ସୁରକ୍ଷା ଆଉ ଏକ ବିକଳ୍ପ ନୁହେଁ, ବରଂ ପ୍ରତ୍ୟେକ ଇଣ୍ଟରନେଟ୍ ପ୍ରଯୁକ୍ତିବିଦ୍ୟା ଅଭ୍ୟାସକାରୀଙ୍କ ପାଇଁ ଏକ ଆବଶ୍ୟକୀୟ ପାଠ୍ୟକ୍ରମ। HTTP, HTTPS, SSL, TLS - ଆପଣ କ'ଣ ପ୍ରକୃତରେ ବୁଝିପାରୁଛନ୍ତି ଯେ ପରଦା ପଛରେ କ'ଣ ଘଟୁଛି? ଏହି ଲେଖାରେ, ଆମେ ସାଧାରଣ ଏବଂ ବୃତ୍ତିଗତ ଉପାୟରେ ଆଧୁନିକ ଏନକ୍ରିପ୍ଟେଡ୍ ଯୋଗାଯୋଗ ପ୍ରୋଟୋକଲର ମୂଳ ଯୁକ୍ତିକୁ ବ୍ୟାଖ୍ୟା କରିବୁ, ଏବଂ ଏକ ଦୃଶ୍ୟ ପ୍ରବାହ ଚାର୍ଟ ସହିତ "ତାଲା ପଛରେ" ରହସ୍ୟଗୁଡ଼ିକୁ ବୁଝିବାରେ ଆପଣଙ୍କୁ ସାହାଯ୍ୟ କରିବୁ।
HTTP କାହିଁକି "ଅସୁରକ୍ଷିତ"? --- ପରିଚୟ
ସେହି ପରିଚିତ ବ୍ରାଉଜର ଚେତାବନୀ ମନେ ଅଛି କି?
"ତୁମର ସଂଯୋଗ ବ୍ୟକ୍ତିଗତ ନୁହେଁ।"
ଥରେ ଏକ ୱେବସାଇଟ୍ HTTPS ନିୟୋଜିତ ନକଲେ, ଉପଭୋକ୍ତାଙ୍କ ସମସ୍ତ ସୂଚନା ସାଧାରଣ ଲେଖାରେ ନେଟୱାର୍କରେ ପ୍ରଦର୍ଶିତ ହୋଇଯାଏ। ଆପଣଙ୍କର ଲଗଇନ୍ ପାସୱାର୍ଡ, ବ୍ୟାଙ୍କ କାର୍ଡ ନମ୍ବର ଏବଂ ଏପରିକି ବ୍ୟକ୍ତିଗତ କଥାବାର୍ତ୍ତା ସବୁକିଛି ଏକ ଭଲ ସ୍ଥାନରେ ଥିବା ହ୍ୟାକର ଦ୍ୱାରା କଏଦ କରାଯାଇପାରିବ। ଏହାର ମୂଳ କାରଣ ହେଉଛି HTTP ର ଏନକ୍ରିପ୍ସନର ଅଭାବ।
ତେବେ HTTPS ଏବଂ ଏହାର ପଛରେ ଥିବା "ଦ୍ୱାରପାଳ", TLS, କିପରି ଡାଟାକୁ ଇଣ୍ଟରନେଟରେ ସୁରକ୍ଷିତ ଭାବରେ ଯାତ୍ରା କରିବାକୁ ଅନୁମତି ଦିଏ? ଆସନ୍ତୁ ଏହାକୁ ସ୍ତର ପରେ ସ୍ତର କରି ଭାଙ୍ଗିବା।
HTTPS = HTTP + TLS/SSL --- ଗଠନ ଏବଂ ମୂଳ ଧାରଣା
୧. ମୂଳତଃ HTTPS କ'ଣ?
HTTPS (ହାଇପରଟେକ୍ସଟ୍ ଟ୍ରାନ୍ସଫର ପ୍ରୋଟୋକଲ୍ ସିକ୍ୟୁରି) = HTTP + ଏନକ୍ରିପ୍ସନ୍ ସ୍ତର (TLS/SSL)
○ HTTP: ଏହା ତଥ୍ୟ ପରିବହନ ପାଇଁ ଦାୟୀ, କିନ୍ତୁ ବିଷୟବସ୍ତୁ ସରଳ ପାଠ୍ୟରେ ଦୃଶ୍ୟମାନ।
○ TLS/SSL: HTTP ଯୋଗାଯୋଗ ପାଇଁ ଏକ "ଲକ୍ ଅନ୍ ଏନକ୍ରିପ୍ସନ୍" ପ୍ରଦାନ କରେ, ଯାହା ଡାଟାକୁ ଏକ ପଜଲ୍ରେ ପରିଣତ କରେ ଯାହାକୁ କେବଳ ବୈଧ ପ୍ରେରକ ଏବଂ ଗ୍ରହଣକାରୀ ସମାଧାନ କରିପାରିବେ।
ଚିତ୍ର ୧: HTTP ବନାମ HTTPS ଡାଟା ପ୍ରବାହ।
ବ୍ରାଉଜର ଠିକଣା ବାର୍ରେ "ଲକ୍" ହେଉଛି TLS/SSL ସୁରକ୍ଷା ପତାକା।
2. TLS ଏବଂ SSL ମଧ୍ୟରେ କ'ଣ ସମ୍ପର୍କ ଅଛି?
○ SSL (ସୁରକ୍ଷିତ ସକେଟ୍ ସ୍ତର): ସର୍ବପ୍ରଥମେ କ୍ରିପ୍ଟୋଗ୍ରାଫିକ୍ ପ୍ରୋଟୋକଲ୍, ଯାହାର ଗମ୍ଭୀର ଦୁର୍ବଳତା ରହିଛି ବୋଲି ଜଣାପଡ଼ିଛି।
○ TLS (ପରିବହନ ସ୍ତର ସୁରକ୍ଷା): SSL, TLS 1.2 ଏବଂ ଅଧିକ ଉନ୍ନତ TLS 1.3 ର ଉତ୍ତରାଧିକାରୀ, ଯାହା ସୁରକ୍ଷା ଏବଂ କାର୍ଯ୍ୟଦକ୍ଷତାରେ ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ ଉନ୍ନତି ପ୍ରଦାନ କରେ।
ଆଜିକାଲି, "SSL ସାର୍ଟିଫିକେଟ୍" ହେଉଛି କେବଳ TLS ପ୍ରୋଟୋକଲର କାର୍ଯ୍ୟକାରିତା, ଯାହାକୁ କେବଳ ନାମିତ ଏକ୍ସଟେନ୍ସନ୍ ଦିଆଯାଇଛି।
TLS ର ଗଭୀରତା: HTTPS ପଛରେ ଥିବା କ୍ରିପ୍ଟୋଗ୍ରାଫିକ୍ ଯାଦୁ
୧. ହାତ ମିଳାଇବା ପ୍ରବାହ ସମ୍ପୂର୍ଣ୍ଣ ସମାଧାନ ହୋଇଛି
TLS ସୁରକ୍ଷିତ ଯୋଗାଯୋଗର ମୂଳଦୁଆ ହେଉଛି ସେଟଅପ୍ ସମୟରେ ହାତ ମିଳାଇବା ନୃତ୍ୟ। ଆସନ୍ତୁ ମାନକ TLS ହାତ ମିଳାଇବା ପ୍ରବାହକୁ ଭାଙ୍ଗିବା:
ଚିତ୍ର ୨: ଏକ ସାଧାରଣ TLS ହ୍ୟାଣ୍ଡସେକ୍ ପ୍ରବାହ।
