איך יש לנטפרי את מפתח ההצפנה
-
שאלה שמטרידה אותי כבר הרבה זמן למבינים בתקשורת + נטפרי:
תקשורת מוצפנת (https) היא על ידי מפתח ציבורי ופרטי, כאשר את הפרטי יש רק לשולח ולמקבל ולא לספק של האינטרנט.
השאלה שלי היא, איך הסינון של נטפרי, שהוא ברמת ספק, יש יכולת לסנן תעבורה מוצפנת? הרי כדי לפענח את זה צריך את המפתח. ואיך נטפרי משיגה את המפתח?
זאת סתם שאלה מתוך סקרנות טכנולוגית.
אשמח להחכים מהפורום הזה.
תודה -
@avremi אשמח גם כן להחכים בכל הסוגיה הזו בכלל
-
@avremi אמר באיך יש לנטפרי את מפתח ההצפנה:
כאשר את הפרטי יש רק לשולח ולמקבל ולא לספק של האינטרנט.
בשתי מילים, התשובה היא שבמקרה של תעבורת HTTPS דרך נטפרי, המקבל/שולח של התעבורה הוא השרת של נטפרי ולא השרת המקורי של האתר.
ביותר משתי מילים:
בשלב הראשון של בקשת HTTPS הדפדפן במקש אימות שמדובר בשרת המבוקש ולא במתחזה. האימות הוא בצורת תעודה שחתומה על ידי מפתח פרטי של סמכות עליונה שהדפדפן מסתמך עליו. בתועדה כתוב ש: "אני, החתום מטה, סמכות XYZ, מעיד שנושא תעודה זו הוא באמת וביושר דומיין example.com ולא מתחזה ח"ו". כאשר הדפדפן שולח בקשה ל-https://example.com נטפרי מיירטים את התעבורה שנועדה לדומיין example.com והם עונים בעצמם לבקשה. מכיון שתעודת השורש של נטפרי מותקנת במחשב הלקוח, הדפדפן תסתמך על כל תעודה שנטפרי מנפיקים. אז שרתי נטפרי מנפיקים תעודה שכתוב בו ככל הנ"ל. ש: "אנחנו, החתומים מטה, עמותת נטפרי ע"ר, מעידים שנושא תעודה זו הוא באמת וביושר דומיין example.com ולא מתחזה ח"ו". כמובן שהכול בלוף גדול... מדובר בשרת נטפרי ולא בשרת example.com.
אחרי שהדפדפן מקבל את האימות שמדובר בשרת הנכון, הוא שולח בקשת HTTP. כאשר שרת נטפרי מקבל את הבקשה הוא מייצר קשר עם השרת המקורי ומעביר לו את הבקשה ככתבה וכלשונה. את התשובה של השרת, מעבירים דרך מכונת הסינון, ואז מעבירים הלאה את התוצאה המכובסת ללקוח.מובן?
-
@yzahn אמר באיך יש לנטפרי את מפתח ההצפנה:
אז שרתי נטפרי מנפיקים תעודה שכתוב בו ככל הנ"ל. ש: "אנחנו, החתומים מטה, עמותת נטפרי ע"ר, מעידים שנושא תעודה זו הוא באמת וביושר דומיין example.com ולא מתחזה ח"ו". כמובן שהכול בלוף גדול... מדובר בשרת נטפרי ולא בשרת example.com.
אני מניח שזו לא המצאה של נטפרי ושאר ספקיות הסינון.
איפה בעולם הגדול נעשה שימוש דומה לזה?
זאת אומרת, לאיזה צורך המציאו את המסלול הזה? -
@אחד-תם
זה יכול לשמש להמון דברים
לדוגמא חברה שרוצה לעקוב אחרי כל התעבורת אינטרנט בחברה לצורך אבטחה וכו -
@yzahn
מיהו הגורם שמנפיק את התעודות?
ומהם הקריטריונים לקבל תעודה 'מזוייפת'? -
@אחד-תם גם אתה יכול להנפיק תעודות. לא צריך רשות מאף אחד. זה סה"כ מפתח פרטי + קצת תכנות. רק שאין אף אחד שיסמתך עליו.
