Jinsi ya usalama wa mtandaoni inafanya kazi
Kwa uvunjaji mkubwa wa data katika habari hivi karibuni, huenda ukajiuliza jinsi data yako inalindwa unapokuwa mtandaoni. Unajua, unakwenda kwenye tovuti ya kufanya ununuzi fulani, ingiza namba yako ya kadi ya mkopo, na kwa matumaini siku chache mfuko unakuja mlango wako. Lakini katika wakati huo kabla ya kubofya Amri , je, umewahi kujiuliza jinsi usalama wa mtandaoni unafanya kazi?
Msingi wa Usalama wa Mtandao
Katika fomu ya msingi zaidi, usalama wa mtandaoni - hiyo ni usalama unaofanyika kati ya kompyuta yako na tovuti unayotembelea - inafanywa kupitia mfululizo wa maswali na majibu. Unaweka anwani ya wavuti ndani ya kivinjari chako , basi kivinjari chako kinauliza tovuti hiyo kuthibitisha uhalali wake, tovuti hujibu tena na habari zinazofaa, na mara moja kukubaliana, tovuti inafungua kwenye kivinjari chako.
Miongoni mwa maswali yanayotakiwa na taarifa inayobadilishwa ni data kuhusu aina ya encryption ambayo hutumiwa kupitisha habari ya kivinjari chako, habari za kompyuta, na maelezo ya kibinafsi kati ya kivinjari chako na tovuti. Maswali na majibu haya huitwa mkono wa kushikilia mkono. Ikiwa handshake haifanyiki, basi tovuti unayejaribu kutembelea itaonekana kuwa salama.
HTTP vs HTTPS
Jambo moja unaweza kuona wakati unapotembelea tovuti kwenye wavuti ni kwamba wengine wana anwani ambayo huanza na http na wengine huanza na https . HTTP inamaanisha Itifaki ya Transfer ya Transfer ; ni itifaki au seti ya miongozo inayoonyesha mawasiliano salama juu ya mtandao. Unaweza hata kutambua kwamba maeneo fulani, hasa maeneo ambayo unaulizwa kutoa taarifa nyeti au binafsi kutambua inaweza kuonyesha https ama kijani au nyekundu na mstari kupitia hiyo. HTTPS inamaanisha Itifaki ya Uhamisho ya Hifadhi ya Usalama, na kijani ina maana kwamba tovuti ina cheti cha usalama kilichohakikishiwa. Nyekundu na mstari kwa njia yake inamaanisha tovuti haina cheti cha usalama, au cheti haifai au imekamilika.
Hapa ndio vitu vinavyochanganya. HTTP haina maana data kuhamishwa kati ya kompyuta yako na tovuti ni encrypted. Ina maana tu tovuti ambayo inawasiliana na kivinjari chako ina cheti cha usalama cha kazi. Ni wakati tu S (kama katika HTTP S ) imejumuishwa ni data ambayo inahamishwa salama, na kuna teknolojia nyingine inayotumiwa ambayo inafanya salama hiyo iwezekanavyo.
Kuelewa Itifaki ya SSL
Unapofikiria kushirikiana na mtu, hiyo ina maana kuna chama cha pili kinachohusika. Usalama wa mtandaoni ni njia sawa. Kwa handshake ambayo inahakikisha usalama wa mtandaoni unafanyika, lazima kuna chama cha pili kinachohusika. Ikiwa HTTPS ni itifaki ambayo mtumiaji wa kivinjari hutumia ili kuhakikisha kuna usalama, basi nusu ya pili ya mkono huo ni itifaki inayohakikisha encryption.
Ficha ni teknolojia ambayo hutumika kujificha data iliyohamishwa kati ya vifaa viwili kwenye mtandao. Imekamilishwa na kugeuza wahusika wanaojulikana kwenye gibberish isiyojulikana ambayo inaweza kurudi kwenye hali yake ya awali kwa kutumia ufunguo wa encryption. Hili awali lilifanywa kupitia teknolojia inayoitwa Usalama wa Socket Layer (SSL) .
