SlideShare une entreprise Scribd logo

Protocolos de seguridad ssl

Télécharger en tant que PPTX, PDF
N
norelysmunoz

Trabajo relacionado con protocolos de seguridad informáticos

Formation
1  sur  19
Protocolos de Seguridad Informática SSI Alan Verastegui Seguridad Informática
Resumen El comercio electrónico en Internet constituye una compleja operación en la que uno de los principales elementos es dar seguridad a vendedor y comprador de que la transacción comercial que están realizando se realiza sin intromisiones de ningún tipo y sin posibilidad de fraudes o engaños entre ninguna de ambas partes. Durante los últimos 10 años han ido surgiendo un número considerable de tecnologías y sistemas de pago electrónico que ofrecen las garantías de seguridad e integridad necesarias para realizar estas transacciones de una forma fiable. No obstante, este sigue siendo el mayor obstáculo (tanto técnico como psicológico) a vencer para que se produzca el definitivo despegue del comercio electrónico. Mientras no exista confianza, mientras los usuarios teman al fraude, mientras se desconozcan los sistemas de pago empleados y su fiabilidad, es difícil que esta oportunidad de negocio prospere.
Es de aquí donde nace la idea de crear un método seguro para realizar cualquier transacción electrónica de aquí nace SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico es decir un (conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras con páginas web). SSL, Secure Sockets Layer, fue diseñado y propuesto por Netscape Communications Corporation en 1994 junto con su primera versión de Netscape Navigator. Tras una accidentada historia inicial de revisiones alcanzó su madurez en 1995 con la versión 3.0, convirtiéndose hoy en día en la solución más extendida en los servidores que ofrecen servicios de comercio electrónico y dejando virtualmente en la cuneta a todos sus competidores a pesar de que no es ni el método más seguro ni el más idóneo para implantar este tipo de soluciones, puesto que fue diseñado como un protocolo seguro de propósito general. En este documento nos centraremos en realizar un detallado análisis del, hasta ahora, ganador en esta carrera pero sin olvidar por completo los méritos de sus competidores
Introducción La seguridad es la barrera real y psicológica que es necesario franquear para el definitivo despegue del comercio electrónico. Los elementos que forman esta barrera son siete y van más allá de lo físico (hardware) o lógico (protocolos, aplicaciones) e involucran factores tales como la legislación, la educación de los usuarios, etc. Y los siete elementos son: * Confidencialidad. * Integridad. * Disponibilidad. * No Repudio. *Verificación de la Identidad. * Validez Legal. * Confianza de los Usuarios.
La validez legal de una transacción comercial a través de Internet y la confianza de los usuarios habrá que ganarla poco a poco, interviniendo en ella mucho más la actitud de los medios de comunicación y la formación de los usuarios que la verdadera validez del protocolo. El estándar SSL no contempla la implementación del No Repudio de mensajes. Sin embargo, decíamos en el resumen previo que SSL no está diseñado específicamente para el comercio electrónico ¿cómo es posible entonces que se adapte tan bien a los requisitos del mismo? En realidad no lo hace. En una transacción comercial electrónica existe una tercera parte involucrada que no se contempla en SSL: el banco. Cuando realizamos una transacción comercial usando SSL el cliente escoge la mercancía, realiza la orden de pedido y envía la información de pago (típicamente un número de tarjeta de crédito o débito) al vendedor.
Este realiza las comprobaciones oportunas en el banco y una vez que obtiene la validez del medio de pago procesa el pedido. ¿Cuál es el problema en este esquema? Es evidente: el vendedor no compromete ante el cliente ningún tipo de información sensible y, además, está protegido contra posibles fraudes (tarjetas falsas o caducadas). El comprador, sin embargo, tiene que enviar información sensible al vendedor comprometiendo la misma ante la honestidad de este y, además, exponiendose ante SSL, Secure Sockets Layer y otros Protocolos para el Comercio Electrónico.
Mientras que algunos de los competidores de SSL (S-HTTP, PCT o TLS) son meras variantes más o menos mejoradas de hacer lo mismo que se han visto perjudicadas por la supremacía que durante largos años ha mantenido Netscape en este sector, existen dos protocolos (SET y Cybercash) que si ofrecen una solución a estos problemas y que, sin embargo, no han tenido la aceptación y difusión que debieran, al menos hasta el momento. CyberCash fue comprada a mediados de 2001 por Verisign, quien se limita a mantener el soporte a la escasa cartera de clientes existentes de esta tecnología con objeto de darle una muerte más o menos digna y tratar de potenciar su propia solución al problema del pago electrónico y SET, a pesar de estar arropada por VISA y Mastercard (dos de los grandes gigantes del pago magnético) no acaba de arrancar en el terreno del pago electrónico. Trataremos de estudiar el porque más adelante. SSL, Secure Sockets Layer y otros Protocolos para el Comercio Electrónico.
Protocolo de seguridad informático SSL SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico (un conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras con páginas web). SSL, es el protocolo dominante en la actualidad en el panorama del comercio electrónico, proporciona confidencialidad, integridad y verificación de la identidad de ambas partes (esta últimas característica sólo si se utiliza en conjunción de certificados digitales en ambos extremos, cosa que no suele ser frecuente)
Otros protocolos de seguridad TLS : La llamada versión 3.1 de SSL, es el sucesor natural de este. Lo tiene todo para que esta sucesión se realice sin traumas: como el alías que lo acompaña indica (nos referimos a la ‘etiqueta’ de SSL 3.1) es meramente un SSL mejorado y no propietario que posee mecanismos de compatibilidad con SSL y viene ya de serie con la gran mayoría de los navegadores. Y sin embargo, la inercia en el mundo de los servidores es tal que la transición hacía el no acaba de realizarse. Tanto IIS como Apache, los dos servidores más extendidos (juntos suman más del 90% del total del parque de Internet) llevan soporte de TLS y, sin embargo, los administradores de sistemas siguen decantándose por ‘las viejas soluciones’.
