Վերջերս լրահոսում տվյալների այդքան խոշոր խախտումներով դուք կարող եք մտածել, թե ինչպես են ձեր տվյալները պաշտպանված, երբ առցանց եք: Երբ գնում եք որևէ կայք և մուտքագրում եք ձեր կրեդիտ քարտի համարը, հուսով ենք, որ մի քանի օրից փաթեթը կհասնի ձեր դուռը: Բայց այդ պահին, նախքան «Պատվեր» սեղմելը, դուք զարմանո՞ւմ եք, թե ինչպես է աշխատում առցանց անվտանգությունը:
Օնլայն անվտանգության հիմունքները
Իր հիմնական ձևով առցանց անվտանգությունը՝ անվտանգությունը, որը տեղի է ունենում համակարգչի և կայքի միջև, իրականացվում է մի շարք հարցերի և պատասխանների միջոցով: Դուք մուտքագրում եք վեբ հասցե բրաուզերում, այնուհետև զննարկիչը խնդրում է այդ կայքին ստուգել դրա իսկությունը:Կայքը պատասխանում է համապատասխան տեղեկություններով, և երկուսի համաձայնությունից հետո կայքը բացվում է վեբ բրաուզերում:
Տրվող հարցերի և փոխանակված տեղեկատվության մեջ կան տվյալներ գաղտնագրման տեսակի մասին, որը փոխանցում է դիտարկիչի տեղեկությունները, համակարգչային տեղեկությունները և անձնական տվյալները բրաուզերի և կայքի միջև: Այս հարցերն ու պատասխանները կոչվում են ձեռքսեղմում: Եթե այդ ձեռքսեղմումը տեղի չունենա, ապա այն կայքը, որը դուք փորձում եք այցելել, համարվում է անապահով:
HTTP ընդդեմ
- Բաց, որպեսզի բոլորը տեսնեն ճանապարհին:
- Ավելի հեշտ է կարգավորել և գործարկել:
-
Գաղտնաբառերի և ներկայացված տվյալների անվտանգություն չկա:
- Լրիվ կոդավորված է տեղեկատվությունը թաքցնելու համար:
- Պահանջում է լրացուցիչ սերվերի կազմաձևում:
- Պաշտպանում է փոխանցված տեղեկատվությունը, ներառյալ գաղտնաբառերը:
Մի բան, որ դուք կարող եք նկատել, երբ այցելում եք վեբ կայքեր, այն է, որ ոմանք ունեն հասցե, որը սկսվում է http-ով, իսկ ոմանք սկսվում են https-ով: HTTP նշանակում է Hypertext Transfer Protocol; դա արձանագրություն է կամ ուղեցույցների հավաքածու, որը նշանակում է անվտանգ հաղորդակցություն ինտերնետի միջոցով:
Որոշ կայքեր, հատկապես այն կայքերը, որտեղ ձեզնից պահանջվում է տրամադրել զգայուն կամ անձնական նույնականացման տեղեկատվություն, կարող են ցուցադրել https կանաչ կամ կարմիր գույնով, որի միջով գծված է: HTTPS նշանակում է Hypertext Transfer Protocol Secure, իսկ կանաչը նշանակում է, որ կայքն ունի ստուգելի անվտանգության վկայագիր: Կարմիրը՝ դրա միջով գծով նշանակում է, որ կայքը չունի անվտանգության վկայագիր, կամ վկայագիրը սխալ է կամ ժամկետանց:
Ահա, որտեղ ամեն ինչ մի փոքր շփոթեցնող է դառնում: HTTP-ն չի նշանակում, որ համակարգչի և կայքի միջև փոխանցվող տվյալները գաղտնագրված են:Դա միայն նշանակում է, որ կայքը, որը շփվում է դիտարկիչի հետ, ունի ակտիվ անվտանգության վկայագիր: Միայն այն դեպքում, երբ S (ինչպես S) ներառված է, փոխանցված տվյալները ապահով են, և կա մեկ այլ տեխնոլոգիա, որն ապահովում է այդ անվտանգ նշումը: հնարավոր է։
SSL ընդդեմ TLS
- Սկզբնապես մշակվել է 1995 թվականին:
- Վեբ գաղտնագրման ավելի վաղ մակարդակ։
- հետ է մնացել արագ աճող ինտերնետից։
- Սկսվել է որպես SSL-ի երրորդ տարբերակ:
- Տրանսպորտային շերտի անվտանգություն.
