Když se řekne SSL - bezpečná komunikace na Internetu

Bezpečnost to je to slovo, které se téměř ve všech médiích pravidelně skloňuje
snad ve všech pádech. Stále více nás různá sdělovací média ale upozorňují už i

na bezpečnost elektronickou. A tak lze lehce dojít k závěru, že téměř neuplyne

týdne, v němž bychom se nedozvěděli, co se právě povedlo různým osobám (označme

je jako hackeři) v této, přiznejme si to, mediálně atraktivní oblasti. A proto

je logické, že jejich motivem zpravidla bývá pouze upozornění široké

internetové komunity na své přednosti a znalosti, a naopak na nedostatečné

znalosti, případně „lajdáckou“ práci tvůrců bezpečnostní politiky napadených

podnikových systémů či internetových serverů. To ovšem v lepším případě v tom

horším mají tyto osoby zájem poškodit napadený subjekt a to buď finančně

(například zneužitím informací o bankovních kontech pro „své vlastní účely“),

či jen v očích počítačové veřejnosti (někdy se může jednat i o cílený nekalý

konkurenční boj), což má de facto stejný důsledek. Neboť jakmile jednou

veřejnost ztratí zájem o služby napadeného subjektu, bývá obtížné získat důvěru

zpět. Kdo by přece obchodoval a svěřoval citlivé informace společnosti, která

není schopna zajistit jejich adekvátní ochranu?



Naštěstí se lze vůči těmto snahám útočníků poměrně úspěšně bránit, neboť

existuje již celá řada osvědčených prostředků, pomocí nichž lze zvýšit nejen

bezpečnost elektronické výměny dat na internetu.



Myslí-li to subjekt, ať se jedná o jedince či velkou mezinárodní společnost, s

ochranou citlivých údajů v prostředí všeobjímajícího internetu vážně, musí

nejprve vyhotovit tzv. bezpečnostní politiku, která (zjednodušeně řečeno)

vznikne analýzou toho, které informace jsou citlivé a tudíž by se neměly dostat

mimo společnost, a dále analýzou a predikcí možných rizik (způsobu jejich

ohrožení) a obrany proti nim. Teprve poté je možné definovat vlastní

bezpečnostní politiku, která zpravidla obsahuje kombinaci různých prostředků

zajišťujících zvolenou úroveň bezpečnosti.



V tomto článku bude zmíněn bezpečnostní protokol, se kterým se mohou běžní

uživatelé setkávat každodenně na internetu, například pokud nakupují v

internetových obchodech. Seznámíme vás s protokolem SSL.





SSL Secure Socket Layer



Protokol SSL vytvořila firma Netscape Communications pro účely bezpečných

přenosů v prostředí internetu. A současně ho uvolnila i jako tzv. nekomerční

protokol, z čehož vyplývá, že souhlasí s jeho neomezeným využíváním pro účely

tvorby internetových aplikací.



Její analytici při návrhu protokolu řešili do té doby „zbytečné“ požadavky na

zabezpečení internetové komunikace spolu i s požadavkem, jak vhodně využít

existujících, již zaběhnutých standardů internetové komunikace (HTTP, FTP, SMTP

a dalších). Výsledkem jejich úsilí bylo začlenění přídavné vrstvy mezi

aplikační a transportní vrstvu protokolu TCP/IP.



Tak vznikla architektura protokolu SSL, která umožňuje:

- provádět autentizaci serveru na základě jeho certifikátu, a současně

poskytnout i možnost autentizace klienta na základě certifikátu klienta



- během procesu autentizace využívat asymetrické kryptografie



- urychlit komunikaci mezi klientem a serverem (po procesu autentizace)

použitím symetrického šifrování



- zajistit integritu přenášených dat pomocí tzv. kontrolního součtu.



Vlastní komunikační dialog, mezi prohlížečem klienta na straně jedné a

bezpečným serverem na straně druhé, probíhá zjednodušeně podle následujícího

postupu:



1. Nejprve klient pošle požadavek na připojení k bezpečnému serveru spolu se

svým veřejným klíčem (public key).



2. Poté server zašle svůj certifikát klientskému prohlížeči spolu se svým

veřejným klíčem. Tyto informace jsou zašifrovány pomocí veřejného klíče

prohlížeče.



3. Klientský prohlížeč prozkoumá, zda je certifikát platný. V případě, že není

vystaven certifikační autoritou anebo není již nainstalován na klientském

počítači, může prohlížeč postupovat dvěma způsoby: buď pokračovat výzvou

uživateli (ovládajícímu klientský počítač), zda si přeje pokračovat v

navazovaném spojení, nebo rovnou automaticky sám přerušit spojení se serverem.



4. V dalším kroku prohlížeč porovná informace obsažené v certifikátu se jménem

domény serveru a se serverovým veřejným klíčem. V případě shody je server

akceptován jako autentický.



5. Poté prohlížeč vytvoří klíč relace (tzv. session key pro potřebu

symetrického šifrování) a následně jej zašifruje pomocí veřejného klíče serveru

a takto zašifrovaný klíč zašle serveru.



6. Server přijme tento klíč a rozšifruje jej pomocí svého soukromého klíče

(secret key).



7. Pak už server a klient využívají dále tento klíč relace k šifrování a

dešifrování přenášených dat via internet.



Poznámka: V některých modifikacích může proces tvorby klíče relace probíhat na

straně serveru.





Od teorie zpět k uživateli



Jak ale zjistíme, že jsme skutečně připojeni na bezpečný server? Snadno. Stačí

se podívat na URL adresu serveru. Pokud totiž začíná https:// (oproti

nezabezpečenému http://), jedná se o bezpečné spojení příkladem je server

https://www.verisign.com/.



Navíc při příchodu na zabezpečený server jsme ještě informováni naprostou

většinou prohlížečů, že následující přenos bude probíhat zabezpečenou formou.

Analogicky při odchodu na nezabezpečenou URL adresu budeme pomocí dialogového

okna opět informováni, že tentokráte opouštíme zabezpečený server. MS Internet

Explorer nás dále informuje o navázaném bezpečném spojení malou ikonkou

visacího zámku. Obdobným způsobem jsme o zabezpečeném připojení informováni

také v případě, že používáme prohlížeče od jiných společností.





Shrnutí



Protokol SSL nabízí podstatně vyšší úroveň zabezpečení oproti nezabezpečenému

protokolu HTTP, se kterým se uživatelé internetu každodenně během svého

surfování po celosvětové síti setkávají, a umožňuje jim, aby spojení bylo:

soukromé (neboť přenášená data jsou zašifrována pomocí symetrického šifrování),

důvěryhodné (server, případně i klient jsou autentizovány) a spolehlivé

(integrita přenášených dat je zajištěna hashovacími algoritmy). A právě díky

těmto vlastnostem se s tímto protokolem můžeme běžně setkávat v internetovém

bankovnictví, internetových obchodech prostě všude tam, kde je zapotřebí

chránit přenášená data na internetu, intranetu či extranetu. Je ovšem nutné si

uvědomit, že SSL řeší pouze jednu otázku bezpečnosti, tj. komunikaci po

internetu, a proto myslí-li to jednotlivec či společnost s bezpečností

privátních informací vážně, musí tento protokol dále kombinovat s dalšími prvky

zvyšujícími bezpečnost dat.