۱۱.۲۷.۱۳۸۷

ssl چیسشت

Ssl چيست [ \\\ ]

SSL چيست و آيا سايت شركت ما بايد به SSL
مجهز باشد يا خير ؟ منبع :
http://www.winbeta.net
بيشتر اطلاعاتي كه روي
اينترنت رد و بدل ميشوند به صورت Clear Text
مبادله مي شوند و به همين خاطر اطلاعات
مبادله شده در بين راه از كامپيوتر شما
به وب سرور قابل مشاهده هستند .به عنوان
مثال شما وقتي بر روي يك سايت كه SSL
نداشته باشد ، يك فرمي را پر كنيد و
اطلاعات شخصي خود را براي اون سايت
بفرستيد اين اطلاعات به صورت Clear Text از
كامپيوتر شما خارج شده و بعد از گذشتن
از ISP شما و دهها گره اينترنتي ديگر به
سرور مي رسند ، و اين با اين خطر روبروست
كه هر يك از اين گره ها ميتواند اطلاعات
رد و بدل شده را به آساني مشاهده كند به
عنوان مثال اگر از يك ISP ايراني استفاده
مي كنيد ، هم آن ISP و هم شركتي كه به آن ISP
خط Send مي دهد و همه شركت هايي كه در مسير
هستند قابليت مشاهده اطلاعات فرستاده
شما را دارند .به طور خلاصه SSL يك
پروتوكل امنيتي است كه توسط نت اسكيپ
ابداع شده است و در تال تاضر رايج ترين
پروتوكل انتقال امن اطلاعات در وب
ميباشد به شكلي كه مرورگر اينترنتي شما
از وجود چنين امكاني در سرور خبر دار
شده و از يك Public Key موجود در
مرورگراستفاده كرده و اطلاعات شما به
صورت كد شده به سرور مي فرستد و اين تنها
سرور است كه با استفاده از Private Key خود
اطلاعات دريافتي را ميتواند Decode كند .
به علت اينكه آن Private Key تنها در سرور نصب
شده است ، هيچ نرم افزار ديگري در بين
راه نمي تواند آن اطلاعات را مشاهده كند
.از طرف ديگر وجود SSL در سرور اين اطمينان
خاطر را به شما مي دهد كه وب سايتي كه شما
در تال فرستادن اطلاعات به آن هستيد يك
وب سايت تقلبي يا شبيه سازي شده براي
بدست آوردن اطلاعات شما نيست و از اصل
بودن آن اطمينان تاصل مي كنيد .آگر وب
سايت شما اطلاعات مترمانه اي را از
بازديد كننده دريافت ميكند يا داراي
قسمتي است كه از بازديد كننده تان شناسه
كاربري و پسورد دريافت ميكند و وارد يك
User Area ميشود و در آنجا به امكانات خاصي
دسترسي دارند بنا بر اهميت آن ، ما
توصيه به گرفتن SSL مي كنيم
. http://www.iranscience.net/articles/ssl.pdfMahmoud
@Moravej.irSSL
چيست؟ (SSL يا Secure Socket Layer) راه حلي جهت
برقراري ارتباطات ايمن ميان يك سرويس
دهنده و يك سرويس گيرنده است كه توسط
شركت Netscape ارايه شده است. در واقع SSL
پروتكلي است كه پايين تر از لايه كاربرد
(لايه 4 از مدل TCP/IP) و بالاتر از لايه
انتقال (لايه سوم از مدل TCP/IP) قرار مي
گيرد.مزيت استفاده از اين پروتكل بهره
گيري از موارد امنيتي تعبيه شده آن براي
امن كردن پروتكل هاي غيرامن لايه
كاربردي نظير HTTP ،LDAP ،IMAP و... مي باشد كه
براساس آن الگوريتم هاي رمزنگاري بر
روي داده هاي خام (plain text) كه قرار است از
يك كانال ارتباطي غير امن مثل اينترنت
عبور كنند، اعمال مي شود و محرمانه
ماندن داده ها را در طول كانال انتقال
تضمين مي كند.به بيان ديگر شركتي كه
صلاحيت صدور و اعطاء گواهي هاي ديجيتال
SSL را دارد براي هر كدام از دو طرفي كه
قرار است ارتباطات ميان شبكه اي امن
