Ssl چیست؟
SSL یا Secure Socket Layer ( راه حلی جهت برقراری ارتباطات ایمن میان یك سرویسدهنده و
یك سرویسگیرنده است كه توسط شركت Netscape ارایه شده است. در واقع SSL پروتكلی است كه
پایینتر از لایه كاربرد )لایه ۴ از مدل TCP/IP ( و بالاتر از لایه انتقال )لایه سوم از مدل TCP/IP )
قرار میگیرد. مزیت استفاده از این پروتكل بهرهگیری از موارد امنیتی تعبیه شده آن برای امن كردن
پروتكلهای غیرامن لایه كاربردی نظیر HTTP ، LDAP ، IMAP و... میباشد كه براساس آن
الگوریتمهای رمزنگاری بر روی دادههای خام ) plain text ( كه قرار است از یك كانال ارتباطی
غیرامن مثل اینترنت عبور كنند، اعمال میشود و محرمانه ماندن دادهها را در طول كانال انتقال
تضمین میكند. به بیان دیگر شركتی كه صلاحیت صدور و اعطاء گواهیهای دیجیتال SSL را دارد
برای هر كدام از دو طرفی كه قرار است ارتباطات میان شبكهای امن داشته باشند، گواهیهای
مخصوص سرویسدهنده و سرویسگیرنده را صادر میكند و با مكانیزمهای احراز هویت خاص
خود، هویت هر كدام از طرفین را برای طرف مقابل تأیید میكند، البته غیر از اینكار میبایست
تضمین كند كه اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابل درك و استفاده
نباشد كه اینكار را با كمك الگوریتمهای رمزنگاری و كلیدهای رمزنگاری نامتقارن و متقارن انجام
میدهد.
ملزومات یك ارتباط مبتنی بر پروتكل امنیتی SSL
برای داشتن ارتباطات امن مبتنی بر SSL عموم ا به دو نوع گواهی دیجیتال SSL یكی برای
سرویسدهنده و دیگری برای سرویسگیرنده و یك مركز صدور و اعطای گواهینامه دیجیتال یا CA
نیاز میباشد. وظیفه CA این است كه هویت طرفین ارتباط، نشانیها، حسابهای بانكی و تاریخ
انقضای گواهینامه را بداند و براساس آنها هویتها را تعیین نماید.
مكانیزمهای تشكیلدهنده SSL
۱ - تأیید هویت سرویس دهنده
با استفاده از این ویژگی در SSL ، یك كاربر از صحت هویت یك سرویسدهنده مطمئن میشود.
نرمافزارهای مبتنی بر SSL سمت سرویسگیرنده )مثلا یك مرورگر وب نظیر Internet Explerer
از تكنیكهای استاندارد رمزنگاری مبتنی بر كلید عمومی و مقایسه با كلیدهای عمومی یك
سرویسدهنده )مثلا یك برنامه سرویسدهنده وب نظیر ) IIS میتواند از هویت او مطلع شود و پس از
اطمینان كامل، كاربر میتواند نسبت به وارد نمودن اطلاعات خود مانند شماره كارتهای اعتباری و
یا گذرواژهها اقدام نماید.
۲ - تأیید هویت سرویس گیرنده
برعكس حالت قبلی در اینجا سرویسدهنده است كه میبایست از صحت هویت سرویسگیرنده
اطمینان یابد. طی این مكانیزم، نرمافزار مبتنی بر SSL سمت سرویسدهنده پس از مقایسه نام
سرویسگیرنده با نامهای مجاز موجود در لیست سرویسگیرندههای مجاز كه در داخل سرویسدهنده
تعریف میشود و در صورت وجود، اجازه استفاده از سرویس های مجاز را به او میدهد.
