6/1001. Шифрование в Интернет

---

Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.

---

Рассматривая вопросы безопасности в сети Интернет нельзя не упомянуть шифрование в Интернет, ведь шифрование – это основной способ сохранения информации в тайне.

В четвёртой ночи, посвящённой безопасности mail.ru, в качестве одной из уязвимостей этого портала называлась небезопасная передача пароля почтового ящика. К сожалению, не все это понимают, но без принятия специальных мер (а в mail.ru их как раз не приняли) всё, что отправляется на web-сервер, может быть доступно злоумышленнику.

Данные, вводимые пользователем при заполнении web-формы, проходят от его компьютера до сервера длительный путь, и на всём этом пути они передаются в открытом виде. Коллега по офису, установивший сниффер (специализированная программа, перехватывающая сетевой траффик), сетевой администратор организации, излишне любопытный сосед по локальной сети, недобросовестный сотрудник провайдера интернет и многие другие могут узнать пароль и использовать затем его для чтения чужой почты.

Быть может, личная переписка не для всех является информацией, которую они хотели бы скрыть, но вот финансовая информация, отправляемая через Интернет при использовании услуг онлайн-банкинга – это точно то, что нужно надёжно защищать. Привычных и удобных платёжных онлайн-систем сегодня не было бы, если бы не появились протоколы и стандарты для безопасной передачи данных в сети Интернет.

Первыми, кто заговорил о безопасности передачи информации в сети Интернет, были банки: финансовые транзакции в Интернет, быстро ставшие популярными по причине своего удобства, столь же быстро стали терять популярность из-за серьёзных проблем с безопасностью. Применение защищённых протоколов передачи данных не решило, конечно, всех проблем, но позволило поднять уровень защищённости до приемлемого уровня.

Сегодня самым распространённым протоколом для организации безопасных соединений является SSL (Secure Socket Layer), тесно связанный с другим протоколом - TLS (Transport Layer Security). Не вдаваясь в подробности технических стандартов для простоты будем говорить о связке протоколов SSL/TLS. Отметим только для интересующихся, что на сегодня официально утверждённым является протокол TLS 1.2.

Итак, в основе SSL/TLS лежит использование цифровых сертификатов, удостоверяющих подлинность сервера. Цифровые сертификаты – это своеобразные электронные паспорта, предъявляя которые сервер может подтвердить свою подлинность.

Например, далеко не всегда клиенты банка точно знают, какой адрес страницы правильный:

• mybank.account.com или account.mybank.com?
• в некоторых шрифтах заглавная i и строчная L выглядят одинаково (I = l), что также создаёт дополнительную путаницу;
• пользователь чаще всего не вводит web-адрес вручную, а переходит на сайт из поисковика или по ссылке из электронного письма.

Всё это создаёт простор для манипуляций с адресами сайтов: злоумышленники создают поддельные (фишинговые) сайты, заманивают на них пользователей и крадут их данные.

Использование SSL/TLS позволяет пользователю удостовериться в правильности адреса web-страницы, на который он попал. Поддержка этого протокола встроена во все современные браузеры и проверка сайта происходит автоматически, даже без участия пользователя. Всё, что требуется, – это внимательно читать сообщения и отвечать на них, предварительно хорошо подумав. Браузеры очень стараются обратить внимание пользователей на подозрительные сайты и, как правило, выводят большие красные предупреждающие надписи. Но всегда ли пользователи обращают на них внимание? К сожалению, далеко не все хорошо представляют себе, что такое цифровые сертификаты и как правильно реагировать на вопросы браузера о доверии к тому или иному удостоверяющему центру, выдавшему сертификат для сайта.

Тема цифровых сертификатов и проверка подлинности web-сайтов – это отдельный большой разговор, пока же вернёмся к теме сегодняшней ночи безопасности. SSL/TLS не только позволяет проверить валидность web-сервера, но и обеспечить шифрование всей передаваемой от пользователя информации на web-сайт.

В процессе установки соединения с таким web-сервером генерируется специальный сессионный ключ шифрования, с помощью которого и осуществляется шифрование всего передаваемого трафика между компьютером пользователя и самим сервером. C точки зрения рассматриваемых выше злоумышленников браузер пользователя и web-сервер будут передавать друг другу бессмысленный набор символов. Теоретически (и иногда практически) такую сессию тоже можно перехватить, расшифровать и прочесть, но сложность и трудоёмкость, естественно, вырасту в разы, да и сколько-нибудь реальный взлом в этом случае возможен будет разве что при использовании слишком коротких ключей шифрования. Длина ключа в 128 бит на сегодня является вполне достаточной с точки зрения безопасности, а вот использование поддерживаемых пока из соображений обратной совместимости ключей в 40 бит является всё же нежелательным:

Добавлено 15.09.2020
За давностью лет изображение, к сожалению, утрачено

Признаками установленного защищённого соединения обычно являются:

• адрес, начинающийся с https:// (в отличие от обычного http://),
• наличие специального символа в строке состояния (защёлкнутого замка),
• иной цвет адресной строки.

Вот несколько скриншотов популярных браузеров с установленным защищённым соединением:

Добавлено 15.09.2020
За давностью лет изображения, к сожалению, утрачены

Кстати, строго говоря, HTTPS (Hypertext Transfer Protocol Secure) не является отдельным протоколом, – это комбинация протоколов HTTP и SSL/TLS.

Вот некоторые популярные сервисы, поддерживающие безопасную передачу данных пользователя с шифрованием всего передаваемого трафика:

Тип	Адрес	Использование защищённого соединения
Электронная почта	www.gmail.com	По умолчанию
Поисковая система	www.google.com	По умолчанию не используется, нужно использовать специальный адрес для входа: https://www.google.com/ или https://encrypted.google.com/
Социальная сеть	www.facebook.com	По умолчанию не используется, нужно использовать специальный адрес: https://www.facebook.com/
Анонимайзер	www.megaproxy.com	По умолчанию

Если для Вас важна конфиденциальность Вашей информации, старайтесь использовать безопасные сервисы, поддерживающие передачу данных с использованием HTTPS.

И первые лучи солнца озарили клавиатуру…

--- === @zlonov === ---

---

--- === @zlonov === ---