Hvernig á netinu öryggi virkar
Með svo mörg mikilvæg brot á gögnum í fréttunum undanfarið gætirðu verið að velta fyrir sér hvernig gögnin þín eru varin þegar þú ert á netinu. Þú veist að þú ferð á vefsíðu til að versla, sláðu inn kreditkortanúmerið þitt og vonandi fáum við nokkrar dagar til að koma í pakkann. En í því augnabliki áður en þú smellir á Panta , furðaðu alltaf hvernig netöryggi virkar?
Undirstöðuatriði Online Security
Í undirstöðu formi er netöryggi - það er öryggi sem á sér stað milli tölvunnar og vefsvæðis sem þú ert að heimsækja - er flutt í gegnum nokkrar spurningar og svör. Þú skrifar veffang inn í vafrann þinn , og vafrinn þinn biður þá um að staðsetningin staðfesti áreiðanleika þess, staðurinn bregst við viðeigandi upplýsingum og þegar þeir eru báðir sammála um að vefsvæðið opnast í vafranum þínum.
Meðal þeirra spurninga sem beðið er um og upplýsingar sem skipt er um eru gögn um gerð dulkóðunar sem notaður er til að fara framhjá upplýsingum vafrans, tölvuupplýsinga og persónulegar upplýsingar milli vafrans og vefsíðunnar. Þessar spurningar og svör eru kölluð handabandi. Ef þessi handshake fer ekki fram þá verður vefsvæðið sem þú ert að reyna að heimsækja talin óörugg.
HTTP vs HTTPS
Eitt sem þú gætir tekið eftir þegar þú heimsækir vefsvæði á vefnum er að sumir hafi heimilisfang sem byrjar með http og sumir byrja með https . HTTP þýðir Hypertext Transfer Protocol ; Það er siðareglur eða sett af leiðbeiningum sem tilnefna örugga samskipti um internetið. Þú gætir jafnvel tekið eftir því að sumar síður, sérstaklega síður þar sem þú ert beðinn um að veita viðkvæmar eða persónugreinanlegar upplýsingar, geta sýnt https annaðhvort í grænu eða rauðu með línu í gegnum það. HTTPS þýðir Hypertext Transfer Protocol Öruggt og grænt þýðir að vefsvæðið hefur sannprófað öryggisvottorð. Rauður með línu í gegnum það þýðir að svæðið hefur ekki öryggisvottorð, eða vottorðið er ónákvæmt eða útrunnið.
Hérna eru hlutirnir svolítið ruglingslegar. HTTP þýðir ekki gögn sem eru flutt á milli tölvunnar og vefsíða er dulkóðuð. Það þýðir aðeins vefsvæðið sem er í samskiptum við vafrann þinn hefur virkt öryggisvottorð. Aðeins þegar S (eins og í HTTP S ) er innifalinn eru gögnin sem eru flutt á öruggan hátt, og það er önnur tækni í notkun sem gerir það örugga tilnefning mögulegt.
Skilningur á SSL bókuninni
Þegar þú telur að deila handshönd með einhverjum, þá þýðir það að annar þátttakandi er að ræða. Öryggi á netinu er á sama hátt. Fyrir handshake sem tryggir öryggi á netinu til að eiga sér stað verður það að vera annar aðili sem tekur þátt. Ef HTTPS er samskiptareglan sem vafrinn notar til að tryggja að öryggi sé fyrir hendi, þá er seinni helmingur þessar handshake siðareglur sem tryggir dulkóðun.
Dulkóðun er tæknin sem notuð er til að dylja gögn sem eru flutt á milli tveggja tækja á netinu. Það er gert með því að snúa þekkta stafi í óþekkjanlegt gibberish sem hægt er að skila aftur í upprunalegt ástand með dulkóðunarlykli. Þetta var upphaflega náð með tækni sem kallast Secure Socket Layer (SSL) öryggi.
