Главная страница Карта сайта
Безопасность системы. Технология SSL
Безопасность системы. Технология SSL
Web технологии - это в настоящее время наиболее широко используемый в сети Интернет способ обмена и предоставления информации. Универсальный протокол, являющийся в настоящее время де-факто стандартом для решения проблемы безопасности для Web технологий был разработан компанией Netscape Communications, Inc. Этот протокол получил название SSL (Secure Sockets Layer). В настоящее время SSL используется наиболее распостраненными программными продуктами для World-Wide-Web (в том числе броузерами Netscape и Microsoft Explorer) для работы в защищенном режиме HTTPS (HTTP Secure).

Протокол SSL позволяет решить следующие задачи :

  • Обеспечить сокрытие передаваемой информации
  • Обеспечить целостность этой информации, т.е. защиту от модификации
  • Обеспечить аутентификацию сервера, т.е доказательство того, что сервер является именно тем, за кого он себя выдает
  • Обеспечить аутентификацию клиентов при доступе к серверу
Для того, что бы понять, как обеспечивается решение этих задач, необходимо познакомиться поближе с некоторыми ключевыми понятиями, которые используются в SSL. В первую очередь это шифрование, аутентификация и цифровые сертификаты.

Шифрование

Зашифрование - это обратимое преобразование открытой информации, результатом которого является "нечитаемый" шифртекст . В шифровании базовыми понятиями являются ключ и математический алгоритм. Именно пара алгоритм-ключ определяет способ, которым будет преобразована информация. Соответственно, лишь зная пару алгоритм-ключ, можно произвести обратное преобразование - расшифрование, и получить из шифртекста исходный открытый текст.

Существует два вида криптографических алгоритмов: алгоритмы с симметричными и асимметричными ключами. В первом случае один и тот же ключ используется для зашифровки и для расшифровки сообщения. Во втором случае используется пара ключей: открытый ключ (public key), который может быть известен любому, и закрытый ключ (private key) известный только одному человеку. Пара соответствующих ключей может применяться для шифрования, а также для создания и проверки соответствия электронно-цифровой подписи (ЭЦП), и при этом обладает следущими свойствами:

  • Зашифрованное с помощью открытого ключа сообщение может быть расшифровано только с помощью соответствующего закрытого ключа.
  • ЭЦП, созданная с помощью закрытого ключа может быть проверена на соответствие с помощью открытого ключа.

Так как ассиметричные алгоритмы являются весьма ресурсоемкими, то для on-line-систем обычным является следующее архитектурное решение: в начале каждого соединения при помощи ассиметричного протокола устанавливается ключ, который потом используется быстрым симметричным алгоритмом.
Протокол SSL построен именно таким образом. В протоколе SSL выбор симметричого алгоритма осуществляется в процессе установления соединения и зависит от возможностей сервера и клиента.

Одним из наиболее очевидных параметров оценки прочности алгоритма является размер ключа. Чем длиннее используемый ключ, тем лучше, теоретически, данный алгоритм должен противостоять атакам.
Работая по протоколу SSL, броузеры  могут использовать симметричные алгоритмы шифрования с длиной ключа от 40 до 128 бит. Однако, в силу экспортных ограничений, большинство пользователей вынуждены ограничиться "урезанными" версиями браузеров, которые поддерживают лишь 40-битные ключи.

Намереваясь пользоваться протоколом SSL необходимо знать, что современная мощная вычислительная техника позволяет вскрывать 40-разрядный ключ. Использование 128-разрядного ключа позволяет избежать этой опасности, так как в этом случае число возможных комбинаций существенно возрастает. Поэтому мы рекомендуем использовать "свежие" версии браузеров позволяющие использование 128-битного ключа для обеспечения повышенной защищенности.

Для проверки разрядности ключа браузера воспользуйтесть сайтом https://www.fortify.net/sslcheck.html. Если размер ключа будет меньше 128 бит то мы рекомендуем обновить Ваш Браузер.