۳- ارتباطات رمز شده
كلیه اطلاعات مبادله شده میان سرویسدهنده و گیرنده میبایست توسط نرمافزارهای موجود در سمت
شده و در طرف مقابل رمزگشایی )Encrypt( سرویسدهنده و سرویسگیرنده رمزنگاری
در اینگونه سیستمها لحاظ شود. )Confidentiality( شوند تا حداكثر محرمانگی )Decrypt(
SSL اجزای پروتكل
دارای دو زیر پروتكل تحت عناوین زیر میباشد. SSL پروتكل
كه نوع قالببندی دادههای ارسالی را تعیین میكند. SSL Rocord Protocol -۱
كه براساس قالب تعیین شده در پروتكل قبلی، مقدمات ارسال SSL Handshake Protocol -۲
را تهیه میكند. SSL دادهها میان سرویسدهندهها و سرویسگیرندههای مبتنی بر
به دو زیر پروتكل دارای مزایای چندی است. از جمله: SSL بخشبندی پروتكل
هویت سرویسدهنده برای )Handshake( اول: در ابتدای كار و طی مراحل اولیه ارتباط
سرویسگیرنده مشخص میگردد.
دوم: در همان ابتدای شروع مبادلات، سرویسدهنده و گیرنده بر سر نوع الگوریتم رمزنگاری تبادلی
توافق میكنند.
سوم: در صورت لزوم، هویت سرویس گیرنده نیز برای سرویسدهنده احراز میگردد.
چهارم: در صورت استفاده از تكنیكهای رمزنگاری مبتنی بر كلید عمومی، میتوانند كلیدهای
اشتراكی مخفی را ایجاد نمایند.
SSL رمزنگاری میشوند.الگوریتمهای رمزنگاری پشتیبانی شده در SSL پنجم: ارتباطات بر مبنای
Key Exchcenge ( از اغلب الگورتیمهای عمومی رمزنگاری و مبادلات كلید ، SSL در استاندارد
RSA Key Exchauge و RSA ،۴RC،۲RC ،۵MD ،KEA ،DSA ،DES نظیر )Algorithm
پشتیبانی میشود و بسته به اینكه نرمافزارهای سمت سرویسدهنده و DES و ۳ Skipjack، ۱SHA-،
میتواند براساس هر كدام این از SSL سرویسدهنده نیز از موارد مذكور پشتیبانی نمایید، ارتباطات
الگوریتمها صورت پذیرد. البته بسته به طول كلید مورد استفاده در الگوریتم و قدرت ذاتی الگوریتم
میتوان آنها را در ردههای مختلفی قرار دارد كه توصیه میشود با توجه به سناریوهای موردنظر،
با طول كلید ۱۶۸ بیت برای رمزنگاری دادهها و همچنین DES از الگوریتمهای قویتر نظیر ۳
استفاده شود و یا اینكه اگر امنیت در این حد MD برای مكانیزمهای تأیید پیغام ۵ SHA- الگوریتم ۱
با طول كلید ۴۰ بیت و RC موردنیاز نبود، میتوان در مواردی خاص از الگوریتم رمزنگاری ۴
استفاده نمود. MD الگوریتم تأیید پیغام ۵
SSL نحوه عملكرد داخلی پروتكل
میتواند از تركیب رمزنگاری متقارن و نامتقارن استفاده كند. رمزنگاری SSL همانطور كه میدانید
كلید متقارن سریعتر از رمزنگاری كلیدعمومی است و از طرف دیگر رمزنگاری كلید عمومی
تكنیكهای احراز هویت قویتری را ارایه میكند. یك جلسه SSL Session) SSL ( با یك تبادل پیغام
ساده تحت عنوان SSL Handshake شروع میشود. این پیغام اولیه به سرویسدهنده این امكان را
میدهد تا خودش را به سرویسدهنده دارای كلید عمومی معرفی نماید و سپس به سرویسگیرنده و
سرویسدهنده این اجازه را میدهد كه یك كلید متقارن را ایجاد نمایند كه برای رمزنگاریها و
رمزگشایی سریعتر در جریان ادامه مبادلات مورد استفاده قرار میگیرد. گامهایی كه قبل از
برگزاری این جلسه انجام میشوند براساس الگوریتم RSA Key Exchange عبارتند از:
۱ - سرویسگیرنده، نسخه SSL مورد استفاده خود، تنظیمات اولیه درباره نحوه رمزگذاری و یك داده
تصادفی را برای شروع درخواست یك ارتباط امن مبتنی بر SSL به سمت سرویسدهنده ارسال
میكند.
