SSL (Secure Socket Layer) využívá symetrickou kryptografii pro autentizaci a asymetrickou šifru pro ustavení spojení. Asymetrická šifra používá takzvané jednocestné funkce, u kterých lze snadno spočítat ze vstupu výstup, ale z výstupu získat vstup je velmi obtížné.
Vynásobením několika velkých čísel tak může vzniknout efektivní šifra. Čísla použitá pro šifru se nazývají klíče, i když analogie se skutečným mechanickým klíčem je problematická, daleko lepší je přirovnat veřejný klíč, který slouží k zašifrování zprávy, k visacímu zámku a soukromý klíč, který zprávu rozluští, je pak klíčem příslušícím k tomuto zámku. Komunikace protokolu pak probíhá, jakoby jeden uživatel poslal druhému poštou zámek, od kterého má klíč pouze on sám, poté druhý uživatel jeho zprávu uzamknul a poslal ji zpět.
Zdá se, že tento způsob je velmi bezpečný, a s přenosem citlivých informací není problém. Získat SSL certifikát je ale opravdu snadné a tak ho může mít kdokoli - třeba někdo, kdo útočí formou phishingu. Phishingové stránky se vydávají za firmu, u které má zákazník účet, a pod nějakou záminkou si vyžádají jeho přihlašovací údaje. Když je společnost zasažena takovou formou útoku, mívá velké ztráty, protože zákazníci v ní ztratí důvěru a šance spolupráce s nimi klesne o 42 %. V roce 2011 existovalo nejméně 83000 phishingových stránek a terčem těchto útoků bylo 520 domén (bankovní domény a sociální sítě). Rozhodně tedy nejde o okrajový problém.
Právě proti pishingu byl vytvořen EV SSL (Extended Validation SSL), který zajišťuje certifikaci důvěryhodnosti firmy, která stránky provozuje. Ve všech běžných prohlížečích je tento systém podporován a je provázen zelenou barvou a zobrazením identifikace firmy střídané se jménem certifikační autority.
Tato služba je podstatně dražší než použití klasického SSL, firma tedy musí být dostatečně velká a výdělečná, aby si mohla certifikaci dovolit, což zajišťuje, že nejde o malou skupinu podvodníků, a dává to firmě konkurenční výhodu, protože tím dokazují, jak důležitá je pro ně bezpečnost. Jde vlastně o dlouhý řetěz důvěry mezi zákazníky, společnostmi a certifikačními autoritami.
Na druhou stranu ale ještě před dvěma lety používalo tuto metodu pouze 20 % firem ze sta největších firem světa. Argumentem pro nepoužívání této metody bylo, že firmám známého jména lidé věří i bez certifikace a navíc uživatelé nejsou zvyklí na zelené označení řádku prohlížeče a jeho význam neznají. Další potíž je v tom, že vyšší cena může znevýhodňovat menší a střední firmy (SMEs), které v roce 2012 zaměstnávají v Evropě 67 % lidí.
Momentálně se právě z tohoto důvodu prosazuje snaha stáhnout cenu EV SSL co nejníže. Jak bylo prohlášeno na veletrhu HostingCon 2012, zároveň s tím přichází také nabídka EV SSL pro velkoobchody. Nejnovější studie z tohoto roku pak ukazují, že vzrůstá oblíbenost těchto certifikátů. Zdá se tedy, že koncept funguje a zákazníci tomuto certifikátu důvěřují. Ale dočkáme se někdy zcela důvěryhodného internetového přenosu dat? Těžko.
Prameny:
http://ec.europa.eu/enterprise/policies/sme/facts-figures-analysis/performancereview/files/supporting-documents/2012/annual-report_en.pdf
http://markets.cbsnews.com/cbsnews/news/read/21803766/digicert_highlights_benefits_of_ev_ssl_for_resellers_at_hostingcon_2012
http://www.lexiconn.com/blog/2010/01/extended-validation-ev-ssl-certificates-should-yourwebsite-have-one/
http://www.opensrs.com/blog/2012/09/big-ssl-news-new-super-low-ev-pricing-and-ucsancerts/
http://www.allspammedup.com/2012/09/phishing-a-look-inside-the-statistics/
https://www.sslmarket.cz/ssl/ev-certifikaty/
Diskuze:
EV Certifikáty
Ondřej Surý,2012-12-06 13:14:55
EV Certifikáty jednak nejsou drahé (GoDaddy $99,99), a jednak ty skupiny podvodníků jsou dneska bohatší než běžná firma.
