|
Σφήνα Η φήμη Crusher κυκλοφόρησε πριν από λίγες ημέρες «Η πρόσβαση στο Διαδίκτυο με δημόσιο WiFi θα θέσει σε κίνδυνο την ασφάλεια των τραπεζικών λογαριασμών; Το άρθρο εισάγει ορισμένες καταστάσεις στη χρήση του HTTPS για κρυπτογραφημένη μετάδοση δικτύου και, αν κρίνουμε από την απάντηση, εξακολουθούν να υπάρχουν διαφωνίες. Καθώς το Διαδίκτυο γίνεται όλο και πιο δημοφιλές, η εφαρμογή γίνεται όλο και πιο διαδεδομένη και ορισμένα ζητήματα ασφάλειας δικτύου θα προσελκύουν επίσης όλο και περισσότερη προσοχή από τους χρήστες του Διαδικτύου, εδώ θα μιλήσουμε για το TLS/SSL, το οποίο είναι αυτό που συχνά ονομάζουμε HTTPS, από την αρχή στην πραγματική εφαρμογή για να δούμε τι είναι και ποια προβλήματα πρέπει να προσέξετε όταν χρησιμοποιείτε το HTTPS και τις σχετικές τεχνικές ασφαλείας. Η κυβερνοασφάλεια είναι ένα ολιστικό γεγονός που περιλαμβάνει την ασφάλεια προσωπικών υπολογιστών, πρωτοκόλλων, μετάδοσης δεδομένων και εταιρειών ανάπτυξης λογισμικού και ιστότοπων. Ελπίζω ότι εξηγώντας σιγά σιγά ζητήματα που σχετίζονται με την ασφάλεια στο μέλλον, περισσότεροι άνθρωποι θα μπορούν να κατανοήσουν την ασφάλεια του δικτύου, ώστε να μπορούν να χρησιμοποιούν το δίκτυο με μεγαλύτερη ασφάλεια. Το άρθρο θα είναι μεγάλο και σχεδιάζεται να χωριστεί σε τρία μέρη προς το παρόν: Το πρώτο μέρος περιγράφει κυρίως την αρχή του HTTPS. Το δεύτερο μέρος περιγράφει κυρίως τη διαδικασία επαλήθευσης πιστοποιητικού SSL και ορισμένες προφυλάξεις κατά τη χρήση. Το τρίτο μέρος παρουσιάζει ορισμένες περιπτώσεις επιθέσεων HTTPS. 1. Τι είναι το HTTPS;Πριν μιλήσουμε για το HTTPS, ας μιλήσουμε για το τι είναι το HTTP, το οποίο είναι ένα πρωτόκολλο που χρησιμοποιούμε συνήθως κατά την περιήγηση στον Ιστό. Τα δεδομένα που μεταδίδονται από το πρωτόκολλο HTTP δεν είναι κρυπτογραφημένα, δηλαδή σε απλό κείμενο, επομένως είναι πολύ ανασφαλής η μετάδοση προσωπικών πληροφοριών χρησιμοποιώντας το πρωτόκολλο HTTP. Προκειμένου να διασφαλιστεί ότι αυτά τα ιδιωτικά δεδομένα μπορούν να κρυπτογραφηθούν και να μεταδοθούν, η Netscape σχεδίασε το πρωτόκολλο SSL (Secure Sockets Layer) για την κρυπτογράφηση των δεδομένων που μεταδίδονται από το πρωτόκολλο HTTP, γεννώντας έτσι το HTTPS. Η τρέχουσα έκδοση του SSL είναι η 3.0, η οποία ορίζεται στο RFC 6101 από την IETF (Internet Engineering Task Force) και στη συνέχεια η IETF αναβάθμισε το SSL 3.0, με αποτέλεσμα το TLS (Transport Layer Security) 1.0, που ορίζεται στο RFC 2246. Στην πραγματικότητα, το τρέχον HTTPS μας είναι το πρωτόκολλο TLS, αλλά επειδή το SSL εμφανίστηκε σχετικά νωρίς και εξακολουθεί να υποστηρίζεται από τα τρέχοντα προγράμματα περιήγησης, το SSL εξακολουθεί να είναι συνώνυμο με το HTTPS, αλλά είτε είναι TLS είτε SSL είναι κάτι του περασμένου αιώνα, η τελευταία έκδοση του SSL είναι 3.0 και το TLS θα συνεχίσει να παρέχει υπηρεσίες κρυπτογράφησης για εμάς στο μέλλον. Η τρέχουσα έκδοση του TLS είναι 1.2, που ορίζεται στο RFC 5246 και δεν χρησιμοποιείται ακόμη ευρέως. Για όσους ενδιαφέρονται για την ιστορία, μπορείτε να ανατρέξετε στο http://en.wikipedia.org/wiki/Transport_Layer_Security, το οποίο έχει μια λεπτομερή περιγραφή του TLS/SSL.
