מה זה SSL? איך הוא מאבטח את התקשורת
מהו SSL, למה צריך SSL ואיך מתקינים את זה?
Secure Sockets Layer (SSL) הוא פרוטוקול אבטחת אינטרנט, היוצר חיבורים מוצפנים בין מחשבים ברשת, כגון האינטרנט.
לדוגמה, כניסה לבנקאות המקוונת שלך ללא החיבורים המוצפנים המסופקים על ידי SSL פירושה שכל אחד שעוקב אחר החיבור שלך יכול לראות את הסיסמאות שלך ונתונים פיננסיים רגישים אחרים.
אליס, בוב ואיב
מומחי אבטחת מחשבים מתייחסים לרוב לשני צדדים המנסים להחליף מידע בצורה מאובטחת כמו זה כאל 'אליס' ו'בוב'. יש גם את 'חוה' שמתכוונת לצותת לקשר שלהם.
אם אליס רוצה לתקשר עם בוב בצורה מאובטחת, הם צריכים להצפין את הנתונים שלהם. אבל מהי הצפנה? בימיו הראשונים של האינטרנט, כל ההצפנה הייתה סימטרית – המפתח ששימש להצפנת נתונים היה אותו מפתח ששימש לפענוחם.
כדי להצפין נתונים בבטחה ולהחליף הודעות, אליס ובוב היו צריכים להסכים על מפתח משותף. זה נעשה בדרך כלל באמצעות תקן הצפנת נתונים (DES).
מפתחות DES היו חלשים יחסית (56 סיביות), ופגיעים להתקפות בכוח גס על ידי מחשבים רבי עוצמה שניסו כל שילוב סיסמא אפשרי עד שהוא פגע בזו הנכונה. הייתה גם בעיה של חלוקת מפתחות. לאחר שהנתונים שלך מוצפנים, איך אתה שולח את המפתח הסימטרי כדי לפענח אותו למישהו שעשוי להיות בצד השני של העולם?
SSL: מפתחות ציבוריים ופרטיים
SSL, שפותח על ידי Netscape ב-1995, תוכנן כדי לפתור את הבעיה של אליס ובוב.
כמו הליבה, SSL (הידוע כעת בשם Transport Layer Security או TLS ) משתמש בהצפנה אסימטרית, או בקריפטוגרפיה של מפתח ציבורי. המפתח (הציבורי) המשמש להצפנת נתונים אינו זהה למפתח הסודי (הפרטי) המשמש לפענוחם.
המפתחות קשורים במובן מתמטי בהיותם מבוססים על פירוק מספרים ראשוניים גדולים במיוחד. לא חשוב להבין את זה לעומק חוץ מלומר שהכרת המפתח הציבורי של מישהו רק מאפשרת לך להצפין נתונים כדי שיפענחו: לא ניתן להשתמש בו הפוך.
איך עובד SSL
אז איך עובד SSL? התשובה טמונה בשילוב של הצפנה סימטרית מסורתית והצפנת מפתח ציבורי.
כאשר אליס רוצה לתקשר בצורה מאובטחת עם בוב מבלי שאיב תקשיב, הם מבצעים תחילה לחיצת יד וירטואלית. באופן מסורתי, זה איפשר להם ליצור פרוטוקולי SSL ספציפיים ואלגוריתמי הצפנה נתמכו.
המכשיר של אליס משתמש במפתח הציבורי של בוב כדי ליצור מפתח הצפנה סימטרי סודי משותף עבור החיבור המסוים הזה. לאחר מכן, המכשיר של בוב משתמש במפתח הציבורי של אליס כדי לאשר בצורה מאובטחת שזהו המפתח לשימוש. לאחר הקמת מפתח הצפנה סימטרי משותף, התקשורת מאובטחת כעת
שימוש גם במפתח ציבורי וגם בהצפנה סימטרית רגילה אולי נשמע משוכלל יתר על המידה, אבל יש לזה יתרון גדול. הצפנה סימטרית היא הרבה יותר מהירה מאשר א-סימטרית, ולכן הרבה יותר הגיוני להשתמש במפתחות ציבוריים כמה שפחות.
הסט-אפ הזה הוא סיוט עבור שחקנים גרועים כמו איב. ייתכן שהיא תוכל לפקח על הנתונים העוברים בין המכשירים של אליס ובוב, אך לא תוכל להבין זאת. הכרת מפתחות ציבוריים אינה מועילה לפענוח הנתונים וברגע שהנתונים מוצפנים על ידי מפתח סימטרי, זה חסר משמעות באותה מידה.
תעודות SSL
יש פגם במודל האבטחה של SSL עד עכשיו: מה אם שחקן גרוע ינסה ליירט את הקשר של אליס ובוב ולהתחזות לבוב? במקרה כזה הם יוכלו לספק את המפתח הציבורי שלהם לאליס כדי לקרוא את כל הנתונים האישיים הרגישים שלה.
כאן נכנסות לתמונה רשויות אישורי SSL. רשויות אישורים (CA) זוכות לאמון ציבורי, ומנפיקות תעודות SSL דיגיטליות ומפתחות ציבוריים לאנשים או לאתרים. הם גם משתמשים במפתח הפרטי שלהם כדי לחתום דיגיטלית על אישורים אלה, כדי שאחרים יוכלו לבדוק שהוא תקף.
כמעט כל הדפדפנים המודרניים מגיעים עם פרטים מראש של רשויות אישורים מהימנות והמפתחות הציבוריים שלהם, כך שקל לבדוק שאישור ה-SSL של אתר מסוים תקף. כדי לברר אם אתר אינטרנט מאובטח באמצעות SSL, אתה יכול לבדוק אם יש סמל מנעול בשורת הכתובת – לחץ עליו למידע נוסף.
בכל פעם שהמכשיר שלך מתחבר לאתר אינטרנט באמצעות SSL (מסומן בכתובת אינטרנט שמתחילה "https://"), האתר שולח את אישור ה-SSL שלו, כולל המפתח הציבורי שלו. לאחר מכן דפדפן האינטרנט שלך מאמת את האישור ומתריע אם נראה שהאתר חסר אבטחה.
בפועל יש כמה סוגים של תעודות שונות, אבל עוד בימי ה-SSL המקוריים, פשוט נעשה שימוש באישור כדי לקבוע שזהו המפתח הציבורי התקף עבור אותו תחום מסוים.
SSL היום
SSL לא ראה עדכון מאז SSL 3.0 בשנת 1996. כיום, ה-TLS המאובטח יותר הוא היורש שלו, והופך לפרוטוקול הנפוץ ביותר לאבטחת תעבורת אתרים.
בהתחשב בפופולריות של SSL, משתמשי אינטרנט רבים עדיין מתייחסים להצפנת תעבורת אינטרנט כ-SSL או SSL/TLS . למרות שרשויות האישורים מציעות רק תעודות TLS, הן עדיין מכונות בדרך כלל תעודות SSL.
אף על פי ששום צורה של אבטחה אינה מושלמת לחלוטין, השימוש ב-SSL/TLS מפחית מאוד את הסיכון של תעבורת נתונים בין המכשיר שלך לאתרי אינטרנט מנוצל לרעה על ידי שחקנים רעים. החוכמה להימנע מבעיות SSL היא לוודא שההגדרה שלך נכונה.