Loading AI tools
nowoczesny protokół, który standaryzuje poziom zabezpieczeń internetowej komunikacji Z Wikipedii, wolnej encyklopedii
TLS (ang. Transport Layer Security) – przyjęte jako standard w Internecie rozwinięcie protokołu SSL (ang. Secure Socket Layer), zaprojektowanego pierwotnie przez Netscape Communications. TLS zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie serwera, a niekiedy również klienta. Opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509. W sierpniu 2018 r. wprowadzono wersję 1.3 tego protokołu jako aktualną[1].
Według modelu OSI, TLS działa w warstwie prezentacji, dzięki czemu może zabezpieczać protokoły warstwy najwyższej – warstwy aplikacji, np.: telnet, HTTP, gopher, POP3, IMAP, NNTP, SIP.
W 1994 roku przedsiębiorstwo Netscape stworzyło protokół służący do bezpiecznej transmisji zaszyfrowanego strumienia danych, nazwany SSL (Secure Socket Layer), a już rok później pojawiła się trzecia jego wersja. W 1996 roku Internet Engineering Task Force powołało grupę roboczą pod nazwą Transport Layer Security, której zadaniem było rozwijanie protokołu SSL. W 1999 roku został opublikowany standard TLS 1.0, który jest czasem określany jako SSL 3.1. Całość działa w architekturze klient-serwer, pozwalając na nawiązanie bezpiecznego połączenia z użyciem certyfikatów. Architektura jest zorientowana głównie na uwierzytelnianie serwera (np. sklepu internetowego, do którego klient wysyła numer karty kredytowej i chce mieć pewność co do odbiorcy), ale przewiduje również możliwość uwierzytelniania klienta.
Z powodu ograniczeń w eksporcie technologii kryptograficznych ze Stanów Zjednoczonych, większość implementacji protokołu SSL nie mogła wykorzystywać kluczy symetrycznych dłuższych niż 40 bitów. Dzięki temu rządowe agencje bezpieczeństwa dysponujące odpowiednio dużą mocą obliczeniową (m.in. NSA) były w stanie złamać szyfr metodą brute-force. Po kilku latach publicznej debaty, lepszemu poznaniu dłuższych kluczy przez zainteresowane strony oraz kilku sprawach sądowych, rząd złagodził swoje stanowisko wobec stosowania dłuższych kluczy. Obecnie 40-bitowe klucze wyszły z użycia i zostały zastąpione przez zapewniające wyższe bezpieczeństwo klucze o długości 128 i więcej bitów.
W 2009 w protokole SSL odkryto podatność na atak w procesie renegocjacji sesji. Błąd umożliwiał wysłanie danych do serwera przed użytkownikiem bez jego wiedzy (zobacz: Atak man in the middle)[2][3]. W związku z tym, że podatność dotyczyła protokołu, a nie jednej implementacji, jedyną metodą jej obejścia było wyłączenie możliwości renegocjacji w ogóle. Równocześnie zaproponowana została poprawka do specyfikacji protokołu w postaci rozszerzenia[4].
SSL nie jest żadnym nowym algorytmem szyfrującym. To ustandaryzowany zestaw wcześniej znanych algorytmów, technik i schematów używanych do zapewnienia bezpieczeństwa. Wykorzystuje on algorytmy szyfrowania:
SSL jest najczęściej kojarzony z protokołem HTTP (HTTPS), ale może służyć do zabezpieczania wielu innych protokołów, m.in.: Telnet, SMTP, POP3, IMAP czy FTP, gdyż protokoły te same w sobie nie zapewniają szyfrowania transmisji.
SSL składa się z dwóch podprotokołów, gdzie SSL Handshake, SSL Alert Protocol i SSL Change Cipher stanowią pierwszy podprotokół natomiast SSL Record Protocol stanowi osobny podprotokół SSL:
SSL v3 dopuszcza m.in. następujące algorytmy i protokoły: AES, DES, 3DES, IDEA, RC2, RC4, RSA, DSS, Diffiego-Hellmana.
W szyfrowanym kanale transmisji SSL może być przenoszonych wiele sesji HTTP. Dane podczas transmisji są szyfrowane kluczem symetrycznym, jednak na początku sesji sam klucz symetryczny jest uzgadniany przy wykorzystaniu algorytmu niesymetrycznego (RSA, Diffiego-Helmana). Integralność zapewniają podpisy elektroniczne.