2. Είναι ασφαλές το HTTPS;Η απάντηση είναι ναι, είναι ασφαλές. Τις επόμενες εβδομάδες, η Google θα ενεργοποιήσει το HTTPS για όλους τους τοπικούς τομείς σε όλο τον κόσμο, οι χρήστες χρειάζεται μόνο να συνδεθούν με τον λογαριασμό τους Google πριν από την αναζήτηση και όλες οι λειτουργίες αναζήτησης θα κρυπτογραφηθούν χρησιμοποιώντας το πρωτόκολλο TLS, δείτε: http://thenextweb.com/google/2012/03/05/google-calls-for-a-more-secure-web-expands-ssl-encryption-to-local-domains/。
3. Πώς λειτουργεί το HTTPSΤο HTTPS απαιτεί χειραψία μεταξύ του πελάτη (πρόγραμμα περιήγησης) και του διακομιστή (ιστότοπος) πριν από τη μετάδοση δεδομένων και οι πληροφορίες κωδικού πρόσβασης και των δύο μερών θα καθοριστούν κατά τη διαδικασία χειραψίας. Το πρωτόκολλο TLS/SSL δεν είναι απλώς ένα σύνολο κρυπτογραφημένων πρωτοκόλλων μετάδοσης, αλλά και ένα έργο τέχνης που έχει σχεδιαστεί προσεκτικά από καλλιτέχνες, χρησιμοποιώντας ασύμμετρη κρυπτογράφηση, συμμετρική κρυπτογράφηση και αλγόριθμους HASH. Μια απλή περιγραφή της διαδικασίας χειραψίας έχει ως εξής:
- Το πρόγραμμα περιήγησης στέλνει ένα σύνολο κανόνων κρυπτογράφησης που υποστηρίζει στον ιστότοπο.
- Ο ιστότοπος επιλέγει ένα σύνολο αλγορίθμων κρυπτογράφησης και αλγορίθμων HASH από αυτούς και στέλνει τις πληροφορίες ταυτότητάς του πίσω στο πρόγραμμα περιήγησης με τη μορφή πιστοποιητικού. Το πιστοποιητικό περιέχει πληροφορίες όπως η διεύθυνση του ιστότοπου, το δημόσιο κλειδί κρυπτογράφησης και ο εκδότης του πιστοποιητικού.
- Μετά την απόκτηση πιστοποιητικού ιστότοπου, το πρόγραμμα περιήγησης κάνει τα εξής:
- Επαληθεύστε τη νομιμότητα του πιστοποιητικού (εάν η αρχή που εκδίδει το πιστοποιητικό είναι νόμιμη, εάν η διεύθυνση ιστότοπου που περιέχεται στο πιστοποιητικό είναι η ίδια με τη διεύθυνση που επισκέπτεστε κ.λπ.), εάν το πιστοποιητικό είναι αξιόπιστο, θα εμφανιστεί μια μικρή κλειδαριά στη γραμμή του προγράμματος περιήγησης, διαφορετικά θα δοθεί μια προτροπή ότι το πιστοποιητικό δεν είναι αξιόπιστο.
- Εάν το πιστοποιητικό είναι αξιόπιστο ή εάν ο χρήστης αποδεχτεί ένα μη αξιόπιστο πιστοποιητικό, το πρόγραμμα περιήγησης δημιουργεί έναν τυχαίο αριθμό κωδικών πρόσβασης και τους κρυπτογραφεί με το δημόσιο κλειδί που παρέχεται στο πιστοποιητικό.
- Το μήνυμα χειραψίας υπολογίζεται χρησιμοποιώντας το συμφωνημένο HASH και το μήνυμα κρυπτογραφείται με τον τυχαίο αριθμό που δημιουργήθηκε και, τέλος, όλες οι πληροφορίες που δημιουργήθηκαν προηγουμένως αποστέλλονται στον ιστότοπο.
4. Αφού λάβει τα δεδομένα από το πρόγραμμα περιήγησης, ο ιστότοπος κάνει τα εξής: - Χρησιμοποιήστε το δικό σας ιδιωτικό κλειδί για να αποκρυπτογραφήσετε τον κωδικό πρόσβασης, χρησιμοποιήστε τον κωδικό πρόσβασης για να αποκρυπτογραφήσετε το μήνυμα χειραψίας που αποστέλλεται από το πρόγραμμα περιήγησης και βεβαιωθείτε ότι το HASH είναι το ίδιο με αυτό που αποστέλλεται από το πρόγραμμα περιήγησης.
- Ένα μήνυμα χειραψίας κρυπτογραφείται με κωδικό πρόσβασης και αποστέλλεται στο πρόγραμμα περιήγησης.
