Citrin's site

Персональный сайт Антона Южанинова

Инструменты пользователя

Инструменты сайта


security:ssl_intro

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
security:ssl_intro [2017-09-19 18:54 UTC]
citrin [Введение в SSL и сертификаты]
security:ssl_intro [2017-09-19 21:07 UTC] (текущий)
citrin Fix links by pointing to Internet Archive
Строка 3: Строка 3:
 // Перевод А. В. Южанинова <​citrin@citrin.ru>​. // Перевод А. В. Южанинова <​citrin@citrin.ru>​.
 Оригинал статьи был опубликован на [[http://​web.archive.org/​web/​20060813101539/​http://​www.pseudonym.org/​ssl/​ssl_intro.html|http://​www.pseudonym.org/​ssl/​ssl_intro.html]]//​ Оригинал статьи был опубликован на [[http://​web.archive.org/​web/​20060813101539/​http://​www.pseudonym.org/​ssl/​ssl_intro.html|http://​www.pseudonym.org/​ssl/​ssl_intro.html]]//​
 +
 +Эта статья была написана в конце 1990-х или начале 2000-х годов. И хотя базовые принципы изложенные в данной статье до сих пор применимы,​ я рекомендую обратиться к более современным статьями на эту тему.
 +
  ===== 1. Введение =====  ===== 1. Введение =====
  
-Протокол SSL (Secure Sockets Layer protocol, протокол защищенных сокетов) \[[[http://​wp.netscape.com/​eng/​ssl3/​|SSL3]]] предоставляет способ для аутентификации,​ контроля целостности,​ и конфиденциальности при использовании Web.+Протокол SSL (Secure Sockets Layer protocol, протокол защищенных сокетов) \[[[http://​web.archive.org/​web/​20080514020625/​http://​wp.netscape.com/​eng/​ssl3/​|SSL3]]] предоставляет способ для аутентификации,​ контроля целостности,​ и конфиденциальности при использовании Web.
  
-Данный документ содержит введение в концепцию SSL для тех, кто знаком с работой Web, HTTP, Web серверов,​ но не является специалистом по информационной безопасности. Он не предназначен быть исчерпывающим руководством по протоколу SSL, в нем так же нет описания определенных серверов или техник управления сертификатами. В нем так же не рассмотрены правовые аспекты:​ патенты и экспортные и импортные ограничения ((В наших исследованиях использовался тот факт, что патентные ограничения не распространяются на некоммерческие эксперименты,​ а экспортные ограничения позволяют использовать слабую криптографию. Спецификация SSL 3.0 содержит некоторую информацию об экспортных ограничениях в США. Мы не рассматриваем здесь патентные или экспортные ограничения,​ но вам стоит знать о них, соблюдать их, и консультироваться у юристов. Есть ряд обзоров на эту тему \[[[http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm|Koops]]])). Цель этого документа и статьи OpenSSL Certificate Cookbook дать начальную точку для дальнейшего изучения тем, кто хочет понять,​ как работает поддержка SSL на серверах.+Данный документ содержит введение в концепцию SSL для тех, кто знаком с работой Web, HTTP, Web серверов,​ но не является специалистом по информационной безопасности. Он не предназначен быть исчерпывающим руководством по протоколу SSL, в нем так же нет описания определенных серверов или техник управления сертификатами. В нем так же не рассмотрены правовые аспекты:​ патенты и экспортные и импортные ограничения ((В наших исследованиях использовался тот факт, что патентные ограничения не распространяются на некоммерческие эксперименты,​ а экспортные ограничения позволяют использовать слабую криптографию. Спецификация SSL 3.0 содержит некоторую информацию об экспортных ограничениях в США. Мы не рассматриваем здесь патентные или экспортные ограничения,​ но вам стоит знать о них, соблюдать их, и консультироваться у юристов. Есть ряд обзоров на эту тему \[[[http://web.archive.org/web/20020606134225/http://rechten.kub.nl/​koops/​cryptolaw/​|Koops]]])). Цель этого документа и статьи OpenSSL Certificate Cookbook дать начальную точку для дальнейшего изучения тем, кто хочет понять,​ как работает поддержка SSL на серверах.
  
