Web cryptography
•
4 recomendaciones•1,418 vistas
Web cryptography in JavaScript
Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (19)
Similar a Web cryptography
Similar a Web cryptography (20)
Más de Jose Manuel Ortega Candel
Más de Jose Manuel Ortega Candel (20)
Último
Último (15)
Web cryptography
- 1. Web Cryptography José Manuel Ortega Candel | @jmortegac
- 2. INDEX • Introducción a la seguridad en aplicaciones web • Almacenamiento en navegador • Encriptado y desencriptado de la información con JavaScript • Web Cryptography API y soporte para navegadores • Librerías que permiten usar la mayoría de los algoritmos de cifrado(CryptoJS,SJCL) • Tools • OWASP guide
- 3. INDEX • Introducción a la seguridad en aplicaciones web • Almacenamiento en navegador • Encriptado y desencriptado de la información con JavaScript • Web Cryptography API y soporte para navegadores • Librerías que permiten usar la mayoría de los algoritmos de cifrado(CryptoJS,SJCL) • Tools • OWASP guide
- 4. Introducción •Autenticación / Integridad •Autorización / Identificación •Encryption / Confidencialidad
- 5. Browser storage • Falta de funciones de criptografía que sean compatibles en todos los navegadores • Hay mucha tendencia a utilizar el localStorage del navegador y un posible atacante podría utilizar esta información para extraer el contenido que se va guardando
- 6. Protocolo HTTPS • La comunicación va cifrada, pero si sufrimos un ataque MITM y con las herramientas adecuadas(sniffers tipo wireshark),se puede llegar a ver los datos. •SSLStrip • Esta herramienta permite convertir el tráfico HTTPS en HTTP
- 7. Estado actual SSL •En realidad si usas SSL no sería necesario cifrar los datos, pero si sufres un ataque MITM los datos quedan expuestos a un posible atacante. •Sería recomendable añadir una capa más de seguridad con alguna librería de crypto en javascript.
- 10. INDEX • Introducción a la seguridad en aplicaciones web • Almacenamiento en navegador • Encriptado y desencriptado de la información con JavaScript • Web Cryptography API y soporte para navegadores • Librerías que permiten usar la mayoría de los algoritmos de cifrado(CryptoJS,SJCL) • Tools • OWASP guide
- 11. Algoritmos •MD5, SHA-1,SHA-256,SHA-512 (Funciones hash) Comprobar la integridad de ficheros Firma de documentos •AES [Criptografía de clave privada][WPA2] •RSA-4096 [Criptografía de clave pública] •RC4(Usado en SSL)
- 12. AES •Algoritmo de clave secreta compartida •Simétrica •Misma clave para cifrar y desencriptar •Tamaños de clave 128,192,256 bits
- 13. AES •message = the unencrypted, readable data we care about. •cipherText = the message after encryption, the data the adversary gets to see. •Key = the secret required to encrypt and decrypt the message •Encryption: ciphertext = f(key, message) •Decryption: cleartext = f(key, cipherText)
- 14. AES en JavaScript <script> var key = CryptoJS.enc.Hex.parse('01010101'); // clave var iv = Random();// Vector de inicialización var aesEncryptor = CryptoJS.AES.createEncryptor(key, { iv: iv }); var ciphertext = aesEncryptor.process("Message"); var aesDecryptor = CryptoJS.AES.createDecryptor(key, { iv: iv }); var plaintext = aesDecryptor.process(ciphertext); </script>
- 17. RSA • Algoritmo de clave publica / privada •Asimétrica • Se encripta con la clave publica y se desencripta con la clave privada
- 18. RSA en JavaScript <script> var KeySize=512; var RSAkey = CryptoJS.generateRSAKey(“PassPhrase”, KeySize); var PublicKey = CryptoJS.publicKeyString(RSAkey); var PrivateKey = CryptoJS.privateKeyString(RSAkey); var Encryption = CryptoJS.encrypt(“Message”, PublicKey); var Decryption = CryptoJS.decrypt(Encryption.cipherText, PrivateKey); </script>
- 23. INDEX • Introducción a la seguridad en aplicaciones web • Almacenamiento en navegador • Encriptado y desencriptado de la información con JavaScript • Web Cryptography API y soporte para navegadores • Librerías que permiten usar la mayoría de los algoritmos de cifrado(CryptoJS,SJCL) • Tools • OWASP guide
- 24. WebCrypto API http://www.w3.org/TR/WebCryptoAPI •Esta especificación describe un API para realizar operaciones criptográficas. •Funciones hash •Algoritmos de clave pública y privada •Generación de firmas y verificación de datos •Cifrado y descifrado de mensajes
- 27. Web Cryptography API Live Table https://diafygi.github.io/webcrypto-examples
- 28. WebCrypto API https://developer.mozilla.org/en-US/docs/tag/Web%20Crypto%20API window.crypto.subtle Async calls + Promises
- 29. Chrome support WebCrypto API https://sites.google.com/a/chromium.org/dev/blink/webcrypto
- 30. WebCrypto API / RandomValues https://developer.mozilla.org/en-US/docs/DOM/window.crypto.getRandomValues
- 31. Examples WebCrypto API RSA Public/Private Key
- 34. Examples WebCrypto API Encrypt / Decrypt
- 35. Examples WebCrypto API Encrypt / Decrypt
- 36. Examples WebCrypto API Encrypt / Decrypt
