4. Record Layer

O Protocolo SSL é um protocolo estruturado em camadas. Em cada camada mensagens podem incluir campos para tamanho, descrição e conteúdo. O protocolo SSL toma as mensagens a serem transmitidas pelas camada superiores, fragmenta os dados em blocos manuseáveis, opcionalmente executa a compressão dos dados, aplica um MAC (message authentication code), encripta e transmite os resultados. Os dados recebidos são descriptados, verificados, descomprimidos e remontados, para então serem entregues aos clientes de camadas de nível superior.

A comunicação de da através do estabelecimento de uma sessão, caracterizado por um Estado de Sessão e um Estado de Conexão.

O Estado de Sessão é constituído pelos seguintes elementos:

• Session Identifier: Um seqüência arbitrária de bytes escolhida pelo servidor para identificar uma sessão.
• Peer certificate: Certificado do peer (opcionalmente pode ser nulo).
• Compressiom Metod: Algoritmo utilizado na compressão.
• Cipher Spec: Specifica o algorimo usado na encriptação (null, DES, etc) e um algoritmo MAC (MD5 ou SHA).
• Master Secret: Uma chave secreta de 48 bytes trocada entre cliente e servidor.
• Is Resumable: Flag que indica se a sessão pode ser utilizada em outras conexões.

O Estado de Conexão é constituido pelos seguintes elementos:

• Server and Client Random: Seqüência de bytes aleatórios escolhidos pelo servidor e cliente a cada conexão.
• MAC Secret: Segredo usado nas operações MAC na escrita de dados
• Write Key: Chave de cifragem usada para encriptação e desencriptação pelo cliente e servidor.
• Inicialization Vetors: Utilizado no algoritmo de encriptação
• Sequence Numbers: Utilizado no algoritmo de encriptação

No nível inferior, a Record Layer é suportada por um protocolo de transporte, tal como o TCP, entre a camada de aplicação e a camada de transporte está o SSL RECORD PROTOCOL, que tem a função de encapsular os diversos protocolos de nível superior e prover os seguintes serviços:

• Fragmentação: Fragmenta os blocos de informação em registros SSLPlaintext de 2²⁴ bytes ou menos.
• Compressão e descompressão: Transforma os registros SSLPlaintext em um Registro SSLCompressed e vice-versa, usando o algoritmo de compressão e descompressão definido no Estado de Sessão.
• Autenticação de mensagem:
• Encriptação.

Uma vez que o handshake tenha sido completado, as duas partes trocam segredos que são usados para encriptar os registros e computar códigos de autenticação de mensagens (MAC) sobre seus conteúdos. As técnicas utilizadas na encriptação e na função MAC são definidas na mensagem CipherSpec. Estas funções transformam uma estrutura SSLCompressed em um SSLCiphertext. A transmissão inclui tambem um número de seqüência para detectar perda de menssagens, ou mensagens alteradas. O algoritmo MAC é computado antes da encriptação, portanto a encriptação é feita no bloco inteiro, incluindo o MAC.

Exercicio