Универзитет Сингидунум
Факултет за информатику и рачунарство

Рачунарске мреже

Младен Веиновић, Александар Јевремовић

7.2.2.1.1. Протоколи TLS-а за успостављање везе


TLS систем заштите садржи три протокола који служе за успостављање безбедносних параметара везе (за потребе TLS Record протокола), за проверу аутентичности страна, и за извештавање о евентуалним грешкама. TLS Handshake протокол је задужен за успостављање сесије и успостављање њених следећих параметара:

  1. Идентификатор сесије - произвољна секвенца бајтова за једнозначно одређивање комуникационе сесије,

  2. сертификат учесника - X509v3 дигитални сертификат учесника у комуникацији,

  3. алгоритам за компресовање - који ће се алгоритам за компресовање података користити пре функције шифровања,

  4. параметри шифарског алгоритма - функција за одређивање кључева, алгоритам за шифровање података, и алгоритам за израчунавање контролних МАС кодова,

  5. параметар master secret - низ бајтова дужине 48 бајтова, познат само учесницима у комуникацији и

  6. индикатор да ли се сесија може користити за успостављање више веза.

Наведени параметри сесије користе се за одређивање безбедносних параметара који ће, у оквиру TLS Record протокола, бити коришћени за заптиту података који се преносе. У оквиру једне сесије, уколико је тако назначено, може се успоставити више веза.

Протокол Change Cipher Spec задужен је за измене процеса шифровања, у току комуникције. Овај протокол подржава само један тип поруке која се преноси у шифрованом облику (користећи тренутно актуелне параметре шифровања). Ову поруку може послати било која од страна, сервер или клијент, а њоме се прималац обавештава да ће наредни блокови бити шифровани по новим параметрима и кључевима за шифровање. Пошиљалац, одмах након слања поменуте поруке, мора захтеване параметре да примени у сопственом TLS Record протоколу, док је то задатак примаоца одмах након пријема поруке. У оквиру успостављања сесије поруке Change Cipher Spec протокола шаљу се након успостављања основних безбедносних параметара, а пре слања поруке да је сесија успостављена.

Протокол Alert у оквиру TLS система заштите служи за обавештавање друге комуникационе стране о упозорењима и фаталним грешкама до којих је дошло. У случају да се овим протоколом пренесе порука о фаталној грешци, долази до тренутног раскида везе а сесија у којој је до такве грешке дошло не може се користити за успостављање нових веза. Поруке Alert протокола такође се компресују и шифрују а могу бити један од два типа:

  • Поруке о прекиду везе - обавештавају другу страну у комуникацији да је веза прекинута. У случају да једна страна нема информацију да је веза раскинута могу се јавити одређени безбедносни пропусти. Раскид везе је симетричан, односно свака страна треба да пошаље другој страни обавештење да раскида везу, тј. да више неће слати податке у оквиру ње.

  • Поруке о евидентираним грешкама - обавештавају другу страну да је дошло до грешке и, уколико је у питању фатална грешка а не само упозорење, да се веза раскида. Након раскида везе потребно је да обе стране уклоне из меморије све безбедносне параметре везане за њу. Типови порука о грешкама могу бити: bad_record_mac, decryption_failed_RESERVED, record_overflow, decompression_failure, handshake_failure, no_certificate_RESERVED, bad_certificate, unsupported_certificate, certificate_revoked, certificate_expired, certificate_unknown, illegal_parameter, unknown_ca, access_denied, decode_error, decrypt_error, export_restriction_RESERVED, protocol_version, insufficient_security, internal_error, user_canceled, no_renegotiation, unsupported_extension. Детаљан опис сваког од наведених типова порука може се наћи у званичном RFC документу TLS протокола.

TLS Handshake прокол је задужен за успостављање безбедносних параметара сесије, који ће бити коришћени у комуникацији - верзија протокола, шифарски алгоритам, аутентичност друге стране, master secret параметар. Успостављање наведених параметара обавља се у оквиру следећих корака:

  1. Размена hello порука за одређивање алгоритама, (псеудо) случајних вредности, и да ли сесија може бити настављена.

  2. Размена криптографских параметара потребних за утврђивање premaster secret параметра.

  3. Размена сертификата и криптографских информација потребних за проверу аутентичности комуникационих страна.

  4. Генерисање master secret параметра на основу размењених premaster secret параметра и (псеудо)случајних вредности.

  5. Достављање упостављених безбедносних параметара TLS Record протоколу.

  6. Омогућавање потврђивања идентичности успостављених безбедносних параметара (у циљу успешности комуникације и спречавања напада путем посредовања нападача у успостављању сесије).

Значајна напомена везана за процес успостављања безбедне везе јесте та да постоје одређени типови напада којима нападач може навести комуникационе стране да не искористе алгоритме и параметре оптималне по питању нивоа заштите који пружају. Из тог разлога је потребно да се на апликативном нивоу одреди који је минимални ниво заштите потребан за успостављање комуникације, односно који алгоритми смеју бити коришћени за потребе безбедне размене података.

 
Internet marketing
Преузмите ПДФ целе књиге
Заштита у рачунарским мрежама
Овладајте Веб развојем и РНР програмирањем
Овладајте савременим базама података
Обратите се ауторима:
Ваша имејл адреса:
Ваше име:
Порука:
Безбедносни код:
Captcha
Research Gate
Слика [Chapter:Number]