МАТЕРИАЛИ
Let's Encrypt („Нека да шифроваме“) – лесно и безплатно шифроване на web-сайтове
Проектът Let's Encrypt („Нека да шифроваме“) ще позволи всички web-сайтове да предоставят сигурна шифрована връзка за своите потребители. С това се очаква значително да бъде подобрена сигурността и конфиденциалността на информация в internet. Очаква се също шифроването на връзката към web-сайтове да започне да бъде изисквана от все повече големи internet-организации. В този смисъл изявление направиха например от Фондация Mozilla, която поддържа единствения широко разпространен свободен браузър Firefox, известен със стремежа на потребителите да бъде гарантирана сигурност и конфиденциалност в internet. Проектът е подкрепен и от Electronic Frontier Foundation (EFF), известна със своята легална, финансова, медийна и активистка подкрепа за свободата на словото, конфиденциалността на личната информация и защита на правата на компютърните потребители.
Повечето web-сайтове днес не предлагат шифрована връзка, тъй като техническият процес за това е сложен и струва скъпо. За да може web-сайтът да предложи сигурна шифрована връзката, трябва да бъде удостоверено, че посетителят се е свързал със сайта, който очаква – а не с трето лице, явяващо се злонамерен посредник. Такова удостоверяване се извършва от доставчици на удостоверителни услуги (Certificate Authority – CA). Проектът „Let's Encrypt“ цели това лято да се превърне в доставчик на удостоверителни услуги (CA), след което да започне да предоставя шифровъчно удостоверяване за всеки – безплатно и лесно.
От много години съществуват друг подобни проекти – като например CAcert – които до ден днешен не са официално признати за CA и техните шифровъчни удостоверения не се приемат като сигурни (trusted) от браузъри като Firefox, освен след осъществяването на специални настройки. По подразбиране web-сайтовете с шифрована връзка, които нямат сертификат от признат доставчик на удостоверителни услуги, излизат с предупреждение, че този web-сайт вероятно е несигурен и от потребителя се изисква допълнително потвърждение, за да бъде изпълнена заявката му.
Техническият процес за установяване на сигурна шифрована връзка между потребителя и избрания от него web-сайт включва следните основни стъпки:
- Web-сайтът генерира свой частен и публичен криптографски ключ.
- При посещение web-сайтът предоставя публичния криптоключ на потребителя.
- Потребителят проверява дали полученият ключ наистина принадлежи на web-сайта.
- Потребителят използва ключа на web-сайта, за да шифрова връзката си с него.
Трябва да има сигурен начин потребителят да се увери, че предоставеният му криптоключ наистина принадлежи на web-сайта, с който се опитва да установи връзка. Само така може да бъде сигурно, че шифрованата информация не се чете от трето лице, стоящо между потребителя и web-сайта, и това трето лице не доставя на потребителя фалшиви web-страници, които изглеждат като такива от web-сайта, но имат променено съдържание.
Подобно уверяване в автентичността на предоставения криптоключ става посредством цифрови подписи. Такива подписи могат да бъдат положени върху генерирания от съответния web-сайт публичен криптоключ. За да е сигурно, че в цифровия подпис са отразени действително данните на web-сайта и с този цифров подпис е подписан действително автентичният криптоключ на съответния web-сайт, се явяват доставчиците на удостоверителни услуги (Certificate Authority – CA). С подписването на съответния публичен криптоключ такива доставчици удостоверяват, че точно този ключ принадлежи на конкретния web-сайт.
Браузъри като Firefox идват с вграден списък с удостоверители (CA) и техните ключове, използвани за проверка на цифрови подписи. При отваряне на шифрован web-сайт Firefox проверява дали предоставеният публичен криптоключ е подписан от удостоверител (CA) в неговия вграден списък. По този начин Firefox преценява дали може да се вярва, че отразените в цифровия подпис данни са истински и автентични. Ако бъде установена липса на идентичност или липса на подпис от оторизиран удостоверител (CA), вместо да се отвори търсеният web-сайт, излиза предупреждение за рисковете от евентуално прихващане на трафика от трети злонамерени лица.
Източник: Институт за свободни технологии – www.LibTec.org
Подобно уверяване в автентичността на предоставения криптоключ става посредством цифрови подписи. Такива подписи могат да бъдат положени върху генерирания от съответния web-сайт публичен криптоключ. За да е сигурно, че в цифровия подпис са отразени действително данните на web-сайта и с този цифров подпис е подписан действително автентичният криптоключ на съответния web-сайт, се явяват доставчиците на удостоверителни услуги (Certificate Authority – CA). С подписването на съответния публичен криптоключ такива доставчици удостоверяват, че точно този ключ принадлежи на конкретния web-сайт.
Браузъри като Firefox идват с вграден списък с удостоверители (CA) и техните ключове, използвани за проверка на цифрови подписи. При отваряне на шифрован web-сайт Firefox проверява дали предоставеният публичен криптоключ е подписан от удостоверител (CA) в неговия вграден списък. По този начин Firefox преценява дали може да се вярва, че отразените в цифровия подпис данни са истински и автентични. Ако бъде установена липса на идентичност или липса на подпис от оторизиран удостоверител (CA), вместо да се отвори търсеният web-сайт, излиза предупреждение за рисковете от евентуално прихващане на трафика от трети злонамерени лица.
Източник: Институт за свободни технологии – www.LibTec.org
