Seguridad – Parte II

Las redes como Internet (World Wide Web) y la intranet (red local/WLAN) ya no se pueden imaginar sin la protección de las conexiones de datos . Casi todo el mundo ha oído los nombres de los protocolos utilizados para la seguridad. Sin embargo, probablemente no esté claro para todos cuál es la diferencia entre SSL, TLS y HTTPS y qué propiedades de seguridad tienen estos protocolos.

 

¿Por qué es útil una conexión de datos segura?

Supongamos que un usuario quiere navegar a una exhibición en NeuroomNet. Al utilizar una conexión segura, este usuario se beneficia de las características de seguridad de la comunicación cifrada y segura. Sin encriptación, los datos que se transmiten pueden ser leídos como texto sin formato por cualquier persona con acceso a la red correspondiente. Con la creciente difusión de las WLAN abiertas (es decir, sin cifrar), la importancia de HTTPS aumenta porque permite cifrar el contenido independientemente de la red utilizada. El cifrado hace que sea imposible para terceros, entre otras cosas, ver exactamente qué páginas de un sitio web se han visitado.

El uso de certificados garantiza que no sea posible la manipulación del contenido por parte de terceros durante la transmisión y, por ejemplo, que no se inyecte información incorrecta sobre su empresa en el sitio web de su empresa.

Los protocolos más importantes para asegurar las conexiones de datos para operadores de sitios web y aplicaciones web

SSL significa Capa de sockets seguros, fue diseñado por Netscape y lanzado por primera vez con HTTPS en 1994 con su navegador. Hoy en día se conocen vulnerabilidades en SSL y, por lo tanto, el protocolo ya no debería utilizarse.

TLS significa Transport Layer Security y es el protocolo sucesor de SSL. La primera versión de TLS es una variante ligeramente modificada de la tercera versión de SSL y ha sido estandarizada por el IETF. El Grupo de trabajo de ingeniería de Internet ( IETF , inglés para «Grupo de trabajo de ingeniería de Internet») es una organización que se ocupa del avance técnico de Internet para mejorar su funcionamiento.

TLS consta de dos componentes principales: TLS Handshake y TLS Record. En el protocolo de enlace TLS se lleva a cabo un intercambio de claves seguro y una autenticación. Luego, TLS Record usa la clave simétrica negociada en el protocolo de enlace TLS para una transmisión de datos segura: los datos se cifran y protegen contra cambios con un MAC.

MAC significa Código de autenticación de mensajes (código de autenticación de mensajes en alemán) y se utiliza para obtener certeza sobre el origen de los datos o mensajes y para comprobar su integridad. Los algoritmos MAC requieren dos parámetros de entrada, en primer lugar, los datos a proteger y, en segundo lugar, una clave secreta, y usan ambos para calcular una suma de verificación, el código de autenticación del mensaje.

Una noticia: SSL es el término más común en estos días, y cuando la gente habla de SSL, a menudo se refiere a TLS.

HTTPS significa Protocolo de transferencia de hipertexto seguro (inglés para «protocolo de transmisión de hipertexto seguro») y es un protocolo de comunicación en la red con el que se pueden transmitir datos de forma segura. Representa un cifrado de transporte.

HTTPS se utiliza para establecer confidencialidad e integridad en la comunicación entre NeuroomNet Server y el navegador web (cliente) en la red. HTTPS denota el uso de HTTP sobre SSL (TLS). El uso de HTTPS se puede reconocer en el navegador por el hecho de que la dirección de Internet visitada tiene el prefijo https en lugar de http . Además, la mayoría de los navegadores modernos resaltan visualmente una conexión segura.

Una conexión segura a menudo se equipara con el cifrado de la conexión. Sin embargo, SSL/TLS ofrece funciones de seguridad adicionales.

De acuerdo con el diseño original, el navegador del cliente primero debe mostrar el certificado al usuario después de seleccionar la dirección HTTPS. Luego, el usuario decide si confía en el certificado para esta sesión o si lo guarda de forma permanente, posiblemente después de verificar los enlaces proporcionados. De lo contrario, no se establecerá la conexión HTTPS («Salir de esta página» para Firefox o «Haga clic aquí para salir de esta página» para Internet Explorer).

Los tres objetivos principales al usar SSL/TLS son

  • confidencialidad (mediante encriptación),
  • integridad de datos y
  • autenticidad

Estos tres objetivos se explican a continuación.

 

La confidencialidad está garantizada mediante el cifrado de la conexión. Esto garantiza al usuario que sus datos de acceso e información de control, por ejemplo, no pueden ser interceptados ni utilizados indebidamente por terceros. También protege todos sus datos en NeuroomNet y, por lo tanto, constituye la base para el cumplimiento del RGPD europeo.

 

Asegurar la integridad de los datos garantiza que el responsable del tratamiento no pueda ser manipulado. El usuario probablemente no estaría muy contento si, en lugar de encender, emitiera un comando de eliminación, por ejemplo, y el museo resiente el costo y la molestia de restaurarlo en tal caso. Es aún más desagradable cuando alguien más toma todo el control y así causa un gran daño, incluso que amenaza la existencia de la empresa.

