COMUNICAŢII VOIP ȘI

SERVICII MULTIMEDIA
DE REȚEA
PROTOCOALE DE SECURITATE SSL/TLS

Specializarea: Rețele de Calculatoare și Comunicații, Master an II

Suceava, 2021
Cuprins
I. Introducere..............................................................................................................................2
I.1. Definirea protocoalelor....................................................................................................2
II. Analiza detaliată....................................................................................................................2
II.1 Handshake protocol.........................................................................................................3
II.2 Stratul Handshake............................................................................................................3
II.3 Criptarea..........................................................................................................................4
II.4 Stratul Record..................................................................................................................4
III. Exemple de sistem................................................................................................................4
III.1 Comunicarea dintre client și server folosind protocolul SSL/TLS................................4
IV.Concluzii...............................................................................................................................7
V. Bibliografie............................................................................................................................8

1
I. Introducere

Internetul a deschis o mulțime de oportunități odată cu expansiunea rapidă la nivel

global. Aproape orice lucru ne leagă de internet în zilele noastre. Oamenii pot face achiziții și
tranzacții on-line. Putem reporni orice sistem informatic sau program de pe un alt calculator
direct de la computerul personal.
Deoarece există multe vulnerabilități, hackeri pot obține ilegal informații personale
(date bancare, CNP, parole, fișe medicale, etc.) și accesul la programele și documentele
personale. Prin urmare, nevoia de securitate web este mai importantă ca niciodată în acest
moment.

I.1. Definirea protocoalelor

SSL (Secure Sockets Layer) este un acronim care reprezintă un protocol web
dezvoltat de compania Netscape pentru a transmite fără risc documente private prin Internet.
Pentru a cripta datele, SSL utilizează un sistem criptografic cu două chei: una publică,
cunoscută de oricine, și una privată, secretă, cunoscută numai de destinatarul mesajului. Au
fost oferite mai multe actualizări ale prezentului protocol, astăzi versiunea cea mai nouă fiind
SSL 3.0, devenită standard. Versiunea 3.0 este suportată de majoritatea serverelor Web, fiind
folosită în continuare de foarte multe persoane .
TLS (Transport Layer Security) – este succesorul protocolului SSL. Chiar dacă
există anumite diferențe între TLS și SSL, protocoalele sunt foarte asemănătoare. Obiectivul
protocolului TLS este de a opri interceptarea mesajului, acesta oferind un pachet complet de
securitate criptografică între informațiile confidențiale transmise între servere. Două mari
avantajele ale protocolului TLS sunt independența și transparența.

II. Analiza detaliată

Scopul principal al protocolului SSL/TLS este de a oferi intimitate și fiabilitate între

două aplicații care comunică între ele. SSL/TLS criptează datele cu caracter sensibil ale
utilizatorului atunci când sunt trimise spre un server web de-a lungul unei rețele nesigure.
Protocolul SSL/TLS este compus din două straturi. Primul strat denumit Handshake
protocol (strângere de mână) conține la rândul său alte trei subprotocoale: Handshake,
Change Cipher Spec și Alert. Al doilea strat este definit de protocolul Record.

2
II.1 Handshake protocol

Handshake – Acest subprotocol este folosit pentru schimbul de informații inițiale

dintre client și server. Informațiile schimbate între client și server constă în ID-ul de sesiune,
certificarea peer, specificațiile cifrului, algoritmul de compresie utilizat și informația
confidențială care este folosită pentru a genera o cheie
Change Cipher Spec – Este folosit pentru a partaja informațiile criptate între client și
server. Acesta transmite informații în cealaltă parte a sesiunii SSL/TLS referitoare la modul
de trimitere a unui nou set de chei criptografice.
Alert – Sunt mesaje de alertă care indică o schimbare a statutului sesiunii sau o stare
de eroare. Există o mare varietate de alerte care notifică clientul sau serverul web implicat în
sesiunea SSL/TLS despre modul și condițiile de funcționare. Alertele sunt trimise de obicei
atunci când conexiunea este închisă, nu este primit un anumit mesaj, sau nu poate fi decriptat
un alt mesaj.

II.2 Stratul Handshake

Protocolul Handshake folosește certificatul x509 pentru procesul de autentificare,

certificat care oferă „dovezi” despre identitatea părții care deține certificatul precum și despre
cheia privată corespunzătoare. Astfel de certificate digitale sunt eliberate de o autoritate de
sine stătătoare. Certificatele conțin perioada de valabilitate, cheia publică, semnătura digitală
și serial number-ul distinct.

3
 Autoritatea CA confirmă identitatea solicitantului, iar mai apoi îi emite acestuia
certificatul digital solicitat. De asemena autoritatea poate reînnoi sau revoca un anumit
certificat digital.

II.3 Criptarea

Protocolul SSL/TLS folosește două tipuri distincte de chei criptografice:

a) Cheia simetrică – aceeași cheie este folosită atât pentru criptarea cât și pentru
decriptarea mesajului. Dacă cele două părți doresc să facă schimb de mesaje criptate în
siguranță, trebuie să dețină o copie a aceeași cheie simetrice. Acest tip de cheie se folosește în
cazul criptării unor cantități mari de date, deoarece calculul de criptare și decriptare este mult
mai rapid față de cheia asimetrică.
b) Cheia asimetrică (sau cheia publică) – această cheie este obținută printr-un
proces matematic mai complex. Una dintre chei este făcută publică de autoritatea CA în
certificatul digital atribuit titularului, iar cealaltă cheie este privată nefiind dezvăluită
nimănui. Aceste chei funcționează împreună formând o cheie principală, iar dacă o cheie
( publică) este folosită pentru criptarea datelor, cealaltă cheie ( privată) este folosită pentru
decriptarea acestora și vice-versa .

