Obalamy mity o SSL – cz. II rodzaj certyfikatu a siła szyfrowania

Obalamy mity o SSL – cz. II rodzaj certyfikatu a siła szyfrowania

Dzisiaj obalamy kolejny mit o certyfikatach SSL. Otóż wbrew obiegowej opinii, szyfrowanie nie zależy do rodzaju certyfikatu. Jak to możliwe i jak powiązać ze sobą te dwa terminy we właściwy sposób?

Czym właściwie jest szyfrowanie?

Szyfrowanie (ang. encryption) pozwala przekształcić tekst jawny lub otwarty (ang. plaintext, cleartext) w tekst zaszyfrowany. Jest on nazywany także kryptogramem  (ang. encrypted text). Dzięki temu zabiegowi można zapewnić poufność przetwarzanych wiadomości. Pamiętajmy też, że nie każda funkcja przekształcająca wiadomość jest szyfrem. Musi ona spełnić niektóre warunki (np. to, co zostanie zaszyfrowane, powinno być możliwe do rozszyfrowania tym samym kluczem). I co najważniejsze, to nie certyfikat sam w sobie szyfrowanie ustawia.

Damy Wam przykład – wyobraźcie sobie, że idziecie do urzędu. Uwierzytelniacie się dowodem osobistym. Dzięki niemu pracownik urzędu może potwierdzić Waszą tożsamość. Jednak sam w sobie dowód osobisty nie zapewnia poufności rozmowy z urzędnikiem. Podobnie jest z certyfikatem, który zapewnia jedynie potwierdzenia naszej tożsamości (domeny), ale nie zabezpiecza treści (połączenia) ze stroną. Do tego potrzebne jest odpowiednie szyfrowanie.

Moc szyfrowania

Moc szyfrowania nie zależy od wybranego certyfikatu, ale od konfiguracji serwera, która leży w kompetencjach administratora. To on ustala jakie algorytmy są ustawiane (z jaką siła szyfrowania). W przypadku JDM.PL są to AES256/AES128 i ChaCha20-Poly1305.  Czy istnieje możliwość ustawienia błędnego szyfrowania? W praktyce jest to mało prawdopodobne, a słabe algorytmy są sukcesywnie wycofywane. Poufność wiadomości jest istotna, bo jeżeli faktycznie ktoś będzie starał się przechwycić, to dzięki adekwatnej mocy szyfrowania nie uda mu się tego dokonać. Czas złamania szyfru używanych przez nas algorytmów wynosi od kilku do kilkudziesięciu tysięcy lat, biorąc pod uwagę dostępną obecnie moc obliczeniową. Sytuacja może się zmienić wraz z rozwojem komputerów kwantowych – jest to jednak odległa perspektywa.

Czy można zminimalizować możliwość ataku? Tak dzięki trzymaniu ręki na pulsie w kwestii wykrywanych podatności protokołu szyfrującego oraz bieżąca aktualizacja oprogramowania. Należy korzystać z oprogramowania, które audytuje konfigurację serwera oraz przestrzegać najnowszych rekomendacji dotyczących ustawień polityki SSL.

Komentarze

avatar
  Subskrybuj  
Powiadom o