SSL - Polski Serwis Naukowy

TLS (ang. Transport Layer Security) – przyjęte jako standard w Internecie rozwinięcie protokołu SSL (ang. Secure Socket Layer), zaprojektowanego pierwotnie przez Netscape Communications. TLS zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie serwera, a niekiedy również klienta. Opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509.

RSA - jeden z pierwszych i obecnie jeden z najpopularniejszych asymetrycznych algorytmów kryptograficznych, zaprojektowany w 1977 przez Rona Rivesta, Adi Shamira oraz Leonarda Adlemana. Pierwszy, który można stosować zarówno do szyfrowania jak i do podpisów cyfrowych. Bezpieczeństwo szyfrowania opiera się na trudności faktoryzacji dużych liczb złożonych. Jego nazwa pochodzi od pierwszych liter nazwisk jego twórców.
Stany Zjednoczone, Stany Zjednoczone Ameryki (ang.: United States, United States of America, US, USA) – państwo w Ameryce Północnej graniczące z Kanadą od północy, Meksykiem od południa, Oceanem Spokojnym od zachodu, Oceanem Arktycznym od północnego zachodu, Oceanem Atlantyckim od wschodu.

W modelu OSI, TLS działa w warstwie prezentacji i dzięki temu zabezpieczenia protokoły warstwy najwyższej – warstwy aplikacji, np.: telnet, HTTP, gopher, POP3, IMAP, NNTP.

SSL - informacje ogólne

W 1994 roku firma Netscape stworzyła protokół, służący do bezpiecznej transmisji zaszyfrowanego strumienia danych, nazwany SSL (Secure Socket Layer), a już rok później pojawiła się trzecia jego wersja. W 1996 roku Internet Engineering Task Force powołało grupę roboczą pod nazwą Transport Layer Security, której zadaniem było rozwijanie protokołu SSL. W 1999 roku został opublikowany standard TLS 1.0, który jest czasem określany jako SSL 3.1. Całość działa w architekturze klient-serwer, pozwalając na nawiązanie bezpiecznego połączenia z użyciem certyfikatów. Architektura jest zorientowana głównie na uwierzytelnianie serwera (np. sklepu internetowego, do którego klient wysyła numer karty kredytowej i chce mieć pewność co do odbiorcy), ale przewiduje również możliwość uwierzytelniania klienta.

Protokół uzgadniania kluczy Diffiego-Hellmana to protokół kryptograficzny, w wyniku wykonania którego, dwie strony otrzymują taką samą liczbę, przy czym otrzymanie tej liczby na podstawie treści wymienionych wiadomości między stronami jest praktycznie niemożliwe. Liczba ta może być potem używana jako klucz do szyfrowania komunikacji.
Internet Engineering Task Force to nieformalne, międzynarodowe stowarzyszenie osób zainteresowanych ustanawianiem standardów technicznych i organizacyjnych w Internecie.

Z powodu ograniczeń w eksporcie technologii kryptograficznych ze Stanów Zjednoczonych, większość implementacji protokołu SSL nie mogła wykorzystywać kluczy symetrycznych dłuższych niż 40 bitów. Dzięki temu rządowe agencje bezpieczeństwa dysponujące odpowiednio dużą mocą obliczeniową (m.in. NSA) były w stanie złamać szyfr metodą brute-force. Po kilku latach publicznej debaty, lepszemu poznaniu dłuższych kluczy przez zainteresowane strony oraz kilku sprawach sądowych, rząd złagodził swoje stanowisko wobec stosowania większych kluczy. Obecnie 40-bitowe klucze wyszły z użycia i zostały zastąpione przez zapewniające większe bezpieczeństwo klucze o długości 128 i więcej bitów.

Man in the middle (ang. człowiek pośrodku) – atak kryptologiczny polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.
Infrastruktura klucza publicznego (ang. Public Key Infrastructure (PKI)) – szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacyjne (CA), urzędy rejestracyjne (RA), subskrybenci certyfikatów (użytkownicy), oprogramowanie i sprzęt. Infrastruktura klucza publicznego tworzy hierarchiczną strukturę zaufania, której podstawowym dokumentem jest certyfikat klucza publicznego. Najpopularniejszym standardem certyfikatów PKI jest X.509 w wersji trzeciej.

W 2009 w protokole SSL odkryto podatność na atak w procesie renegocjacji sesji. Błąd umożliwiał wysłanie danych do serwera przed użytkownikiem bez jego wiedzy (zobacz: Atak man in the middle). W związku z tym, że podatność dotyczyła protokołu, a nie jednej implementacji, jedyną metodą jej obejścia było wyłączenie możliwości renegocjacji w ogóle. Równocześnie zaproponowana została poprawka do specyfikacji protokołu w postaci rozszerzenia.

Klient - oprogramowanie (czasami komputer, na którym to oprogramowanie jest uruchomione) korzystające z usług dostarczanych przez serwer. Przykładem może być cała rodzina oprogramowania typu telnet czy SSH; jednym z klientów w tej kategorii jest PuTTY - program pozwalający użytkownikowi na korzystanie z konsoli tekstowej na zdalnym komputerze. Innym przykładem jest przeglądarka internetowa pobierająca strony WWW - np. z popularnego serwera Apache oraz MySQL.
Uwierzytelnianie (ang. authentication, niepoprawnie autentykacja) – proces polegający na zweryfikowaniu zadeklarowanej tożsamości osoby, urządzenia lub usługi biorącej udział w wymianie danych.

Wersje protokołu

SSL 1 – wersja miała poważną dziurę w bezpieczeństwie. Procedury uzgadniania szyfru nie były zabezpieczone, więc atakujący mógł wymusić używanie najsłabszego szyfru obsługiwanego przez komunikujących się, ze złamaniem którego mógł sobie poradzić znacznie łatwiej niż z szyfrem, który strony wybrałyby normalnie.

SSL 2 – wersja zmienia procedurę negocjacyjną.

SSL 3 – popularna wersja, obecnie wypierana przez TLS 1.0.

TLS 1.0 – rozwinięcie SSL 3 opisane w RFC 2246.

TLS 1.1 – opisana w RFC 4346, zalecana przez IETF jako standard i coraz częściej używana. Wyjaśnia ona pewne niejednoznaczności i dodaje nowe zalecenia wynikające z praktyki użycia – opisano to w RFC 4366, RFC 4680 i RFC 4681.

TLS 1.2 - opisana w RFC 5246 i oparta o wcześniejszą wersję, czyli TLS 1.1.

Gopher jest protokołem klient-serwer pozwalającym na rozpowszechnianie informacji w powszechnych/kampusowych systemach informacyjnych (world/campus-wide information system (CWIS)). Powstał w kwietniu 1991 roku na University of Minnesota Microcomputer, Workstation, Networks Center w celu dystrybucji informacji wewnątrzwydziałowej.
Certyfikat klucza publicznego – informacja o kluczu publicznym podmiotu, która dzięki podpisaniu przez zaufaną trzecią stronę jest niemożliwa do podrobienia.

czytaj dalej: [2], [3]

w oparciu o Wikipedię (licencja GFDL, CC-BY-SA 3.0, autorzy, historia, edycja)