Szyfr | Wersja protokołu | Status | |||||||
---|---|---|---|---|---|---|---|---|---|
Typ | Algorytm | Nominalna siła (w bitach) | SSL 2.0 | SSL 3.0 [6][7][8][9] |
TLS 1.0 [6][8] |
TLS 1.1 [6] |
TLS 1.2 [6] |
TLS 1.3 | |
Szyfr blokowy z Trybem wiązania |
AES GCM[10][11] | 256, 128 | N/A | N/A | N/A | N/A | zabezpieczone | zabezpieczone | Zdefiniowany dla TLS 1.2 w RFC |
AES CCM[12][11] | N/A | N/A | N/A | N/A | zabezpieczone | zabezpieczone | |||
AES CBC[13] | N/A | niezabezpieczone | zależy od środków zaradczych | zależy od środków zaradczych | zależy od środków zaradczych | N/A | |||
Camellia GCM[14][11] | 256, 128 | N/A | N/A | N/A | N/A | zabezpieczone | N/A | ||
Camellia CBC[15][13] | N/A | niezabezpieczone | zależy od środków zaradczych | zależy od środków zaradczych | zależy od środków zaradczych | N/A | |||
ARIA GCM[16][11] | 256, 128 | N/A | N/A | N/A | N/A | zabezpieczone | N/A | ||
ARIA CBC[16][13] | N/A | N/A | zależy od środków zaradczych | zależy od środków zaradczych | zależy od środków zaradczych | N/A | |||
SEED CBC[17][13] | 128 | N/A | niezabezpieczone | zależy od środków zaradczych | zależy od środków zaradczych | zależy od środków zaradczych | N/A | ||
3DES EDE CBC[13][19] | 112[22] | niezabezpieczone | niezabezpieczone | niezabezpieczone | niezabezpieczone | niezabezpieczone | N/A | ||
GOST 28147-89 CNT[23][24] | 256 | N/A | N/A | niezabezpieczone | niezabezpieczone | niezabezpieczone | N/A | zdefiniowany w RFC 4357 ↓ | |
IDEA CBC[13][24][25][26] | 128 | niezabezpieczone | niezabezpieczone | niezabezpieczone | niezabezpieczone | N/A | N/A | Usunięte z TLS 1.2 | |
DES CBC[13][24][25] | 56 | niezabezpieczone | niezabezpieczone | niezabezpieczone | niezabezpieczone | N/A | N/A | ||
[27] | 40niezabezpieczone | niezabezpieczone | niezabezpieczone | N/A | N/A | N/A | zakazany w TLS 1.1 and later | ||
RC2 CBC[13][24] | [27] | 40niezabezpieczone | niezabezpieczone | niezabezpieczone | N/A | N/A | N/A | ||
Szyfr strumieniowy | ChaCha20-Poly1305[28][11] | 256 | N/A | N/A | N/A | N/A | zabezpieczone | zabezpieczone | Zdefiniowany dla TLS 1.2 w RFC |
RC4[29] | 128 | niezabezpieczone | niezabezpieczone | niezabezpieczone | niezabezpieczone | niezabezpieczone | N/A | Zakazany we wszystkich wersjach TLS przez RFC 7465 ↓ | |
[27] | 40niezabezpieczone | niezabezpieczone | niezabezpieczone | N/A | N/A | N/A | |||
Brak | Null[30] | – | niezabezpieczone | niezabezpieczone | niezabezpieczone | niezabezpieczone | niezabezpieczone | N/A | Zdefiniowany dla TLS 1.2 w RFC |
Certyfikaty używane w protokole SSL zawierają m.in. nazwę domeny, dla której zostały wystawione. Ponieważ każda osoba może stworzyć dowolny certyfikat, utworzono tzw. Infrastrukturę Klucza Publicznego. Na jej szczycie znajdują się Urzędy Certyfikacji (Certificate Authority – CA). Są to zaufane instytucje weryfikujące prawo do posługiwania się domeną. Osoba uprawniona wysyła do wybranego urzędu swój klucz publiczny, nazwę domeny i inne dane niezbędne do wygenerowania certyfikatu w postaci żądania podpisania certyfikatu (Certificate Signing Request – CSR). Po przejściu procedury sprawdzającej, certyfikat jest podpisywany. Jeśli serwer przedstawi certyfikat niepodpisany przez CA, w większości przeglądarek i klientów pocztowych w czasie próby połączenia użytkownik zobaczy odpowiednie ostrzeżenie.
Zasadniczo certyfikaty dzielą się na 3 różne klasy różniące się poziomem weryfikacji[31]:
Krytycznym parametrem określającym siłę szyfrowania SSL jest długość użytych kluczy. Im dłuższy klucz, tym trudniej jest go złamać, a przez to odszyfrować transmisję. Dla kluczy asymetrycznych, zgodnie z zaleceniami organizacji NIST, długością sugerowaną jest obecnie 2048 bitów. Powszechnie używane są wyrażenia „SSL 128 bitów” lub „SSL 256 bitów” określające długość użytego klucza symetrycznego.
Schemat działania protokołu wygląda następująco (jako K oznaczamy klienta, a jako S – serwer):
Jak widać na schemacie z poprzedniego punktu, w protokole SSL domyślna sytuacja zakłada tylko uwierzytelnianie serwera. Istnieją jednak metody pozwalające na uwierzytelnienie klienta. W tym celu korzysta się z trzech dodatkowych komunikatów:
Nawiązanie połączenia SSL jest procesem dość długotrwałym i wymagającym skomplikowanych obliczeń. W przypadku wielu krótkich połączeń pożądana byłaby możliwość kontynuowania połączenia bez ponownej wymiany kluczy publicznych, ustalania klucza sesji itp. (podobna sytuacja ma miejsce w przypadku protokołu HTTP – stosowane są tam tzw. połączenia trwałe – persistent connections).
Protokół SSL przewiduje taką możliwość. Jeżeli w komunikacie ClientHello klient poda SessionId równy identyfikatorowi jednej z poprzednich sesji, to serwer przyjmie, że klient chce kontynuować połączenie z użyciem poprzednio używanego klucza.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.