lunes, 11 de marzo de 2013

SSL/TLS.- Introducción

SSL (Secure Socket Layer) y su hijo TLS (Transport Layer Security) son protocolos de seguridad de uso común  Su función es establecer un canal seguro entre 2 equipos a través de Internet o un red interna. SSL llegó a la versión 3.0 que fue presentada en  1996 y reino hasta que en 1999 se definió TLS 1.0 como una actualización para SSL 3.0. 

Este protocolo se hace notorio para el usuario cuando el navegador detecta un certificado SSL y nos informa de ello mostrándonos un candado en la barra de navegación. 

Nociones básicas sobre SSL

  • Primeramente se negocia entre los 2 equipos que algoritmo se utilizará para la comunicación.
  • Luego se intercambiaran las claves publicas basadas en certificados.
  • Y para acabar, se cifra el trafico con un cifrado simétrico. 

Todo tarde o temprano acaba cediendo y no fue hasta el 23 de septiembre del 2011 cuando Thai Duong y Juliano Rizzo demostrarían como hacer sangre de las restricciones de  TSL 1.0 con una prueba de concepto llamada BEAST (Browser Exploit Against SSL/TLS) usando una applet java. 

La base teorica de esta vulnerabilidad ya fue descubierta por Philip Rogaway en 2002 pero nadie sabia como implementarla.

No hay comentarios:

Publicar un comentario