PCT : Es el clónico de SSL inventado por Microsoft. Poco merece la pena hablar de el: aporta pocas novedades técnicas y en esta ocasión, las cosas no les han salido bien a los chicos de Redmon. Ni siquiera las últimas versiones de Explorer soportan ya este protocolo S-HTTP: Es un protocolo muy orientado a proporcionar seguridad exclusivamente al protocolo HTTP que, a pesar de ser posiblemente el protocolo seguro más antiguo de Internet, no ha sabido aprovecharse de esa ventaja, quizás a su orientación tan específica IPSec : Ha sido postulado en ocasiones como sucesor o competidor de SSL. Sin embargo su mayor complejidad en cuanto a implantación y mantenimiento reducen su ámbito de actuación, al menos por el momento, a ámbitos de comunicaciones empresariales y no al mundo abierto y sin fronteras del comercio electrónico
Cybercash: Introdujo en el panorama de los protocolos seguros conceptos como el de la pasarela de pago y mecanismos para proteger no sólo al vendedor, sino también al comprador. La especial complejidad de un esquema que no se vio acompañado por el estado de la técnica. Cuando Cybercash (atravesaba su momento de esplendor la conexiones habituales en los ordenadores de los usuarios eran de 9K6 o 14K4) y la inmadurez de los sistemas PKI imprescindibles para su desarrollo lo condenaron a una larga peregrinación de cambios y adaptaciones al mercado hasta su definitiva muerte a manos de Verisign. SET : Ha retomado el testigo de Cybercash. Utiliza un esquema muy similar y está arropado por los gigantes del pago electrónico y las grandes compañías de informática y telecomunicaciones.
Las PKI se encuentran en un momento de extensión y reconocimiento (aunque aún adolecen de algunos serios problemas) y las comunicaciones ya no son lo que eran. No obstante sigue sin arrancar. El principal problema, según todos los expertos, es la complejidad de la infraestructura a desarrollar. El comercio electrónico es hoy en día, en su mayor parte, un mecanismo impulsivo y espontáneo y sería muy difícil convencer al usuario de la necesidad de obtener una certificación (que habría de adquirir de modo presencial) para realizar sus compras en Internet. Hay, de todas formas, muchos factores próximos que pueden cambiar este punto: la inminente implantación del DNI digital hará que todos tengamos en el bolsillo un certificado digital con las máximas garantías. Quizás sea ese el ‘pistoletazo’ de salida que necesita SET
Objetivo del protocolo SSL El objetivo principal es proporcionar un canal de comunicaciones seguro entre un cliente y un servidor que sea independiente del sistema operativo usado por ambos y que se beneficie de forma dinámica y flexible de los nuevos adelantos en materia de cifrado a medida de que estos estuvieran disponibles. SSL fue diseñado como un protocolo seguro de propósito general y no teniendo en mente las necesidades específicas del comercio electrónico. SSL trabaja sobre el protocolo TCP y por debajo de protocolos como HTTP,IMAP, LDAP, etc., y puede ser usado por todos ellos de forma transparente para el usuario. Opera entre la capa de transporte y la de sesión del modelo OSI (o entre la capa de transporte y la de aplicación del modelo TCP) y está formado, a su vez, por dos capas y cuatro componentes bien diferenciados
¿Como trabaja el protocolo SSL? SSL trabaja de la siguiente forma: en primer lugar intercambiamos una clave de longitud suficiente mediante un algoritmo de cifrado asimétrico. Mediante esa clave establecemos un canal seguro utilizando para ello un algoritmo simétrico previamente negociado. A continuación, toma los mensajes a ser transmitidos, los fragmenta en bloques, los comprime, aplica un algoritmo hash para obtener un resumen (MAC) que es concatenado a cada uno de los bloques comprimidos para asegurar la integridad de los mismos, realiza el cifrado y envía los resultados. El estado de todas estas operaciones son controladas mediante una máquina de control de estados. Una sesión SSL puede comprender múltiples conexiones. Adicionalmente, se pueden establecer múltiples sesiones SSL simultaneas.
Debilidades de SSL La versión 2.0 de SSL poseía muchas debilidades que la versión 3.0 se apresuró a corregir: una débil construcción de los MAC, errores en el mecanismo de HandShake, etc. Aunque, como decimos, la gran mayoría de estos errores están corregidos, la gran mayoría de nuestros navegadores y muchos servidores de Internet siguen aceptando, por motivos de compatibilidad, la versión 2.0 de este protocolo. La versión 3.0 de SSL es suficientemente robusta para aguantar la gran mayoría de los ataques y la mayoría de las debilidades que analizaremos brevemente en este apartado no son universales, sino que afectan a determinadas implementaciones más o menos extendidas, del popular protocolo. Para más detalles al respecto, el capítulo siguiente del presente documento refleja un historial de las vulnerabilidades conocidas en las distintas implementaciones de este protocolo.
Conclusión Hay un hecho evidente y es que en el futuro cada vez habré más necesidad de contar con redes de comunicaciones seguras. Lo que no es tan fácil de prever es por cuanto tiempo mantendrá SSL su supremacía (en cuanto a universalidad, que no en cuanto a calidad) en estos terrenos. Lo lógico sería pensar que en el terreno de las comunicaciones seguras de propósito general se vea desplazado en algún momento por IPSec y en el terreno específico de las aplicaciones de comercio electrónico por SET u otro protocolo diseñado a tal efecto el momento en el que esto ocurrirá es mucho más difícil de prever Por el momento y lo que hemos tratado de reflejar en este documento, SSL se mantiene en ‘la cresta de la ola’ porque no existe ninguna otra opción mejor.
En el terreno de los protocolos de propósito general tenemos tres grandes grupos: los que son más restrictivos que SSL en cuanto a posibles aplicaciones (como S-HTTP), los que no aportan nada nuevo a lo que ya hace bien SSL y lo poco que aportan no decide a su favor la balanza debido al peso que la gran implantación de SSL le proporciona (como PCT o el mismo TLS) y los que aportando mejores mecanismos y más seguridad se ven desfavorecidos por su mayor coste de implantación y mantenimiento (lo cual es el caso de IPSec).

