HAMAHAMA
UZ RU EN
BILIM BAZASI

TLS 1.3 nima va nima uchun muhim?

TLS 1.3 — ilova va server orasidagi ulanishni shifrlovchi protokolning eng zamonaviy versiyasi. U avvalgi versiyalardan tezroq, soddaroq va xavfsizroq — va HAMA dagi butun transport aynan shu protokol orqali ishlaydi.

Qisqacha

TLS 1.3 — mijoz va server orasida ma'lumotni "yo'l davomida" shifrlab, uni ushlab olishdan himoya qiluvchi protokol. TLS 1.2 ga nisbatan u ulanishni kamroq aylanma almashinuvda o'rnatadi, eskirgan zaif shifrlarni olib tashlaydi va forward secrecy ni majburiy qiladi. Bu transport himoyasi; uchidan-uchigacha (E2E) shifrlash esa alohida qatlam, va ular bir-birini to'ldiradi.

TLS nima va u nima uchun kerak

TLS 1.3 (Transport Layer Security) — ma'lumotni tarmoq orqali ikki tomon, odatda mijoz ilovasi va server orasida uzatilayotganda shifrlovchi protokol. Brauzer manzil satrida qulf belgisini ko'rganingizda yoki himoyalangan ilovada ishlaganingizda, deyarli har doim ostida TLS ishlayapti. Uning vazifasi — siz va server orasidagi hech kim (provayder, Wi-Fi operatori, oraliq uskuna egasi) uzatilayotgan ma'lumotni o'qiy olmasligi va sezdirmasdan o'zgartira olmasligini ta'minlash.

TLS bir vaqtning o'zida uchta vazifani hal qiladi: maxfiylik (trafik shifrlangan), yaxlitlik (yo'lda ma'lumot o'zgartirilsa aniqlanadi) va autentifikatsiya (siz aynan kerakli serverga, soxta serverga emas, ulanayotganingizga ishonch hosil qilasiz). Autentifikatsiya sertifikatlar va ochiq kalitlar infratuzilmasiga asoslanadi.

TLS 1.3 TLS 1.2 ga nisbatan nimani yaxshiladi

TLS 1.2 2008-yilda chiqqan va o'n besh yil davomida ko'plab tarixiy yukni to'plagan: ko'plab ixtiyoriy opsiyalar, eskirgan algoritmlar va moslik uchun qilingan murosalar. TLS 1.3 (RFC 8446, 2018) — bu protokolni standart bo'yicha xavfsizlik va tezlikka urg'u berib qayta o'ylab chiqilgan ko'rinishi.

Kamroq aylanma almashinuv (round trip)

Himoyalangan ulanishni o'rnatish "qo'l berish" (handshake) talab qiladi — bunda tomonlar kalitlarni kelishib oladi. TLS 1.2 da bu ikkita aylanma almashinuvni (2-RTT) talab qilar edi. TLS 1.3 buni bittaga (1-RTT) joylashtiradi, allaqachon tanish serverga qayta ulanishda esa — nolga (0-RTT). Amalda bu ulanishlarni ochishni sezilarli darajada tezlashtiradi, ayniqsa tarmoq kechikishi katta bo'lganda.

Zaif va eskirgan algoritmlar olib tashlandi

  • RSA asosidagi kalit almashinuvi va statik Diffi-Hellman olib tashlandi — faqat forward secrecy ni ta'minlovchi efemer variantlar (ECDHE) qoldi.
  • RC4 oqimli shifri, ma'lum zaifliklarga ega CBC rejimlari, imzolardagi MD5 va SHA-1 xeshlari olib tashlandi.
  • Faqat sinovdan o'tgan AEAD shifrlar (masalan, AES-GCM va ChaCha20-Poly1305) qo'llab-quvvatlanadi, ular shifrlash va yaxlitlikni bir bosqichda tekshiradi.
  • Ba'zi hujumlar foydalangan eski algoritmlarga "orqaga qaytish" (downgrade) imkoniyati bartaraf etildi.

Forward secrecy majburiy bo'ldi

TLS 1.2 da forward secrecy ixtiyoriy bo'lsa, TLS 1.3 da u poydevorga o'rnatilgan: har bir sessiya uchun alohida vaqtinchalik kalit yaratiladi.

Forward secrecy nima va nega bu juda muhim

Tasavvur qiling, niyati buzuq odam yillar davomida shifrlangan trafikni yozib boradi, qachondir serverning kalitini qo'lga kiritishga umid qilib. Forward secrecy bo'lmasa, bitta uzoq muddatli kalit to'plangan butun arxivni keyinroq shifrdan chiqarishga yetib qolardi.

Forward secrecy bu sxemani buzadi: har bir sessiya o'zining efemer kaliti bilan himoyalangan, u serverning uzoq muddatli kalitidan kelib chiqmaydi va sessiya tugagach o'chiriladi. Kelajakda server kalitining sizib chiqishi o'tmishdagi trafikni ochmaydi. Bu, ayniqsa, ma'lumotlari yillar davomida qiymatini saqlaydigan tashkilotlar uchun muhim.

