Hvad er Mutual Transport Layer Security (mTLS)

  • Blog
  • Hvad er Mutual Transport Layer Security (mTLS)

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Hvad er Mutual Transport Layer Security (mTLS)

8 min læses

Indholdsfortegnelse

mTLS-definition #

Mutual Transport Layer Security (mTLS), ofte omtalt som Two-Way TLS, repræsenterer en avanceret udvidelse af den udbredte Transport Layer Security (TLS)-protokol. Det primære formål med mTLS er at sikre, at begge parter i en kommunikationskanal, klienten og serveren, autentificerer hinanden gennem udveksling af digitale certifikater. Denne gensidige autentificeringsproces bygger på de grundlæggende principper i TLS, en protokol, der i sig selv udviklede sig fra den tidligere Secure Sockets Layer (SSL)-protokol, der blev skabt af Netscape Communications i midten af ​​1990'erne.

Hvad er en privat nøgle og en offentlig nøgle #

I mTLS spiller private og offentlige nøgler en afgørende rolle i etableringen af ​​sikker kommunikation:

offentlig nøgle #

DefinitionEn offentlig nøgle er en kryptografisk nøgle, der kan deles åbent.
Brug i mTLSDet er en del af et digitalt certifikat og bruges af andre til at kryptere data eller verificere signaturer fra den tilsvarende private nøgle.

private nøgle #

DefinitionEn privat nøgle er en hemmelig kryptografisk nøgle, der holdes fortrolig af ejeren.
Brug i mTLSDet bruges til at dekryptere data krypteret med den offentlige nøgle eller til at oprette digitale signaturer.

Hvordan de fungerer sammen i mTLS #

  • KrypteringData krypteret med en offentlig nøgle kan kun dekrypteres med den tilsvarende private nøgle, hvilket sikrer, at kun den tilsigtede modtager kan læse dem.
  • GodkendelseEn signatur oprettet med en privat nøgle kan verificeres af enhver med den tilsvarende offentlige nøgle, hvilket bekræfter afsenderens identitet.

I mTLS:

  • Klient- og servergodkendelseBegge parter udveksler certifikater, der indeholder deres offentlige nøgler. Hver part bruger disse til at godkende den anden part.
  • Sikker nøgleudvekslingDe forhandler sikkert en delt hemmelig nøgle, der bruges til at kryptere yderligere kommunikation, og udnytter egenskaberne ved deres offentlige og private nøgler.

Denne mekanisme sikrer, at både klienten og serveren verificeres, og at kommunikationen forbliver sikker.

Hvad er symmetrisk og asymmetrisk kryptering #

I mTLS bruges både symmetrisk og asymmetrisk kryptering til at sikre kommunikation:

Asymmetrisk kryptering #

DefinitionBruger et par nøgler (offentlig og privat). Den offentlige nøgle krypterer data, og kun den tilsvarende private nøgle kan dekryptere dem.
Brug i mTLS:

  • CertifikatudvekslingUnder handshake bruges offentlige nøgler i certifikater til at etablere identitet og godkende begge parter.
  • Digitale signaturerHver part underskriver beskeder med sin private nøgle, og den anden part verificerer signaturen med den offentlige nøgle.

Symmetrisk kryptering #

DefinitionBruger en enkelt delt hemmelig nøgle til både kryptering og dekryptering af data.
Brug i mTLS:

  • Sikker kommunikationEfter handshake genereres en symmetrisk nøgle, som bruges til at kryptere alle efterfølgende dataudvekslinger, hvilket sikrer fortrolighed og hastighed.

Hvordan de fungerer sammen i mTLS #

  • NøgleudvekslingAsymmetrisk kryptering udveksler nøgler sikkert og verificerer identiteter.
  • SessionskrypteringSymmetrisk kryptering krypterer dataene under sessionen, hvilket giver hurtig og effektiv kommunikation.

Denne kombination udnytter styrkerne ved begge krypteringstyper for at sikre sikker, autentificeret og effektiv kommunikation.

