Πώς λειτουργεί η ασφάλεια στο διαδίκτυο
Με τόσες πολλές σημαντικές παραβιάσεις δεδομένων στις ειδήσεις πρόσφατα, ίσως να αναρωτιέστε πώς προστατεύονται τα δεδομένα σας όταν είστε συνδεδεμένοι στο διαδίκτυο. Ξέρετε, πηγαίνετε σε μια ιστοσελίδα για να κάνετε κάποια ψώνια, πληκτρολογήστε τον αριθμό της πιστωτικής σας κάρτας, και ελπίζουμε ότι σε λίγες μέρες ένα πακέτο φτάνει στην πόρτα σας. Αλλά εκείνη τη στιγμή προτού κάνετε κλικ στην επιλογή Παραγγελία , αναρωτιέστε ποτέ πώς λειτουργεί η ασφάλεια στο διαδίκτυο;
Τα βασικά της ηλεκτρονικής ασφάλειας
Σε αυτήν την πιο βασική μορφή, η ασφάλεια στο διαδίκτυο - αυτή είναι η ασφάλεια που λαμβάνει χώρα μεταξύ του υπολογιστή σας και ενός ιστότοπου που επισκέπτεστε - πραγματοποιείται μέσω μιας σειράς ερωτήσεων και απαντήσεων. Πληκτρολογείτε μια διεύθυνση ιστού στο πρόγραμμα περιήγησής σας, κατόπιν το πρόγραμμα περιήγησής σας ζητά από αυτόν τον ιστότοπο να επαληθεύσει την αυθεντικότητά του, ο ιστότοπος απαντά με τις κατάλληλες πληροφορίες και όταν συμφωνούν και οι δύο, ο ιστότοπος ανοίγει στο πρόγραμμα περιήγησης ιστού σας.
Μεταξύ των ερωτήσεων που τίθενται και των πληροφοριών που ανταλλάσσονται είναι δεδομένα σχετικά με τον τύπο κρυπτογράφησης που χρησιμοποιείται για τη μετάδοση των πληροφοριών του προγράμματος περιήγησης, των πληροφοριών του υπολογιστή και των προσωπικών σας πληροφοριών μεταξύ του προγράμματος περιήγησης και του ιστότοπου. Αυτές οι ερωτήσεις και απαντήσεις ονομάζονται χειραψία. Εάν η χειραψία δεν πραγματοποιηθεί, τότε ο ιστότοπος που προσπαθείτε να επισκεφθείτε θα θεωρείται ανασφαλής.
HTTP vs. HTTPS
Ένα πράγμα που μπορεί να παρατηρήσετε όταν επισκέπτεστε ιστότοπους στον ιστό είναι ότι ορισμένοι έχουν μια διεύθυνση που ξεκινά με http και μερικές ξεκινούν με https . Το HTTP σημαίνει πρωτόκολλο μεταφοράς υπερκειμένου . Πρόκειται για ένα πρωτόκολλο ή ένα σύνολο οδηγιών που χαρακτηρίζει ασφαλή επικοινωνία μέσω του Διαδικτύου. Ίσως παρατηρήσετε ότι ορισμένοι ιστότοποι, ειδικά ιστότοποι όπου σας ζητείται να δώσετε ευαίσθητες ή προσωπικές πληροφορίες, ενδέχεται να εμφανίζουν το https είτε με πράσινο είτε με κόκκινο χρώμα, με μια γραμμή μέσα από αυτό. Το HTTPS σημαίνει ασφαλές πρωτόκολλο μεταφοράς υπερκειμένου και πράσινο σημαίνει ότι ο ιστότοπος διαθέτει πιστοποιητικό ασφάλειας που μπορεί να επαληθευτεί. Κόκκινο με μια γραμμή μέσα από αυτό σημαίνει ότι ο ιστότοπος δεν διαθέτει πιστοποιητικό ασφαλείας ή το πιστοποιητικό είναι ανακριβές ή έληξε.