- Շարունակվել է բարելավել SSL-ում օգտագործվող գաղտնագրումը:
- Ավելացվել են անվտանգության ուղղումներ նոր տեսակի հարձակումների և անվտանգության անցքերի համար:
SSL-ը սկզբնական անվտանգության արձանագրությունն էր, որն ապահովում էր կայքերի և կայքերի միջև փոխանցված տվյալների անվտանգությունը: Ըստ GlobalSign-ի՝ SSL-ը ներկայացվել է 1995 թվականին որպես 2.0 տարբերակ։ Առաջին տարբերակը (1.0) երբեք այն չդարձավ հանրային սեփականություն: 2.0 տարբերակը փոխարինվել է 3.0 տարբերակով մեկ տարվա ընթացքում՝ արձանագրության խոցելիությունը վերացնելու համար:
1999 թվականին ներկայացվեց SSL-ի մեկ այլ տարբերակ, որը կոչվում էր Transport Layer Security (TLS), որը բարելավելու խոսակցության արագությունը և ձեռքսեղմման անվտանգությունը: TLS-ն այն տարբերակն է, որն այժմ օգտագործվում է, թեև այն հաճախ անվանում են SSL՝ պարզության համար:
Հասկանալով SSL արձանագրությունը
- Թաքցնում է համակարգչի և կայքի միջև առկա տեղեկատվությունը:
- Պաշտպանում է մուտքի տվյալները։
- Ապահովում է առցանց գնումները։
- Չի պաշտպանում բոլոր սպառնալիքներից:
- Չեմ կարող պաշտպանել ձեզ այն կայքերում, որոնք չեն օգտագործում SSL:
- Անհնար է թաքցնել, թե որ կայքերն եք այցելում:
Երբ մտածում եք ինչ-որ մեկի հետ ձեռքսեղմում կիսելու մասին, դա նշանակում է, որ ներգրավված է երկրորդ կողմը: Առցանց անվտանգությունը մոտավորապես նույն կերպ է: Որպեսզի ձեռքսեղմումն ապահովի առցանց անվտանգությունը, պետք է ներգրավված լինի երկրորդ կողմը: Եթե HTTPS-ն այն արձանագրությունն է, որն օգտագործում է վեբ զննարկիչը՝ անվտանգությունն ապահովելու համար, ապա այդ ձեռքսեղմման երկրորդ կեսն այն արձանագրությունն է, որն ապահովում է գաղտնագրումը։
Կոդավորումը տեխնոլոգիա է, որն օգտագործվում է ցանցի երկու սարքերի միջև փոխանցվող տվյալները քողարկելու համար: Այն իրականացվում է ճանաչելի նիշերը վերածելով անճանաչելի շփոթության, որը կարող է վերադարձվել իր սկզբնական վիճակին՝ օգտագործելով գաղտնագրման բանալի:Սա ի սկզբանե իրականացվել է տեխնոլոգիայի միջոցով, որը կոչվում է Secure Socket Layer (SSL) անվտանգություն:
SSL-ն այն տեխնոլոգիան էր, որը վեբկայքի և բրաուզերի միջև շարժվող ցանկացած տվյալ վերածում էր անհեթեթության, իսկ հետո նորից տվյալների: Ահա թե ինչպես է այն աշխատում.
