Лекция 17 Безопасность на транспортном уровне: ssl и tls


Download 178.97 Kb.
bet2/3
Sana23.12.2022
Hajmi178.97 Kb.
#1044990
TuriЛекция
1   2   3
Bog'liq
Безопасность на транспортном уровне

>ийный протокол
ийные сигналы, определенные в SSL, за исклю- добавляет к списку SSL некоторые новые. Табли- ок аварийных сигналов, поддерживаемых TLS.
гналы, определенные для TLS
Содержание

0

CloseNotify

Передатчик не будет посылать сообщений

10

UnexpectedMessage

Получено несоответствующее сообщение

20

BadRecordMAC

Получен некорректный MAC

21

DecryptionFailed

Дешифрованное сообщение недействительно

22

RecordOverFlow

Размер сообщения больше чем 214 + 2048

30 DecampressionFailureНевозможно соответствующее расширение со-
общения
40 HandsHakeFailure Передатчик не может завершить установление
соединения
42 BadCertificate Полученный сертификат искажен

43

UnsupportedCertificateПолученный тип сертификата не поддержива­ется

44

CertificateRevoked

Подписавший аннулировал сертификат

45

CertificateExpired

Срок сертификата истек

46

CertificateUnknown

Сертификат неизвестен





47

IllegalParameter

Поле выходит за допустимые пределы или не совместимо с другими

48

UnknownCA

CA не может быть идентифицировано

49

AcessDenied

Нежелательно для продолжения переговоров

50

Decode Error

Полученное сообщение не может быть декоди­ровано

51

DecryptError

Расшифровка зашифрованного текста недейст­вительна

60

ExportRestriction

Проблемы согласования с ограничениями в США

70

ProtocolVersion

Эта версия протокола не поддерживается

71

InsufficientSecurity

Требуется больший набор секретных шифров

80

InternalError

Местная ошибка

90

UserCanceled

Данная сторона хочет прекратить переговоры



100 NoRenegotiationСервер не может снова начать переговоры по установлению соединения


Протокол установления соединения
TLS вносит некоторые изменения в протокол установления соединения. Были специально изменены детали сообщения CertificateVerify и сообщения Finished.
Сообщение CertificateVerify (сертификат верифицирован)
В SSL хэширование, используемое в Сообщении CertificateVerify, — это хэ­ширование с двумя шагами, а именно: сообщение установления соединения плюс заполнение и главный секретный код. TLS упростил процесс: в нем хэшируется только сообщение установления соединения, как показано на рис. 17.44.
Рис. 17.44. Хэш для сообщения CertificateVerify в TLS
Сообщение Finished
Было также изменено вычисление хэш для сообщения Finished. TLS исполь­зует PRF, чтобы вычислить два хэша, применяемых для сообщения Finished, как это показано на рис. 17.45.
Протокол передачи записей
Единственное изменение в протоколе передачи записей — использование HMAC, чтобы подписать сообщение. TLS применяет MAC, как это определено в лекции 11, для того чтобы создать HMAC. TLS также добавляет версию протоко­ла (названную сжатой версией) к тексту, который будет подписан. Рисунок 17.46 показывает, как формируется HMAC.
Рис. 17.45. Хэш для сообщения Finished в TLS
Рис.17.46 HMAC для TLS
17.4. Рекомендованная литература
Для более детального изучения положений, обсужденных в этой лекции, мы рекомендуем нижеследующие книги и сайты. Пункты, указанные в скобках, по­казаны в списке ссылок в конце.
Книги
[Res], [Tho00], [Sta06], [Rhe03] и [PHS03] рассматривают SSL и TLS.
Сайты
Нижеследующий сайт дает больше информации о темах, обсужденных в этой лекции.
http://www ietf.org/rfc/rfc2246.txt

  1. Итоги

  • Протокол безопасности транспортного уровня обеспечивает услуги безо­пасности из конца в конец для приложений, которые пользуются протоко­лами транспортного уровня, такими как, например, TCP. На сегодняшний день преобладает применение двух протоколов: протокол «Уровень Безо­пасных Розеток» (SSL — Secure Sockets Layer) и протокол «Безопасность Транспортного уровня» (TLS — Transport Layer Security).

  • SSL или TLS обеспечивают такие услуги, как фрагментация, сжатие, цело­стность сообщения, конфиденциальность и создание кадра данных, полу­ченных от прикладного уровня. Как правило, SSL (или TLS) может полу­чить прикладные данные от любого протокола прикладного уровня, но ра­ботает протокол обычно с HTTP.

  • Комбинация алгоритмов смены ключей, хэширования и алгоритм шифро­вания определяют набор шифров для каждого сеанса.

  • Для того чтобы обмениваться заверенными и конфиденциальными сооб­щениями, клиенту и серверу необходимо иметь шесть единиц криптогра­фической секретности (четыре ключа и два вектора инициализации).

  • В SSL (или TLS) отличают подключение и сеанс. В сеансе одна сторона иг­рает роль клиента, а другая — роль сервера; при подключении обе стороны играют одинаковые роли.

  • SSL (или TLS) определяет четыре протокола на двух уровнях: протокол ус­тановления соединения, протокол ChangeCipherSpec, аварийный прото­кол и протокол передачи записей. Протокол установления соединения ис­пользует несколько сообщений, чтобы договориться о наборе шифров, подтвердить подлинность сервера для клиента и клиента для сервера, если это необходимо, и обмениваться информацией для организации крипто­графической секретности. Протокол ChangeCipherSpec определяет про­цесс перемещения информации между состоянием ожидания и активным состоянием. Аварийный протокол передает извещения об ошибках и ситу­ациях, отклоняющихся от нормальных. Протокол передачи записей до­ставляет сообщения от верхнего уровня (протокол установления соедине­ния, аварийный протокол, ChangeCipherSpec-протокол) или прикладного уровня.


  1. Download 178.97 Kb.

    Do'stlaringiz bilan baham:
1   2   3



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling