|
АБРАКАДАБРА (Тоже самое но в читаемом виде)
 SSL: Za6i6ёnniy kanal svazi Internet - ves'ma otkritaa informacionnaa sreda. I ne tol'ko v plane "svobodi informacii", no i v plane nesankcionirovannogo dostupa k etoy informacii. Po razli4nim istori4eskim i texnologi4eskim pri4inam, bol'6instvo trafika, peredavaemogo raznimi sposobami po Internetu, peresilaetsa samim 4to ni na est' otkritim obrazom. To est' zloumi6lennik, podklu4iv6iysa k kanalu pereda4i dannix, smojet besprepatstvenno s4itivat' dannie, peredavaemie pol'zovatelem v Internet i polu4aemie im iz Interneta. I esli soderjimoe soob6enia v temati4eskom forume pro razvedenie brazil'skix letau6ix lisic ne vsegda zaslujivaet sekretnosti, to nomer kreditnoy karti - naprotiv, nujdaetsa v xoro6ey za6ite. Dla obespe4enia za6iti pridumali special'nie texnologii.
Texnologii za6iti osnovani na ispol'zovanii kriptografii. Naibolee 6irokoe rasprostranenie v Web-stroitel'stve sey4as imeet texnologia pod nazvaniem SSL (Secure Sockets Layer) i eё sovremennaa versia TLS (Transport Layer Security). Sekretnost' raboti v Internete obespe4ivaetsa putёm organizacii za6i6ёnnogo 6ifrovaniem kanala svazi mejdu klientskim brauzerom i tem uzlom seti (web-serverom, naprimer), s kotorim pol'zovatel' brauzera obmenivaetsa informaciey. Kone4no, informacia peredaёtsa po tem je samim otkritim kanalam, no zloumi6lennik, proslu6ivau6iy trafik, smojet li6' zapisivat' 6ifrovannie dannie bez osobix nadejd na izvle4enie iz nix sekretnoy 4asti.
Organizacia za6i6ёnnogo kanala svazi poverx standartnix otkritix kanalov - o4evidno, edinstvenniy prigodniy k prakti4eskomu ispol'zovaniu sposob sekretnoy svazi v sovremennom Internete, tak kak pozvolaet "prozra4no" zadeystvovat' su6estvuu6uu setevuu infrastrukturu. Dopolnenia je, realizuu6ie sekretnost', vnosatsa "na urovne prilojeniy": i so storoni servera, i so storoni klienta dobavlautsa programmi, obespe4ivau6ie obmen klu4ami (parolami) i 6ifrovanie/de6ifrovanie dannix.
Izvestno, 4to dla organizacii 6ifrovannogo kanala svazi trebuetsa, 4tobi obe obmenivau6iesa informaciey storoni (v rassmatrivaemom slu4ae - brauzer i web-server) imeli v svoёm rasporajenii sekretniy klu4 (parol'), pozvolau6iy ras6ifrovat' informaciu i, pri etom, nedostupniy proslu6ivau6emu kanal zloumi6lenniku. O sekretnom klu4e pol'zovateli "za6i6ёnnoy svazi" doljni dogovorit'sa zaranee.
Odnako pri rabote v Internete, naprimer pri pose6enii web-saytov, obmen sekretnimi klu4ami natalkivaetsa na su6estvennie trudnosti. Ved' zaranee ne izvestno, na kakoy sayt zadumaet obratit'sa pol'zovatel'. V slu4ae je, kogda voznikla neobxodimost' sekretnogo obmena dannimi s tem ili inim web-saytom, v rasporajenii storon okazivautsa li6' otkritie kanali svazi Interneta. Ponatno, 4to pereda4a sekretnogo klu4a po otkritomu kanalu svazi, gde on mojet bit' perexva4en zloumi6lennikom, delaet bessmislennim primenenie kriptografii. Etu, kazalos' bi nerazre6imuu problemu s sekretnost'u klu4ey i otkritimi kanalami svazi, matematikam udalos' re6it' v konce 80-x godov pro6logo veka. (Kone4no, zada4a re6alas' s drugimi celami, a ne dla togo, 4tobi obespe4it' za6itoy pol'zovateley Interneta. 4to, vpro4em, ne otmenaet cennosti re6enia dla web-texnologiy.)