داشته باشند، گواهي هاي مخصوص سرويس
دهنده و سرويس گيرنده را صادر مي كند و
با مكانيزم هاي احراز هويت خاص خود،
هويت هر كدام از طرفين را براي طرف
مقابل تأييد مي كند، البته غير از اين
كار مي بايست تضمين كند كه اگر اطلاعات
حين انتقال مورد سرقت قرار گرفت، براي
رباينده قابل درك و استفاده نباشد كه
اين كار را با كمك الگوريتم هاي
رمزنگاري و كليدهاي رمزنگاري نامتقارن
و متقارن انجام مي دهد. ملزومات يك
ارتباط مبتني بر پروتكل امنيتي SSL براي
داشتن ارتباطات امن مبتني بر SSL عموماً
به دو نوع گواهي ديجيتال SSL يكي براي
سرويس دهنده و ديگري براي سرويس گيرنده
و يك مركز صدور و اعطاي گواهينامه
ديجيتال يا CA نياز مي باشد. وظيفه CA اين
است كه هويت طرفين ارتباط، نشاني ها،
حساب هاي بانكي و تاريخ انقضاي
گواهينامه را بداند و براساس آن ها هويت
ها را تعيين نمايد. مكانيزم هاي تشكيل
دهنده SSL 1- تأييد هويت سرويس دهنده با
استفاده از اين ويژگي در SSL، يك كاربر از
صحت هويت يك سرويس دهنده مطمئن مي شود.
نرم افزارهاي مبتني بر SSL سمت سرويس
گيرنده (مثلاً يك مرورگر وب نظيرInternet
Explerer از تكنيك هاي استاندارد رمزنگاري
مبتني بر كليد عمومي و مقايسه با
كليدهاي عمومي يك سرويس دهنده (مثلاً يك
برنامه سرويس دهنده وب نظير (IIS مي تواند
از هويت او مطلع شود و پس از اطمينان
كامل، كاربر مي تواند نسبت به وارد
نمودن اطلا عات خود مانند شماره كارت
هاي اعتباري و يا گذرواژه ها اقدام
نمايد. 2- تأييد هويت سرويس گيرنده برعكس
حالت قبلي در اينجا سرويس دهنده است كه
مي بايست از صحت هويت سرويس گيرنده
اطمينان يابد. طي اين مكانيزم، نرم
افزار مبتني بر SSL سمت سرويس دهنده پس از
مقايسه نام سرويس گيرنده با نام هاي
مجاز موجود در ليست سرويس گيرنده هاي
مجاز كه در داخل سرويس دهنده تعريف مي
شود و در صورت وجود، اجازه استفاده از
سرويس هاي مجاز را به او مي دهد. 3-
ارتباطات رمز شده كليه اطلاعات مبادله
شده ميان سرويس دهنده و گيرنده مي بايست
توسط نرم افزارهاي موجود در سمت سرويس
دهنده و سرويس گيرنده رمزنگاري (Encrypt)
شده و در طرف مقابل رمزگشايي (Decrypt) شوند
تا حداكثر محرمانگي (Confidentiality) در اين
گونه سيستم ها لحاظ شود. اجزاي پروتكل SSL
پروتكل SSL داراي دو زير پروتكل تحت
عناوين زير مي باشد. 1- SSL Rocord Protocol كه نوع
قالب بندي داده هاي ارسالي را تعيين مي
كند. 2- SSL Handshake Protocol كه براساس قالب
تعيين شده در پروتكل قبلي، مقدمات
ارسال داده ها ميان سرويس دهنده ها و
سرويس گيرنده هاي مبتني بر SSL را تهيه مي
كند. بخش بندي پروتكل SSL به دو زير پروتكل
داراي مزاياي چندي است. از جمله: اول: در
ابتداي كار و طي مراحل اوليه ارتباط
(Handshake) هويت سرويس دهنده براي سرويس
گيرنده مشخص مي گردد.دوم: در همان
ابتداي شروع مبادلات، سرويس دهنده و
گيرنده بر سر نوع الگوريتم رمزنگاري
تبادلي توافق مي كنند. سوم: در صورت
لزوم، هويت سرويس گيرنده نيز براي
سرويس دهنده احراز مي گردد. چهارم: در
صورت استفاده از تكنيك هاي رمزنگاري
مبتني بر كليد عمومي، مي توانند
كليدهاي اشتراكي مخفي را ايجاد نمايند.
