Как работает https
 

Товарищи, я балбес, потому что не могу понять принцип работы этого протокола.

Статей куча: вот пример:


Какой за что ключ отвечает - понятно.

Не понятно только одно:
криптосредство, которое шифрует данные оно находится на стороне сервера или клиента (встроено в браузер)?

Для наглядности пример:
Захожу на сайт интернет-банка.
Все служебные пакеты, все такое произошло. Защищенное соединение установлено. ОК.

У меня в браузере загружена форма, скажем, совершаю перевод средств и мне нужно ввести одноразовый пароль в поле.
Я его вбиваю и нажимаю "Отправить".
Вот от меня к серверу этот пароль уходит в зашифрованном виде?
Если так, что получается, что у меня на компьютере установлено криптосредство, которое шифрует данные?

Криптографическая система с открытым ключом
Ответ выше сами же написали:
У вас установлен браузер, который поддерживает работу по протоколу https.

Собственно я так и полагал, что протокол TLS - по сути и является криптосредством.

А вот если немного усложнить ситуацию.

Имеются в мире такие сервисы, которые так же работают по протоколу https, но они не конечные получатели, а своего рода посредники.

Как правило (по крайней мере, мне известные) такие сервисы - компании ими владеющие являются удостоверяющий центрами.

Например https://online.sbis.ru (Тензор)
Или там Контур-экстерн (СКБ Контур)

----
Компании выдают ЭП (усиленную, квалифицированную) и выступают как специализированные операторы связи между клиентами и, скажем, госорганами (типа ФНС, Росстата и т.п.)

В отличии от Интернет-банкинга (по крайней мере для большинства клиентов) эти компании и их сервисы используют криптосредства клиента: закрытый ключ (сформированный. скажем с помощью КриптоПро), сертификат закрытого ключа (ключа подписи) - он же открытый ключ.
Предоставляют специальную программку - что-то вроде плагина для браузера, но работающую параллельно, которая, как я это понимаю фактически создает ситуацию, когда в качестве криптосредства используется - СКЗИ клиента (тот же КриптоПро).

Или, кстати, тот же Портал госзакупок так работает.

Если я правильно понимаю, то ключи клиента имеют математическую связь с ключами получателя (скажем, госорганов).
---------------

Как я вижу схему передачи сведений через такие сервисы:

1) Криптосистема с открытым ключом работает так:
- открытым ключом шифруются данные, а закрытым ключом они дешифруются.

2) Открытый ключ он - публичный, а закрытые ключи имеются только у отправителя (клиента) и получателя (госоргана).
У УЦ закрытых ключейн НЕТ.
Значит удостоверяющий центр НЕ может расшифровать сообщение (если не прибегать к незаконным методам).

3) Клиент (отправитель) заходит на сайт сервиса и выбирает вариант - доступ по сертификату.
Происходит обмен данными ... Первый же содержательный пакет данных шифруется (с помощью КриптоПро) на компьютере отправителя с помощью открытого ключа (не того, который пересылает сервер, а того, который выдан клиенту ранее).

4) Расшифровать его может только получатель своим закрытым ключом, а получателем является госорган.

5) А что же сайт через который все это загружается (ведь там есть личный кабинет, в котором, в том числе, все данные которые передаются (например файлы xml) хранятся, точнее хранятся они в соответствующей БД сайта (MySQL, MSSQL, Oracle и т .п.)).
Я вижу это так, что раз данные зашифрованы на стороне клиента, а закрытый ключ есть только у получателя (госоргана), то все данные в БД хранятся в зашифрованном виде.
6) Компания - посредник - владелец сайт- специализированный оператор связи не может получить к ним доступ. Она может сжечь сервер, перекрыть канал связи, но зашифрованные данные получить не сможет (ну, только если использует незаконные методы и сломает криптошифр).

Это мое представление о реальности.

Вопрос собственно в том: верно ли оно?

Действительно ли данные которые поступают на сайт указанным образом, не дешифруются там, а потом опять шифруются и передаются получателю?

Можно ли в данном случае сказать, что подобные сервисы-посредники похожи на оборудование провайдеров которые только пропускают через себя поток данных, как отрытых, так и тарабарщину?

Спасибо.

Student00, УЦ всего лишь удостоверяют, что клиент и сервер те, за кого себя выдают. УЦ поэтому и называется "удостоверяющий центр".
Зашифрованное соединение устанавливается только между сервером и клиентом, никакой трафик через УЦ не идёт.

Сходите на курс "Базовые технологии информационной безопасности", типа курсов CompTIA Security+.

DJ Mogarych

Значит, Вы не поняли, что написано в моем предыдущем сообщении.

Я, вероятно, зря приплел сюда УЦ.

Это просто некоторая конкретизация - суть не в этом.

Краткое изложение:
Есть сервис https://online.sbis.ru основной функцией которого является передача сообщений между клиентом и получателем (госорганы и не только).
Есть аналог - тоже ПО, но только установленное локально на машине клиента.

Владеет этим Веб-сервисом Компания. которая одновременно является и УЦ. На этом про УЦ - всё.

