KNOW INTUIT, Лекция, Приложение на криптиране

Работа с IIS защитени връзки

SSL/TLS протоколите на практика защитават всички онлайн банкиране, парични транзакции и покупки. Например всички финансови институции използват SSL, за да осигурят сигурното предаване на ПИН кода на всеки клиент и други чувствителни данни, свързани с акаунта. Когато клиент използва кредитна карта за закупуване на артикули онлайн, данните от формуляра за поръчка се предават, обикновено през защитен с SSL „тунел“, достъпен само за отдела за поръчки на доставчика на избрания артикул.

Съвет. SSL протоколът първоначално е разработен от Netscape в средата на 90-те години. Оттогава IETF работи върху нова версия на системата за криптиране на данни между клиенти и сървъри, наречена Transport Layer Security (TLS), базирана на Netscape SSL 3.0 (тези версии не са взаимозаменяеми). Microsoft IIS поддържа TLS 1.0 (нова версия) и SSL 3.0 (за съвместимост с по-ранни версии).

SSL и TLS осигуряват много силно криптиране. Има добре известни случаи на кражба на номера на кредитни карти от уебсайтове, използващи SSL/TLS технология, но тези престъпления са извършени само защото информацията е била съхранена неправилно в базата данни, а не защото хакер е разбил SSL/TLS шифъра.

Как работи защитената уеб връзка

TLS и SSL са неразделна част от повечето уеб браузъри (клиенти) и уеб сървъри. SSL/TLS използва приложен слой между HTTP и TCP протоколите, които са част от браузърите Microsoft и Netscape и са вградени в IIS. Sockets (от името на протокола Secure Socket Layer) означава възможността за всички операциисистеми, използвани от приложенията за изпращане и получаване на данни по мрежата.

Криптираната SSL / TLS връзка ви позволява да шифровате на сървъра и да дешифрирате на клиента (и обратно) цялата информация, предавана между тях. Шифроването се извършва с помощта на симетричен шифър след защитен обмен на сесийни ключове с помощта на криптиране с публичен ключ (вижте раздела „Комбиниране на методи за криптиране“). Алгоритъмът за публичен ключ е RSA, а симетричният шифър по подразбиране е RC-4. Освен това всички данни, предавани през криптирани връзки, са защитени от механизъм за откриване на злонамерена дейност, който следи за промени в данните по време на пренос.

SSL сесията между клиента и сървъра се установява по следния начин.

  • Клиентът отваря сокет и иска връзка със сървъра.
  • Сървърът удостоверява клиента (с парола или със сертификат, изпратен от клиента).
  • След като връзката е установена, сървърът предава публичния си ключ на браузъра, като изпраща сървърен сертификат, издаден от доверен сертифициращ орган.
  • Клиентът удостоверява сертификата.
  • Клиентът и сървърът обменят конфигурационна информация, за да определят типа и силата на криптирането, използвано в сесията за свързване.
  • Клиентът генерира сесиен ключ, който се използва за криптиране на данните.
  • Клиентът криптира ключа на сесията с публичния ключ на сървъра (получен от сертификата на сървъра) и го изпраща на сървъра. Секретният ключ, който може да се използва за дешифриране на сесийния ключ, се намира само на сървъра.
  • Сървърът дешифрира сесийния ключ и го използва, за да създаде защитена сесия, чрез която данните ще се обменят с клиента.

Предпоставка за успешното изпълнение на тези стъпки е предварително инсталиран основен сертификат на клиента, получен от доверен сертифициращ орган. Когато използвате сертификат, получен от търговски CA, чийто основен сертификат вече е наличен в Microsoft Internet Explorer и Netscape Communicator (например Verisign), не е нужно да се притеснявате за това. Когато използвате клиентски сертификати, сървърът трябва да инсталира клиентски основен сертификат, издаден от клиентския сертификатен орган.

Конфигуриране на IIS за работа с SSL/TLS

Има четири процедури, които трябва да следвате, когато конфигурирате IIS сайт за SSL/TLS криптиране.

  • Генериране на двойка публични ключове, използвани от CA при заявка на сертификат.
  • Заявка за сървърен сертификат от CA.
  • Инсталиране на сертификат.
  • Настройте директории и страници, които искате да защитите.

Съвет. При закупуване на сертификат от търговски СО, целият процес ще отнеме повече време и ще бъде изразходван главно в изчакване за завършване на процедурата по валидиране в СО. Този процес може да отнеме няколко дни, така че няма да можете да изпълните всичките четири стъпки наведнъж. Ще трябва да предоставите на службата за сертифициране достатъчен брой документи, потвърждаващи декларирания статут и обхват на вашата организация, и само след проверка на тези данни ще получите сертификат. Някои търговски сертифициращи органи обаче предоставят пробни сертификати по интернет, които са с много ограничена валидност, но това поне ви позволява да завършите експерименталната настройка.