Í grundvallaratriðum var SSL tæknin sem breytti einhverjum gögnum milli vefsíðu og vafra í gibberish og síðan aftur inn í gögn aftur. Hér er hvernig það virkar:
- Þú opnar vafrann þinn og skrifar inn heimilisfangið fyrir bankann þinn.
- Vefur flettitæki þinn bankar á dyrnar í bankanum og kynnir þig.
- Hurðarmaðurinn staðfestir að þú sért sem þú segir að þú ert og samþykkir síðan að láta þig undir ákveðnum skilyrðum.
- Vefur flettitæki þinn samþykkir þessi skilyrði og þá hefur þú aðgang að heimasíðu bankans.
Ferlið endurtakar sig þegar þú slærð inn notandanafn og lykilorð, með nokkrum viðbótarþrepum.
- Þú slærð inn notendanafn og lykilorð til að fá aðgang að reikningnum þínum.
- Vefur flettitæki þinn segir reikningsstjóra bankans að þú viljir fá aðgang að reikningnum þínum.
- Þeir tala saman og samþykkja að ef þú getur veitt réttar persónuskilríki þá færðu aðgang. Hins vegar þurfa þessi persónuskilríki að vera kynnt með sérstöku tungumáli.
- Vafrinn og reikningsstjóri bankans samþykkja tungumálið sem verður notað.
- Vefskoðarinn breytir notandanafninu þínu og lykilorðinu í það sérstaka tungumál og sendir það til reikningsstjóra bankans.
- Reikningsstjórinn fær gögnin, afkóðar það og bera saman það við skrár sínar.
- Ef persónuskilríki þín passa hefurðu aðgang að reikningnum þínum.
Ferlið fer fram í nano sekúndum, þannig að þú tekur ekki eftir þeim tíma sem það tekur fyrir allt þetta samtöl og handshake að eiga sér stað á milli vafrans og vefsíðu.
SSL vs TLS
SSL var upprunalega öryggisleiðbeiningin sem var notuð til að tryggja að vefsíður og gögnin sem liðin voru milli þeirra væri örugg. Samkvæmt GlobalSign var SSL kynnt árið 1995 sem útgáfu 2.0. Fyrsta útgáfa (1.0) kom aldrei inn í almenninginn. Útgáfa 2.0 var skipt út fyrir útgáfu 3.0 innan árs til að takast á við veikleika í siðareglunum. Árið 1999 var kynnt annar útgáfa af SSL, sem heitir Transport Layer Security (TLS), til að bæta hraða samtala og öryggi handshake. TLS er útgáfa sem er í notkun, þó að það sé oft ennþá nefnt SSL vegna einfaldleika.
TLS dulkóðun
TLS dulkóðun var kynnt til að bæta öryggi gagna. Þó að SSL væri góð tækni breytist öryggi á hratt hraða og það leiddi til þess að þörf væri á betri og nýjustu öryggi. TLS var byggð á ramma SSL með verulegum umbótum á reikniritunum sem stjórna samskiptum og handshake ferli.
Hvaða TLS útgáfa er mest núverandi?
Eins og með SSL hefur TLS dulkóðun haldið áfram að bæta. Núverandi TLS útgáfa er 1,2, en TLSv1.3 hefur verið gerð og sum fyrirtæki og vafrar hafa notað öryggi í stuttan tíma. Í flestum tilfellum snúa þeir aftur til TLSv1.2 vegna þess að útgáfa 1.3 sé ennþá fullkominn.
Þegar það er lokið mun TLSv1.3 leiða til fjölmargra öryggisbreytinga, þar á meðal betri stuðningur við fleiri núverandi dulkóðunartegundir. Hins vegar mun TLSv1.3 einnig sleppa stuðningi við eldri útgáfur af SSL samskiptareglum og annarri öryggis tækni sem er ekki lengur nógu sterk til að tryggja rétta öryggi og dulkóðun persónuupplýsinga.