1️⃣ TCP ସଂଯୋଗ ସେଟଅପ୍
ଏକ କ୍ଲାଏଣ୍ଟ (ଯଥା, ଏକ ବ୍ରାଉଜର) ସର୍ଭର (ମାନକ ପୋର୍ଟ 443) ସହିତ ଏକ TCP ସଂଯୋଗ ଆରମ୍ଭ କରେ।
2️⃣ TLS ହ୍ୟାଣ୍ଡସେକ୍ ପର୍ଯ୍ୟାୟ
○ କ୍ଲାଏଣ୍ଟ ହେଲୋ: ବ୍ରାଉଜର ସର୍ଭର ନେମ୍ ଇଣ୍ଡିକେସନ୍ (SNI) ସହିତ ସମର୍ଥିତ TLS ସଂସ୍କରଣ, ସାଇଫର ଏବଂ ରାଣ୍ଡମ୍ ନମ୍ବର ପଠାଏ, ଯାହା ସର୍ଭରକୁ ଜଣାଏ ଯେ ଏହା କେଉଁ ହୋଷ୍ଟନାମକୁ ଆକ୍ସେସ୍ କରିବାକୁ ଚାହୁଁଛି (ଏକାଧିକ ସାଇଟ୍ ମଧ୍ୟରେ IP ସେୟାରିଂକୁ ସକ୍ଷମ କରି)।
○ ସର୍ଭର ହେଲୋ ଏବଂ ସାର୍ଟିଫିକେଟ୍ ସମସ୍ୟା: ସର୍ଭର ଉପଯୁକ୍ତ TLS ସଂସ୍କରଣ ଏବଂ ସାଇଫର ଚୟନ କରେ, ଏବଂ ଏହାର ସାର୍ଟିଫିକେଟ୍ (ସାର୍ବଜନୀନ କୀ ସହିତ) ଏବଂ ଅନିୟମିତ ସଂଖ୍ୟାଗୁଡ଼ିକୁ ଫେରାଇ ଥାଏ।
○ ସାର୍ଟିଫିକେଟ୍ ବୈଧତା: ବ୍ରାଉଜର୍ ସର୍ଭର ସାର୍ଟିଫିକେଟ୍ ଚେନ୍କୁ ବିଶ୍ୱସ୍ତ ରୁଟ୍ CA ପର୍ଯ୍ୟନ୍ତ ଯାଞ୍ଚ କରେ ଯାହା ଦ୍ୱାରା ଏହା ଜାଲ୍ ହୋଇନାହିଁ।
○ ପ୍ରିମାଷ୍ଟର କୀ ଜେନେରେସନ୍: ବ୍ରାଉଜର ଏକ ପ୍ରିମାଷ୍ଟର କୀ ଜେନେରେଟ୍ କରେ, ଏହାକୁ ସର୍ଭରର ପବ୍ଲିକ୍ କୀ ସହିତ ଏନକ୍ରିପ୍ଟ କରେ ଏବଂ ସର୍ଭରକୁ ପଠାଏ। ଦୁଇ ପକ୍ଷ ସେସନ୍ କୀ ବୁଝାମଣା କରନ୍ତି: ଉଭୟ ପକ୍ଷର ଅନିୟମିତ ସଂଖ୍ୟା ଏବଂ ପ୍ରିମାଷ୍ଟର କୀ ବ୍ୟବହାର କରି, କ୍ଲାଏଣ୍ଟ ଏବଂ ସର୍ଭର ସମାନ ସିମେଟ୍ରିକ୍ ଏନକ୍ରିପ୍ସନ୍ ସେସନ୍ କୀ ଗଣନା କରନ୍ତି।
○ ହ୍ୟାଣ୍ଡସେକ୍ ସମାପ୍ତି: ଉଭୟ ପକ୍ଷ ପରସ୍ପରକୁ "ସମାପ୍ତ" ବାର୍ତ୍ତା ପଠାନ୍ତି ଏବଂ ଏନକ୍ରିପ୍ଟେଡ୍ ଡାଟା ଟ୍ରାନ୍ସମିସନ୍ ପର୍ଯ୍ୟାୟରେ ପ୍ରବେଶ କରନ୍ତି।
3️⃣ ସୁରକ୍ଷିତ ଡାଟା ସ୍ଥାନାନ୍ତର
