TLS rokasspiediens

A34 (2017-07-13 18:30)    1 https://en.wikipedia.org/wiki/Transport_Layer_Security

mirins (2017-07-13 18:38)    1 TLS ir sakaru protokols (var apzīmēt arī kā noteikumi datu apmaiņai), kurš nodrošina sakaru savienojumu un sakaru datu apmaiņas drošību (gan no datu slepenības, gan datu kontroles aspektiem) ar autentikāciju un abu sakaru pušu atslēgu. Tieši "rokasspiediens" ir tas brīdis, kad notiek sakaru atslēgu apmaiņa.

Iz vēstures: kad sakaru pamatiekārtas vēl bija modemi, tad tiem arī bija "rokasspiedieni", kas izpaudās kā pretīga skaņa, kad abas sakaru puses saskaņoja savus parametrus.

Ceru, ka izdevās atbildēt pietiekošā apjomā...

MonaLiza (2017-07-13 19:20)      beidzot kāds paskaidro, kas ir TLS Rokasspiediens, paldies, visu nakti negulēju, domāju.

progmars (2017-07-13 19:35)  1 3 Iepriekšējie atbildētāji jau visu pateica, taču mēģināšu mazliet no abstraktāka viedokļa un salīdzinot ar dzīvi.

Ikdienā rokasspiediens ir kā rituāls, kura nolūks ir formāli uzsākt saskarsmi (vai konkrēti - sarunu) un arī ātri izveidot kādu priekšstatu par otru personu, atkarībā no rokasspiediena īpašībām (silts, vēss, stingrs, mīksts utml.). Taču rokasspiediens nav daļa no pašas sarunas.

Līdzīgi arī IT sfērā ar rokasspiedienu saprot mēģinājumu uzsākt sarunu. "Rokasspiedieni" var notikt dažādos līmeņos - gan lietojumprogrammas, gan operētājsistēmas, gan firmware, gan aparatūras līmenī.

Kāpēc nedrīkst uzreiz uzsākt sarunu un netērēt laiku uz "rokasspiedieniem"? Iemesli ir dažādi: biežākais ir saskaņot sarunu protokolus, jo pasaulē gadu gaitā ir mainījušās protokolu specifikācijas, ir parādījušies jauni protokoli, un katram protokolam ir daudzi papildus parametri, kas ir atkarīgi no programmatūras un arī aparatūras veiktspējas. Parasti rokasspiediena laikā viena ierīce apjautājas otrai, kāds ir visefektīvākais un jaunākais protokols, ar kādu partneris spēj darboties un rezultātā tiek izvēlēts labākais kopīgais atbalstītais protokols, lai vājākā puse (kurai ir vecāks vai sliktāks protokols) spētu korekti apstrādāt sarunas datus. Protams, ir viens āķis - pašam rokasspiedienam arī ir jābūt strikti definētam ar noteiktu protokolu, pie tam tādu, kas nedrīkst mainīties, citādi sarunu partneri vispār nespēs uzsākt sarunu. (Tēlaini sakot - vienam rokasspiediens nozīmē pastiept roku, otram - degunu :D Rezultātā apmulsums un nav skaidrs, ko tālāk.)

Konkrēti par TLS - rokasspiediena laikā tiek saskaņotas vairākas lietas:
- vienoties par šifrēšanas algoritmu, kuru izmantos sarunas laikā. Mūsdienās ir daudz šifrēšanas algoritmu un lērums vecu un jaunu programmu, kas atbalsta tikai kādus noteiktus algoritmus. Tātad, abām pusēm ir jāatrod kāds kopīgais labākais algoritms.

- abām pusēm ir jāapliecina sava identitāte.

progmars (2017-07-13 19:36)  1 3 ... Ja skatāmies tīmekļa pārlūkus, tad parasti pietiek, ka savu identitāti apliecina tikai serveris, taču ir lietojumi, kad serveris var prasīt arī klienta pusi apliecināt savu identitāti. Apliecināšanas process atkarīgs no izvēlētā šifrēšanas algoritma. Parasti izmanto PKI - public key infrastructure sistēmu ar privāto / publisko atslēgu un sertifikātiem, ko ir izdevusi kāda autoritāte, kam abi sarunas partneri uzticas (konkrēts piemērs - publiskās autoritātes DigiCert, VeriSign utml. sertifikāti, kuri ir jāabonē, taču nu jau parādās arī bezmaksas sertifikātu autoritātes, piem. Let’s Encrypt; taču iekšējām sistēmām var lietot arī sertifikātus, ko ģenerējis iekšējais serveris, piemēram, "Microsoft Active Directory Certificate Services")

- tiek uzģenerēti nejauši skaitļi, ar kuriem notiek papildus šifrēšanas un apmaiņas darbības un kas tiks izmantots katra sarunas ziņojuma parakstīšanai un secības numerācijai (MAC - message authentication code). Tādā veidā iegūst drošu sakaru kanālu, kurš ir ne tikai šifrēts, bet arī nodrošina unikalitāti tikai konkrētās sarunu sesijas laikā. Ja pa vidu kāds noklausās un pēc tam nākošreiz tikai atskaņo vienu sarunas pusi, lai liktu otrai pusei noticēt, ka tā runā ar īsto partneri, tad izmantojot nejaušus skaitļus un ziņojumu parakstus un secības numurus, "ierakstītas sarunas atskaņošana" (replay attack) vairs nebūs iespējama.

Te ir mazliet vairāk info; ir arī ziņojumu apmaiņas diagramma:
https://www.ibm.com/support/knowledgecenter/en/SSFKSJ_7.1.0/com.ibm.mq.doc/sy10660_.htm

valmierietis333 (2017-07-13 21:39)      Paldies par atbildēm , vismaz tagad kļuva skaidrāks ...

Citādi sāka likties aizdomīgi , ka iepriekš tas nebija manāms , bet tagad pēdējos mēnešos tur pat vai katru lapu atverot tā darbība uzrādās ...