 

Autenticidad significa que el usuario puede verificar la identidad del operador del museo. Al asegurar la identidad del museo, el usuario sabe exactamente con quién se está comunicando. Los delincuentes pueden explotar la falta de autenticidad, por ejemplo, registrando nombres de dominio que se parecen mucho al dominio de un museo y proporcionando una copia del controlador bajo esos dominios. El cliente potencial ahora puede ser atraído al sitio falso a través de un correo electrónico de phishing y, con un sitio web no seguro, no puede saber directamente si ha aterrizado en el museo correcto. Puede ingresar sus datos de acceso y otra persona puede ahora dirigirse al museo correcto sin obstáculos.

La autenticación se utiliza para que ambos lados de la conexión puedan verificar la identidad del socio de conexión al establecer la comunicación.

Conexiones seguras en la práctica

Se requiere un certificado SSL/TLS para establecer una conexión segura. Entre otras cosas, el emisor del certificado, el titular del certificado y la clave pública del titular del certificado se almacenan en un certificado. Los certificados se almacenan en el servidor con el que se establecerá posteriormente una conexión segura. Para garantizar la integridad de un certificado, se firma.

Cualquiera puede generar y firmar un certificado de seguridad. Sin embargo, en el caso de certificados autofirmados, no existe autenticidad para terceros, ya que ninguna institución independiente ha verificado la identidad del emisor. Por lo tanto, la mayoría de los navegadores muestran un mensaje de advertencia para los sitios web con certificados autofirmados. Para verificar la autenticidad de un sitio web o una aplicación web, se forma una cadena de confianza entre el navegador del usuario final y el servidor del sitio web visitado. Los fabricantes de navegadores y sistemas operativos verifican y confían en organizaciones seleccionadas cuyos certificados se almacenan luego en el navegador o sistema operativo. Estas organizaciones también se denominan organismos de certificación. Las autoridades de certificación pueden verificar la identidad de terceros y firmar sus certificados después de la verificación. Para garantizar que se observe un estándar mínimo durante la revisión, las organizaciones clasificadas como confiables primero pasan por un proceso de certificación. Al visitar un sitio web o utilizar una aplicación web, finalmente se comprueba si la cadena de confianza está intacta.

Existen diferentes niveles para verificar la identidad, que difieren en el alcance de la verificación. En el nivel más bajo (clase 1), solo se comprueba si el solicitante es propietario del dominio anotado en el certificado. Para los certificados de Clase 2, la identidad del solicitante (persona física o empresa) se verifica más de cerca, por ejemplo, con copias de documentos de identificación y documentos de la empresa. En el caso de los certificados de clase 3, la verificación es aún más intensiva y se requieren documentos adicionales. Los certificados de clase 3 también se conocen como certificados de validación extendida y se caracterizan, entre otras cosas, por el hecho de que se destaca claramente el uso en navegadores modernos.

Recomendaciones para usar HTTPS

Al transferir datos sensibles, siempre es obligatorio el uso de un certificado SSL/TLS firmado por una autoridad de certificación. Si solo se va a proteger un área de inicio de sesión personal, puede ser suficiente un certificado autofirmado o un certificado firmado por el proveedor de alojamiento. Sin embargo, en el caso de los certificados autofirmados, la autoridad de certificación emisora debe también almacenarse como confiable para el cliente para que no haya mensajes de advertencia del navegador. Estos ajustes pueden ser realizados por expertos en TI. Es posible configurar una estructura PKI para toda la red tanto en Linux como en Windows. Si no hay un experto/administrador de TI adecuado en el sitio, NeuroomNet también puede proporcionar expertos adecuados e incluso hacerse cargo del mantenimiento. Si es necesario, estos expertos aclaran los documentos necesarios para obtener certificados externos y luego los configuran. Los certificados internos pueden tener plazos muy largos, mientras que los certificados externos deben renovarse después de solo un año.

Notas sobre la autenticidad

En teoría, la autenticidad se otorga cuando se utilizan certificados SSL/TLS, pero en la práctica existen problemas con la autenticidad y si se puede confiar en la identidad del operador de un sitio web debe decidirse caso por caso. Por un lado, los certificados de Nivel 1 suelen otorgarse de forma automática. Esto significa que también se pueden comprar certificados válidos para dominios de errores tipográficos, que a menudo se utilizan para ataques de phishing. Por otro lado, la autenticidad se mantiene y cae con confianza en el trabajo de los organismos de certificación. Si solo hay una autoridad de certificación que no funciona correctamente al verificar la autenticidad de los documentos del solicitante o ignora las similitudes de nombre con otras empresas, es posible que los delincuentes tengan certificados firmados para empresas con las que en realidad no tienen nada que ver.

certificado

El certificado digital para SSL/TLS, que permite la autenticación, debe ser proporcionado por el servidor: Un documento binario, generalmente emitido por una autoridad de certificación (CA, ella misma certificada), que identifica de forma única al servidor y al dominio. Un certificado emitido siempre proporciona información sobre el emisor (autoridad de certificación) y la persona que solicitó el certificado (por ejemplo, el servidor web y su operador).