SSL (TSL) baziruetsa na kriptografi4eskix protokolax s otkritim klu4om. Zdes' ispol'zuetsa para iz dvux klu4ey: otkritiy (publi4niy), prigodniy dla 6ifrovania dannix, i sootvetstvuu6iy otkritomu sekretniy klu4, s pomo6'u kotorogo dannie mojno ras6ifrovat'. To est', u korrespondenta, ispol'zuu6ego za6i6ёnniy kanal svazi, est' para klu4ey: publi4niy klu4 dostupen vsem, a sekretniy - soxranaetsa v tayne. 4tobi organizovat' za6i6ёnniy kanal svazi, dvum storonam dostato4no obmenat'sa mejdu soboy publi4nimi klu4ami 4erez otkritiy kanal svazi - 4erez Internet.
Kriptografi4eskie algoritmi v sistemax s otkritim klu4om ustroeni takim obrazom, 4to informacia iz publi4nogo klu4a pozvolaet li6' za6ifrovat' soob6enie. Dla prakti4eskoy de6ifrovki nujno znat' sekretniy klu4. Publi4niy klu4 ne pozvolaet ras6ifrovat' soob6enie za razumnoe vrema, ispol'zua prakti4eski dostupnie vi4islitel'nie resursi.
Vajno ponimat', 4to zloumi6lennik, ispol'zuu6iy otkritiy klu4, _mojet_ vi4islit' zakrituu 4ast' pari, no takoe vi4islenie avlaetsa _trudnoy_zada4ey_. Dla sovremennix sistem kriptografii s otkritim klu4om - naprimer dla RSA, leja6ey v osnove SSL - pri uslovii pravil'nogo vibora klu4ey pol'zovatelem, vi4islenie sekretnogo klu4a, sootvetstvuu6ego publi4nomu, s4itaetsa nevozmojnim na praktike (pri su6estvuu6em urovne razvitia matematiki). Inimi slovami, s4itaetsa, 4to razrabotannie kriptosistemi s otkritim klu4om raspolagaut dostato4noy dla prakti4eskix primeneniy stoykost'u protiv "vzloma". Interesno, 4to, storogo govora, dla RSA (i drugix sistem) eta stoykost' do six por ne dokazana. Vpro4em, eto ne me6aet ispol'zovat' kriptosistemi na praktike.
V saytostroitel'stve SSL (TLS) primenaetsa dla organizacii "za6i6ёnnogo soedinenia" mejdu brauzerom i web-serverom. Pri etom obmen proisxodit po protoklou https - eto za6i6ёnniy analog http. I brauzer, i programmnoe obespe4enie web-servera doljni podderjivat' SSL (TLS). Takje, rabotu 4erez za6i6ёnniy kanal svazi doljna podderjivat' xosting-plo6adka. Prakti4eski vse sovremennie brauzeri podderjivaut razli4nie versii SSL i TLS, a vot polnocennuu podderjku etix texnologiy so storoni xosting-plo6adki poka predlagaut ne vse xosting-provayderi.
Pri ispol'zovanii SSL dla raboti s web-saytom sozdanie nabora klu4ey (otkritix i sekretnix) i obmen etimi klu4ami mejdu brauzerom i web-serverom proisxodat avtomati4eski, bez u4astia pol'zovatela. Posle togo kak sekretniy kanal sozdan, rabota s web-saytom dla posetitela ni4em ne otli4aetsa ot raboti po otkritomu kanalu, odnako peredavaemie i prinimaemie dannie avtomati4eski 6ifruutsa. Kak mi ukazivali vi6e, ispol'zovanie SSL aktual'no v pervuu o4ered' dla saytov, rabotau6ix s temi dannimi pol'zovatela, kotorie doljni soxranat'sa v tayne. Naprimer, bez SSL fakti4eski nevozmojno organizovat' priёm na internet-sayte platejey po bankovskim kartam (esli, kone4no, zabotit'sa o posetitele sayta). Takje v za6ite nujdaetsa personal'naa informacia: nomera telefonov, nomer pasporta, doma6niy adres.
S ispol'zovaniem SSL (TLS) svazan e6ё odin o4en' vajniy moment. Eto sistema "sertifikatov doveria", kotoruu mi opi6em v sil'no upro6ennom vide.
Esli bolee detal'no vzglanut' na opisanniy ranee mexanizm obmena klu4ami, to okajetsa, 4to v nёm est' nepriatnaa osobennost': proizvoda obmen otkritimi klu4ami, pol'zovatel' nikak ne mojet uznat', 4to on svazivaetsa imenno s tem korrespondentom, s kotorim planiroval. Deystvitel'no, otkritiy klu4 (i sootvetstvuu6iy zakritiy) mojet bit' sgenerirovan kem ugodno, v tom 4isle i zloumi6lennikom, kotoriy vidaёt seba za kogo-to drugogo, prosto nazivaas' ego imenem. Dla re6enia problemi neobxodima tret'a storona, kotoroy doveraut oba pol'zovatela sekretnogo kanala svazi. Eta tret'a storona (nazivaemaa udostoverau6im centrom) smogla bi podtverdit', 4to peredavaemie otkritie klu4i deystvitel'no prinadlejat tem licam, ot imeni kotorix peredautsa. V slu4ae vzaimodeystvia posetitela sayta s web-serverom, udostoverau6iy centr podtverjdaet "podlinnost'" web-sayta.