  ===== 2. Методы криптографии =====  ===== 2. Методы криптографии =====
Строка 66: Строка 69:
 | Страна (C) | Страна ([[http://​www.iana.org/​root-whois/​index.html|код ISO]]), например US | | Страна (C) | Страна ([[http://​www.iana.org/​root-whois/​index.html|код ISO]]), например US |
  
-Двоичный формат сертификата определяется с помощью нотации ASN.1 \[[[http://​www.rsa.com/​rsalabs/​pubs/​PKCS/​|ASN.1]]]. Эта нотация определяет,​ как содержимое сертификата преобразуется в двоичный вид. Двоичный формат сертификата определен с использованием правил DER, которые основаны на более общих правила BER. Двоичная форма может быть преобразована с использованием кодирования base64 в текст (ASCII) для тех случаев,​ когда нельзя использовать двоичный формат. Такой вид называется PEM (Privacy Enhanced Mail) и сертификат помещается между линиями:​+Двоичный формат сертификата определяется с помощью нотации ASN.1 \[[[https://​web.archive.org/​web/​19990508054857/​http://​www.rsa.com/​rsalabs/​pubs/​PKCS/​|ASN.1]]]. Эта нотация определяет,​ как содержимое сертификата преобразуется в двоичный вид. Двоичный формат сертификата определен с использованием правил DER, которые основаны на более общих правила BER. Двоичная форма может быть преобразована с использованием кодирования base64 в текст (ASCII) для тех случаев,​ когда нельзя использовать двоичный формат. Такой вид называется PEM (Privacy Enhanced Mail) и сертификат помещается между линиями:​
     ​     ​
     -----BEGIN CERTIFICATE-----     -----BEGIN CERTIFICATE-----
Строка 108: Строка 111:
 | TLS 2.0 | IETF draft | пересмотренный SSL 3.0 | none | | TLS 2.0 | IETF draft | пересмотренный SSL 3.0 | none |
  
-Проблемная группа проектирования Internet ([[http://​www.consensus.com/​ietf-tls/​|Internet Engineering Task Force, IETF]]) работает над стандартом TLS (Transaction Layer Security - протокол защиты транспортного уровня).+Проблемная группа проектирования Internet ([[http://​web.archive.org/​web/​19980709011740/​http://​www.consensus.com/​ietf-tls/​|Internet Engineering Task Force, IETF]]) работает над стандартом TLS (Transaction Layer Security - протокол защиты транспортного уровня).
  
 ==== Обзор протокола ==== ==== Обзор протокола ====
Строка 190: Строка 193:
 Есть два известных пакета для работы с несимметричным алгоритмом RSA: Есть два известных пакета для работы с несимметричным алгоритмом RSA:
  
-  * [[http://​www.consensus.com/​RSAREF/​rsaref_toc.html|RSARef]] Образец реализации RSA, неподдерживаемый исходный код библиотеки,​ может быть использован в бесплатных и некоммерческих приложениях. Компания Consensus Development Corp. продавала лицензии на коммерческое использование,​ но сейчас это уже не так. +  * [[http://​web.archive.org/​web/​19961101000244/​http://​www.consensus.com/​RSAREF/​rsaref_toc.html|RSARef]] Образец реализации RSA, неподдерживаемый исходный код библиотеки,​ может быть использован в бесплатных и некоммерческих приложениях. Компания Consensus Development Corp. продавала лицензии на коммерческое использование,​ но сейчас это уже не так. 
-  * [[http://​www.rsa.com/​rsa/​prodspec/​bsafe/​bsafe_3_0_f.htm|BSAFE 3.0]] Коммерческая реализация RSARef.+  * [[http://​web.archive.org/​web/​19970728090953/​http://​www.rsa.com/​rsa/​prodspec/​bsafe/​bsafe_3_0_f.htm|BSAFE 3.0]] Коммерческая реализация RSARef.
  
 Эти пакеты для работы с открытыми ключами включают полный набор несимметричных алгоритмов (включая RSA и метод обмена ключами Деффи-Хеллмана),​ симметричные алгоритмы,​ хэш-функции. Они могут быть использованы в реализациях SSL. Наиболее известные библиотеки для работы с SSL: Эти пакеты для работы с открытыми ключами включают полный набор несимметричных алгоритмов (включая RSA и метод обмена ключами Деффи-Хеллмана),​ симметричные алгоритмы,​ хэш-функции. Они могут быть использованы в реализациях SSL. Наиболее известные библиотеки для работы с SSL:
  