ସମସ୍ତ ସେବା ତଥ୍ୟ ସମନ୍ୱିତ ଭାବରେ ଆଲୋଚନା କରାଯାଇଥିବା ଅଧିବେଶନ କୀ ସହିତ ଦକ୍ଷତାର ସହିତ ଏନକ୍ରିପ୍ଟ କରାଯାଇଛି, ଯଦିଓ ମଝିରେ ଅଟକାଯାଏ, ଏହା କେବଳ "ବିକୃତ କୋଡ୍" ର ଏକ ଗୁଚ୍ଛ।
4️⃣ ଅଧିବେଶନ ପୁନଃବ୍ୟବହାର
TLS ପୁଣିଥରେ ସେସନ୍କୁ ସମର୍ଥନ କରେ, ଯାହା ସମାନ କ୍ଲାଏଣ୍ଟକୁ କ୍ଲାନ୍ତିକର ହ୍ୟାଣ୍ଡସେକ୍ ଏଡାଇବା ପାଇଁ ଅନୁମତି ଦେଇ କାର୍ଯ୍ୟଦକ୍ଷତାକୁ ବହୁଳ ଭାବରେ ଉନ୍ନତ କରିପାରିବ।
ଅସମମିତ ଏନକ୍ରିପ୍ସନ (ଯେପରିକି RSA) ସୁରକ୍ଷିତ କିନ୍ତୁ ଧୀର। ସମମିତ ଏନକ୍ରିପ୍ସନ ଦ୍ରୁତ କିନ୍ତୁ କୀ ବଣ୍ଟନ କଷ୍ଟକର। TLS ଏକ "ଦୁଇ-ପଦକ୍ଷେପ" ରଣନୀତି ବ୍ୟବହାର କରେ - ପ୍ରଥମେ ଏକ ଅସମମିତ ସୁରକ୍ଷିତ କୀ ବିନିମୟ ଏବଂ ତା'ପରେ ତଥ୍ୟକୁ ଦକ୍ଷତାର ସହିତ ଏନକ୍ରିପ୍ଟ କରିବା ପାଇଁ ଏକ ସମମିତ ଯୋଜନା।
୨. ଆଲଗୋରିଦମ ବିକାଶ ଏବଂ ସୁରକ୍ଷା ଉନ୍ନତି
RSA ଏବଂ ଡିଫି-ହେଲମ୍ୟାନ୍
○ ଆରଏସଏ
ଏହା ପ୍ରଥମେ TLS ହ୍ୟାଣ୍ଡସେକ୍ ସମୟରେ ସେସନ୍ କୀଗୁଡ଼ିକୁ ସୁରକ୍ଷିତ ଭାବରେ ବଣ୍ଟନ କରିବା ପାଇଁ ବହୁଳ ଭାବରେ ବ୍ୟବହୃତ ହୋଇଥିଲା। କ୍ଲାଏଣ୍ଟ ଏକ ସେସନ୍ କୀ ସୃଷ୍ଟି କରେ, ଏହାକୁ ସର୍ଭରର ପବ୍ଲିକ୍ କୀ ସହିତ ଏନକ୍ରିପ୍ଟ କରେ, ଏବଂ ଏହାକୁ ଏପରି ପଠାଏ ଯେ କେବଳ ସର୍ଭର ଏହାକୁ ଡିକ୍ରିପ୍ଟ କରିପାରିବ।
○ ଡିଫି-ହେଲମ୍ୟାନ୍ (DH/ECDH)
TLS 1.3 ଅନୁଯାୟୀ, ଫରୱାର୍ଡ ସିକ୍ରେସିଭିଟି (PFS) ସମର୍ଥନ କରୁଥିବା ଅଧିକ ସୁରକ୍ଷିତ DH/ECDH ଆଲଗୋରିଦମ ସପକ୍ଷରେ RSA ଆଉ କୀ ବିନିମୟ ପାଇଁ ବ୍ୟବହୃତ ହେଉନାହିଁ। ଯଦିଓ ପ୍ରାଇଭେଟ୍ କୀ ଲିକ୍ ହୋଇଯାଏ, ତଥାପି ଐତିହାସିକ ତଥ୍ୟ ଅନଲକ୍ କରାଯାଇପାରିବ ନାହିଁ।
