দ্রষ্টব্য: আমি আমার আসল উত্তরটি খুব তাড়াতাড়ি লিখেছি, তবে তখন থেকে এটি মোটামুটি জনপ্রিয় প্রশ্ন / উত্তরে রূপান্তরিত হয়েছে, তাই আমি এটিকে কিছুটা প্রসারিত করেছি এবং এটিকে আরও সুনির্দিষ্ট করেছি।
টিএলএস ক্ষমতা
"এসএসএল" এমন নাম যা প্রায়শই এই প্রোটোকলটি উল্লেখ করতে ব্যবহৃত হয়, তবে এসএসএল বিশেষত 90 এর দশকের মাঝামাঝি নেটস্কেপ দ্বারা ডিজাইন করা মালিকানাধীন প্রোটোকলকে বোঝায়। "টিএলএস" একটি আইইটিএফ স্ট্যান্ডার্ড যা এসএসএল ভিত্তিক, তাই আমি আমার উত্তরে টিএলএস ব্যবহার করব। আজকাল, প্রতিক্রিয়াগুলি হ'ল ওয়েবে আপনার প্রায় সব সুরক্ষা সংযোগগুলি সত্যই এসএসএল নয়, টিএলএস ব্যবহার করে।
টিএলএস এর বেশ কয়েকটি ক্ষমতা রয়েছে:
- আপনার অ্যাপ্লিকেশন স্তর ডেটা এনক্রিপ্ট করুন। (আপনার ক্ষেত্রে, অ্যাপ্লিকেশন স্তর প্রোটোকলটি এইচটিটিপি)
- ক্লায়েন্টের কাছে সার্ভারটি প্রমাণীকরণ করুন।
- ক্লায়েন্টকে সার্ভারে প্রমাণীকরণ করুন।
# 1 এবং # 2 খুব সাধারণ। # 3 কম সাধারণ হয়। আপনি # 2 তে মনোনিবেশ করা বলে মনে হচ্ছে, তাই আমি সেই অংশটি ব্যাখ্যা করব।
প্রমাণীকরণ
একটি সার্ভার শংসাপত্র ব্যবহার করে নিজেকে ক্লায়েন্টের কাছে প্রমাণীকরণ করে। একটি শংসাপত্র হ'ল ডেটা একটি ব্লব [1] যাতে একটি ওয়েবসাইট সম্পর্কে তথ্য থাকে:
- ডোমেন নাম
- পাবলিক কী
- যে সংস্থা এটির মালিক
- যখন জারি করা হয়েছিল
- যখন এটির মেয়াদ শেষ হয়
- কে ইস্যু করেছে
- প্রভৃতি
আপনি গোপনীয়তা অর্জন করতে পারেন (উপরে # 1) শংসাপত্রের অন্তর্ভুক্ত সার্বজনীন কী ব্যবহার করে বার্তাগুলি এনক্রিপ্ট করতে কেবল সেই ব্যক্তিগত কী দ্বারা ডিক্রিপ্ট করা যায়, যা সেই সার্ভারে নিরাপদে সংরক্ষণ করা উচিত [[2] আসুন এই কী জুটিকে কেপি 1 বলুন, যাতে আমরা পরে বিভ্রান্ত না হয়ে যাই। আপনি যাচাই করতে পারেন যে শংসাপত্রের ডোমেন নামটি আপনি পরিদর্শন করা সাইটের সাথে (উপরে # 2) মেলে।
তবে কি যদি কোনও বিরোধী সার্ভারে এবং তার থেকে প্রেরিত প্যাকেটগুলিকে সংশোধন করতে পারে, এবং যদি সেই শত্রুরা আপনার সাথে উপস্থাপিত শংসাপত্রটি সংশোধন করে তাদের নিজস্ব পাবলিক কী inুকিয়ে দেয় বা অন্য কোনও গুরুত্বপূর্ণ বিবরণ পরিবর্তন করে তবে কী হবে? যদি তা ঘটে থাকে, তবে শত্রুরা যে কোনও বার্তাকে সুরক্ষিতভাবে এনক্রিপ্ট করেছিল বলে মনে করে বাধা দিতে ও সংশোধন করতে পারে।
এটি খুব আক্রমণ থেকে রোধ করতে, শংসাপত্রটি অন্যের ব্যক্তিগত কী দ্বারা ক্রিপ্টোগ্রাফিকভাবে এমনভাবে স্বাক্ষরিত হয় যাতে সংশ্লিষ্ট পাবলিক কী রয়েছে এমন যে কেউ স্বাক্ষরটি যাচাই করতে পারে। এই কী কীটিকে কেপি 2 বলুন, এটি পরিষ্কার করার জন্য যে সার্ভারটি ব্যবহার করছে এটি একই কী নয়।
শংসাপত্র কর্তৃপক্ষ
কে কে 2 কে তৈরি করলেন? কে শংসাপত্র স্বাক্ষরিত?
