امنیت لایه انتقال (TLS) چیست؟

امنیت لایه انتقال (TLS) چیست؟

لایه انتقال امنیت یا TLS، یک پروتکل رایج و معتبر است که برای ایجاد امنیت و تسهیل داده در ارتباطات اینترنتی طراحی شده است. کاربرد اصلی TLS ، رمزدار کردن ارتباط میان وب اپلیکیشن ها و سرورهاست (سرورهایی مانند: مرورگرهای وب که وبسایت ها را بارگذاری می کنند). همچنین از TLS می توان برای رمز دار کردن دیگر ارتباطات مانند: ایمیل، پیام و صوت روی پروتکل اینترنت (VOIP) استفاده کرد. در این بخش، بیشتر بر روی نقش TLS در امنیت وب اپلیکشن ها بحث خواهد شد.

TLS توسط Internet Engineering Task Force (IETF) – انجمن استاندارد جهانی – ارائه داده شد و اولین نسخه از پروتکل، در سال 1999 میلادی عرضه شد. جدیدترین نسخه TLS، نسخه 1.3 است که در سال 2018 منتشر شد.

تفاوت میان TLS و SSL چیست؟

امنیت لایه انتقال حاصل تکامل پروتکل رمزنگاری قبلی، به نام Secure Socket Layer (SSL) است که توسط Netscape طراحی شده. نسخه 1.0 TLS ، درواقع به عنوان نسخه 3.1 اس اس ال در دست ساخت قرار گرفت، اما قبل از عرضه، دستخوش تغییر نام شد تا نشان دهد که دیگر وابسته به Netscape نیست. بدلیل وجود این تاریخچه، عناوین TSL و SSL بعضی مواقع به درستی عنوان نمی شوند و افراد آنها را اشتباه می گیرند.

تفاوت میان TLS و HTTPS چیست؟

HTTPS یکی از کاربردهای رمزنگاری TLS ، در پروتکل HTTP است که توسط تمامی وبسایت ها و برخی از سرورهای وب، مورد استفاده قرار می گیرد. هروبسایتی که از HTTPS و گواهینامه SSL استفاده می کند، قطعا عنصر TLS را هم درون خود داراست.

چرا باید از TLS استفاده کرد؟

رمزنگاری TLS، وب اپلیکیشن ها را از حملاتی مثل نفوذ داده (Data breach) و حملات DDoS (DDoS Attack) در امان نگه می دارد. امروزه HTTPS های ایمن شده توسط TLS ، به یکی از استاندارد های رایج برای وبسایت ها تلقی می شوند. برای مثال، مرورگر گوگل کروم، به سایت هایی که فاقد HTTPS هستند، حساس می باشد و هرروزه هم به تعداد کاربران اینترنت حساس به وبسایت هایی که علامت قفل مربوط HTTPS را ارائه نمی دهند، اضافه می شود.

نحوه عملکرد TLS چگونه است؟

از TLS می توان در بالا پروتکل لایه امنیت انتقال استفاده کرد. (مانند TCP). TLS دارای سه جزء اصلی است: رمزنگاری، احراز هویت، سندیت.

رمزنگاری

داده های انتقال داده شده را از شخص ثالث پنهان می کند.

احراز هویت

تایید می کند که اشخاص ثالثی که تبادل اطلاعات را انجام می دهند، آیا همان کسانی که ادعا می کنند، هستند.

سندیت

تایید می کند که داده ها جعلی و یا دستکاری شده نباشند.

اتصال یک TLS بعد از اتصال چیزی به نام « TLS handshake » آغاز می شود. TLS handshake پروسه ای برای پنهان کردن داده ها و کلیدهای هر بخش از ارتباطات اینترنتی است. این پروسه (Cypher suite) شامل گروهی از الگوریتم هایی است که جزئیاتی مانند مشخصات و داده های به اشتراک گذاشته که شبیه به کلید ها در آمده اند را در مراحل مختلف مشخص می کنند. TLS قادر است تا مشخصات این کلید ها را برروی یک کانال رمزدار نشده تنظیم کند؛ این پروسه به دلیل وجود تکنولوژی به نام رمزنگاری کلید عمومی (Public key cryptography) عملی می شود.

Handshake، همچنین احراز هویت را هم کنترل می کند که معمولا این مرحله شامل تایید هویت سرور به مشتری است. این پروسه بوسیله استفاده از کلیدهای عمومی (Public keys) انجام می شود. کلیدهای عمومی، کلیدهای رمزنگاری شده ای هستند که پروسه رمز دار شدن یک – طرفه ای را گذرانده اند؛ یعنی هرکسی می تواند با استفاده از کلیدهای شخصی، داده ها را تغییر دهد تا از صحت هویتش مطمئن شود، اما تنها فرستاده اصلی است که داده را با کلیدهای شخصی رمزنگاری کند.

زمانی که داده رمزدار و تایید هویت شده، با یک کد اصالت سنجی (MAC) امضا می شوند. گیرنده می تواند با تایید کد اصالت سنجی، از صحت و بی نقصی داده مطمئن شود. این عمل دقیقا مانند بسته بندی داروهاست؛ مصرف کننده می تواند از دست نخوردگی بسته بندی دریابد محصولی که خریداری کرده، دستکاری نشده است.

TLS چگونه بر عملکرد وب اپلیکیشن تاثیر می گذارد؟

به دلیل پروسه پیچیده تنظیم اتصال TLS، زمانی برای بارگذاری و محاسبه کامپیوتری باید صرف شود. مشتری و سرور باید قبل از تبادل هرگونه داده ای چندین بار ارتباط برقرار کنند و همین باعث می شود تا چند میلیونیوم ثانیه ای برای بارگذاری ها و مقداری حافظه برای سرور و مشتری، صرف شود.

خوشبختانه تکنولوژی هایی برای کاهش تاخیر (Lag) ایجاد شده از طرف TLS handshake وجود دارد. یکی از آنها TLS False Start نام دارد که به مشتری و سرور اجازه تبادل اطلاعات قبل از تکمیل شدن پروسه TLS handshake می دهد. تکنولوژی دیگری که TLS را تسریع می بخشد، TLS Session Resumption نام دارد که به سرور و مشتری هایی که از قبل ارتباط داشته اند اجازه می دهد تا از Handshake خلاصه شده ای استفاده کنند.

این پیشرفت ها به TLS کمک کرده است تا به پروتکلی سریع تبدیل شود و حتی تاثیر قابل توجه ای برروی زمان بارگذاری داده ها نداشته باشد. درست همانند محاسباتی کامپیوتری که وابسته به TLS هستند، خود TLS هم تقریبا در مقایسه با استاندارد های امروزی هزینه ای ناچیز دارد. برای مثال، زمانی که گوگل تمام پلتفرم جیمیل خود را در سال 2010 به HTTPS تغییر داد، دیگر نیازی نداشت تا سخت افزارهای اضافه ای را برای محاسبات کامپیوتری به کار بگیرد. به دلیل وجود رمزنگاری های TLS، زمان اضافی بارگذاری سرورهای گوگل تقریبا کمتر از 1 درصد بود.

منبع: cloudflare