-
@yzahn ואם אתקין אותו אז הדפדפן שלי יסמוך עליו?
-
-
@a0533057932 אז בשביל מה צריך את 'רשויות האישורים'?
-
@אחד-תם כדי לתווך בין שתיים שלא מכירים זה את זה.
אתה יכול להתקין לעצמך, לא לאחרים. -
@אחד-תם אמר באיך יש לנטפרי את מפתח ההצפנה:
@yzahn ואם אתקין אותו אז הדפדפן שלי יסמוך עליו?
התכוונתי לשאול אם אתר הבנק יפתח לי בדפדפן.
@dLive @a0533057932 @yzahn -
@אחד-תם אמר באיך יש לנטפרי את מפתח ההצפנה:
התכוונתי לשאול אם אתר הבנק יפתח לי בדפדפן.
אם תעשה מה בדיוק?
-
@yzahn אני מנסה להבין מי מנפיק את האישורים, ולמי.
תראה את השאלה שלי למעלה. -
@אחד-תם אמר באיך יש לנטפרי את מפתח ההצפנה:
@yzahn
מיהו הגורם שמנפיק את התעודות?
ומהם הקריטריונים לקבל תעודה 'מזוייפת'? -
בעצם נטפרי מתערבת בתוכן המוצפן (מלורי) ומציגה תעודה, שהכל כשר.
אני מנסה להבין מי נתן לה את התעודה, ואיך. -
@אחד-תם השאלות שלך לא ברורות. נראה שעוד לא הבנת איך זה עובד
תתחיל מההתחלה.
מה זה תעודה?
זה קובץ (מידע) שחתום דיגיטלית בצורה שמוכיחה מעל כל ספק א) שהמידע שבתוכה לא השתנה מאז החתימה. ב) שמי שחתם את זה יש לו גישה למפתח הפרטי שמקביל למפתח ציבורי כלשהו. לא פחות ולא יותר.
המפתח הפרטי תמיד נשמר בסוד גדול ורק באמצעותו ניתן לחתום על דברים. המפתח הציבורי ידוע לכל ומפורסם, וניתן בקלות על ידי קצת מתמטיקה לוודא אם פיסת מידע נחתמה על ידי המפתח הפרטי שמקביל למפתח ציבורי כלשהו או לא.
איך חותמים על משהו באמצעות מפתח פרטי? לא ניכנס לפרטים המתמטיים, אבל בשפה פשוטה, אתה מכניס תשובה לבעיה מתמטית כלשהו שאי אפשר שתגיע לתשובה מבלי שתחזיק במפתח הפרטי. התשובה לבעיה המתמטית משתנה לפי התוכן של הקובץ. לכן תשובה נכונה על הבעיה מוכיחה את שני הדברים הקריטיים הנ"ל. שהמידע בקובץ לא השתנה, ושאתה מחזיק במפתח הפרטי.
אחד מהמאפיינים הייחודיים של הבעיה המתמטית הזו הוא שאפשר לאמת בקלות שהתשובה נכונה בלי גישה למפתח הפרטי. אבל אי אפשר להגיע לתשובה בלי שיהיה לך ביד את המפתח הפרטי.תקרא את המשפטים הנ"ל 10 פעמים עד שהם ברורים לך כשמש.
עכשיו, תבין, כל אחד יכול ליצור אין סוף מפתחות פרטיים. ובאמצעותם לחתום על אינסוף של מידע. ונוכל לדעת מעל כל ספק שהחותם הוא הבעלים של המפתח הפרטי XYZ שמקביל למפתח ציבורי ABC. אבל למי איכפת מזה. אף אחד.
אבל, יש בתוך המחשב שלי ושלך ושל כולם מאגר של מפתחות ציבוריים מאוד מאוד מיוחדים. ומה מיוחד בהם? זה שהמחשב סומך על בעלי המפתח הפרטי שמקביל למפתח הציבורי הזה. כל פיסת מידע שתגיע והיא חתומה בצורה שאפשר להוכיח מתוכה שמי שחתם אותה הוא המחזיק של המפתח הפרטי שמקביל לאחד מהמפתחות הציבוריים המיוחדים האלו, תתקבל ללא עוררין על ידי המחשב.