| TLS ସଂସ୍କରଣ | କୀ ଏକ୍ସଚେଞ୍ଜ ଆଲଗୋରିଦମ | ସୁରକ୍ଷା |
| TLS 1.2 | RSA/DH/ECDH | ଉଚ୍ଚତର |
| TLS 1.3 | କେବଳ DH/ECDH ପାଇଁ | ଅଧିକ ଉଚ୍ଚ |
ନେଟୱାର୍କିଂ ଅଭ୍ୟାସକାରୀମାନଙ୍କୁ ଶିଖିବାକୁ ପଡିବ ଏପରି ବ୍ୟବହାରିକ ପରାମର୍ଶ
○ ଦ୍ରୁତ ଏବଂ ଅଧିକ ସୁରକ୍ଷିତ ଏନକ୍ରିପସନ୍ ପାଇଁ ପ୍ରାଥମିକତା TLS 1.3 କୁ ଅପଗ୍ରେଡ୍।
○ ଶକ୍ତିଶାଳୀ ସାଇଫର୍ଗୁଡ଼ିକୁ ସକ୍ଷମ କରନ୍ତୁ (AES-GCM, ChaCha20, ଇତ୍ୟାଦି) ଏବଂ ଦୁର୍ବଳ ଆଲଗୋରିଦମ ଏବଂ ଅସୁରକ୍ଷିତ ପ୍ରୋଟୋକଲ୍ଗୁଡ଼ିକୁ ଅକ୍ଷମ କରନ୍ତୁ (SSLv3, TLS 1.0);
○ ସାମଗ୍ରିକ HTTPS ସୁରକ୍ଷାକୁ ଉନ୍ନତ କରିବା ପାଇଁ HSTS, OCSP ଷ୍ଟାପଲିଂ, ଇତ୍ୟାଦିକୁ ବିନ୍ୟାସ କରନ୍ତୁ;
○ ଟ୍ରଷ୍ଟ ଶୃଙ୍ଖଳାର ବୈଧତା ଏବଂ ଅଖଣ୍ଡତା ସୁନିଶ୍ଚିତ କରିବା ପାଇଁ ନିୟମିତ ଭାବରେ ପ୍ରମାଣପତ୍ର ଶୃଙ୍ଖଳାକୁ ଅପଡେଟ୍ ଏବଂ ସମୀକ୍ଷା କରନ୍ତୁ।
ନିଷ୍କର୍ଷ ଏବଂ ଚିନ୍ତାଧାରା: ଆପଣଙ୍କ ବ୍ୟବସାୟ ପ୍ରକୃତରେ ସୁରକ୍ଷିତ କି?
ପ୍ଲେନ୍ଟେକ୍ସଟ୍ HTTP ଠାରୁ ସମ୍ପୂର୍ଣ୍ଣ ଏନକ୍ରିପ୍ଟେଡ୍ HTTPS ପର୍ଯ୍ୟନ୍ତ, ପ୍ରତ୍ୟେକ ପ୍ରୋଟୋକଲ୍ ଅପଗ୍ରେଡ୍ ପଛରେ ସୁରକ୍ଷା ଆବଶ୍ୟକତା ବିକଶିତ ହୋଇଛି। ଆଧୁନିକ ନେଟୱାର୍କଗୁଡ଼ିକରେ ଏନକ୍ରିପ୍ଟେଡ୍ ଯୋଗାଯୋଗର ମୂଳଦୁଆ ଭାବରେ, TLS କ୍ରମାଗତ ଭାବରେ ଜଟିଳ ଆକ୍ରମଣ ପରିବେଶର ମୁକାବିଲା କରିବା ପାଇଁ ନିଜକୁ ଉନ୍ନତ କରୁଛି।
ଆପଣଙ୍କ ବ୍ୟବସାୟ ପୂର୍ବରୁ HTTPS ବ୍ୟବହାର କରୁଛି କି? ଆପଣଙ୍କର କ୍ରିପ୍ଟୋ ବିନ୍ୟାସ ଶିଳ୍ପର ସର୍ବୋତ୍ତମ ଅଭ୍ୟାସ ସହିତ ସମନ୍ୱିତ କି?
ପୋଷ୍ଟ ସମୟ: ଜୁଲାଇ-୨୨-୨୦୨୫
