σουίτες (παράδειγμα):
  • TLS 1. 3: 'TLS _ AES _ 128 _ GCM _ SHA256', 'TLS _ AES _ 256 _ GCM _ SHA384', 'TLS _ CHACHA20 _ POLY1305 _ SHA256'.
  • TLS 1. 2: 'ECDHE-ECDSA-AES128-GCM-SHA256', 'ECDHE-RSA-AES128-GCM-SHA256' (+ επιλογές AES256/CHACHA20 εφόσον απαιτείται).
  • Καμπύλες: X25519, secp256r1.
  • Πιστοποιητικά: προτιμώμενο από την ECDSA, εφεδρικό RSA.
  • Ασφαλείς κεφαλίδες: «Αυστηρή μεταφορά-ασφάλεια», «Επιλογές τύπου X-περιεχομένου», «Επιλογές πλαισίου X» (κατά περίπτωση), «Πολιτική παραπομπής».
  • Cookies: 'Secure', 'HttpOnly', 'SameSite' (Lax/Strict by design).
Εσωτερική περίμετρος (mTLS):
  • Απαιτείται πιστοποιητικό πελάτη.
  • Μικρός πελάτης TTL SVID (ώρες/ημέρες), αυτόματη εναλλαγή.
  • Πολιτικές: ποιος μπορεί να συνδεθεί με ποιον (με βάση την πρόθεση/εργασία μέσω εξουσιοδότησης ματιών).

7) Επιδόσεις και αξιοπιστία

Επιτάχυνση υλικού: AES-NI/ARMv8 Crypto, ChaCha20-Poly1305 προτίμησης σε ΚΜΕ χωρίς AES-NI.
Επανάληψη συνεδρίας: TLS 1. 3 εισιτήρια· σκεφτείτε τη διάρκεια ζωής (ισορροπία μεταξύ αρώματος και ασφάλειας).
: μόνο για idempotent ερωτήματα· προστασία από την επανάληψη (μηχανισμοί αντι-αναπαραγωγής εξυπηρετητή).
Ισορροπητές/πληρεξούσιοι: σαφώς επιλέξτε τερματισμό έναντι διέλευσης. κατά τον τερματισμό - επανκρυπτογράφηση του συστήματος υποστήριξης.
Παρατηρησιμότητα: ALPN χειραψία/σφάλμα/μετρήσεις διαπραγμάτευσης, TLS ποσοστό 1. 3, λήξη πιστοποιητικού, καθεστώς OCSP.

8) Έλεγχος και εξακρίβωση

Σάρωση προφίλ TLS. Τακτικοί έλεγχοι των υποστηριζόμενων εκδόσεων/σουιτών/καμπυλών και των HSTS/OCSP.
Αρνητικές δοκιμές: απαγόρευση υποβάθμισης, απόρριψη αδύναμων κοστουμιών, αστοχία συνδέσεων χωρίς SNI/χωρίς έγκυρο πιστοποιητικό αλυσίδας.
Πεντέστερο καναλιού: προσομοιώσεις MITM, έλεγχοι pinning σε πελάτες κινητής τηλεφωνίας 0-RTT απόπειρες αναπαραγωγής.
Δοκιμές χάους: λήξη/ανάκληση πιστοποιητικού, μη διαθεσιμότητα OCSP/CA.

9) Συχνά λάθη και τρόπος αποφυγής τους

Το TLS ενεργοποιήθηκε, αλλά καμία επικύρωση ξενιστή. Ελέγχουμε πάντα τη CN/SAN, απαγορεύουμε την «InsecureSkipVerify».
Μεικτό περιεχόμενο. Μπλοκάρετε τους πόρους http στις σελίδες https, χρησιμοποιήστε το CSP.
Αδύναμες/παρωχημένες εκδόσεις και κοστούμια. Απενεργοποίηση του TLS 1. 0/1. 1, CBC/RC4/3DES.
Έλλειψη εσωστρεφούς επανακρυπτογράφησης. Η απλή κυκλοφορία από τον εξισορροπητή στην εφαρμογή αποτελεί κίνδυνο.
Πιστοποιητικά μακράς διάρκειας ζωής. Κάντε σύντομες TTL και αυτόματες ενημερώσεις.
Κακή SNI/ALPN πίσω από πληρεξούσιο. Διόρθωση μετάδοσης SNI/ALPN με διέλευση/τερματισμό TLS.

