اخبار آنلاين

حتما ميدانيد كه دو پروتكل SSL  و   TLSاز پركاربردترين پروتكل‌هاي كدگذاري شده هستند. براي امنيت اطلاعات و داده هاي رد و بدل شده از سرور به كاربر يا برعكس، به طور ويژه‌اي از اين دو پروتكل استفاده مي‌شود و بسيار مورد توجه كاربران هستند. اين دو پروتكل امنيتي تفاوت‌هايي يا يكديگر دارند كه در اين مقاله مي‌خواهيم به بررسي آنها بپردازيم. به گزارش رسانه خبري اينتيتر پس در ابتدا به تعريفي كلي از TLS و SSL مي‌پردازيم و سپس تفاوت‌هاي اين دو ، از نظر رمزنگاري، همچنين معايب و مزاياي هريك را بررسي خواهيم كرد.

پروتكل هاي SSL و TLS چه هستند؟

SSL  مخفف عبارت Layer Sockets Secure و TLS مخفف عبارت Transport Layer Security است. هر دوي اين‌ها پروتكل‌هاي امنيتي رمزنگاري است كه براي اطمينان از ايمني ارتباطات در سطح شبكه ايجاد شده اند. يكي از اهداف اصلي در اين پروتكل‌ها حفظ حريم خصوصي حين برقراري ارتباط است. اولين پروتكل طراحي شده براي اين كار SSL بوده است و كمي بعد پروتكل امنيتي TLS جايگزين گرديد. TLS از رمزنگاري پيشرفته‌تر و امن‌تري برخوردار است و مرورگرهاي مدرن مانند Chrome و Firefox  از TLS استفاده مي‌كنند.

اين پروتكل‌ها معمولا براي محافظت از ارتباطات بين برنامه‌هاي وب (web applications) و وب سرورها استفاده مي‌شوند. همچنين بسياري از پروتكل‌هاي مبتني بر TCP مانند ايميل (SMTP/POP3)، پيام‌هاي فوري (XMPP)، FTP، VoIP، VPN  و ساير موارد، از TLS/SSL براي برقراري امنيت در ارتباط استفاده مي‌كنند. براي نمايش استفاده از پروتكل امنيتي معمولا يك حرف S به آنها اضافه مي شود.  مثل: HTTPS، SMTPS،FTPS ، SIPS

در بسياري موارد پياده سازي SSL / TLS براساس كتابخانه‌ي OpenSSL ‌انجام مي‌شود. ارائه‌ي اين پروتكل‌ها براي كاربران با تهيه‌ي گواهي SSL از شركت هاي معتبر در اين زمينه صورت مي‌گيرد.

تفاوت SSL و TLS از نظر رمز نگاري

براي درك بهتر تفاوت SSL با TLS و نحوه كار آن‌ها بايد با مفاهيم اساسي در خصوص انواع و روش‌هاي رمزنگاري آشنا شويد. در پروتكل SSL / TLS از روش رمزنگاري نامتقارن استفاده مي‌شود ولي يكي از تفاوتهاي بين اين دو پروتكل ميزان پيچيدگي كدينگ است.

رمزنگاري

رمزنگاري فرايندي است كه در آن يك پيام قابل خواندن (متن ساده) به قالب رمزگذاري شده و غير قابل خواندن (رمزنگاري) تبديل مي‌شود. هدف اصلي رمزگذاري اين است كه مطمئن شويم كه تنها گيرنده‌ي مجاز قادر به رمزگشايي و خواندن پيام اصلي است. هنگامي كه داده‌ها به صورت رمزگذاري نشده و پيام ساده ارسال شود، امنيت آن كم بوده به طوري كه ممكن است در مسير توسط برنامه ها و اشخاص ديگر قابل رويت باشد.

اگر اطلاعات حساس و يا محرمانه‌اي در اين تبادل منتقل شود، باعث از دست رفتن اين اطلاعات شده و علاوه بر آن، شخصي كه به اين اطلاعات دست مي‌يابد، مي‌تواند هرگونه داده ها را تغيير داده يا حتي دست‌كاري كند و در ادامه مي‌تواند يكپارچگي پيام را به خطر انداخته و  مشكلات زيادي را ايجاد كند.