কিছুটা পর্যবেক্ষণ করে একটি শংসাপত্র কর্তৃপক্ষ কেপি 2 তৈরি করে এবং তারা তাদের ব্যক্তিগত কী ব্যবহার করে অন্যান্য সংস্থাগুলির শংসাপত্রগুলি স্বাক্ষর করতে বিক্রয় করে। উদাহরণস্বরূপ, আমি একটি শংসাপত্র তৈরি করি এবং আমি ভেরিসিনের মতো একটি সংস্থাকে তাদের ব্যক্তিগত কী দিয়ে স্বাক্ষর করার জন্য অর্থ প্রদান করি [[3] যেহেতু ভেরিশাইন ব্যতীত অন্য কারও এই ব্যক্তিগত কীতে অ্যাক্সেস নেই, তাই আমরা কেউই এই স্বাক্ষর জাল করতে পারি না।
এবং স্বাক্ষরটি যাচাই করার জন্য আমি কীভাবে ব্যক্তিগতভাবে কেপি 2-তে পাবলিক কী লাভ করব?
আচ্ছা আমরা ইতিমধ্যে দেখেছি যে একটি শংসাপত্র একটি পাবলিক কী ধরে রাখতে পারে - এবং কম্পিউটার বিজ্ঞানীরা পুনরাবৃত্তি পছন্দ করে - তবে কেন কেপি 2 পাবলিক কী একটি শংসাপত্রের মধ্যে রেখে সেভাবে বিতরণ করবেন না? এটি প্রথমে কিছুটা ক্রেজি মনে হচ্ছে তবে বাস্তবে এটি কীভাবে কাজ করে। ভেরিজাইন উদাহরণ দিয়ে চালিয়ে, ভেরিজাইন একটি শংসাপত্র তৈরি করে যাতে তারা কে, কী ধরণের জিনিসগুলিতে তাদের স্বাক্ষর করার অনুমতি দেওয়া হয় (অন্যান্য শংসাপত্রগুলি) এবং তাদের সর্বজনীন কী সম্পর্কে তথ্য রয়েছে includes
এখন যদি আমার সেই ভেরিজাইন শংসাপত্রের একটি অনুলিপি থাকে তবে আমি যে ওয়েবসাইটটি দেখতে চাই তার সার্ভার শংসাপত্রের স্বাক্ষরটি বৈধ করতে আমি এটি ব্যবহার করতে পারি। সহজ, তাই না ?!
ঠিক আছে, এত দ্রুত নয়। আমাকে কোথাও থেকে ভেরিজাইন শংসাপত্রটি পেতে হয়েছিল । যদি কেউ ভেরিজাইন শংসাপত্রটি ফাঁকি দেয় এবং তাদের নিজস্ব পাবলিক কীটি সেখানে রাখে? তারপরে তারা সার্ভারের শংসাপত্রে স্বাক্ষর জাল করতে পারে এবং আমরা যেখানেই শুরু করেছি ঠিক সেখানে ফিরে আসছি: মাঝারি আক্রমণ।
শংসাপত্র শৃঙ্খলা
পুনরাবৃত্তির সাথে চিন্তাভাবনা অব্যাহত রেখে আমরা অবশ্যই একটি তৃতীয় শংসাপত্র এবং একটি তৃতীয় কী জুড়ি (কেপি 3) প্রবর্তন করতে পারি এবং এটি ভেরিগাইন সার্টিফিকেট স্বাক্ষর করতে ব্যবহার করতে পারি। আমরা এটিকে একটি শংসাপত্র শৃঙ্খলা বলি: চেইনের প্রতিটি শংসাপত্রটি পরবর্তী শংসাপত্রটি যাচাই করতে ব্যবহৃত হয়। আশা করি আপনি ইতিমধ্যে দেখতে পাচ্ছেন যে এই পুনরাবৃত্তির পদ্ধতিটি পুরো পথটি কেবল কচ্ছপ / শংসাপত্র। কোথায় থামবে?
