Locked History Actions

Skirtumas „SSL/TLS“

Pakeitimai tarp versijų 2 ir 3
Versija 2 nuo 2014-11-15 23:41:00
Dydis: 3429
Redaktorius: FaustasAzuolasBagdonas
Komentaras:
Versija 3 nuo 2014-11-15 23:52:11
Dydis: 9644
Redaktorius: FaustasAzuolasBagdonas
Komentaras:
Pašalinimai yra pažymėti taip. Pridėjimai yra pažymėti taip.
Eilutė 2: Eilutė 2:
Penetration test SSL/TLS protocols
Eilutė 4: Eilutė 5:
##Jeigu yra įrašykite Santrumpą ##SSL/TLS
Eilutė 6: Eilutė 7:
Įsilaužimo galimybės įvertinimas SSL/TLS protokolai
Eilutė 9: Eilutė 11:
Įsilaužimo galimybės įvertinimas (''Penetration test'') - tai procesas, aktyvi priemonė įvertinti jūsų kompiuterio ar tinklo informacijos saugumą SSL (''Secure Socket Layer'') ir TLS (''Transport Layer Security'') - tai kriptografiniai protokolai, skirti saugiai keistis internetu perduodamais duomenims. Veikia taikomąjame TCP/IP modelio lygmenyje.
Eilutė 11: Eilutė 14:
== Paaiškinimai == == Įvadas ==
Vis daugiau darbo sričių persikelia į virtualią erdvę. Dažnai pasitaiko duomenų, kuriais reikia apsikeisti internete, tačiau jie turi išlikti slapti nuo pašalinių. Šia problema susirūpinta jau seniai. Perduodamus slaptus duomenis imta šifruoti, pradėti spręsti apsikeitimo raktais klausimai. Nors ir ankstyvi metodai iš pirmo žvilgsnio gali pasirodyti saugūs, tačiau laikui einant vis randama būdų, kaip juos nulaužti. Galiausia atsirado TLS protokolas, kuris tobulinamas iki šių laikų ir taikomas saugiai keistis informacija internete. Jis naudojamas dažnai su HTTP protokolu, el. paštu, VoIP ir kt.
Saugiųjų susijungimų sluoksnio (Secure Socket Layer – SSL) ir iš jo išsivystęs Transporto lygmens saugumo (Transport Layer Security – TLS) yra kriptografiniai protokolai, skirti saugiai keistis duomenimis internete. Jie autentikacijai naudoja X.509 sertifikatus, veikia virš TCP (nors yra ir realizacijų kitiems protokolams, veikiantiems datagramų pagrindu, tokiems kaip UDP). Šiuo atveju aukštesnių lygmenų protokolai (kaip HTTP) gali būti palikti be pakeitimų ir vistiek palaikyti saugų susijungimą, pavyzdžiui, virš SSL sluoksnio HTTPS protokolas yra visiškai identiškas HTTP protokolui.
Kai SSL/TLS naudojamas teisingai, viskas, ką įsilaužėlis gali pagauti kabelyje – IP ir prievado numeriai, per kuriuos klientas bendrauja su serveriu, apytiksliai, kiek duomenų yra perduodama, koks šifravimo ir koks suspaudimo algoritmas yra naudojamas. Jis taip pat gali nutraukti susijungimą, tačiau ir klientas, ir serveris supras, kad susijungimą nutraukė trečioji šalis.
Įprastai naudojant, įsilaužėlis taip pat galės išsiaiškinti prie kokio (host name) vartotojas yra prisijungęs (tačiau tik vardą, o ne visą URL): nors pats HTTPS neatskleidžia vardo (hostname), tačiau naršyklė įprastai turės užklausti DNS, kad pagal vardą sužinotų IP, į kurį reikės kreiptis. DNS užklausos nėra šifruojamos.
== Šifravimo ir apsikeitimo raktais idėja ==
SSL/TLS autentikacijai naudoja X.509 sertifikatus ir todėl asimetrinę kriptografiją (taip nurodyta X.509 specifikacijose). Autentikacijos metu su kolega, apsikeičiama simetriniu raktu.
Kuom skiriasi asimetrinė nuo simetrinės kriptografijos? Asimetrinė kriptografija dar yra vadinama viešojo rakto (angl. public key) kriptografija, naudoja du atskirus raktus, iš kurių vienas yra privatus (slaptas, angl. private), o kitas – viešas (''public''). Nepaisant to, kad šie raktai yra skirtingi, matematiškai jie yra susiję. Viešas raktas yra skirtas, kad užšifruoti atvirą tekstą (plaintext) arba patikrinti skaitmeninį parašą, o privatus raktas naudojamas, kad dešifruoti šifruotą tekstą (''ciphertext'') arba siekiant sukurti skaitmeninį parašą. Terminas „asimetrinis“ kilęs iš to, kad skirtingi raktai naudojami atlikti priešingas funkcijas. Simetrinė kriptografija naudoja tą patį raktą atlikti abiems veiksmams arba gali užtekti paprastos transformacijos, kad iš vieno rakto gauti kitą.
Nenuspėjamas (įprastai didelis ir atsitiktinis) skaičius yra naudojamas, kad pradėti generuoti tinkamą raktų porą, kuri galės būti naudojama su asimetrinio rakto algoritmu ('''1 pav'''). Viešojo rakto algoritmai remiasi tokiais matematiniais uždaviniais, kurie, tikimasi, kad neturi jokio efektyvaus sprendimo būdo: skaičių skaidymo į pirminius (angl. integer factorization arba prime factorisation), diskrečiojo logaritmo ir elipsinių kreivių (''y^2=x^3+ax+b'') sąryšiai. Vartotojas nesunkiai gali susigeneruoti savo viešąjį ir privatų rakta ir tuomet juos naudoti šifravimui ir dešifravimui. Algoritmo patikimumas slypi tame, kad, jei yra gerai sugeneruotas privatus raktas, yra neįmanoma (matematiškai neišeina) jo sužinoti iš viešo rakto. Todėl viešas raktas gali būti viešinamas be jokios saugumo rizikos, kuomet privatus raktas privalo būti laikomas slaptai, neatskleidžiamas niekam, kam negalima skaityti šifruotų duomenų ar atlikti skaitmeninius parašus. Viešojo rakto algoritmai, priešingai nei simetrinių raktų algoritmai, nereikalauja saugaus pradinio susijungimo, kad apsikeisti vienu (ar keletu) saugių raktų tarp vartotojų.
2 pav. vaizduojama, kaip du vartotojai (Bobas ir Alisa) slapta bendrauja, naudodami asimetrinį šifravimą. Pradžoje Bobas ir Alisa susigeneravo savo viešuosius ir privačius raktus. Tada apsikeitė viešaisiais raktais, kuriais galima tik šifruoti. Bobas parašo „Labas, Alisa“, tada šį pranešimą šifruoja jos viešuoju raktu. Šifruoto pranešimo pakeliui niekas negalės perskaityti, nes niekas negavo privataus rakto – jis niekad nesiunčiamas. Alisa gautą pranešimą dešifruoja savo privačiu raktu ir gautą pranešimą perskaito...
Taigi, reikėtų įsiminti: kai naudojamas asimetrinio rakto šifravimo algoritmas, bet kas gali šifruoti pranešimą naudodamasis viešuoju raktu, tačiau tik privačiojo rakto savininkas(-ė) gali dešifruoti. Su viešu raktu galima tik šifruoti, bet dešifruoti neįmanoma.


