Як працюють https і vpn?

Зараз всі навколо говорять про заборону VPN (від англ. Virtual Private Network - віртуальна приватна мережа), але при цьому не завжди намагаються пояснити, що це таке і навіщо потрібно. А найголовніше, чому їхню роботу не можна обмежити. Ось список найбільш популярних завдань, що вирішуються за допомогою такої мережі:

1. Створення приватного тунелю дім/офіс. На основі VPN створюються тунелі для доступу до Ваших приватним ресурсів, тому що даний протокол дозволяє виробляти End-to-End шифрування (про це буде нижче).

2. Створення захищеного каналу в незахищеній мережі. Припустимо, Ви сидите в кав'ярні і хочете перевірити пошту за допомогою внутрішньої Wi-Fi мережі закладу. А Ви впевнені в тому, що Ваші дані нікуди не підуть? VPN дозволяє створювати зашифровані канали в незахищеній мережі, що практично запобігає витоку Ваших даних.

3. Обхід блокувань. Дане завдання є наріжним каменем в питанні "бути чи не бути VPN" для чиновників.


Тепер важливо зрозуміти, як же працює ця приватна мережа. Спочатку дані по захищеному каналу передаються на сервер приватної мережі, який буде провокувати з'єднання до сервера, який Вам потрібен.

Тут важливо зазначити, що абоненти і сервер приватної мережі спочатку явно ідентифікують один одного і обмінюються ключами безпеки. Для цього використовується протокол HTTPS.

Протокол HTTPS використовує криптографію з відкритим ключем для шифрування і підписування повідомлень. Якщо говорити без математики, то така криптографія працює з двома ключами - один для шифрування повідомлення, інший для дешифрування. Відкритий ключ відправляється співрозмовнику, щоб він міг шифрувати повідомлення для нас, приватний ключ ми нікому не повідомляємо. З його допомогою ми дешифруємо повідомлення.

Спочатку абонент повинен упевнитися, що сервер є справжнім. Для цього існують сертифікати безпеки. Якщо говорити зовсім по-простому, то в сертифікаті зазначено, хто його видав, кому і коли. А потім абонент звертається до сервера, який видав сертифікат і звіряє дані.

Після процедури ідентифікації потрібно правильно обмінятися ключами. Якщо Ви просто відправите їх співрозмовнику, то Ваш відкритий ключ можуть перехопити (атака "людина посередині"), а потім відправляти Вам повідомлення від особи Вашого співрозмовника.

Щоб запобігти даній атаці, використовується алгоритм обміну ключами Діффі-Хеллмана. Цей алгоритм дозволяє клієнту і серверу домовитися з приводу загального секретного ключа, без необхідності передачі цього ключа по каналу зв'язку:



Пояснення до ілюстрації: Аліса і Боб (абонент і сервер) домовляються про певний загальний колір, щоб виробити спільний секрет, який згодом буде використовуватися в якості ключа шифрування. Нехай це буде один з відтінків жовтого, дана інформація є загальнодоступною і може бути відома Єві (зловмисник). Потім кожен додає до однієї частини загальної фарби частину секретної, яка відома тільки Алісі або тільки Бобу, в результаті виходить якийсь проміжний колір, який можна відправити по відкритому каналу іншій стороні. Навіть перехопивши обидва цих кольори і маючи в своєму розпорядженні відомості про загальний колір, Єва в розумний проміжок часу не зможе швидко відновити первинні кольори Аліси і Боба.

Таким чином, абонент і сервер мають загальні ключі шифрування, які відомі тільки їм - це якраз і називається End-to-End шифруванням. При такому шифруванні зашифрована інформація передається безпосередньо одержувачу. Крім шифрування, абонент точно знає, що сервер справжній. Сервер теж може перевірити, що абонент справжній. Як правило, це робиться в спеціалізованих VPN (офіси, домашні мережі і т.д.). Наприклад, Ви попередньо вводите свої логін і пароль або надаєте відбиток / зліпок (від англ. - fingerprint) ключа, який був виданий при реєстрації і т.д. Ці нюанси пов'язані з конкретними реалізаціями VPN.

В результаті, Ви отримуєте захищену мережу, якою можна користуватися без небезпеки витоків даних. Як видно, дана система в більшій мірі є корисною, ніж небезпечною.

---

© знайдено в мережі