Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon In che modo i canali bidirezionali in TLS e SSH gestiscono la crittografia e la decryption


In che modo i canali bidirezionali in TLS e SSH gestiscono la crittografia e la decryption


I canali bidirezionali in entrambi i protocolli di sicurezza del livello di trasporto (TLS) e Shell Shell (SSH) gestiscono la crittografia e la decrittografia dei dati attraverso una combinazione di scambio chiave, algoritmi di crittografia e tecniche di gestione delle sessioni che garantiscono una comunicazione sicura in entrambe le direzioni tra client e server.

TLS CRIMIPZIONE E DECRIPZIONE CANALE

TLS è progettato per fornire riservatezza e integrità dei dati scambiati tra due parti comunicanti su una rete, come un client e un server. I suoi canali bidirezionali consentono di scambiarsi in modo sicuro in entrambe le direzioni contemporaneamente sfruttando diversi processi crittografici:

- Scambio e autenticazione chiave: la stretta di mano TLS inizia con entrambe le parti che negoziano parametri crittografici per stabilire le chiavi condivise senza trasmetterle direttamente. Algoritmi di crittografia a chiave pubblica come RSA, Diffieâ Hellman (DH), effimero Diffie Hellman (DHE), Curve Ellittica Diffie Hellman (Ecdhe) e altri sono abituati a generare in modo sicuro una chiave segreta condivisa. Questa chiave non viene inviata direttamente sulla rete ma deriva in modo indipendente da entrambe le parti dopo aver scambiato i valori pubblici necessari. Durante questa stretta di mano, il server di solito si autentica al client tramite un certificato, viene effettuata l'autenticazione reciproca facoltativamente. La stretta di mano concorda anche sulle suite di cifra che determinano gli algoritmi di crittografia utilizzati per la crittografia dei dati sfusi. Questo processo fornisce sia l'autenticazione che la segretezza nella fase di accordo chiave.

- Crittografia simmetrica per il trasferimento di dati: dopo che una chiave segreta condivisa viene stabilita attraverso la stretta di mano, TLS passa alla crittografia simmetrica per proteggere i messaggi effettivi scambiati nella sessione. Poiché gli algoritmi di crittografia simmetrici sono efficienti dal punto di vista computazionale, consentono la crittografia e la decrittografia in tempo reale in entrambe le direzioni. Gli algoritmi di crittografia simmetrici comuni utilizzati nei TL includono AES (Advanced Encryption Standard), Chacha20 e altri. Entrambe le parti utilizzano la stessa chiave di sessione per crittografare i flussi di dati in uscita in uscita e decrittoni, garantendo la riservatezza bidirezionale.

- Integrità e autenticazione dei dati: TLS integra i codici di autenticazione dei messaggi (Mac) o modalità di crittografia autenticate come AES-GCM (Modalità Galois/Counter) per garantire l'integrità e l'autenticità dei messaggi. Ciò garantisce che verrà rilevato qualsiasi manomissione o falsificazione di messaggi in entrambe le direzioni.

- Natura bidirezionale: i canali TLS sono intrinsecamente bidirezionali, il che significa che entrambi gli endpoint possono inviare e ricevere dati crittografati contemporaneamente. I processi di crittografia e decrittazione sono rispecchiati ad entrambe le estremità utilizzando le chiavi simmetriche stabilite, consentendo comunicazioni a due vie senza soluzione di continuità.

- Segreto in avanti: le variazioni moderne di TLS usano le chiavi effimere con DHE o ECDHE che stabiliscono chiavi di sessione che forniscono il segreto in avanti. Ciò significa che anche se le chiavi a lungo termine sono compromesse, le sessioni di comunicazione passate rimangono sicure.

- Ripristo di sessione: per migliorare l'efficienza rispetto alle sessioni ripetute, TLS supporta la ripresa della sessione in cui vengono riutilizzate le chiavi di sessione o gli identificatori precedenti per evitare una stretta di mano completa mantenendo la sicurezza, che si applica al flusso di dati crittografato bidirezionale.