== Skaitmeninis parašas ==
Skaitmeninis parašas – matematinis būdas skaitmeninio pranešimo ar dokumento autentiškumo patvirtinimui. Skaitmeninis parašas gavėjui suteikia pasitikėjimą, kad dokumentas nėra suklastotas ir kad jo turinys nebuvo pakeistas nepageidaujamų asmenų. Skaitmeniniai parašai dažnai naudojami programinei įrangai platinti (software distribution), financinėms tranzakcijoms ir kt.
Prieš išsiunčiant pranešimą yra paskaičiuojamas ho hešas, kuris tuomet šifruojamas privačiu raktu ir taip gaunamas skaitmeninis parašas (šifruotas hešas). Po to bet kas, kas turi viešąjį raktą, gavęs duomenis ir parašą, jį dešifruoti ir gauti hešą. Tada paskaičiuoti gautų duomenų hešą. Šiuos hešus gavėjas palygina (3 pav.). Jei jie lygūs tai, pranešimas nebuvo modifikuotas (liko autentiškas) nuo to laiko, kai jis buvo pasirašytas ir, laikant, kad pasirašiusiojo asmens privatus raktas vis dar yra paslaptyje (vis dar žinomas tik pasirašiusiajam), jį parašė būtent tas kas turėjo ir ne kasnors kitas.



