|
Kriptografik transport protokollari
|
| bet | 180/222 | | Sana | 15.05.2024 | | Hajmi | 5,84 Mb. | | #236377 |
Kriptografik transport protokollari
Foydalanish va saqlab turish vaqtida ma’lumotlarni himoya qilishdan tashqari, ko‘pincha tarmoq ichidagi uzatilayotgan ma’lumotlarini himoya qilish uchun kriptografiya qo‘llaniladi. Eng keng tarqalgan kriptografik transport protokollariga Secure Sockets Layer (SSL), Transport Layer Security (TLS), Secure Shell (SSH), Hypertext Transport Protocol Secure (HTTPS) va IP-security (IPsec) kiradi.
Secure Sockets Layer (SSL). Eng keng tarqalgan kriptografik transport algoritmlaridan biri bu Secure Sockets Layer (SSL). Ushbu protokol Netscape kompaniyasi tomonidan 1994-yilda Internet xavfsizligi to‘g‘risida ortib borayotgan xavotirlarga javoban ishlab chiqilgan. SSL-ning maqsadi har qanday platformada yoki operatsion tizimda ishlatilishi mumkin bo‘lgan mijoz va server o‘rtasida shifrlangan ma’lumotlar yo‘lini yaratish edi. SSL zaifroq ma’lumotlarni shifrlash standarti (Data Encryption Standard - DES) o‘rniga nisbatan yangi kriptografik algoritmni Ilg‘or shifrlash standarti (Advanced Encryption Standard - AES) dan foydalandi. Vaqt o‘tishi bilan SSL uchun yangilanishlar ishlab chiqarildi. Bugungi kunda SSL
3.0 versiyasi serverlar eng ko‘p qo‘llab-quvvatlaydigan versiya hisoblanadi.
Transport Layer Security (TLS) – bu yana bir kriptografik transport algoritmidir. SSL va TLS ko‘pincha bir-birining o‘rnida yoki bir-biri bilan (TLS / SSL) ishlatilsa ham, bu to‘g‘ri yechim bo‘lmaydi. SSL 3.0 versiyasi TLS 1.0 versiyasi uchun asos bo‘lib xizmat qildi (va ba’zan xatto SSL 3.1 deb nomlanadi). TLS 1.0 versiyasi SSL 3.0 versiyasiga qaraganda qisman xavfsizroq deb hisoblansa-da, TLS ning keyingi versiyalari (1.1 va 1.2) ancha xavfsizroq va SSL 3.0 versiyasi va TLS 1.0 versiyasida mavjud bo‘lgan bir nechta zaifliklarni bartaraf qiladi. TLS 1.1 va 1.2 versiyalari SSL 3.0 versiyasiga qaraganda ancha xavfsizroq bo‘lishiga qaramay, ko‘plab veb-saytlar eski veb- brauzerlar uchun keng ko‘lamli moslikni ta’minlash uchun hali ham SSL va TLSning zaif versiyalarini qo‘llab-quvvatlamoqda.
2014-yil boshida SSL va TLSning ochiq kodli dasturiy ta’minoti bo‘lgan OpenSSLda zaiflik aniqlandi. Ushbu zaiflik mijoz-server aloqasida boshqa tomon hali ham faol bo‘lishini ta’minlash uchun foydalaniladigan OpenSSLning nisbatan yangi imkoniyatining (Heartbeat Extension) bir qismi edi. "Heartbleed" deb nomlangan
zaiflik, tajovuzkorlarga veb-server xotirasida ma’lumotlarga kirishga va aloqalarni shifrlash va deshifrlash uchun ishlatiladigan kriptografik kalitlarni o‘g‘irlashga imkon berdi. Veb-serverlar egalari o‘zlarining serverlarida zaiflikni tezda tuzatishga majbur bo‘lishdi.
Shifr to‘plami (cipher suite) - bu SSL va TLS bilan ishlatiladigan shifrlash, autentifikatsiya va xabarlarning autentifikatsiyalash kodi (message authentication code - MAC) algoritmlarining nomlaridan kelib chiqqan kombinatsiyadir. Ular veb-brauzer va veb-server o‘rtasida dastlabki ulanishni qo‘llab-quvvatlash paytida kelishib olinadi. Tanlangan turli xil algoritmlarga qarab, uzatishning umumiy xavfsizligi kuchli yoki zaif bo‘lishi mumkin. Masalan, AES o‘rniga RC4 oqimlar shifridan foydalanish shifrlar to‘plamini sezilarli darajada zaiflashtiradi. Yana bir omil - bu kalitlarning uzunligi. 2048 bitdan kam kalitlar zaif, 2048 bitli kalitlar yaxshi, 4096 bitli kalitlar kuchli deb hisoblanadi.
Shifr to‘plamlari odatda ularning tarkibiy qismlarini ko‘rsatish uchun tavsiflovchi nomlardan foydalanadilar. Masalan, CipherSuite SSL_RSA_WITH_RC4_128_MD5 tavsiflovchi nomad quyidagilar tushiniladi - RSA shifrlash alogoritmi kalitlarni almashish va autentifikatsiya algoritmida ishlatilishini, 128 bitli kalit yordamida RC4 shifrlash algoritmidan foydalanilishini va MD5 (ma’lumotlarning yaxlitligini tekshirish va kalit so‘z xeshlarini saqlash) algoritmi esa shifrlash, autentifikatsiya va xabarlarning autentifikatsiyalash kodi (MAC) algoritmi sifatida qo‘llaniladi.
|
| |