- Դուք բացում եք զննարկիչը և մուտքագրում եք ձեր բանկի հասցեն:
- Վեբ զննարկիչը թակում է բանկի դուռը և ներկայացնում ձեզ։
- Դռնապանը հաստատում է, որ դու այնպիսին ես, ինչպիսին դու ես ասում, և համաձայնում է քեզ ներս թողնել մի շարք պայմաններով:
- Վեբ զննարկիչը համաձայնում է այդ պայմաններին, այնուհետև ձեզ թույլատրվում է մուտք գործել բանկի կայք:
Գործընթացը կրկնվում է, երբ մուտքագրեք ձեր օգտանունը և գաղտնաբառը՝ մի քանի լրացուցիչ քայլերով:
- Դուք մուտքագրում եք ձեր օգտվողի անունը և գաղտնաբառը՝ ձեր հաշիվ մուտք գործելու համար:
- Ձեր վեբ զննարկիչը տեղեկացնում է բանկի հաշվի կառավարչին, որ ցանկանում եք մուտք գործել ձեր հաշիվ:
- Նրանք զրուցում են և համաձայնում են, որ եթե կարողանաք տրամադրել ճիշտ հավատարմագրերը, ապա ձեզ հասանելիություն կտրվի: Այնուամենայնիվ, այդ հավատարմագրերը պետք է ներկայացվեն հատուկ լեզվով:
- Վեբ զննարկիչը և բանկի հաշվի կառավարիչը համաձայնում են այն լեզվին, որը կօգտագործվի:
- Վեբ զննարկիչը փոխակերպում է ձեր օգտանունը և գաղտնաբառը այդ հատուկ լեզվով և փոխանցում այն բանկի հաշվի կառավարչին:
- Հաշվի կառավարիչը ստանում է տվյալները, վերծանում և համեմատում իր գրառումների հետ:
- Եթե ձեր հավատարմագրերը համընկնում են, ապա ձեզ տրված է մուտք դեպի ձեր հաշիվ:
Գործընթացը տեղի է ունենում նանվայրկյաններով, այնպես որ դուք չեք նկատում, թե որքան ժամանակ է պահանջվում զրույցի և ձեռքսեղմման համար վեբ բրաուզերի և կայքի միջև:
TLS կոդավորում
- Ավելի անվտանգ կոդավորում:
- Թաքցնում է տվյալները համակարգչի և կայքերի միջև:
- Ավելի լավ ձեռքսեղմման գործընթաց գաղտնագրված հաղորդակցության բանակցությունների ժամանակ:
- Ոչ մի կոդավորումը կատարյալ չէ:
- Ավտոմատ կերպով չի ապահովում DNS:
- Լիովին համատեղելի չէ հին տարբերակների հետ:
TLS կոդավորումը ներդրվել է տվյալների անվտանգությունը բարելավելու համար: Թեև SSL-ը լավ տեխնոլոգիա էր, անվտանգությունը փոխվում է արագ տեմպերով, և դա հանգեցրեց ավելի լավ, ավելի արդի անվտանգության անհրաժեշտության: TLS-ը կառուցվել է SSL-ի շրջանակի վրա՝ բարելավելով ալգորիթմները, որոնք կարգավորում են հաղորդակցությունը և ձեռքսեղմման գործընթացը:
Ո՞ր TLS տարբերակն է ամենաարդիականը:
Ինչպես SSL-ի դեպքում, TLS գաղտնագրումը շարունակել է բարելավվել: Ներկայիս TLS տարբերակը 1.2 է, սակայն TLSv1.3-ը մշակվել է, և որոշ ընկերություններ և բրաուզերներ օգտագործել են անվտանգությունը կարճ ժամանակով:Շատ դեպքերում նրանք վերադառնում են TLSv1.2, քանի որ 1.3 տարբերակը դեռ կատարելագործվում է:
Երբ վերջնական տեսքի բերվի, TLSv1.3-ը կբերի անվտանգության բազմաթիվ բարելավումներ, ներառյալ գաղտնագրման ավելի ընթացիկ տեսակների բարելավված աջակցություն: Այնուամենայնիվ, TLSv1.3-ը կդադարեցնի նաև SSL արձանագրությունների և անվտանգության այլ տեխնոլոգիաների ավելի հին տարբերակների աջակցությունը, որոնք այլևս բավականաչափ ամուր չեն անձնական տվյալների պատշաճ անվտանգությունն ու գաղտնագրումն ապահովելու համար:
