Криптошлюз — это комплекс из специального оборудования и программ, который зашифровывает данные при передаче их по сети. Технология, используемая в таком процессе, называется сквозным шифрованием. Она означает, что информация (текст, звуковое сообщение, видео и так далее) в начале пути от отправителя зашифровывается, а расшифровывается только в конце, когда поступает на устройство получателя. «В дороге» данные пребывают в таком виде, что, если их перехватит злоумышленник, то не сможет распознать.

На рынке не один производитель, и не два. У каждого продукта свои особенности. Мы суммировали те характеристики, на которые полезно обращать внимание.

При передаче информация шифруется, но факт шифрования сам по себе не защищает данные. Разумеется, существует так называемое помехоустойчивое кодирование. Однако оно не мешает преступникам изменять чужие сообщения на этапе передачи. Кроме того, мошенники могут создавать свои сообщения. Таким образом, вы получаете данные от известного вам человека, но с ними уже «поработали» преступники.

Чтобы этого избежать, существует имитозащита. Она не дает преступникам создавать свои сообщения и выдавать их за чужие. Реализуется такой механизм следующим образом. К сообщению добавляется специальный код, чем-то похожий на облегченную версию электронной цифровой подписи. Получая данные, вы можете быть уверены: они правильные, в них никто не вмешивался.

Для шифрования используется пара ключей.

С помощью одного ключа — открытого — шифруют информацию. Второй (закрытый) нужен, чтобы ее расшифровать.

Закрытый ключ применяют, когда ставят электронную подпись. Если хотят убедиться в ее достоверности, используют открытый ключ.

В упрощенном виде схему работы PKI можно представить так. Второй стороне дают раскрытый самозапирающийся замок (открытый ключ). Она закрывает им ящик (шифрует данные) и передает его отправителю. А тот уже отпирает замок ключом (закрытым), хранящимся все это время у него.

PKI помогает защитить ваши данные от перехвата злоумышленниками.

Убедиться в подлинности того, с кем идет взаимодействие, помогает аутентификация. Это своего рода «фейс-контроль».

В протоколе защиты транспортного уровня существуют так называемые цепочки доверия. Если подобрать метафору, можно сказать — это то же самое, как, допустим, к вам приходит некий человек, сообщает, что хорошо знает вашего общего друга и показывает подтверждение (совместную фотографию). У вас к незнакомцу возникнет доверие.

То же самое и здесь: в роли общего друга выступает центр сертификации. Он выдает компаниям сертификат, который гарантирует, что отправитель данных является тем, за кого себя выдает.

Обычно крупный центр выпускает корневой сертификат, на основе которого другие центры делают свои сертификаты подлинности и предоставляют компаниям. Так формируется «цепочка доверия».

Технически аутентификация реализуется посредством подписания открытого ключа нового собеседника закрытым ключом центра сертификации (уже знакомого вам «собеседника»).

Иногда случается, что сертификатом, который выдан для создания TLS-соединения, пользоваться нельзя из-за утечки закрытого ключа. Бывают ситуации, когда сама процедура сертификации оказывается недобросовестной.

Теоретически (и практически), любая компания может проверить, актуален ли сертификат подлинности. Если он недействительный, то его отзывают.

Мы помним, что сертификатов целая цепочка. Поэтому, проводя проверку, приходится уточнять статус сертификата каждого доверительного узла по очереди. Для этого достаточно убедиться в том, что отсутствует идентификатор в списке отозванных сертификатов.

Каждый из центров сертификации имеет такой список (он называется Certificate Revocation List, CRL). В нем значатся серийные номера отозванных сертификатов. Однако центры сертификации бывают недоступны, периодически они не выдерживают больших объемов нагрузки в конкретный период времени. Тогда вы не сможете проверить актуальность сертификата быстро: вам придется ждать.

Чтобы вам не пришлось зависеть от подобных вещей, криптошлюзы ряда компаний имеет свои актуальные копии CRL всех крупнейших центров сертификации, которые регулярно обновляются в автоматическом режиме.