دانلود pdf پروتکل‌های SSL/TLS کمیاب و عالی

درس دهم به بررسی جامع پروتکل‌های SSL/TLS می‌پردازد که نقش حیاتی در امنیت ارتباطات اینترنتی ایفا می‌کنند. این پروتکل‌ها به عنوان لایه‌ای امنیتی در جایگاه مشخصی از شبکه قرار می‌گیرند و از پورتهای پیش فرض معروف برای ایجاد کانالهای رمزنگاری شده استفاده می‌کنند.

قالب بسته‌های زیرپروتکل رکورد به دقت تعریف شده است تا امکان پردازش صحیح داده‌های رمزنگاری شده را فراهم آورد. در کنار آن، زیرپروتکل تغییر رمز نیز به عنوان یکی از اجزای کلیدی عمل می‌کند.

فرآیند تبادل پارامترهای امنیتی در چهار فاز اصلی انجام می‌گیرد. این فازها شامل مراحل مختلفی برای مذاکره و توافق بر روی الگوریتم‌ها و کلیدهای رمزنگاری هستند.

گاهی پیام‌هایی اختیاری یا وابسته به موقعیت خاص در طول این فازها مبادله می‌شوند که اهمیت زیادی در انعطاف‌پذیری پروتکل دارند. کلید اولیه اصلی (Pre-Master Secret) در این فرآیند نقش محوری دارد.

زیرپروتکل هشدار نیز برای ارسال پیام‌های خطا یا وضعیت به کار می‌رود و نمونه‌هایی از آن شامل پیام‌های هشدار مختلف است. در مجموع، انواع بار داده (Payload) زیرپروتکل رکورد تصویر کاملی از تنوع اطلاعات مبادله شده ارائه می‌دهند.

برای درک بهتر، می‌توان به مثال اطلاعات فایرفاکس (Firefox) از رمزنگاری جیمیل (Gmail) اشاره کرد که جزئیات رمزنگاری را نمایش می‌دهد. این مثال نیاز به واکاوی بیشتر و یک نقشه راه دقیق برای بررسی دارد.

جزئیات پیکربندی تی‌ال‌اس (TLS) را می‌توان با دستور درباره:پیکربندی (about:config) در فایرفاکس مشاهده کرد. در سمت سرور، تنظیمات آپاچی (Apache) به همراه اوپن‌اس‌اس‌ال (OpenSSL) اهمیت ویژه‌ای پیدا می‌کنند.

پیکربندی ماژول مد_اس‌اس‌ال (mod_ssl) برای فعال‌سازی و مدیریت پروتکل‌های SSL/TLS در وب‌سرور آپاچی ضروری است. این پیکربندی شامل تنظیمات امنیتی کلیدی است که بر نسخه پروتکل‌های اس‌اس‌ال/تی‌ال‌اس و الگوریتم‌های رمز مورد استفاده تأثیر می‌گذارد.

همچنین امکان مجبور کردن کارگزار به عدم استفاده از تبادل کلید دی‌اچ (DH) وجود دارد. به همین ترتیب، مرورگر نیز می‌تواند برای عدم استفاده از دی‌اچ مجبور شود.

در حالت اول، تعامل آر‌اس‌ای (RSA) بین کارخواه و کارگزار مورد بررسی قرار می‌گیرد. در صورت اعتماد به کلید عمومی کارگزار، پروتکل به ادامه می‌یابد.

پیام سلام کارخواه (Client Hello) ابتدا روی پروتکل رکورد ارسال می‌شود. این پیام سلام کارخواه (Client Hello) در داخل یک پیام بزرگتر قرار دارد و شامل جزئیات اولیه ارتباط است.

پاسخ کارگزار با ارسال پیام سلام کارگزار (Server Hello) آغاز می‌شود. در ادامه، گواهینامه (Certificate) خود را نیز در یک پیام جداگانه ارسال می‌کند و فرآیند با پیام پایان سلام کارگزار (Server Hello Done) خاتمه می‌یابد.

پاسخ کارخواه نیز با ارسال تبادل کلید کارخواه (Client Key Exchange) در داخل پیام مربوطه ادامه می‌یابد. امکان رمزگشایی این پیام‌ها توسط وایرشارک (Wireshark) با استفاده از کلید خصوصی کارگزار فراهم است.

این کار به تحلیل کل پروتکل قبل و بعد از رمزگشایی کمک می‌کند و می‌توان پاسخ کارخواه و پاسخ کارگزار را قبل و بعد از رمزگشایی به دقت مشاهده کرد. در این میان، مفهوم گذرنامه نشست (Session Ticket) نیز برای بهینه‌سازی ارتباطات مطرح می‌شود.

حالت دوم، تعامل دی‌اچ (DH) بین کارخواه و کارگزار را نشان می‌دهد. در این حالت، حتی با داشتن کلید خصوصی نیز عدم امکان رمزگشایی پیام‌ها وجود دارد که به دلیل ماهیت تبادل کلید دی‌اچ است.

برای چنین تحلیل‌هایی، کتابخانه ان‌اس‌اس (NSS) و متغیر محیطی آن نقش بسزایی دارند؛ تنظیم متغیر محیطی ان‌اس‌اس در ویندوز نکات مهمی را در پی خواهد داشت. محتوای فایل ثبت اس‌اس‌ال (ssl.log) و تنظیم نشانی این فایل در وایرشارک امکان مشاهده فرآیندها را قبل و بعد از رمزگشایی فراهم می‌کند.

یافتن کلید مرتبط به هر نشست و تبادل الگوریتم‌های رمز پس از فعال‌سازی دی‌اچ از اهمیت بالایی برخوردار است. تبادل کلید کارگزار (Server Key Exchange) و تبادل کلید کارخواه (Client Key Exchange) در این مرحله انجام می‌شود.

تولید کلید اصلی (master secret) که در آر‌اف‌سی ۵۲۴۶ (RFC 5246) تعریف شده، با استفاده از تابع شبه تصادفی (PRF) صورت می‌گیرد. این فرآیند به استخراج شش کلید نشست منجر می‌شود که مثالی از کاربرد کلید نگارش مک (MAC_write_key) را شامل می‌شود. در پایان، آسیب پذیری هارت‌بلید (Heartbleed) و چگونگی سوء استفاده از این آسیب پذیری به عنوان یکی از مهمترین ضعف‌ها در پروتکل‌های SSL/TLS مورد بحث قرار می‌گیرد.