EV Certifikáty jsou také prakticky poměrně k ničemu, protože koncový uživatel nemá žádnou šanci zjistit, že má EV Certifikát od druhé strany očekávat. Bohužel tato iniciativa vznikla jako reakce na ztrátu naprosté soudnosti při vystavování běžných certifikátů s cílem udělat co nejméně práce a vydělat co nejvíce peněz.
Bohužel ještě není online můj záznam přednášky na letošním LinuxAltu (http://www.linuxalt.cz/2012/zaznamy), tak než to tam bude, tak nabízím alespoň článek na root.cz, který jsem na to téma napsal: http://www.root.cz/clanky/protokol-dane-aneb-z-kroceni-zlych-certifikacnich-autorit/.
Chápu, že pro čtenáře Osla, kteří nejsou z oboru, muselo dojít k zjednodušení problematiky, ale tohle je možná až trošku moc...
Symtrická šifra
Pavel A1,2012-11-24 13:43:52
Obecně symetrická šifra je šifra, kde se pro šifrování i dešifrování používá stejný klíč. Asymetrická šifra pak používá různé klíče.
Symetrická šifra bývá rychlejší a jednodušší, jejím problémem je ale předání klíče tak, aby se nemohl cestou odposlechnout.
Symetrická šifra se proto používá všude, kde není důvod použít šifru asymetrickou.
V SSL to pak v principu vypadá tak, že se napřed s použitím asymetrické šifry autentizují účastníci komunikace. Jeden vygeneruje náhodnou posloupnost bitů, tu pošle na druhou stranu, ta ji s pomocí svého privátního klíče zašifruje, pošle to zpátky a pokud se prvnímu účastníkovi podaří tu posloupnost rozšifrovat pomocí veřejného klíče druhého účastníka, uvěří je je to opravdu on. Pak totéž proběhne obráceně. Pak si pomocí asymetrické šifry obě strany vymění klíč pro symetrickou šifru, kterou budou nadále používat. Pro dalším komunikaci se pak už používá symetrická šifra.
Jak to je přesně s SSL implementováno, nevím, ale toto je obecně princip pro každý systém utajené komunikace na veřejném kanálu.
Symetrická šifra je starší, než asymetrická a v podstatě všechny šifrovací systémy až do konce minulého století pracovaly s symetrickou šifrou. Třeba i slavná ENIGMA. kde tím klíčem bylo pořadí koleček a propojení zdířek na šifrovacím stroji.
symetrická kryptografie
Ela Matiasova,2012-11-23 22:05:43
Šlo by nám laikům popsat symetrickou kryptografii blíž, když se používá? A kde ještě, kromě SSL se využívá?
Naopak
Milan Erlende,2012-11-23 22:01:07
Autorky se musím zastat. Díval jsem se na Wikipedii, ale tam je to psáno zřčejmě pro "ajťáky" a celý text tam je pro mne jedním "šifrovacím algoritmem". Teprve dnesa jsem tu vlastně pochopil voco gou.
Rád bych se ale zajímalo by mne zda existuje hodně certifikátů vydaných někým nedůvěryhodným a zda případně existuje nějaký seznam útočnických certifikátů?
Díky. M.
Velmi neodborný popis problematiky
Frantisek Kroupa,2012-11-22 22:52:44
Vřele autorce doporučuji podívat se na popis SSL aspoň v české Wikipedii a nechat se jím inspirovat. Zejména úvod jejího článku totiž působí velmi zmatečným dojmem a pokračování není o moc lepší. Od věci by také nebylo odchytit SSL komunikaci pomocí WireSharku a její úvod dekódovat.
Drahé EV certifikáty
Martina Kubíková,2012-11-22 13:18:56
Nemyslím si, že by cena EV certifikátů v dnešní době byla likvidační. Důvěryhodná certifikační autorita GeoTrust (spadající pod rodinu certifikátů od Symantec), nabízí v ČR tyto certifikáty již od 5.490 Kč/rok + DPH. Samozřejmě jsou i dražší autority.
Diskuze je otevřená pouze 7dní od zvěřejnění příspěvku nebo na povolení redakce