Recommandé

Manejo de los procesos en los sistemas operativos
Manejo de los procesos en los sistemas operativosManejo de los procesos en los sistemas operativos
Manejo de los procesos en los sistemas operativosCarolina Cols
 
Software caja negra y caja blanca
Software caja negra y caja blancaSoftware caja negra y caja blanca
Software caja negra y caja blancaStudentPc
 
Gestión de procesos en sistemas operativos
Gestión de procesos en sistemas operativosGestión de procesos en sistemas operativos
Gestión de procesos en sistemas operativoschikscorpion_23
 
tabla comparativa de estandares
tabla comparativa de estandarestabla comparativa de estandares
tabla comparativa de estandaresXiva Sandoval
 
Aseguramiento de la calidad del software SQA
Aseguramiento de la calidad del software SQAAseguramiento de la calidad del software SQA
Aseguramiento de la calidad del software SQAAnita Ortiz
 
Rmi remote method invocation
Rmi remote method invocationRmi remote method invocation
Rmi remote method invocationVERONICA PONCE
 
Señales y sistemas de teleproceso
Señales y sistemas de teleprocesoSeñales y sistemas de teleproceso
Señales y sistemas de teleprocesoAlejandro Parkour Crew
 
Proceso del Software
Proceso del Software Proceso del Software
Proceso del Software Ares Atzarel Hernández Rodríguez
 

Recommandé

Manejo de los procesos en los sistemas operativos
Manejo de los procesos en los sistemas operativosManejo de los procesos en los sistemas operativos
Manejo de los procesos en los sistemas operativosCarolina Cols
 
Software caja negra y caja blanca
Software caja negra y caja blancaSoftware caja negra y caja blanca
Software caja negra y caja blancaStudentPc
 
Gestión de procesos en sistemas operativos
Gestión de procesos en sistemas operativosGestión de procesos en sistemas operativos
Gestión de procesos en sistemas operativoschikscorpion_23
 
tabla comparativa de estandares
tabla comparativa de estandarestabla comparativa de estandares
tabla comparativa de estandaresXiva Sandoval
 
Aseguramiento de la calidad del software SQA
Aseguramiento de la calidad del software SQAAseguramiento de la calidad del software SQA
Aseguramiento de la calidad del software SQAAnita Ortiz
 
Rmi remote method invocation
Rmi remote method invocationRmi remote method invocation
Rmi remote method invocationVERONICA PONCE
 
Señales y sistemas de teleproceso
Señales y sistemas de teleprocesoSeñales y sistemas de teleproceso
Señales y sistemas de teleprocesoAlejandro Parkour Crew
 
Proceso del Software
Proceso del Software Proceso del Software
Proceso del Software Ares Atzarel Hernández Rodríguez
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Metodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasMetodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasChristian García
 
