[Budovanie vedomostí o webovej stránke] HTTPS Tie veci (1) HTTPS princíp (Reprint)

Rumor Crusher pred niekoľkými dňami zverejnil "Ohrozí prístup na internet cez verejnú WiFi bezpečnosť bankových účtov? Článok predstavuje niektoré situácie pri používaní HTTPS pre sieťový šifrovaný prenos a podľa odpovede stále existujú spory. Ako sa internet stáva čoraz populárnejším, aplikácia sa stáva čoraz rozšírenejšou a niektoré problémy so sieťovou bezpečnosťou budú tiež priťahovať čoraz väčšiu pozornosť internetových používateľov, tu budeme hovoriť o TLS/SSL, čo je to, čo často nazývame HTTPS, od princípu až po samotnú aplikáciu, aby sme zistili, čo to je a na aké problémy si dať pozor pri používaní HTTPS a súvisiacich bezpečnostných techník.

Kybernetická bezpečnosť je komplexná udalosť, ktorá zahŕňa bezpečnosť osobných počítačov, protokolov, prenosu dát a softvérových spoločností a webových stránok. Dúfam, že tým, že budeme postupne vysvetľovať bezpečnostné otázky v budúcnosti, viac ľudí pochopí sieťovú bezpečnosť, aby mohli sieť používať bezpečnejšie.

Článok bude dlhý a plánuje sa, že bude zatiaľ rozdelený na tri časti:

Prvá časť hlavne popisuje princíp HTTPS; Druhá časť sa zameriava najmä na proces overovania SSL certifikátov a niektoré opatrenia na používanie. Tretia časť predstavuje niektoré prípady HTTPS útokov.

Predtým, než budeme hovoriť o HTTPS, poďme si povedať, čo je HTTP, čo je protokol, ktorý zvyčajne používame pri prehliadaní webu. Dáta prenášané HTTP protokolom sú nešifrované, teda v čistom texte, takže prenos súkromných informácií pomocou HTTP protokolu je veľmi nebezpečný. Aby sa zabezpečilo, že tieto súkromné dáta môžu byť šifrované a prenášané, Netscape navrhol protokol SSL (Secure Sockets Layer) na šifrovanie dát prenášaných protokolom HTTP, čím vznikol HTTPS. Súčasná verzia SSL je 3.0, ktorá je definovaná v RFC 6101 IETF (Internet Engineering Task Force), a potom IETF aktualizovala SSL 3.0, čo viedlo k TLS (Transport Layer Security) 1.0, definovanej v RFC 2246. V skutočnosti je náš súčasný HTTPS protokol TLS, ale keďže SSL sa objavilo relatívne skoro a stále ho podporujú súčasné prehliadače, SSL je stále synonymom pre HTTPS, no či už ide o TLS alebo SSL je z minulého storočia, posledná verzia SSL je 3.0 a TLS nám bude naďalej poskytovať šifrovacie služby aj v budúcnosti. Súčasná verzia TLS je 1.2, definovaná v RFC 5246, a zatiaľ sa široko nepoužíva.

Pre tých, ktorí sa zaujímajú o históriu, môžete sa pozrieť na http://en.wikipedia.org/wiki/Transport_Layer_Security, ktorý obsahuje podrobný popis TLS/SSL.

Odpoveď je áno, je to bezpečné. V nasledujúcich týždňoch Google povolí HTTPS pre všetky lokálne domény po celom svete, používatelia sa stačia prihlásiť cez svoj Google účet pred vyhľadávaním a všetky vyhľadávacie operácie budú šifrované pomocou protokolu TLS, pozri: http://thenextweb.com/google/2012/03/05/google-calls-for-a-more-secure-web-expands-ssl-encryption-to-local-domains/。

HTTPS vyžaduje handshake medzi klientom (prehliadačom) a serverom (webovou stránkou) pred odoslaním dát a informácie o heslách oboch strán budú stanovené počas handshake. Protokol TLS/SSL nie je len súbor šifrovaných prenosových protokolov, ale aj umelecké dielo starostlivo navrhnuté umelcami, využívajúce asymetrické šifrovanie, symetrické šifrovanie a HASH algoritmy. Jednoduchý popis procesu podania ruky je nasledovný:

   4. Po prijatí údajov z prehliadača webová stránka vykoná nasledovné:

   5. Prehliadač dešifruje a vypočíta HASH správy handshake, ak je konzistentný s HASH odoslaným serverom, proces handshake sa ukončí a potom budú všetky komunikačné dáta zašifrované náhodným heslom generovaným predchádzajúcim prehliadačom pomocou symetrického šifrovacieho algoritmu.

Tu si prehliadač a webová stránka navzájom posielajú šifrovanú správu a overujú sa, aby sa zabezpečilo, že obe strany získali rovnaké heslo, môžu dáta normálne šifrovať a dešifrovať, a vykonať test následného prenosu skutočných dát. Okrem toho sú šifrovacie a HASH algoritmy bežne používané v HTTPS nasledovné:

Medzi nimi sa používa algoritmus asymetrického šifrovania na šifrovanie generovaného hesla počas procesu handshake, algoritmus symetrického šifrovania na šifrovanie skutočných prenášaných dát a algoritmus HASH na overenie integrity údajov. Keďže heslo generované prehliadačom je kľúčom k šifrovaniu všetkých dát, je šifrované pomocou asymetrického šifrovacieho algoritmu počas prenosu. Algoritmus asymetrického šifrovania generuje verejné a súkromné kľúče, verejné kľúče sa dajú použiť len na šifrovanie dát, takže sa môžu prenášať podľa vlastnej vôle, a súkromné kľúče webovej stránky sa používajú na dešifrovanie dát, takže webová stránka si svoj súkromný kľúč veľmi starostlivo uchováva, aby zabránila úniku.

Akákoľvek chyba počas procesu TLS handshake môže prerušiť šifrované spojenie a zabrániť prenosu súkromných informácií. Práve preto, že HTTPS je veľmi bezpečný, útočníci nemôžu nájsť začiatok, a preto používajú falošné certifikáty na oklamanie klientov a získanie čistých informácií, ale tieto metódy sa dajú identifikovať, o čom budem hovoriť v ďalšom článku. Avšak v roku 2010 bezpečnostní experti objavili zraniteľnosť v spracovaní protokolu TLS 1.0: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/ skutočnosti bola táto metóda útoku nazývaná BEAST objavená bezpečnostnými expertmi už v roku 2002, ale nebola zverejnená. Microsoft a Google túto zraniteľnosť opravili. Pozri: http://support.microsoft.com/kb/2643584/en-us https://src.chromium.org/viewvc/chrome?view=rev&revision=90643

Zjednodušená verzia HTTPS funguje aj v symetrickom šifrovaní vs. asymetrickom šifrovaní.