-  * [[http://​www.netscape.com/​newsref/​std/​sslref.html|SSLRef]] образец реализации SSL 3.0 от Netscape Communications Corp. +  * [[http://​web.archive.org/​web/​19970806105913/​http://​www.netscape.com/​newsref/​std/​sslref.html|SSLRef]] образец реализации SSL 3.0 от Netscape Communications Corp. 
-  * [[http://​www.consensus.com/​SSLPlus/​|SSLPlus]] Коммерческий пакет с исходным пакетом от Consensus Development Corp., улученный SSLRef 3.0. Для использования нужен BSAFE 3.0 (from RSA). +  * [[http://​web.archive.org/​web/​19991018234210/​http://​www.consensus.com/​SSLPlus/​|SSLPlus]] Коммерческий пакет с исходным пакетом от Consensus Development Corp., улученный SSLRef 3.0. Для использования нужен BSAFE 3.0 (from RSA). 
-  * [[http://​www.phaos.com/​solutions.html|SSLava]] Реализация SSL 3.0 на языке Java от Phaos Technology.+  * [[http://​web.archive.org/​web/​20020601191908/​http://​www.phaos.com/​solutions.html|SSLava]] Реализация SSL 3.0 на языке Java от Phaos Technology.
   * [[http://​www.openssl.org/​|OpenSSL]] OpenSSL-0.9.4 (OpenSSL-0.9.4.tar.gz) свободная,​ не коммерческая реализация SSL 2.0 и SSL 3.0 и TLS 2.0. Включает реализацию несимметричных алгоритмов,​ которая может быть использована за приделами США. В Штатах из-за патентных ограничений необходимо использовать RSARef или BSAFE3.0. SSLeay предоставляет недорогую возможность для использования SSL. \[[[http://​www.openssl.org/​support/​faq.html|OpenSSL FAQ]]]   * [[http://​www.openssl.org/​|OpenSSL]] OpenSSL-0.9.4 (OpenSSL-0.9.4.tar.gz) свободная,​ не коммерческая реализация SSL 2.0 и SSL 3.0 и TLS 2.0. Включает реализацию несимметричных алгоритмов,​ которая может быть использована за приделами США. В Штатах из-за патентных ограничений необходимо использовать RSARef или BSAFE3.0. SSLeay предоставляет недорогую возможность для использования SSL. \[[[http://​www.openssl.org/​support/​faq.html|OpenSSL FAQ]]]
  
Строка 208: Строка 211:
 **Securing Communications on the Intranet and Over the Internet**, **Securing Communications on the Intranet and Over the Internet**,
 Netscape Communications Corporation,​ July 1996. Netscape Communications Corporation,​ July 1996.
-http://​www.go-digital.net/​whitepapers/​securecomm.html+[[http://​web.archive.org/​web/​20030802215559/​http://​www.go-digital.net/​whitepapers/​securecomm.html|http://​www.go-digital.net/​whitepapers/​securecomm.html]]
  
 === Kaliski === === Kaliski ===
Строка 215: Строка 218:
 An RSA Laboratories Technical Note, An RSA Laboratories Technical Note,
 Revised November 1, 1993. Revised November 1, 1993.
-http://​www.rsa.com/​rsalabs/​pubs/​PKCS/​+[[https://​web.archive.org/​web/​19990508054857/​http://​www.rsa.com/​rsalabs/​pubs/​PKCS/​|http://​www.rsa.com/​rsalabs/​pubs/​PKCS/​]]
  
 === Kaufman === === Kaufman ===
Строка 225: Строка 228:
 **Crypto Law Survey**, **Crypto Law Survey**,
 Bert-Jaap Koops, Bert-Jaap Koops,
-http://​cwis.kub.nl/​~frw/​people/​koops/​lawsurvy.htm+[[http://​web.archive.org/​web/​20020606134225/​http://​rechten.kub.nl/​koops/​cryptolaw/​|http://​cwis.kub.nl/​~frw/​people/​koops/​lawsurvy.htm]]
 Version 8.2, May 1997. Version 8.2, May 1997.
  
 === Phaos === === Phaos ===
 **SSL Resource Center**, **SSL Resource Center**,
-http://​www.phaos.com/​sslresource.html+[[http://​web.archive.org/​web/​20020601164104/​http://​www.phaos.com/​sslresource.html|http://​www.phaos.com/​sslresource.html]]
  
 === Schneier === === Schneier ===
Строка 245: Строка 248:
 An RSA Laboratories Technical Note, An RSA Laboratories Technical Note,
 Revised November 1, 1993. Revised November 1, 1993.
-http://​www.rsa.com/​rsalabs/​pubs/​PKCS/​+[[https://​web.archive.org/​web/​19990508054857/​http://​www.rsa.com/​rsalabs/​pubs/​PKCS/​|http://​www.rsa.com/​rsalabs/​pubs/​PKCS/​]]
  
 === Microsoft Certificate Specifications === === Microsoft Certificate Specifications ===
Строка 252: Строка 255:
  
 === Netscape Certificate Specifications ===  === Netscape Certificate Specifications === 
-http://​www.netscape.com/​eng/​security/​certs.html+[[https://​web.archive.org/​web/​20020127141143/​http://​www.netscape.com/​eng/​security/​certs.html|http://​www.netscape.com/​eng/​security/​certs.html]]
security/ssl_intro.1505847256.txt · Последние изменения: 2017-09-19 18:54 UTC — citrin