Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuAili Korhonen Muutettu yli 9 vuotta sitten
1
Salattu selainyhteys HTTPS-protokolla eli SSL/TLS-salaus
Secure Socket Layer, Transport Layer Security 1
2
Salattu selainyhteys solo3.nordea.fi salaus avaus solo3 solo3
CA = Verisign RSA Data Security CA:n julkinen avain Selaimen valmistaja Salattu selainyhteys solo3.nordea.fi selain solo3 CAVerisign yksityinen avain Sovitaan käytettävät algoritmit solo3 CAVerisign Tarkistaa varmenteen Valitsee satunnaisen istuntoavaimen (Tässä RSA-salaus, mutta voi olla myös DH-avaimenmuodostus) salaus avaus istuntoavain Samalla todennettiin www-palvelin (= tuntee yksit. avaimen) Tiedon siirto salattu istuntoavaimella Kirjautumis- lomake Käyttäjätunnus + salasana 2 ICT1Tx003 - © Titta Ahlberg
3
Kuvan selityksiä Varmentajat (luotetut kolmannet osapuolet) toimittavat varmenteiden tarkistamisessa tarvittavat julkiset avaimensa selaimen valmistajalle, joka toimittaa ne selaimen käyttäjälle selaimen asennuspaketissa. Www-palvelu muodostaa itselleen avainparin, säilyttää yksityistä avainta vain omassa tiedossaan ja anoo julkiselle avaimelle varmenteen valitsemaltaan varmentajalta. Selainkäyttäjä avaa salatun yhteyden www-palveluun. Selain tarkistaa varmenteen (ks. seuraava kalvo), valitsee symmetrisen avaimen ja toimittaa symmetrisen avaimen varmenteeseen sisältyvällä julkisella avaimella salattuna (kun käytössä RSA-salaus) www-palvelulle. Www-palvelu osoittaa omistavansa avainparin yksityisen avaimen, jos se pystyy avaamaan symmetrisen avaimen salauksen. Käyttäjä todennustiedot välitetään symmetrisellä avaimella salatun yhteyden sisällä. 3 ICT1Tx003 - © Titta Ahlberg
4
TLS (SSL) -salauksen turvallisuus …
TLS (SSL) -suojatun yhteyden tunnusmerkit https lukko suljettu SSL = Secure Sockets Layer (Netscapen kehittämä) TLS = Transport Layer Security (IETF:n suositus) 4 ICT1Tx003 - © Titta Ahlberg
5
… TLS (SSL) -salauksen turvallisuus …
Ennen tunnusmerkkien asettamista, selain tarkistaa: Varmenne kuuluu selaimen URL-rivillä olevalle www-palvelulle on koneen kellonajan perusteella voimassa on selaimen tunteman varmentajan allekirjoittama ja allekirjoitus on eheä ei ole sulkulistalla; ei myöskään allekirjoittajan varmenne (riippuu selaimen asetuksista; uusimmissa yleensä oletuksena) WWW-palvelin osoittaa tietävänsä avainparin yksityisen avaimen avaamalla salatun symmetrisen isuntoavaimen, jonka selain on salannut varmenteessa olevalla palvelimen julkisella avaimella (ks. ensimmäinen kalvo, RSA-salaus). 5 ICT1Tx003 - © Titta Ahlberg
6
Varmenteen sisällön tutkiminen
6 ICT1Tx003 - © Titta Ahlberg
7
Sulkulistan tutkiminen
Avaa sulkulistan osoite IE-selaimella: 7 ICT1Tx003 - © Titta Ahlberg
8
Mikä vialla? 8 ICT1Tx003 - © Titta Ahlberg
9
IE ei kerro tarkempia tietoja ellet jatka eteenpäin
9 ICT1Tx003 - © Titta Ahlberg
10
Firefox kertoo teknisiä yksityiskohtia
10 ICT1Tx003 - © Titta Ahlberg
11
Mikä vialla? 11 ICT1Tx003 - © Titta Ahlberg
12
Mikä vialla? 12 ICT1Tx003 - © Titta Ahlberg