II.4 Stratul Record

La acest nivel, protocolul record (înregistrare) primește și criptează toate datele

provenite din stratul aplicației și îl pregătește pentru expedierea în următorul strat. (stratul
transport). Datele sunt prelucrate, iar mai apoi fragmentate în dimensiuni apropiate
algoritmului de criptare, li se atribuie adresa unică MAC, iar mai apoi sunt criptate (sau
decriptate) folosind informațiile care au fost negociate în timpul protocolului Handshake .

III. Exemple de sistem

III.1 Comunicarea dintre client și server folosind protocolul SSL/TLS

Protocolul SSL permite schimbul de înregistrări; fiecare înregistrare poate fi, în mod
opțional, compresată, criptată și asignată cu un cod de autentificare al mesajului (MAC).
Fiecare înregistrare are un câmp numit content_type care specifică care protocol este folosit.
Când conexiunea demarează, nivelul înregistrare încapsulează un alt protocol, de tip
handshake protocol, pentru care câmpul content_type are valoarea 22.

4
Clientul trimite și primește mai multe structuri de handshake:
 Trimite un mesaj ClientHello în care specifică lista de metode de criptare care sunt
suportate, metodele de compresie și cea mai actuală versiune a protocolului
cunoscută. De asemenea transmite o secvență aleatoare de biți care va fi folosită
ulterior.
 Primește mai apoi un ServerHello, în care serverul alege parametrii conexiunii din
mulțimea de opțiuni oferită de client mai devreme.
 Când parametrii conexiunii sunt cunoscuți, clientul și serverul schimbă certificatele
(în funcție de algoritmul de codare pentru chei publice ales). Aceste certificate sunt în
prezent de tip X.509, dar exista de asemenea un document care specifică utilizarea
certificatelor bazate pe OpenPGP.
 Serverul poate solicita un certificat clientului, astfel încât conexiunea să fie mutual
autentificată.
 Clientul și serverul negociază un secret comun numit “master secret”, existând aici
opțiunea folosirii rezultatului schimbului Diffie-Hellman, sau mai simplu prin
criptarea cu cheia privată și decriptarea acesteia cu cheia privata a partenerului. Toate
datele legate de chei sunt derivate din acest “master secret” (și de valori generate
aleator de către client sau de către server), care sunt schimbate atent prin funcția
proiectată de “Funcții pseudoaleatore” .

5
TLS/SSL au o varietate de măsuri de securitate:
`Numerotarea tuturor înregistrărilor cu numere de secvență în MAC-uri.
Folosirea unui mecanism de sumarizare a mesajului extins prin folosirea unei chei
(numai dacă se cunoaște cheia să poți verifica MAC).
Protecție împotriva unor tipuri cunoscute de atacuri (incluzând atacuri de tip “man in
the middle”), precum cele de tip forțare la folosirea a unor versiuni mai vechi (și mai puțin
sigure) ale protocolului, sau versiuni mai puțin sigure ale algoritmilor de codare.
Mesajul care încheie handshake (“Finished”) care trimite un hash all tuturor datelor
schimbate între cele două părți.
Funcțiile pseudoaleatore împart datele în două jumătăți și le procesează cu doi
algoritmi diferiți de hash (MD5 și SHA), și apoi face un XOR între ele. În acest fel se
protejează și în cazul în care pentru unul dintre aceste două algoritme se găsește o
vulnerabilitate.
În imaginea de mai jos se poate urmări modul de comunicare dintre un Client și un
Server folosind protocolul SSL/TLS:

6
IV.Concluzii

Aceste două protocoale sunt cele mai răspândite în acest moment la nivel global, fiind
considerate foarte bune pentru securizarea informațiilor cu caracter sensibil. Fiecare protocol
se axează pe un anumit segment, astfel SSL/TLS se folosește cu precădere în cazul
autentificări pe o platformă online web-server (e-commerce).
Chiar dacă sunt considerate protocoale sigure, atât SSL/TLS prezintă anumite
vulnerabilități. În cazul protocolului SSL/TLS cele mai multe vulnerabilități au fost
descoperite nu în „interiorul” protocolului ci mai degrabă datorită factorilor externi. Astfel,
de cele mai multe ori în cazul lacunelor de securitate s-a descoperit că nu protocolul în sine a
falimentat ci certificatele digitale contrafăcute de persoane rău intenționate, combinate cu
slaba informare a utilizatorului privitoare la acest procedeu de autentificare. Practic
utilizatorul era momit să își introducă credințialele într-o pagină fantomă care din punct de
vedere al design-ului era asemănătoare cu pagina legitimă.
Un alt caz de vulnerabilitate este evidențiat de folosirea unei rețele publice sau slab
securizate de Wi-Fi. Datele transmise prin protocoalele mai sus amintite pot fi interceptate
într-o rețea slab securizată de către o persoană rău intenționată cu ajutorul anumitor
programe.
Folosirea acestor protocoale de securitate oferă un nivel ridicat de protecție al datelor
cu caracter sensibil, dar nu elimină total riscurile de interceptare a acestor date către terțe
dispozitive (web server, server, etc.). Informarea și conștientizarea riscurilor la care se
expune un utilizator atunci când transmite infromatii personale, reduc dramatic numărul
cazurilor de compromitere a datelor.

7
V. Bibliografie

1. Transport Layer Securiry, http://en.wikipedia.org/wiki/Transport_Layer_Security

2. Ce este TLS (Transport Layer Security)?,
https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/
3. Evoluția SSL și TLS, https://www.nav.ro/blog/evolutia-ssl-si-tls/