GESTION DE PROCESOS EN SISTEMAS OPERATIVOS
GESTION DE PROCESOS EN SISTEMAS OPERATIVOSGESTION DE PROCESOS EN SISTEMAS OPERATIVOS
GESTION DE PROCESOS EN SISTEMAS OPERATIVOSomarhcc
 
Sincronización entre procesos
Sincronización entre procesosSincronización entre procesos
Sincronización entre procesosIchinose 11
 
Sistemas operativos por niveles y su definicion de cada una de las capas.
Sistemas operativos por niveles y su definicion de cada una de las capas.Sistemas operativos por niveles y su definicion de cada una de las capas.
Sistemas operativos por niveles y su definicion de cada una de las capas.honeyjimenez
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
Mecanismos de exclusion mutua y algoritmos
Mecanismos de exclusion mutua y algoritmosMecanismos de exclusion mutua y algoritmos
Mecanismos de exclusion mutua y algoritmosAbimael hernandez
 
Conceptos de software
Conceptos de softwareConceptos de software
Conceptos de softwareAlejandra Regalado
 
Monitores-sistemas operativos
Monitores-sistemas operativosMonitores-sistemas operativos
Monitores-sistemas operativosDaniel Vargas
 
Origen del Modelo OSI y su impacto en als estructuras de redes
Origen del Modelo OSI y su impacto en als estructuras de redesOrigen del Modelo OSI y su impacto en als estructuras de redes
Origen del Modelo OSI y su impacto en als estructuras de redesKim Sorel Rush
 
SERVICIOS DEL SISTEMA OPERATIVO
SERVICIOS DEL SISTEMA OPERATIVOSERVICIOS DEL SISTEMA OPERATIVO
SERVICIOS DEL SISTEMA OPERATIVObeatrizgonzalezbernal
 
Aplicaciones distribuidas
Aplicaciones distribuidasAplicaciones distribuidas
Aplicaciones distribuidasRaúl Guaranda Manzaba
 
Analizador Sintáctico
Analizador SintácticoAnalizador Sintáctico
Analizador SintácticoPablo Guerra
 
Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...
Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...
Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...Academia de Ingeniería de México
 
Instalacion de java y NetBeans
Instalacion de java y NetBeansInstalacion de java y NetBeans
Instalacion de java y NetBeansGeovanny Manuel Mendoza Gonzalez
 
Sistemas Operativos Distribuidos
Sistemas Operativos DistribuidosSistemas Operativos Distribuidos
Sistemas Operativos DistribuidosVectorinox01
 
Modelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwareModelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwarejhonatanalex
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosTensor
 
Monitores
MonitoresMonitores
MonitoresStefano Salvatori
 
Sistemas operativos distribuidos
Sistemas operativos distribuidosSistemas operativos distribuidos
Sistemas operativos distribuidosChristian19121
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Protocolo SSL
Protocolo SSLProtocolo SSL
Protocolo SSLDarwin Mejias
 

Contenu connexe

Tendances

Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Metodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasMetodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasChristian García
 
GESTION DE PROCESOS EN SISTEMAS OPERATIVOS
GESTION DE PROCESOS EN SISTEMAS OPERATIVOSGESTION DE PROCESOS EN SISTEMAS OPERATIVOS
GESTION DE PROCESOS EN SISTEMAS OPERATIVOSomarhcc
 
Sincronización entre procesos
Sincronización entre procesosSincronización entre procesos
Sincronización entre procesosIchinose 11
 
Sistemas operativos por niveles y su definicion de cada una de las capas.
Sistemas operativos por niveles y su definicion de cada una de las capas.Sistemas operativos por niveles y su definicion de cada una de las capas.
Sistemas operativos por niveles y su definicion de cada una de las capas.honeyjimenez
 
Mecanismos de exclusion mutua y algoritmos
Mecanismos de exclusion mutua y algoritmosMecanismos de exclusion mutua y algoritmos
Mecanismos de exclusion mutua y algoritmosAbimael hernandez
 
Monitores-sistemas operativos
Monitores-sistemas operativosMonitores-sistemas operativos
Monitores-sistemas operativosDaniel Vargas
 
Origen del Modelo OSI y su impacto en als estructuras de redes
Origen del Modelo OSI y su impacto en als estructuras de redesOrigen del Modelo OSI y su impacto en als estructuras de redes
Origen del Modelo OSI y su impacto en als estructuras de redesKim Sorel Rush
 
Analizador Sintáctico
Analizador SintácticoAnalizador Sintáctico
Analizador SintácticoPablo Guerra
 
Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...
Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...
Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...Academia de Ingeniería de México
 
Sistemas Operativos Distribuidos
Sistemas Operativos DistribuidosSistemas Operativos Distribuidos
Sistemas Operativos DistribuidosVectorinox01
 
Modelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwareModelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwarejhonatanalex
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosTensor
 
Sistemas operativos distribuidos
Sistemas operativos distribuidosSistemas operativos distribuidos
Sistemas operativos distribuidosChristian19121
 

Tendances (20)

Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de software
 
Metodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemasMetodología para realizar auditorías de sistemas
Metodología para realizar auditorías de sistemas
 
