Центри сертифікації. Протокол SSL
Сертифікати існують для підтвердження того факту, що даний відкритий ключ належить конкретній особі і нікому іншому. Це необхідно для запобігання спроб шахрайства.
Сертифікати видаються спеціальними компаніями (Центрами Сертифікації) і підписуються електронним цифровим підписом цих компаній. Будь-хто бажаючий може ознайомитися з сертифікатом, виданим Центром Сертифікації, і переконатися, що даний відкритий ключ належить саме тій особі, що у ньому зазначене. Компанія, що є Центром Сертифікації, повинна мати високий авторитет, оскільки користувачі повинні їй довіряти.
Для отримання сертифікату зацікавленій особі необхідно звернутися до Центру Сертифікації та надати необхідну інформацію про себе. Центр Сертифікації здійснить перевірку цієї інформації і, у випадку її правильності, видасть сертифікат. Це платна послуга і кожний Центр Сертифікації встановлює свої ціни. Як правило, сертифікат видається на рік з можливістю продовження після оплати чергового внеску.
Особи, що володіють сертифікатами, можуть укладати між собою угоди через інтернет, підписуючи документи електронним цифровим підписом і не побоюючись відмови один одного від зобов’язань по угоді.
Найбільш відомими Центрами Сертифікації є компанії VeriSign (www.verisign.com) і Thawte (www.thawte.com).
Протокол SSL (Secure Socket Layer) використовується для захисту даних при передачі їх через інтернет. Цей протокол базується на комбінації алгоритмів асиметричного та симетричного шифрування.
Протокол може працювати в трьох режимах:
- при взаємній автентифікації сторін;
- при автентифікації сервера і анонімності клієнта;
- при взаємній анонімності сторін.
При встановленні з’єднання за протоколом SSL для даної сесії зв’язку генерується разовий ключ, що використовується для симетричного шифрування даних, що передаються протягом даної сесії. При цьому використовуються асиметричні алгоритми шифрування.
Процес передачі даних від клієнта до сервера з використанням SSL протоколу складається з двох стадій. На першій стадії встановлюється зв’язок.
• Клієнт надсилає до сервера дані, що містять номер версії SSL клієнта, обраний шифр і певні випадково генеровані дані.
• Сервер у відповідь надсилає аналогічні дані і свій цифровий сертифікат. Якщо обмін даними потребує представлення цифрового сертифікату, то сервер запрошує клієнта надати сертифікат.
• Клієнт автентифікує сервер. У випадку збою клієнта інформують.
• З використанням даних, які були генеровані при встановленні контакту з сервером, клієнт створює набір даних, відомих як попередній секрет хазяїна (premaster secret). Цей набір даних потім використовується при встановленні зв’язку.
• Сервер автентифікує клієнта. Це відбувається лише у тому випадку, якщо трансакція потребує автентифікації обох сторін. SSL може використовуватися і тоді, коли автентифі- кується лише сервер. Отже, цей крок може бути пропущеним, що у більшості випадків і відбувається.
• Якщо автентифікація клієнта і сервера успішно завершується, то обидві сторони здійснюють процес генерації іншого набору даних, відомих під назвою секрет хазяїна (master secret). При генерації цього набору частково використовується попередній секрет хазяїна. Секрет хазяїна представляє собою величину довжиною 48 біт, яка використовується при створенні ключів для передачі основної інформації між клієнтом і сервером після завершення встановлення контакту.
• Тепер клієнт і сервер генерують пару ключів на основі секрету хазяїна. Один з ключів використовується для шифрування і дешифрування даних, що пересилаються від клієнта до сервера. Інший ключ використовується для шифрування і дешифрування даних, що пересилаються від сервера до клієнта.
» следующая страница »
1 ... 40 41 42 43 44 4546 47 48 49 50 ... 187