Seguridad en Servicios Web
Páginas: 10 (2315 palabras)
Publicado: 22 de agosto de 2015
Seguridad en Servicios Web
Cuando se trabaja con un sistema en la red (por ejemplo un servicio web) los datos pueden estar en reposo o en tránsito, hablar de la seguridad de dicho sistema se refiere a qué tan protegida está la información en ambos estados.
Se dice que un sistema es seguro si puede ofrecer satisfactoriamente las siguientes características:
Confidencialidad
AutenticaciónAutorización
Integridad
No repudio
Privacidad
Disponibilidad
Si alguna de los requerimientos no es proporcionado satisfactoriamente se considerará como no seguro, para entender un poco más éstas características profundizaremos un poco en cada una.
Confidencialidad
La confidencialidad en los datos se refiere a que cuando se encuentran en tránsito no sean accesibles para terceras personas, hay dos manerasde obtenerla:
Conexiones Seguras: Se establece una conexión privada entre las dos partes de la transacción, puede ser una línea privada o una VPN.
Cifrado: Es la más usada cuando se emplea un medio no seguro como el internet para realizar la transferencia de los datos, el proceso de cifrado consiste en procesar los datos de forma que su representación sea alterada mediante funciones matemáticas.Existen dos tipos de cifrado:
a. Simétrico: Cuando se habla de cifrado simétrico hablamos de que solo existe una llave que es empleada para cifrar y descifrar los datos, al tener una llave única para realizar ambas cosas nos vemos obligados a mantenerla oculta ya que si cayera en las manos equivocada toda la información cifrada con dicha llave sería descifrable y se perdería la confidencialidad.La interrogante que surge de ahí es ¿Cómo puedo comunicar la llave sin que sea descubierta?, pues hay dos maneras: usar un canal alterno o cifrar la llave junto con el mensaje.
En el primer caso, se perdería la funcionalidad que se busca en los servicios web, ya que el cliente debería comunicarse para obtener una llave mediante un canal seguro. En el segundo, se resuelve el hecho de lacomunicación, sin embargo, surge otra nueva interrogante: ¿Si la llave está cifrada dentro del mensaje, cómo hago para descifrarla?, éste problema es resuelto por el cifrado asimétrico.
b. Asimétrica: En el cifrado asimétrico se emplean dos llaves una privada (que debe ser mantenida en secreto por el portador de los datos) y una pública (que se encuentra visible para cualquier persona), dicho par de llavesen conjunto pueden realizar en proceso de cifrado y descifrado de los datos.
La llave privada se mantiene segura ya que es generada en la computadora del portador, o puede ser enviada en algún dispositivo físico, y la llave publica es empleada por el emisor de los datos, en la actualidad para asegurar que se emplea el par correcto de llaves se recurre a los certificados.
Integridad
La integridadse refiere a que si los datos son manipulados por extraños durante su transporte, esa modificación pueda ser detectada, la integridad está vinculada con el cifrado asimétrico, por ejemplo:
Cuando se envía un mensaje se agrega una versión cifrada del mismo (se cifra con la llave privada), esta parte del mensaje solo puede ser realizada por el portador de la llave, posteriormente se procede a cifrarel mensaje junto con el fragmento cifrado con la llave pública y en enviada, cuando el receptor descifra el mensaje y ejecuta el algoritmo para comprobar la validez del fragmento que permanece cifrado es cuando se puede detectar la manipulación de los datos.
Ese fragmento que siempre permanece cifrado es muy parecido a una firma, solo que en este cao nos ayuda a asegurar que la entidad emisora enrealidad es quien dice ser.
No Repudio
El no repudio se refiere a que el emisor del mensaje no pueda negar que lo envió, es aquí donde se descubre la importancia de contar con una firma digital vinculada con dicha entidad, en la actualidad dicha firma se llama certificado digital y cuenta con toda infraestructura detrás de ella, a continuación explico brevemente esa infraestructura (PKI):
En...
