>>> Ogólne <<<
Poufność (confidentiality) - ochrona danych przed odczytem i kopiowaniem przez osobę nieupoważnioną. Jest to ochrona nie tylko całości danych, ale również ich fragmentów.
Spójność (integrity) - ochrona informacji (również programów) przed usunięciem lub jakimikolwiek nieuprawnionymi zmianami. Np. zapisy systemu rozliczania, kopie zapasowe, atrybuty plików.
Dostępność (availability) - ochrona świadczonych usług przed zniekształceniem i uszkodzeniem. (High availability)
Niezaprzeczalność - zabezpieczenie przed możliwością zaprzeczenia autorstwa dokumentu lub zrealizowania konkretnego działania.
Pomarańczowa Księga (Trusted Computer System Evaluation Criteria - TCSEC) zalecenia wydane w 1983 roku dotyczące zagadnień związanych z ochroną i oceną bezpieczeństwa informacji. Dokument ten powstał z inicjatywy Departamentu Obrony USA oraz Narodowego Biura Standaryzacji.
Czerwona Księga (Trusted Networking Interpretation) - zawiera kryteria oceny bezpieczeństwa sieci komputerowej.
Zielona Księga (Password Management Guideline) - zawiera wytyczne dotyczące stosowania i wykorzystywania haseł.
CC - Common Criteria - jest to dokument standaryzujący zagadnienia związane z ochroną i oceną bezpieczeństwa informacji. Dokument ten określa co należy zrobić, aby osiągnąć zadany cel ale nie określa jak to zrobić. CC odnosi się do produktów programowych i sprzętowych. CC nie zaleca ani nie wspiera żadnej znanej metodyki projektowania i wytwarzania systemów. CC są katalogiem schematów konstrukcji wymagań związanych z ochroną informacji.
ARP (ang. Address Resolution Protocol) - jest protokołem odpowiedzialnym za konwersję adresu IP na adres sprzętowy. Gdy datagram IP jest gotowy do wysłania, host musi dowiedzieć się, jaki jest adres sprzętowy skojarzony z docelowym adresem IP. Dla pakietów wysyłanych wewnątrz sieci lokalnej, będzie to adres interfejsu docelowego. Dla pakietów skierowanych na zewnątrz, będzie to adres jednego z routerów.
Audyt bezpieczeństwa - Rozpoznanie problemu przetwarzania informacji w organizacji (przede wszystkim określenie podstawy prawnej); Rozpoznanie rodzajów informacji przetwarzanych w organizacji; Analiza obiegu poszczególnych grup informacji i rozpoznanie systemów przetwarzania informacji; Analiza zagrożeń i ryzyka przetwarzania informacji; Ocena stosowanych systemów zabezpieczeń;
Kerberos - system ten powstał w czasie realizacji projektu Athena na uniwersytecie MIT. Projekt miał na celu integrację komputerów uniwersyteckich. System weryfikacji autentyczności jest oparty na znajomości haseł zapisanych w serwerze Kerberosa. W procesie uwierzytelniania wykorzystuje się tajny dzielony klucz (shared secret), który pozwala na identyfikację użytkowników bez eksponowania informacji narażających bezpieczeństwo sieci. W systemie uwierzytelniania wyróżnić można cztery komponenty: klient; serwer uwierzytleniający; serwer przepustek lub serwer przyznawania biletów; serwer aplikacji;
Sniffing - czyli węszenie jest zagrożeniem biernym. Polega na odczytywaniu danych przez węzeł, dla którego nie były one przeznaczone. Możliwość taka jest dostępna w wielu urządzeniach (np. analizator sieci). Urządzenia wykorzystujące sniffing są pożyteczne i konieczne. Mogą być jednak wykorzystywane w złych zamiarach. Np. do przechwytywania haseł, odczytywania poczty, odczytywania przesyłanych rekordów baz danych. Często węszenie stanowi etap wstępny przed przystąpieniem do ataku aktywnego.
Wszystkie interfejsy sieciowe w segmencie sieci mają dostęp do wszystkich transmitowanych w nich danych. Każdy interfejs powinien mieć inny adres. Istnieje też przynajmniej jeden adres rozgłoszeniowy (broadcast) odpowiadający wszystkim interfejsom. Normalnie, interfejs reaguje tylko na pakiety, które w polu adresowym mają jego adres, lub adres rozgłoszeniowy.
