Раздел: Документация

0 ... 56 57 58 59 60 61 62 ... 125

Как получить цифровой сертификат?

Существует несколько компаний, у которых вы можете получить цифровой сертификат или открытый ключ одного из держателей сертификатов. Чтобы больше узнать об этом, посетите Web-сайт компании Verisign, расположенный по адресу http://www, verisian.com, и загрузите 60-дневную пробную версию.

Протокол Secure Socket Layer

Растущий рынок электронной коммерции (e-commerce) в Internet не был бы возможен без технологии, реализующей установку защищенных соединений. С этой целью компания Netscape разработала протокол Secure Socket Layer (SSL, протокол безопасных соединений). Этот протокол SSL применяет криптографические алгоритмы для аутентификации, шифрования и обеспечения целостности передаваемых данных.

Протокол SSL состоит из нескольких уровней и основан на двух других протоколах: протоколе записей SSL и протоколе установки соединения SSL. Первый из них предназначен для аутентификации клиентом и сервером друг друга и обмена ключевой информацией, второй отвечает за форматирование данных.

SSL 2.0 и SSL 3.0

Последняя версия протокола SSL имеет версию 3.0. Она добавляет к версии 2.0 возможность аутентификации клиента на сервере.

\ , ;

присутствии известной доверенной третьей стороны. Сертификат содержит открытый ключ, информацию о держателе ключа и удостоверяющую сертификат цифровую подпись. Третья сторона, выпускающая сертификаты (она называется Certificate Authority - Сертифицирующим авторитетом, СА), должна быть представлена известным лицом или организацией, которой вы доверяете выпуск сертификата. Примером подобного издателя сертификатов служит компания Verisign. Поскольку вы доверяете издателю сертификата и в состоянии проверить его подпись, вы будете доверять и имеющейся в сертификате информации.

Третья сторона не обязательно должна быть внешней организацией. Для внутренних нужд допустимо использовать специальное программное обеспечение для UNIX или сервер сертификатов из поставки Windows 2000 Advanced Server. Наличие собственного сервера сертификатов требует создания процедур выпуска и управления сертификатами, но это обойдется дешевле, чем услуги соответствующих коммерческих служб.

Если вам нужны цифровые сертификаты, предоставляющие возможность обмениваться данными с другими организациями или внешними пользователями, воспользуйтесь коммерческими сертификатами, например компании Verisign.

---

ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ КРИПТОГРАФИИ В INTERNET 181

- *

Web-сервер

HTTP-запрос

Послать серверу идентификатор сеанса и список поддерживаемых браузером методов шифрования/сжатия .

Создать предварительный шифр, зашифровать открытым ключом сервера и переслать ему

Вычислить главный шифр

на основе предварительного

ключа, отправленного серверу.

Использовать главный шифр

для генерации ключей

в зависимости от выбранного

алгоритма

Клиент поддерживает SSL, послать запрос на начало сеанса SSL

Выбрать метод шифрования/сжатия. Послать браузеру вместе с цифровым сертификатом сервера

Расшифровать при помощи секретного ключа сервера предварительный шифр. Вычислить главный шифр на основе предварительного

В зависимости от выбранного алгоритма главный шифр используется для генерации ключей. Начать обмен данными при помощи этих ключей

Рис. 9.2. Криптографические алгоритмы и сеансовые ключи протокола SSL определяются

на этапе установки соединения

Процесс установки соединения (показанный на рис. 9.2) включает в себя следующие этапы:

1.Браузер загружает работающую с SSL страницу. Сервер посылает браузеру запрос на установку сеанса SSL.

2.Если браузер поддерживает SSL, то он возвращает серверу ответ, содержащий идентификатор сеанса, список поддерживаемых алгоритмов шифрования и сжатия, текущее время и некоторый объем случайных данных.

3.Сервер выбирает методы шифрования и сжатия и отправляет браузеру сообщение, включающее в себя идентификатор сеанса, случайные данные и цифровой сертификат сервера.

4.Сервер может (но не должен) также запросить у клиента его цифровой сертификат.

5.В соответствии с типом выбранного для сеанса алгоритма клиент создает сообщение, которое называется предварительным шифром (premaster secret). Клиент шифрует эти данные при помощи открытого ключа сервера и посылает их ему.

6.Сервер расшифровывает предварительный шифр посредством своего секретного ключа. Затем сервер и клиент выполняют одну и ту же последовательность операций с данными, которые использовались для шифра. В результате получается так называемый главный шифр (master secret).

---

7.И клиенту, и серверу главный шифр служит при создании применяемых в сеансе ключей (в зависимости от выбранного криптографического алгоритма).

8.Начинается обмен данными. Данные шифруются при помощи симметричного алгоритма и сеансовых ключей.

Какие Web-страницы должны работать с протоколом SSL?

Из-за связанных с шифрованием накладных расходов имеет смысл применять протокол SSL только для Web-страниц, содержащих или запрашивающих конфиденциальные данные. Использование SSL для всех страниц сайта может замедлить их загрузку и вызывать недовольство пользователей. Обращаясь к протоколу SSL только для тех Web-страниц, где он нужен, например для форм заказа, вы уменьшите время загрузки других страниц своего Web-сайта.

Протокол SSL функционирует с различными алгоритмами шифрования, в том числе с DES, DSA, MD5, RC2, RC4 и другими. Благодаря такой гибкости большинство клиентов и серверов в состоянии найти общий алгоритм и с его помощью установить защищенное соединение.

Что такое TLS

Это протокол Transport Layer Security (Защиты транспортного уровня). TLS версии I.О описан в документе RFC2246 «The TLS Protocol Version 1.0». Данный протокол основан на SSL 3.0 и должен был придти ему на смену. Различия между SSL 3.0 и TLS 1.0 минимальны, но тем не менее эти протоколы несовместимы. Дополнительная информация о TLS содержится в документах RFC и на Web-сайте работающего над TLS комитета IETF http://www.ietlorg/html, charters/tls-charter.html.

Используется ли шифрование на данной Web-странице

Прежде чем ввести номер кредитной карточки или другую конфиденциальную информацию в форме на Web-странице, вы, вероятно, захотите проверить, имеется ли на странице какая-либо форма криптозащиты. В Internet Explorer это обозначается при помощи пиктограммы в виде висячего замка в нижней части окна браузера. Чтобы определить применяемый криптографический протокол, щелкните правой кнопкой мыши в любом месте Web-страницы и выберите пункт Properties в появившемся меню. Среди различных сведений о Web-странице в поле Connection (Соединение) выводится и тип криптографического протокола (см. рис. 9.3).

Если вы хотите больше узнать об используемом в текущем сеансе сертификате сервера, щелкните мышью по кнопке Certificates (Сертификаты). На рис. 9.4 изображено диалоговое окно Properties с информацией о сертификате.

0 ... 56 57 58 59 60 61 62 ... 125