IT Professional Security - ΤΕΥΧΟΣ 26

More documents

Info

I SSUE SSL Πιστοποίηση μα με το οποίο αναγνωρίζεται. ii. Πληροφορίες για τη CA που το εξέδωσε. iii. Πληροφορίες κρυπτογράφησης, όπως είναι το ιδιωτικό και δημόσιο κλειδί και ο αλγόριθμος κωδικοποίησης. Πώς όμως χρησιμοποιούνται αυτές οι πληροφορίες; 30 | security SSL διασφάλιση επικοινωνίας Μία επικοινωνία θεωρείται ασφαλής όταν και τα δύο μέλη που μετέχουν σε αυτήν είναι αξιόπιστα και κανένας άλλος εκτός των ενδιαφερομένων δεν μπορεί να παρεισφρήσει σε αυτήν. Τα SSL πιστοποιητικά εξασφαλίζουν αυτές τις απαιτήσεις, μιας και εγγυώνται για τους κατόχους τους και επιτρέπουν την κρυπτογράφηση της ανταλλασσόμενης πληροφορίας. Κατά την πλοήγηση σε ένα server, χρησιμοποιώντας ένα πρωτόκολλο ασφαλείας όπως είναι το HTTPS, ο υπολογιστής του χρήστη ή αλλιώς ο client θα πραγματοποιήσει μία διαδικασία χειραψίας, ώστε να ορίσει ένα ασφαλές κανάλι επικοινωνίας. Τα βήματα που θα τελεστούν έχουν ως εξής: ο client ζητά ασφαλή ε- πικοινωνία με το server και παρουσιάζει τη λίστα μηχανισμών ασφαλείας ή κρυπτογράφησης που υποστηρίζει. Από αυτή τη λίστα ο server επιλέγει την πιο ασφαλή μέθοδο και στέλνει στον client την επιλογή του. Ακολούθως ο server στέλνει το SSL πιστοποιητικό του στον client, ο οποίος με τη σειρά του μπορεί να αιτηθεί στη CA του πιστοποιητικού, για να επιβεβαιώσει ότι το πιστοποιητικό είναι ακόμα έγκυρο (προαιρετική διαδικασία). Η επιλογή αυτή διατίθεται μιας και μπορεί το πιστοποιητικό να έχει ανακληθεί, πριν την ημερομηνία λήξης του. Τα ανακληθέντα πιστοποιητικά αναρτώνται στο διαδίκτυο και ελέγχονται με τη χρήση του πρωτοκόλλου OCSP (Online Certificate Status Protocol) ή με τη χρήση λιστών ανάκλησης (CLR= Certificate Revocation List). Σ’ αυτό το σημείο ο client έχει αυθεντικοποιήσει το server και έχει συμφωνηθεί η μέθοδος κρυπτογράφησης. Ο server προαιρετικά μπορεί να ζητήσει το ψηφιακό πιστοποιητικό του client για να ε- πιτευχθεί αμοιβαία αυθεντικοποίηση. Κάτι τέτοιο είναι πιθανό σε περιπτώσεις όπου ο client πρέπει να αναγνωριστεί - όπως κατά τη χρήση VPN - και λιγότερο πιθανό όταν ο client επικοινωνεί με δημόσιους ιστότοπους γενικού εμπορίου (σχήμα 2). Αφού δημιουργηθεί ένα ασφαλές κανάλι επικοινωνίας, οι πληροφορίες μπορούν να αποσταλούν με αποτελεσματικές και γρήγορες μεθόδους. Πιο αποτελεσματική θεωρείται η κρυπτογράφηση συμμετρικού κλειδιού, Σχήμα 2: Bήματα καθορισμού μιας ασφαλούς επικοινωνίας με τη χρήση SSL στην οποία όμως ο πιστοποιητικών
client και ο server πρέπει να διαμοιραστούν ένα κοινό κλειδί. Η ανταλλαγή ενός τέτοιου κλειδιού με ασφάλεια, προϋποθέτει τα ακόλουθα βήματα: Ο client παράγει έναν τυχαίο αριθμό και τον κρυπτογραφεί με τη βοήθεια του δημόσιου κλειδιού του server. Ο server αποκρυπτογραφεί τον αριθμό και το χρησιμοποιεί ως ιδιωτικό κλειδί. Η επικοινωνία client-server γίνεται με τη βοήθεια του κοινού τους κλειδιού και έτσι όλες οι κρυπτογραφημένες πληροφορίες απαιτούν ένα κλειδί για να μεταδοθούν και να αποκρυπτογραφηθούν. Έτσι, η ανταλλαγή της πληροφορίας τελείται με ασφάλεια αλλά και με ταχύτητα. Αυθεντικοποίηση μέσω SSL πιστοποιητικών Κατά την επικοινωνία με μία άγνωστη