حتما ميدانيد كه دو پروتكل SSL و TLSاز پركاربردترين پروتكلهاي كدگذاري شده هستند. براي امنيت اطلاعات و داده هاي رد و بدل شده از سرور به كاربر يا برعكس، به طور ويژهاي از اين دو پروتكل استفاده ميشود و بسيار مورد توجه كاربران هستند. اين دو پروتكل امنيتي تفاوتهايي يا يكديگر دارند كه در اين مقاله ميخواهيم به بررسي آنها بپردازيم. به گزارش رسانه خبري اينتيتر پس در ابتدا به تعريفي كلي از TLS و SSL ميپردازيم و سپس تفاوتهاي اين دو ، از نظر رمزنگاري، همچنين معايب و مزاياي هريك را بررسي خواهيم كرد.
پروتكل هاي SSL و TLS چه هستند؟
SSL مخفف عبارت Layer Sockets Secure و TLS مخفف عبارت Transport Layer Security است. هر دوي اينها پروتكلهاي امنيتي رمزنگاري است كه براي اطمينان از ايمني ارتباطات در سطح شبكه ايجاد شده اند. يكي از اهداف اصلي در اين پروتكلها حفظ حريم خصوصي حين برقراري ارتباط است. اولين پروتكل طراحي شده براي اين كار SSL بوده است و كمي بعد پروتكل امنيتي TLS جايگزين گرديد. TLS از رمزنگاري پيشرفتهتر و امنتري برخوردار است و مرورگرهاي مدرن مانند Chrome و Firefox از TLS استفاده ميكنند.
اين پروتكلها معمولا براي محافظت از ارتباطات بين برنامههاي وب (web applications) و وب سرورها استفاده ميشوند. همچنين بسياري از پروتكلهاي مبتني بر TCP مانند ايميل (SMTP/POP3)، پيامهاي فوري (XMPP)، FTP، VoIP، VPN و ساير موارد، از TLS/SSL براي برقراري امنيت در ارتباط استفاده ميكنند. براي نمايش استفاده از پروتكل امنيتي معمولا يك حرف S به آنها اضافه مي شود. مثل: HTTPS، SMTPS،FTPS ، SIPS
در بسياري موارد پياده سازي SSL / TLS براساس كتابخانهي OpenSSL انجام ميشود. ارائهي اين پروتكلها براي كاربران با تهيهي گواهي SSL از شركت هاي معتبر در اين زمينه صورت ميگيرد.
تفاوت SSL و TLS از نظر رمز نگاري
براي درك بهتر تفاوت SSL با TLS و نحوه كار آنها بايد با مفاهيم اساسي در خصوص انواع و روشهاي رمزنگاري آشنا شويد. در پروتكل SSL / TLS از روش رمزنگاري نامتقارن استفاده ميشود ولي يكي از تفاوتهاي بين اين دو پروتكل ميزان پيچيدگي كدينگ است.
رمزنگاري
رمزنگاري فرايندي است كه در آن يك پيام قابل خواندن (متن ساده) به قالب رمزگذاري شده و غير قابل خواندن (رمزنگاري) تبديل ميشود. هدف اصلي رمزگذاري اين است كه مطمئن شويم كه تنها گيرندهي مجاز قادر به رمزگشايي و خواندن پيام اصلي است. هنگامي كه دادهها به صورت رمزگذاري نشده و پيام ساده ارسال شود، امنيت آن كم بوده به طوري كه ممكن است در مسير توسط برنامه ها و اشخاص ديگر قابل رويت باشد.
اگر اطلاعات حساس و يا محرمانهاي در اين تبادل منتقل شود، باعث از دست رفتن اين اطلاعات شده و علاوه بر آن، شخصي كه به اين اطلاعات دست مييابد، ميتواند هرگونه داده ها را تغيير داده يا حتي دستكاري كند و در ادامه ميتواند يكپارچگي پيام را به خطر انداخته و مشكلات زيادي را ايجاد كند.
فرض كنيد يك پرداخت با استفاده از اتصال به يك مرورگر وب بدون رمزنگاري انجام دهيد. پرداخت شما شامل جزئيات حساب بانكي و همچنين مبلغ مورد نظر است كه مهاجم ميتواند از يك حمله man-in-the-middle استفاده كند و اطلاعاتي كه به سرور وب ارسال مي شود را دستكاري كرده و مثلا مقدار آن را از 100 تا 10000 دلار تغيير دهد. اين بانك به جاي اطلاعات شما از داده هايي كه از طرف شخص مهاجم دريافت مي كند، استفاده ميكند. اما اگر شما از يك session امن رمزگذاري شده استفاده كنيد، با اينكه ممكن است حمله كننده همچنان بتواند ترافيك را از بين ببرد اما قادر نخواهد بود اطلاعات را بخواند و يا آنها دستكاري نمايد.