Εδώ είναι όπου τα πράγματα λίγο λίγο συγκεχυμένα. Το HTTP δεν σημαίνει ότι τα δεδομένα που μεταφέρονται μεταξύ του υπολογιστή σας και ενός ιστοτόπου είναι κρυπτογραφημένα. Αυτό σημαίνει μόνο ότι ο ιστότοπος που επικοινωνεί με το πρόγραμμα περιήγησής σας διαθέτει ενεργό πιστοποιητικό ασφαλείας. Μόνο όταν περιλαμβάνεται ένα S (όπως στο HTTP S ) είναι τα δεδομένα που μεταφέρονται ασφαλή και υπάρχει μια άλλη τεχνολογία σε χρήση που κάνει αυτό ασφαλή χαρακτηρισμό πιθανό.
Κατανόηση του πρωτοκόλλου SSL
Όταν σκέφτεστε να μοιραστείτε μια χειραψία με κάποιον, αυτό σημαίνει ότι υπάρχει ένα δεύτερο μέρος που εμπλέκεται. Η ηλεκτρονική ασφάλεια είναι κατά τον ίδιο τρόπο. Για τη χειραψία που εξασφαλίζει την ασφάλεια στο διαδίκτυο, πρέπει να υπάρχει ένα δεύτερο μέρος που συμμετέχει. Εάν το HTTPS είναι το πρωτόκολλο που χρησιμοποιεί το πρόγραμμα περιήγησης ιστού για να διασφαλίσει ότι υπάρχει ασφάλεια, τότε το δεύτερο μισό αυτής της χειραψίας είναι το πρωτόκολλο που εξασφαλίζει την κρυπτογράφηση.
Η κρυπτογράφηση είναι η τεχνολογία που χρησιμοποιείται για τη συγκάλυψη δεδομένων που μεταφέρονται μεταξύ δύο συσκευών σε ένα δίκτυο. Αυτό επιτυγχάνεται μετατρέποντας αναγνωρίσιμους χαρακτήρες σε μη αναγνωρίσιμα gibberish που μπορούν να επιστραφούν στην αρχική τους κατάσταση χρησιμοποιώντας ένα κλειδί κρυπτογράφησης. Αυτό έγινε αρχικά μέσω μιας τεχνολογίας που ονομάζεται ασφάλεια Secure Socket Layer (SSL) .
Στην ουσία, η τεχνολογία SSL ήταν η τεχνολογία που άλλαξε δεδομένα που μετακινούνταν ανάμεσα σε έναν ιστότοπο και ένα πρόγραμμα περιήγησης σε λάθη και στη συνέχεια ξαναγυρίστηκε στα δεδομένα. Ετσι δουλευει:
- Ανοίξτε το πρόγραμμα περιήγησης και πληκτρολογήστε τη διεύθυνση για την τράπεζά σας.
- Το πρόγραμμα περιήγησής σας χτυπά στην πόρτα της τράπεζας και σας εισάγει.
- Ο θυρωρός επιβεβαιώνει ότι είσαι εκείνος που λέτε ότι είστε και στη συνέχεια συμφωνείτε να σας αφήσουμε κάτω από μια σειρά συνθηκών.
- Ο ιστότοπός σας συμφωνεί με αυτούς τους όρους και στη συνέχεια μπορείτε να έχετε πρόσβαση στον ιστότοπο της τράπεζας.
Η διαδικασία επαναλαμβάνεται όταν εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας, με μερικά επιπλέον βήματα.
- Καταχωρίστε το όνομα χρήστη και τον κωδικό πρόσβασής σας για να αποκτήσετε πρόσβαση στο λογαριασμό σας.
- Τα προγράμματα περιήγησης ιστού σας ενημερώνουν τον διαχειριστή λογαριασμού της τράπεζας ότι θέλετε να έχετε πρόσβαση στο λογαριασμό σας.
- Συζητούν και συμφωνούν ότι εάν μπορείτε να δώσετε τα σωστά διαπιστευτήρια, τότε θα έχετε πρόσβαση. Ωστόσο, αυτά τα διαπιστευτήρια πρέπει να παρουσιάζονται χρησιμοποιώντας μια ειδική γλώσσα.