10) Μίνι συνταγές (θραύσματα διαμόρφωσης)

Nginx (εμπρός, TLS 1. 3/1. 2, HSTS, συρραφή OCSP): 

ssl_protocols      TLSv1. 3 TLSv1. 2;
ssl_ciphers       TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve     X25519:P-256;
ssl_stapling      on;
ssl_stapling_verify   on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Απεσταλμένος (mTLS μεταξύ υπηρεσιών, συστήματος): 

transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_3 validation_context:
trusted_ca: { filename: /etc/tls/ca. crt }
tls_certificates:
certificate_chain: { filename: /etc/tls/tls. crt }
private_key:   { filename: /etc/tls/tls. key }
require_client_certificate: true
WireGuard (σήραγγα κέντρου δεδομένων, σχηματικά): 

[Interface]
PrivateKey = <priv>
Address  = 10. 10. 0. 1/24
[Peer]
PublicKey = <pub>
AllowedIPs = 10. 10. 0. 0/24
Endpoint  = gw. example. com:51820
PersistentKeepalive = 25

11) Πολιτικές και συμμόρφωση

Ελάχιστες απαιτήσεις: TLS 1. 3 όπου είναι δυνατόν· TLS 1. 2 - με περιορισμένη σειρά σουίτες.
Κανονισμός: ΕΚΕ/χρηματοπιστωτικός τομέας - απαγόρευση ασθενών εκδόσεων/σουιτών· υποχρεωτική εναλλαγή και λογιστικός έλεγχος.
Προσέγγιση μηδενικής εμπιστοσύνης: ταυτότητες ανά φόρτο εργασίας, πολιτικές συνεχούς επικύρωσης και επιπέδου υπηρεσιών.

12) Λειτουργία και SLO

SLO: ≥99% επιτυχημένες χειραψίες, ≥95% κυκλοφορία στο TLS 1. 3, 0% μεικτή περιεκτικότητα.
Ειδοποιήσεις: λήξη ισχύος των πιστοποιητικών (<14 ημέρες), αύξηση των αστοχιών χειραψίας, μείωση του μεριδίου TLS 1. 3, σφάλματα συρραφής OCSP.
Διαδικασίες: επείγουσα αντικατάσταση του CA/ρίζας, ανάκληση του διακυβευόμενου κλειδιού, απενεργοποίηση του 0-RTT.

13) Κατάλογοι ελέγχου

Πριν από τον καθορισμό:
  • TLS 1 απενεργοποιημένο. 0/1. 1 και ασθενείς σουίτες, συμπεριλαμβανομένων AEAD και PFS.
  • Διαμόρφωση ALPN (h2/h3) απαγόρευση του h2c.
  • Ενεργοποιημένη HSTS (για δημόσιους χώρους), χωρίς μικτό περιεχόμενο.
  • Τα πιστοποιητικά ενημερώνονται αυτόματα, η συρραφή OCSP λειτουργεί.
  • Οι εσωτερικοί δίαυλοι προστατεύονται από mTLS (ή ισοδύναμο WireGuard/IPsec).
  • Επικυρωμένη επικύρωση ξενιστή/αλυσίδας σε πελάτες/SDK.
Λειτουργία:
  • Παρακολούθηση εκδόσεων TLS/ALPN/λάθους και λήξης.
  • Σχέδιο κρυπτογραφικής ευελιξίας (μετάφραση σε νέες σουίτες/καμπύλες).
  • Περιοδικές παρενοχλήσεις καναλιών και ανασκοπήσεις ρυθμίσεων.

14) ΣΥΧΝΈΣ ΕΡΩΤΉΣΕΙΣ

Ε: Αρκεί μόνο το TLS στην περίμετρο

Ω όχι. Η εσωτερική κυκλοφορία πρέπει επίσης να είναι κρυπτογραφημένη (mTLS/σήραγγες/μάτια), ιδίως στα σύννεφα και κατά τη διάρκεια της πολλαπλής μίσθωσης.

Ε: Χρειάζεσαι 0-RTT

A: Ενεργοποίηση pointwise για idempotent αιτήματα, με άλλο τρόπο απενεργοποίηση λόγω του κινδύνου επανάληψης.

Ε: Τι να επιλέξετε για το κέντρο μεταξύ δεδομένων IPsec ή WireGuard

A: Το WireGuard είναι απλούστερο και γρηγορότερο, το IPsec είναι ώριμο και υποστηρίζεται ευρέως. Και τα δύο είναι έγκυρα όταν ρυθμίζονται σωστά.

Ε: Πώς προστατεύεις τα webhooks «εν κινήσει»

A: HTTPS με σύγχρονο προφίλ + επαλήθευση πιστοποιητικού αποστολέα (εάν mTLS) + υπογραφή φορτίου και επαλήθευση χρονοσφραγίδας (βλέπε εγγυήσεις παράδοσης Webhook, υπογραφή και επαλήθευση αιτήματος).

Συναφή υλικά:
  • «Στην κρυπτογράφηση ανάπαυσης»
  • «Πιστοποίηση και εξουσιοδότηση»
  • «Υπογραφή και επαλήθευση αιτήσεων»
  • «S2S επαλήθευση ταυτότητας»
  • «Διαχείριση κλειδιών και εναλλαγή»
Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Telegram
@Gamble_GC
Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.