LuxSci FYIHow-t-Secure Socket Layer (SSL ou TLS) travail

Catégories

Connexion au compte

SSL a été récemment remplacé par TLS (Transport Layer Security). TLS est plus récent et plus sûr que le protocole SSL (Voir TLS vs SSL: Quelle est la différence?); Cependant, d'un point de vue profane personne de « comment ça marche », ils sont fonctionnellement identiques. Nous utilisons le terme « SSL » pour désigner à la fois TLS et SSL dans cet article pour plus de simplicité.

Avant de discuter de la façon dont fonctionne SSL et quels types de sécurité qu'il offre, voyons d'abord ce qui se passe sans SSL.

La vie sur Internet sans SSL

Comparons communications sur l'Internet et les communications entre les personnes par téléphone. Sans SSL, vos communications d'ordinateur à ordinateur souffrent des mêmes problèmes de sécurité dont vos communications téléphoniques souffrent:

• A qui parles-tu? Dans une conversation téléphonique, comment pouvez-vous être sûr que la personne qui décroche le téléphone à l'autre bout est vraiment la personne que vous essayez d'appeler (surtout si vous ne l'avez jamais parlé avec eux avant)? Que faire si votre appel téléphonique est intercepté ou réacheminés, ou si quelqu'un d'autre répond le téléphone de votre destinataire de l'appel? Il n'y a vraiment aucun moyen d'être sûr que vous avez atteint la bonne personne, surtout si elles tentent activement de vous tromper.
• Eavesdropping? Comme vous le savez de regarder la télévision ou de la lecture, il est très facile de « taper » lignes téléphoniques: le gouvernement et les espions font tout le temps de recueillir secrètement des informations (par exemple, la NSA PRISM et d'autres programmes de surveillance). Il est difficile impossible de détecter si vos lignes sont exploitées. De même pour les communications sur Internet - comment pouvez-vous être sûr que vos communications ne sont pas « exploitées » et enregistrées? Cela est particulièrement problématique dans les hotspots wifi publics ou lors de la communication par les grands fournisseurs de services Internet publics tels que Verizon ou Comcast.

Entrée: le Secure Socket Layer (SSL)

Pour résoudre ces problèmes dans une large mesure, la plupart des services Internet prennent en charge l'utilisation de SSL comme mécanisme pour sécuriser les communications. Pour illustrer le fonctionnement SSL, laissez-nous utiliser une autre analogie.

Jason veut communiquer en utilisant « la poste » avec une entreprise d'envoyer des informations importantes dans les deux sens (par exemple une banque). Jason veut être sûr à 100% qu'il communique avec cette entreprise en particulier et que personne ne peut espionner ou intercepter les communications.

Comment peut-il faire cela?

1. Jason envoie un courrier à l'adresse de la société.
2. La société a des enveloppes, lorsqu'il est fermé, ne peut être ouvert par la société. La société et le courrier vont ensemble à un tiers de confiance - un notaire - ce qui rend la société de fournir des documents prouvant son identité. Le notaire certifie l'identité de la société et de ses enveloppes sécurisées et le courrier prend ces enveloppes de retour à Jason.
3. Jason obtient les enveloppes et, s'il fait confiance à la réputation du notaire. il peut être sûr qu'ils sont en réalité de la société a indiqué (la confiance est établie).
4. Jason a aussi des enveloppes sécurisées, une fois scellé, que Jason peut ouvrir. Il met certains d'entre eux dans l'une des enveloppes sécurisées de l'entreprise et les envoie à la société.
5. La société obtient l'enveloppe sécurisée étanche. Il ouvre l'enveloppe (comme elle seule peut). Il a maintenant des enveloppes sécurisées de Jason.
6. La société a un autre type d'enveloppe qui peut être ouvert et fermé uniquement en utilisant une combinaison spéciale (par exemple un code de sécurité). La société met cette spéciale combinaison enveloppe, ainsi que la combinaison appropriée, dans l'une des enveloppes sécurisées de Jason. La société scelle l'enveloppe.
7. La société a un autre type d'enveloppe sécurisée que tout le monde peut ouvrir. mais qui peut sceller seulement l'entreprise. Si vous ouvrez une de ces enveloppes scellées, vous êtes sûr qu'il a été envoyé par la société. La société met tout le paquet dans ce et l'envoie à Jason.
8. Lorsque Jason reçoit l'enveloppe sécurisée, il ouvre et sait donc qu'il est venu de la compagnie. Il ouvre alors la prochaine enveloppe sécurisée à l'intérieur qui ne peut être ouverte par Jason. A l'intérieur, Jason trouve la combinaison enveloppe et la combinaison elle-même.
9. Jason met ses données dans l'enveloppe de combinaison, il scelle avec la combinaison, et il envoie à la société.
10. La société reçoit, ouvre et met la réponse dans la même enveloppe sécurisée et le renvoie.
11. La procédure est répétée aussi souvent que nécessaire pour les communications nécessaires.

