Ako funguje on-line zabezpečenie
Vďaka tomu, že nedávno došlo k mnohým závažným porušeniam v oblasti správ, možno by ste sa zaujímali o ochranu vašich údajov, keď ste online. Viete, že navštívite webové stránky, aby ste urobili nejaké nákupy, zadajte číslo svojej kreditnej karty a dúfajme, že za niekoľko dní príde balík na vaše dvere. Ale v tom okamihu, kým kliknete na tlačidlo Objednávka , sa niekedy zaujímate, ako funguje zabezpečenie online?
Základy bezpečnosti online
V najzákladnejšej forme je online bezpečnosť - to je bezpečnosť, ktorá prebieha medzi vaším počítačom a navštevovanou webovou stránkou - sa vykonáva prostredníctvom série otázok a odpovedí. Napíšete webovú adresu do svojho prehliadača , potom váš prehliadač požiada túto stránku o overenie pravosti, stránka odpovie späť s príslušnými informáciami a po oboch dohodách sa web otvorí vo vašom webovom prehliadači.
Medzi položenými otázkami a vymieňanými informáciami sú údaje o type šifrovania, ktorý sa používa na prenos informácií z vášho prehliadača, informácie o počítači a osobné informácie medzi prehliadačom a webovou stránkou. Tieto otázky a odpovede sa nazývajú handshake. Ak sa toto stretnutie nepodarí, webová lokalita, ktorú sa pokúšate navštíviť, sa bude považovať za nebezpečnú.
HTTP a HTTPS
Jedna vec, ktorú si môžete všimnúť pri návšteve webových stránok na webe je, že niektorí majú adresu, ktorá začína http a niektoré začínajú s https . HTTP znamená protokol prenosu hypertextu ; je to protokol alebo súbor pokynov, ktoré označujú bezpečnú komunikáciu cez internet. Môžete si dokonca všimnúť, že niektoré stránky, najmä stránky, od ktorých sa vyžaduje poskytnutie citlivých alebo osobných údajov, môžu zobrazovať https zelené alebo červené s čiarou cez to. HTTPS znamená protokol Hypertext Transfer Protocol Secure a zelená znamená, že lokalita má overiteľný bezpečnostný certifikát. Červená s čiarou znamená, že stránka nemá bezpečnostný certifikát alebo je certifikát nepresný alebo vypršal.
Tu je to, kde sa veci trochu mätúce. HTTP neznamená, že údaje prenášané medzi počítačom a webovým serverom sú šifrované. To znamená, že webová lokalita, ktorá komunikuje s prehliadačom, má aktívny bezpečnostný certifikát. Len vtedy, keď je súčasťou S (ako v protokole HTTP S ), sú údaje, ktoré sa prenášajú bezpečné, a je tu iná technológia, ktorá umožňuje používať toto bezpečné označenie.
Pochopenie protokolu SSL
Keď zvážite zdieľanie handshake s niekým, znamená to, že je zapojená druhá strana. Online bezpečnosť je veľmi podobná. Pre handshake, ktorý zabezpečuje bezpečnosť online, musí byť zapojená druhá strana. Ak je protokol HTTPS protokol, ktorý webový prehliadač používa na zabezpečenie bezpečnosti, druhá polovica tohto prenosu je protokol, ktorý zaisťuje šifrovanie.
Šifrovanie je technológia, ktorá slúži na zakrytie dát, ktoré sa prenášajú medzi dvoma zariadeniami v sieti. To sa dosiahne tým, že otočíte rozpoznateľné znaky do nerozpoznateľného gibberishu, ktorý sa dá vrátiť do svojho pôvodného stavu pomocou šifrovacieho kľúča. To bolo pôvodne vykonané pomocou technológie nazývanej Secure Socket Layer (SSL) .
SSL bola v podstate technológia, ktorá zmenila akékoľvek údaje, ktoré sa pohybujú medzi webovými stránkami a prehliadačmi, a začali sa gabberish a potom opäť späť do údajov. Tu je postup, ako to funguje:
- Otvoríte prehliadač a zadáte adresu svojej banky.
- Váš webový prehliadač zaklapne na dvere banky a predstaví vás.
- Portál verifikuje, že ste tým, kým hovoríte, že ste, a potom súhlasíte s tým, že vás necháte pod určitými podmienkami.
- Váš webový prehliadač súhlasí s týmito podmienkami a potom máte prístup na internetovú stránku banky.
Proces sa opakuje pri zadávaní mena používateľa a hesla s ďalšími krokmi.
- Zadaním svojho používateľského mena a hesla získate prístup k svojmu účtu.
- Vaše webové prehliadače informujú správcu účtu banky, že chcete mať prístup k vášmu účtu.
- Konverzujú a súhlasia s tým, že ak môžete poskytnúť správne poverenia, dostanete prístup. Tieto osvedčenia však musia byť predložené pomocou špeciálneho jazyka.
- Webový prehliadač a správca účtu banky súhlasia s jazykom, ktorý sa bude používať.
- Webový prehliadač konvertuje vaše používateľské meno a heslo do tohto špeciálneho jazyka a odošle ho správcovi účtu banky.
- Správca účtu prijíma údaje, dekóduje ich a porovnáva ich so svojimi záznamami.
- Ak sa vaše poverenia zhodujú, máte prístup k vášmu účtu.
Proces sa odohráva v nano sekundách, takže si nevšimnete čas, ktorý trvá celý tento rozhovor a medzi webovým prehliadačom a webovou stránkou prebieha handshake.
SSL vs TLS
SSL bol pôvodný bezpečnostný protokol, ktorý bol použitý na zabezpečenie toho, aby boli webové stránky a údaje prechádzajúce medzi nimi zabezpečené. Podľa spoločnosti GlobalSign bol systém SSL zavedený v roku 1995 ako verzia 2.0. Prvá verzia (1.0) sa nikdy nedostala do verejnej domény. Verzia 2.0 bola v priebehu roka nahradená verziou 3.0 s cieľom riešiť zraniteľné miesta v protokole. V roku 1999 bola predstavená ďalšia verzia SSL nazvaná Transport Layer Security (TLS), ktorá zvyšuje rýchlosť konverzácie a bezpečnosť spojenia. TLS je verzia, ktorá sa momentálne používa, hoci je z dôvodu jednoduchosti často označovaná ako SSL.
Šifrovanie TLS
Šifrovanie TLS bolo zavedené s cieľom zlepšiť bezpečnosť údajov. Zatiaľ čo SSL bola dobrá technológia, bezpečnosť sa mení rýchlo a to viedlo k potrebe lepšej a aktuálnejšej bezpečnosti. TLS bola postavená na rámci SSL so značnými vylepšeniami algoritmov, ktoré riadia komunikáciu a proces handshake.
Ktorá verzia TLS je najaktuálnejšia?
Podobne ako pri SSL, šifrovanie TLS sa naďalej zlepšuje. Aktuálna verzia TLS je 1.2, ale TLSv1.3 bol navrhnutý a niektoré spoločnosti a prehliadače používajú bezpečnostné zariadenie na krátke časové obdobie. Vo väčšine prípadov sa vrátia späť na TLSv1.2, pretože verzia 1.3 sa stále zdokonaľuje.
Po dokončení bude TLSv1.3 prinášať množstvo bezpečnostných vylepšení vrátane lepšej podpory pre aktuálne typy šifrovania. Avšak TLSv1.3 tiež stratí podporu pre staršie verzie protokolov SSL a ďalších bezpečnostných technológií, ktoré už nie sú dostatočne robustné na to, aby zabezpečili správnu bezpečnosť a šifrovanie vašich osobných údajov.