TLS (transport) va E2E (uchidan-uchigacha) — turli qatlamlar

Tez-tez uchraydigan chalkashlik: "bizda TLS bor, demak yozishmalar to'liq himoyalangan". Bu unday emas — bu ikki xil himoya qatlami.

  • TLS ma'lumotni yo'l davomida himoya qiladi. Mijoz va server orasidagi kanal shifrlangan, lekin serverning o'zida ma'lumot uni qayta ishlash yoki saqlash uchun ochiladi. Server administratori prinsipial jihatdan unga kira oladi.
  • E2E ma'lumotni jo'natuvchidan qabul qiluvchigacha himoya qiladi. Xabar jo'natuvchining qurilmasida shifrlanadi va faqat qabul qiluvchining qurilmasida ochiladi. Server shifrlangan "to'plam"ni uzatadi xolos va ochiq matnni ko'rmaydi.

Bu qatlamlar raqobatlashmaydi, balki bir-birini to'ldiradi. TLS kanalning o'zini va transport metama'lumotlarini himoya qiladi, server haqiqiyligini tekshiradi va ulanishni almashtirishning oldini oladi. E2E qo'shimcha ravishda buzilgan yoki qiziquvchan server ham mazmunni o'qiy olmasligini kafolatlaydi. Ishonchli tizim ikkala qatlamdan ham foydalanadi.

HAMA'da bu qanday hal qilingan

HAMA da butun transport faqat TLS 1.3 orqali ishlaydi — eski versiyalar ishlatilmaydi. Bu desktop-mijoz va server orasidagi ulanish zamonaviy shifrlash, majburiy forward secrecy va tez qo'l berish bilan himoyalangan degani.

Ammo HAMA transport bilan cheklanmaydi. TLS ustidan xabarlar mazmuni Signal protokoli (X3DH + Double Ratchet) yordamida uchidan-uchigacha shifrlash bilan himoyalangan, guruhlar uchun esa AES-256-GCM ishlatiladi. Ya'ni hatto server ham xabarlarning ochiq matniga kira olmaydi. Qurilmadagi mahalliy baza SQLCipher orqali shifrlanadi, kalitlar esa operatsion tizimning himoyalangan xotirasida saqlanadi.

Qo'shimcha ravishda serverning o'zi O'zbekistondagi himoyalangan maydonda yoki tashkilot infratuzilmasida on-premise joylashtiriladi, HAMA esa O'z DSt ISO/IEC 27001:2023 ga va kritik axborot infratuzilmasi bo'yicha PP-167 talablariga muvofiqlikka tayyorlanmoqda. Bu yerda TLS 1.3 — transport qatlamining poydevori, butun himoyaning o'zi emas.

Tez-tez beriladigan savollar

TLS 1.3 TLS 1.2 dan nimasi bilan yaxshiroq?

TLS 1.3 ulanishni tezroq o'rnatadi (ikkita o'rniga bitta aylanma almashinuv), eskirgan va xavfsiz bo'lmagan algoritmlarni (RC4, RSA kalit almashinuvi, SHA-1, statik kalit almashinuvi) olib tashlaydi va forward secrecy ni majburiy qiladi. Natijada ulanish ham tezroq, ham xavfsizroq bo'ladi.

TLS bu E2E shifrlash bilan bir xilmi?

Yo'q. TLS ma'lumotni mijoz va server orasida yo'l davomida himoya qiladi, lekin serverda ma'lumot ochiladi. E2E (uchidan-uchigacha) shifrlash ma'lumotni shunday himoya qiladiki, uni faqat jo'natuvchi va qabul qiluvchi ko'radi, server esa hech qachon ko'rmaydi. Bular bir-birini to'ldiruvchi turli qatlamlar.

Forward secrecy nima?

Forward secrecy har bir sessiya uchun alohida vaqtinchalik kalit yaratilishini bildiradi. Kelajakda serverning uzoq muddatli kaliti buzilsa ham, ilgari yozib olingan trafikni shifrdan chiqarib bo'lmaydi. TLS 1.3 da bu majburiy xususiyat.

HAMA TLS 1.3 dan foydalanadimi?

Ha. HAMA dagi barcha transport faqat TLS 1.3 orqali ishlaydi. Bundan tashqari, xabarlar mazmuni Signal protokoli yordamida uchidan-uchigacha shifrlash bilan qo'shimcha himoyalangan, shuning uchun server xabarlarning ochiq matniga kira olmaydi.

Tegishli maqolalar

HAMA

End-to-End shifrlash nima?

 HAMA

On-premise va Cloud: qaysi biri xavfsiz?

 HAMA

Korporativ messenjerda ma'lumotlarni himoyalash

Tashkilotingiz uchun xavfsiz aloqa kerakmi?

HAMA — O'zbekiston biznesi va davlat organlari uchun yagona himoyalangan platforma: messenjer, videokonferensiyalar, monitoring va HR. Transport TLS 1.3 orqali, yozishmalar E2E shifrlash bilan, ma'lumotlar O'zbekistonda saqlanadi.

Biz bilan bog'lanish