যেহেতু আমরা অসীম সংখ্যক শংসাপত্র তৈরি করতে পারি না, তাই শংসাপত্র শৃঙ্খলা অবশ্যই কোথাও থামতে হবে এবং স্ব-স্বাক্ষরিত শৃঙ্খলে একটি শংসাপত্র যুক্ত করে এটি সম্পন্ন হয়েছে ।
আমি আপনার মাথাটি বিস্ফোরিত হয়ে মস্তিষ্কের পদার্থগুলি টুকরো টুকরো করার জন্য এক মুহুর্তের জন্য থামব। স্ব-স্বাক্ষরিত ?!
হ্যাঁ, শংসাপত্র শৃঙ্খলার শেষে ("দ্য" রুট ") রয়েছে, এমন একটি শংসাপত্র থাকবে যা স্বাক্ষর করতে নিজের কীপায়ারটি ব্যবহার করে। এটি অসীম পুনরাবৃত্তি সমস্যাটি দূর করে, তবে এটি প্রমাণীকরণের সমস্যাটিকে ঠিক করে না। যে কোনও ব্যক্তি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে পারে যা এতে কিছু বলে, ঠিক যেমন আমি একটি নকল প্রিন্সটন ডিপ্লোমা তৈরি করতে পারি যা বলে যে আমি রাজনীতি, তাত্ত্বিক পদার্থবিজ্ঞানে ত্রিপল ছড়িয়ে দিয়েছি এবং বাট-কিকিং প্রয়োগ করেছি এবং তারপরে নীচে আমার নিজের নামে স্বাক্ষর করব।
এই সমস্যার [কিছুটা অবাস্তব] সমাধান হ'ল কিছু স্ব-স্বাক্ষরিত শংসাপত্রের সেট বেছে নেওয়া যা আপনি স্পষ্টভাবে বিশ্বাস করেন। উদাহরণস্বরূপ, আমি বলতে পারি, "আমি এই Verisign স্ব-স্বাক্ষরিত শংসাপত্রের উপর বিশ্বাস করি ।"
সেই স্পষ্ট বিশ্বাসের জায়গায় এখন আমি পুরো শংসাপত্র চেইনকে বৈধতা দিতে পারি। শৃঙ্খলে কতগুলি শংসাপত্র রয়েছে তা বিবেচনা না করেই আমি প্রতিটি স্বাক্ষরকে মূল পর্যন্ত যেতে পারি। আমি যখন রুটে উঠি, আমি সেই রুট শংসাপত্রটি এমন একটি কিনা যা আমি স্পষ্টভাবে বিশ্বাস করি। যদি তাই হয় তবে আমি পুরো চেইনে বিশ্বাস করতে পারি।
কনফারড ট্রাস্ট
টিএলএসে প্রমাণীকরণ প্রদত্ত বিশ্বাসের একটি সিস্টেম ব্যবহার করে । আমি যদি একটি অটো মেকানিক ভাড়া নিতে চাই, তবে আমি যে কোনও এলোমেলো মেকানিককে খুঁজে পাই তার উপরে আমি বিশ্বাস করতে পারি না। তবে আমার বন্ধুটি কোনও নির্দিষ্ট মেকানিকের পক্ষে কথা বলছে। যেহেতু আমি আমার বন্ধুকে বিশ্বাস করি, তখন আমি সেই যান্ত্রিককে বিশ্বাস করতে পারি।
আপনি যখন কম্পিউটার কিনে বা ব্রাউজার ডাউনলোড করেন, তখন এটি কয়েকশ মূল শংসাপত্রের সাথে আসে যা এটি স্পষ্টভাবে বিশ্বাস করে [[4] যে সমস্ত সংস্থাগুলি এই শংসাপত্রগুলির মালিক এবং পরিচালনা করে তারা অন্যান্য শংসাপত্রগুলিতে স্বাক্ষর করে এই বিশ্বাসটি প্রদান করতে পারে।
এটি একটি নিখুঁত ব্যবস্থা থেকে অনেক দূরে। কিছু সময় কোনও সিএ ভুলক্রমে একটি শংসাপত্র জারি করতে পারে। এই ক্ষেত্রে শংসাপত্র প্রত্যাহার করার প্রয়োজন হতে পারে। প্রত্যাহার করা জটিল, কারণ জারি করা শংসাপত্র সর্বদা ক্রিপ্টোগ্রাফিকভাবে সঠিক থাকবে; পূর্বে কোন বৈধ শংসাপত্র প্রত্যাহার করা হয়েছে তা খুঁজে বের করার জন্য একটি আউট-অফ-ব্যান্ড প্রোটোকল প্রয়োজন। অনুশীলনে, এর মধ্যে কয়েকটি প্রোটোকল খুব নিরাপদ নয় এবং অনেকগুলি ব্রাউজারগুলি সেভাবে যাচাই করে না।