GESTION DE PROCESOS EN SISTEMAS OPERATIVOS
GESTION DE PROCESOS EN SISTEMAS OPERATIVOSGESTION DE PROCESOS EN SISTEMAS OPERATIVOS
GESTION DE PROCESOS EN SISTEMAS OPERATIVOS
 
Sincronización entre procesos
Sincronización entre procesosSincronización entre procesos
Sincronización entre procesos
 
Sistemas operativos por niveles y su definicion de cada una de las capas.
Sistemas operativos por niveles y su definicion de cada una de las capas.Sistemas operativos por niveles y su definicion de cada una de las capas.
Sistemas operativos por niveles y su definicion de cada una de las capas.
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
 
Mecanismos de exclusion mutua y algoritmos
Mecanismos de exclusion mutua y algoritmosMecanismos de exclusion mutua y algoritmos
Mecanismos de exclusion mutua y algoritmos
 
Conceptos de software
Conceptos de softwareConceptos de software
Conceptos de software
 
Monitores-sistemas operativos
Monitores-sistemas operativosMonitores-sistemas operativos
Monitores-sistemas operativos
 
Origen del Modelo OSI y su impacto en als estructuras de redes
Origen del Modelo OSI y su impacto en als estructuras de redesOrigen del Modelo OSI y su impacto en als estructuras de redes
Origen del Modelo OSI y su impacto en als estructuras de redes
 
SERVICIOS DEL SISTEMA OPERATIVO
SERVICIOS DEL SISTEMA OPERATIVOSERVICIOS DEL SISTEMA OPERATIVO
SERVICIOS DEL SISTEMA OPERATIVO
 
Aplicaciones distribuidas
Aplicaciones distribuidasAplicaciones distribuidas
Aplicaciones distribuidas
 
Analizador Sintáctico
Analizador SintácticoAnalizador Sintáctico
Analizador Sintáctico
 
Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...
Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...
Consideraciones sobre la selección, implantación, seguridad, mantenimiento,...
 
Instalacion de java y NetBeans
Instalacion de java y NetBeansInstalacion de java y NetBeans
Instalacion de java y NetBeans
 
Sistemas Operativos Distribuidos
Sistemas Operativos DistribuidosSistemas Operativos Distribuidos
Sistemas Operativos Distribuidos
 
Modelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwareModelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de software
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
 
Monitores
MonitoresMonitores
Monitores
 
Sistemas operativos distribuidos
Sistemas operativos distribuidosSistemas operativos distribuidos
Sistemas operativos distribuidos
 

En vedette

Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Protocolos de seguridad en internet
Protocolos de seguridad en internetProtocolos de seguridad en internet
Protocolos de seguridad en internetpepe69yoyo
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes3123753782
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes sslNANO-06
 
Principales aspectos a considerar en materia de ssl
Principales aspectos a considerar en materia de sslPrincipales aspectos a considerar en materia de ssl
Principales aspectos a considerar en materia de sslCORINPROINCA GROUP
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Estilos de programación y sus lenguajes
Estilos de programación y sus lenguajesEstilos de programación y sus lenguajes
Estilos de programación y sus lenguajesPedro Contreras Flores
 
PROTOCOLO HTTPS
PROTOCOLO HTTPSPROTOCOLO HTTPS
PROTOCOLO HTTPSByron
 
Secure Socket Layer
Secure Socket LayerSecure Socket Layer
Secure Socket LayerNaveen Kumar
 
Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redmamuga
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En RedesSHARITO21
 

En vedette (17)

Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSH
 
Protocolo SSL
Protocolo SSLProtocolo SSL
Protocolo SSL
 
Protocolos de seguridad en internet
Protocolos de seguridad en internetProtocolos de seguridad en internet
Protocolos de seguridad en internet
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Seguridad ssl
Seguridad sslSeguridad ssl
Seguridad ssl
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes ssl
 
Principales aspectos a considerar en materia de ssl
Principales aspectos a considerar en materia de sslPrincipales aspectos a considerar en materia de ssl
Principales aspectos a considerar en materia de ssl
 
Tipos de redes examen
Tipos de redes examenTipos de redes examen
Tipos de redes examen
 
Protocolos SSL/TLS
Protocolos SSL/TLSProtocolos SSL/TLS
Protocolos SSL/TLS
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
 
Estilos de programación y sus lenguajes
Estilos de programación y sus lenguajesEstilos de programación y sus lenguajes
Estilos de programación y sus lenguajes
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informática
 
PROTOCOLO HTTPS
PROTOCOLO HTTPSPROTOCOLO HTTPS
PROTOCOLO HTTPS
 
Secure Socket Layer
Secure Socket LayerSecure Socket Layer
Secure Socket Layer
 
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitosProtocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitos
 
Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una red
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En Redes
 

Similaire à Protocolos de seguridad ssl

Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicosjcfarit
 
Manual de procedimientos
Manual de procedimientosManual de procedimientos
Manual de procedimientosOscar
 
Comercio Electrónico
Comercio Electrónico Comercio Electrónico
Comercio Electrónico AdanAlbertoGB
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes ssljohn gonzalez
 
