Majmua tx kun 2022 (oxirgi)
Yüklə 430,14 Kb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- X.509 sertifikati.
| SSL tarmoq protokoli
Transport Layer Security (TLS) dastlab yaratilgan Secure Sockets Layer (SSL) protokolining davomchisi sanalib, kompyuter tarmog‘ida aloqa xavfsizligini ta’minlash uchun yaratilgan va bir nechta kriptografik protokollar va algoritmlardan tashkil topgan. Ushbu protokolda X.509 sertifikatidan foydalanilgan bo‘lib, tomonlarni autentifikatsiyalashda assimetrik shifrlash algoritmlaridan foydalaniladi. X.509 sertifikati. Kriptografiyada X.509 standarti ochiq kalitli infratuzilmalar (public key infrastructure (PKI)) va imtiyozga asoslangan boshqarish infratuzilmalari (Privilege Management Infrastructure (PMI)) uchun mo‘ljallangan. Sertifikatning eng so‘ngi bandida (Signature Algorithm) sertifikatning undan yuqorigi bandida joylashgan ma’lumotga qo‘yilgan imzo va imzo qo‘yish uchun foydalanilgan algoritm nomi keltirilgan. Ushbu imzoni sertifikat beruvchi tashkilot o‘zining maxfiy kaliti asosida amalga oshiradi. Internet tarmoq protokollari orasida olinganda, SSL/TLS protokoli ilova (Application) sathida ishlaydi. Ushbu sathni OSI modelida yekvivalent bo‘lgan sathlarda ifodalansa, SSL/TLS 5-seans (session) sathdan boshlanadi va oltinchi (presentation) sathda ishlaydi. Sessiya sathida amalga oshirilayotgan sessiya uchun umumiy kalitni va shifrlash algoritmlarini tanlash uchun assimetrik shifrlash algoritmlari yordamida handshake (qo‘l berib ko‘rishish) jarayoni amalga oshiriladi. Shundan so‘ng oltinchi sathda hosil qilingan umumiy kalit bilan simmetrik shifrlash asosida aloqa kanallari maxfiyligi ta’minlanadi. Har ikki SSL/TLS protokol yarim transport sathida ishlaydi, ya’ni paketni shifrlashda. TLS (yoki SSL) protokoli kliyent-server arxitekturasida ishlaydi va kliyent serverga ulunish uchun TLS aloqani o‘rnatilganligini ko‘rsatishi shart. Buning uchun odatda ikki usuldan foydalaniladi: - TLS bog‘lanishlar uchun alohida port berish (masalan, HTTPS uchun 443 port orqali); - Protokolga asoslangan usul. 66 Kliyent va server TLS bog‘lanishidan foydalanishga roziligini “qo‘l siqish” (handshake) amaliyoti orqali bildiradi. Ushbu jarayon davomida kliyent va server xavfsiz aloqani tashkil etish uchun kerakli bo‘lgan ko‘plab parametrlarni kelishib oladilar: - Ushbu jarayon dastlab kliyent serverga TLS bog‘lanishni amalga oshirgandan so‘ng boshlanib, unda serverga foydalinilishi mumkin bo‘lgan kriptografik algoritmlarning ro‘yxatini yuboradi. - Server qabul qilingan ro‘yxatdan kerakli algoritmlarni tanlaydi. - Shundan so‘ng server o‘zining ochiq kalitidan tashkil topgan va ishonarli tashkilot tomonidan berilgan raqamli sertifikatini yuboradi. - Kliyent bog‘lanishni boshlashdan oldin kelgan sertifikatni haqiqiyligini tekshiradi. - Shundan so‘ng, kliyent maxfiy aloqani hosil qilish uchun kerakli bo‘ladigan sessiya kalitini hosil qilish uchun foydalaniladigan tasodifiy sonni serverning ochiq kaliti bilan shifrlab yuboradi. - Qabul qilingan tasodifiy son orqali har ikkala tomon shifrlash va deshifrlash uchun kerakli bo‘lgan kalitni hosil qiladi. Natijada himoyalangan aloqa hosil qilinadi va aloqa tugagunga qadar ikki tomon orasidagi ma’lumot shifrlangan holda uzatiladi. Tarmoqda ma’lumotni xavfsizligini ta’minlash muammosini hal qilishga urinishlar natijasida Netscape tomonidan SSL protokolining birinchi versiyasi ishlab chiqildi ammo ommaga foydalanish uchun tarqatilmadi. Sababi, ushbu birinchi versiyada jiddiy xavfsizlik muaamosi mavjud edi. Shundan so‘ng ushbu kamchiliklar bartaraf etilib, 1995 yilda ikkinchi versiya shaklida amalda foydalanish uchun taqdim etildi. Ushbu ikkinchi versiya ham amalda jiddiy kamchiliklarga egaligi aniqlanib, 1996 yilda SSLv3.0 versiyasi taqdim etildi. Shundan so‘ng SSLv3.0 da mavjud kamchiliklar bartaraf etilib, 1999 yilda TLS 1.0 taqdim etildi. SSLv3.0 va TLS 1.0 o‘rtasida katta farq mavjud bo‘lmay, TLS 1.0 protokoli SSLv3.0 ga qaraganda o‘zining moslashuvchanligi bilan ajralib turdi. TLS 1.1 protokoli 2006 yil aprel oyida ommaga taqdim etildi va oldingi versiyadan asosiy farqi, cipher-block chaining (CBC) rejimiga qarshi himoya usuli qo‘shildi. TLS 1.2 protokoli 2008 yil avgust oyida taqdim etilib, quyidagi o‘zgarishlarni o‘zida mujassam etgan: - MD5-SHA-1 algoritmlari SHA-256 algoritmi bilan almashtirilgan; - Ushbu protokoldan boshlab shifrlash algoritmi sifatida AES shifrlash algoritmi qo‘shildi. - Autentifikatsiyalash shifrlash algoritmi sifatida Galois/Counter Mode (GCM) rejimiga asoslangan AES algoritmidan foydalanila boshlandi. Hozirgi kunda kelib, TLS 1.3 protokoli ustida ishlar amalga oshirilmoqda va unda odingi versiyalarga mavjud zaif algoritmlar almashtirilishi ko‘zga tutulmoqda. 67 TLS/SSL protokolida foydalanilgan raqamli sertifikatlarni yaratuvchi, uchinchi ishonchli tomon sifatida qatnashgan tashkilotlarning ko‘rsatkichi quyida ko‘rsatilgan: Yüklə 430,14 Kb. Dostları ilə paylaş:
|