S E G U R I D A D

D E

L A

I N F O R M A C I N

Protocolo SSL y SSL Handshake

SSL (SECURE SOCKETS LAYER)

La empresa Netscape Communication crea en la dcada de los 90 el protocolo estndar SSL, un procedimiento para proporcionar comunicaciones seguras en una red.

Es un protocolo criptogrfico que proporciona confidencialidad, autenticidad e integridad en una comunicacin cliente/servidor.

QUE SE NECESITA

Para usar SSL se necesita un certificado SSL

Este certificado debe estar instalado en el servidor, debe tener una direccin IP dedicada (fija) y los visitantes deben usar un navegador que soporte este protocolo y los certificados usados, que en la actualidad son casi todos (al menos los modernos).

PROTOCOLO SSL
El protocolo SSL, no se ejecuta en el equipo con ninguna accin especfica, slo se debe ingresar direcciones url que comiencen con https para que todo el proceso de transferencia de datos sea completamente seguro y encriptado.

FUNCIONAMIENTO DE SSL

SSL toma los datos del emisor y los separa en trozos aleatorios, los cuales son cifrados y enviados de forma segura al receptor. Al llegar all, los trozos se ordenan nuevamente y la informacin es decodificada para evitar la interceptacin de los datos. Una de las principales caractersticas que distingue a SSL de otros sistemas de seguridad, es que se aloja en la pila OSI del protocolo TCP/IP lo que lo hace muy flexible y verstil.

funcionamiento del protocolo ssl

PRINCIPALES USOS DE SSL

El principal uso del protocolo SSL, es el de proteger la informacin personal y de tarjetas de crdito utilizadas para el comercio electrnico.

Es utilizado para proteger la privacidad de los usuarios de ciertas plataformas de e-mail y servidores de correo, como Gmail, evitando que atacantes informticos puedan interceptar informacin importante de sus usuarios.

PRINCIPALES USOS DE SSL

Es ampliamente utilizado en los formularios de datos de las pginas web para proteger los datos de los usuarios y evitar que sean utilizados para robo de identidad o fraudes electrnicos.

SSL (SECURE SOCKETS LAYER)

Este se compone de dos capas:

SSL Record Protocol. Est ubicada sobre algn protocolo de transporte confiable (como por ejemplo TCP) y es usado para encapsular varios tipos de protocolos de mayor nivel. SSL Handshake Protocol. Es uno de los posibles protocolos que pueden encapsularse sobre la capa anterior y permite al cliente y al servidor autenticarse mutuamente, negociar un algoritmo de cifrado e intercambiar llaves de acceso.

PROPIEDADES
Las conexiones realizadas por medio de este protocolo tienen las siguientes propiedades bsicas: Privada. Despus de un proceso inicial de "handshake" en el cual se define una clave secreta, se enva la informacin encriptado por medio de algn mtodo simtrico (DES, RC4). Segura. La identidad de cada extremo es autenticada usando mtodos de cifrado asimtricos o de clave pblica (RSA, DSS). Confiable. El transporte del mensaje incluye un control de la integridad del mismo usando una MAC cifrada con SHA y MD5.

OBJETIVOS

Los objetivos del protocolo SSL son, en orden de prioridad: Seguridad Criptogrfica. Debe ser usado para establecer una conexin segura entre dos partes. Interoperatividad. Programadores independientes deben poder desarrollar aplicaciones que, utilizando SSL, permitan intercambiar en forma exitosa parmetros de cifrado sin tener conocimiento del cdigo utilizado por el otro.

OBJETIVOS

Flexibilidad. Debe ser una base sobre la cual puedan incorporarse nuevos mtodos de cifrado. Esto trae aparejado dos objetivos ms: evitar la creacin de un protocolo nuevo y la implementacin de una nueva biblioteca de seguridad Eficiencia. Dado que las operaciones de cifrado consumen gran cantidad de recursos, en especial CPU, incorpora ciertas facilidades que permiten mejorar este aspecto, adems de mejorar el uso de la red.

PROCESO DEL PROTOCOLO SSL HANDSHAKE

PROCESO DEL PROTOCOLO SSL HANDSHAKE

1. El cliente enva un mensaje ClientHello especificando la versin ms alta del protocolo TLS soportada, un nmero aleatorio y una lista de algoritmos de autenticacin, cifrado y MAC (Message Authentication Code), as como algoritmos de compresin. 2. El servidor responde con un mensaje ServerHello, indicando la versin del protocolo seleccionado (la ms alta que soporten cliente y servidor), un nmero aleatorio, los algoritmos que selecciona de los enviados por el cliente y su certificado digital (mediante un mensaje Certificate) para autenticarle.

PROTOCOLO SSL HANDSHAKE

3. El cliente verifica el certificado de servidor, tpicamente mediante una autoridad de confianza o PKI. A continuacin el cliente responde con un mensaje ClientKeyExchange, el cual contiene una PreMasterSecret (un nmero secreto), con informacin para generar la clave de sesin. Si se utiliza el algoritmo RSA este mensaje ir cifrado con la clave pblica del servidor y este nmero aleatorio generado por el cliente ser de 48 bytes.

 4. El cliente y el servidor usan los nmeros aleatorios intercambiados y PreMasterSecret (el servidor necesita utilizar su clave privada para recuperarla). Con estos datos calculan un secreto comn, denominado master secret. Todas las subclaves de la conexin sern derivadas de sta mediante la funcin pseudoaleatoria establecida.

PROTOCOLO SSL HANDSHAKE

5. El cliente ahora enva un registro ChangeCipherSpec e indica al servidor que a partir de ese momento toda la informacin intercambiada ser autenticada y, si as lo estableci el servidor, cifrada. 6. Finalmente el cliente enva un mensaje Finished firmado y cifrado, conteniendo un hash y MAC de los mensajes negociados anteriormente. 7. El servidor intentar descifrar el mensaje Finished enviado por el cliente y verifica el hash y el MAC. Si el descifrado o la verificacin falla, la conexin no tiene lugar.

PROTOCOLO SSL HANDSHAKE

8. Si todo va bien, el servidor enva un ChangeCipherSpec indicando al cliente que a partir de ese momento todo lo que le enve estar firmado y, si fue negociado, tambin cifrado. El servidor enva su mensaje Finished firmado y cifrado, validndolo el cliente, conteniendo un hash y MAC de los mensajes negociados anteriormente.

9.Finaliza la fase de negociacin, pudiendo intercambiar mensajes cliente y servidor autenticados y cifrados (si as fue establecido).