Seguridad https

Práctica 6.- Seguridad en HTTP.
Introducción
Esta práctica nos introduce en los dos puntos importantes sobre seguridad en HTTP: la autentificación y el transporte seguro de datos. Para el transporte seguro de datos se ha seleccionado SSL (Sockets seguros), que es la más usada (por ejemplo para conexiones http seguras). Se describen dos técnicas para verificar la identidad de la persona quequiere acceder a un documento: • La autentificación básica consiste en un sencillo sistema de nombres de usuarios y contraseñas. • Opcionalmente veremos un sistema de autentificación usando certificados personales. Como sistema seguro en el transporte de datos veremos SSL.

Objetivos
• • • • • Identificar las partes implicadas en un sistema seguro. Distinguir entre autentificación y transporteseguro de datos. Saber decidir en que casos aplicar las técnicas de autentificación y transporte seguro. Aprender a utilizar técnicas de seguridad. Diseñar y programar sistema seguros.

Sockets Seguros (SSL)
Secure Sockets Layer, SSL, es un protocolo desarrollado por Netscape para transmitir documentos privados por Internet. El SSL trabaja usando una llave privada para cifrar los datos que setransfieren por la conexión SSL. SSL permite: 1) Que el cliente compruebe (autentificar) la identidad de la máquina servidor (pero no del usuario final), si el servidor tiene habilitado SSL. Un cliente que soporte SSL puede utilizar técnicas de la criptografía de llave publica para comprobar que el certificado y la identidad de un servidor estan validados por una Autoridad de Certificación (CA). Elcliente confía en los certificados emitidos por unas CA concretas. Esta comprobación puede ser interesante si el cliente, por ejemplo, está enviando un número de la tarjeta de crédito y desea controlar la identidad del servidor. 2) [opcional y poco frecuente] Que el servidor compruebe la identidad del usuario cliente. Con las mismas técnicas de la autentificación del servidor, el servidor con SSLpuede comprobar que el certificado y la identidad del usuario cliente están validados por una CA. Esta comprobación puede ser importante si el servidor, por ejemplo, es un sistema que envía la información financiera confidencial a un cliente y desea controlar la identidad del destinatario. 3) permite que entre ambas máquinas se establezca una conexión cifrada o segura. Todos los datos enviados através de una conexión cifrada SSL viajan no solamente cifrados sino protegidos con un mecanismo para detectar alteraciones, es decir, para detectar automáticamente si los datos se han modificado en tránsito. El protocolo de transporte seguro SSL trabaja sobre el TCP/IP y da servicio a protocolos de alto nivel tales como HTTP, SMTP, IMAP. Por convenio, la URL de los sitios Web que requieren SSLempiezan por https y utilizan un puerto distinto. El proceso de inicio de una conexión SSL es: Fase de negociación: • El cliente envía al servidor el numero de versión del SSL, ciertas propiedades del cifrado y un dato generado aleatoriamente. • El servidor envía al cliente el numero de versión del SSL, ciertas propiedades del cifrado, un dato generado aleatoriamente y su propio certificado. Si se usaautentificación del cliente, el servidor pide el certificado del cliente. Fase de creación de llaves simétricas:

El cliente usa la información proporcionada por el servidor para comprobar su identidad. Si no se puede comprobar la identidad del servidor el usuario es avisado del problema. • Usando la información intercambiada el cliente crea un secreto de sesión temporal. Lo cifra con la llavepublica del servidor, forma parte del certificado, y lo envía al servidor. Si se usa autentificación del cliente, el cliente también envía su certificado. • Si todo el proceso ha sido correcto, incluida la comprobación de la identidad del cliente, tanto el cliente como el servidor usa el secreto temporal para generar el secreto de la conexión, con el crearán las llaves simétricas de cifrado de la...