Вопрос 7. Стек протоколов ssl. Протокола записи. Протокол извещения. Протокол изменения параметров шифрования.

Протокол записи SSL

Обеспечивает поддержку двух сервисов:

1) конфиденциальность, обеспеченный схемой шифрования с помощью общего ключа К и С;

2) целостность, определяется общий секретный ключ для вычисления значения МАС.

В версии SSL v.3 отказались от сжатия.

Если используется поточное шифрование, то шифруется сразу. Если обычно, то может добавляться заполнитель.

Заголовок протокола записи состоит из следующих полей:

1) Тип содержимого (8 бит) – определяет протокол вышележащего уровня;

2) главный номер версии ()8 бит (3);

3) данный номер версии (8 бит) (0);

4) длина сжатого фрагмента (16 бит), максимальное значение +2048 [2¹⁴+2048].

ПИПШ – протокол изменения параметров шифрования

Представляет собой однобайтовое сообщение, содержащее единицу. Целью этого сообщения является указание копировать параметры состояния ожидания в текущее состояние. В результате чего обновляется комплект шифров.

ПИ – протокол извещения

Состоит из двух байт. Нужен для извещения об ошибках. 1 байт содержит информацию об уровне предупреждения (извещения). 2 байт – код конкретной ошибки. В случае передачи неустранимой ошибки соединение разрывается.

Вопрос 8. Стек протоколов ssl. Протокол квитирования. Этапы согласования параметров соединения.

ПК – протокол квитирования. Этот прокол позволяет К и С выполнить взаимную аутентификацию. Согласовать алгоритмы шифрования, алгоритмы вычисления МАС, криптографические ключи.

.Протокол должен использоваться до начала посылки прикладных программ. Все сообщения протокола квитирования имеют общий формат.

Поля:

1) Тип (1 байт) – указывает одно из 10 возможных типов сообщений;

2) длина (3 байта);

3) содержимое – переменой длины, передающиеся параметры связи, а сообщения конкретного типа.

1 этап - обмен характеристиками защиты. На этом этапе производится инициация защищенных сеансов и определенные связанные с ним характеристики защиты. Начинается с посылки сообщения клиентом – Client Hello. Сообщение содержит следующие параметры:

1) версия- наивысший номер версии SLL, поддерживаемом клиентом;

2) случайное значение – 32 бита, штамп дата – времени, и 28 байт случайного числа ГПСЧ;

3) идентификатор сеанса – переменной длин7ы. Нулевое значение говорит о том, что К хочет создать новое соединение в новом сеансе;

4) комплект шифров, поддерживаемых клиентом в порядке убывания приоритетов;

5) метод сжатия. С возвращает сообщение Server Hello, содержащее те же параметры, но не списки поддерживаемых алгоритмов, а конкретный алгоритм.

Случайное число С никак не связано со случайным значением К.

2 этап – аутентификация и обмен ключами С.

1) С отправляет свой сертификат, если требуется его аутентификация;

2) передача ключей С, содержит необходимые параметры для вычисления ключей симметричного алгоритма шифрования;

3) запрос сертификата К, если требуется аутентификация К для С;

4) (обязательное поле) Завершен этап 2.

3 этап – аутентификация и обмен ключами К.

1) сертификат К, если его запросит С;

2) обмен ключами К (обязательное поле);

3) верификация сертификата, сообщение, позволяющее обеспечить средства прямой верификации сертификата К.

4 этап – Завершение.

К отправляет сообщение протокола ПИПШ, после чего копируются установленные параметры в текущем соединении и передает сообщение «ФИНИШ», зашифрованное с новыми параметрами.

Если расшифрование сообщения «ФИНИШ» на обоих сторонах прошло успешно, то процесс квитирования завершается и К, С могут обмениваться защищенным сообщением прикладного уровня.

С точки зрения К, при использовании защищенного соединения в строке адреса браузера появляется протокол HTTPS и в настройках фаервола необходимо открыть порт 443.