فرض كنيد يك پرداخت با استفاده از اتصال به يك مرورگر وب بدون رمزنگاري انجام دهيد. پرداخت شما شامل جزئيات حساب بانكي و همچنين مبلغ مورد نظر است كه مهاجم مي‌تواند از يك حمله man-in-the-middle استفاده كند و اطلاعاتي كه به سرور وب ارسال مي شود را دست‌كاري كرده و مثلا مقدار آن را از 100 تا 10000 دلار تغيير دهد. اين بانك به جاي اطلاعات شما از داده هايي كه از طرف شخص مهاجم دريافت مي كند، استفاده مي‌كند. اما اگر شما از يك session امن رمزگذاري شده استفاده كنيد، با اين‌كه ممكن است حمله كننده همچنان بتواند ترافيك را از بين ببرد اما قادر نخواهد بود اطلاعات را بخواند و يا آنها دستكاري نمايد.

رمزنگاري متقارن

رمزنگاري متقارن فرايندي است كه در آن همان كليد براي رمزگذاري و رمزگشايي داده ها استفاده مي‌شود. يعني مثلا اگر A بخواهد اطلاعات را به B ارسال كند، از يك كليد مشترك براي رمزگذاري داده ها استفاده خواهد كرد و B نيز داده‌ها را با استفاده از همان كليد رمزگشايي مي‌كند.

بزرگترين مشكل رمزگذاري كليد متقارن اين است كه هر دو طرفي كه داده ها را مبادله مي كنند بايد كليد مشترك داشته باشند كه اگر اين كليد به هر دليل لو رفته باشد، مهاجم قادر به رمزگشايي تمام ارتباطات رمزگذاري شده با استفاده از آن كليد خواهد بود. به همين دليل تبادل كليد مشترك بين دو طرف بايد با استفاده از كانال ارتباطي كه قبلا ايجاد، امن و رمزگذاري شده است، انجام شود. يكي ديگر از ضعف‌هاي رمزگذاري متقارن اين است كه شما نمي توانيد يك فرستنده پيام را تأييد كنيد كه اعتبار آن را به خطر نيافتد.

استفاده از رمز نگاري متقارن (Cryptography Symmetric) داراي مزايايي است از جمله استفاده سريع و كم از منابع

عمليات ساده، امن بودن آن. اما در كنار اين مزايا، معايبي نيز دارد مثلا اين‌كه همان كليد براي رمزنگاري / رمزگشايي استفاده مي‌شود و يا اين‌كه كليد بايد با استفاده از يك كانال كه قبلا تاسيس شده است، توزيع شود و مديريت كليد‌هاي مختلف براي ارتباطات مختلف دشوار است و تأييد اعتبار كاربران نمي‌تواند صورت گيرد.

رمزنگاري نامتقارن

رمزنگاري نامتقارن (يا رمزنگاري كليد عمومي) از جفت كليد (Key-Pairs) اصلي استفاده مي كند، يك كليد عمومي يا Public Key  و يك كليد خصوصي يا Private Key و اين كليد رمزنگاري منحصر به فرد است.

محتويات رمزگذاري شده با استفاده از يك كليد از جفت كليد  موجود شده و با استفاده از كليد ديگر رمزگشايي مي‌شود. كليد عمومي، همانطور كه از نامش پيداست، مي‌تواند با هركسي به اشتراك گذاشته شود ولي كليد خصوصي بايد تنها توسط صاحب آن شناخته شود.

شما همچنين مي‌توانيد با تأييد صحت شناسايي فرستنده از رمزنگاري نامتقارن استفاده كنيد. اگر شخص A با استفاده از كليد خصوصي خود يك پيام را امضا كند، هر كسي امضا را با استفاده از كليد عمومي شخص A تاييد و رمزگشايي مي كند و مي‌تواند مطمئن باشد كه شخص A فرستنده است.

از مزاياي رمزنگاري نامتقارن مي‌توان به توزيع كليد آسان، اعتبارسنجي، Integrity و امنيت آن اشاره كرد.

معايب آن نيز كند بودن نسبت به رمزنگاري متقارن است و اين‌كه براي اين رمزنگاري به منابع بيشتري نياز داريم.

SSL  يا  TLS ؟

با توجه به منسوخ شدن ورژن هاي اوليه SSL و ارائه شدن متدهاي امنيتي جديد و بهتر در پروتكل TLS و پشتيباني شدن اين پروتكل رمزنگاري توسط تمامي مرورگرهاي جديد، به طور قطع استفاده از TLS امنيت بيشتري را به دنبال خواهد داشت.

در دنياي ارتباطات امروزي استفاده از گواهينامه امنيتي SSL بسيار ضروري بوده و عدم استفاده از آن مي تواند خسارات جبران ناپذيري را به دنبال داشته باشد. توجه داشته باشيد كه گواهي SSL به اين معني نيست كه تنها از پروتكل SSL پشتيباني مي كند. گواهي‌هاي SSL جديد اكثرا بر پايه پروتكل TLS بوده و از امنيت بالايي برخوردارند.