SSL

DEFINICJA Secure Sockets Layer (SSL) to otwarta specyfikacja systemu zabezpieczania przed nieuprawnionym dostępem informacji przesyłanych w Internecie, opracowana przez Netscape Communications. Podstawowym celem SSL było umożliwienie przeprowadzania bezpiecznych transakcji finansowych w sieci WWW, ale protokół ten ma zastosowanie uniwersalne i pozwala na ochronę wszelkiego typu danych.

DEFINICJA Secure Sockets Layer (SSL) to otwarta specyfikacja systemu zabezpieczania przed nieuprawnionym dostępem informacji przesyłanych w Internecie, opracowana przez Netscape Communications. Podstawowym celem SSL było umożliwienie przeprowadzania bezpiecznych transakcji finansowych w sieci WWW, ale protokół ten ma zastosowanie uniwersalne i pozwala na ochronę wszelkiego typu danych.

Obecnie dostępna jest wersja SSL 3.0, która znalazła szerokie zastosowanie i jest zaimplementowana m.in. w przeglądarkach internetowych Netscape i Microsoft. Protokół ten nie jest wciąż oficjalnie zatwierdzonym standardem, ale już w lutym br. ma się pojawić specyfikacja TLS 1.0 (Transport Layer Security - obecnie dostępna jest jej wersja przeglądowa), opracowana przez organizację IETF (Internet Engineering Task Force) na podstawie SSL. TLS wprowadza stosunkowo niewielkie modyfikacje w SSL i jest wstecznie zgodna ze specyfikacją Netscape, choć są przygotowywane istotne rozszerzenia, m.in. umożliwiające współpracę z systemami komunikacji bezprzewodowej.

Obecnie w najbardziej popularnych metodach zabezpieczania informacji przesyłanych w sieciach i przez Internet przed uszkodzeniem lub niepowołanym dostępem wykorzystano protokoły SSL, SET (Secure Electronic Transactions rozwijany z myślą o zastosowaniu w transakcjach z kartami płatniczymi), IPSec (Internet Protocol Secure Standard - identyfikacja urządzeń sieciowych) lub S/MIME (Secure Multipurpose Internet Mail Extensions - zabezpieczenie poczty elektronicznej i danych w systemach EDI). Do identyfikacji użytkowników wszystkie te rozwiązania stosują systemy autoryzacji podpisów cyfrowych. Wymienione metody różnią się zakresem zastosowań, a także położeniem w stosie protokołu TCP/IP.

SSL umożliwia bezpieczną komunikację między aplikac-jami korzystającymi z interfejsu gniazdek protokołu TCP/IP. Należy pamiętać, że jest on przeznaczony tylko do zabezpieczania kanału transmisyjnego, a nie informacji, które już zostały dostarczone np. do przeglądarki. Technicznie SSL działa między warstwą sieciową a aplikacyjną w modelu OSI, czyli powyżej TCP/IP, ale poniżej takich protokołów internetowych, jak protokoły: pocztowy IMAP (Internet Messaging Access Protocol), katalogowy LDAP (Lightweight Directory Access Protocol) i HTTP, które mogą transparentnie używać SSL. Standard SSL jest wygodny dla programistów, ponieważ nie wymaga włączania jego elementów do aplikacji. Pozwala również na wykorzystanie różnych algorytmów szyfrowania i innych mechanizmów zabezpieczania informacji.

Protokół SSL działa w czterech fazach:

Szyfrowanie sesji. Po ustaleniu połączenia, SSL używa szyfrowania z kluczem publicznym w celu ustanowienia metody szyfrowania i prywatnego klucza sesji połączeniowej.

Potwierdzanie tożsamości. Protokół wykorzystuje metodę wymiany i potwierdzenia certyfikatów z instytucją, zajmującą się ich przechowywaniem.

Przesłanie komunikatu. Treść przesyłanego komunikatu jest szyfrowana za pomocą ustalonego wcześniej klucza sesji.

Zapewnienie spójności komunikatu. Aby zapobiec zniekształceniu treści informacji w kanale transmisyjnym, do treści komunikatów dołączane są odpowiednie, również zaszyfrowane, liczby kontrolne.

Obecnie SSL 3.0 dopuszcza wykorzystanie algorytmów szyf- rowania danych: IDEA (128-bitowy), RC2-40 (40-bitowy), DES-40 (40-bitowy), RC2-40 (40-bitowy), DES (56-bitowy), 3DES (168-bitowy), Fortezza (80-bitowy), RC4-40 (40-bitowy) lub RC4-128 (128-bitowy). Rodzaj stosowanego algorytmu jest określany w trakcie negocjacji parametrów między serwerem WWW a przeglądarką.

Mechanizm SSL pozwala na wykorzystanie którejś z dwóch popularnych metod szyfrowania: symetrycznej z tajnym kluczem prywatnym znanym obu stronom lub asymetrycznej z parą kluczy: prywatnym i publicznym. Klucz publiczny jest dostępny dla każdego, kto zamierza przesłać komunikat, dający się odszyfrować jedynie za pomocą klucza prywatnego odbiorcy. Najpopularniejsze metody szyfrowania z parą kluczy są oparte na algorytmach opatentowanych przez firmę RSA Data Security. Termin ochrony tych patentów minął jednak w ub.r. Obecnie są one powszechnie dostępne, co na pewno wpłynie na ich masowe zastosowanie.