۲ - سرویسدهنده نیز در پاسخ نسخه SSL مورد استفاده خود، تنظیمات رمزگذاری و داده تصادفی
تولید شده توسط خود را به سرویسگیرنده میفرستد و همچنین سرویسدهنده گواهینامه خود را نیز
برای سرویسگیرنده ارسال میكند و اگر سرویسگیرنده از سرویسدهنده، درخواستی داشت كه
نیازمند احراز هویت سرویسگیرنده بود، آن را نیز از سرویسگیرنده درخواست میكند.
۳ - سپس سرویسگیرنده با استفاده از اطلاعاتی كه از سرویسدهنده مجاز در خود دارد، دادهها را
بررسی میكند و اگر سرویسدهنده مذكور تأیید هویت شد، وارد مرحله بعدی میشود و در
غیراینصورت با پیغام هشداری به كاربر، ادامه عملیات قطع میگردد.
۴ - سرویسگیرنده یك مقدار به نام Premaster Secret را برای شروع جلسه ایجاد میكند و آن را
با استفاده از كلید عمومی )كه اطلاعات آن معمولا در سرویسدهنده موجود است( رمزنگاری میكند
و این مقدار رمز شده را به سرویسدهنده ارسال میكند.
۵ - اگر سرویسدهنده به گواهینامه سرویسگیرنده نیاز داشت میبایست در این گام برای
سرویسدهنده ارسال شود و اگر سرویسگیرنده نتواند هویت خود را به سرویسدهنده اثبات كند،
ارتباط در همینجا قطع میشود.
۶ - به محض اینكه هویت سرویسگیرنده برای سرویسدهنده احراز شد، سرویسدهنده با استفاده از
كلید اختصاصی خودش مقدار Premaster Secret را رمزگشایی میكند و سپس اقدام به تهیه
مقداری به نام Master Secret مینماید.
۷ - هم سرویسدهنده و هم سرویسگیرنده با استفاده از مقدار master Secret كلید جلسه ) Session Key ( را تولید میكنند كه در واقع كلید متقارن مورد استفاده در عمل رمزنگاری و رمزگشایی دادهها
حین انتقال اطلاعات است و در این مرحله به نوعی جامعیت دادها بررسی میشود.
۸ - سرویسگیرنده پیغامی را به سرویسدهنده میفرستد تا به او اطلاع دهد، داده بعدی كه توسط
سرویسگیرنده ارسال میشود به وسیله كلید جلسه رمزنگاری خواهد شد و در ادامه، پیغام رمز شده
نیز ارسال میشود تا سرویسدهنده از پایان یافتن Handshake سمت سرویسگیرنده مطلع شود.
۹ - سرویسدهنده پیغامی را به سرویسگیرنده ارسال میكند تا او را از پایان Handshake سمت
سرویسدهنده آگاه نماید و همچنین اینكه داده بعدی كه ارسال خواهد شد توسط كلید جلسه رمز
میشود.
۱۰ - در این مرحله SSL Handshake تمام میشود و از این به بعد جلسه SSL شروع میشود و هر
دو عضو سرویسدهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال دادهها میكنند.
حملات تأثیرگذار بر SSL
SSL نیز از حملات و نفوذهای مختلف در امان نیست. بعضی از حملات متداولی كه براین پروتكل
واقع میشود عبارتند از Traffic Analysis : یا تحلیل ترافیك، حملات Cut Paste بلووین، حملات
Certification Injection و حملات از نوع Man in the middle .
منبع:اس اس ال چیست؟
تاپیکی هم درمورد من زده شده ازش بگذرید 
پاسخ با نقل قول