TLS: Cum este criptat Internetul

În primele zile ale internetului, problemele de securitate a datelor nu erau la fel de importante ca și astăzi. Toate comunicările au fost transmise de la un computer la altul într-un mod deschis și necriptat. Vă puteți gândi la ea ca la o carte poștală: orice poștaș o poate citi.

transport

Protocolul TLS - numit și SSL/TLS - a introdus Criptarea conținutului transmis A. Pentru a respecta comparația menționată, această criptare corespunde unui plic sigilat pe care numai destinatarul legitim îl poate deschide.

  1. Ce este TLS?
  2. Cum funcționează TLS?
  3. Argumentele pro și contra TLS
  4. Domenii de aplicare a TLS
  5. Implementări ale TLS
  6. Atacuri TLS cunoscute

Ce este TLS?

Abrevierea TLS înseamnă Transport Layer Security, care se traduce prin „Transport Layer Security”. Această denumire se referă la „stratul de transport” al modelului TCP/IP. TLS este un Proces care criptează fluxurile de date de pe Internet, astfel încât să poată fi citite doar de către destinatarii autorizați. Numele anterior era SSL (Secure Socket Layer); deoarece această abreviere este încă mai cunoscută sub numele de TLS, TLS este adesea menționat cu numele dublu „SSL/TLS”.

Cum funcționează TLS?

TLS criptează tot traficul de date procesat prin TCP cu o metodă de criptare simetrică.

Ceea ce sună simplu în practică este mai complicat în realitate. Problema de bază este că serverul trebuie să ofere clientului cheia - înainte ca comunicarea să fie securizată cu TLS. Oricine trimite mesaje atașate criptate cunoaște această problemă: criptați un fișier și trebuie să dați destinatarului parola secretă, de ex. B. prin telefon.

Protocolul TLS utilizează următoarea procedură pentru a rezolva această problemă:

  1. Când clientul - de exemplu un browser web - contactează serverul web, acesta îi trimite mai întâi certificatul. Acest certificat SSL dovedește că serverul este autentic și nu pretinde că este o identitate falsă.
  2. Clientul verifică certificatul pentru validitate și trimite serverului un număr aleatoriu, criptat cu cheie publică (Cheie publică) a serverului.
  3. Serverul generează din acest număr aleatoriu Cheia sesiunii (Cheia de sesiune) cu care comunicarea urmează să fie criptată. Deoarece numărul aleatoriu vine de la client, acesta din urmă poate fi sigur că cheia de sesiune provine de fapt de la serverul adresat.
  4. Serverul trimite cheia de sesiune către client, și anume în formă criptată. Această criptare se realizează folosind schimbul de chei Diffie-Hellmann.
  5. Acum ambele părți își pot trimite datele în siguranță cu cheia de sesiune.

Motivul pentru care criptarea asimetrică este utilizată numai pentru transferul cheii de sesiune (dar nu și pentru criptarea fluxurilor de date în sine) este avantajul de viteză; criptarea asimetrică este relativ lentă și ar întârzia comunicarea datelor.

Argumentele pro și contra TLS

TLS este o soluție elegantă pentru a face traficul web mai sigur. Deoarece nu impune ca cele două părți să trimită conținutul - de ex. B. Formular date - criptați-vă. În schimb, este suficient dacă traficul este direcționat prin protocolul TLS, indiferent de sistemele de operare și aplicațiile software ale celor implicați. Toate fluxurile de date sunt apoi criptate automat în timpul transmiterii.

Prețul pentru securitate este o conexiune oarecum mai lentă, deoarece etapele procesului descrise mai sus - certificat, număr aleatoriu, schimb de chei - sunt intens din punct de vedere calculatic.

Domenii de aplicare a TLS

După cum sa menționat, TLS poate fi utilizat universal, deoarece este independent de aplicații și sisteme de operare. În consecință, există o versiune securizată TLS pentru un număr mare de protocoale de aplicație. Schema de denumire este foarte simplă: litera „S” este plasată după numele protocolului dacă protocolul comunică utilizând TLS.

Cea mai importantă zonă de aplicație a TLS este World Wide Web, mai precis protocolul HTTP. Varianta sa criptată se numește HTTPS.

În plus, ar trebui menționate următoarele cazuri de utilizare obișnuite:

  • POP3S: Preluarea e-mailurilor de pe server utilizând protocolul POP3
  • IMAPS: Sincronizați mesajele primite cu serverul utilizând protocolul IMAP
  • SMTPS: Trimite emailuri
  • FTPS: Transfer de fișiere prin protocolul FTP
  • SIPS: Telefonie Voice-over-IP utilizând protocolul SIP
  • IRCS: Chaturi criptate

OpenVPN, software gratuit pentru configurarea unei rețele private virtuale (VPN), folosește și protocolul TLS.

Implementări ale TLS

Implementările importante ale TLS sunt:

  • OpenSSL - de departe cea mai comună implementare utilizată pentru majoritatea site-urilor web HTTPS
  • GnuTLS (Free Software Foundation)
  • LibreSSL (OpenBSD)
  • NSS (Servicii de securitate a rețelei)
  • BoringSSL (Google)
  • Cryptlib (Peter Gutmann)
  • A oferit (Licență BSD, Jack Lloyd)
  • JSSE (Extensie Java Secure Socket, Oracle)
  • S2n (Amazon)

Această listă nu este exhaustivă. Wikipedia în limba engleză oferă informații detaliate despre implementările TLS .

Atacuri TLS cunoscute

TLS nu este, de asemenea, sigur de atacuri și scurgeri. Punctele de atac cunoscute sunt următoarele:

  • Eroare de programare: Heartbleed Bug, un program grav în versiunile anterioare de OpenSSL, a devenit celebru. A fost remediat în 2014.
  • Criptare slabă: Ca urmare a restricțiilor de export din SUA pentru criptografie, au fost dezvoltate versiuni „exportabile” care erau mai ușor de spart decât cele originale.
  • Atacuri de compresie: Dacă este utilizată compresia HTTP în locul compresiei TLS, este posibil ca hackerii să utilizeze anumite metode pentru a ghici conținutul criptat TLS.
  • Atac BEAST a vizat versiunea TLS 1.0 și a fost deja descrisă în 2014. Versiunile actuale TLS sunt sigure de acest lucru.
  • Acoperirea atacului Oracle a fost descoperit în 2002 și a fost posibil până la versiunea SSL 3.0. Versiunea actuală TLS 1.3 nu este afectată.

În plus, s-au făcut eforturi pentru a preveni criptarea TLS complet sigură, astfel încât autoritățile să poată vizualiza comunicarea criptată, de ex. B. în legătură cu tranzacțiile financiare și activitățile infracționale. Una dintre organizațiile care a încercat să creeze un astfel de „punct de rupere predeterminat” pentru TLS a fost ETSI (European Telecommunications Standards Institute).