Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Kako so dvosmerni kanali v TLS in SSH šifriranju in dešifriranju


Kako so dvosmerni kanali v TLS in SSH šifriranju in dešifriranju


Dvosmerni kanali tako v protokolih za varnost prometne plasti (TLS) in protokoli Secure Shell (SSH) obravnavajo šifriranje in dešifriranje podatkov s kombinacijo izmenjave ključev, algoritmov šifriranja in tehnik upravljanja sej, ki zagotavljajo varno komunikacijo v obeh smereh med odjemalcem in strežnikom.

TLS šifriranje in dešifriranje dvosmernega kanala

TLS je zasnovan tako, da zagotavlja zaupnost in celovitost podatkov, ki se izmenjajo med dvema komunikacijskima strankama po omrežju, kot sta odjemalec in strežnik. Njeni dvosmerni kanali omogočajo varno izmenjavo podatkov v obe smeri hkrati z uporabo več kriptografskih procesov:

- izmenjava ključev in preverjanje pristnosti: TLS se začne s stiskanjem obeh strani, ki se pogajata o kriptografskih parametrih, da bi vzpostavili skupne ključe, ne da bi jih neposredno prenesli. Javni ključni algoritmi kriptografije, kot so RSA, Diffieâ Hellman (DH), Ephemeral Diffie Hellman (DHE), Eliptična-krivulja Diffieâ Hellman (ECDHE), drugi pa se uporabljajo za varno ustvarjanje skupnega skrivnega ključa. Ta ključ se po izmenjavi potrebnih javnih vrednot ne pošlje neposredno prek omrežja, ampak izhajata neodvisno. Med tem stiskanjem se strežnik običajno prisve na odjemalcu s potrditvijo, poljubno je opravljeno medsebojno preverjanje pristnosti. Stisk roke se strinja tudi s šifrirnimi apartmaji, ki narekujejo algoritme šifriranja, ki se uporabljajo za šifriranje podatkov. Ta postopek zagotavlja tako overjanje kot tajnost v fazi ključnega dogovora.

- Simetrično šifriranje za prenos podatkov: Ko se s stiskanjem roke vzpostavi skupni tajni ključ, TLS preklopi na simetrično šifriranje, da se zaščiti dejanska sporočila, izmenjana v seji. Ker so simetrični algoritmi šifriranja računsko učinkovite, omogočajo šifriranje v realnem času in dešifriranje v obe smeri. Skupni simetrični algoritmi šifriranja, ki se uporabljajo v TLS, vključujejo AES (napredni standard šifriranja), CHACHA20 in druge. Obe strani uporabljata isti ključ seje za šifriranje odhodnih in dešifriranja dohodnih podatkovnih tokov, kar zagotavlja dvosmerno zaupnost.

- Celovitost in preverjanje pristnosti podatkov: TLS integrira kode za preverjanje pristnosti sporočil (MAC) ali overjene načine šifriranja, kot je AES-GCM (Galois/Counter Mode), da se zagotovi celovitost in pristnost sporočil. To zagotavlja, da bo odkrita kakršno koli poseg ali ponarejanje sporočil v kateri koli smeri.

- Dvosmerna narava: TLS kanali so sami po sebi dvosmerni, kar pomeni, da lahko obe končni točki hkrati pošiljata in sprejemata šifrirane podatke. Procesi šifriranja in dešifriranja se zrcalijo na obeh koncih z vzpostavljenimi simetričnimi tipkami, ki omogočajo brezhibno, varno dvostransko komunikacijo.

- Skrivnost naprej: Sodobne različice TLS uporabljajo efemerne tipke z DHE ali ECDHE, ki vzpostavljajo tipke na seji, ki zagotavljajo tajnost. To pomeni, da četudi so dolgoročni ključi ogroženi, pretekle komunikacijske seje ostanejo varne.