Вопрос только в одном: владелец сервиса online.sbis.ru и тому подобных имеет легальный доступ к передаваемым через его сайт данным или, поскольку они шифруются КриптоПро на стороне клиента, то все, что проходит через сервер этого сайта - зашифровано и не доступно сисадминам?

Если вы заполняете какие-то данные на сайте СБИСа или через их программу - данные заносятся в их базу.
Шифруется только передача данных через интернет.

А Крипто-про - это для того, чтобы ставить цифровую подпись и шифровать по алгоритму ГОСТ.
Чтобы СБИС знал, что им отправляется не какая-то шляпа, а реальные данные, подписанные ключом генерального директора, главбуха или ещё какого-то уполномоченного лица. Но принцип тот же - асимметричное шифрование и проверка подлинности.

Вот про это и был первый и особенно 3 пост.

Я пытался размышлять в таком ключе:

Если данные шифруются на стороне клиента - с помощью того же КриптоПро и шифруются они открытым ключом клиента (не тем, который в момент создания защищенного соединения передается с сервера, а тем, который клиент предоставляет сам - который он получил на флешке от УЦ, и который установил в ОС через КриптоПро), то расшифровать пакет данных может только тот, кто имеет математически связанный закрытый ключ - ведь так же?
Закрытый ключ есть у клиента. Предполагаю, что закрытый ключ имеется и у получателя - скажем ФНС. Но у владельца веб-сервиса этого закрытого ключа-то нет (даже при получении сертификата ключа подписи у УЦ они говорят, что бы на принесенных носителях не было приватного ключа, ибо это будет считаться компрометацией).
Как же тогда этот сайт (сервер) дешифрует полученный от клиента пакет?


Иначе, тогда, действует схема такая:
С помощью КриптоПро накладывается только ЭП (для идентификации и аутентификации), а шифрование происходит по той же схеме. что и без этой подписи как, скажем, в каком-нибудь интернет-банкинге.
Тогда конечно, сайт (компания-владелец) будет иметь дешифрованные пакеты, с наложенными на них ЭП.


Вот именно вот эту технологию я не могу понять. :)

Закрытые и открытые ключи имеются и у банка, и у клиента. Они обмениваются открытыми ключами, а закрытыми дешифруют то, что для них предназначено.
В случае с веб-сервером - прочитайте про алгоритм Диффи-Хеллмана.

Вот за такую подсказку - больше спасибо - про алгоритм.
Только получается, что если такая схема работает при работе с почтовым клиентов в on-line сервисе, то аналогично действует, даже если все операции осуществляются в локальном клиенте, но специальным оператором связи является все тот же владелец веб-сервиса.

Т.е. если говорить конкретно, есть online.sbis.ru, где все почтовый клиент подгружается с удаленного сервера через https, а есть программка, которая установлена локально, локальная база, но при нажатии кнопки зашифровать и отправить данные все равно проходят через третий сервер (той же компании, которая владеет и сайтом), который отвечает за пересылку получателю (тот же ФНС и т.п.) и тогда хрен редьки не слаще?

Или все таки, когда вся база находится локально и все операции до непосредственной передачи совершаются тоже локально (создание письма, прикрепление файлов, выбор адресата, шифрование), то сервер копании-посредника работает уже как своеобразный маршрутизатор (ну чуть сложнее)?

Или я опять не прав? :help:

Данные шифруются между обладателями закрытого и открытого ключа. Тот, у кого открытый ключ, шифрует, тот, у кого закрытый - расшифровывает. Сколько оборудования стоит между ними - абсолютно всё равно, данные идут в зашифрованном виде до получателя.

Но после расшифровки данных на стороне получателя, естественно, эти данные отправитель уже не контролирует.

Существующие браузеры в базовой комплектации не поддерживают алгоритм шифрования ГОСТ
По-этому требуется установка дополнительных модулей.
Ну а по способу работы дополнительного модуля определяется список совместимых обозревателей. Какие-то модули позволяют использовать Firefox и прочие нормальные программы, а какие-то - только "единственный и неповторимый" Internet Explorer


Данные шифруются на стороне клиента. При этом производится две операции:
1) подписание данных закрытым ключом отправителя
2) шифрование данных открытым ключом получателя (налоговой инспекции или иного учреждения)
Первая операция обеспечивает подтверждение подлинности и неизменности информации
Вторая операция обеспечивает защиту передаваемой информации от просмотра третьими лицами - расшифровать её может только обладатель закрытого ключа (получатель)

Затем формируется транспортный пакет - к полученному архиву добавляются открытые данные отправителя и получателя, которые использует оператор связи для доставки.
При этом "вёб интерфейс" HTTPS является исключительно вспомогательным режимом.
Основное взаимодействие ведётся по протоколам SMTP и IMAP/POP3, поскольку оператор связи работает в режиме сервера электронной почты. Стандарты e-mail давным-давно допускают шифрование тела письма (текст + вложения) и добавление электронной подписи тела письма. А сайты типа SBIS Online - это аналог вёб-морды для Яндекса и прочих почтовых служб.
Операторы связи здесь не придумали ничего нового. Просто разработали программы почтовых клиентов, поддерживающих алгоритмы ГОСТ, и прошли "сертификацию".