SSL (Secure Socket Layer) y su hijo TLS (Transport Layer Security) son protocolos de seguridad de uso común Su función es establecer un canal seguro entre 2 equipos a través de Internet o un red interna. SSL llegó a la versión 3.0 que fue presentada en 1996 y reino hasta que en 1999 se definió TLS 1.0 como una actualización para SSL 3.0.
Este protocolo se hace notorio para el usuario cuando el navegador detecta un certificado SSL y nos informa de ello mostrándonos un candado en la barra de navegación.
Nociones básicas sobre SSL
- Primeramente se negocia entre los 2 equipos que algoritmo se utilizará para la comunicación.
- Luego se intercambiaran las claves publicas basadas en certificados.
- Y para acabar, se cifra el trafico con un cifrado simétrico.
Todo tarde o temprano acaba cediendo y no fue hasta el 23 de septiembre del 2011 cuando Thai Duong y Juliano Rizzo demostrarían como hacer sangre de las restricciones de TSL 1.0 con una prueba de concepto llamada BEAST (Browser Exploit Against SSL/TLS) usando una applet java.
La base teorica de esta vulnerabilidad ya fue descubierta por Philip Rogaway en 2002 pero nadie sabia como implementarla.
No hay comentarios:
Publicar un comentario