οντότητα, η εμπιστοσύνη είναι το πρώτο θέμα που εγείρεται μιας και εκ προοιμίου κανείς δεν εμπιστεύεται κάτι που δεν γνωρίζει. Οποιοσδήποτε μπορεί να εγκαταστήσει ένα server και να δημιουργήσει μια ιστοσελίδα και κατόπιν να ισχυριστεί ότι είναι μία τράπεζα. Πώς λοιπόν ο χρήστης γνωρίζει πραγματικά με ποιον συναλλάσσεται; Η πληροφορία προέρχεται από το γεγονός ότι η κάλπικη τράπεζα δεν θα διαθέτει ένα ψηφιακό πιστοποιητικό από μία έμπιστη CA που θα εγγυάται για την ταυτότητά της. Στους διαδεδομένους browsers η μπάρα πλοήγησης αλλάζει τη μορφή της όταν ο χρήστης βρίσκεται σε ιστότοπο που διαθέτει SSL πιστοποιητικό. Το εικονίδιο της κλειδαριάς χρησιμοποιείται για να υποδηλώσει κρυπτογραφημένη επικοινωνία, ενώ η αλλαγή του χρώματος της μπάρας σε πράσινο δείχνει τη χρήση ειδικού τύπου SSL πιστοποιητικού με ε- πιπρόσθετη επικύρωση (EV= Extended Validation). Αυτές οι αλλαγές αποτελούν ένα οπτικό ερέθισμα για το χρήστη, ώστε γρήγορα να διαπιστώνει ότι βρίσκεται σε ασφαλή ι- στότοπο που έχει επιβεβαιωθεί από μία έμπιστη CA. Η διαπίστωση είναι εφικτή μιας και οι browsers είναι προδιαμορφωμένοι ώστε να περιέχουν μια λίστα από έμπιστες CA. Κατά τη σύνδεση με ένα server, ο browser λαμβάνει το SSL πιστοποιητικό του και πραγματοποιεί τους ακόλουθους ελέγχους: Επιβεβαιώνει ότι το όνομα του ιστότοπου ταυτίζεται με το όνομα που υπάρχει στο SSL πιστοποιητικό. Επιβεβαιώνει ότι το πιστοποιητικό δεν έχει λήξει. Ελέγχει ότι ο εκδότης ανήκει στη λίστα έμπιστων CA που διαθέτει. Αν οποιοσδήποτε έλεγχος αποτύχει, προβάλλεται ένα προειδοποιητικό μήνυμα στο χρήστη. Εν κατακλείδι, τα SSL πιστοποιητικά επιτρέπουν την κρυπτογράφηση και την αυθεντικοποίηση. Οι δύο αυτές έννοιες είναι βασικές γα τη διασφάλιση των web εφαρμογών και για την προστασία των καταναλωτών και των δεδομένων τους. Επίσης είναι σημαντικές για τη σύναψη επικοινωνίας και την ανάπτυξη εμπιστοσύνης μεταξύ εταιρικών συνεργατών που δεν είχαν προγενέστερη σχέση, αλλά και μεταξύ καταναλωτών και επιχειρήσεων, μιας και οι πρώτοι δεν θα χρησιμοποιούσαν μία υπηρεσία που δεν θα εμπιστευόντουσαν, όσο δελεαστική και να παρουσιαζόταν. iT<strong>Security</strong>
Page 1: Μάιος - Ιούνιος - Ιο
Page 4 and 5: CONTENTS 27 32 36 1|EDITORIAL 4|NEW
Page 6 and 7: NEWS Cisco WebEx Social. Η κοι
Page 8 and 9: NEWS Kaspersky Lab: To 55% των
Page 10 and 11: C OVER ISSUE Του Νότη Ηλι
Page 12 and 13: COVER ISSUE Mobile Payments: Ακό
Page 14: COVER ISSUE Mobile Payments: Ακό
Page 17 and 18: Δημήτρης Τηλιγάδας
Page 19 and 20: Στη σύγχρονη εποχή
Page 21 and 22: παλλήλων. Όταν είνα
Page 23 and 24: Δημήτρης Ασημάκης C
Page 25 and 26: H αυξανόμενη ανάγκη
Page 27 and 28: Προστασία από τον π
Page 29 and 30: I SSUE Της Παναγιώτας
Page 31: Συμμόρφωση με τους
Page 35 and 36: Μία συσκευή Unified Threa
Page 37 and 38: ξειδικευμένος γνώσ
Page 39 and 40: κτυακών επιθέσεων
Page 41 and 42: Το πρώτο εξειδικευ
Page 43 and 44: Ο Κυβερνοπόλεμος (Cy
Page 45 and 46: Οι κρίσιμες υποδομ
Page 47 and 48: νεργατική φιλοσοφί
Page 49 and 50: P RODUCTS Firewall Appliance FW-80

IT Professional Security - ΤΕΥΧΟΣ 26

Create successful ePaper yourself

Delete template?

Save as template?