Crittografia e comprensione dei livelli

0

Se ho ragione, la crittografia SSL ha luogo nel livello applicazione, ma possiamo anche avere la crittografia nello strato Internet.

Perché stiamo usando entrambi, e perché i siti che non hanno SSL sono considerati insicuri anche se le informazioni sono comunque criptate nello strato Internet.

È anche possibile per chiunque in Internet annusare i pacchetti di un sito (ad esempio, stackexchange.com) o l'utente malintenzionato dovrebbe toccare i cavi all'esterno dell'edificio in cui si trovano i server. E se abbiamo la crittografia in Internet Layer e Wi-Fi è il livello fisico, perché è considerato insicuro accedere a un sito senza SSL in una rete Wi-Fi pubblica.

    
posta user46850 19.05.2014 - 12:17
fonte

3 risposte

4

Pensare in "livelli" può essere fonte di confusione. I livelli provengono dal modello OSI che era destinato a un altro insieme di protocolli, ex concorrenti di quello che divenne TCP / IP (il " Protocollo Internet "che usiamo oggigiorno). Se si desidera inserire SSL nel modello dei livelli, è necessario posizionarlo più o meno sul livello 6 o più, ma anche al di sotto del livello 4 allo stesso tempo, il che non funziona. Il "modello di livello" non può davvero digerire SSL.

Quando vuoi sicurezza , quando parli con "un server", vuoi varie cose:

  • Riservatezza : le persone che possono spiare i fili non devono essere in grado di comprendere i dati scambiati.
  • Integrità : le persone che possono collegarsi ai fili non devono essere in grado di alterare i dati durante il transito.
  • Autenticità : quando parli con un server, devi avere una ragionevole garanzia che stai parlando con il server originale, non con un falso controllato da un malintenzionato.

SSL è "end-to-end": garantisce queste caratteristiche indipendentemente dal modo in cui i byte di dati vengono trasportati fisicamente. I sistemi di crittografia applicati su "livelli inferiori", di solito, non hanno questo ampio ambito. Ad esempio, quando si utilizza un punto di accesso WiFi, c'è una certa crittografia che si verifica tra il laptop e il punto di accesso, ma si ferma lì. Il punto di accesso stesso e i router oltre tale punto di accesso vedranno i dati in chiaro.

Esistono protocolli end-to-end che intendono integrare con TCP / IP a un livello inferiore (ad es. IPsec ), ma non vengono utilizzati ampiamente come SSL per la "normale navigazione" a causa della tradizione storica. Infatti, se si desidera una certa sicurezza tra il proprio browser Web e un server Web, sia il browser che il server devono supportare lo stesso protocollo pertinente e accettare di utilizzarlo; al momento, l'unico protocollo che "funziona ovunque" è SSL (motivo per cui le persone si concentrano sul supporto SSL, ecco perché SSL funziona ovunque, motivo per cui le persone si concentrano sul supporto SSL, che ...).

    
risposta data 21.05.2014 - 15:59
fonte
2

Non so cosa intendi per "livello Internet" - presumo che ti riferisci al livello di rete.

La tua domanda si basa sulla crittografia implementata più in basso nello stack: questo è uno scenario possibile ma molto insolito.

La crittografia del livello di rete è facoltativa - IPSec è un esempio di ciò che può fornire una crittografia end-to-end. La crittografia Wi-Fi copre solo l'hop OTA, non gli hop successivi.

Un'ulteriore considerazione è che non tutta la crittografia è basata sullo stesso modello di fiducia - SSL è stato specificamente progettato per verificare il lato server, e facoltativamente il lato client, e per supportare l'autenticazione basata su un piccolo numero di autorità (ad es. È necessario preconfigurare le chiavi per ciascun server), ma ciò comporta un costo che non sarebbe pratico per tutti i tipi di scambi di dati Internet (è piuttosto difficile utilizzare SSL con UDP e ICMP).

    
risposta data 19.05.2014 - 13:09
fonte
2

A causa dell'incapsulamento puoi solo criptare dal tuo livello 'su'. Cioè se sei in SSL (livello 5), sei in grado di crittografare i livelli 5-6-7.

IPsec è un protocollo di livello 3, con il metodo ESP possiamo crittografare l'intero pacchetto IP (sebbene non l'intestazione IP, è necessario essere in grado di vederlo per inoltrare il pacchetto). Ciò crittograferebbe i livelli 3-4-5-6-7.

I siti che non utilizzano SSL sono considerati non sicuri perché non tutti i client utilizzano IPsec per impostazione predefinita. Possiamo considerare una tipica applicazione web come nel livello applicazione (lol).

Per intercettare tutto il traffico verso / da un host devi essere un attaccante sul percorso (Man in the middle). Questo può essere eseguito in diversi modi, come l'avvelenamento ARP.

Non è sicuro effettuare il login senza SSL in una rete pubblica perché chiunque all'interno di quella rete (non al di fuori) potrebbe vedere ciò che stai inviando. La crittografia di livello 2 impedisce agli utenti esterni alla rete di filtrare i pacchetti.

    
risposta data 19.05.2014 - 13:31
fonte

Leggi altre domande sui tag