SSL
(Secure Socket Layer) es un protocolo antiguo en comparación con TLS (Transport
Layer Security). TLS es un protocolo para la transmisión segura de datos en
gran medida basado en SSLv según Webimprints, empresa de seguridad informática
en México. TLS ofrece la confidencialidad, la integridad y autenticación. Eso
significa que:
Confidencialidad:
oculta el contenido de los mensajes
Integridad:
detecta cuando han sido alterados
Autenticación:
asegura que quien está enviándolos es quien dice ser.
Además
detecta los mensajes que faltan y duplicados. TLS es la principal manera de
proteger el tráfico web, y utiliza sobre todo para ese propósito menciona Dave
Smith especialista de seguridad informática en México. Un montón de páginas
confían en TLS y TLS es seguro, es por eso que cosas como POODLE y Heartbleed
reciben tanta atención. SSL está roto, las tres versiones. El último de ellos,
la versión 3, tuvo su confidencialidad gravemente comprometida por POODLE según
especialista de empresa de pruebas de penetración.
Por
confidencialidad TLS utiliza cualquiera de Diffie-Hellman o RSA para el
intercambio de claves. Con todo el problema Heartbleed, ahora se recomienda el
uso de un mecanismo de intercambio de claves con el secreto hacia adelante, lo
que implica Diffie-Hellman en este caso. El cifrado real se hace normalmente
usa un algoritmo AES con varios modos disponibles (CBC, CCM, GCM).
Para
la integridad normalmente se utiliza HMAC, hoy es prácticamente obligatorio el
uso SHA256 mencionó experto de proveedor
de seguridad informática en México.
Así
que sin autenticación que sería abierto a, por ejemplo, MitM (Hombre en el
Medio) ataques. Pero ¿cómo se puede autenticar a un servidor si usted nunca ha
visto antes, y mucho menos intercambiado ninguna credencial con él?
La
respuesta es los certificados TLS. Los certificados son sólo una clave pública
con un montón de información que se le atribuye, como el FQDN está autenticado,
un correo electrónico de contacto, el "expedido en" y "expira
en" fechas, entre otras cosas, eso puede detectar durante pruebas de
penetración. El servidor almacena y mantiene en secreto la correspondiente
clave privada. TLS utiliza estas teclas para autenticar el servidor al cliente.
Recordemos
que en la criptografía de clave pública, los mensajes cifrados con la clave
pública sólo pueden ser descifrados utilizando la clave privada, pero los
mensajes cifrados con la clave privada se pueden descifrar con cualquiera,
explica experto de
Webimprints, una empresa de seguridad informática en
México. El propietario de las claves guarda el secreto clave privada, y
distribuye libremente la clave pública.
Ahora,
la forma habitual de autenticación de alguien usando criptografía de clave
pública es la siguiente (Suponga que Bob quiere autenticar Alice):
Bob
envía Alice un mensaje aleatorio cifrado con la clave pública de Alice
Alice
descifra el mensaje utilizando su clave privada y lo envía de vuelta a Bob
Bob
compara el mensaje de Alice contra el que se envía.
Si coinciden Alice es quien decir que ella es, porque sólo
ella podría haber descifrado el mensaje, porque sólo ella tiene su clave
privada. TLS utiliza una variación de esta técnica, pero es esencialmente el
mismo.
No comments:
Post a Comment