Informatica
Páginas: 12 (2849 palabras)
Publicado: 31 de enero de 2013
Hoy vamos a hablar de SSL. Quizás sería más adecuado hablar de cifrado en capa de aplicación, o comunicaciones seguras en Internet, y así poder partir con buen pie y no mezclar SSL con TLS. De todos modos, el término SSL es posiblemente el mas extendido, de modo que lo emplearemos también aquí, haciendo las pertinentes clarificaciones.
No sé vosotros pero yo estoy un poco cansado de ver informesde auditoría en los que o bien se da por sentado que tener un candadito y HTTPS en una aplicación web es suficiente, o bien que me tiren un Nessus y me hagan copy-paste de la salida y me recuerden que mi SSL tiene "cifrados débiles" y similares, sin detallar dónde están los problemas y cómo solventarlos más allá de "actualice a SSL 3.0 o TLS 1.0". Creo que se simplifica mucho y se restaimportancia a un tema clave, reduciendo todo a un par de axiomas. El espíritu de este texto es ofrecer una visión en profundidad sobre cómo se audita SSL, fundamentando el método en el conocimiento de la teoría y cómo verificar en la práctica las condiciones de seguridad de las comunicaciones de este tipo.
¿Por qué es conveniente auditar SSL?
El principal motivo de auditar SSL no es otro determinar laseguridad de las comunicaciones entre dos entidades determinadas, generalmente, cliente y servidor. Aunque lo asociamos a Web principalmente, otros medios de comunicación hacen uso intensivo de métodos criptográficos para generar comunicaciones seguras, como el correo electrónico o la voz sobre IP. En este texto veremos ejemplos Web, aunque el fundamento teórico es exactamente el mismo.
Elprincipal enemigo de la seguridad de las comunicaciones es la interceptación y descifrado de mensajes dentro de un túnel seguro. En otras palabras, romper la confidencialidad de la información, aunque también es dañina la ruptura de la integridad de los mensajes y el impacto sobre la disponibilidad. Es lo que se llaman ataques Man In The Middle, o MITM, en los que un atacante se establece entre las dosentidades en comunicación con el propósito de interceptar y obtener los contenidos de los mensajes cifrados entre emisor y receptor.
El reciente caso de DigiNotar es un buen ejemplo de lo que pasa cuando por algún motivo, la seguridad del canal queda al descubierto. Los modelos de certificación empleados en Web son un tema de discusión aparte, y no guardan relación directa con la temática quetenemos hoy entre manos, aunque son un buen ejemplo.
En ausencia de un certificado adulterado, es decir, en condiciones normales de operación, ese candadito y esa "s" tras el HTTP de toda la vida se encargan de que personas que no tendrían por que espiar tus comunicaciones fracasen al intentarlo. Y esto es muy importante, habida cuenta que el derecho a tener comunicaciones secretas está recogido en lamisma Constitución, y son muchos los delitos que derivan de pasarse por el forro este derecho, como por ejemplo el descubrimiento y revelación de secretos, que forma parte del Código Penal español. El secreto de las comunicaciones es importante, y por tanto, auditar la seguridad de las comunicaciones es extremadamente importante.
Los elementos básicos en seguridad SSL
Lo primero es definirclaramente qué vamos a comprobar. En el caso de SSL, hablamos de cinco aspectos principales:
* El protocolo empleado
* El establecimiento de la comunicación
* El cifrado de las comunicaciones
* Firmas digitales
* El hashing
* Códigos de autenticación de mensajes (HMAC)
1. El protocolo empleado
Cronológicamente hablando, SSL (Secure Sockets Layer) es el predecesor de TLS(Transport Layer Security). TLS es un protocolo basado en las especificaciones SSL, originalmente diseñado por Netscape. En este ámbito, SSL 3.0 sirvió de base para definir TLS 1.0, aunque por razones de compatibilidad hacia atrás, TLS sigue siendo compatible con especificaciones estrictamente concernientes a SSL. Aunque no son lo mismo, se tiende a llamar SSL a los dos principales protocolos...
No sé vosotros pero yo estoy un poco cansado de ver informesde auditoría en los que o bien se da por sentado que tener un candadito y HTTPS en una aplicación web es suficiente, o bien que me tiren un Nessus y me hagan copy-paste de la salida y me recuerden que mi SSL tiene "cifrados débiles" y similares, sin detallar dónde están los problemas y cómo solventarlos más allá de "actualice a SSL 3.0 o TLS 1.0". Creo que se simplifica mucho y se restaimportancia a un tema clave, reduciendo todo a un par de axiomas. El espíritu de este texto es ofrecer una visión en profundidad sobre cómo se audita SSL, fundamentando el método en el conocimiento de la teoría y cómo verificar en la práctica las condiciones de seguridad de las comunicaciones de este tipo.
¿Por qué es conveniente auditar SSL?
El principal motivo de auditar SSL no es otro determinar laseguridad de las comunicaciones entre dos entidades determinadas, generalmente, cliente y servidor. Aunque lo asociamos a Web principalmente, otros medios de comunicación hacen uso intensivo de métodos criptográficos para generar comunicaciones seguras, como el correo electrónico o la voz sobre IP. En este texto veremos ejemplos Web, aunque el fundamento teórico es exactamente el mismo.
Elprincipal enemigo de la seguridad de las comunicaciones es la interceptación y descifrado de mensajes dentro de un túnel seguro. En otras palabras, romper la confidencialidad de la información, aunque también es dañina la ruptura de la integridad de los mensajes y el impacto sobre la disponibilidad. Es lo que se llaman ataques Man In The Middle, o MITM, en los que un atacante se establece entre las dosentidades en comunicación con el propósito de interceptar y obtener los contenidos de los mensajes cifrados entre emisor y receptor.
El reciente caso de DigiNotar es un buen ejemplo de lo que pasa cuando por algún motivo, la seguridad del canal queda al descubierto. Los modelos de certificación empleados en Web son un tema de discusión aparte, y no guardan relación directa con la temática quetenemos hoy entre manos, aunque son un buen ejemplo.
En ausencia de un certificado adulterado, es decir, en condiciones normales de operación, ese candadito y esa "s" tras el HTTP de toda la vida se encargan de que personas que no tendrían por que espiar tus comunicaciones fracasen al intentarlo. Y esto es muy importante, habida cuenta que el derecho a tener comunicaciones secretas está recogido en lamisma Constitución, y son muchos los delitos que derivan de pasarse por el forro este derecho, como por ejemplo el descubrimiento y revelación de secretos, que forma parte del Código Penal español. El secreto de las comunicaciones es importante, y por tanto, auditar la seguridad de las comunicaciones es extremadamente importante.
Los elementos básicos en seguridad SSL
Lo primero es definirclaramente qué vamos a comprobar. En el caso de SSL, hablamos de cinco aspectos principales:
* El protocolo empleado
* El establecimiento de la comunicación
* El cifrado de las comunicaciones
* Firmas digitales
* El hashing
* Códigos de autenticación de mensajes (HMAC)
1. El protocolo empleado
Cronológicamente hablando, SSL (Secure Sockets Layer) es el predecesor de TLS(Transport Layer Security). TLS es un protocolo basado en las especificaciones SSL, originalmente diseñado por Netscape. En este ámbito, SSL 3.0 sirvió de base para definir TLS 1.0, aunque por razones de compatibilidad hacia atrás, TLS sigue siendo compatible con especificaciones estrictamente concernientes a SSL. Aunque no son lo mismo, se tiende a llamar SSL a los dos principales protocolos...
Leer documento completo
Regístrate para leer el documento completo.