Cuando se trabaja con un sistema en la red (por ejemplo un servicio web) los datos pueden estar en reposo o en tránsito, hablar de la seguridad de dicho sistema se refiere a qué tan protegida está la información en ambos estados.
Se dice que un sistema es seguro si puede ofrecer satisfactoriamente las siguientes características:
Confidencialidad
AutenticaciónAutorización
Integridad
No repudio
Privacidad
Disponibilidad
Si alguna de los requerimientos no es proporcionado satisfactoriamente se considerará como no seguro, para entender un poco más éstas características profundizaremos un poco en cada una.
Confidencialidad
La confidencialidad en los datos se refiere a que cuando se encuentran en tránsito no sean accesibles para terceras personas, hay dos manerasde obtenerla:
Conexiones Seguras: Se establece una conexión privada entre las dos partes de la transacción, puede ser una línea privada o una VPN.
Cifrado: Es la más usada cuando se emplea un medio no seguro como el internet para realizar la transferencia de los datos, el proceso de cifrado consiste en procesar los datos de forma que su representación sea alterada mediante funciones matemáticas.Existen dos tipos de cifrado:
a. Simétrico: Cuando se habla de cifrado simétrico hablamos de que solo existe una llave que es empleada para cifrar y descifrar los datos, al tener una llave única para realizar ambas cosas nos vemos obligados a mantenerla oculta ya que si cayera en las manos equivocada toda la información cifrada con dicha llave sería descifrable y se perdería la confidencialidad.La interrogante que surge de ahí es ¿Cómo puedo comunicar la llave sin que sea descubierta?, pues hay dos maneras: usar un canal alterno o cifrar la llave junto con el mensaje.
En el primer caso, se perdería la funcionalidad que se busca en los servicios web, ya que el cliente debería comunicarse para obtener una llave mediante un canal seguro. En el segundo, se resuelve el hecho de lacomunicación, sin embargo, surge otra nueva interrogante: ¿Si la llave está cifrada dentro del mensaje, cómo hago para descifrarla?, éste problema es resuelto por el cifrado asimétrico.
b. Asimétrica: En el cifrado asimétrico se emplean dos llaves una privada (que debe ser mantenida en secreto por el portador de los datos) y una pública (que se encuentra visible para cualquier persona), dicho par de llavesen conjunto pueden realizar en proceso de cifrado y descifrado de los datos.
La llave privada se mantiene segura ya que es generada en la computadora del portador, o puede ser enviada en algún dispositivo físico, y la llave publica es empleada por el emisor de los datos, en la actualidad para asegurar que se emplea el par correcto de llaves se recurre a los certificados.
Integridad
La integridadse refiere a que si los datos son manipulados por extraños durante su transporte, esa modificación pueda ser detectada, la integridad está vinculada con el cifrado asimétrico, por ejemplo:
Cuando se envía un mensaje se agrega una versión cifrada del mismo (se cifra con la llave privada), esta parte del mensaje solo puede ser realizada por el portador de la llave, posteriormente se procede a cifrarel mensaje junto con el fragmento cifrado con la llave pública y en enviada, cuando el receptor descifra el mensaje y ejecuta el algoritmo para comprobar la validez del fragmento que permanece cifrado es cuando se puede detectar la manipulación de los datos.
Ese fragmento que siempre permanece cifrado es muy parecido a una firma, solo que en este cao nos ayuda a asegurar que la entidad emisora enrealidad es quien dice ser.
No Repudio
El no repudio se refiere a que el emisor del mensaje no pueda negar que lo envió, es aquí donde se descubre la importancia de contar con una firma digital vinculada con dicha entidad, en la actualidad dicha firma se llama certificado digital y cuenta con toda infraestructura detrás de ella, a continuación explico brevemente esa infraestructura (PKI):
En...
Leer documento completo
Regístrate para leer el documento completo.