If you're seeing this message, it means we're having trouble loading external resources on our website.

Ако си зад уеб филтър, моля, увери се, че домейните *. kastatic.org и *. kasandbox.org са разрешени.

Основно съдържание

Компютрите и интернет

Курс: Компютрите и интернет > Раздел 4

Урок 6: Закодиращ протокол (IPsec)
Информатика
Компютрите и интернет
Сигурност на данните в интернет
Закодиращ протокол (IPsec)
© 2023 Khan AcademyУсловия за ползванеДекларация за поверителностПолитика за Бисквитки

Цифрови сертификати

Класна стая на Google
Протоколът TLS разчита на криптиране с публичен ключ. Изпращащият компютър използва публичния ключ на получаващия компютър, когато криптира данни. Преди да се случи това обаче, TLS изисква стъпка, която е критична за сигурността: изпращащият трябва да потвърди самоличността зад публичния ключ.
Цифров сертификат, още познат като сертификат с публичен ключ или сертификат за самоличност, доказва собственост на криптиращ ключ.

Нуждата от сертификати

Какво щеше да се случи, ако TLS не включваше стъпка за проверка на сертификата?
Нападателите са открили начини за прихващане на интернет заявка от един компютър към друг, например чрез злонамерени точки за достъп.
След това те могат да стартират атака тип "мъж по средата" (MITM - man-in-the-middle). Въпреки че се нарича атака тип "мъж" по средата, нападателите са от всякакви възрасти и полове. Можеш да си ги представяш и като "маскирания по средата".
Първо, по време на установяването на сигурна връзка чрез TLS, нападател изпраща на клиента своя публичен ключ, вместо този на сървъра.
Илюстрация на активно прихващане на TLS пакет от злонамерена точка за достъп. Отляво има сървър, а отдясно има лаптоп, означен "Клиент". Горната част е означена "Какво клиентът си мисли, че става". Тя съдържа стрелка, означена със зелен криптиращ ключ, която върви от сървъра до точка за достъп, означена "легитимна точка за достъп". Друга стрелка е означена по същия начин и върви от легитимната точка за достъп до клиента. Долната част е означена "Какво се случва всъщност". Тя съдържа стрелка, означена със зелен ключ, която върви от сървъра до нападател, означен със "злонамерена точка за достъп". Друга стрелка е означена с червен ключ, който върви от злонамерената точка за достъп към клиента.
След това, всеки път, когато клиентът криптира данни с получения публичен ключ, той всъщност криптира данни с публичния ключ на нападателя. След това нападателят може да декриптира криптираното съобщение, да подмени както той пожелае и да го криптира отново с публичния ключ на сървъра, преди да прати данните към сървъра.
Илюстрация на активно прихващане на TLS пакет от злонамерена точка за достъп. Отляво, на лаптоп е отворена интернет страница с попълнено поле за сума. Отдясно има сървър. Горната част е означена с "Какво клиентът си мисли, че става". Тя съдържа стрелка, означена със зелен криптиращ ключ и "Сметка #: 25", която отива от лаптопа до точка за достъп, означена "легитимна точка за достъп". Друга стрелка е означена по същия начин и отива от легитимната точка за достъп до сървъра. Долната част е означена "Какво всъщност става". Тя съдържа стрелка, означена с червен ключ и "Сметка #: 25", която отива от лаптопа до нападателя, означен със "злонамерена точка за достъп". Още една стрелка, означена със зелен ключ и "Сметка #: 12", отива от злонамерената точка за достъп до сървъра.
За да се предотврати атака "MiTM", клиентът трябва да провери идентичността зад публичния ключ. Цифров сертификат показва идентичността зад публичен ключ. Само че, ако всеки може да ги създава, как клиент да се довери на достоверността на цифров сертификат? В TLS клиентите се доверяват на цифров сертификат, ако е създаден от институции, познати като издатели на сертификати.