5. Το πρόγραμμα περιήγησης αποκρυπτογραφεί και υπολογίζει το HASH του μηνύματος χειραψίας, εάν είναι συνεπές με το HASH που αποστέλλεται από τον διακομιστή, η διαδικασία χειραψίας τελειώνει και, στη συνέχεια, όλα τα δεδομένα επικοινωνίας θα κρυπτογραφηθούν από τον τυχαίο κωδικό πρόσβασης που δημιουργήθηκε από το προηγούμενο πρόγραμμα περιήγησης και χρησιμοποιώντας τον αλγόριθμο συμμετρικής κρυπτογράφησης.
Εδώ, το πρόγραμμα περιήγησης και ο ιστότοπος στέλνουν ένα κρυπτογραφημένο μήνυμα χειραψίας μεταξύ τους και επαληθεύουν, προκειμένου να διασφαλιστεί ότι και τα δύο μέρη έχουν λάβει τον ίδιο κωδικό πρόσβασης και μπορούν να κρυπτογραφήσουν και να αποκρυπτογραφήσουν τα δεδομένα κανονικά και να κάνουν μια δοκιμή για την επακόλουθη μετάδοση πραγματικών δεδομένων. Επιπλέον, οι αλγόριθμοι κρυπτογράφησης και HASH που χρησιμοποιούνται συνήθως από το HTTPS είναι οι εξής: - Αλγόριθμοι ασύμμετρης κρυπτογράφησης: RSA, DSA/DSS
- Συμμετρικοί αλγόριθμοι κρυπτογράφησης: AES, RC4, 3DES
- Αλγόριθμος HASH: MD5, SHA1, SHA256
Μεταξύ αυτών, ο αλγόριθμος ασύμμετρης κρυπτογράφησης χρησιμοποιείται για την κρυπτογράφηση του κωδικού πρόσβασης που δημιουργείται κατά τη διαδικασία χειραψίας, ο αλγόριθμος συμμετρικής κρυπτογράφησης χρησιμοποιείται για την κρυπτογράφηση των πραγματικών μεταδιδόμενων δεδομένων και ο αλγόριθμος HASH χρησιμοποιείται για την επαλήθευση της ακεραιότητας των δεδομένων. Δεδομένου ότι ο κωδικός πρόσβασης που δημιουργείται από το πρόγραμμα περιήγησης είναι το κλειδί για την κρυπτογράφηση όλων των δεδομένων, κρυπτογραφείται χρησιμοποιώντας έναν αλγόριθμο ασύμμετρης κρυπτογράφησης κατά τη μετάδοση. Ο αλγόριθμος ασύμμετρης κρυπτογράφησης θα δημιουργήσει δημόσια και ιδιωτικά κλειδιά, τα δημόσια κλειδιά μπορούν να χρησιμοποιηθούν μόνο για την κρυπτογράφηση δεδομένων, ώστε να μπορούν να μεταδοθούν κατά βούληση και τα ιδιωτικά κλειδιά του ιστότοπου χρησιμοποιούνται για την αποκρυπτογράφηση των δεδομένων, επομένως ο ιστότοπος θα διατηρήσει το ιδιωτικό του κλειδί πολύ προσεκτικά για να αποτρέψει τη διαρροή. Οποιοδήποτε σφάλμα κατά τη διαδικασία χειραψίας TLS μπορεί να διακόψει την κρυπτογραφημένη σύνδεση, αποτρέποντας τη μετάδοση προσωπικών πληροφοριών. Ακριβώς επειδή το HTTPS είναι πολύ ασφαλές, οι εισβολείς δεν μπορούν να βρουν ένα μέρος για να ξεκινήσουν, επομένως χρησιμοποιούν πλαστά πιστοποιητικά για να εξαπατήσουν τους πελάτες για να λάβουν πληροφορίες απλού κειμένου, αλλά αυτές οι μέθοδοι μπορούν να εντοπιστούν, για τις οποίες θα μιλήσω σε επόμενο άρθρο. Ωστόσο, το 2010, ειδικοί σε θέματα ασφάλειας ανακάλυψαν μια ευπάθεια στον χειρισμό του πρωτοκόλλου TLS 1.0: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/, στην πραγματικότητα, αυτή η μέθοδος επίθεσης που ονομάζεται BEAST ανακαλύφθηκε από ειδικούς σε θέματα ασφάλειας ήδη από το 2002, αλλά δεν δημοσιοποιήθηκε. Η Microsoft και η Google έχουν διορθώσει αυτήν την ευπάθεια. Παραπομπή: http://support.microsoft.com/kb/2643584/en-us https://src.chromium.org/viewvc/chrome?view=rev&revision=90643 Η απλοποιημένη έκδοση του HTTPS λειτουργεί επίσης σε συμμετρική κρυπτογράφηση έναντι ασύμμετρης κρυπτογράφησης. | 
Δημοσιεύτηκε στις 24/12/2015 10:56:18 π.μ.
|
|
|
Σπιτονοικοκύρης|
Δημοσιεύτηκε στις 19/4/2018 11:09:21 π.μ.
|