== aiškinimai ==
Eilutė 13: Eilutė 37:
Eilutė 19: Eilutė 44:
Eilutė 24: Eilutė 50:
Eilutė 25: Eilutė 52:
 CategoryŽodis  . CategoryŽodis

Žodis angliškai

SSL/TLS protocols

Santrumpa

Žodis Lietuviškai

SSL/TLS protokolai

Apibrėžimas

SSL (Secure Socket Layer) ir TLS (Transport Layer Security) - tai kriptografiniai protokolai, skirti saugiai keistis internetu perduodamais duomenims. Veikia taikomąjame TCP/IP modelio lygmenyje.

Įvadas

Vis daugiau darbo sričių persikelia į virtualią erdvę. Dažnai pasitaiko duomenų, kuriais reikia apsikeisti internete, tačiau jie turi išlikti slapti nuo pašalinių. Šia problema susirūpinta jau seniai. Perduodamus slaptus duomenis imta šifruoti, pradėti spręsti apsikeitimo raktais klausimai. Nors ir ankstyvi metodai iš pirmo žvilgsnio gali pasirodyti saugūs, tačiau laikui einant vis randama būdų, kaip juos nulaužti. Galiausia atsirado TLS protokolas, kuris tobulinamas iki šių laikų ir taikomas saugiai keistis informacija internete. Jis naudojamas dažnai su HTTP protokolu, el. paštu, VoIP ir kt. Saugiųjų susijungimų sluoksnio (Secure Socket Layer – SSL) ir iš jo išsivystęs Transporto lygmens saugumo (Transport Layer Security – TLS) yra kriptografiniai protokolai, skirti saugiai keistis duomenimis internete. Jie autentikacijai naudoja X.509 sertifikatus, veikia virš TCP (nors yra ir realizacijų kitiems protokolams, veikiantiems datagramų pagrindu, tokiems kaip UDP). Šiuo atveju aukštesnių lygmenų protokolai (kaip HTTP) gali būti palikti be pakeitimų ir vistiek palaikyti saugų susijungimą, pavyzdžiui, virš SSL sluoksnio HTTPS protokolas yra visiškai identiškas HTTP protokolui. Kai SSL/TLS naudojamas teisingai, viskas, ką įsilaužėlis gali pagauti kabelyje – IP ir prievado numeriai, per kuriuos klientas bendrauja su serveriu, apytiksliai, kiek duomenų yra perduodama, koks šifravimo ir koks suspaudimo algoritmas yra naudojamas. Jis taip pat gali nutraukti susijungimą, tačiau ir klientas, ir serveris supras, kad susijungimą nutraukė trečioji šalis. Įprastai naudojant, įsilaužėlis taip pat galės išsiaiškinti prie kokio (host name) vartotojas yra prisijungęs (tačiau tik vardą, o ne visą URL): nors pats HTTPS neatskleidžia vardo (hostname), tačiau naršyklė įprastai turės užklausti DNS, kad pagal vardą sužinotų IP, į kurį reikės kreiptis. DNS užklausos nėra šifruojamos.