- Το πρόγραμμα περιήγησης ιστού και ο διαχειριστής λογαριασμού της τράπεζας συμφωνούν με τη γλώσσα που θα χρησιμοποιηθεί.
- Το πρόγραμμα περιήγησης στο Web μετατρέπει το όνομα χρήστη και τον κωδικό πρόσβασής σας σε αυτή την ειδική γλώσσα και το μεταβιβάζει στον διαχειριστή του λογαριασμού της τράπεζας.
- Ο διαχειριστής λογαριασμού λαμβάνει τα δεδομένα, τα αποκωδικοποιεί και τα συγκρίνει με τα αρχεία τους.
- Αν τα διαπιστευτήριά σας ταιριάζουν, σας δίνεται πρόσβαση στον λογαριασμό σας.
Η διαδικασία πραγματοποιείται σε nano δευτερόλεπτα, οπότε δεν παρατηρείτε το χρόνο που απαιτείται για αυτή τη συνομιλία και τη χειραψία να πραγματοποιηθεί μεταξύ του προγράμματος περιήγησης ιστού και του ιστότοπου.
SSL vs TLS
Το SSL ήταν το αρχικό πρωτόκολλο ασφαλείας που χρησιμοποιήθηκε για να διασφαλίσει ότι οι ιστότοποι και τα δεδομένα που διαβιβάστηκαν μεταξύ τους ήταν ασφαλή. Σύμφωνα με την GlobalSign, το SSL εισήχθη το 1995 ως έκδοση 2.0. Η πρώτη έκδοση (1.0) δεν έφτασε ποτέ στον δημόσιο τομέα. Η έκδοση 2.0 αντικαταστάθηκε από την έκδοση 3.0 εντός ενός έτους για να αντιμετωπίσει τα τρωτά σημεία του πρωτοκόλλου. Το 1999, μια άλλη έκδοση του SSL, που ονομάζεται Transport Layer Security (TLS), εισήχθη για να βελτιώσει την ταχύτητα της συνομιλίας και την ασφάλεια της χειραψίας. Το TLS είναι η έκδοση που χρησιμοποιείται αυτή τη στιγμή, αν και συχνά αναφέρεται ως SSL για λόγους απλότητας.
Κρυπτογράφηση TLS
Η κρυπτογράφηση TLS εισήχθη για τη βελτίωση της ασφάλειας των δεδομένων. Ενώ η SSL ήταν μια καλή τεχνολογία, η ασφάλεια αλλάζει με ταχύ ρυθμό και αυτό οδήγησε στην ανάγκη για καλύτερη, πιο ενημερωμένη ασφάλεια. Το TLS χτίστηκε στο πλαίσιο του SSL με σημαντικές βελτιώσεις στους αλγόριθμους που διέπουν τη διαδικασία επικοινωνίας και χειραψίας.
Ποια έκδοση TLS είναι πιο τρέχουσα;
Όπως και με το SSL, η κρυπτογράφηση TLS συνέχισε να βελτιώνεται. Η τρέχουσα έκδοση TLS είναι 1,2, αλλά έχει σχεδιαστεί το TLSv1.3 και ορισμένες εταιρείες και προγράμματα περιήγησης έχουν χρησιμοποιήσει την ασφάλεια για σύντομες χρονικές περιόδους. Στις περισσότερες περιπτώσεις, επανέρχονται στο TLSv1.2 επειδή η έκδοση 1.3 τελείωσε.
Όταν ολοκληρωθεί, το TLSv1.3 θα φέρει πολλές βελτιώσεις ασφάλειας, συμπεριλαμβανομένης της βελτιωμένης υποστήριξης για περισσότερους τύπους κρυπτογράφησης. Ωστόσο, το TLSv1.3 θα αφαιρέσει επίσης υποστήριξη για παλαιότερες εκδόσεις πρωτοκόλλων SSL και άλλες τεχνολογίες ασφαλείας που δεν είναι πλέον αρκετά ισχυρές για να εξασφαλίσουν την κατάλληλη ασφάλεια και κρυπτογράφηση των προσωπικών σας δεδομένων.