Sniffer przełącza interfejs w tryb podsłuchu, dzięki czemu interfejs może analizować każdy pakiet w danym segmencie sieci. Jest to bardzo przydatne narzędzie w rękach administratora, służące do ustalania przyczyn nieprawidłowego działania sieci. Można ustalić udział poszczególnych protokołów w ruchu sieciowym, udział poszczególnych hostów w generowaniu i odbieraniu pakietów.
Enumeracja - nazywamy proces wyszukiwania poprawnych kont użytkowników lub źle zabezpieczonych zasobów współdzielonych. Enumercja jest techniką inwazyjną. Wiąże się z aktywnymi połączeniami i ukierunkowanymi zapytaniami. Większość informacji zbieranych w ten sposób wydaje się zwykle błaha. Mogą one być jednak bardzo groźne. Po zdobyciu poprawnej nazwy użytkownika lub zasobu, tylko kwestią czasu pozostaje moment, w którym intruz zdobędzie odpowiednie hasło lub znajdzie lukę związaną z protokołem udostępniania zasobu.
Techniki enumeracji są najczęściej charakterystyczne dla konkretnego systemu operacyjnego. Stosowanie mechanizmów ochronnych pozwalających na ukrywanie informacji o rodzaju zainstalowanego systemu operacyjnego utrudnia również stosowanie odpowiednich technik enumeracji.
Spoofing - czyli atak poprzez podszywanie się w tradycyjnym ujęciu oznacza działanie atakującego, polegające na oszukaniu mechanizmu autentykacji zachodzącego pomiędzy maszynami przekazującymi między sobą pakiety. Proces autoryzacji przeprowadzany jest poprzez sfałszowanie pakietów "zaufanego" hosta - należącego do atakowanej sieci. Obecnie mianem spoofingu określa się dowolną metodę łamania zabezpieczeń opartych na adresie lub nazwie hosta. Istnieje kilka technik podszywania. Spoofing nie jest cechą ściśle określonej warstwy OSI. Można go realizować praktycznie w każdej warstwie.
Ataki tego typu należą do grupy "technik zaawansowanych". Naruszenie bezpieczeństwa następuje w bardzo dyskretny sposób. Techniki spoofingu są bardziej skomplikowane niż inne, przez co rzadko dochodzi do ataków z wykorzystaniem tej metody.
Firewall - Zapora sieciowa jest umieszczana między siecią wewnętrzną organizacji i siecią zewnętrzną. Dostarcza ona prostego mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma sieciami. Podstawowym jej zadaniem jest ograniczenie przepływu danych między tymi sieciami. Przed postawieniem zapory trzeba określić, jakie rodzaje danych mają być przez nią przepuszczane, a jakie nie. Czyli trzeba zdefiniować politykę zapory. Następnie należy skonstruować mechanizmy, które umożliwią wprowadzenie tej polityki w życie.
IDS - Wykrywaniem intruzów nazywamy proces identyfikowania i reagowania na szkodliwą działalność skierowaną przeciw zasobom informatycznym. Jest to proces przebiegający w czasie. Obejmuje technologię, ludzi i narzędzia. Identyfikację intruza można przeprowadzić przed, podczas lub po wystąpieniu działalności szkodliwej. Wynikają z tego określone skutki. Działalność zapobiegawcza może uratować zasoby. Działalność po fakcie zwykle będzie związana z oszacowaniem szkód i określeniem dlaczego doszło do włamania. Działalność związana z włamaniem jest związana z podjęciem decyzji czy zezwolić na kontynuację włamania i obserwować intruza, czy wszcząć alarm i prawdopodobnie go spłoszyć. Reakcja może nastąpić dopiero po identyfikacji.
Klasyfikacja IDS - według źródeł informacji; według metod analizy; według typów odpowiedzi;
PGP (Pretty Good Privacy) - Program ten został napisany w celu zapewnienia kompleksowej ochrony przesyłek pocztowych, i jest to de facto standard w tej dziedzinie. Zasługuje na szczególną uwagę dzięki swojej ogromnej funkcjonalności i popularności. Jest to program autorstwa Phila Zimmermanna dostępny zarówno na systemy operacyjne serii Windows jak i na systemy typu Unix. Zadaniem jego jest dostarczenie użytkownikowi jak najwięcej użytecznych usług związanych z szyfrowaniem. Część z tych usług jest związana bezpośrednio z ochroną poczty elektronicznej.
