fbpx
TLS (Transport Layer Security)

TLS (Transport Layer Security)

Τι είναι

Το Transport Layer Security (TLS) είναι η εξέλιξη του Secure Sockets Layer (SSL). Να θυμήσουμε πως πρόκειται για πρωτόκολλα κρυπτογράφησης τα οποία παρέχουν ασφάλεια επικοινωνίας πάνω από ένα δίκτυο υπολογιστών. Αρκετές από τις εκδόσεις του πρωτοκόλλου χρησιμοποιούνται σε εφαρμογές όπως η περιήγηση στον ιστό, το Ηλεκτρονικό ταχυδρομείο, τα άμεσα μηνύματα, καθώς και οι κλήσεις μέσω IP (VoIP). Οι ιστοσελίδες χρησιμοποιούν TLS για να διασφαλίσουν όλη την επικοινωνία μεταξύ των εξυπηρετητών τους και των περιηγητών ιστού.

Πως δουλεύει

Οι εφαρμογές που ακολουθούν το μοντέλο πελάτη-διακομιστή χρησιμοποιούν το πρωτόκολλο TLS για να επικοινωνήσουν μέσω ενός δικτύου αποφεύγοντας έτσι την υποκλοπή των μηνυμάτων ή την τροποποίηση τους από τρίτους.

Από την στιγμή που τα πρωτόκολλα μπορούν να λειτουργήσουν είτε με την χρήση, είτε χωρίς TLS (ή SSL), είναι απαραίτητο ο πελάτης να ειδοποιήσει τον διακομιστή για το ξεκίνημα μιας συνεδρίας TLS.

Υπάρχουν δύο βασικοί τρόποι για να γίνει αυτό. Ο πρώτος είναι η χρήση μιας διαφορετικής πόρτας για τις συνδέσεις TLS, όπως για παράδειγμα η 443 για το HTTPS. Ο άλλος τρόπος είναι ο πελάτης να χρησιμοποιήσει έναν μηχανισμό που υποστηρίζει το ίδιο το πρωτόκολλο επικοινωνίας, όπως για παράδειγμα το STARTTLS στο ηλεκτρονικό ταχυδρομείο, και να ζητήσει από τον διακομιστή να μεταχειριστεί την σύνδεση ως TLS.

Μόλις ο πελάτης και ο διακομιστής συμφωνήσουν να χρησιμοποιήσουν TLS, συμφωνούν σε μία σύνδεση με πολλαπλές καταστάσεις, χρησιμοποιώντας την διαδικασία χειραψίας. Κατά την διάρκεια της χειραψίας, ο πελάτης και ο διακομιστής συμφωνούν σε διάφορες παραμέτρους που θα χρησιμοποιηθούν για να επιβεβαιωθεί η ασφάλεια της σύνδεσης:

