TLS

TLS (ang. Transport Layer Security) - jest to rozwinięcie internetowego protokołu SSL (ang. Secure Socket Layer) zaprojektowanego przez firmę Netscape. Zadaniem SSL jest zapewnienie poufności oraz integralności danych przesyłanych przez Internet. SSL umożliwia autoryzację serwera oraz szyfrowanie połączenia pomiędzy przeglądarką a serwerem, dzięki czemu przesyłane informacje są tajne. Protokół ten używa szyfrowania asymetrycznego oraz certyfikatów X.509. Jest to protokół uniwersalny, który można stosować do zabezpieczenia protokołów warstwy aplikacji, np.: http, FTP, Telnet itp.

Historia

Protokół SSL został stworzony w 1994 roku przez firmę Netscape Communications Corporation w celu bezpiecznej transmisji zaszyfrowanych strumieni danych. W rok później powstała wersja v3, która znacząco poprawiła poziom bezpieczeństwa w porównaniu z poprzednikiem. W 1996 roku Internet Engineering Task Force (IETF) powołało grupę roboczą pod nazwą TLS (Transport Layer Security), która ma za zadanie rozwijać protokół SSL. W 1999 roku opublikowała ona protokół TLS 1.0. Jest on głównie zorientowany na uwierzytelnianie serwera, ale przewiduje również możliwość autoryzacji klienta. Prowadzone są prace nad wersją 1.1. W chwili obecnej najpopularniejszym standardem jest SSL w wersji 3.0. Protokół SSL oraz TLS obsługują wszystkie najpopularniejsze przeglądarki internetowe, takie jak: Mozilla Firefox, Opera czy też Internet Explorer.

Jak działa SSL

SSL został stworzony w oparciu o podstawowe zasady kryptografii - szyfrowanie za pomocą klucza publicznego oraz certyfikaty cyfrowe, które pozwalają stwierdzić czy serwer jest rzeczywiście tym komputerem, za który się podaje. Obecnie powszechne są w użyciu klucze 128 bitowe, co oznacza, że komputer mogący analizować milion kluczy na sekundę, potrzebowałby ${\displaystyle 10^{2}5}$ lat aby znaleźć właściwą kombinację (dla porównania nasz wszechświat istnieje od ${\displaystyle 10^{1}0}$ lat) (Lemay, 2001, s. 849). Klucze 256 bitowe są już w ofercie niektórych serwisów. (Siergiejczyk M. 2014 s. 120) Stany Zjednoczone Ameryki przez laa forsowały aby nie używać kluczy większych niż 40 bitów, tak aby agencje bezpieczeństwa które korzystają odpowiednio dużą mocą obliczeniową mogły z łatwością łamać zabezpieczenia. Obecnie całość działana linii klient-serwer, pozwalając na nawiązanie bezpiecznego połączenia z użyciem certyfikatów.

Szyfrowanie kluczem publicznym polega na tym, że każda strona zaangażowana w transakcje przesyłania danych posiada dwa klucze: publiczny oraz prywatny. Klucz publiczny, jak sama nazwa wskazuje, jest powszechnie dostępny, natomiast klucz prywatny przechowywany jest lokalnie w ścisłej tajemnicy. Informacje zaszyfrowane kluczem publicznym mogą zostać odszyfrowane tylko kluczem prywatnym (dzięki temu mamy pewność że informacje odczyta tylko i wyłącznie adresat), natomiast informacje zaszyfrowane kluczem prywatnym mogą zostać odszyfrowane za pomocą klucza publicznego (informacje będzie mógł odczytać każdy posiadacz klucza publicznego i będzie mógł stwierdzić, że dane informacje pochodzą od określonej osoby, ponieważ nikt inny nie dysponuje takim kluczem prywatnym i nie mógłby ich wygenerować).

Podstawowy problem dotyczący techniki klucza publicznego w sieci Internet polega na tym, że trudno jest stwierdzić, czy klucz publiczny przesyłany wraz z wiadomością jest rzeczywiście kluczem publicznym osoby wysyłającej informacje. W tym momencie na scenę wkraczają cyfrowe certyfikaty.

Cyfrowe certyfikaty to nic innego, jak klucz publiczny jakiejś firmy czy też osoby, zaszyfrowany za pomocą klucza prywatnego zaufanej organizacji, zajmującej się wydawaniem owych certyfikatów, w protokole SSL zwanej CA (ang. Certificate Authority). Jest to centralna, godna zaufania instytucja, powołana specjalnie do tworzenia i rozprowadzania cyfrowych certyfikatów (Lemay, 2001, s. 850).

Dzięki certyfikatowi przedsiębiorcy zapewniają poufność danych osobowych i płatniczych wprowadzanych przez swoich klientów, tym samym zyskując w ich oczach wiarygodność. Szyfrowane połączenie pomaga również podnieść pozycję Twojej strony w rankingu wyszukiwania Google.

Rodzaje certyfikatów SSL

• DV (Domain Validation)- jest to najprostsza wersja certyfikatu SSL. Zabezpiecza ona transmisje danych w obrębie domeny oraz potwierdza jej autentyczność. Stosowana jest przez proste strony internetowe, niewielkie sklepy czy też fora. Zalecana do użycia przy wykorzystaniu szablonów blogowych takich jak Wordpress gdzie dostęp do domeny zyskujemy logując się w panelu administratora.
• OV (Organization Validation)- Sugerowana do portali które wymagają dużą ilość informacji podczas rejestracji, takich jak adres, numer telefonu czy numer PESEL. Jest odpowiedni dla dużych sklepów internetowych, serwisów hotelowych czy też stron samorządowych.
• EV (Extended Validation)- Certyfikaty te zabezpieczają domenę, właściciela oraz wyświetlają zielony pasek startu. Używany jest do stron wrażliwych takich jak bankowość internetowa, czy strony posiadające delikatne informacje. (Siergiejczyk M. 2014 s. 121)

Bibliografia

• Bickerton P., Bickerton M., Pardesi U.(2006), Marketing w internecie. Jak najlepiej wykorzystać sieć w sprzedaży produktów i usług Gdańskie Wydawnictwo Psychologiczne, Gdańsk
• Czyż A.(2007), Hakowanie SSL hakin9 8/2007(28), Warszawa 2007
• Fabiański B.(2013), Embedded system of critical information management Electrical Engineering Vol.2013 Nr.76
• Feldy M.(2012), Sklepy internetowe, Wydawnictwo Wolters Kluwer, Warszawa
• Lemay L. Tyler D.(2001), HTML4 - Vademecum Profesjonalisty. Wydanie IIWydawnictwo Helion, Gliwice
• Pietor K.(red) i in.(2014), E-commerce manager, profesjonalista w e-handlu Wydawnictwo Fundacja Polak 2.0, Warszawa
• Siergiejczyk M. Korczak D.(2014), Wybrane zagadnienia bezpieczeństwa transmisji informacji w systemach ITS Technika Vol.2014 Nr.5
• Szewczyk M.(2014), Wybrane analizy pracy struktur teletransmisyjnych i teleinformatycznych w elektroenergetyce Przegląd elektrotechniczny Vol.2014 Nr.3

Autor: Bartłomiej Maruszak, Paulina Tkaczyk