Čo je TLS (Transport Layer Security)

Transport Layer Security (TLS) je protokol vrstvy 5 modelu vrstvy ISO/OSI, ktorý zaisťuje šifrovaný prenos údajov na internete. TLS je nástupcom protokolu SSL a používajú ho napríklad prehliadače na zabezpečené pripojenie HTTPS.

layer

Skratka TLS znamená Transport Layer Security a popisuje následnícky protokol k SSL (Secure Sockets Layer). Pomocou protokolu Transport Layer Security je možné údaje šifrovať a prenášať cez internet alebo iné siete. Jedná sa o hybridný šifrovací protokol (kombinácia asymetrického a symetrického šifrovania), ktorý má nasledujúce ciele. Prenesené údaje by mali byť chránené pred neoprávneným prístupom tretích strán a pred manipuláciou alebo falšovaním pomocou šifrovania. Okrem toho TLS umožňuje autentifikáciu účastníkov komunikácie a kontrolu identity príjemcu alebo odosielateľa. TLS sa často používa na bezpečné spojenie medzi klientom s internetovým prehliadačom a webovým serverom prostredníctvom protokolu HTTPS. Zabezpečenie transportnej vrstvy však môžu využívať aj iné protokoly, ako napríklad SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol) alebo FTP (File Transfer Protocol).

Komunikáciu cez TLS možno rozdeliť do dvoch fáz. Najskôr sa vytvorí spojenie, pri ktorom si klient a server navzájom preukážu svoju totožnosť. Po vytvorení dôveryhodného spojenia sa údaje prenášajú pomocou šifrovacieho algoritmu. V modeli vrstvy ISO/OSI sa zabezpečenie transportnej vrstvy nachádza na vrstve 5 (vrstva relácie). Vďaka svojmu transparentnému spôsobu práce pre protokoly vyšších úrovní je TLS veľmi flexibilný a všestranný. Známe implementácie TLS sú napríklad GnuTLS, OpenSSL alebo LibreSSL.

Záznamový protokol TLS

V protokole Transport Layer Security hrá ústrednú úlohu takzvaný protokol záznamu transportnej vrstvy. Na tomto sú založené ďalšie štyri protokoly normy. Tieto štyri protokoly sú:

  • protokol podania ruky
  • výstražný protokol
  • protokol Change Cipher Spec Protocol
  • aplikačný dátový protokol

Protokol handshake je zodpovedný za dojednanie relácie a jej bezpečnostných parametrov. Okrem iného sú dojednané použité kryptografické algoritmy a kľúčový materiál a komunikační partneri sú autentifikovaní v rámci protokolu podania ruky. Výstražný protokol je zodpovedný za chyby a alarmy spojené s TLS spojeniami. Môže to spôsobiť okamžité ukončenie spojenia. Pomocou protokolu aplikačných údajov sú údaje aplikácií rozdelené do blokov, komprimované, šifrované a prenášané. Nakoniec protokol Change Cipher Spec Protocol informuje príjemcu, že odosielateľ prechádza na šifrovaciu sadu predtým dohodnutú v protokole Handshake.

Nadviazanie spojenia s bezpečnosťou transportnej vrstvy

Ak klient nadviaže spojenie so serverom, autentifikuje sa pomocou certifikátu. Klient skontroluje dôveryhodnosť certifikátu a či sa zhoduje s názvom servera. Klienta je možné voliteľne overiť na serveri. V ďalšom kroku komunikační partneri odvodia kľúč kryptografickej relácie pomocou verejného kľúča servera, pomocou ktorého potom zašifrujú všetky správy, ktoré sa majú preniesť. Autentifikácia a identifikácia komunikačných partnerov je založená na asymetrických metódach šifrovania a kryptografii verejných kľúčov. Aktuálny kľúč relácie je jednorazovo použiteľný symetrický kľúč, pomocou ktorého sú údaje dešifrované aj šifrované.

Definícia autentifikácie pomenovaných entít na základe DNS (DANE)