SSH Canale bidirezionale Crittografia e decrittazione

SSH fornisce l'accesso remoto sicuro e altri servizi di rete sicuri su una rete insicura. I suoi canali bidirezionali assicurano inoltre che i dati vengano crittografati e decrittografati in modo sicuro sia durante l'invio che la ricezione:

- Protocollo di scambio chiave: simile a TLS, SSH inizia con un meccanismo di scambio chiave per produrre una chiave segreta condivisa utilizzata per crittografare la sessione. Utilizza comunemente l'algoritmo di scambio chiave Diffie-Hellman. Il server presenta la sua chiave host pubblica, che il client verifica di autenticare il server prima di procedere. Entrambe le parti utilizzano quindi gli algoritmi concordati per generare una chiave segreta condivisa in modo indipendente.

- Crittografia asimmetrica per autenticazione: a differenza della crittografia simmetrica utilizzata per i dati sfusi, le chiavi asimmetriche in SSH servono specificamente a scopi di autenticazione. Le chiavi private in queste coppie asimmetriche rimangono segrete e vengono utilizzate per dimostrare l'identità, ma la crittografia dei dati in blocco utilizza chiavi simmetriche.

- Crittografia simmetrica delle comunicazioni: dopo le fasi di scambio e autenticazione chiave, SSH passa agli algoritmi di crittografia simmetrici per la trasmissione sicura dei dati attraverso il canale bidirezionale. SSH supporta più cifre simmetriche come AES, 3DE, Blowfish, Cast128 e Arcfour. Sia il client che il server utilizzano la stessa chiave per crittografare i dati in uscita e decritto i dati in arrivo, abilitando la comunicazione sicura a duplex.

- Integrità e compressione: per garantire che i messaggi non siano manomessi in transito, SSH applica funzioni di hash crittografiche per creare codici di autenticazione dei messaggi (MAC) o utilizzare modalità di crittografia autenticata. Inoltre, la compressione può essere applicata per migliorare l'efficienza della trasmissione.

- Funzionalità del canale bidirezionale: la connessione SSH crea tunnel o canali sicuri che sono bidirezionali, supportando l'invio e la ricezione simultanei di dati con crittografia e decrittografia che si verificano simmetricamente su entrambi i lati del client e del server. Ciò consente l'esecuzione di comandi sicuri, i trasferimenti di file (tramite SFTP) e l'inoltro di porta, tutti trasportati su canali crittografati.

- Controllo del flusso e gestione degli errori: i canali SSH includono meccanismi di controllo del flusso che gestiscono le velocità di trasmissione dei dati in entrambe le direzioni, regolando le condizioni di rete e garantendo una comunicazione affidabile.

Caratteristiche condivise dei canali bidirezionali TLS e SSH

- Entrambi utilizzano una stretta di mano iniziale per stabilire in modo sicuro le chiavi di sessione crittografate senza esporle a potenziali intercettazioni.
- La crittografia simmetrica viene utilizzata per l'efficienza nella crittografia e nella decrittografia dei dati di comunicazione in blocco una volta stabilita la chiave di sessione.
- Entrambi applicano tecniche di autenticazione dei messaggi per garantire la riservatezza, l'integrità e l'autenticità dei dati in entrambe le direzioni.
-Supportano un flusso di dati a due vie simultanei a full duplex all'interno di tunnel crittografati sicuri.
- Uso di algoritmi che possono fornire segretezza in avanti, garantendo che le comunicazioni passate rimangano sicure anche se le chiavi a lungo termine sono compromesse.
- Entrambi i protocolli negoziano e concordano algoritmi di crittografia e lunghezze chiave all'inizio della sessione.
- La natura bidirezionale di questi protocolli garantisce che la gestione degli errori, la ritrasmissione e i messaggi di controllo del flusso possano anche essere scambiati in modo sicuro.

In sintesi, TLS e SSH gestiscono la crittografia e la decrittografia dei dati del canale bidirezionale scambiando e accettando in modo sicuro le chiavi crittografiche, quindi utilizzando algoritmi di crittografia simmetrica per crittografare i messaggi in uscita e decrittoni di quelli in arrivo con concomitanza con concomitanza. Questi processi sono integrati da meccanismi di autenticazione e controllo dell'integrità per mantenere la sicurezza e la correttezza dei dati durante la sessione di comunicazione in entrambe le direzioni.