Al realizar la solicitud, se verifican los datos de la dirección y el nombre de la empresa del solicitante.

Autoridad de certificación (CA)

En seguridad de la información, una autoridad de certificación (o CA para abreviar) es una organización que emite certificados digitales. Un certificado digital se utiliza para asociar una clave pública específica con una persona u organización. Este mapeo es autenticado por la autoridad de certificación proporcionándole su propia firma digital.

 

Los certificados digitales contienen «claves» e información de respaldo que se utilizan para autenticar, cifrar y descifrar datos confidenciales enviados a través de Internet y otras redes. La información adicional que se incluye, por ejemplo, es el período de validez, referencias a listas de revocación de certificados, etc., que se incluyen en el certificado por parte de la CA.

 

La tarea de una autoridad de certificación es emitir y verificar estos certificados digitales. Es responsable de la provisión, cesión y aseguramiento de la integridad de los certificados que emite. Por lo tanto, forma el núcleo de la infraestructura de clave pública.

 

Una autoridad de certificación puede ser una empresa especial o una institución dentro de una empresa que tenga su propio servidor instalado (por ejemplo, con OpenSSL/Corporate PKI de Microsoft). Las organizaciones públicas o las agencias gubernamentales también pueden servir como organismos de certificación, por ejemplo, la Agencia Federal de Redes en Alemania.

 

En Alemania, se deben cumplir requisitos legales adicionales para la emisión de certificados electrónicos avanzados de acuerdo con la Sección 2 Número 2 de la Ley de Firma (SigG) o para firmas electrónicas cualificadas de acuerdo con la Sección 2 Número 3 de la Ley de Firma. En particular, los emisores de los certificados están sujetos a la supervisión de la Agencia Federal de Redes para garantizar la confiabilidad e integridad de estos certificados en las transacciones legales. Por ejemplo, el solicitante de tal firma debe identificarse personalmente ante una autoridad autorizada con su documento de identidad para que se le expida dicho certificado electrónico. Los centros de datos operados por los expositores deben ser particularmente seguros y, por lo tanto, cumplir con altos requisitos de seguridad.

PKI

PKI significa Public-Key-Infrastructure (en alemán, infraestructura para claves públicas) y se utiliza en criptología para describir un sistema que puede emitir, distribuir y verificar certificados digitales. Los certificados emitidos dentro de una PKI se utilizan para asegurar la comunicación asistida por computadora.

La seguridad actual en las empresas se basa en sistemas de varios niveles para que la principal autoridad de certificación y su clave privada no puedan verse comprometidas (es decir, leerse y utilizarse indebidamente por delincuentes o personas malintencionadas).

https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

clave (criptología)

En criptología, una clave es una pieza de información que parametriza un algoritmo criptográfico y lo controla de esta manera.

En los métodos simétricos y asimétricos modernos basados en computadora, la clave es una secuencia de bits.

La clave es el componente central para descifrar un texto cifrado y obtener así el texto sin formato.

Clave para métodos simétricos

Con procesos simétricos, es decir, con todos los métodos clásicos de criptografía y también con algoritmos modernos como el Estándar de cifrado de datos (DES) o su sucesor, el Estándar de cifrado avanzado (AES), ambos socios de comunicación utilizan la misma clave (secreta) para ambos cifrados. y descifrado también para descifrado. Mientras que los métodos clásicos, en los que el texto tiene que cifrarse (es decir, cifrarse y/o descifrarse) a mano, casi siempre utilizan una contraseña como clave, la clave en los procesos simétricos modernos, es decir, basados en ordenador, suele consistir en una secuencia de bits .

La seguridad de un procedimiento depende no solo del algoritmo en sí, sino también de la longitud de la clave. Si se encuentra un ataque contra un método que es más eficiente que el método de fuerza bruta, probando todas las claves posibles, el método se considera roto. En un proceso seguro, la longitud de la clave indica directamente el nivel de seguridad.

 

Clave en procedimientos asimétricos

Los métodos asimétricos, como el criptosistema RSA, utilizan pares de claves que consisten en una clave pública y una clave privada (secreta).

La clave pública no es secreta, debe ser conocida por otros usuarios, por ejemplo, a través de la distribución a través de servidores de claves o autoridades de certificación. Se puede utilizar para realizar operaciones públicas, es decir, para cifrar mensajes o comprobar firmas digitales. Es importante que una clave pública se pueda asignar de forma única a un usuario o empresa. Si este no es el caso, por ejemplo, si un mensaje está encriptado con la clave pública de otro usuario, puede leer el mensaje aunque no esté destinado a él. Para nombrar fácilmente las claves, se usa una huella digital, que es un valor hash corto que identifica de forma única una clave.

Para volver a descifrar un texto cifrado o firmar un mensaje, se requiere la clave privada. A diferencia de los procesos simétricos, en los que varios usuarios comparten una clave secreta, solo un usuario/empresa tiene la clave privada (secreta) en el proceso asimétrico. Esta circunstancia permite asignar claramente una firma a un usuario/empresa. Por lo tanto, es fundamental que la clave privada no pueda derivarse de la pública.