Və belə, bizim MüsahibələrdəTezTezVerilənSualar rubrikasına davam
Sual isə belədir: HTTPS nədir və necə işləyir?
Tutaq ki, siz yeddinci mərtəbədə qalırsız, və eyvana çıxıb öz biznes kartınızın məlumatlarını qonşu evdəki mühasibinizə göndərməlisiniz (belə bir dünyamız var).
Siz brauzersiniz, qonşunuz mühasib isə bank.
Evlerinizin arasında küçə var, orada keçənlər, insanlar, xlor satan kişi, gaz24 də meyvə-tərəvəz satan ağsaqqal, pişiklər, itlər var.
İndi siz eyvanda dayanıb mühasibə qışqırırsınız:
Ay qonşu, qadan alım, deməli kart nömrəsi 443344…, CVV 123!
Nəticə? Bütün küçə kart məlumatlarınızı eşidir.
Bu cür HTTP işləyir, məlumatlar açıq mətnlə ötürülür. Bu təhlükəlidir!
Gəlin başqa bir nümunə gətirək: Siz eyvanda dayanıb mühasıbə kart məlumatlarını vermək istəyirsiniz.
Mühasib deyir: Bilirsən nə var, dayan! Bax gör neynirəm.
Və sizə göyərçinlə kiçik bir sandıq və açarı göndərir, o balaca sandıqı siz bağlaya bilərsiniz, açmaqı isə yalnız mühasıb tərəfindən mümkündür. İçinə istədiyiniz hər hansı bir gizli söz yazını (məsələn, PAXLAVA-RESEPTİ-21) qoyub, sandığı açarla bağlayırsınız və göyərçinlə qonşuya geri göndərirsiniz.
Açar = serverin publik açarı
Sandıq isə = şifrələnmiş məlumatdır.
Siz onu bağlaya (şifrələyə) bilərsiniz, amma açmaq yalnız qonşu (server) tərəfindən mümkündür çünki private açar yalnız ondadır. Bu da asimmetrik şifrələmədir.
Bundan sonra mühasib deyir: İndi mən sənə gizli açar verəcəyəm ki, biz hər dəfə yeni açar olmadan sandıq mübadiləsi edə bilək.
Diqqət: buna simmetrik sessiya açarının (session key) yaradılması deyilir.
Niyə belə edirik?
Asimmetrik şifrələmə sürətli iş üçün əlverişli deyil.
Simmetrik şifrələmə isə sürətlidir və böyük məlumat axını üçün uyğundur.
Aha, indi biz simmetrik şifrələməyə keçdik, bütün sandıqları eyni gizli açarla bağlayırıq və yalnız biz ikimiz onları aça bilirik.
Hər şey təhlükəsiz qalır, amma mübadilə artıq hər dəfə yeni açar istəmir deyə, daha sürətlidir.
Bütün sandıqları və göyərçini hamı görə bilir, amma onlar sadəcə mənasız şifrələri görürlər(white noise). Hətta "binokl"-la baxsalar belə, heç nə başa düşə bilməyəcəklər, sandıq bağlıdır.
Deməli:
HTTPS, mənimlə mühasibim arasında məlumatların kənardakılar üçün mənasız olan, yalnız bizim üçün oxuna bilən şifrəli kanalla ötürülməsidir.
Asimmetrik şifrələmə ondan ötrüdür ki, biz simmetrik açar barədə təhlükəsiz razılığa gələ bilək.
Simmetrik şifrələmə isə bütün məlumatları sürətli və təhlükəsiz ötürmək üçündür.
Belə