Udviklingen af ​​TLS #

TLS blev introduceret som en efterfølger til SSL for at afhjælpe de sikkerhedsfejl og begrænsninger, der er forbundet med SSL-protokollen. TLS 1.0, den første officielle version af TLS, blev standardiseret i 1999 under RFC 2246. Gennem årene har TLS gennemgået flere revisioner for at forbedre sikkerhed og ydeevne, hvor TLS 1.3 er den seneste version på nuværende tidspunkt.

Rollen af ​​gensidig godkendelse i TLS #

Fra starten inkluderede TLS-protokollen muligheden for gensidig godkendelse, selvom denne funktion ikke blev almindeligt anvendt i mange traditionelle applikationer. I typiske TLS-implementeringer godkendes kun serverens identitet til klienten ved hjælp af et X.509-certifikat, mens klientens identitetsbekræftelse ofte overlades til applikationslaget. Dette er tydeligt, når du ser hængelåsikonet i din webbrowsers adresselinje, hvilket indikerer en sikker forbindelse, hvor serverens identitet er blevet bekræftet.

Gensidig godkendelse i TLS involverer dog, at begge parter præsenterer deres certifikater. Denne tovejsverifikation sikrer, at både klienten og serveren kan stole på hinandens identiteter, hvilket skaber en mere sikker kommunikationskanal. Trods sine robuste sikkerhedsfordele har gensidig godkendelse traditionelt set begrænset anvendelse i forbrugerapplikationer på grund af kompleksiteten og de operationelle omkostninger, der er forbundet med at administrere klientsidecertifikater.

Hvordan fungerer mTLS #

mTLS, eller gensidig TLS, forbedrer sikkerheden ved at kræve, at både klient og server godkender hinanden. Her er en detaljeret oversigt over de involverede trin:

hvordan fungerer mTLS

1. Klienten opretter forbindelse til serveren:

  • Klienten sender en "Kunde Hej" besked til serveren.
  • Denne besked indeholder understøttede TLS-versioner, krypteringspakker og et tilfældigt genereret tal til sessionssikkerhed.

2. Server præsenterer TLS-certifikat:

  • Serveren svarer med et "Server Hej"Besked.
  • Den vælger TLS-versionen, krypteringssuiten og angiver sit eget tilfældige tal.
  • Serveren sender sit digitale certifikat, underskrevet af en betroet certifikatmyndighed (CA).
  • Certifikatet indeholder serverens offentlige nøgle og identitetsoplysninger.
  • Serveren anmoder om klientens certifikat og angiver, at den kræver klientgodkendelse.

3. Klienten verificerer serverens certifikat mod CA'en:

  • Klienten verificerer serverens certifikat mod sin liste over betroede CA'er.
  • Hvis verifikationen mislykkes, afbrydes forbindelsen.

4. Klienten fremviser TLS-certifikat:

  • Klienten sender sit certifikat, som også indeholder dens offentlige nøgle og identitet.
  • Dette certifikat bruges af serveren til at bekræfte klientens identitet.

5. Serveren verificerer klientens certifikat mod CA'en:

  • Serveren verificerer klientens certifikat mod sin liste over betroede CA'er.
  • Hvis verifikationen mislykkes, afbrydes forbindelsen.

6. Nøgleudveksling og sikker kommunikation:

  • Begge parter bruger de udvekslede tilfældige tal og den valgte krypteringspakke til at generere en delt hemmelig nøgle. Denne delte hemmelighed bruges til at kryptere yderligere kommunikation.
  • Begge parter sender "færdig"-beskeder, krypteret med den delte hemmelige nøgle. Dette bekræfter, at håndtrykket var vellykket og sikkert.
  • Efter handshake krypteres al kommunikation ved hjælp af symmetrisk kryptering baseret på den delte hemmelige nøgle. Dette sikrer fortrolighed og integritet af de udvekslede data.

Ved at kræve, at både klienten og serveren autentificerer hinanden, giver mTLS et højere sikkerhedsniveau, hvilket er afgørende for følsomme miljøer, hvor tillid er altafgørende.

