Какво е TLS (Transport Layer Security)

Сигурността на транспортния слой (TLS) е протокол от слой 5 на модела на слоя ISO/OSI, който осигурява криптирано предаване на данни в Интернет. TLS е наследник на SSL и се използва, например, от браузъри за сигурни HTTPS връзки.

transport

Съкращението TLS означава Transport Layer Security и описва протокола за наследник на SSL (Secure Sockets Layer). С помощта на Transport Layer Security данните могат да бъдат криптирани и предадени през Интернет или други мрежи. Това е хибриден протокол за криптиране (комбинация от асиметрично и симетрично криптиране), който има следните цели. Предадените данни трябва да бъдат защитени срещу неоторизиран достъп на трети страни и срещу манипулация или фалшифициране чрез криптиране. В допълнение, TLS позволява на участниците в комуникацията да бъдат удостоверени и самоличността на получателя или подателя да бъде проверена. TLS често се използва за сигурна връзка между клиент с интернет браузър и уеб сървър чрез HTTPS. Други протоколи, като SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol) или FTP (File Transfer Protocol) също могат да използват Transport Layer Security.

Комуникацията чрез TLS може да бъде разделена на две фази. Първо се установява връзка, при която клиентът и сървърът взаимно доказват своята самоличност. След като се установи надеждна връзка, данните се предават с помощта на алгоритъм за криптиране. В модела на слоя ISO/OSI, Transport Layer Security се намира на слой 5 (сесиен слой). Благодарение на прозрачния си начин на работа за протоколите от по-високи нива, TLS е много гъвкав и гъвкав. Добре известни реализации на TLS са например GnuTLS, OpenSSL или LibreSSL.

Протоколът за запис на TLS

Така нареченият протокол за запис на защитата на транспортния слой играе централна роля в сигурността на транспортния слой. Четири допълнителни протокола от стандарта се основават на това. Тези четири протокола са:

  • протокола за ръкостискане
  • протокола за предупреждение
  • Промяна на протокола за промяна на шифъра
  • протоколът за данни на приложението

Протоколът за ръкостискане е отговорен за договарянето на сесия и нейните параметри за сигурност. Наред с други неща, използваните криптографски алгоритми и ключовият материал се договарят и комуникационните партньори се удостоверяват в рамките на протокола за ръкостискане. Протоколът за предупреждение е отговорен за обработката на грешки и аларми на TLS връзки. Това може да доведе до незабавно прекратяване на връзката. С помощта на Application Data Protocol, данните на приложението се разбиват на блокове, компресират се, криптират се и се предават. И накрая, Промяна на протокола за промяна на шифъра информира получателя, че подателят преминава към набора от шифри, предварително договорени в протокола за ръкостискане.

Установяването на връзка с Transport Layer Security

Ако клиент установи връзка със сървър, сървърът се удостоверява със сертификат. Клиентът проверява надеждността на сертификата и дали той съвпада с името на сървъра. Клиентът по желание може да бъде удостоверен на сървъра. В следваща стъпка комуникационните партньори извличат криптографски сесиен ключ с помощта на публичния ключ на сървъра, с който след това криптират всички съобщения, които трябва да бъдат предадени. Удостоверяването и идентификацията на комуникационните партньори се основават на асиметрични методи за криптиране и криптография с публичен ключ. Действителният ключ на сесията е симетричен ключ за еднократна употреба, с който данните се декриптират и криптират.

Дефиниция на DNS-базирано удостоверяване на именувани обекти (DANE)