Με τόσες πολλές σημαντικές παραβιάσεις δεδομένων στις ειδήσεις πρόσφατα, ίσως αναρωτιέστε πώς προστατεύονται τα δεδομένα σας όταν είστε συνδεδεμένοι. Όταν πηγαίνετε σε έναν ιστότοπο για να κάνετε κάποια ψώνια και εισαγάγετε τον αριθμό της πιστωτικής σας κάρτας, ελπίζουμε, σε λίγες μέρες, ένα πακέτο να φτάσει στην πόρτα σας. Αλλά εκείνη τη στιγμή προτού πατήσετε Παραγγελία, αναρωτιέστε πώς λειτουργεί η διαδικτυακή ασφάλεια;
Τα βασικά της διαδικτυακής ασφάλειας
Στη βασική της μορφή, η διαδικτυακή ασφάλεια -η ασφάλεια που λαμβάνει χώρα μεταξύ ενός υπολογιστή και ενός ιστότοπου- εκτελείται μέσω μιας σειράς ερωτήσεων και απαντήσεων. Πληκτρολογείτε μια διεύθυνση ιστού σε ένα πρόγραμμα περιήγησης και, στη συνέχεια, το πρόγραμμα περιήγησης ζητά από αυτόν τον ιστότοπο να επαληθεύσει την αυθεντικότητά του. Ο ιστότοπος απαντά με τις κατάλληλες πληροφορίες και αφού συμφωνήσουν και οι δύο, ο ιστότοπος ανοίγει στο πρόγραμμα περιήγησης ιστού.
Μεταξύ των ερωτήσεων που τέθηκαν και των πληροφοριών που ανταλλάσσονται είναι δεδομένα σχετικά με τον τύπο κρυπτογράφησης που μεταβιβάζει τις πληροφορίες του προγράμματος περιήγησης, τις πληροφορίες υπολογιστή και τις προσωπικές πληροφορίες μεταξύ του προγράμματος περιήγησης και του ιστότοπου. Αυτές οι ερωτήσεις και οι απαντήσεις ονομάζονται χειραψία. Εάν αυτή η χειραψία δεν πραγματοποιηθεί, τότε ο ιστότοπος που προσπαθείτε να επισκεφτείτε θεωρείται μη ασφαλής.
HTTP έναντι
- Ανοιχτό για να το δει όλοι στην πορεία.
- Πιο εύκολο στη ρύθμιση και εκτέλεση.
- Δεν υπάρχει ασφάλεια για τους κωδικούς πρόσβασης και τα υποβληθέντα δεδομένα.
- Πλήρως κρυπτογραφημένο για απόκρυψη πληροφοριών.
- Απαιτείται πρόσθετη διαμόρφωση διακομιστή.
- Προστατεύει τις μεταδιδόμενες πληροφορίες, συμπεριλαμβανομένων των κωδικών πρόσβασης.
Ένα πράγμα που μπορεί να παρατηρήσετε όταν επισκέπτεστε ιστότοπους στον ιστό είναι ότι ορισμένοι έχουν διεύθυνση που ξεκινά με http και μερικοί ξεκινούν με https. HTTP σημαίνει Πρωτόκολλο μεταφοράς υπερκειμένου. είναι ένα πρωτόκολλο ή ένα σύνολο οδηγιών που καθορίζουν την ασφαλή επικοινωνία μέσω του Διαδικτύου.
Ορισμένοι ιστότοποι, ειδικά ιστότοποι όπου σας ζητείται να παρέχετε ευαίσθητες ή προσωπικά στοιχεία ταυτοποίησης, ενδέχεται να εμφανίζουν το https είτε με πράσινο είτε με κόκκινο χρώμα με μια γραμμή μέσα από αυτό. Το HTTPS σημαίνει Ασφαλές Πρωτόκολλο Μεταφοράς Υπερκειμένου και το πράσινο σημαίνει ότι ο ιστότοπος διαθέτει επαληθεύσιμο πιστοποιητικό ασφαλείας. Το κόκκινο με μια γραμμή μέσα από αυτό σημαίνει ότι ο ιστότοπος δεν διαθέτει πιστοποιητικό ασφαλείας ή το πιστοποιητικό είναι ανακριβές ή έχει λήξει.
Εδώ είναι που τα πράγματα μπερδεύονται λίγο. Το HTTP δεν σημαίνει ότι τα δεδομένα που μεταφέρονται μεταξύ ενός υπολογιστή και ενός ιστότοπου είναι κρυπτογραφημένα. Σημαίνει μόνο ότι ο ιστότοπος που επικοινωνεί με το πρόγραμμα περιήγησης έχει ενεργό πιστοποιητικό ασφαλείας. Μόνο όταν περιλαμβάνεται ένα S (όπως στο S), τα δεδομένα που μεταφέρονται είναι ασφαλή και υπάρχει μια άλλη τεχνολογία σε χρήση που καθιστά αυτόν τον ασφαλή προσδιορισμό δυνατό.
