326
Foydalanish va saqlab turish vaqtida ma’lumotlarni
himoya
qilishdan
tashqari,
ko‘pincha
tarmoq
ichidagi uzatilayotgan
ma’lumotlarini himoya qilish uchun kriptografiya qo‘llaniladi. Eng
keng tarqalgan kriptografik transport protokollariga Secure Sockets
Layer (SSL), Transport Layer Security (TLS), Secure Shell (SSH),
Hypertext Transport Protocol Secure (HTTPS) va IP-security (IPsec)
kiradi.
Secure Sockets Layer (SSL)
. Eng keng tarqalgan kriptografik
transport algoritmlaridan biri bu Secure Sockets Layer (SSL).
Ushbu
protokol Netscape kompaniyasi tomonidan 1994-yilda Internet
xavfsizligi to‘g‘risida ortib borayotgan xavotirlarga javoban ishlab
chiqilgan. SSL-ning maqsadi har qanday platformada yoki operatsion
tizimda ishlatilishi mumkin bo‘lgan mijoz va server o‘rtasida
shifrlangan
ma’lumotlar
yo‘lini
yaratish
edi.
SSL
zaifroq
ma’lumotlarni shifrlash standarti (Data Encryption Standard - DES)
o‘rniga nisbatan yangi kriptografik algoritmni Ilg‘or shifrlash standarti
(Advanced Encryption Standard - AES) dan foydalandi. Vaqt o‘tishi
bilan SSL uchun yangilanishlar ishlab chiqarildi. Bugungi kunda SSL
3.0 versiyasi serverlar eng ko‘p qo‘llab-quvvatlaydigan versiya
hisoblanadi.
Transport Layer Security (TLS
)
–
bu yana bir kriptografik
transport algoritmidir. SSL va TLS ko‘pincha bir-birining o‘rnida yoki
bir-biri bilan (TLS / SSL) ishlatilsa ham, bu to‘g‘ri yechim bo‘lmaydi.
SSL 3.0 versiyasi TLS 1.0 versiyasi uchun asos bo‘lib xizmat qildi (va
ba’zan xatto SSL 3.1 deb nomlanadi). TLS 1.0 versiyasi SSL 3.0
versiyasiga qaraganda qisman xavfsizroq deb hisoblansa-da, TLS ning
keyingi versiyalari (1.1 va 1.2) ancha xavfsizroq va SSL 3.0 versiyasi
va TLS 1.0 versiyasida mavjud bo‘lgan bir nechta zaifliklarni bartaraf
qiladi. TLS 1.1 va 1.2 versiyalari SSL 3.0 versiyasiga qaraganda
ancha xavfsizroq bo‘lishiga qaramay, ko‘plab veb-saytlar eski veb-
brauzerlar uchun keng ko‘lamli moslikni ta’minlash uchun hali ham
SSL va TLSning zaif versiyalarini qo‘llab-quvvatlamoqda.
2014-yil boshida SSL va TLSning ochiq kodli dasturiy ta’minoti
bo‘lgan OpenSSLda zaiflik aniqlandi.
Ushbu zaiflik mijoz-server
aloqasida boshqa tomon hali ham faol bo‘lishini ta’minlash uchun
foydalaniladigan OpenSSLning nisbatan yangi imkoniyatining
(Heartbeat Extension) bir qismi edi. "Heartbleed" deb nomlangan
327
zaiflik, tajovuzkorlarga veb-server xotirasida ma’lumotlarga
kirishga
va aloqalarni shifrlash va deshifrlash uchun ishlatiladigan kriptografik
kalitlarni o‘g‘irlashga imkon berdi. Veb-serverlar egalari o‘zlarining
serverlarida zaiflikni tezda tuzatishga majbur bo‘lishdi.
Shifr to‘plami (cipher suite) - bu SSL va TLS bilan ishlatiladigan
shifrlash, autentifikatsiya va xabarlarning autentifikatsiyalash kodi
(message authentication code - MAC) algoritmlarining nomlaridan
kelib chiqqan kombinatsiyadir. Ular veb-brauzer va veb-server
o‘rtasida dastlabki ulanishni qo‘llab-quvvatlash
paytida kelishib
olinadi. Tanlangan turli xil algoritmlarga qarab, uzatishning umumiy
xavfsizligi kuchli yoki zaif bo‘lishi mumkin. Masalan, AES o‘rniga
RC4 oqimlar shifridan foydalanish shifrlar to‘plamini sezilarli
darajada zaiflashtiradi. Yana bir omil - bu kalitlarning uzunligi. 2048
bitdan
kam kalitlar zaif, 2048 bitli kalitlar yaxshi, 4096 bitli kalitlar
kuchli deb hisoblanadi.
Shifr to‘plamlari odatda ularning tarkibiy qismlarini ko‘rsatish
uchun tavsiflovchi nomlardan foydalanadilar. Masalan, CipherSuite
SSL_RSA_WITH_RC4_128_MD5 tavsiflovchi
nomad quyidagilar
tushiniladi - RSA shifrlash alogoritmi kalitlarni almashish va
autentifikatsiya algoritmida ishlatilishini, 128 bitli kalit yordamida
RC4 shifrlash algoritmidan foydalanilishini va MD5 (ma’lumotlarning
yaxlitligini tekshirish va kalit so‘z xeshlarini saqlash)
algoritmi esa
shifrlash, autentifikatsiya va xabarlarning autentifikatsiyalash kodi
(MAC) algoritmi sifatida qo‘llaniladi.