Šifravimo ir apsikeitimo raktais idėja

SSL/TLS autentikacijai naudoja X.509 sertifikatus ir todėl asimetrinę kriptografiją (taip nurodyta X.509 specifikacijose). Autentikacijos metu su kolega, apsikeičiama simetriniu raktu. Kuom skiriasi asimetrinė nuo simetrinės kriptografijos? Asimetrinė kriptografija dar yra vadinama viešojo rakto (angl. public key) kriptografija, naudoja du atskirus raktus, iš kurių vienas yra privatus (slaptas, angl. private), o kitas – viešas (public). Nepaisant to, kad šie raktai yra skirtingi, matematiškai jie yra susiję. Viešas raktas yra skirtas, kad užšifruoti atvirą tekstą (plaintext) arba patikrinti skaitmeninį parašą, o privatus raktas naudojamas, kad dešifruoti šifruotą tekstą (ciphertext) arba siekiant sukurti skaitmeninį parašą. Terminas „asimetrinis“ kilęs iš to, kad skirtingi raktai naudojami atlikti priešingas funkcijas. Simetrinė kriptografija naudoja tą patį raktą atlikti abiems veiksmams arba gali užtekti paprastos transformacijos, kad iš vieno rakto gauti kitą. Nenuspėjamas (įprastai didelis ir atsitiktinis) skaičius yra naudojamas, kad pradėti generuoti tinkamą raktų porą, kuri galės būti naudojama su asimetrinio rakto algoritmu (1 pav). Viešojo rakto algoritmai remiasi tokiais matematiniais uždaviniais, kurie, tikimasi, kad neturi jokio efektyvaus sprendimo būdo: skaičių skaidymo į pirminius (angl. integer factorization arba prime factorisation), diskrečiojo logaritmo ir elipsinių kreivių (y2=x3+ax+b) sąryšiai. Vartotojas nesunkiai gali susigeneruoti savo viešąjį ir privatų rakta ir tuomet juos naudoti šifravimui ir dešifravimui. Algoritmo patikimumas slypi tame, kad, jei yra gerai sugeneruotas privatus raktas, yra neįmanoma (matematiškai neišeina) jo sužinoti iš viešo rakto. Todėl viešas raktas gali būti viešinamas be jokios saugumo rizikos, kuomet privatus raktas privalo būti laikomas slaptai, neatskleidžiamas niekam, kam negalima skaityti šifruotų duomenų ar atlikti skaitmeninius parašus. Viešojo rakto algoritmai, priešingai nei simetrinių raktų algoritmai, nereikalauja saugaus pradinio susijungimo, kad apsikeisti vienu (ar keletu) saugių raktų tarp vartotojų. 2 pav. vaizduojama, kaip du vartotojai (Bobas ir Alisa) slapta bendrauja, naudodami asimetrinį šifravimą. Pradžoje Bobas ir Alisa susigeneravo savo viešuosius ir privačius raktus. Tada apsikeitė viešaisiais raktais, kuriais galima tik šifruoti. Bobas parašo „Labas, Alisa“, tada šį pranešimą šifruoja jos viešuoju raktu. Šifruoto pranešimo pakeliui niekas negalės perskaityti, nes niekas negavo privataus rakto – jis niekad nesiunčiamas. Alisa gautą pranešimą dešifruoja savo privačiu raktu ir gautą pranešimą perskaito... Taigi, reikėtų įsiminti: kai naudojamas asimetrinio rakto šifravimo algoritmas, bet kas gali šifruoti pranešimą naudodamasis viešuoju raktu, tačiau tik privačiojo rakto savininkas(-ė) gali dešifruoti. Su viešu raktu galima tik šifruoti, bet dešifruoti neįmanoma.

Skaitmeninis parašas

Skaitmeninis parašas – matematinis būdas skaitmeninio pranešimo ar dokumento autentiškumo patvirtinimui. Skaitmeninis parašas gavėjui suteikia pasitikėjimą, kad dokumentas nėra suklastotas ir kad jo turinys nebuvo pakeistas nepageidaujamų asmenų. Skaitmeniniai parašai dažnai naudojami programinei įrangai platinti (software distribution), financinėms tranzakcijoms ir kt. Prieš išsiunčiant pranešimą yra paskaičiuojamas ho hešas, kuris tuomet šifruojamas privačiu raktu ir taip gaunamas skaitmeninis parašas (šifruotas hešas). Po to bet kas, kas turi viešąjį raktą, gavęs duomenis ir parašą, jį dešifruoti ir gauti hešą. Tada paskaičiuoti gautų duomenų hešą. Šiuos hešus gavėjas palygina (3 pav.). Jei jie lygūs tai, pranešimas nebuvo modifikuotas (liko autentiškas) nuo to laiko, kai jis buvo pasirašytas ir, laikant, kad pasirašiusiojo asmens privatus raktas vis dar yra paslaptyje (vis dar žinomas tik pasirašiusiajam), jį parašė būtent tas kas turėjo ir ne kasnors kitas.

