2. El protocolo TLS (Transport Layer Security) es una
evolución del protocolo SSL.
Desarrollado por Netscape, SSL versión 3.0 publicada en
1996, siendo esta la base para desarrollar TLS versión
1.0.
Protocolo definido por el estándar de la IETF (RFC 2246).
En la actualidad el protocolo TLS surge como las mejoras
al protocolo SSL 3.0.
En la actualidad está en vigencia la versión 1.1 del TLS
referenciada en el RFC 43462.
HISTORIA DE PROTOCOLO TLS
3. Es un protocolo que permite establecer una conexión
segura entre un cliente y un servidor.
Tiene la capacidad de autenticar tanto al cliente como al
servidor.
Crear una comunicación cifrada entre el cliente y el
servidor.
Es utilizado para brindar seguridad a nivel de la capa de
transporte.
DESCRIPCIÓN DEL PROTOCOLO TLS
4. El protocolo TLS se basa en tres fases básicas:
• Negociación.
• Autenticación y claves.
• Transmision segura.
DESCRIPCIÓN DEL
PROTOCOLO TLS
5. Seguridad criptográfica. El protocolo se debe emplear
para establecer una conexión segura entre dos partes.
Interoperabilidad. Aplicaciones distintas deben poder
intercambiar parámetros criptográficos sin necesidad
de que ninguna de las dos conozca el código de la otra.
OBJETIVOS
6. Extensibilidad. El protocolo permite la incorporación
de nuevos algoritmos criptográficos.
Eficiencia. Los algoritmos criptográficos son costosos
computacionalmente, por lo que el protocolo incluye un
esquema de caché de sesiones para reducir el número
de sesiones que deben inicializarse desde cero
(usando criptografía de clave pública).
OBJETIVOS
7. El protocolo está dividido en dos niveles:
Protocolo de registro TLS (TLS Record Protocol).
Se implementa sobre un protocolo de transporte fiable
como el TCP. El protocolo proporciona seguridad en la
conexión con dos propiedades fundamentales:
La conexión es privada: Para encriptar los datos se
usan algoritmos de cifrado simétrico.
La conexión es fiable: El transporte de mensajes
incluye una verificación de integridad.
FUNCIONAMIENTO
8. Protocolo de mutuo acuerdo TLS (TLS Handshake Protocol).
El Protocolo de mutuo acuerdo, proporciona seguridad en
la conexión con tres propiedades básicas:
La identidad del interlocutor puede ser autentificada
usando criptografía de clave pública. Esta autentificación
puede ser opcional, pero generalmente es necesaria al
menos para uno de los interlocutores.
La negociación de un secreto compartido es segura.
La negociación es fiable, nadie puede modificar la
negociación sin ser detectado por los interlocutores.
FUNCIONAMIENTO
9. Desde el punto de vista de seguridad, los SSL 3.0 deben ser
considerados menos deseables que el TLS 1.0 debido a que
el cifrado SSL 3.0 tiene un proceso de derivación de claves
débiles, la mitad de la clave maestra que se establece es
totalmente dependiente de la función hash MD5, que no es
resistente a las colisiones y, por tanto, no se considera
seguro.
Existen dos herramientas muy completas para auditar la
seguridad de SSL/TSL: SSLScan y SSL Audit.
● SSLScan: Sirve para comprobar el tipo de cifrado SSL que
utiliza un servicio. Es una herramienta para Linux que
necesita el compilador GNU para C y la librería OpenSSL.
● SSL Audit: Es otra herramienta para comprobar el tipo de
cifrado SSL.
SEGURIDAD
10. Hardening SSL-TLS
Harden SSL/TLS es una aplicación que permite mejorar la
seguridad de SSL/TLS de las versiones de Windows 2000,
2003, 2008, 2008 R2, XP, Vista y 7.
Permite realizar políticas específicas de ajuste con respecto a
los cifrados y a los protocolos que estén disponibles para
aplicaciones que utilizan la interfaz SCHANNEL de criptografía,
ya sean aplicaciones cliente o servidor. Una gran cantidad de
aplicaciones de Windows utilizan esta interfaz, por ejemplo:
Google Chrome, Safari, etc. Al cambiar la configuración
indirectamente se puede controlar que cifrados pueden utilizar
estas aplicaciones.
SEGURIDAD
11. Una Autoridad Certificadora (AC, en inglés CA) es una
entidad confiable que se encarga de garantizar que el
poseedor de un certificado digital sea quien dice ser,
brindando confianza a ambas partes de una comunicación
segura SSL/TLS.
AUTORIDAD CERTIFICADORA
12. La función pseudo aleatoria
divide los datos de entrada en
2 mitades y las procesa con
algoritmos hash diferentes
(MD5 y SHA), después realiza
sobre ellos una operación
XOR. De esta forma se
protege a sí mismo de la
eventualidad de que alguno
de estos algoritmos se torne
vulnerable en el futuro.
MEDIDAS DE SEGURIDAD
13. Existe una vulnerabilidad del procedimiento de
renegociación fue descubierto en agosto de 2009, que
puede conducir a ataques de inyección de texto contra
SSL 3.0 y todas las versiones actuales de TLS.
Permite a un atacante que puede secuestrar una
conexión HTTP para empalmar sus propias peticiones
en el comienzo de la conversación que el cliente con el
servidor web.
VULNERABILIDADES
14. Microsoft está consciente de la información detallada
que se publicó describiendo un nuevo método para
explotar una vulnerabilidad en SSL 3.0 y TLS 1.0,
afectando al sistema operativo Windows.
Esta vulnerabilidad afecta por sí al protocolo y no es
para un sistema operativo específico de Windows. Esta
vulnerabilidad de divulgación de información permite
revelar el tráfico cifrado
VULNERABILIDADES
15. Es importante que estés consciente que pese acceder
sólo a sitios seguros, la tecnología SSL/TLS no garantiza
al 100% que tu información esté segura; considera que,
como toda creación humana, tiene fallos. Los atacantes
se han vuelto muy hábiles e ingeniosos para burlar estos
mecanismos de seguridad.
PUNTO DÉBIL DE LA
TECNOLOGIA
16. Evitar hacer uso de computadoras y redes públicas
Instala un antivirus y procurar hacer 20 mantenerlo
utilizado
Mantener actualizado el navegador
cuando se utilice el HTTPS, verificar la vigencia del
certificado
RECOMENDACIONES