Esli predpolojit', 4to udostoverau6iy centr ne ispol'zuetsa, to stanovitsa vozmojnoy sleduu6aa situacia. Zloumi6lenniki sozdaut v Interenete klon bankovskogo sayta, vne6ne o4en' poxojiy na original. Kone4no, klon takje podderjivaet rabotu po protokolu https s ispol'zovaniem SSL. Kakim-to obrazom zastaviv posetitela zayti na sayt-obmanku, zloumi6lenniki viujivaut u etogo posetitela nomera kreditnix kart. Pri etom, posetitel' ne mojet uznat', 4to vospol'zovalsa poddel'nim saytom, tak kak s to4ki zrenia brauzera u sayta li6' izmenilsa adres i otkritiy klu4 kriptosistemi - i to, i drugoe dopustimo dla nastoa6ego sayta banka (xota i ne avlaetsa 6tatnoy situaciey).
Nali4ie je udostoverau6ego centra, kotoromu doveraet pol'zovatel' bankovskogo sayta, pozvolilo bi brauzeru avtomati4eski proverit' podlinnost' predlojennogo saytom otkritogo klu4a, sdelav zapros na server centra.
Na praktike sistema podtverjdenia podlinnosti, svazannaa s funkcionirovaniem SSL, - slojnee. V neё vxodit slojnaa ierarxia udostoverau6ix centrov, vidau6ix kone4nim pol'zovatelam (web-saytam) i drugim udostoverau6im centram special'nie elektronnie sertifikati. Web-sayti, pri ustanovlenii za6i6ёnnogo soedinenia, pred&avlaut Eti sertifikati brauzeru, a brauzer, rukovodstvuas' sobstvennim "spiskom doveria", zapra6ivaet podtverjdenia u udostoverau6ix centrov.
Polu4enie SSL-sertifikatov - otdel'naa procedura. Vidaut takie sertifikati special'nie centri, i kajdiy sertifikat privazivaetsa k web-saytu. V bol'6instve slu4aev pomo4' s polu4eniem i ustanovkoy SSL-sertifikata mojet xosting-provayder.
Vpro4em, ustroystvo SSL (i TLS) ne trebuet jёstkoy privazki k toy ili inoy su6estvuu6ey ierarxii udostoverau6ix centrov. Naprimer, nikto ne zapre6aet vladel'cu lubogo web-sayta otkrit' sobstvenniy udostoverau6iy centr i podtverjdat' podlinnost' samostoatel'no vidannix sertifikatov. Pravda, posetiteli doljni budut vnesti takoy udostoverau6iy centr v "spisok doveria" svoix brauzerov.
Takaa situacia s "sertifikaciey" privela k tomu, 4to v Internete su6estvuet "oficial'naa" sistema SSL, so svoimi udostoverau6imi centrami, sertifikati vnutri kotoroy vidautsa, naprimer, kompaniey VeriSign, a s "oficial'noy" sistemoy sosedstvuut mnogie neoficial'nie. Sredi poslednix, naprimer, nekotorie xosting-provayderi, vidau6ie razme6ёnnim na ix plo6adkax web-saytam sobstvennie SSL-sertifikati. "Oficial'nuu" sistemu otli4aet prejde vsego to, 4to vxoda6ie v neё udostoverau6ie centri zapisani v sovremennie brauzeri "po umol4aniu". Serveri je iz drugix sistem pol'zovatelu potrebuetsa dovavit' v "spisok doveria" samostoatel'no.
Itak, podderjka "sekretnix kanalov svazi" SSL (TLS) trebuetsa web-saytam, rabotau6im s personal'noy informaciey pol'zovateley, razgla6enie kotoroy nejelatel'no. Podderjku SSL doljen predostavlat' xosting-provayder, on je doljen pomo4' s polu4eniem sertifikata. Pri polu4enii i oplate sertifikata sleduet udostoverit'sa, 4to sertifikat vidaёtsa "oficial'niy", to est' v sisteme, podderjivaemoy priznannimi v Internete sertificiruu6imi centrami.
vzato s http://site.nic.ru/content/view/69/29/ |