Użycie ich zapewnia: poufność przesyłki; spójność wiadomości; uwierzytelnianie źródła pochodzenia wiadomości; miemożność wyparcia się autorstwa wiadomości;
Ponieważ program ten z czasem podlegał komercjalizacji, więc opracowany został program, o nazwie GNU Privacy Guard (GPG), oferujący podstawową ochronę poczty.
>>> Kryptograficzne metody ochrony informacji <<<
____
Kryptografia - jest dziedziną nauki o zapewnieniu zabezpieczeń dla informacji.
Kryptoanaliza - jest dziedziną nauki o odkrywaniu słabych stron lub wad w kryptosystemie i sposobach łamania zabezpieczeń zapewnionych przez te systemy.
Szyfrowanie - proces, w którym wiadomość (tekst jawny) przekształcany jest w inną wiadomość (kryptogram - tekst zaszyfrowany) za pomocą funkcji matematycznej oraz hasła szyfrowania (klucza).
Deszyforwanie - proces, w którym kryptogram jest przekształcany z powrotem na oryginalny tekst jawny za pomocą pewnej funkcji matematycznej i klucz.
Klucz kryptograficzny - ciąg symobli, od którego w sposób istotny zależy wynik przekształcenia kryptograficznego.
Przestrzeń kluczy kryptograficznych - określa ono zbiór wszystkich kluczy kryptograficznych określonej długości. Im dłuższa jest przestrzeń klucza, czyli zakres możliwych wartości klucza, tym trudniej jest złamać klucz przy zastosowaniu ataku siłowego.
Zastosowanie metod kryptograficznych - ochrona przed nieautoryzowanym ujawnieniem informacji przechowywanych na komputerze; ochrona informacji przesyłanych między komputerami; potwierdzanie tożsamości użytkownika; potwierdzanie tożsamości programu żądającego obsługi; uniemożliwienie nieautoryzowanej modyfikacji danych;
Algorytm z kluczem tajnym (z kluczem prywatnym lub symetrycznym, lub algorytmy symetryczne) - używają tego samego klucza do szyfrowania i deszyfrowania informacji. Wadą algorytmów symetrycznych jest konieczność bezpiecznego uzgodnienia klucza szyfrującego przed samą transmisją. Najpopularniejsze algorytmy: skipjack, IDEA, RC2, RC4, RC5, DES, 3DES. Niektóre algorytmy tego typu stosują kolejkowanie (64-bitowe bloki danych) przez co zapewniają dodatkowe zabezpieczenie.
4 sposoby łączenia otwartego tekstu - ECB (Electronic Code Book); CBC (Cipher Block Chaining); CFB (Cypher FeedBack); OFB (Output FeedBack); Poza ECB, pozostałe algorytmy generują dla tych samych danych różne szyfrogramy.
Algorytmy z kluczem publicznym (lub z kluczem jawnym lub kluczem asymetrycznym lub algorytmy asymetryczne) - wykorzystują parę kluczy. Do szyfrowania używa się jednego z nich, a do deszyfrowania drugiego. Jeden z tych kluczy musi być tajny (klucz prywatny). Do podstawowych algorytmów z kluczem publicznym należą: RSA, DSA, El Gamal.
Algorytmy skrótu - skrót wiadmości (kryptograficzna suma kontrolna - hasz) jest specjalną liczbą będącą produktem funkcji, która jest nieodwracalna. Algorytm funkcji skrótu powienien spełniać następujące właściwości: spójność; losowość; unikalność; jednokierunkowość. Przykładowe algorytmy skrótu: MD5, SHA.
Podpis cyfrowy - to (zwykle) skrót wiadomości zaszyfrowany za pomocą osobistego klucza osoby podpisującej się - używany w celu potwierdzenia treści. W tej sytuacji proces szyfrowania nazywamy podpisywaniem. Podpis cyfrowy: wskazuje czy dana wiadomość została zmieniona; umożliwia weryfikację osoby podpisującej się; zapewnienie nie wypierania się podpisującego;
Dystrybucja kluczy kryptograficznych - 1) Dystrybucja kurierska; 2) Dystrybucja elektroniczna (w systemach symetrycznych: KDC lub algorytmy EKE Encrypted Key Exchange, lub Diffie Hellmana; w systemach asymetrycznych: CA).
