Протокол SSL

Прикладные протоколы HTTP, SMTP, POP3, IMAP были придуманы в хорошие времена, ко­гда в Сети все люди доверяли друг другу. С тех пор Интернет сильно изменился. Так же, как необходимо ставить сигнализацию на автомобили и квартиры, так же необходима и защита передаваемых данных. Имена пользователей, номера кредитных карт и другая информация, передаваемая «открытым текстом» слишком уязвимы для вмешательства со стороны. Содержание транзакции может быть перехвачено и изменено в процессе передачи.

Для обеспечения защиты возникла целая наука - криптография. Если необходима безопасность, то используются протоколы https, smtps, pop3s, imaps, ssh и др., которые будут хранить конфиденциальную информацию с применением SSL шифрования. Протокол SSL (Secure Socket Layer) использует асимметричную криптографию, из­вестную как криптография с открытым ключом. В криптографии с открытым ключом соз­даются два ключа, один публичный, другой секретный. Данные, которые были зашифрованы секретным ключом сервера могут, быть дешифрованы только с помощью публичного ключа этого же сервера, давая уверенность в том, что данные пришли от него. Протокол SSL, совместно разработанный Netscape Communications и RSA Data Security, обеспечивает установление безопасного cоединения между клиентом и сервером. SSL обеспечивает безопасность, аутентификацию на базе сертификатов и согласование безопасности по установленному сетевому соединению, поэтому множество компаний приняли SSL в качестве коммуникационного протокола. На основании протокола SSL 3.0 был разработан стандарт RFC, получивший имя TLS.

Протокол SSL состоит из протокола записи и протокола рукопожатия. Протокол SSL записи определяет формат, используемый для передачи данных. Протокол SSL включает рукопожатие для обмена сериями сообщений между сервером и клиентом во время установления первого соединения.

Протокол SSL обеспечивает конфиденциальность обмена данными между клиентом и сервером, использующими TCP/IP на основе протокола HTTPS (Hypertext Transfer Protocol Secure), поддерживающего шифрование. Данные, которые передаются по протоколу HTTPS, «упаковываются» в криптографический протокол SSL или TLS. HTTPS поддерживается всеми браузерами. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443 вместо 80. Подключение по SSL всегда инициируется клиентом вызовом URL-адреса, начинающегося с https:// вместо http://.

SSL поддерживает 3 типа аутентификации:

• аутентификация и клиента и сервера,

• аутентификация сервера с неаутентифицированным клиентом

• полная анонимность.

Когда сервер аутентифицируется, канал безопасен против попытки перехвата данных между веб-сервером и браузером. Аутентифицированный клиент должен предоставить допустимый сертификат серверу. Главная цель процесса обмена ключами — это создание секрета клиента (pre_master_secret), известного только клиенту и серверу. Секрет (pre_master_secret) используется для создания общего секрета (master_secret). Общий секрет необходим для того чтобы создать сообщение для проверки сертификата, ключей шифрования, секрета MAC (message authentication code) и сообщения «finished». При посылке верного сообщения «finished», тем самым стороны докажут что они знают верный секрет (pre_master_secret).