Аутентификация

Аутентификация - процесс установления соответствия между субъектом и тем за кого он себя выдает. В случае удачного завершения этого процесса можно с уверенностью считать что проверяемый субъект действительно является тем, кем он представляется.

Аутентификация в протоколе SSL осуществляется путем проверки электронно-цифровой подписи. ЭЦП проверяемого субъекта может быть проверена на корректность с помощью его открытого ключа, но при этом создать корректную подпись можно только обладая закрытым ключом субъекта, известным только владельцу (т.е. субъекту). Таким образом, зная открытый ключ клиента и предложив ему подписать случайный блок данных, можно определить его соответствие проверкой подписи.

Цифровой сертификат

С помощью описанного выше процесса аутентификации можно удостовериться в подлинности источника сообщения при взаимодействии двух объектов. Однако для этого необходимо, чтобы взаимодействующие объекты до начала фактической передачи данных обменялись некоторой ключевой информацией. К этой информации относятся используемый для аутентификации алгоритм и ключ.

Проблема возникает, когда необходимо убедиться в подлинности объекта, никогда до этого не взаимодействовавшего. Единственным способом достичь этого является делегирование третьей стороне права подтверждения подлинности. Эта третья сторона называется Сертификационным центром, и для того чтобы убедиться в подлинности источника, он должен обменяться информацией с объектом, подлинность которого он подтверждает.

Цифровой сертификат это документ, который выдает СЦ каждому из взаимодействующих объектов, подлинность которых он должен удостоверить. Сертификат содержит информацию об объекте (как например название организации, имя (сервера или человека)), его закрытый ключ. Сертификаты могут служить как для обеспечения безопасности Web сообщений, так и для защиты почтовых сообщений и подписи матобеспечения.

По способу применения можно выделить три типа цифровых сертификатов, используемых в SSL: сертификат сервера (Site Certificate), персональный сертификат (Personal Certificate) и сертификат СЦ (CA Certificate)

  • Сертификат сервера позволяет удостовериться в подлинности Web сервера. При установлении соединения по HTTPS протоколу броузер получает сертификат сервера и проверяет его. Если такая проверка невозможна, либо произошла какая-либо нефатальная ошибка (например закончился срок действия сертификата), то пользователь может просмотреть сертификат и самостоятельно принять решение, продолжать взаимодействие с этим сервером или нет.
  • Персональный сертификат служит для идентификации клиентов на сервере. С помощью персональных сертификатов можно обеспечить гораздо более высокий уровень безопасности при разграничении доступа на сервер, чем с помощью других механизмов, поддерживаемых WWW серверами (например, Basic-авторизации).
  • Сертификат СЦ (точнее его закрытый ключ) можно назвать "электронной печатью", с помощью которой заверяется подлинность выпускаемых сертификатов. Подлинность этой "печати" может быть заверена другим СЦ, либо обеспечена организационными мерами. В любом случае пользователь должен доверять "корневому" СЦ. Кроме того, каждый из участников защищенного документооборота должен иметь у себя сертификат СЦ, так как он необходим для проверки остальных сертификатов.

Для подключения к системе, а также для получения дополнительной информации, обращайтесь по тел. 30-11-29 (Анатолий Кушнир) или e-mail info@eximbank.com

  • EXIMBANK-Online
  •  
    Интернет-банк “EXIMBANK-ONLINE”
    Информация о карт - счете через Интернет
    Программа "Генератор платежных поручений"
    Подписка на новости

    Copyright © 1997-2016 EXIMBANK - GRUPPO VENETO BANCA
    171/1, Stefan cel Mare si Sfant Blvd, Chisinau MD 2004, Republic of Moldova

    SWIFT: EXMM MD22
    E-mail: info@eximbank.com
    Phone: 373-22-301-102, 373-22-600-000   Fax: 373-22-601-611