Algorytm Diffie Hellmana (D-H) - jest to protokół kryptograficzny służący do uzgadniania kluczy, w którym dwie strony mogą wylosować pewną liczbę, taką że obie strony po wykonaniu protokołu będą ją znały, za to nie będzie jej znał nikt z podsłuchujących wymianę wiadomości. Liczba ta może być potem używana jako klucz do szyfrowania komunikacji. Protokół nie zabezpiecza przed ingerencjami w komunikację (atak man in the middle), jedynie przed pasywnym podsłuchem. Dlatego należy uzupełnić go o zabezpieczenia przed atakiem aktywnym. Algorytm Diffie Hellmana wykorzystywany jest jako alternatywa dla serwisu uwierzytelniającego KDC (Key Distribution Center), którego zadaniem jest generowanie kluczy sesyjnych w systemach symetrycznych (przykładowym algorytmem dystrybucji typu KDC jest algorytm Cerbera).
Infrastruktura klucza publicznego - celem infrastruktury kluczy publicznych PKI (Public Key Infrastructure) jest zapewnienie zaufanego i wydajnego zarządzania kluczami oraz certyfikatami. PKI jest zdefiniowanew dokumencie Internet X.509 Public Key Infrastructure.
CA - Certificate Authority - jest punktem zaufania dla wszystkich jednostek w strukturze PKI (Public Key Infrastructure). Jego klucz jest stosowany bezpośrednio lub pośrednio do podpisywania wszystkich certyfikatów w strukturze PKI. Główny CA podpisuje także certyfikaty, wydawane innym strukturom PKI (jest to zazwyczaj nazywane cross-certyfication lub certyfikacją skrośną).
PMA - Policy Management Authority - jest ciałem, które ustala i administruje biorem polityk bezpieczeństwa, stosowanych w infrastrukturze, zatwierdza certfyikację innych głównych CA i zewnętrznych CA oraz nadzoruje działanie głównego CA.
RA - Registration Authority - służą do wymiany niezbędnych informacji pomiędzy użytkownikiem a Organami Certyfikacji.
CRL - Certificate Revocation List - jest to okresowo wydawana przez CA podpisana lista unieważnionych certyfikatów identyfikowanych przez numer seryjny (według standardu X.509).
Certyfikat - Jest stosowany w systemach wykorzystujących kryptografię klucza publicznego, gdzie użytkownicy muszą być pewni, że klucz publiczny jednostki, z którą się komunikują, rzeczywiście należy do tej jednostki. Ta pewność jest właśnie wykorzystywana przez użycie certyfikatów kluczy publicznych. Są to struktury danych łączące klucze publiczne z jednostkami, do których one należą. Powiązanie to jest osiągane dzięki zweryfikowaniu przez zaufany CA (Certificate Authority) tożsamości jednostki i podpisaniu certyfikatu. Certyfikat ma ograniczony czas życia. Struktura certyfikatu musi być jednolita w cały PKI (Public Key Infrastructure). Certyfikat jest podpisany, więc może być rozprowadzany za pomocą niezaufanych systemów komunikacyjnych. Mogą być też buforowane w niezabezpieczonych pamięciach.
Podstawowe elementy certyfikatu: numer wersji; numer seryjny; identyfikator algorytmu; identyfikator wystawcy; okres ważności; użytkownik certyfikatu; informacja o kluczu publicznym; rozszerzenia; podpis cyfrowy;
>>> Testy penetracyjne - techniki skanowania <<<
Rekonesans - zbieranie informacji o celu ataku.
Skanowanie przestrzeni adresowej sieci prywatnej - wykrywanie dostępnych serwerów, stacji roboczych, drukarek, routerów i innych urządzeń.
Skanowanie sieci telefonicznej - wykrywanie aktywnych modemów sieci prywatnej.
Skanowanie portów serwerów i urządzeń sieciowych - wykrywanie dostępnych usług.
Identyfikacja systemu - ustalanie rodzaju i wersji systemu, oprogramowania użytkowego, kont użytkowników.
Symulacja włamania - przejmowanie kont, odczytywanie informacji z baz, odczytywanie katalogów współdzielonych, ataki na system kontroli dostępu.
Badanie odporności na ataki typu odmowa usługi (denial of service) - uruchamianie exploitów typu WinNuke, Teardrop, Smurf, Nestea.
