وبلاگ بلیان

SSL and Tls: Theory and Practice, Second Edition

جلد کتاب SSL and Tls: Theory and Practice, Second Edition

معرفی کتاب «SSL and Tls: Theory and Practice, Second Edition» نوشتهٔ Gilles Deleuze، Flix Guattari، Aurlia Guerra Neto، Ana Lcia de Oliveira، Lcia Claudia Leo، Suely Rolnik و Rolf Oppliger، منتشرشده توسط نشر Artech House Publishers در سال 2016. این کتاب در فرمت pdf، زبان انگلیسی ارائه شده است.

کتاب «اس‌اس‌ال و تی‌ال‌اس: تئوری و عمل» (SSL and TLS: Theory and Practice, Second Edition) نوشتهٔ رولف اوپلیگر، یکی از مراجع اصلی و معتبر در حوزهٔ پروتکل‌های امنیتی لایهٔ انتقال به شمار می‌رود. این کتاب که توسط انتشارات آرتک هاوس (Artech House) در سال ۲۰۱۶ منتشر شده، با زبانی دقیق و ساختاری منظم، به کالبدشکافی پروتکل‌های اس‌اس‌ال (SSL) و تی‌ال‌اس (TLS) و نسخهٔ دیتاگرام آن یعنی دی‌تی‌ال‌اس (DTLS) می‌پردازد و منبعی ارزشمند برای متخصصان امنیت شبکه و توسعه‌دهندگان نرم‌افزار است.

دربارهٔ کتاب «اس‌اس‌ال و تی‌ال‌اس: تئوری و عمل» —

این کتاب در ویرایش دوم خود، به‌روزترین مطالب را در خصوص پروتکل‌های امنیتی بنیادین اینترنت ارائه می‌دهد. اس‌اس‌ال (لایهٔ سوکت امن) و تی‌ال‌اس (امنیت لایهٔ انتقال)، ستون فقرات امنیت در تجارت الکترونیک و برنامه‌های تحت وب هستند و در اغلب سیستم‌های امنیتی معاصر به‌کار می‌روند. هدف اصلی کتاب، فراهم آوردن درکی عمیق و جامع از طراحی و عملکرد این پروتکل‌هاست تا خواننده بتواند آن‌ها را به‌درستی پیاده‌سازی و پیکربندی کند. مباحث کتاب با مقدمه‌ای بر امنیت اطلاعات و شبکه آغاز شده و سپس به تفصیل به بررسی پروتکل اس‌اس‌ال می‌پردازد. بخش اعظم کتاب به پروتکل تی‌ال‌اس و نسخه‌های متعدد آن (از.۰ تا.۳) اختصاص یافته و جزئیات فنی مربوط به هر نسخه، از جمله مجموعه‌ رمزگان (Cipher Suites)، مدیریت گواهینامه‌ها و پیام‌های اخطار، موشکافانه تحلیل شده است. یکی از نقاط قوت این کتاب، پوشش حملات اخیر بر علیه این پروتکل‌ها و نیز مباحث به‌روزی مانند عبور از دیوارهٔ آتش (Firewall Traversal) و گواهینامه‌های کلید عمومی و زیرساخت کلید عمومی (PKI) اینترنتی است. در پایان نیز ضمائمی ارزشمند برای فهرست مجموعه‌رمزگان استاندارد و حملات شاخصی مثل حملات پدینگ اوراکل (Padding Oracle Attacks) گنجانده شده است.

دربارهٔ نویسنده

نویسندهٔ این کتاب، دکتر رولف اوپلیگر، از چهره‌های شاخص و شناخته‌شده در حوزهٔ امنیت اطلاعات است. او بنیانگذار و مالک شرکت «ای‌سکیوریتی تکنالوجیز» (eSECURITY Technologies) در سوئیس بوده و همچنین برای دولت فدرال این کشور کار می‌کند. دکتر اوپلیگر مدرک دکترای خود را در علوم کامپیوتر از دانشگاه برن سوئیس دریافت کرده و به عنوان استاد وابستهٔ علوم کامپیوتر در دانشگاه زوریخ فعالیت می‌کند. او سابقهٔ تألیف کتاب‌های مرجع متعددی در زمینهٔ امنیت شبکه و فناوری‌های وب داشته و سردبیر مجموعه کتاب‌های امنیت اطلاعات و حریم خصوصی در انتشارات آرتک هاوس است. از دیگر آثار او می‌توان به «فناوری‌های امنیتی برای وب جهان‌گستر» و «امنیت اینترنت و اینترانت» اشاره کرد.

