Базовое руководство по криптографическим протоколам

[Carder]

В мире полно протоколов. Они также не относятся к сфере технологий. Слово протокол относится к официальному способу работы. Это набор правил, ритуалов и действий, обеспечивающих бесперебойную работу.
В компьютерном мире, особенно когда дело касается сетей, протоколы позволяют различным системам взаимодействовать друг с другом. TCP / IP или протокол управления передачей / Интернет-протокол является наиболее важным, когда дело касается Интернета. Это означает, что любые два сетевых устройства могут подключаться, «пожимать руки» и общаться друг с другом.
Что касается шифрования, у нас также есть протоколы, которые описывают, как все должно быть сделано на технологическом уровне. Они известны как криптографические протоколы.

Что в криптографическом протоколе?​

Чтобы лучше понять криптографические протоколы, полезно знать, что они конкретно делают. Хотя не все криптографические протоколы имеют одинаковую область применения и функции, они часто включают некоторые из этих функций:

• Ключевое соглашение и / или обмен
• Аутентификация
• Шифрование
• Безотказность

Это еще не все, но для наших целей это одни из самых важных концепций. Объясняется нетехническим образом. Давайте посмотрим на каждого по очереди.

Ключевое соглашение и обмен​

Ключевое соглашение в криптографическом контексте относится к двум объектам, которые хотят безопасно обмениваться данными и должны для этого сгенерировать криптографический ключ. Однако ключ должен быть в чем-то, что ни один из них не может предсказать заранее. Таким образом, информация, предоставленная обеими сторонами, используется для генерации ключа, точную форму которого никто не может контролировать.
Это отличается от обмена ключами, когда одна сторона генерирует ключ и отправляет его другой, но это намного проще. Однако это означает, что вам нужен способ передать этот ключ другой стороне, чтобы третья сторона не перехватила его. Конечно, вы можете зашифровать свой ключ. Но это просто означает, что у вас есть два ключа, о которых нужно беспокоиться.
Согласование ключей - один из способов решения проблемы при распределении ключей. Другой - использовать шифрование с открытым ключом. Здесь у каждой стороны есть пара ключей, состоящая из открытого и закрытого ключей. Открытые ключи могут быть разосланы на всеобщее обозрение. Однако соответствующий закрытый ключ может расшифровать только то, что они зашифровывают.
Одна из проблем с соглашением о ключах заключается в том, что нет аутентификации двух сторон. Итак, еще один важный компонент протокола - это метод аутентификации.

Аутентификация​

Одно дело - защитить фактические данные между двумя сторонами с помощью шифрования; совсем другое дело - удостовериться, что обе стороны - это то, что они говорят.
Это основная проблема криптографии в Интернете. Откуда вы знаете, что нет «человека посередине», который притворяется другой стороной в обоих направлениях и вставляет свои криптографические ключи? Все, что им нужно сделать, это расшифровать сообщения с помощью ключей, которыми они обманули стороны A и B. Прежде чем просто передать информацию.
Очевидно, что без аутентификации ничто в Интернете не было бы безопасным. Было разработано так много разных методов. Часто как дополнение к протоколу согласования ключей. В конце концов, в нем отсутствует аутентификация.
Криптография с открытым ключом (о которой я говорил выше) - популярный метод аутентификации. Наряду с цифровыми подписями и сертификатами, которые используют криптографический метод, известный как хеширование, для аутентификации сторон.

Шифрование​

Ядром криптографического протокола, конечно же, является сам алгоритм шифрования, который он использует. Это довольно большая тема, и у нас есть статьи, в которых объясняется как само шифрование, так и различные алгоритмы, которые используются для его реализации в других местах.
Вкратце, шифрование - это искусство использования специального метода для преобразования простого сообщения в закодированную форму. Единственный способ обратить этот процесс вспять - либо выяснить уязвимость в процессе шифрования, либо угадать, либо угадать ключ, либо украсть ее.
Время от времени обнаруживаются уязвимости, что означает необходимость использования более нового алгоритма. На то, чтобы угадать ключ с помощью грубой силы, потребуются миллионы лет с учетом современных технологий, а кража ключей смягчается безопасностью протоколов обмена ключами. В целом, современное шифрование довольно надежно!

Безотказность​

Вы увидите, что термин « неотказ от авторства» часто используется в обсуждениях цифровой криптографии. Что это значит?
Отвергать что-то - значит отрицать истинность чего-либо. Решительно отвергнуть это. Любой криптографический протокол должен обеспечивать защиту от авторства. Другими словами, он должен быть разработан таким образом, чтобы ни одна сторона не могла впоследствии отрицать, что они подписали или отправили сообщение.
Подумайте об этом так. Вы подписываете контракт, но потом решаете, что действительно не хотели этого делать. Таким образом, вы отрицаете, что подпись принадлежит вам и что вы ее сделали. Однако вы не можете отказаться от своей подписи. Это видели два независимых свидетеля. Таким образом, этот метод подписи обеспечивает защиту от авторства.
Пары открытых ключей, проверенные цифровыми подписями и сертификатами, являются основными способами предотвращения отказа от авторства в наши дни. Пока этот метод неплохо себя зарекомендовал.

SSL и TLS​

Два из наиболее широко используемых и наиболее известных протоколов - это SSL (уровень защищенных сокетов) и TLS (безопасность транспортного уровня). Основная функция обоих протоколов - обеспечивать аутентификацию и шифрование данных между сетевыми устройствами, такими как серверы и ПК.
SSL - более старый протокол. Он был разработан компанией Netscape еще в 1995 году. Это произошло вскоре после появления самой Всемирной паутины. Мы начали с SSL 2.0. Первый из них так и не попал в публичный релиз. Версия 3.0 вышла в 1996 году после исправления некоторых уязвимостей. Так продолжалось до 1999 года, когда вместо него был выпущен TLS.
Сегодня никто не должен использовать SSL. Есть вероятность, что этот старый протокол небезопасен, но он еще и медленный. По крайней мере, это был бы логичный выбор. Конечно, есть еще множество веб-серверов, на которых работает SSL. Рекомендуется отключить поддержку SSL в вашем браузере. Разрешите ему подключаться только к сайтам TLS.

Все протоколы соблюдаются​

Криптографические протоколы наводят порядок в мире цифрового шифрования. Без каких-либо согласованных стандартов разные решения для шифрования просто не работали бы. Браузеры будут завалены тысячами индивидуальных решений. Поэтому мы должны быть благодарны за то, что на диком западе Интернета достаточно стандартизации, чтобы обеспечить бесперебойную и безопасную связь. Без них не могло бы быть современной сети.
Очевидно, что используемые сегодня протоколы постоянно подвергаются атакам. И преступниками, и исследователями безопасности. Исследователи, которые пытаются найти уязвимости до того, как это сделают плохие парни. Например, именно атака POODLE сделала SSL 3.0 непригодным для обеспечения безопасности. Даже TLS 1.2 уязвим при неправильной настройке. Однако последняя версия решает проблему.
Несомненно, сегодняшние протоколы рано или поздно потерпят поражение. Но в тот момент, когда это произойдет, появится более новый и умный. Да, не всем нужно знать, какой протокол работает в фоновом режиме. Тем не менее, это интересная тема и, очевидно, очень важная.

По материалам technadu.com