21.Шифрование. Использование технологии tls/ssl, эцп.

Шифрование является способом сокрытия от посторонних исходного содержания информационных данных. Зашифрованные данные становятся недоступными для всех, за исключением получателей этой информации.

1. Шифрование с закрытым ключом.

В прошлом, организации, желающие работать в безопасной вычислительной среде, использовали шифрование с закрытым ключом, в которых один и тот же закрытый ключ (некий уникальный код) использовался и для шифрования и для расшифровки сообщений. В этом случае отправитель шифровал сообщение, используя закрытый ключ, затем посылал зашифрованное сообщение вместе с закрытым ключом получателю. Такая система имела недостатки: 1. Секретность и целостность сообщения могли быть скомпрометированы, если ключ перехватывался, поскольку он передавался от отправителя к получателю вместе с сообщением по незащищенным каналам; 2. Так как оба участника транзакции используют один и тот же ключ для шифрования и дешифрования сообщения, вы не можете определить, какая из сторон создала сообщение; 3. Для каждого получателя сообщений требуется отдельный ключ, а это значит, что организации должны иметь огромное число закрытых ключей, чтобы поддерживать обмен данными со всеми своими корреспондентами.

2. Шифрование с открытым ключом

- является более безопасным методом. Здесь используется технология защищенного канала SSL. SSL (Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет.

Технология SSL (Secure Sockets Layer) и её современная версия TLS (Transport Layer Security) обеспечивают секретность работы в Интернете путём организации защищённого шифрованием канала связи между клиентским браузером и тем узлом сети (web-сервером, например), с которым пользователь браузера обменивается информацией. Обмен данными осуществляется через защищенный канал, который не позволяет злоумышленнику узнать или исказить информацию. Проверка целостности данных гарантирует, что данные не менялись в процессе пересылки от браузера к серверу или обратно.

SSL (TSL) базируется на криптографических протоколах с открытым ключом. В данном механизме используются два связанных ключа - открытый (публичный) и закрытый (секретный) ключ. Они существуют парами и, в идеальной ситуации, закрытый ключ не может быть выведен из открытого, что позволяет свободно распространять открытый ключ. [Чтобы организовать защищённый канал связи, двум сторонам достаточно обменяться между собой публичными ключами через открытый канал связи - через Интернет. (Либо открытый ключ может передать только одна сторона, с той целью, чтобы второй участник обмена данными вернул в зашифрованном виде секретный сеансовый ключ, который будет использован сторонами для шифрования информации в рамках сеанса связи. Именно по этой схеме работает SSL).] Данные, зашифрованные при помощи открытого ключа, могут быть расшифрованы в обратном порядке только при помощи соответствующего закрытого ключа. А поскольку никто, кроме получателя сообщения, его не знает, то сообщение не может быть прочитано никем другим.

[При использовании SSL для работы с web-сайтом создание набора ключей (открытых и секретных) и обмен этими ключами между браузером и web-сервером происходят автоматически, без участия пользователя. После того как секретный канал создан, работа с web-сайтом для посетителя ничем не отличается от работы по открытому каналу, однако передаваемые и принимаемые данные автоматически шифруются.]

Одна из проблем шифрования с открытым ключом состоит в том, что открытый ключ (и соответствующий закрытый) может быть сгенерирован кем угодно, в том числе и злоумышленником, который выдаёт себя за кого-то другого, просто называясь его именем.

2. Одностороннее кодирование (шифрование). (Сохранение паролей в виде хеш-функций).

Результатом односторонней хеш-функции обычно бывает выход фиксированной длины (независимо от входа). При использовании таких функций практически невозможно при помощи вычислений определить входную информацию для хеш-значения или определить два уникальных значения, хешированные до одинаковых значений. (Пример - Надежный Хеш-Алгоритм (Secure Hash Algorithm - SHA), разработанный Национальным Институтом Стандартов и Технологий (National Institutes of Standards and Technologies - NIST), выдающий 160 битовое значение.)

Типичным применением таких функций является вычисление "дайджест сообщения" (message digest), которое делает возможным для получателя проверить достоверность данных дублированием вычислений и сравнением результатов. Выходные данные хеш-функций, шифрованные при помощи алгоритма открытых ключей, являются основой для "Цифровых Подписей" (NIST Digital Signature Algorithm - DSA)

Зависимые от ключа односторонние хеш-функции требуют ключа для вычисления и проверки хеш-значения. Это очень полезно для целей авторизации, когда посылающая и принимающая стороны могут использовать зависимые от ключа хеш-функции в схеме "запрос-ответ". Эти функции могут быть реализованы очень просто - добавлением ключа к сообщению с последующей генерацией хеш-значения. Другой способ - использовать шифрование блоками при CFB, с кодированием каждого блока в зависимости от выхода предыдущих блоков.

2. Электронная цифровая подпись (ЭЦП).

Электронная цифровая подпись была разработана для использования в алгоритмах шифрования с открытым ключом для решения проблемы подлинности и целостности. Наличие ЭЦП гарантирует подлинность документа и защищает от подделки, а также помогает идентифицировать владельца сертификата цифровой подписи и предотвратить искажения в документе.

Электронная подпись формируется в результате криптографического преобразования данных и представляет собой уникальную последовательность символов, известную только ее владельцу.

Цифровые сертификаты распределяются специальной организацией — certification authority (CA) (например, VeriSign) — и подписываются закрытым ключом этой организации. Они включают имя участника (организации или человека), его открытый ключ, серийный номер, срок годности сертификата, разрешение от поставщика сертификатов и любую другую информацию, имеющую отношение к теме. Доступ к цифровым сертификатам открыт, а содержатся они в архивах сертификатов.