رمزنگاري متقارن
رمزنگاري متقارن فرايندي است كه در آن همان كليد براي رمزگذاري و رمزگشايي داده ها استفاده ميشود. يعني مثلا اگر A بخواهد اطلاعات را به B ارسال كند، از يك كليد مشترك براي رمزگذاري داده ها استفاده خواهد كرد و B نيز دادهها را با استفاده از همان كليد رمزگشايي ميكند.
بزرگترين مشكل رمزگذاري كليد متقارن اين است كه هر دو طرفي كه داده ها را مبادله مي كنند بايد كليد مشترك داشته باشند كه اگر اين كليد به هر دليل لو رفته باشد، مهاجم قادر به رمزگشايي تمام ارتباطات رمزگذاري شده با استفاده از آن كليد خواهد بود. به همين دليل تبادل كليد مشترك بين دو طرف بايد با استفاده از كانال ارتباطي كه قبلا ايجاد، امن و رمزگذاري شده است، انجام شود. يكي ديگر از ضعفهاي رمزگذاري متقارن اين است كه شما نمي توانيد يك فرستنده پيام را تأييد كنيد كه اعتبار آن را به خطر نيافتد.
استفاده از رمز نگاري متقارن (Cryptography Symmetric) داراي مزايايي است از جمله استفاده سريع و كم از منابع
عمليات ساده، امن بودن آن. اما در كنار اين مزايا، معايبي نيز دارد مثلا اينكه همان كليد براي رمزنگاري / رمزگشايي استفاده ميشود و يا اينكه كليد بايد با استفاده از يك كانال كه قبلا تاسيس شده است، توزيع شود و مديريت كليدهاي مختلف براي ارتباطات مختلف دشوار است و تأييد اعتبار كاربران نميتواند صورت گيرد.
رمزنگاري نامتقارن
رمزنگاري نامتقارن (يا رمزنگاري كليد عمومي) از جفت كليد (Key-Pairs) اصلي استفاده مي كند، يك كليد عمومي يا Public Key و يك كليد خصوصي يا Private Key و اين كليد رمزنگاري منحصر به فرد است.
محتويات رمزگذاري شده با استفاده از يك كليد از جفت كليد موجود شده و با استفاده از كليد ديگر رمزگشايي ميشود. كليد عمومي، همانطور كه از نامش پيداست، ميتواند با هركسي به اشتراك گذاشته شود ولي كليد خصوصي بايد تنها توسط صاحب آن شناخته شود.
شما همچنين ميتوانيد با تأييد صحت شناسايي فرستنده از رمزنگاري نامتقارن استفاده كنيد. اگر شخص A با استفاده از كليد خصوصي خود يك پيام را امضا كند، هر كسي امضا را با استفاده از كليد عمومي شخص A تاييد و رمزگشايي مي كند و ميتواند مطمئن باشد كه شخص A فرستنده است.
از مزاياي رمزنگاري نامتقارن ميتوان به توزيع كليد آسان، اعتبارسنجي، Integrity و امنيت آن اشاره كرد.
معايب آن نيز كند بودن نسبت به رمزنگاري متقارن است و اينكه براي اين رمزنگاري به منابع بيشتري نياز داريم.
SSL يا TLS ؟
با توجه به منسوخ شدن ورژن هاي اوليه SSL و ارائه شدن متدهاي امنيتي جديد و بهتر در پروتكل TLS و پشتيباني شدن اين پروتكل رمزنگاري توسط تمامي مرورگرهاي جديد، به طور قطع استفاده از TLS امنيت بيشتري را به دنبال خواهد داشت.
در دنياي ارتباطات امروزي استفاده از گواهينامه امنيتي SSL بسيار ضروري بوده و عدم استفاده از آن مي تواند خسارات جبران ناپذيري را به دنبال داشته باشد. توجه داشته باشيد كه گواهي SSL به اين معني نيست كه تنها از پروتكل SSL پشتيباني مي كند. گواهيهاي SSL جديد اكثرا بر پايه پروتكل TLS بوده و از امنيت بالايي برخوردارند.
برچسب:
،
ادامه مطلب
بازدید: