Ce este TLS (Transport Layer Security)

Transport Layer Security (TLS) este un protocol layer 5 al modelului de layer ISO/OSI care asigură transmisia criptată a datelor pe Internet. TLS este succesorul SSL și este utilizat, de exemplu, de browsere pentru conexiuni HTTPS sigure.

transport

Abrevierea TLS înseamnă Transport Layer Security și descrie protocolul succesor al SSL (Secure Sockets Layer). Cu ajutorul Transport Layer Security, datele pot fi criptate și transmise prin Internet sau alte rețele. Este un protocol de criptare hibrid (combinație de criptare asimetrică și simetrică) care urmărește următoarele obiective. Datele transmise ar trebui protejate împotriva accesului neautorizat de către terți și împotriva manipulării sau falsificării prin criptare. În plus, TLS permite participanților la comunicare să fie autentificați și să verifice identitatea destinatarului sau expeditorului. TLS este adesea utilizat pentru conexiunea sigură între un client cu un browser de internet și un server web prin HTTPS. Dar alte protocoale precum SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol) sau FTP (File Transfer Protocol) pot utiliza Transport Layer Security.

Comunicarea prin TLS poate fi împărțită în două faze. În primul rând, se stabilește o conexiune în care clientul și serverul își dovedesc reciproc identitatea. Odată stabilită o conexiune de încredere, datele sunt transmise utilizând un algoritm de criptare. În modelul de strat ISO/OSI, Transport Layer Security este localizat pe Layer 5 (strat de sesiune). Datorită modului său transparent de lucru pentru protocoalele de niveluri superioare, TLS este foarte flexibil și versatil. Implementările bine-cunoscute ale TLS sunt, de exemplu, GnuTLS, OpenSSL sau LibreSSL.

Protocolul de înregistrare TLS

Așa-numitul protocol de înregistrare a securității stratului de transport joacă un rol central în securitatea stratului de transport. Patru protocoale suplimentare ale standardului se bazează pe aceasta. Aceste patru protocoale sunt:

  • protocolul de strângere de mână
  • Protocolul de alertă
  • protocolul Change Cipher Spec Protocol
  • Protocolul de date al aplicației

Protocolul de strângere de mână este responsabil pentru negocierea unei sesiuni și a parametrilor de securitate ai acesteia. Printre altele, se negociază algoritmii criptografici utilizați și materialul cheie, iar partenerii de comunicare sunt autentificați în cadrul protocolului de strângere de mână. Protocolul de alertă este responsabil pentru gestionarea erorilor și a alarmelor conexiunilor TLS. Poate provoca întreruperea imediată a unei conexiuni. Cu ajutorul Application Data Protocol, datele aplicației sunt împărțite în blocuri, comprimate, criptate și transmise. În cele din urmă, Protocolul de modificare a specificației cifrului informează destinatarul că expeditorul trece la suita de cifrare negociată anterior în Protocolul de strângere a mâinii.

Stabilirea conexiunii cu Transport Layer Security

Dacă un client stabilește o conexiune la un server, acesta se autentifică cu un certificat. Clientul verifică fiabilitatea certificatului și dacă acesta se potrivește cu numele serverului. Clientul poate fi opțional autentificat pe server. Într-un pas următor, partenerii de comunicare obțin o cheie de sesiune criptografică cu ajutorul cheii publice a serverului, cu care apoi criptează toate mesajele care trebuie transmise. Autentificarea și identificarea partenerilor de comunicare se bazează pe metode de criptare asimetrice și pe criptografie cu cheie publică. Cheia de sesiune reală este o cheie simetrică cu o singură utilizare, cu care datele sunt decriptate și criptate.

Definiția autentificării bazate pe DNS a entităților denumite (DANE)