Jason a été en mesure de faire confiance qu'il parle à cette banque et il a également établi des communications sécurisées avec la banque.

Comment cela s'applique à SSL?

SSL en action

1. Une entreprise souhaite sécuriser les communications à leur company.com serveur web.
2. Ils créent une clé publique et privée pour company.com (ce qui est également connu comme un « certificat SSL « ).
3. Ils vont à une société tiers de confiance du parti tels que Thawte ou Verisign. Thawte rend l'entreprise prouve son identité et le droit d'utiliser le domaine company.com. Cela implique généralement une certaine paperasse et les frais.
4. Une fois la vérification terminée, la société donne Thawte une nouvelle clé publique qui a des informations supplémentaires en elle. Cette information est la certification de cette clé que Thawte publique est pour l'entreprise et company.com, que cela a été vérifié par Thawte, et que cela est valable pour une certaine période de temps. Ces informations de certification sont cryptées à l'aide propre clé privée ... nous allons Thawte voir pourquoi ci-dessous.

Puis, quand Jason souhaite communiquer avec la société à company.com,

Alors, êtes-il des limites à ce processus?

Tout cela sonne bien - quels sont les côtés vers le bas? Il y a un peu.

clés anciennes courtes peuvent être brisés par essais et erreurs si l'on a accès à des ressources informatiques importantes et une bonne quantité de temps. Ces jours-ci, les clés utilisées pour les certificats SSL sont généralement « 2048 bits » ou plus pour les rendre à l'abri de ces attaques (pour un bon moment encore). De même, les chiffrements utilisés pour le chiffrement symétrique utilisé dans SSL sont « 128 bits » ou mieux. Il y a tellement de mots de passe possibles avec 128 bits qu'il prendrait beaucoup plus longtemps que l'âge de l'univers à un « deviner ». Le vrai danger est l'algorithme de chiffrement, plus que la longueur de clé.

SSL utilise un d'une grande variété de possibles « ( » chiffrements algorithmes de chiffrement) pour effectuer le chiffrement symétrique.

Quels services peuvent être protégés par SSL?

Les références

Pour SSL et d'autres systèmes de chiffrement asymétriques, il y a deux clés impliqués. La clé intégrée dans le certificat SSL est la clé asymétrique. En raison de la façon dont fonctionne le calcul, les clés asymétriques sont plus faciles à casser que les clés de chiffrement symétrique. En conséquence, les clés asymétriques doivent être plus (avoir de plus grandes longueurs de bits, comme 1024, 2048, ou plus).

La clé asymétrique est utilisé conjointement avec l'algorithme de chiffrement asymétrique lors des communications client-serveur initial. Au cours de cette phase, l'identité est vérifiée et vérifiée, etc. En outre, parce que le chiffrement asymétrique est beaucoup plus lent que le cryptage symétrique, le client et le serveur d'accord sur un algorithme de chiffrement symétrique et nouvelle clé symétrique à utiliser pour le reste de leur session de communication. Ils passent alors de chiffrement symétrique à asymétrique (en utilisant quelque chose comme AES) pour le reste de la session. La clé de chiffrement de 128 bits ou 256 bits est celle utilisée pour la session de chiffrement symétrique spécifique.