پنجم: ارتباطات بر مبناي SSL رمزنگاري مي
شوند. الگوريتم هاي رمزنگاري پشتيباني
شده در SSL در استاندارد SSL ، از اغلب
الگورتيم هاي عمومي رمزنگاري و مبادلات
كليد (Key Exchcenge Algorithm) نظير DES ،DSA ،KEA ، MD5،
RC2،RC4، RSA و RSA Key Exchauge ،SHA-1 ،Skipjack و 3DES
پشتيباني مي شود و بسته به اين كه نرم
افزارهاي سمت سرويس دهنده و سرويس
دهنده نيز از موارد مذكور پشتيباني
نماييد، ارتباطاتSSL مي تواند براساس هر
كدام اين از الگوريتم ها صورت پذيرد.
البته بسته به طول كليد مورد استفاده در
الگوريتم و قدرت ذاتي الگوريتم مي توان
آن ها را در رده هاي مختلفي قرار دارد كه
توصيه مي شود با توجه به سناريوهاي
موردنظر، از الگوريتم هاي قوي تر نظير
3DES با طول كليد 168 بيت براي رمزنگاري
داده ها و همچنين الگوريتم 1-SHA براي
مكانيزم هاي تأييد پيغام 5 MD استفاده
شود و يا اين كه اگر امنيت در اين حد
موردنياز نبود، مي توان در مواردي خاص
از الگوريتم رمزنگاري 4 RC با طول كليد 40
بيت و الگوريتم تأييد پيغام 5 MD استفاده
نمود. (شكل 2 )نحوه عملكرد داخلي پروتكل
SSLهمانطور كه ميدانيد SSL ميتواند از
تركيب رمزنگاري متقارن و نامتقارن
استفاده كند. رمزنگاري كليد متقارن
سريعتر از رمزنگاري كليد عمومي است و از
طرف ديگر رمزنگاري كليد عمومي تكنيكهاي
احراز هويت قويتري را ارايه ميكند. يك
جلسه SSL Session) SSL) با يك تبادل پيغام ساده
تحت عنوان SSL Handshake شروع ميشود. اين
پيغام اوليه به سرويس دهنده اين امكان
را ميدهد تا خودش را به سرويس دهنده
داراي كليد عمومي معرفي نمايد و سپس به
سرويس گيرنده و سرويس دهنده اين اجازه
را ميدهد كه يك كليد متقارن را ايجاد
نمايند كه براي رمزنگاريها و رمزگشايي
سريعتر در جريان ادامه مبادلات مورد
استفاده قرار ميگيرد. گامهايي كه قبل از
برگزاري اين جلسه انجام ميشوند براساس
الگوريتم RSA Key Exchange عبارتند از:1- سرويس
گيرنده، نسخه SSL مورد استفاده خود،
تنظيمات اوليه درباره نحوه رمزگذاري و
يك داده تصادفي را براي شروع درخواست يك
ارتباط امن مبتني بر SSL به سمت سرويس
دهنده ارسال ميكند.2- سرويس دهنده نيز در
پاسخ نسخه SSL مورد استفاده خود، تنظيمات
رمزگذاري و داده تصادفي توليد شده توسط
خود را به سرويس گيرنده ميفرستد و
همچنين سرويس دهنده گواهينامه خود را
نيز براي سرويس گيرنده ارسال ميكند و
اگر سرويس گيرنده از سرويس دهنده،
درخواستي داشت كه نيازمند احراز هويت
سرويس گيرنده بود، آن را نيز از سرويس