- Nadaljevanje seje: Za izboljšanje učinkovitosti med večkratnimi sejami TLS podpira nadaljevanje sej, kjer se prejšnji seji ali identifikatorji ponovno uporabijo, da se izognejo celotnemu stiskanju roke, hkrati pa ohranjajo varnost, ki velja za dvosmerni šifrirani pretok podatkov.

ssh šifriranje in dešifriranje dvosmernega kanala

SSH zagotavlja varno oddaljeno prijavo in druge varne omrežne storitve prek negotovega omrežja. Njeni dvosmerni kanali prav tako zagotavljajo, da so podatki šifrirani in dešifrirani tako pri pošiljanju in prejemanju:

- Protokol za izmenjavo ključev: Podobno kot TLS se tudi SSH začne z mehanizmom izmenjave ključev, da ustvari skupni skrivni ključ, ki se uporablja za šifriranje seje. Običajno uporablja algoritem izmenjave ključev Diffie-Hellman. Strežnik predstavlja svoj javni gostiteljski ključ, ki ga odjemalec pred nadaljnjim preverjanjem preveri pristnost strežnika. Obe strani nato uporabljata dogovorjene algoritme za samostojno ustvarjanje skupnega skrivnega ključa.

- Asimetrična kriptografija za preverjanje pristnosti: Za razliko od simetrične šifriranja, ki se uporablja za množične podatke, asimetrične tipke v SSH posebej služijo pristnosti. Zasebni ključi v teh asimetričnih parih ostajajo skrivni in se uporabljajo za dokazovanje identitete, vendar šifriranje podatkov v veliki meri uporablja simetrične tipke.

- Simetrično šifriranje komunikacij: Po fazah izmenjave in preverjanja pristnosti ključa SSH preide na algoritme simetričnega šifriranja za varen prenos podatkov po dvosmernem kanalu. SSH podpira več simetričnih šifrantov, kot so AES, 3DES, Blowfish, Cast128 in Arcfour. Tako odjemalec kot strežnik uporabljata isti ključ za šifriranje odhodnih podatkov in dešifriranje dohodnih podatkov, kar omogoča varnostno komunikacijo polne dupleksa.

- Celovitost in stiskanje: Za zagotovitev, da sporočila niso posegana v tranzit, SSH uporablja kriptografske funkcije hash za ustvarjanje kod za preverjanje pristnosti sporočil (MAC) ali uporablja overjene načine šifriranja. Poleg tega se lahko za povečanje učinkovitosti prenosa uporabi stiskanje.

- Funkcija dvosmernih kanalov: povezava SSH ustvarja varne predore ali kanale, ki so dvosmerni, podpirajo sočasno pošiljanje in prejemanje podatkov s šifriranjem in dešifriranjem, ki se simetrično dogajajo na strani odjemalca in strežnika. To omogoča varno izvedbo ukazov, prenose datotek (prek SFTP) in posredovanje vrat, ki so vsi prenašali šifrirane kanale.

- Nadzor pretoka in ravnanje z napakami: SSH kanali vključujejo mehanizme za nadzor pretoka, ki upravljajo hitrosti prenosa podatkov v obe smeri, prilagajajo se omrežnim pogojem in zagotavljajo zanesljivo komunikacijo.

Skupne značilnosti dvosmernih kanalov TLS in SSH

- Oba uporabljata začetni stisk roke za varno vzpostavitev šifriranih tipk sej, ne da bi jih izpostavila potencialnim prisluškovanjem.
- Simetrično šifriranje se uporablja za učinkovitost šifriranja in dešifriranja podatkov o razsutem stanju, ko je ključ seje.
- Obe uporabljata tehnike overjanja sporočil za zagotovitev zaupnosti, celovitosti in pristnosti podatkov v obe smeri.
-Podpirajo celoten dupleks, hkratni dvosmerni tok podatkov znotraj varnih šifriranih tunelov.
- Uporaba algoritmov, ki lahko zagotavljajo tajnost in zagotavljanje, da bodo pretekle komunikacije ostale varne, tudi če so ogrožene dolgoročne tipke.
- Oba protokola se na začetku seje pogajata in se dogovorita o algoritmih šifriranja in ključnih dolžin.
- Dvosmerna narava teh protokolov zagotavlja, da se lahko varno izmenja tudi sporočila o napaki, ponovnem oddajanju in nadzoru pretoka.

Če povzamemo, TLS in SSH obravnavata dvosmerno šifriranje podatkov in dešifriranje podatkov, tako da najprej varno izmenjujeta in dogovorita o kriptografskih tipkah, nato pa z uporabo simetričnih algoritmov šifriranja za šifriranje odhodnih sporočil in dešifrirajo dohodne na obeh koncih. Ti procesi se dopolnjujejo z mehanizmi za preverjanje pristnosti in preverjanje celovitosti, da ohranijo varnost in pravilnost podatkov v celotni komunikacijski seji v obe smeri.