  • Η χειραψία ξεκινάει όταν ένας πελάτης συνδέεται σε έναν διακομιστή που υποστηρίζει TLS και αιτείται μια ασφαλή σύνδεση, παρουσιάζοντας μια λίστα με κρυπτογραφήματα, καθώς και μία λίστα με κρυπτογραφικές συναρτήσεις κατακερματισμού που ο ίδιος υποστηρίζει.
  • Από αυτήν την λίστα, ο διακομιστής επιλέγει έναν αλγόριθμο κρυπτογράφησης και μια κρυπτογραφική συνάρτηση κατακερματισμού που και ο ίδιος υποστηρίζει και ενημερώνει τον πελάτη για αυτήν την απόφαση.
  • Ο διακομιστής συνήθως στέλνει πίσω και κάποιο στοιχείο για να επιβεβαιώσει την ταυτότητα του, συνήθως στην μορφή ενός ψηφιακού πιστοποιητικού. Το πιστοποιητικό αυτό περιέχει το όνομα του διακομιστή, την έμπιστη Αρχή Πιστοποίησης (CA), καθώς και το δημόσιο κλειδί του για χρήση σε πράξεις με κρυπτογράφηση δημόσιου κλειδιού.
  • Ο πελάτης στην συνέχεια επιβεβαιώνει την εγκυρότητα του ψηφιακού πιστοποιητικού πριν προχωρήσει.
  • Για την δημιουργία του κλειδιού συνεδρίας που θα χρησιμοποιηθεί για την ασφάλιση της σύνδεσης, ο πελάτης είτε:
    • κρυπτογραφεί έναν τυχαίο αριθμό με το δημόσιο κλειδί του διακομιστή και στέλνει το αποτέλεσμα στον διακομιστή (το οποίο μπορεί πλέον να δει μόνο ο διακομιστής, χάρη στο ιδιωτικό κλειδί). Έτσι, και τα δύο μέρη της σύνδεσης χρησιμοποιούν έπειτα αυτόν τον τυχαίο αριθμό για να δημιουργήσουν ένα μοναδικό κλειδί συνεδρίας το οποίο θα χρησιμοποιήσουν αργότερα για κρυπτογράφηση και αποκρυπτογράφηση των δεδομένων σε αυτήν την συνεδρία.
    • χρησιμοποιεί ανταλλαγή κλειδιών Diffie-Hellman για να δημιουργήσει με ασφάλεια ένα τυχαίο και μοναδικό κλειδί συνεδρίας για την κρυπτογράφηση και αποκρυπτογράφηση δεδομένων το οποίο έχει επίσης την ιδιότητα του forward secrecy: αν το ιδιωτικό κλειδί του διακομιστή κλαπεί στο μέλλον, δεν μπορεί να χρησιμοποιηθεί για να αποκρυπτογραφηθεί η τρέχουσα συνεδρία, ακόμα και αν αυτή καταγραφεί πλήρως από κάποιον τρίτο.

Σε αυτό το σημείο τελειώνει η χειραψία και αρχίζει η ασφαλής σύνδεση, της οποίας τα δεδομένα κρυπτογραφούνται και αποκρυπτογραφούνται με το κλειδί συνεδρίας μέχρι να τερματιστεί η σύνδεση. Αν οποιοδήποτε από τα παραπάνω βήματα αποτύχει, η χειραψία TLS αποτυγχάνει, και η σύνδεση δεν δημιουργείται.

Ψηφιακά πιστοποιητικά

Ένα ψηφιακό πιστοποιητικό πιστοποιεί την κατοχή ενός δημόσιου κλειδιού από το όνομα του αντικειμένου του πιστοποιητικού και υποδεικνύει ορισμένες αναμενόμενες χρήσεις αυτού του κλειδιού. Αυτό επιτρέπει σε άλλα (εμπιστευτικά μέρη) να βασίζονται σε υπογραφές ή σε ισχυρισμούς του ιδιωτικού κλειδιού που αντιστοιχούν στο πιστοποιημένο δημόσιο κλειδί.

Αρχές πιστοποίησης

Το TLS βασικά βασίζεται σε ένα σύνολο αξιόπιστων αρχών πιστοποιητικών τρίτων για τη διαπίστωση της αυθεντικότητας των πιστοποιητικών. Η εμπιστοσύνη είναι συνήθως αγκυροβολημένη σε μια λίστα πιστοποιητικών που διανέμονται με το λογισμικό πρακτόρων χρηστών και μπορούν να τροποποιηθούν από το συμβαλλόμενο μέρος.

Σύμφωνα με την Netcraft, ο οποίος παρακολουθεί τα ενεργά πιστοποιητικά TLS, η Symantec, η κορυφαία αρχή πιστοποίησης της αγοράς, ήταν η Symantec από την αρχή της έρευνάς της (ή η VeriSign πριν από την υπηρεσία παροχής υπηρεσιών ελέγχου ταυτότητας αγοράστηκε από τη Symantec). Η Symantec αντιπροσωπεύει αυτήν την περίοδο περίπου το ένα τρίτο όλων των πιστοποιητικών και το 44% των έγκυρων πιστοποιητικών που χρησιμοποιούνται από τους 1 εκατομμύριο πιο πολυσύχναστους ιστότοπους, όπως υπολογίζεται από τη Netcraft.

Πηγή: Βικιπαίδεια

Διαδώστε τα νέα

Γράψτε ένα σχόλιο

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

9 − 1 =