Sådan implementerer du mTLS med RELIANOID #

At implementere mTLS med RELIANOID, følg disse trin:

1. Angiv servercertifikaterUpload et eller flere servercertifikater, inklusive jokertegncertifikater om nødvendigt, for at sikre serverkommunikation.
2. Anmodning om klientcertifikatVælg tilstanden til håndtering af klientcertifikater:

  • Bed om certifikatetValgfrit, fejler ikke, hvis klienten ikke fremviser et certifikat.
  • Spørg og fejlKræver et certifikat; forbindelsen mislykkes, hvis det ikke præsenteres.
  • Spørg, men bekræft ikkeAccepterer certifikatet uden verifikation.

3. KrypteringskonfigurationDefiner en liste over acceptable krypteringskoder for at sikre, at der anvendes sikre krypteringsprotokoller.
4. CA-listefilAngiv en fil, der indeholder betroede certifikatmyndigheder (CA'er), som serveren vil bruge til at verificere klientcertifikater.
5. Bekræft listeUpload en fil med CA-rodcertifikater i PEM-format. Denne liste bruges til at godkende klientcertifikater mod betroede CA'er.
6. CRL-listeInkluder en fil med certifikattilbagekaldelseslister (CRL'er) i PEM-format. Dette bruges til at kontrollere og afvise eventuelle tilbagekaldte certifikater.

Ved at indstille disse konfigurationer sikrer du en sikker mTLS-opsætning, der muliggør gensidig godkendelse og sikker kommunikation.

mTLS i moderne applikationer #

Implementeringen af ​​mTLS er steget markant i de senere år, især som reaktion på voksende cybersikkerhedstrusler og lovgivningsmæssige krav. I 2010'erne og fremefter har der været en betydelig stigning i implementeringen af ​​mTLS på tværs af forskellige brancher, drevet af behovet for forbedrede sikkerhedsforanstaltninger for at beskytte følsomme data under overførsel.

Brugsscenarier og fordele ved mTLS #

mTLS er særligt udbredt i business-to-business (B2B)-miljøer, hvor høje sikkerhedsstandarder er altafgørende. I sådanne scenarier interagerer et begrænset antal homogene klienter ofte med specifikke webtjenester. Den operationelle byrde ved at administrere certifikater i disse kontrollerede miljøer mindskes af de betydelige sikkerhedsfordele, som mTLS tilbyder. Nogle vigtige anvendelsesscenarier for mTLS inkluderer:

Sikker API-kommunikation #

mTLS bruges i vid udstrækning til at sikre kommunikationen mellem forskellige mikrotjenester i et distribueret system, hvilket sikrer, at kun godkendte tjenester kan interagere med hinanden.

Financial Services #

I den finansielle sektor hjælper mTLS med at beskytte følsomme transaktioner ved at sikre, at både klienten (f.eks. en bankapplikation) og serveren (f.eks. en finansiel institutions backend-system) kan stole på hinanden.

Sundhedsdatabeskyttelse #

mTLS anvendes til at beskytte overførslen af ​​følsomme sundhedsdata mellem medicinsk udstyr, sundhedsudbydere og cloudtjenester og sikre overholdelse af regler som HIPAA.

Konklusion #

Mutual Transport Layer Security (mTLS) bygger videre på de grundlæggende elementer i TLS og udvider dets muligheder til at omfatte gensidig godkendelse. Selvom konceptet har været en del af TLS siden dets tidlige versioner, er dets anvendelse blevet mere udbredt i de senere år på grund af det stigende behov for robuste sikkerhedsforanstaltninger i moderne applikationer. Ved at sikre, at begge parter i en kommunikationskanal kan godkende hinanden, giver mTLS et højere niveau af tillid og sikkerhed, hvilket gør det til et vigtigt værktøj til at beskytte følsomme data i dagens sammenkoblede digitale landskab.

Implementering af mTLS med RELIANOID er ligetil takket være dens brugervenlige konfigurationsmuligheder. Ved at angive servercertifikater, administrere klientcertifikatkrav og vælge acceptable krypteringer kan du sikre robust sikkerhed. Derudover forbedrer brugen af ​​CA-lister, verifikationslister og CRL-filer tillid og certifikatvalidering. Denne omfattende opsætning muliggør sikker gensidig godkendelse og dataintegritet, hvilket gør mTLS-implementeringsprocessen effektiv og virkningsfuld.

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs