Os canais bidirecionais nos protocolos de segurança da camada de transporte (TLS) e shell seguros (SSH) lidam com a criptografia e descriptografia de dados através de uma combinação de trocas de chave, algoritmos de criptografia e técnicas de gerenciamento de sessão que garantem comunicação segura em ambas as direções entre cliente e servidor.
TLS Criptografia e descriptografia bidirecional
O TLS foi projetado para fornecer confidencialidade e integridade de dados trocados entre duas partes de comunicação por uma rede, como um cliente e um servidor. Seus canais bidirecionais permitem que os dados sejam trocados com segurança em ambas as direções simultaneamente, alavancando vários processos criptográficos:
- Troca e autenticação de chaves: o aperto de mão do TLS começa com ambas as partes negociando parâmetros criptográficos para estabelecer chaves compartilhadas sem transmiti -las diretamente. Algoritmos de criptografia de chave pública, como RSA, Diffie Hellman (DH), Hellman Diffie de Hellman (DHE), Hellman Hellman (Ecdhe), e outros são usados para gerar com segurança uma chave secreta compartilhada. Essa chave não é enviada diretamente pela rede, mas derivada de forma independente por ambos os lados após a troca de valores públicos necessários. Durante esse aperto de mão, o servidor geralmente se autentica ao cliente por meio de um certificado, opcionalmente é realizado autenticação mútua. O handshake também concorda com os suítes cifrões que ditam algoritmos de criptografia usados para criptografia de dados a granel. Esse processo fornece autenticação e sigilo na fase de contrato -chave.
- Criptografia simétrica para transferência de dados: Depois que uma chave secreta compartilhada é estabelecida através do aperto de mão, o TLS é alterado para a criptografia simétrica para proteger as mensagens reais trocadas na sessão. Como os algoritmos de criptografia simétrica são computacionalmente eficientes, eles permitem criptografia e descriptografia em tempo real em ambas as direções. Os algoritmos comuns de criptografia simétrica usados no TLS incluem AES (padrão de criptografia avançado), chacha20 e outros. Ambas as partes usam a mesma chave de sessão para criptografar e descriptografar os fluxos de dados recebidos, garantindo a confidencialidade bidirecional.
- Integridade e autenticação de dados: o TLS integra os códigos de autenticação de mensagens (MACs) ou modos de criptografia autenticados como AES-GCM (Modo Galois/Contador) para garantir a integridade e a autenticidade da mensagem. Isso garante que qualquer adulteração ou falsificação de mensagens em qualquer direção seja detectada.
- Natureza bidirecional: os canais TLS são inerentemente bidirecionais, o que significa que ambos os pontos de extremidade podem enviar e receber dados criptografados simultaneamente. Os processos de criptografia e descriptografia são espelhados nas duas extremidades, usando as teclas simétricas estabelecidas, permitindo comunicações bidirecionais seguras e perfeitas.
- Segredo para a frente: as variações modernas do TLS usam teclas efêmeras com DHE ou ECDHE que estabelecem chaves por sessão que fornecem sigilo avançado. Isso significa que, mesmo que as chaves de longo prazo estejam comprometidas, as sessões de comunicação anteriores permanecem seguras.
- Rolagem da sessão: Para melhorar a eficiência em relação às sessões repetidas, o TLS suporta a retomada da sessão, onde as chaves ou identificadores de sessão anteriores são reutilizados para evitar um aperto de mão completo, mantendo a segurança, que se aplica ao fluxo de dados criptografado bidirecional.
Criptografia e descriptografia do canal bidirecional SSH
O SSH fornece login remoto seguro e outros serviços de rede seguros em uma rede insegura. Seus canais bidirecionais também garantem que os dados sejam criptografados e descriptografados com segurança ao enviar e receber:
- Protocolo de troca de chaves: semelhante ao TLS, o SSH começa com um mecanismo de troca de chave para produzir uma chave secreta compartilhada usada para criptografar a sessão. Geralmente usa o algoritmo Diffie-Hellman Key Exchange. O servidor apresenta sua chave de host pública, que o cliente verifica para autenticar o servidor antes de prosseguir. Ambas as partes usam algoritmos acordados para gerar uma chave secreta compartilhada de forma independente.
- Criptografia assimétrica para autenticação: Ao contrário da criptografia simétrica usada para dados em massa, as chaves assimétricas em SSH servem especificamente para fins de autenticação. As chaves privadas nesses pares assimétricas permanecem secretos e são usados para provar a identidade, mas a criptografia de dados em massa usa teclas simétricas.
- Criptografia simétrica de comunicações: Após as fases de troca e autenticação, o SSH muda para algoritmos de criptografia simétrica para a transmissão segura de dados no canal bidirecional. O SSH suporta várias cifras simétricas, como AES, 3DEs, Blowfish, Cast128 e Arcfour. Tanto o cliente quanto o servidor usam a mesma chave para criptografar dados de saída e descriptografar dados recebidos, permitindo a comunicação segura de duplex completo.
- Integridade e compactação: para garantir que as mensagens não sejam adulteradas no trânsito, o SSH aplica funções criptográficas de hash para criar códigos de autenticação de mensagem (MACS) ou usa modos de criptografia autenticados. Além disso, a compactação pode ser aplicada para aumentar a eficiência da transmissão.
- Funcionalidade do canal bidirecional: a conexão SSH cria túneis ou canais seguros que são bidirecionais, apoiando o envio e recebimento simultâneos de dados com criptografia e descriptografia acontecendo simetricamente nos lados do cliente e do servidor. Isso permite a execução de comandos seguros, transferências de arquivos (via SFTP) e encaminhamento de porta, todos transportados por canais criptografados.
- Controle de fluxo e manuseio de erros: os canais SSH incluem mecanismos de controle de fluxo que gerenciam as taxas de transmissão de dados em ambas as direções, ajustando as condições da rede e garantindo comunicação confiável.
Características compartilhadas dos canais bidirecionais de TLS e SSH
- Ambos usam um aperto de mão inicial para estabelecer as chaves de sessão criptografadas com segurança, sem expô -las a potenciais bisbilhoteiros.
- A criptografia simétrica é usada para eficiência na criptografia e descriptografar dados de comunicação em massa assim que a chave da sessão for estabelecida.
- Ambos aplicam técnicas de autenticação de mensagens para garantir confidencialidade, integridade e autenticidade dos dados em ambas as direções.
-Eles suportam o fluxo de dados bidirecional simultâneo e duplex completo em túneis criptografados seguros.
- O uso de algoritmos que podem fornecer sigilo a termo, garantindo que as comunicações anteriores permaneçam seguras, mesmo que as chaves de longo prazo sejam comprometidas.
- Ambos os protocolos negociam e concordam com os algoritmos de criptografia e os principais comprimentos no início da sessão.
- A natureza bidirecional desses protocolos garante que as mensagens de manuseio de erros, retransmissão e controle de fluxo também possam ser trocadas com segurança.