چرا باید «اس‌اس‌ال و تی‌ال‌اس: تئوری و عمل» را بخوانید؟

  • مرجعی جامع و به‌روز برای پروتکل‌های امنیتی: این کتاب با پوشش کامل پروتکل‌های اس‌اس‌ال، تی‌ال‌اس و دی‌تی‌ال‌اس، از مبانی تا جدیدترین ویرایش‌ها و توسعه‌ها، یک منبع کامل و بی‌نیازکننده است.
  • تحلیل حملات و آسیب‌پذیری‌های دنیای واقعی: یکی از مهم‌ترین بخش‌های کتاب، بررسی حملات واقعی انجام‌شده بر روی این پروتکل‌هاست که به متخصصان امنیت در درک بهتر تهدیدات و نحوهٔ مقابله با آن‌ها کمک می‌کند.
  • ارائهٔ جزئیات فنی برای پیاده‌سازی صحیح: کتاب با زبانی دقیق، جزئیات فنی مورد نیاز برای پیاده‌سازی و پیکربندی صحیح پروتکل‌ها را ارائه می‌دهد و از اتلاف وقت متخصصان جلوگیری می‌کند.
  • پوشش مباحث تکمیلی و حیاتی: مباحث کلیدی و روزمره در حوزهٔ امنیت شبکه مانند نحوهٔ عبور از فایروال و مدیریت گواهینامه‌های دیجیتال در بستر PKI به شکلی عمیق و کاربردی تحلیل شده‌اند.
  • مقایسهٔ مزایا و معایب با سایر پروتکل‌ها: نویسنده با دیدگاهی جامع، به مقایسهٔ پروتکل‌های اس‌اس‌ال/تی‌ال‌اس با دیگر پروتکل‌های امنیتی اینترنت پرداخته و به خواننده در انتخاب آگاهانه‌تر کمک می‌کند.

این کتاب برای چه کسانی مناسب است؟

این کتاب به‌طور مشخص برای طیف وسیعی از فعالان حوزهٔ فناوری اطلاعات طراحی شده است. توسعه‌دهندگان نرم‌افزار که به دنبال پیاده‌سازی امنیت در برنامه‌های تحت وب خود هستند، متخصصان و مشاوران امنیت شبکه که نیاز به درکی عمیق از عملکرد پروتکل‌ها دارند، و مدیران ارشد امنیت اطلاعات (CSO) که به دنبال تصمیم‌گیری راهبردی بر اساس دانش فنی هستند، همگی مخاطبان اصلی این اثر به شمار می‌روند. همچنین، طراحان پروتکل و دانشجویان تحصیلات تکمیلی علاقه‌مند به حوزهٔ امنیت شبکه نیز مطالب ارزشمندی را در این کتاب خواهند یافت.

سوالات متداول

تفاوت اصلی بین پروتکل‌های اس‌اس‌ال و تی‌ال‌اس چیست و چرا تی‌ال‌اس جایگزین اس‌اس‌ال شده است؟

تی‌ال‌اس در واقع نسخهٔ تکامل‌یافته و امن‌تر پروتکل اس‌اس‌ال است که توسط گروه کاری مهندسی اینترنت (IETF) استانداردسازی شده است. در حالی که اس‌اس‌ال دیگر به‌عنوان یک استاندارد امنیتی قابل‌اعتماد در نظر گرفته نمی‌شود و استفاده از آن منسوخ شده، تی‌ال‌اس با ارائهٔ الگوریتم‌های رمزنگاری قوی‌تر و رفع آسیب‌پذیری‌های متعدد، جایگزین امن و اصلی آن در دنیای امروز است. این کتاب به تفصیل به تفاوت‌های فنی هر نسخه از تی‌ال‌اس می‌پردازد.

آیا این کتاب برای یادگیری مفاهیم پایه‌ای امنیت شبکه نیز مناسب است یا صرفاً برای متخصصان است؟

اگرچه کتاب با فرض آشنایی مقدماتی خواننده با مفاهیم شبکه و امنیت نوشته شده، اما با ساختار منظم خود از اصول اولیه شروع کرده و به سمت مباحث پیش‌رونده می‌رود. به همین دلیل، هم برای مبتدیانی که می‌خواهند درک عمیقی از این پروتکل‌ها پیدا کنند و هم برای متخصصان باتجربه که به دنبال مرجعی جامع و به‌روز هستند، منبعی ارزشمند محسوب می‌شود.

