сією SSL є версія 3.0, про яку й йтиметься.
Клієнтська частина SSL реалізована у всіх популярних Web-навігаторах, до яких відносяться Netscape Navigator компанії Netscape і Internet Explorer від Microsoft а серверна - в більшості як комерційних, так і поширюваних на некомерційних умовах WWW-серверів наприклад, в серверних прикладенийиях компаній IBM, Netscape, Microsoft, Spyglass, Open Market.
Відповідно до протоколу SSL криптозахищені тунелі створюються між кінцевими точками віртуальної мережі (малюнок 2.8). Ініціаторами якого захищеного тунелю є клієнт і сервер, що функціонують на комп'ютерах в кінцевих точках тунелю. Протокол SSL передбачає два етапи взаємодії клієнта і сервера при формуванні та підтримці захищається з'єднання:
встановлення SSL-сесії;
захищене взаємодія.
Малюнок 2.8 криптозахищені тунель на базі протоколу SSL.
Процедура встановлення SSL-сесії, звана також процедурою рукостискання raquo ;, відпрацьовується перед безпосереднім захистом інформаційного обміну і виконується по протоколу початкового привітання (Handshake Protocol), що входить до складу протоколу SSL. У процесі становлення SSL-сесії вирішуються наступні завдання:
аутентифікація сторін;
узгодження криптографічних алгоритмів і алгоритмів стиснення, які будуть використовуватися при захищеному інформаційному обміні;
формування спільного секретного майстер-ключа;
генерація на основі сформованого майстер-ключа загальних секретних сеансових ключів для криптозахисту інформаційного обміну. ??
У реалізаціях протоколу SSL для аутентифікації взаємодіючих сторін і формування загальних секретних ключів найчастіше використовують алгоритм RSA розробки RSA Data Security Inc.
Однозначне і достовірне відповідність між відкритими ключами і їх власниками встановлюється за допомогою цифрових сертифікатів, які видаються спеціальними Центрами Сертифікації. Сертифікат являє собою блок даних, що містить наступну інформацію:
ім'я центру сертифікації;
ім'я власника сертифіката;
відкритий ключ власника сертифіката;
період дії сертифіката;
ідентифікатор і параметри криптоалгоритму, який повинен використовуватися при обробці сертифіката;
цифровий підпис центру сертифікації, завіряє всі дані у складі сертифіката.
Цифровий підпис центру сертифікації у складі сертифіката забезпечує достовірність і однозначність відповідності відкритого ключа й його власника. Центр сертифікації виконує роль нотаріуса, що посвідчує справжність відкритих ключів, що дозволяє їх власникам користуватися послугами захищеної взаємодії без попередньої особистої зустрічі. Необхідність безумовної довіри до центру сертифікації з боку всіх учасників захищеного обміну пред'являє до нього досить високі вимоги з перевірки автентичності завіряються відкритих ключів. Одним з таких центрів в Internet є компанія VeriSign, заснована RSA Data Security Inc., за участю компаній Visa, IBM, Netscape, Microsoft і Oracle.
Третя версія протоколу SSL підтримує три режими аутентифікації:
взаємна аутентифікація сторін;
одностороння аутентифікація сервера без аутентифікації клієнта;
повна анонімність.
При використанні останнього варіанту взаємодіючі сторони незахищені від атак, пов'язаних з підміною учасників взаємодії, даному режимі забезпечується захист інформаційного обміну без будь-яких гарантій щодо достовірності взаємодіючих сторін.
У режимі односторонньої аутентифікації сервера без аутентифікації клієнта процедура встановлення SSL-сесії між клієнтом і сервером включає наступні кроки.
. Клієнт посилає серверу запит на встановлення захищеного з'єднання, в якому передає деякі формальні параметри цього з'єднання:
поточний час і дату;
випадкову послідовність (RAND_CL);
набір підтримуваних клієнтом алгоритмів симетричного шифрування і алгоритмів обчислення хеш-функції;
набір підтримуваних алгоритмів стиснення та ін.
. Сервер обробляє запит від клієнта і передає йому узгоджений набір параметрів:
ідентифікатор SSL-сесії;
конкретні криптографічні алгоритми з числа запропонованих клієнтом (якщо з якої-небудь причини запропоновані алгоритми або їх параметри не задовольняють вимогам сервера, сесія закривається);
сертифікат ...