SSL έναντι TLS
- Αρχικά αναπτύχθηκε το 1995.
- Προηγούμενο επίπεδο κρυπτογράφησης ιστού.
- Έμεινε πίσω από το ταχέως αναπτυσσόμενο Διαδίκτυο.
- Ξεκίνησε ως η τρίτη έκδοση του SSL.
- Ασφάλεια επιπέδου μεταφοράς.
- Συνέχισε να βελτιώνει την κρυπτογράφηση που χρησιμοποιείται στο SSL.
- Προστέθηκαν διορθώσεις ασφαλείας για νέους τύπους επιθέσεων και κενά ασφαλείας.
Το SSL ήταν το αρχικό πρωτόκολλο ασφαλείας για να διασφαλίσει ότι οι ιστότοποι και τα δεδομένα που διαβιβάζονται μεταξύ των τοποθεσιών ήταν ασφαλή. Σύμφωνα με την GlobalSign, το SSL εισήχθη το 1995 ως έκδοση 2.0. Η πρώτη έκδοση (1.0) δεν έγινε ποτέ δημόσια. Η έκδοση 2.0 αντικαταστάθηκε από την έκδοση 3.0 μέσα σε ένα χρόνο για την αντιμετώπιση τρωτών σημείων στο πρωτόκολλο.
Το 1999, μια άλλη έκδοση του SSL, που ονομάζεται Transport Layer Security (TLS), παρουσιάστηκε για να βελτιώσει την ταχύτητα της συνομιλίας και την ασφάλεια της χειραψίας. Το TLS είναι η έκδοση που χρησιμοποιείται αυτήν τη στιγμή, αν και συχνά αναφέρεται ως SSL για λόγους απλότητας.
Κατανόηση του Πρωτοκόλλου SSL
- Αποκρύπτει σύνολο πληροφοριών μεταξύ ενός υπολογιστή και ενός ιστότοπου.
- Προστατεύει τα στοιχεία σύνδεσης.
- Ασφαλίζει τις ηλεκτρονικές αγορές.
- Δεν προστατεύει από όλες τις απειλές.
- Δεν μπορώ να σας ασφαλίσω σε ιστότοπους που δεν χρησιμοποιούν SSL.
- Δεν είναι δυνατή η απόκρυψη των ιστοσελίδων που επισκέπτεστε.
Όταν σκέφτεστε να μοιραστείτε μια χειραψία με κάποιον, αυτό σημαίνει ότι εμπλέκεται και δεύτερο μέρος. Η διαδικτυακή ασφάλεια είναι περίπου με τον ίδιο τρόπο. Για να πραγματοποιηθεί η χειραψία που διασφαλίζει την ασφάλεια στο διαδίκτυο, πρέπει να εμπλέκεται και δεύτερο μέρος. Εάν το HTTPS είναι το πρωτόκολλο που χρησιμοποιεί το πρόγραμμα περιήγησης ιστού για να διασφαλίσει ότι υπάρχει ασφάλεια, τότε το δεύτερο μισό αυτής της χειραψίας είναι το πρωτόκολλο που διασφαλίζει την κρυπτογράφηση.
Η κρυπτογράφηση είναι η τεχνολογία που χρησιμοποιείται για την απόκρυψη δεδομένων που μεταφέρονται μεταξύ δύο συσκευών σε ένα δίκτυο. Αυτό επιτυγχάνεται μετατρέποντας τους αναγνωρίσιμους χαρακτήρες σε μη αναγνωρίσιμες ασυναρτησίες που μπορούν να επιστραφούν στην αρχική τους κατάσταση χρησιμοποιώντας ένα κλειδί κρυπτογράφησης. Αυτό επιτεύχθηκε αρχικά μέσω μιας τεχνολογίας που ονομάζεται ασφάλεια Secure Socket Layer (SSL).
Το SSL ήταν η τεχνολογία που μετέτρεψε όλα τα δεδομένα που κινούνταν μεταξύ ενός ιστότοπου και ενός προγράμματος περιήγησης σε ασυναρτησίες και στη συνέχεια ξανά σε δεδομένα. Δείτε πώς λειτουργεί:
- Ανοίγετε ένα πρόγραμμα περιήγησης και πληκτρολογείτε τη διεύθυνση της τράπεζάς σας.
- Το πρόγραμμα περιήγησης ιστού χτυπά την πόρτα της τράπεζας και σας παρουσιάζει.