কখনও কখনও একটি সম্পূর্ণ সিএ আপোস করা হয়। উদাহরণস্বরূপ, আপনি যদি ভেরিজাইন ভাঙতে এবং তাদের মূল স্বাক্ষর কীটি চুরি করতে থাকেন তবে আপনি বিশ্বের কোনও শংসাপত্র ফাঁকি দিতে পারেন । লক্ষ্য করুন যে এটি কেবল ভেরিজাইন গ্রাহকদেরকেই প্রভাবিত করে না: এমনকি যদি আমার শংসাপত্র থাওতে (ভেরিগাইনের প্রতিযোগী) স্বাক্ষরিত হয়, তাতে কিছু আসে যায় না। আমার শংসাপত্রটি এখনও ভেরিজাইন থেকে সমঝোতা স্বাক্ষর কী ব্যবহার করে নকল করা যেতে পারে।
এটি কেবল তাত্ত্বিক নয়। এটা বুনোতে হয়েছে। ডিজিএনোটার বিখ্যাতভাবে হ্যাক হয়েছিল এবং পরে দেউলিয়া হয়ে যায়। কমোডোও হ্যাক হয়েছিল , তবে অবিস্মরণীয়ভাবে তারা আজ অবধি ব্যবসায়ে রয়েছে।
এমনকি সিএগুলি সরাসরি আপোস না করলেও এই ব্যবস্থায় অন্যান্য হুমকি রয়েছে। উদাহরণস্বরূপ, একটি সরকার জাল শংসাপত্রে স্বাক্ষর করতে সিএকে বাধ্য করতে আইনী জবরদস্তি ব্যবহার করে। আপনার নিয়োগকর্তা আপনার কর্মচারী কম্পিউটারে তাদের নিজস্ব সিএ শংসাপত্র ইনস্টল করতে পারেন। এই বিভিন্ন ক্ষেত্রে, আপনি যে ট্র্যাফিক "সুরক্ষিত" হিসাবে প্রত্যাশা করেন তা আসলে সেই শংসাপত্রটি নিয়ন্ত্রণ করে এমন সংস্থার কাছে সম্পূর্ণ দৃশ্যমান / সংশোধনযোগ্য।
কিছু প্রতিস্থাপন সহ প্রস্তাব করা হয়েছে, কনভার্জেন্স , ট্যাক , এবং DANE ।
শেষটীকা
[1] টিএলএস শংসাপত্রের ডেটা X.509 মান অনুযায়ী ফর্ম্যাট করা হয়েছে । X.509 উপর ভিত্তি করে তৈরি ASN.1 ( "সারাংশ সিনট্যাক্স স্বরলিপি # 1"), যার মানে এটা না একটি বাইনারি ডাটা বিন্যাস। সুতরাং, X.509 অবশ্যই বাইনারি বিন্যাসে এনকোড করা উচিত । ডের এবং পিইএম হ'ল আমি জানি যে দুটি সবচেয়ে সাধারণ এনকোডিং ings
[২] বাস্তবে, প্রোটোকলটি আসলে একটি প্রতিসম সাইফারে স্যুইচ করে, তবে এটি এমন একটি বিবরণ যা আপনার প্রশ্নের সাথে প্রাসঙ্গিক নয়।
[3] অনুমানযোগ্য, CA আপনার শংসাপত্রে স্বাক্ষর করার আগে আপনি আসলে কে তা যাচাই করে। যদি তারা তা না করে, তবে আমি কেবল গুগল ডটকমের জন্য একটি শংসাপত্র তৈরি করতে পারতাম এবং সিএতে স্বাক্ষর করতে বলি। সেই শংসাপত্রের সাহায্যে, আমি গুগল ডটকমের সাথে যে কোনও "সুরক্ষিত" সংযোগটি মাঝখানে করতে পারি। অতএব, বৈধতা পদক্ষেপটি সিএ পরিচালনার ক্ষেত্রে খুব গুরুত্বপূর্ণ একটি বিষয় is দুর্ভাগ্যক্রমে, এটি খুব স্পষ্ট নয় যে এই বৈধকরণ প্রক্রিয়াটি বিশ্বের শতাধিক সিএ-তে রয়েছে।
[4] মোজিলার বিশ্বস্ত CAগুলির তালিকা দেখুন ।