Kwa asili, SSL ilikuwa teknolojia ambayo iligeuka data yoyote inayohamia kati ya tovuti na kivinjari kuwa gibberish kisha kurudi kwenye data tena. Hapa ndivyo inavyofanya kazi:
- Unafungua kivinjari chako na uboe kwenye anwani ya benki yako.
- Kivinjari chako cha wavuti kinakuja kwenye mlango wa benki na inakuanzisha.
- Mkulima anahakikishia kuwa wewe ni nani unasema wewe ni na kisha anakubali kukuacha chini ya hali ya masharti.
- Kivinjari chako kinakubaliana na hali hiyo na kisha unaruhusiwa kufikia tovuti ya benki.
Utaratibu huo unarudia wakati unapoingia jina lako na nenosiri la mtumiaji, na hatua zingine za ziada.
- Unaingia jina lako la mtumiaji na nenosiri ili uweze kupata akaunti yako.
- Vivinjari vya wavuti wako huambia meneja wa akaunti ya benki ambayo ungependa kufikia akaunti yako.
- Wanazungumza na kukubaliana kama unaweza kutoa uthibitisho sahihi, basi utapewa upatikanaji. Hata hivyo, sifa hizo zinahitajika kuwasilishwa kwa kutumia lugha maalum.
- Kivinjari cha wavuti na meneja wa akaunti ya benki kukubaliana na lugha ambayo itatumika.
- Kivinjari cha wavuti kinabadilisha jina lako na nenosiri la mtumiaji katika lugha hiyo maalum na huiweka kwa meneja wa akaunti ya benki.
- Meneja wa akaunti hupokea data, huiamua, na inaifananisha na rekodi zao.
- Ikiwa sifa zako zinashirikiana, umepewa upatikanaji wa akaunti yako.
Mchakato unafanyika katika sekunde za nano, kwa hivyo hutaona wakati inachukua kwa mazungumzo haya yote na ushirikiano wa kutokea kati ya kivinjari cha wavuti na tovuti.
SSL vs TLS
SSL ilikuwa itifaki ya awali ya usalama ambayo ilitumika ili kuhakikisha kuwa tovuti na data zilizopita kati yao zilikuwa salama. Kulingana na GlobalSign, SSL ilianzishwa mwaka wa 1995 kama version 2.0. Toleo la kwanza (1.0) halijawahi kuingia katika uwanja wa umma. Toleo 2.0 lilibadilishwa na toleo la 3.0 ndani ya mwaka ili kukabiliana na udhaifu katika protokoto. Mwaka wa 1999, toleo jingine la SSL, linaloitwa Usalama wa Tabaka la Usafirishaji (TLS) ilianzishwa ili kuboresha kasi ya mazungumzo na usalama wa handshake. TLS ni toleo ambalo linatumika sasa, ingawa mara nyingi hujulikana kama SSL kwa sababu ya urahisi.
Usajili wa TLS
Ufikiaji wa TLS uliletwa ili kuboresha usalama wa data. Ingawa SSL ilikuwa teknolojia nzuri, mabadiliko ya usalama kwa kasi ya haraka, na hiyo ilisababisha haja ya kuboresha, usalama zaidi wa sasa. TLS ilijengwa juu ya mfumo wa SSL na maboresho makubwa ya taratibu zinazoongoza mchakato wa mawasiliano na ushughulikiaji.
Je, ni Toleo la TLS lini la sasa?
Kama ilivyo na SSL, encryption ya TLS imeendelea kuboresha. Toleo la sasa la TLS ni 1.2, lakini TLSv1.3 imeandikwa na baadhi ya makampuni na watumiaji wametumia usalama kwa muda mfupi. Mara nyingi, wanarudi kwenye TLSv1.2 kwa sababu toleo la 1.3 bado linafanyika.
Baada ya kumalizika, TLSv1.3 italeta maboresho mengi ya usalama, ikiwa ni pamoja na msaada bora kwa aina zaidi ya sasa ya encryption. Hata hivyo, TLSv1.3 pia itaacha usaidizi wa matoleo ya zamani ya protoksi ya SSL na teknolojia nyingine za usalama ambazo haziwe imara zaidi ili kuhakikisha usalama na utambulisho sahihi wa data yako binafsi.