گيرنده درخواست ميكند.3- سپس سرويس
گيرنده با استفاده از اطلاعاتي كه از
سرويس دهنده مجاز در خود دارد، داده ها
را بررسي ميكند و اگر سرويس دهنده مذكور
تأييد هويت شد، وارد مرحله بعدي ميشود و
در غير اينصورت با پيغام هشداري به
كاربر، ادامه عمليات قطع ميگردد.4-
سرويس گيرنده يك مقدار به نام Premaster Secret
را براي شروع جلسه ايجاد ميكند و آن را
با استفاده از كليد عمومي (كه اطلاعات
آن معمولاً در سرويس دهنده موجود است)
رمزنگاري ميكند و اين مقدار رمز شده را
به سرويس دهنده ارسال ميكند.5- اگر سرويس
دهنده به گواهينامه سرويس گيرنده نياز
داشت ميبايست در اين گام براي سرويس
دهنده ارسال شود و اگر سرويس گيرنده
نتواند هويت خود را به سرويس دهنده
اثبات كند، ارتباط در همينجا قطع
ميشود.6- به محض اينكه هويت سرويس گيرنده
براي سرويس دهنده احراز شد، سرويس دهنده
با استفاده از كليد اختصاصي خودش مقدار
Premaster Secret را رمزگشايي ميكند و سپس
اقدام به تهيه مقداري به نام Master Secret
مينمايد.7- هم سرويس دهنده و هم سرويس
گيرنده با استفاده از مقدار master Secret
كليد جلسه (Session Key) را توليد ميكنند كه
در واقع كليد متقارن مورد استفاده در
عمل رمزنگاري و رمزگشايي داده ها حين
انتقال اطلاعات است و در اين مرحله به
نوعي جامعيت داده بررسي ميشود.8- سرويس
گيرنده پيغامي را به سرويس دهنده
ميفرستد تا به او اطلاع دهد، داده بعدي
كه توسط سرويس گيرنده ارسال ميشود به
وسيله كليد جلسه رمزنگاري خواهد شد و در
ادامه، پيغام رمز شده نيز ارسال ميشود
تا سرويس دهنده از پايان يافتن Handshake
سمت سرويس گيرنده مطلع شود.9- سرويس
دهنده پيغامي را به سرويس گيرنده ارسال
ميكند تا او را از پايان Handshake سمت سرويس
دهنده آگاه نمايد و همچنين اينكه داده
بعدي كه ارسال خواهد شد توسط كليد جلسه
رمز ميشود.10- در اين مرحله SSL Handshake تمام
ميشود و از اين به بعد جلسه SSL شروع
ميشود و هر دو عضو سرويس دهنده و گيرنده
شروع به رمزنگاري و رمزگشايي و ارسال
داده ها ميكنند. حملات تأثيرگذار برSSL SSL
نيز از حملات و نفوذهاي مختلف در امان
نيست. بعضي از حملات متداولي كه براين
پروتكل واقع ميشود عبارتند ازTraffic Analysis
: يا تحليل ترافيك، حملاتCut ِ Paste
بلووين، حملات Certification Injection و حملات از
نوع Man in the middle.

هیچ نظری موجود نیست:

http://up.iranblog.com/images/0z5dgraxwa4j49a5ts77.gif http://up.iranblog.com/images/gv83ah5giec9g8jkopmc.gif