Mis on TLS? Transpordikihi turvakrüptimine on selgitatud lihtsas inglise keeles

Kui soovite pidada tuttava inimesega konfidentsiaalset vestlust, võite kohtuda isiklikult ja leida privaatne koht, kus vestelda.

Aga kui soovite andmeid konfidentsiaalselt Interneti kaudu saata, võib teil olla veel mõni kaalutlus.

TLS ehk Transport Layer Security viitab protokollile. "Protokoll" on sõna, mis tähendab enam-vähem "viisi, kuidas oleme kokku leppinud siinpool asju tegema".

TLS-i "transpordikihi" osa viitab Interneti-protokolli paketi mudelis lihtsalt host-host suhtlusele, näiteks kliendi ja serveri suhtlemisele.

TLS-protokoll proovib lahendada neid põhiprobleeme:

  • Kuidas ma tean, et sa oled see, kes sa ennast ütled?
  • Kuidas ma tean, et seda teie sõnumit ei ole muudetud?
  • Kuidas saaksime turvaliselt suhelda?

Selgesõnaliselt selgitatakse, kuidas TLS töötab. Nagu paljude edukate suhtluste puhul, algab see ka käepigistusega.

Sinuga tutvumine

TLS-i käepigistuse põhiprotsess hõlmab klienti, näiteks teie veebibrauserit, ja serverit, näiteks ühte veebisaidi majutamist, kehtestades suhtluse põhireeglid.

See algab sellest, et klient ütleb tere. Sõna otseses mõttes. Seda nimetatakse ClientHello sõnumiks.

Client sõnum ütleb server, mis TLS protokolli versiooni ja šifrikomplekte ta toetab.

Kuigi "šifrite komplekt" kõlab nagu uhke hotelliuuendus, viitab see lihtsalt algoritmide komplektile, mida saab kasutada side turvaliseks muutmiseks.

Server valib sarnase nimega ServerHello sõnumis pakutavate valikute hulgast kasutatava protokolliversiooni ja šifrikomplekti . Samuti võib saata muid andmeid, näiteks seansi ID , kui server toetab eelmise käepigistuse jätkamist.

Sõltuvalt valitud šifripaketist vahetavad klient ja server jagatud saladuse loomiseks lisateavet.

Sageli viib see protsess vahetuse asümmeetriliselt krüptograafialt erineva keerukusega sümmeetrilisele krüptograafiale. Uurime neid mõisteid üldisel tasandil ja uurime, miks need TLS-i jaoks olulised on.

Asümmeetriline algus

See on asümmeetria:

Asümmeetriline krüptograafia on üks meetod, mille abil saate autentimist teostada . Enda autentimisel vastate põhiküsimusele: "Kuidas ma tean, et olete see, kes te end ütlete?"

Asümmeetrilises krüptograafiasüsteemis kasutate autentimise saavutamiseks paari võtmeid. Need klahvid on asümmeetrilised. Üks võti on teie avalik võti, mis, nagu arvate, on avalik. Teine on teie isiklik võti, mis - noh, teate küll.

Tavaliselt annab server TLS-käepigistuse ajal oma avaliku võtme oma digitaalse sertifikaadi kaudu, mida mõnikord nimetatakse ka SSL-i sertifikaadiks , kuigi TLS asendab aegunud Secure Sockets Layer (SSL) protokolli.

Digitaalsertifikaate pakuvad ja kontrollivad usaldusväärsed kolmandad osapooled, mida nimetatakse sertifikaadiasutusteks (CA), mis on omaette artikkel.

Ehkki igaüks võib krüptida sõnumi teie avaliku võtme abil, saab selle kirja dekrüpteerida ainult teie privaatne võti.

Asümmeetrilise krüptograafia turvalisus sõltub ainult teie privaatvõtme privaatsusest, seega asümmeetria.

See on ka asümmeetriline selles mõttes, et see on ühesuunaline reis. Alice võib teile saata teie avaliku võtmega krüptitud sõnumeid, kuid kumbki teie võti ei aita teil Alice'ile krüptitud sõnumit saata.

Sümmeetrilised saladused

Asümmeetriline krüptograafia nõuab ka rohkem arvutuslikke ressursse kui sümmeetriline krüptograafia.

Seega, kui TLS-i käepigistus algab asümmeetrilise vahetusega, kasutavad klient ja server seda esialgset sidet, et luua jagatud saladus, mida mõnikord nimetatakse seansivõtmeks . See võti on sümmeetriline, mis tähendab, et mõlemad osapooled kasutavad sama jagatud saladust ja peavad krüptimise turvalisuse tagamiseks seda saladust hoidma.

Kasutades seansivõtme loomiseks esialgset asümmeetrilist sidet, saavad klient ja server tugineda sellele, et seansivõti on teada ainult neile. Ülejäänud seansi ajal kasutavad mõlemad sõnumite krüptimiseks ja dekrüpteerimiseks sama jagatud võtit, mis kiirendab suhtlemist.

Turvalised seansid

TLS-i käepigistus võib jagatud seansivõtme loomiseks kasutada asümmeetrilist krüptograafiat või muid šifripakette. Kui seansi võti on loodud, on käepigistus valmis ja seanss algab.

Istungil on kestus krüpteeritud suhtlemine kliendi ja serveri. Sel ajal krüpteeritakse ja dekrüpteeritakse kirjad seansivõtme abil, mis on ainult kliendil ja serveril. See tagab suhtluse turvalisuse.

Kontrollsumma abil säilitatakse vahetatud teabe terviklikkus. Seansivõtmete abil vahetatud sõnumitele on lisatud sõnumi autentimiskood (MAC). See pole sama asi kui teie seadme MAC-aadress. MAC genereeritakse ja kontrollitakse seansivõtme abil.

Seetõttu saab kumbki osapool enne selle kättesaamist tuvastada, kas sõnumit on muudetud. See lahendab põhimõttelise küsimuse: "Kuidas ma tean, et seda teie sõnumit pole muudetud?"

Seansid võivad lõppeda tahtlikult võrgu katkestamise tõttu või siis, kui klient jääb liiga kauaks jõude. Kui seanss on lõppenud, tuleb see uuesti luua uue käepigistuse või varem loodud saladuste, seansi ID-de abil, mis võimaldavad seanssi jätkata.

TLS ja sina

Võtame kokku:

  • TLS on krüptograafiline protokoll turvalise side pakkumiseks.
  • Turvalise ühenduse loomise protsess algab käepigistusega.
  • Käepigistus loob jagatud seansivõtme, mida kasutatakse seejärel sõnumite turvamiseks ja sõnumi terviklikkuse tagamiseks.
  • Seansid on ajutised ja kui need on lõppenud, tuleb need uuesti luua või jätkata.

See on lihtsalt väga keeruliste krüptosüsteemide pinnatasand, mis aitab teie sidet turvaliselt hoida. Teema põhjalikumaks tutvustamiseks soovitan uurida šifripakette ja erinevaid toetatavaid algoritme.

TLS-protokoll täidab teie igapäevaelus väga olulist eesmärki. See aitab kaitsta teie e-kirju perekonnale, veebipanga tegevusi ja ühendust, mille kaudu seda artiklit loete.

HTTPS-sideprotokoll krüpteeritakse TLS-i abil. Iga kord, kui näete oma URL-i ribal seda väikest lukuikooni, kogete omal nahal kõiki mõisteid, mille kohta just lugesite selles artiklis.

Nii et nüüd teate vastust viimasele küsimusele: "Kuidas saaksime turvaliselt suhelda?"