Infraestructura pk ix
Infraestructura pk ixInfraestructura pk ix
Infraestructura pk ixptrujillo82
 
Factura Electrónica (CFD)
Factura Electrónica (CFD)Factura Electrónica (CFD)
Factura Electrónica (CFD)ernieng
 
Seguridad en las transacciones
Seguridad en las transaccionesSeguridad en las transacciones
Seguridad en las transaccionesguest46247cd
 
El proceso de e commerce exposicion (1)
El proceso de e commerce exposicion (1)El proceso de e commerce exposicion (1)
El proceso de e commerce exposicion (1)Jairo Habeych
 
Elprocesodee commerceexposicion1-131127170703-phpapp01
Elprocesodee commerceexposicion1-131127170703-phpapp01Elprocesodee commerceexposicion1-131127170703-phpapp01
Elprocesodee commerceexposicion1-131127170703-phpapp01Edgar Yunes Oyaga
 
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoActividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoCristhian Criollo
 

Similaire à Protocolos de seguridad ssl (20)

Protocolo
ProtocoloProtocolo
Protocolo
 
E commerce security, ii
E commerce security, iiE commerce security, ii
E commerce security, ii
 
Ssl
SslSsl
Ssl
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
 
Manual de procedimientos
Manual de procedimientosManual de procedimientos
Manual de procedimientos
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronico
 
Comercio Electrónico
Comercio Electrónico Comercio Electrónico
Comercio Electrónico
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitales
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes ssl
 
Confidencialidad
ConfidencialidadConfidencialidad
Confidencialidad
 
Unidad 2
Unidad 2Unidad 2
Unidad 2
 
Noticia abril
Noticia abrilNoticia abril
Noticia abril
 
Infraestructura pk ix
Infraestructura pk ixInfraestructura pk ix
Infraestructura pk ix
 
Unidad2
Unidad2Unidad2
Unidad2
 
Unidad2
Unidad2Unidad2
Unidad2
 
Factura Electrónica (CFD)
Factura Electrónica (CFD)Factura Electrónica (CFD)
Factura Electrónica (CFD)
 
Seguridad en las transacciones
Seguridad en las transaccionesSeguridad en las transacciones
Seguridad en las transacciones
 
El proceso de e commerce exposicion (1)
El proceso de e commerce exposicion (1)El proceso de e commerce exposicion (1)
El proceso de e commerce exposicion (1)
 
Elprocesodee commerceexposicion1-131127170703-phpapp01
Elprocesodee commerceexposicion1-131127170703-phpapp01Elprocesodee commerceexposicion1-131127170703-phpapp01
Elprocesodee commerceexposicion1-131127170703-phpapp01
 
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoActividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
 

Dernier

Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdfgimenanahuel
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfFrancisco158360
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscaeliseo91
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...JonathanCovena1
 

Dernier (20)

Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fisca
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 

