Криптошлюз — это комплекс из специального оборудования и программ, который зашифровывает данные при передаче их по сети. В нем используют технологию сквозного шифрования. Информацию (текст, звуковое сообщение, видео) в начале пути от отправителя зашифровывают. А когда она поступает на устройство получателя — расшифровывают. Если «по дороге» данные перехватит злоумышленник, то не сможет распознать.

При передаче информация шифруется, но факт шифрования сам по себе не защищает данные. Разумеется, существует так называемое помехоустойчивое кодирование. Однако оно не мешает преступникам менять чужие сообщения на этапе передачи. Кроме того, мошенники могут создавать свои сообщения: вы получаете данные от известного вам человека, но с ними уже «поработали» преступники.

Чтобы этого избежать, существует имитозащита. Она не дает злоумышленникам создавать свои сообщения и выдавать их за чужие.

При имитозащите к сообщению добавляют специальный код. Он чем-то похож на облегченную версию электронной цифровой подписи. Получая данные, вы можете быть уверены: они правильные, в них никто не вмешивался.

Для шифрования используют пару ключей:

• С помощью одного — открытого — шифруют информацию.
• Второй (закрытый) нужен, чтобы ее расшифровать.

Закрытый ключ применяют, когда ставят электронную подпись. Если хотят убедиться в ее достоверности, используют открытый ключ.

Инфраструктуру открытых ключей называют Public Key Infrastructure, (PKI). Она помогает защитить ваши данные от перехвата злоумышленниками.

Работу PKI упрощенно можно представить так. Второй стороне дают раскрытый самозапирающийся замок — открытый ключ. Она закрывает им ящик — шифрует данные — и передает его отправителю. А тот уже отпирает замок ключом (закрытым), что хранился все это время у него.

Убедиться в подлинности того, с кем взаимодействуете, помогает аутентификация. Это своего рода «фейс-контроль».

В протоколе защиты транспортного уровня существуют так называемые цепочки доверия. Можно описать метафорой. Допустим, к вам приходит некий человек. Он сообщает, что хорошо знает вашего общего друга, показывает подтверждение — совместную фотографию. Вы начинаете доверять незнакомцу.

То же самое и здесь: в роли общего друга выступает центр сертификации. Он выдает компаниям сертификат. Последний гарантирует: отправитель данных — тот, за кого себя выдает.

Обычно крупный центр выпускает корневой сертификат. На его основе другие центры делают свои сертификаты подлинности и предоставляют компаниям. Так формируется «цепочка доверия».

Для аутентификации подписывают открытый ключ нового собеседника закрытым ключом центра сертификации: он — знакомый вам «собеседник».

Иногда случаются утечки закрытого ключа. Тогда сертификатом, который выдан для создания TLS-соединения, пользоваться нельзя. Бывают ситуации, когда сама процедура сертификации оказывается недобросовестной.

Теоретически (и практически), любая компания может проверить, актуален ли сертификат подлинности. Если он недействительный, то его отзывают.

Мы помним, что сертификатов целая цепочка. Проводя проверку, приходится уточнять статус сертификата каждого доверительного узла по очереди. Для этого достаточно убедиться в том, что идентификатора нет в списке отозванных сертификатов.

У всех центров сертификации есть такой список. Он называется Certificate Revocation List, CRL и содержит серийные номера отозванных сертификатов.

Центры сертификации бывают недоступны. Периодически они не выдерживают больших объемов нагрузки. Тогда вы не сможете проверить актуальность сертификата быстро, придется ждать.

Чтобы вы не зависели от подобных вещей, у криптошлюзов ряда компаний есть свои актуальные копии CRL всех крупнейших центров сертификации, которые регулярно обновляются в автоматическом режиме.