למה? כי מפתחות פרטיים אלו מוחזקים על ידי חברות מפורסמות וידועות, וחברות אלו מחוייבות להתנהגויות מסויימות ותקני אבטחה מחמירות.
מי מכניס את המפתחות האלו למאגר במחשב? במקרה של מחשב ווינדוס מדובר במייקרוסופט. במקרה של מכשיר אנדרויד מדובר בגוגל.עכשיו, מה קורה כאשר אתה ניגש לאתר הבנק שלך? קודם כל אתה מבקש אימות שמדובר באמת באתר הבנק. ואיך הבנק משכנע אותך באמיתת דבר זה? הבנק מגיש בקשה לאחד מהמחזיקים של אחד מהמפתחות הללו המאוד המאוד מיוחדות, ומבקש שהם יתנו להם זוג מפתח ציבורי/פרטי, ושהם יחתמו על תעודה שמעידה שמחזיק המפתח הפרטי שמקביל למפתח הציבורי XYZ הוא הבעלים של הבנק הזה.
עכשיו יש להם דרך להוכיח שהם הבעלים של הבנק: הם יגישו לך תעודה החתומה הנ"ל. באמצעות זה תידע בוודאות שמפתח ציבורי XYZ שייך להם. ואז הם יחתמו על מידע כלשהו באמצעות המפתח הפרטי שלהם. באמצעות קצת מתמטיקה תוכל לוודא שמי שחתם על המידע הוא באמת מחזיק במפתח הפרטי שמקביל למפתח הציבורי XYZ.
בשלב הבא, אחרי שהדפדפן קבע שהוא מדבר עם שרת הבנק, המכונות מחליפים אחד עם השני מפתחות הצפנה, בצורה בטוחה. (כלומר שמי שמסתכל על התעבורה לא יכול לדעת בשום צורה מה המדע שהם מחליפים אחד עם השני. זה נקרא שלב ה-key exchange וזה קורה בצורה בטוחה על ידי קצת מתמטיקה).
מעתה והלאה, כל התעבורה מוצפנת על ידי מפתחות הללו ואף אחד לא יכול לקרוא אותה.מה נטפרי עושים?
הם מייצרים זוג של מפתח פרטי/ציבורי והם מבקשים שתוסיף את המפתח הציבורי שלהם למאגר המפתחות המהימנות שלך.
עכשיו יש להם את הסמכות לחתום על מידע כלשהו ולגרום למחשב שלך להאמין לו ללא עוררין.
עכשיו כאשר אתה ניגש אל אתר הבנק שלך, במקום לקבל את המענה של הבנק אתה מקבל את המענה של השרת של נטפרי. במקום לקבל תעודה ש"מי שמחזיק במפתח הפרטי שמקביל למפתח ציבורי XYZ הוא הבעלים של הבנק", תקבל תעודה אחרת שבה כתוב ש"מי שמחזיק במפתח הפרטי שמקביל למפתח ציבורי ABC הוא הוא הבעלים של הבנק". והמחשב שלך יקבל את המידע המזוייף הזה ללא כל עוררין, מכיון שאפשר להוכיח מעל כל ספק שהמידע חתום על ידי מי שמפתח הציבורי שלו נמצא במאגר הסמכויות הנאמנות במחשב.
בשלב הבא, נטפרי יחתמו מידע כלשהו בצורה שמוכיחה שהם הבעלים של מפתח הפרטי שמקביל למפתח ציבורי ABC. עכשיו גרמת למחשב שלך לקבל ללא עוררין שהשרת של נטפרי הוא שרת של הבנק.
בשלב הבא הם מחליפים מפתחות הצפנה בצורה בטוחה. הדפדפן בטוח שהוא מסר את מפתח ההצפנה לשרת של הבנק. בפועל זה הגיע לשרת של נטפרי.התוצאה: נטפרי הצליחה למקם את עצמה באמצע התעבורה.
אחרי שתקרא ותבין את הכל, ואם עדיין יהיו שאלות, נא לשאול.
-
-
-
אני רואה שיש אי אלו אי דיוקים בתיאור הכללי שלי למעלה.
אבל הרעיון נכון.
אני לא הולך לתקן כי הפרטים הקטנים לא חשובים לנושא.