Kuljetuskerroksen tietoturva

TLS-protokolla (Transport Layer Security) ja sen edeltäjä SSL (Secure Sockets Layer) ovat salausprotokollia, jotka tarjoavat tietoturvaa ja tietojen eheyttä TCP/IP-verkoissa, kuten Internetissä, tapahtuvassa viestinnässä. Protokollien eri versiot ovat yleisiä sovelluksissa, kuten web-selailussa, sähköpostissa, Internet-faksissa, pikaviestinnässä ja Voice-over-IP:ssä (VoIP).

 

Kuvaus

TLS-protokollan avulla sovellukset voivat kommunikoida verkon yli tavalla, joka on suunniteltu estämään salakuuntelu, peukalointi ja viestien väärentäminen. TLS tarjoaa päätepisteen todennuksen ja viestinnän luottamuksellisuuden Internetissä salauksen avulla. Useimmiten vain palvelin todennetaan (eli sen henkilöllisyys varmistetaan), kun taas asiakas jää tunnistamatta. Tämä tarkoittaa, että loppukäyttäjä (joko henkilö tai sovellus, kuten verkkoselain) voi olla varma siitä, kenen kanssa se kommunikoi. Seuraava turvallisuustaso tunnetaan nimellä vastavuoroinen todennus. Vastavuoroinen todennus edellyttää julkisen avaimen infrastruktuurin (PKI) käyttöönottoa asiakkaille, ellei käytetä TLS-PSK- tai SRP-protokollaa (Secure Remote Password), jotka tarjoavat vahvan vastavuoroisen todennuksen ilman PKI:n käyttöönottoa.

 

Käyttö

SSL ja TLS ovat olleet laajalti käytössä useissa avoimen lähdekoodin ohjelmistoprojekteissa. Ohjelmoijat voivat käyttää SSL/TLS-toimintoihin OpenSSL-, NSS- tai GnuTLS-kirjastoja. Microsoft Windows sisältää SSL:n ja TLS:n käytön osana Secure Channel -pakettiaan. Delphi-ohjelmoijat voivat käyttää kirjastoa nimeltä Indy.

 

Standardit

Nykyinen hyväksytty versio on 1.2, joka on määritelty asiakirjassa:

  • RFC 5246: TLS-protokollan versio 1.2": "The Transport Layer Security (TLS) Protocol Version 1.2".

Nykyinen standardi korvaa nämä aiemmat versiot:

  • RFC 2246: "TLS-protokollan versio 1.0".
  • RFC 4346: TLS-protokollan versio 1.1": "The Transport Layer Security (TLS) Protocol Version 1.1".

Muut RFC:t laajensivat TLS:ää myöhemmin, mukaan lukien:

  • RFC 2595: "TLS:n käyttö IMAP:n, POP3:n ja ACAP:n kanssa". Määrittelee IMAP-, POP3- ja ACAP-palveluiden laajennuksen, jonka avulla palvelin ja asiakas voivat käyttää kuljetuskerroksen tietoturvaa tarjotakseen yksityistä, todennettua viestintää Internetissä.
  • RFC 2712: "Kerberos-salaussarjojen lisääminen TLS:ään (Transport Layer Security)". Tässä muistiossa määritellyt 40-bittiset salakirjoitussuiteetit mainitaan vain sen dokumentoimiseksi, että kyseiset salakirjoitussuiteettikoodit on jo annettu.
  • RFC 2817: "Upgrading to TLS Within HTTP/1.1", selittää, miten HTTP/1.1:n päivitysmekanismia voidaan käyttää TLS:n (Transport Layer Security) käynnistämiseen olemassa olevan TCP-yhteyden kautta. Näin suojaton ja suojattu HTTP-liikenne voivat käyttää samaa tunnettua porttia (tässä tapauksessa http: 80 eikä https: 443).
  • RFC 2818: "HTTP Over TLS", erottaa suojatun liikenteen turvattomasta liikenteestä käyttämällä eri "palvelinporttia".
  • RFC 3207: "SMTP Service Extension for Secure SMTP over Transport Layer Security". Määrittelee SMTP-palvelun laajennuksen, jonka avulla SMTP-palvelin ja -asiakas voivat käyttää kuljetuskerroksen tietoturvaa yksityisen, todennetun viestinnän tarjoamiseksi Internetissä.
  • RFC 3268: "AES Ciphersuites for TLS". Lisää Advanced Encryption Standard (AES) -salausohjelmat aiemmin käytössä olleisiin symmetrisiin salausohjelmiin.
  • RFC 3546: "Transport Layer Security (TLS) Extensions" (TLS-laajennukset), lisää mekanismin, jolla protokollan laajennuksista voidaan neuvotella istunnon alustuksen aikana, ja määrittelee joitakin laajennuksia. Vanhentunut RFC 4366:n myötä.
  • RFC 3749: "Transport Layer Security Protocol Compression Methods", määrittelee pakkausmenetelmien ja DEFLATE-pakkausmenetelmän puitteet.
  • RFC 3943: "Lempel-Ziv-Stac (LZS)".
  • RFC 4132: "Camellia-salakirjoitussarjojen lisääminen TLS:ään (Transport Layer Security)".
  • RFC 4162: "SEED-salaussarjojen lisääminen TLS:ään (Transport Layer Security)".
  • RFC 4217: "Securing FTP with TLS".
  • RFC 4279: "Pre-Shared Key Ciphersuites for Transport Layer Security (TLS)", lisää TLS-protokollaan kolme uutta salakirjoitussarjaa, jotka tukevat ennalta jaettuihin avaimiin perustuvaa todennusta.
  • RFC 4347: "Datagram Transport Layer Security" määrittelee TLS-muunnoksen, joka toimii datagrammiprotokollien (kuten UDP) yli.
  • RFC 4366: "Transport Layer Security (TLS) Extensions" (TLS-laajennukset) kuvaa sekä joukon erityisiä laajennuksia että yleisen laajennusmekanismin.
  • RFC 4492: "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)".
  • RFC 4507: "Transport Layer Security (TLS) Session Resumption without Server-Side State".
  • RFC 4680: "TLS Handshake Message for Supplemental Data".
  • RFC 4681: "TLS User Mapping Extension".
  • RFC 4785: "Pre-Shared Key (PSK) Ciphersuites with NULL Encryption for Transport Layer Security (TLS)".
 

Aiheeseen liittyvät sivut

  • Varmentaja
  • Julkisen avaimen varmenne
  • Laajennettu validointitodistus
  • SSL-kiihdytys
  • Datagram Transport Layer Security
  • Multipleksoitu kuljetuskerroksen suojaus
  • X.509
  • Virtuaalinen yksityinen verkko
  • SEED
  • Palvelimen valvottu salaus

Ohjelmisto

  • OpenSSL: ilmainen (ja erittäin suosittu) toteutus (BSD-lisenssi ja joitakin banter-laajennuksia).
  • GnuTLS: ilmainen LGPL-lisensoitu toteutus.
  • JSSE: Java-toteutus, joka sisältyy Java Runtime Environment -ympäristöön.
  • Network Security Services (NSS): FIPS 140 validoitu avoimen lähdekoodin kirjasto
 

AlegsaOnline.com - 2020 / 2023 - License CC3