Jak obousměrné kanály v TLS a SSH zpracovávají šifrování a dešifrování dat

TLS Obousměrné šifrování kanálu a dešifrování

TLS je navržen tak, aby poskytoval důvěrnost a integritu dat vyměňovaných mezi dvěma komunikačními stranami přes síť, jako je klient a server. Jeho obousměrné kanály umožňují, aby byla data bezpečně vyměňována v obou směrech současně využitím několika kryptografických procesů:

- Výměna a ověřování klíčů: Handshake TLS začíná oběma stranami, které vyjednávají kryptografické parametry, aby vytvořily sdílené klíče, aniž by je přenesly přímo. Kryptografické algoritmy veřejného klíče, jako jsou RSA, Diffieâ Hellman (DH), Ephemeral Diffieâ Hellman (DHE), eliptická zakřivení Diffieâ Hellman (ECDHE) a další jsou zvyklé bezpečně generovat sdílený tajný klíč. Tento klíč není přímo odesílán přes síť, ale po výměně nezbytných veřejných hodnot je odvozen nezávisle na obou stranách. Během tohoto handshake se server obvykle ověřuje k klientovi prostřednictvím certifikátu, je prováděno volitelně vzájemné ověření. Handshake také souhlasí s šifrovacími apartmány, které diktují šifrovací algoritmy používané pro šifrování hromadných dat. Tento proces poskytuje jak autentizaci, tak utajení ve fázi klíčové dohody.

- Symetrické šifrování pro přenos dat: Po zavedení sdíleného tajného klíče prostřednictvím handshake přepne TLS na symetrické šifrování, aby chránil skutečné zprávy vyměněné v relaci. Protože symetrické algoritmy šifrování jsou výpočetně efektivní, umožňují šifrování a dešifrování v reálném čase v obou směrech. Mezi běžné symetrické šifrovací algoritmy použité v TLS patří AE (standard pro pokročilé šifrování), Chacha20 a další. Obě strany používají stejný klíč relace k šifrování odchozích a dešifrování příchozích datových toků, což zajišťuje obousměrnou důvěrnost.

- Integrita a ověřování dat: TLS integruje kódy ověřování zpráv (MAC) nebo ověřené režimy šifrování jako AES-GCM (režim Galois/Counter), aby byla zajištěna integrita a autentičnost zpráv. To zaručuje, že bude detekováno jakékoli manipulace nebo padělání zpráv v obou směrech.

- Obousměrná povaha: Kanály TLS jsou ze své podstaty obousměrné, což znamená, že obě koncové body mohou souběžně odesílat a přijímat šifrovaná data. Procesy šifrování a dešifrování se zrcadlí na obou koncích pomocí zavedených symetrických klíčů, což umožňuje bezproblémovou a bezpečnou obousměrnou komunikaci.

- Forward Tajemství: Moderní variace TLS používají pomíjivé klíče s DHE nebo ECDHE, které vytvářejí klíče na relaci, které poskytují tajemství dopředu. To znamená, že i když jsou ohroženy dlouhodobé klíče, minulé komunikační relace zůstávají bezpečné.

- Obnovení relace: Pro zlepšení účinnosti během opakovaných relací podporuje TLS obnovení relace, kde jsou předchozí klíče nebo identifikátory relace znovu použity, aby se zabránilo plnému handshake při zachování zabezpečení, které se vztahuje na obousměrné šifrované datové tok.

SSH obousměrné šifrování a dešifrování kanálu

SSH poskytuje bezpečné vzdálené přihlášení a další zabezpečené síťové služby v nezabezpečené síti. Jeho obousměrné kanály také zajišťují, aby byla data šifrována a dešifrována bezpečně jak při odesílání a přijímání:

- Protokol pro výměnu klíčů: Podobně jako TLS začíná SSH mechanismem výměny klíčů, aby vytvořil sdílený tajný klíč používaný pro šifrování relace. Obvykle používá algoritmus výměny klíčů Diffie-Hellman. Server představuje svůj veřejný hostitelský klíč, který klient před pokračováním ověří k ověření serveru. Obě strany poté používají dohodnuté algoritmy k nezávisle vytvoření sdíleného tajného klíče.

- Asymetrická kryptografie pro ověřování: Na rozdíl od symetrického šifrování používaného pro hromadná data jsou asymetrické klíče v SSH konkrétně slouží o autentizaci. Soukromé klíče v těchto asymetrických párech zůstávají tajné a používají se k prokázání identity, ale šifrování hromadných dat používá symetrické klíče.

- Symetrické šifrování komunikace: Po fázi výměny a ověřování klíčů SSH přepne na symetrické šifrovací algoritmy pro bezpečný přenos dat přes obousměrný kanál. SSH podporuje více symetrických šifrů, jako jsou AES, 3DES, Blowfish, Cast128 a Arcfour. Klient i server používají stejný klíč k šifrování odchozích dat a dešifrování příchozích dat, což umožňuje zabezpečenou komunikaci s plně duplexem.

- Integrita a komprese: Aby se zajistilo, že zprávy nejsou v tranzitu manipulovány, SSH aplikuje kryptografické hashové funkce pro vytváření kódů ověřování zpráv (MAC) nebo používá ověřené režimy šifrování. Kromě toho může být použita komprese pro zvýšení účinnosti přenosu.

- Funkce obousměrného kanálu: Připojení SSH vytváří zabezpečené tunely nebo kanály, které jsou obousměrné a podporují souběžné odesílání a přijímání dat se šifrováním a dešifrováním, které se dějí symetricky na stranách klienta i serveru. To umožňuje zabezpečené provádění příkazů, převody souborů (přes SFTP) a předávání portů, všechny přenášené přes šifrované kanály.

- Řízení toku a zpracování chyb: Kanály SSH zahrnují mechanismy řízení toku, které spravují rychlosti přenosu dat v obou směrech, úpravy pro podmínky sítě a zajištění spolehlivé komunikace.

Sdílené charakteristiky TLS a SSH obousměrných kanálů

- Oba používají počáteční handshake k bezpečnému zavedení šifrovaných relačních klíčů, aniž by je vystavili potenciálním odposloucháváním.
- Symetrické šifrování se používá pro účinnost při šifrování a dešifrování hromadných komunikačních dat po stanovení klíče relace.
- Oba aplikují techniky ověřování zpráv, aby zajistily důvěrnost, integritu a autentičnost dat v obou směrech.
-Podporují full-duplex, současný obousměrný tok dat v rámci zabezpečených šifrovaných tunelů.
- Použití algoritmů, které mohou poskytnout tajemství dopředu, a zajistit, aby minulá komunikace zůstala bezpečná, i když jsou ohroženy dlouhodobé klíče.
- Obě protokoly vyjednávají a dohodnou se na šifrovacích algoritmech a délkách klíčů na začátku relace.
- Obousměrná povaha těchto protokolů zajišťuje, že zprávy o zpracování chyb, opakované přenosy a kontrolu toku lze také bezpečně vyměnit.