Издатели на сертификати (Certificate Authorities - CA)

Сървър, който иска да комуникира сигурно през TLS, се абонира за издател на сертифкати. Издателят на сертификати потвърждава собствеността на домейна, подписва сертификата със своето име и публичен ключ и предоставя подписания сертификат обратно на сървъра.
Измислен сертификат, който прилича на сертификатите, които се дават на хората, получаващи награди. Заглавието казва "Сертификат за автентичност". Под него пише "Това потвърждава, че khanacademy.org е горд собственик на този публичен ключ:", а след това има дълъг шестнадесетичен низ. В долния край има ред за подпис, означен "Издадел на сертификати" и подпис "GoDaddy Certificate Authority". Друг ред е означен "Дати на валидност" и надпис "13-10-2018 – 18-11-2020".
Когато клиентът проверява сертификата, той може да види, че издател на сертификати потвърждава автентичността на публичния ключ. Но все пак трябва да вземе решение: вярва ли на този издател на сертификати?
В общия случай клиентите вървят в комплект с доверени издатели на сертификати. Например Apple iPhone, работещ под iOS 10, вярва на следния списък с издатели на сертификати.
Слде това потребителите трябва да се доверят на Apple постоянно да наблюдава този списък и да подсигури, че всеки издател на сертификати проверява надлежно домейните.
Можеш да си представиш веригата на доверие от потребителя до сървъра:
Илюстрация на веригата на доверие на сертификатите. Започва с икона с надпис „потребител“ отляво. Има стрелка, обозначена с надпис „доверява се“, от иконата на потребителя до икона на смартфон, обозначена с надпис „клиент“. Друга стрелка, обозначена с надпис "доверява се", преминава от иконата на клиента към икона на компютър, означен с надпис "сертифициращ орган". Последна стрелка преминава от иконата на сертифициращия орган към икона на компютър, обозначен с надпис „сървър“.
На всеки етап доверието може да бъде развалено. Ако потребителят не вярва на клиента, той може да замени списъка с издатели на сертификати по подразбиране. Ако клиент повече не се доверява на издател на сертификати, той ще го отстрни от списъка. Ако издател на сертификати види подозрително поведение от даден сървър, той може да анулира сертификата му.

Междинни издатели на сертификати

Всъщност съществуват множество нива на издатели на сертификати: основният издател на сертификати и междинен издател на сертификати.
Основният CA всъщност не издава директно никакви цифрови сертификати за сървъри. Той издава само цифрови сертификати за междинни издатели, които действат от негово име. Междинните издатели могат или да издават цифрови сертификати за друг междинен CA, или директно за сървъри.
Следователно има още една верига на доверие, от основния CA към сървъра:
Илюстрация на верига на доверито на издател на сертификати. Започва с икона на сървър, означена "Основен CA" отляво. Има стрелка, означена "вярва", от тази икона към друга икона на сървър, означена "Междинен CA". Още една стрелка, означена "вярва", върви от тази икона към друга икона на сървър, означена "Междинен CA". Финална стрелка върви от тази икона към, икона на сървър, означена "Сървър".
Нивата на издатели на сертификати увеличават сигурността на системата. Ако основен CA открие, че междинен CA е компрометиран от нападател, ще направи невалидни сертификатите от този CA, но ще продължи да вярва на сертификатите от другите междинни CA.
🔍 Можеш и ти да видиш веригата, ако провериш сертификата на сигурна интернет страница в браузъра. Ако щракнеш на катинара до URL-а, браузърът трябва да ти предложи начин да провериш сертификатите.
Екранна снимка на сертификати, издадени за интернет страницата на Кан Академия. Показва вложен списък с "GlobalSign Root CA" най-отгоре, след това "GlobalSign CloudSSL CA" и накрая "khan.map.fastly.net".
Веригата на доверие за KhanAcademy.org включва един междинен CA.
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Имаш въпроси по тази тема? Ще се радваме да отговорим — само ни попитай, като използваш полето за въпроси по-долу!

Искаш ли да се присъединиш към разговора?

Вписване в профила
Все още няма публикации.
Разбираш ли английски? Натисни тук, за да видиш още дискусии в английския сайт на Кан Академия.