Protocolos de seguridad ssl

  • 1. Protocolos de Seguridad Informática SSI Alan Verastegui Seguridad Informática
  • 2. Resumen El comercio electrónico en Internet constituye una compleja operación en la que uno de los principales elementos es dar seguridad a vendedor y comprador de que la transacción comercial que están realizando se realiza sin intromisiones de ningún tipo y sin posibilidad de fraudes o engaños entre ninguna de ambas partes. Durante los últimos 10 años han ido surgiendo un número considerable de tecnologías y sistemas de pago electrónico que ofrecen las garantías de seguridad e integridad necesarias para realizar estas transacciones de una forma fiable. No obstante, este sigue siendo el mayor obstáculo (tanto técnico como psicológico) a vencer para que se produzca el definitivo despegue del comercio electrónico. Mientras no exista confianza, mientras los usuarios teman al fraude, mientras se desconozcan los sistemas de pago empleados y su fiabilidad, es difícil que esta oportunidad de negocio prospere.
  • 3. Es de aquí donde nace la idea de crear un método seguro para realizar cualquier transacción electrónica de aquí nace SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico es decir un (conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras con páginas web). SSL, Secure Sockets Layer, fue diseñado y propuesto por Netscape Communications Corporation en 1994 junto con su primera versión de Netscape Navigator. Tras una accidentada historia inicial de revisiones alcanzó su madurez en 1995 con la versión 3.0, convirtiéndose hoy en día en la solución más extendida en los servidores que ofrecen servicios de comercio electrónico y dejando virtualmente en la cuneta a todos sus competidores a pesar de que no es ni el método más seguro ni el más idóneo para implantar este tipo de soluciones, puesto que fue diseñado como un protocolo seguro de propósito general. En este documento nos centraremos en realizar un detallado análisis del, hasta ahora, ganador en esta carrera pero sin olvidar por completo los méritos de sus competidores
  • 4. Introducción La seguridad es la barrera real y psicológica que es necesario franquear para el definitivo despegue del comercio electrónico. Los elementos que forman esta barrera son siete y van más allá de lo físico (hardware) o lógico (protocolos, aplicaciones) e involucran factores tales como la legislación, la educación de los usuarios, etc. Y los siete elementos son: * Confidencialidad. * Integridad. * Disponibilidad. * No Repudio. *Verificación de la Identidad. * Validez Legal. * Confianza de los Usuarios.
  • 5. La validez legal de una transacción comercial a través de Internet y la confianza de los usuarios habrá que ganarla poco a poco, interviniendo en ella mucho más la actitud de los medios de comunicación y la formación de los usuarios que la verdadera validez del protocolo. El estándar SSL no contempla la implementación del No Repudio de mensajes. Sin embargo, decíamos en el resumen previo que SSL no está diseñado específicamente para el comercio electrónico ¿cómo es posible entonces que se adapte tan bien a los requisitos del mismo? En realidad no lo hace. En una transacción comercial electrónica existe una tercera parte involucrada que no se contempla en SSL: el banco. Cuando realizamos una transacción comercial usando SSL el cliente escoge la mercancía, realiza la orden de pedido y envía la información de pago (típicamente un número de tarjeta de crédito o débito) al vendedor.
  • 6. Este realiza las comprobaciones oportunas en el banco y una vez que obtiene la validez del medio de pago procesa el pedido. ¿Cuál es el problema en este esquema? Es evidente: el vendedor no compromete ante el cliente ningún tipo de información sensible y, además, está protegido contra posibles fraudes (tarjetas falsas o caducadas). El comprador, sin embargo, tiene que enviar información sensible al vendedor comprometiendo la misma ante la honestidad de este y, además, exponiendose ante SSL, Secure Sockets Layer y otros Protocolos para el Comercio Electrónico.
  • 7. Mientras que algunos de los competidores de SSL (S-HTTP, PCT o TLS) son meras variantes más o menos mejoradas de hacer lo mismo que se han visto perjudicadas por la supremacía que durante largos años ha mantenido Netscape en este sector, existen dos protocolos (SET y Cybercash) que si ofrecen una solución a estos problemas y que, sin embargo, no han tenido la aceptación y difusión que debieran, al menos hasta el momento. CyberCash fue comprada a mediados de 2001 por Verisign, quien se limita a mantener el soporte a la escasa cartera de clientes existentes de esta tecnología con objeto de darle una muerte más o menos digna y tratar de potenciar su propia solución al problema del pago electrónico y SET, a pesar de estar arropada por VISA y Mastercard (dos de los grandes gigantes del pago magnético) no acaba de arrancar en el terreno del pago electrónico. Trataremos de estudiar el porque más adelante. SSL, Secure Sockets Layer y otros Protocolos para el Comercio Electrónico.
  • 8. Protocolo de seguridad informático SSL SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico (un conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras con páginas web). SSL, es el protocolo dominante en la actualidad en el panorama del comercio electrónico, proporciona confidencialidad, integridad y verificación de la identidad de ambas partes (esta últimas característica sólo si se utiliza en conjunción de certificados digitales en ambos extremos, cosa que no suele ser frecuente)
  • 9. Otros protocolos de seguridad TLS : La llamada versión 3.1 de SSL, es el sucesor natural de este. Lo tiene todo para que esta sucesión se realice sin traumas: como el alías que lo acompaña indica (nos referimos a la ‘etiqueta’ de SSL 3.1) es meramente un SSL mejorado y no propietario que posee mecanismos de compatibilidad con SSL y viene ya de serie con la gran mayoría de los navegadores. Y sin embargo, la inercia en el mundo de los servidores es tal que la transición hacía el no acaba de realizarse. Tanto IIS como Apache, los dos servidores más extendidos (juntos suman más del 90% del total del parque de Internet) llevan soporte de TLS y, sin embargo, los administradores de sistemas siguen decantándose por ‘las viejas soluciones’.
