【TechTarget中国原创】问:我有一个关于SSL/TLS,主要是FTPS协议方面的问题。在普通环境下,当客户发送或收取数据包时,数据包是在硬件还是软件上加密的?为什么它那么重要?
答:简短的回答是数据包通常是在软件水平上加密的,这可能比在硬件上加密好一些。要解释这一点,我们必须首先弄清楚关于加密技术的基本知识。
SSL 是安全套接字层(Secure Sockets Layer)的缩写,是一种传输层协议,它为所有网络,尤其是因特网提供了端点认证和通信保密技术。TLS是传输层安全(Transport Layer Security)的缩写,它是基于SSL的因特网标准协议。SSL通用的版本是SSL3.0版,TLS通用的版本是1.1版。通常人们使用SSL/TLS来统称SSL和TLS。
FTPS一般是指FTP/SSL,并且涵盖了大量的方法,通过这些方法,文件传输协议软件能够支持SSL/TLS运行安全文件传输。在FTP协议标准下,每一种方法使用SSL/TLS层来对控件和/或数据信道加密。另外,FTPS与SSH文件传输协议(SFTP)不同,SFTP是SSH基础上的FTP。
TLS共有三个基本组成部分:
——算法支持的最初协商,在协商中选择了数据加密过程中使用的对称密码
——通信的两台计算机之间的密钥交换(和认证)技术
——对称密码加密和消息认证
换句话说,对双方交换的数据进行大范围加密之前,TLS协议发生了很多事情。实际上,交换密钥和认证技术使用了公共密钥加密技术,它们是整个传输过程中计算最为繁琐的部分。这时候就需要使用硬件。
90年代后期,作为一种安全网络传输协议,SSL尽力承担所有的公共密钥计算,SSL应用的迅速增加威胁到了Web服务器,大有压倒Web服务器之势。像彩虹科技(现在已经并入SafeNet公司)之类的硬件加密公司开发出了SSL加速器,和应当插入Web服务器中的协助处理器主板。这些细心的程序开发者负责SSL公共密钥计算,并将传输过程中为数据加密的对称密钥发给服务器。其它加速器的设计实际上也能进行数据加密,充分应用了加密技术,并将明码电文传送给服务器。
FTPS可以将数据安全的发送到服务器上。如果你需要运行FTPS,对部分或者全部加密过程中的硬件加速器就值得研究了。然而,有可能需要处理大量的数据——和大量的同步链接——因为加速器的优点是仅仅建立在软件方式基础上的。此外,很难想出为什么这种情况下硬件方法天生就比仅使用软件方法更为安全。切记,要获得TLS的所有安全优点,客户机和服务器都应该使用数字认证技术。与其它任何加密系统相比,最可能造成失误的不是加密技术本身,而是运行加密技术的方式。