W sieci wewnętrznej można jeszcze stosować - podsłuch sieciowy (sniffing); przechwytywanie połączeń (hijacking);
RFC 2196 - Site Security Handbook.
nslookup (UNIX/Windows)- is a command that can be used in Windows and Unix to find the IP addresses of a particular computer, using DNS lookup. The name means "name server lookup".
traceroute (UNIX) lub tracert (Windows) - is a computer network tool used to determine the route taken by packets across an IP network.
W rekordach HINFO możemy znaleźć opis platformy programowo sprzętowej. Niekiedy będzie tam również informacja, że są to systemy testowe (zwykle słabo zabezpieczone). Rekordy MX określają serwery pocztowe.
Skanowanie - ICMP (ICMP echo request - ping); TCP (połączeniowe TCP connect; półotwarte; FIN; XMAS; NULL); UDP; Mapowanie odwrotne; Mapowanie odwrotne z podszywaniem się; Idle scan (zależne od implementacji stosu TCP/IP konkretnego systemu operacyjnego); FTP bounce;
Ukrywanie skanowania - Skanowanie portów w losowej kolejności; Powolne skanowanie; Fragmentacja pakietów (niektóre systemy IDS nie składają pakietów); Odwrócenie uwagi (stworzenie licznego strumienia skanujących pakietów ze sfałszowanymi adresami nadawcy i wysyłanie co jakiś czas pakietu z adresem prawdziwego hosta); Fałszowanie adresu nadawcy; Skanowanie rozproszone;
>>> Bezpieczne protokoły sieciowe <<<
IPSec (IP security) - protokół opracowany w 1992 roku przez IETF (Internet Engineering Task Force). IPSec jest protokołem warstwy trzeciej (poziom protokołu IP), według modelu OSI zapewniającym: poufność (szyfrowanie); integralność (skróty); uwierzytelnianie (podpisywanie) użytkownika lub komputera; przezroczystość dla aplikacji;
Składniki IPSec - Protokoły bezpieczeństwa (uwierzytelniający Authentication Header - AH; zabezpieczenia zawartości pakietu Encapsulating Security Payload - ESP; skojarzenia zabezpieczeń Security Assaciations - SA); Zarządzanie kluczami (Internet Key Management - IKE); Algorytmy uzgadniania parametrów (ISAKMP, Photuris), szyfrowania, kompresji danych (IPCOMP);
Skojarzenia zabezpieczeń definiują jednokirunkowe połączenie, które zabezpiecza transmitowane dane. Komunikacja pomiędzy dwoma urządzeniami w sieci wymaga co najmniej dwóch takich połączeń. Każde połączenie SA jest identyfikowane przez trzy parametry: Security Parameter Index (SPI); Adres IP przeznaczenia (DA); Protokół bezpieczeństwa (AH lub ESP).
AH - określa algorytm uwierzytelnienia, klucze, itp.
ESP - określa algorytm szyfrowania, klucze, itp.
SPI - jest to numer w nagłówku IPSec, pozwalający na określenie informacji potrzebnych do odszyfrowania treści pakietu, sprawdzenia jego integralności lub potwierdzenia tożsamości nadawcy. Pozwala on zlokalizować SA.
SA - określa: informacje definujące algorytm szyfrowania, uwierzytelniania i sprawdzenia integralności; klucze szyfrujące i kodujące wykorzystywane w AH i ESP; okres ważności kluczy; okres ważności tunelu.
Każdy generowany w urządzeniu pakiet musi być konstruowany zgodnie z przyjętą wcześniej polityką bezpieczeństwa. Zalecenia IETF definiują dwie bazy danych, w których przechowywane są informacje na temat sposobu traktowania wszystkich pakietów IP: baza polityki bezpieczeństwa (Security Policy Database - SPD); baza połączenia bezpieczeństwa (Security Association Database - SAD).