13
… TLS (SSL) -salauksen turvallisuus …
Näitä selain ei voi tarkistaa käyttäjän puolesta Koneen päiväys ja kellonaika ovat oikeat, URL-rivillä on oikean web-palvelimen DNS-nimi, Protokolla on HTTPS, Salatun yhteyden tunnusmerkit ovat kunnossa (lukko), Allekirjoituksen laatinut kolmas osapuoli on luotettava (esim. Verisign, Sonera, Thawte, Terena). Koneessa on haittaohjelma, joka tekee pahojaan ennen salausta. 13 ICT1Tx003 - © Titta Ahlberg
14
… TLS (SSL) -salauksen turvallisuus …
Haittaohjelma selaimessa yhteyden salaus ei poista ongelmaa, koska haittaohjelma toimii ennen salausta ja salauksen purkamisen jälkeen. 14 ICT1Tx003 - © Titta Ahlberg
15
… TLS (SSL) -salauksen turvallisuus …
Kalastelun ja sivustoharhautuksen tunnistaminen: 1) Ei salakirjoitusta => ei suojatun yhteyden tunnusmerkkejä 2) Selain valittaa, ettei se tunne varmenteen allekirjoittajaa HUOM! Havaitseminen vaikeutuu, jos hakkeri on onnistunut lisäämään itsensä varmentajaksi. 15 ICT1Tx003 - © Titta Ahlberg
16
Miten käyttäjä voi havaita? Oikea osoite on https://pankki.fi/
1) Huijari kopioi pankki.fi -sivuston hakkeroidulle palvelimelle xyz.fi sivustoksi /pankki ja lähettää uhrilleen sähköpostin, jossa pyytää uhria klikkaamaan viestissä olevaa linkkiä, joka ohjaa käyttäjän sivulle 16 ICT1Tx003 - © Titta Ahlberg
17
http://www.f-secure.com/weblog/archives/00002235.html 17
ICT1Tx003 - © Titta Ahlberg
18
Miten käyttäjä voi havaita? Oikea osoite on https://pankki.fi/
2) Huijari kopioi pankki.fi -sivuston hakkeroidulle palvelimelle xyz.fi sivustoksi /pankki ja lähettää uhrilleen sähköpostin, jossa pyytää uhria klikkaamaan viestissä olevaa linkkiä, joka ohjaa käyttäjän sivulle (hakkeroidulla palvelimella on aito Verisignin allekirjoittama varmenne) 18 ICT1Tx003 - © Titta Ahlberg
19
Miten käyttäjä voi havaita? Oikea osoite on https://pankki.fi/
3) Huijari kopioi pankki.fi -sivuston omistamalleen palvelimelle sivustoksi pankki.fj, luo omalle palvelimelleen itseallekirjoitetun varmenteen ja lähettää uhrilleen sähköpostin, jossa pyytää uhria klikkaamaan viestissä olevaa linkkiä, joka ohjaa käyttäjän sivulle (FJ = Fiji). 19 ICT1Tx003 - © Titta Ahlberg
20
Miten käyttäjä voi havaita? Oikea osoite on https://pankki.fi/
4) Huijari kopioi pankki.fi -sivuston omistamalleen palvelimelle sivustoksi pankki.fj, huijaa Verisignin myöntämään varmenteen ja lähettää uhrilleen sähköpostin, jossa pyytää uhria klikkaamaan viestissä olevaa linkkiä, joka ohjaa käyttäjän sivulle (FJ = Fiji). 20 ICT1Tx003 - © Titta Ahlberg
21
21 ICT1Tx003 - © Titta Ahlberg
22
22 ICT1Tx003 - © Titta Ahlberg
23
IE ja peruutetut varmenteet
23 ICT1Tx003 - © Titta Ahlberg
24
Firefox käyttää OCSP-protokollaa Online Certificate Status Protocol
Ei ole oletuksena päällä! 24 ICT1Tx003 - © Titta Ahlberg
25
WWW-palvelun perusvarmenne 25 ICT1Tx003 - © Titta Ahlberg
26
Verisign tarjoaa laajennetun tietoturvatason varmenteita
www-palveluille 26 ICT1Tx003 - © Titta Ahlberg
Samankaltaiset esitykset
© 2023 SlidePlayer.fi Inc.
All rights reserved.