Alors:
* La clé 1024+ est la clé asymétrique utilisée pour toutes les communications initiales sur SSL avec un serveur spécifique.
* La clé de bit 128-256 est la clé de session de chiffrement symétrique utilisé pour une seule session spécifique des communications cryptées entre le client et le serveur. Il est négocié pendant le début de la session, que la communication protégée en utilisant le chiffrement asymétrique.
* En raison de la nature mathématique de chiffrement asymétrique, la longueur de clé pour les clés asymétriques doit être beaucoup plus longue que celle des clés symétriques pour assurer la sécurité

15 septembre - 23h30

Merci pour l'excellent article!

Pourriez-vous s'il vous plaît expliquer la différence entre les deux terminologies et si elles sont liées en aucune façon suivante

1028 - 2048 clés de bits
cryptage 256 bits - 128

Je sais que le 128-256 est le niveau de cryptage que le client-serveur d'accord sur l'utilisation, qu'en terme 1024 ou 2048, où la dose ce dans tout ça?

Utilisés ensemble, ces mécanismes permettent la validation et prévenir eavesdroppng, entre autres.

[...] email sur POP ou IMAP sur votre Blackberry tant que votre fournisseur de messagerie prend en charge les connexions POP et IMAP sécurisé, SSL et peut faire en sorte que le Blackberry ne sera pas autorisé à faire l'insécurité [...]

C'est la même raison pour laquelle nous affirmons que Thawte redonne une nouvelle « clé publique avec plus d'informations ». Il est vrai que la clé elle-même est le même, mais le fichier est modifié avec plus d'informations. Pour une simple description commune, du processus, cela devient le point à travers.

Que vous pour vos précisions, cependant.

Ceci est un article assez bon, mais vous avez obtenu des informations incorrectes. Par exemple:
(I) vous dites: « Ils créent une clé publique et privée pour company.com (ce qui est également connu comme un « certificat ») ». Pas vrai. Le « certificat » ne contient pas la clé privée. Il ne contient que la clé publique de l'entité (avec une signature numérique de l'AC et d'autres informations d'identification utiles).
(Ii) vous déclarez: « Une fois la vérification terminée, la société donne Thawte une nouvelle clé publique qui a des informations supplémentaires dans ce ... » Encore une fois, pas vrai. Vous confondez la clé publique avec le certificat numérique ici. Une clé publique n'a qu'une seule clé privée correspondante. Si une « nouvelle clé publique » a été émis, la clé privée existante ne fonctionnerait plus. Thawte fournirait company.com un certificat signé numériquement la certification clé publique de cette company.com (qui company.com fourni à thawte) est en fait la clé publique. Il n'y a pas besoin de tout le monde à voir Thawte clé privée de company.com.

[...] des données de formulaire par courriel peuvent être fixés à l'aide de PGP ou S / MIME. Ceci, combiné avec l'utilisation de SSL Forcées, assure que les données de formulaire est sécurisé de bout en bout ... de la soumission par l'utilisateur final à [...]

[...] TLS: MX Logic lance Forcées TLS (Transport Layer Security), qui fournira aux clients la possibilité de forcer la livraison entrante ou sortante du courrier via [...]

[...] "Le LuxSci Blog Pour votre information" Comment Secure Socket Layer (SSL ou TLS) fonctionne? Comprendre les services de messagerie: Que sont-ils et qu'est-ce que vous avez besoin? [...]

[...] les services décrits ci-dessous) encrypte la communication entre votre ordinateur et le serveur en utilisant TLS ou SSL tels que personne ne peut écouter et détecter votre nom d'utilisateur, mot de passe ou le contenu des messages - le [...]

[...] que votre fournisseur de messagerie prend en charge le cryptage TLS des messages électroniques que vous envoyez, il est possible de déterminer si les bénéficiaires individuels de la vôtre aussi [...]

Articles Liés

• Comment fonctionne Clay Animations travail, Wonderopolis

• Comment fonctionne le chloroforme pour vous faire connaissance, les questions scientifiques, Naked Scientists

• Nike FuelBand Review - Comment ça marche