آخرین حملات شناخته‌شده علیه پروتکل تی‌ال‌اس در این کتاب پوشش داده شده است؟

بله، یکی از نقاط قوت اصلی این ویرایش دوم، پوشش حملات جدیدی است که علیه پروتکل‌های اس‌اس‌ال و تی‌ال‌اس شناسایی شده‌اند. کتاب با تحلیل این حملات، به خواننده درک به‌تری از آسیب‌پذیری‌ها و راه‌های مقابله با آن‌ها را ارائه می‌دهد و به‌روز بودن محتوای آن را تضمین می‌کند.

This completely expanded second edition of SSL and TLS: Theory and Practice provides modernized material and a comprehensive overview of the SSL/TLS and DTLS protocols, including topics such as firewall traversal and public key certificates. SSL (secure socket layer) and TLS (Transport Layer Security) are widely deployed security protocols that are used in all kinds of web-based e-commerce and e-business applications and are part of most contemporary security systems available today. This practical book provides a complete introduction to these protocols, offering readers a solid understanding of their design. Updates to this edition include coverage of recent attacks mounted against SSL/TLS, new broad TLS extensions, and discussions on the importance of public key certificates and Internet PKI. SSL and TLS Theory and Practice Second Edition Contents Preface References Acknowledgments Chapter 1 Introduction 1.1 INFORMATION AND NETWORK SECURITY 1.1.1 Security Services 1.1.2 Security Mechanisms 1.2 TRANSPORT LAYER SECURITY 1.3 FINAL REMARKS References Chapter 2 SSL Protocol 2.1 INTRODUCTION 2.2 PROTOCOLS 2.2.1 SSL Record Protocol 2.2.2 SSL Handshake Protocol 2.2.3 SSL Change Cipher Spec Protocol 2.2.4 SSL Alert Protocol 2.2.5 SSL Application Data Protocol 2.3 PROTOCOL EXECUTION TRANSCRIPT 2.4 SECURITY ANALYSES AND ATTACKS 2.5 FINAL REMARKS References Chapter 3 TLS Protocol 3.1 INTRODUCTION 3.1.1 TLS PRF 3.1.2 Generation of KeyingMaterial 3.2 TLS 1.0 3.2.1 Cipher Suites 3.2.2 CertificateManagement 3.2.3 Alert Messages 3.2.4 Other Differences 3.3 TLS 1.1 3.3.1 Cryptographic Subtleties 3.3.2 Cipher Suites 3.3.3 CertificateManagement 3.3.4 Alert Messages 3.3.5 Other Differences 3.4 TLS 1.2 3.4.1 TLS Extensions 3.4.2 Cipher Suites 3.4.3 CertificateManagement 3.4.4 Alert Messages 3.4.5 Other Differences 3.5 TLS 1.3 3.5.1 Cipher Suites 3.5.2 CertificateManagement 3.5.3 Alert Messages 3.5.4 Other Differences 3.6 HSTS 3.7 PROTOCOL EXECUTION TRANSCRIPT 3.8 SECURITY ANALYSES AND ATTACKS 3.8.1 Renegotiation Attack 3.8.2 Compression-Related Attacks 3.8.3 More Recent Padding Oracle Attacks 3.8.4 Key Exchange Downgrade Attacks 3.8.5 FREAK 3.8.6 Logjam 3.9 FINAL REMARKS References Chapter 4 DTLS Protocol 4.1 INTRODUCTION 4.2 BASIC PROPERTIES AND DISTINGUISHING FEATURES 4.2.1 Record Protocol 4.2.2 Handshake Protocol 4.3 SECURITY ANALYSIS 4.4 FINAL REMARKS References Chapter 5 Firewall Traversal 5.1 INTRODUCTION 5.2 SSL/TLS TUNNELING 5.3 SSL/TLS PROXYING 5.4 FINAL REMARKS References Chapter 6 Public Key Certificates and Internet Public Key Infrastructure (PKI) 6.1 INTRODUCTION 6.2 X.509 CERTIFICATES 6.2.1 Certificate Format 6.2.2 Hierarchical Trust Model 6.3 SERVER CERTIFICATES 6.4 CLIENT CERTIFICATES 6.5 PROBLEMS AND PITFALLS 6.6 NEW APPROACHES 6.7 FINAL REMARKS References Chapter 7 Concluding Remarks References Appendix A Registered TLS Cipher Suites Appendix B Padding Oracle Attacks B.1 BLEICHENBACHER ATTACK B.2 VAUDENAY ATTACK References Appendix C Abbreviations and Acronyms About the Author Index
دانلود کتاب SSL and Tls: Theory and Practice, Second Edition