  • 10. PCT : Es el clónico de SSL inventado por Microsoft. Poco merece la pena hablar de el: aporta pocas novedades técnicas y en esta ocasión, las cosas no les han salido bien a los chicos de Redmon. Ni siquiera las últimas versiones de Explorer soportan ya este protocolo S-HTTP: Es un protocolo muy orientado a proporcionar seguridad exclusivamente al protocolo HTTP que, a pesar de ser posiblemente el protocolo seguro más antiguo de Internet, no ha sabido aprovecharse de esa ventaja, quizás a su orientación tan específica IPSec : Ha sido postulado en ocasiones como sucesor o competidor de SSL. Sin embargo su mayor complejidad en cuanto a implantación y mantenimiento reducen su ámbito de actuación, al menos por el momento, a ámbitos de comunicaciones empresariales y no al mundo abierto y sin fronteras del comercio electrónico
  • 11. Cybercash: Introdujo en el panorama de los protocolos seguros conceptos como el de la pasarela de pago y mecanismos para proteger no sólo al vendedor, sino también al comprador. La especial complejidad de un esquema que no se vio acompañado por el estado de la técnica. Cuando Cybercash (atravesaba su momento de esplendor la conexiones habituales en los ordenadores de los usuarios eran de 9K6 o 14K4) y la inmadurez de los sistemas PKI imprescindibles para su desarrollo lo condenaron a una larga peregrinación de cambios y adaptaciones al mercado hasta su definitiva muerte a manos de Verisign. SET : Ha retomado el testigo de Cybercash. Utiliza un esquema muy similar y está arropado por los gigantes del pago electrónico y las grandes compañías de informática y telecomunicaciones.
  • 12. Las PKI se encuentran en un momento de extensión y reconocimiento (aunque aún adolecen de algunos serios problemas) y las comunicaciones ya no son lo que eran. No obstante sigue sin arrancar. El principal problema, según todos los expertos, es la complejidad de la infraestructura a desarrollar. El comercio electrónico es hoy en día, en su mayor parte, un mecanismo impulsivo y espontáneo y sería muy difícil convencer al usuario de la necesidad de obtener una certificación (que habría de adquirir de modo presencial) para realizar sus compras en Internet. Hay, de todas formas, muchos factores próximos que pueden cambiar este punto: la inminente implantación del DNI digital hará que todos tengamos en el bolsillo un certificado digital con las máximas garantías. Quizás sea ese el ‘pistoletazo’ de salida que necesita SET
  • 13.
  • 14. Objetivo del protocolo SSL El objetivo principal es proporcionar un canal de comunicaciones seguro entre un cliente y un servidor que sea independiente del sistema operativo usado por ambos y que se beneficie de forma dinámica y flexible de los nuevos adelantos en materia de cifrado a medida de que estos estuvieran disponibles. SSL fue diseñado como un protocolo seguro de propósito general y no teniendo en mente las necesidades específicas del comercio electrónico. SSL trabaja sobre el protocolo TCP y por debajo de protocolos como HTTP,IMAP, LDAP, etc., y puede ser usado por todos ellos de forma transparente para el usuario. Opera entre la capa de transporte y la de sesión del modelo OSI (o entre la capa de transporte y la de aplicación del modelo TCP) y está formado, a su vez, por dos capas y cuatro componentes bien diferenciados
  • 15.
  • 16. ¿Como trabaja el protocolo SSL? SSL trabaja de la siguiente forma: en primer lugar intercambiamos una clave de longitud suficiente mediante un algoritmo de cifrado asimétrico. Mediante esa clave establecemos un canal seguro utilizando para ello un algoritmo simétrico previamente negociado. A continuación, toma los mensajes a ser transmitidos, los fragmenta en bloques, los comprime, aplica un algoritmo hash para obtener un resumen (MAC) que es concatenado a cada uno de los bloques comprimidos para asegurar la integridad de los mismos, realiza el cifrado y envía los resultados. El estado de todas estas operaciones son controladas mediante una máquina de control de estados. Una sesión SSL puede comprender múltiples conexiones. Adicionalmente, se pueden establecer múltiples sesiones SSL simultaneas.
  • 17. Debilidades de SSL La versión 2.0 de SSL poseía muchas debilidades que la versión 3.0 se apresuró a corregir: una débil construcción de los MAC, errores en el mecanismo de HandShake, etc. Aunque, como decimos, la gran mayoría de estos errores están corregidos, la gran mayoría de nuestros navegadores y muchos servidores de Internet siguen aceptando, por motivos de compatibilidad, la versión 2.0 de este protocolo. La versión 3.0 de SSL es suficientemente robusta para aguantar la gran mayoría de los ataques y la mayoría de las debilidades que analizaremos brevemente en este apartado no son universales, sino que afectan a determinadas implementaciones más o menos extendidas, del popular protocolo. Para más detalles al respecto, el capítulo siguiente del presente documento refleja un historial de las vulnerabilidades conocidas en las distintas implementaciones de este protocolo.
  • 18. Conclusión Hay un hecho evidente y es que en el futuro cada vez habré más necesidad de contar con redes de comunicaciones seguras. Lo que no es tan fácil de prever es por cuanto tiempo mantendrá SSL su supremacía (en cuanto a universalidad, que no en cuanto a calidad) en estos terrenos. Lo lógico sería pensar que en el terreno de las comunicaciones seguras de propósito general se vea desplazado en algún momento por IPSec y en el terreno específico de las aplicaciones de comercio electrónico por SET u otro protocolo diseñado a tal efecto el momento en el que esto ocurrirá es mucho más difícil de prever Por el momento y lo que hemos tratado de reflejar en este documento, SSL se mantiene en ‘la cresta de la ola’ porque no existe ninguna otra opción mejor.
  • 19. En el terreno de los protocolos de propósito general tenemos tres grandes grupos: los que son más restrictivos que SSL en cuanto a posibles aplicaciones (como S-HTTP), los que no aportan nada nuevo a lo que ya hace bien SSL y lo poco que aportan no decide a su favor la balanza debido al peso que la gran implantación de SSL le proporciona (como PCT o el mismo TLS) y los que aportando mejores mecanismos y más seguridad se ven desfavorecidos por su mayor coste de implantación y mantenimiento (lo cual es el caso de IPSec).