- 38. Examples WebCrypto API • https://github.com/diafygi/webcrypto-examples • https://github.com/nvdbleek/web-crypto-samples
- 40. INDEX • Introducción a la seguridad en aplicaciones web • Almacenamiento en navegador • Encriptado y desencriptado de la información con JavaScript • Web Cryptography API y soporte para navegadores • Librerías que permiten usar la mayoría de los algoritmos de cifrado(CryptoJS,SJCL) • Tools • OWASP guide
- 41. Librerías (independientes del Web Crypto API) • crypto-js • Stanford Javascript Crypto Library • JavaScript Cryptography Toolkit • jsSHA • Gibberish-AES • jsAES • http://openpgpjs.org • pidCrypt
- 42. SJCL http://crypto.stanford.edu/sjcl •http://bitwiseshiftleft.github.io/sjcl/ •http://bitwiseshiftleft.github.io/sjcl/browserTest • Soporte AES • Key 128, 192 or 256 bits
- 45. Crypto-JS
- 48. NodeJs Crypto http://nodejs.org/api/crypto.html •require('crypto') •Requiere instalar OPENSSL en el servidor
- 50. JavaScript and Web Cryptography https://jswebcrypto.azurewebsites.net/demo.html
- 51. INDEX • Introducción a la seguridad en aplicaciones web • Almacenamiento en navegador • Encriptado y desencriptado de la información con JavaScript • Web Cryptography API y soporte para navegadores • Librerías que permiten usar la mayoría de los algoritmos de cifrado(CryptoJS,SJCL) • Tools • OWASP guide
- 52. Mymail-Crypt for Gmail / Plugin para chrome https://github.com/seancolyer/gmail-crypt
- 54. JavaScript Cryptography tools Plugin para chrome
- 59. Telegram JavaScript https://github.com/zhukov/webogram/tree/master/app/js/lib AES, SHA-1 implementation •https://code.google.com/p/crypto-js RSA implementation •http://www-cs-students.stanford.edu/~tjw/jsbn
- 61. Telegram JavaScript https://github.com/zhukov/webogram/tree/master/app/js/lib/bin_utils.js function aesEncryptSync (bytes, keyBytes, ivBytes) { var len = bytes.byteLength || bytes.length; bytes = addPadding(bytes); var encryptedWords = CryptoJS.AES.encrypt(bytesToWords(bytes), bytesToWords(keyBytes), { iv: bytesToWords(ivBytes), padding: CryptoJS.pad.NoPadding, mode: CryptoJS.mode.IGE }).ciphertext; var encryptedBytes = bytesFromWords(encryptedWords); // console.log(dT(), 'AES encrypt finish'); return encryptedBytes; }
- 62. Telegram JavaScript https://github.com/zhukov/webogram/tree/master/app/js/lib/bin_utils.js function aesDecryptSync (encryptedBytes, keyBytes, ivBytes) { // console.log(dT(), 'AES decrypt start', encryptedBytes.length); var decryptedWords = CryptoJS.AES.decrypt({ciphertext: bytesToWords(encryptedBytes)}, bytesToWords(keyBytes), { iv: bytesToWords(ivBytes), padding: CryptoJS.pad.NoPadding, mode: CryptoJS.mode.IGE }); var bytes = bytesFromWords(decryptedWords); // console.log(dT(), 'AES decrypt finish'); return bytes; }
- 66. INDEX • Introducción a la seguridad en aplicaciones web • Almacenamiento en navegador • Encriptado y desencriptado de la información con JavaScript • Web Cryptography API y soporte para navegadores • Librerías que permiten usar la mayoría de los algoritmos de cifrado(CryptoJS,SJCL) • Tools • OWASP guide
- 67. OWASP •Organización que trata de mejorar la seguridad de las aplicaciones web •Incluye una lista de las 10 vulnerabilidades más críticas
- 68. OWASP Top 10 Risks Vulnerabilidades • 1. SQL Injection • 2. Broken auth and session management • 3. Cross-site scripting(XSS) • 4. Insecure direct object references • 5. Security misconfiguration • 6. Sensitive data exposure • 7. Missing function level access control • 8. Cross-site request forgery(CSRF) • 9. Using vulnerable components • 10. Unvalidated redirects and forwards
- 69. SQL injection • Inyectar parámetros en la cadena que realiza la consulta. • Permitir a un atacante ejecutar código de forma arbitraria en el servidor. •Solución : Prepared statements $stmt = $mysqli->prepare( 'UPDATE users SET email = ? where id = 123'); $stmt->bind_param('s',$email);
- 70. Cross Site Scripting(XSS) •Inyectar código malicioso mediante javascript •Solución : Validar entradas mediante expresiones regulares •Validar que no estén modificando las cabeceras de la peticiones •Emplear frameworks que permitan el filtrado y la validación de los datos de entrada
- 71. Anti-XSS https://noscript.net •Extensión para firefox para evitar ataques XSS
- 72. Cross Site Request Forgery(CSRF) •Recoger credenciales del usuario que se envían por GET •Secuestrar cookies para utilizar una sesión con fines maliciosos •Emplear POST para enviar las peticiones y cifrar los datos más sensibles(login) •Emplear tokens de autenticación
- 73. Resources • https://www.owasp.org/index.php/Guide_to_Cryptography • http://www.w3.org/TR/WebCryptoAPI • Symmetric Cryptography in Javascript • http://bitwiseshiftleft.github.io/sjcl/acsac.pdf • http://seclab.stanford.edu • http://www.w3.org/2001/tag/doc/web-https-2015-01-22 • https://docs.google.com/spreadsheets/d/14oTKnccypDRiesz GLV7GbZXcIai0qLYOwgk_ELIj5A0/pubhtml
- 75. Thank you! José Manuel Ortega Candel | @jmortegac