Hlavní navigace

Vlákno názorů k článku Současné hrozby: hromadný sběr dat, problémy v procesorech a prohlížeče od Miroslav Šilhavý - QUIC je srandovní. V podstatě neexistuje žádná uvolněná...

Článek je starý, nové názory již nelze přidávat.

  • 4. 2. 2019 9:13

    Miroslav Šilhavý

    QUIC je srandovní. V podstatě neexistuje žádná uvolněná seriózní implementace tohoto protokolu. Google to používá, ale uvolnil jen nevýkonnou implementaci pro náhled. Výhodu si drží jen sám pro sebe - což je u této firmy typické. Google podporuje OSS jen ve chvílích, kdy už ho to neohrožuje, nebo v oblastech, kde tuší, že komunita mákne a pomůže něco dotáhnout, dotestovat.

    Myšlenka QUIC je docela příjemná pro uživatele, podobně jako 0-RTT u TLS 1.3. Bohužel, data se snaží předcházet bezpečnost, takže to vlastně jde proti trendu "vše, vždy a všude šifrujeme". Možná i proto QUIC tolik netlačí mezi veřejnost a drží si ho jen na vlastních serverch a vlastním prohlížeči. Vzbuzuje to pak méně kontroverzí.

    Pokud by se měl QUIC stát standardem, bylo by potřeba začít nejprve nějakou kvalitní implementací. Hovořit teď o standardizaci je sakra moc přečasné.

  • 4. 2. 2019 9:42

    bez přezdívky

    V quicu se trochu vyznam, a bezpecnost je tam porovnatelna s TLS 1.3. Integrita prvnich plaintext packetu (parametry handshake) je chranena hashem a dalsi packety (vymnena klicu , data) je chranena pomoci AEAD pres AES-GCM za pouziti ECDH (Curve25519). Navic jsou pouzity dve sady klicu - initial (pro data pushnute z klienta v 2. packetu, napr. GET request) a forward secure klice (po obdrzeni SHLO, response a server push data).

    Driv, nez nekdo zacne kritizovat QUIC, mel by si nastudovat problematiku. Google pouziva QUIC na skoro vsech svych domenach spolu s chrome uz nekolik let, a neni slyset o utoku.