Tryb transportowy - jest charakterystyczny dla bezpośrednich połączeń komputer - komputer. Polega na dodaniu za nagłówkiem IP (IPv4), a przed nagłówkiem warstwy transportowej lub za podstawowym nagłówkiem IP (IPv6) nagłówka protokołu bezpieczeństwa (AH lub ESP). Nagłówek IP nie jest więc ukrywany. Z tego powodu można go stosować tylko do transmisji w sieciach LAN (w WAN - problemy z fragmentacją i routingiem). Tryb transportowy stosuje się do komunikacji między komputerami i komunikacji komputerów z bramkami IPSec. W pakiecie szyfrowane są tylko dane. Oryginalny nagłówek IP pozostaje niezmieniony, ale może być podpisany. Zaletą tego rozwiązania jest to, że do każdego pakietu dodawanych jest tylko kilka bajtów. Tryb ten umożliwia urządzeniom sieci publicznej określanie adresu źródłowego i docelowego każdego pakietu. Pozostawienie nieszyfrowanego nagłówka umożliwia obcym prowadzenie analizy ruchu pomiędzy węzłami. Przesyłane dane mogą być jednak szyfrowane.
Tryb tunelowy - jest charakterystyczny dla połączeń sieć-sieć. Oryginalny datagram IP jest w całości szyfrowany stając się zawartością w nowym pakiecie IP. Funkcje szyfrowania, deszyfrowania, sprawdzania integralności i uwierzytelnienia realizują bramy (gateway) rozpoznające protokół IPSec. Źródłowa stacja kliencka wysyła pakiety do sieci odległej w takiej samej (niezaszyfrowanej) postaci jak do innych hostów swojej sieci lokalnej. Całą pracę związaną z zapewnieniem bezpiecznego przesyłania danych wykonują bramy na obu końcach zestawionego tunelu. Główną zaletą tego rozwiązania jest fakt, że systemy docelowe nie muszą być modyfikowane aby korzystać z IPSec. Ten tryb uniemożliwia analizę ruchu. Ukrywane jest prawdziwe źródło i miejsce przeznaczenia pakietu. Jedynym nie szyfrowanym (ale podpisywanym) elementem pakietu jest jego zewnętrzny nagłówek IP. Z zewnątrz możliwe jest więc określenie jedynie końców tunelu.
Podstawowe protokoły negocjacji i dystrybucji: ISAKMP (protokół wymiany parametrów kanałów SA); OAKLEY(protokół wymiany kluczy oparty o algorytm Diffie-Hellmanna); IKE (protokół będący połączeniem ISAKMP i OAKLEY) - zalecany przez IETF; PHOTURIS (protokół negocjacji parametrów kluczy oparty o algorytm Diffie-Hellmanna); SKIP (jw. - produkcji Sun Microsystems);
VPN (Virtual Private Network) - to bezpieczny tunel pomiędzy komputerem zdalengo użytkownika a prywatną siecią organizacji przechodzący przez Internet. W tej chwili podstawowymi protokołami wykorzystywanymi do budowy VPN są: L2TP (Layer 2 Tunneling Protocol) - RFC 2661; PPTP (Point-to-Point Tunneling Protocol) - RFC 2637; Oba protokoły bazują na protokole PPP.
PPP (Point-to-Point Protocol) jest podstawowym elementem w obu protokołach oraz jedynym, który kapsułkuje przekazywane dane (tj. ładunki) w wieciach prywatnych. PPTP i L2TP dodają poprostu kolejną warstwę kapsułkowania do tunelowanych ładunków w sieci publicznej.
Uwierzytelnianie w połączeniach VPN - Uwierzytelnianie użytkowników; Uwierzytelnianie danych i kontrola ich integralności;
SSL (Secure Socket Layer) - protokół ten został opracowany przez firmę Netscape. Projektowany był jako protokół otwarty, czyli charakteryzujący się brakiem przywiązania do jednego algorytmu szyfrowania. Realizuje uwierzytelnienie (autoryzację), szyfrowanie oraz zapewnia integralność wiadomości. Posiada wbudowany mechanizm uwierzytelniania serwera i opcjonalnie klienta. Współpracuje z zaporami sieciowymi i połączeniami tunelowanymi. Bazuje na protokole zapewniającym niezawodną komunikację (np. TCP). Jest niezależny od aplikacji warstw wyższych. Dzięki temu może być wykorzystywany do zabezpieczania takich protokołów jak TELNET, FTP, HTTP. Na stosie protokołów TCP/IP SSL leży pomiędzy warstwą aplikacji zawierającą HTTP, SMTP, Telnet, FTP i inne a warstwą transportową, która zawiera protokół TCP. SSL wykorzystuje dwa rodzaje kryptografii: symetryczną (z pojedynczym kluczem) oraz niesymetryczną (z kluczem prywatnym i publicznym).
TLS (Transport Layer Security) - proto...
webss