- Ο θυρωρός επαληθεύει ότι είστε αυτός που λέτε ότι είστε και συμφωνεί να σας αφήσει να μπείτε υπό ορισμένες προϋποθέσεις.
- Το πρόγραμμα περιήγησης ιστού συμφωνεί με αυτούς τους όρους και, στη συνέχεια, επιτρέπεται να αποκτήσετε πρόσβαση στον ιστότοπο της τράπεζας.
Η διαδικασία επαναλαμβάνεται όταν εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας, με ορισμένα επιπλέον βήματα.
- Εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας για να αποκτήσετε πρόσβαση στον λογαριασμό σας.
- Το πρόγραμμα περιήγησής σας ενημερώνει τον διαχειριστή λογαριασμού της τράπεζας ότι θέλετε να αποκτήσετε πρόσβαση στον λογαριασμό σας.
- Συνομιλούν και συμφωνούν ότι εάν μπορείτε να παρέχετε τα σωστά διαπιστευτήρια, τότε θα σας παραχωρηθεί πρόσβαση. Ωστόσο, αυτά τα διαπιστευτήρια πρέπει να παρουσιάζονται χρησιμοποιώντας μια ειδική γλώσσα.
- Το πρόγραμμα περιήγησης ιστού και ο διαχειριστής λογαριασμού της τράπεζας συμφωνούν με τη γλώσσα που θα χρησιμοποιηθεί.
- Το πρόγραμμα περιήγησης ιστού μετατρέπει το όνομα χρήστη και τον κωδικό πρόσβασής σας σε αυτήν την ειδική γλώσσα και τα διαβιβάζει στον διαχειριστή λογαριασμού της τράπεζας.
- Ο διαχειριστής λογαριασμού λαμβάνει τα δεδομένα, τα αποκωδικοποιεί και τα συγκρίνει με τα αρχεία του.
- Εάν τα διαπιστευτήριά σας ταιριάζουν, θα έχετε πρόσβαση στον λογαριασμό σας.
Η διαδικασία λαμβάνει χώρα σε νανοδευτερόλεπτα, ώστε να μην παρατηρήσετε τον χρόνο που χρειάζεται για να πραγματοποιηθεί η συνομιλία και η χειραψία μεταξύ του προγράμματος περιήγησης ιστού και του ιστότοπου.
Κρυπτογράφηση TLS
- Πιο ασφαλής κρυπτογράφηση.
- Αποκρύπτει δεδομένα μεταξύ υπολογιστή και ιστοτόπων.
- Καλύτερη διαδικασία χειραψίας κατά τη διαπραγμάτευση κρυπτογραφημένης επικοινωνίας.
- Καμία κρυπτογράφηση δεν είναι τέλεια.
- Δεν προστατεύει αυτόματα το DNS.
- Δεν είναι πλήρως συμβατό με παλαιότερες εκδόσεις.
Η κρυπτογράφηση TLS εισήχθη για τη βελτίωση της ασφάλειας δεδομένων. Ενώ το SSL ήταν μια καλή τεχνολογία, η ασφάλεια αλλάζει με γρήγορους ρυθμούς και αυτό οδήγησε στην ανάγκη για καλύτερη, πιο ενημερωμένη ασφάλεια. Το TLS δημιουργήθηκε στο πλαίσιο του SSL με βελτιώσεις στους αλγόριθμους που διέπουν τη διαδικασία επικοινωνίας και χειραψίας.
Ποια έκδοση TLS είναι πιο πρόσφατη;
Όπως και με το SSL, η κρυπτογράφηση TLS συνέχισε να βελτιώνεται. Η τρέχουσα έκδοση TLS είναι 1.2, αλλά το TLSv1.3 έχει συνταχθεί και ορισμένες εταιρείες και προγράμματα περιήγησης έχουν χρησιμοποιήσει την ασφάλεια για σύντομες χρονικές περιόδους. Στις περισσότερες περιπτώσεις, επιστρέφουν στο TLSv1.2 επειδή η έκδοση 1.3 εξακολουθεί να τελειοποιείται.
Όταν οριστικοποιηθεί, το TLSv1.3 θα φέρει πολλές βελτιώσεις ασφάλειας, συμπεριλαμβανομένης της βελτιωμένης υποστήριξης για περισσότερους τρέχοντες τύπους κρυπτογράφησης. Ωστόσο, το TLSv1.3 θα διακόψει επίσης την υποστήριξη για παλαιότερες εκδόσεις πρωτοκόλλων SSL και άλλων τεχνολογιών ασφαλείας που δεν είναι πλέον αρκετά ισχυρές ώστε να διασφαλίζουν τη σωστή ασφάλεια και κρυπτογράφηση των προσωπικών δεδομένων.