aiškinimai

Analizė atliekama simuliuojant įsilaužėlių (hakerių) naudojamus metodus, bei logiką. Proceso metu analizuojamas sistemos pažeidžiamumas, kurį gali įtakoti prasta arba neteisinga sistemos konfigūracija, žinomos ir/ar nežinomos aparatinės bei programinės įrangos problemos siejamos su saugumu. Aptikus bet kokią saugumo spragą pranešama sistemos savininkui. Kartu su įsilaužimo įvertinimu pateikiami apsaugos trūkumai ir suteikiamos trūkumų pašalinimo rekomendacijos, parenkamos efektyviausios trūkumų šalinimo priemonės. Įsilaužimo įvertinimo metodai:

  1. Išorinio įsilaužimo galimybės įvertinimas, tai dažniausiai pasirenkamas įsilaužimo galimybės įvetinimo metodas. Testas yra sukoncentruotas į serverius, infrastruktūrą ir į pagrindinę programinę įrangą. Tai gali būti atlikta be išankstinių žinių apie nutolusį tašką ("juoda" dėžė) arba atskleidus pilną tinklo topologiją ir aplinką ("balta" dėžė). Šios analizės metodas tipiškai atspindi viešai prieinamą informaciją apie užduotą tašką, tinklų išvardinimo fazėje identifikuojami ir analizuojami pagrindiniai kompiuteriai bei įrenginių, tokių kaip maršrutizatoriai ir ugniasienės, elgsenos. Pagrindinio kompiuterio pažeidžiamumai turi būti nustatyti, patikrinti ir įvertinti.

  2. Vidinio įsilaužimo galimybės įvertinimas, tai išsamesnis saugumo testas konkrečioje vietoje, atliekamas po išorinio įsilaužimo galimybės įvertinimo. Įvertinimas vykdomas iš kiekvieno tipinio tinklo prisijungimo taško, atvaizduojant kiekvieną loginę ir fizinę atkarpą. Pavyzdžiui tai gali būti keli aukštai ir DMZ zona su visa supančia aplinka, įmonių tinklai arba kompanijos ryšio partneris.

  3. Mokamų programų saugumo įvertinimas skirtas nustatyti ir įvertinti užsakomų programų riziką. Labai svarbu įvertinti riziką tam, kad nebūtų išduodami pranešimai pagrindinių servisų ar programų atakoms vykdyti. Apriboti sukompromituoto vartotojo galimybę pakenkti sistemai, pakeisti ar visiškai sunaikinti duomenis.

  4. Nutolusio bevielio tinklo įsilaužimo galimybės įvertinimas siejamas su sparčiai daugėjančiomis nutolusiomis darbo vietomis. Dirbantys namuose ar nutolusiuose ofisuose, tiesiogiai prijungti bevieliu tinklu prie interneto, išplečia įmonių perimetro galimybes.

  5. Telefonijos įsilaužimo galimybės įvertinimas, tai korporacijos balso technologijos saugumo įvertinimas. Taip pat nuo piktavališko prisijungimo prie PBX maršruto, balso pašto dėžutės išskleidimas ir saugumas, integruoto balso per IP (VoIP).

  6. Socialinės inžinerijos galimybės įvertinimas, tai ne techninis įsilaužimo galimybės metodas remiasi žmogaus noru bendradarbiauti su kitais žmonėmis, prasilenkiant su saugumo reikalavimais.

Naudota literatūra

  1. http://en.wikipedia.org/wiki/Penetration_test

  2. http://www.penetration-testing.com/#1

  3. http://www.isagency.eu/v2/lt/solutions/home/1.html

paskutinį kartą redaguota 2014-11-16 19:57:18 redaktoriaus FaustasAzuolasBagdonas