Hlavní obsah
Informatika – Počítače a internet
Kurz: Informatika – Počítače a internet > Kapitola 3
Lekce 5: Webové protokoly- Světová síť (World Wide Web)
- Systém doménových jmen (DNS)
- Systém doménových jmen (DNS)
- HTTP a HTML
- Hypertext Transfer Protocol (HTTP)
- Hypertext Transfer Protocol (HTTP)
- Webové protokoly
- Jak mohou počítače odesílat soukromá data?
- Transport Layer Security (TLS)
- HTTP Secure (HTTPS)
- Soukromí na webu
- Soukromí na webu
Transport Layer Security (TLS)
Počítače odesílají pakety dat po internetu. Tyto pakety jsou jako dopisy v obálce: přihlížející si může snadno přečíst data uvnitř nich. Pokud jsou tato data veřejné informace jako novinový článek, není to velký problém. Ale pokud jsou tato data heslo, číslo kreditní karty nebo důvěrný e-mail, je riskantní nechat kohokoli si tato data prohlížet.
Protokol Transport Layer Security (TLS) přidává vrstvu zabezpečení nad rámec přepravních protokolů TCP/IP. TLS používá jak symetrické šifrování tak šifrování veřejného klíče pro bezpečné odesílání soukromých dat, a přidává další bezpečnostní prvky, jako je ověření pravosti a odhalování nedovolených manipulací.
TLS přidává další kroky k procesu odesílání dat s TCP/IP, takže se zvyšuje v komunikaci na internetu. Nicméně přínosy v oblasti bezpečnosti často stojí za zvýšenou latenci.
(TLS nahradil starší protokol s názvem SSL, takže termíny TLS a SSL se často používají zaměnitelně)
Od začátku do konce
Pojďme si projít procesem bezpečného odesílání dat s protokolem TLS z jednoho počítače do druhého. Odesílající počítač nazveme klient a přijímající počítač server.
TCP handshake (ověření)
Vzhledem k tomu, že TLS je implementováno nad rámec TCP/IP, klient musí nejprve dokončit 3-cestný TCP handshake se serverem.
Zahájení TLS
Klient musí serveru oznámit, že si namísto standardního nezabezpečeného připojení přeje připojení TLS. Odesílá proto zprávu, ve které popisuje, kterou verzi protokolu TLS a techniky šifrování chce použít.
Potvrzení protokolu serverem
Pokud server nepodporuje požadované technologie klienta, přeruší připojení. Může k tomu dojít, pokud se moderní klient snaží komunikovat se starším serverem.
Pokud server podporuje požadovanou verzi protokolu TLS a další možnosti, bude reagovat potvrzením a digitálním certifikátem, který obsahuje jeho veřejný klíč.
Ověření certifikátu
Digitální certifikát serveru je způsob, jak může server říct: "Ano, opravdu jsem tím, kým si myslíš, že jsem". Pokud si klient nemyslí, že je certifikát legitimní, přeruší připojení, protože nechce posílat soukromá data podvodníkovi.
V opačném případě, pokud klient certifikát ověří, pokračuje na další krok.
Vytvoření sdíleného klíče
Klient nyní zná veřejný klíč serveru, takže může teoreticky používat šifrování dat pomocí veřejného klíče, které může server dešifrovat pomocí příslušného soukromého klíče.
Šifrování veřejného klíče ale zabere mnohem více času než symetrické šifrování, protože se používají složitější aritmetické operace. Pokud je to možné, počítače pro ušetření času raději používají symetrické šifrování.
Naštěstí to možné je! Počítače mohou nejprve použít šifrování veřejného klíče pro soukromé vygenerování sdíleného klíče, a pak mohou v budoucích zprávách použít symetrické šifrování s tímto klíčem.
Klient proces zahájí odesláním zprávy na server s pre-master klíčem šifrovaným veřejným klíčem serveru. Klient si vypočítá sdílený klíč na základě tohoto pre-master klíče (je to bezpečnější než poslat skutečný sdílený klíč přímo) a zapamatuje si sdílený klíč lokálně.
Klient také zašle zprávu "Dokončeno", jejíž obsah bude šifrován sdíleným klíčem.
Potvrzení sdíleného klíče serverem
Server může nyní vypočítat sdílený klíč na základě pre-master klíče a pokusit se pomocí tohoto klíče dešifrovat zprávu "Dokončeno". Pokud selže, přeruší připojení.
Pokud může server úspěšně dešifrovat zprávu klienta pomocí sdíleného klíče, odešle potvrzení a svou vlastní zprávu "Dokončeno" se zašifrovaným obsahem.
Odesílání zabezpečených dat
Nakonec klient bezpečně odesílá soukromá data na server pomocí symetrického šifrování a sdíleného klíče.
Často potřebuje tentýž klient posílat data na server několikrát, jako když uživatel vyplňuje formuláře na více stránkách webové stránky. V takovém případě mohou počítače použít k vytvoření bezpečné relace zkrácený proces.
TLS je všude
TLS se používá pro mnoho forem bezpečné komunikace na internetu, jako je bezpečné odesílání e-mailů a bezpečné nahrávání souborů. Nejvíce je však znám pro použití v zabezpečeném prohlížení webových stránek (HTTPS).
TLS poskytuje bezpečnostní vrstvu nad rámec TCP/IP a to díky použití jak šifrování veřejného klíče tak i symetrického šifrování, přičemž zabezpečení dat cestujících na internetu se stává pořád více nezbytné.
🙋🏽🙋🏻♀️🙋🏿♂️Máš k tomuto tématu nějaké dotazy? Rádi ti je zodpovíme — zeptej se v sekci pro dotazy níže!
Chceš se zapojit do diskuze?
Zatím žádné příspěvky.