SlideShare una empresa de Scribd logo

Protocolos de seguridad ssl

Descargar como PPTX, PDF
N
norelysmunoz

Este documento describe el protocolo de seguridad SSL y otros protocolos relacionados. SSL es el protocolo dominante que proporciona conexiones seguras entre clientes y servidores a través de la criptografía. Sin embargo, SSL no fue diseñado específicamente para el comercio electrónico y no aborda problemas como la no repudiación. Otros protocolos como SET y Cybercash trataron de resolver estos problemas, pero no alcanzaron la aceptación de SSL.

Educación
1 de 19
Protocolos de Seguridad Informática SSI Alan Verastegui Seguridad Informática
Resumen El comercio electrónico en Internet constituye una compleja operación en la que uno de los principales elementos es dar seguridad a vendedor y comprador de que la transacción comercial que están realizando se realiza sin intromisiones de ningún tipo y sin posibilidad de fraudes o engaños entre ninguna de ambas partes. Durante los últimos 10 años han ido surgiendo un número considerable de tecnologías y sistemas de pago electrónico que ofrecen las garantías de seguridad e integridad necesarias para realizar estas transacciones de una forma fiable. No obstante, este sigue siendo el mayor obstáculo (tanto técnico como psicológico) a vencer para que se produzca el definitivo despegue del comercio electrónico. Mientras no exista confianza, mientras los usuarios teman al fraude, mientras se desconozcan los sistemas de pago empleados y su fiabilidad, es difícil que esta oportunidad de negocio prospere.
Es de aquí donde nace la idea de crear un método seguro para realizar cualquier transacción electrónica de aquí nace SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico es decir un (conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras con páginas web). SSL, Secure Sockets Layer, fue diseñado y propuesto por Netscape Communications Corporation en 1994 junto con su primera versión de Netscape Navigator. Tras una accidentada historia inicial de revisiones alcanzó su madurez en 1995 con la versión 3.0, convirtiéndose hoy en día en la solución más extendida en los servidores que ofrecen servicios de comercio electrónico y dejando virtualmente en la cuneta a todos sus competidores a pesar de que no es ni el método más seguro ni el más idóneo para implantar este tipo de soluciones, puesto que fue diseñado como un protocolo seguro de propósito general. En este documento nos centraremos en realizar un detallado análisis del, hasta ahora, ganador en esta carrera pero sin olvidar por completo los méritos de sus competidores
Introducción La seguridad es la barrera real y psicológica que es necesario franquear para el definitivo despegue del comercio electrónico. Los elementos que forman esta barrera son siete y van más allá de lo físico (hardware) o lógico (protocolos, aplicaciones) e involucran factores tales como la legislación, la educación de los usuarios, etc. Y los siete elementos son: * Confidencialidad. * Integridad. * Disponibilidad. * No Repudio. *Verificación de la Identidad. * Validez Legal. * Confianza de los Usuarios.
La validez legal de una transacción comercial a través de Internet y la confianza de los usuarios habrá que ganarla poco a poco, interviniendo en ella mucho más la actitud de los medios de comunicación y la formación de los usuarios que la verdadera validez del protocolo. El estándar SSL no contempla la implementación del No Repudio de mensajes. Sin embargo, decíamos en el resumen previo que SSL no está diseñado específicamente para el comercio electrónico ¿cómo es posible entonces que se adapte tan bien a los requisitos del mismo? En realidad no lo hace. En una transacción comercial electrónica existe una tercera parte involucrada que no se contempla en SSL: el banco. Cuando realizamos una transacción comercial usando SSL el cliente escoge la mercancía, realiza la orden de pedido y envía la información de pago (típicamente un número de tarjeta de crédito o débito) al vendedor.
Este realiza las comprobaciones oportunas en el banco y una vez que obtiene la validez del medio de pago procesa el pedido. ¿Cuál es el problema en este esquema? Es evidente: el vendedor no compromete ante el cliente ningún tipo de información sensible y, además, está protegido contra posibles fraudes (tarjetas falsas o caducadas). El comprador, sin embargo, tiene que enviar información sensible al vendedor comprometiendo la misma ante la honestidad de este y, además, exponiendose ante SSL, Secure Sockets Layer y otros Protocolos para el Comercio Electrónico.
Mientras que algunos de los competidores de SSL (S-HTTP, PCT o TLS) son meras variantes más o menos mejoradas de hacer lo mismo que se han visto perjudicadas por la supremacía que durante largos años ha mantenido Netscape en este sector, existen dos protocolos (SET y Cybercash) que si ofrecen una solución a estos problemas y que, sin embargo, no han tenido la aceptación y difusión que debieran, al menos hasta el momento. CyberCash fue comprada a mediados de 2001 por Verisign, quien se limita a mantener el soporte a la escasa cartera de clientes existentes de esta tecnología con objeto de darle una muerte más o menos digna y tratar de potenciar su propia solución al problema del pago electrónico y SET, a pesar de estar arropada por VISA y Mastercard (dos de los grandes gigantes del pago magnético) no acaba de arrancar en el terreno del pago electrónico. Trataremos de estudiar el porque más adelante. SSL, Secure Sockets Layer y otros Protocolos para el Comercio Electrónico.
Protocolo de seguridad informático SSL SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico (un conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras con páginas web). SSL, es el protocolo dominante en la actualidad en el panorama del comercio electrónico, proporciona confidencialidad, integridad y verificación de la identidad de ambas partes (esta últimas característica sólo si se utiliza en conjunción de certificados digitales en ambos extremos, cosa que no suele ser frecuente)
Otros protocolos de seguridad TLS : La llamada versión 3.1 de SSL, es el sucesor natural de este. Lo tiene todo para que esta sucesión se realice sin traumas: como el alías que lo acompaña indica (nos referimos a la ‘etiqueta’ de SSL 3.1) es meramente un SSL mejorado y no propietario que posee mecanismos de compatibilidad con SSL y viene ya de serie con la gran mayoría de los navegadores. Y sin embargo, la inercia en el mundo de los servidores es tal que la transición hacía el no acaba de realizarse. Tanto IIS como Apache, los dos servidores más extendidos (juntos suman más del 90% del total del parque de Internet) llevan soporte de TLS y, sin embargo, los administradores de sistemas siguen decantándose por ‘las viejas soluciones’.
PCT : Es el clónico de SSL inventado por Microsoft. Poco merece la pena hablar de el: aporta pocas novedades técnicas y en esta ocasión, las cosas no les han salido bien a los chicos de Redmon. Ni siquiera las últimas versiones de Explorer soportan ya este protocolo S-HTTP: Es un protocolo muy orientado a proporcionar seguridad exclusivamente al protocolo HTTP que, a pesar de ser posiblemente el protocolo seguro más antiguo de Internet, no ha sabido aprovecharse de esa ventaja, quizás a su orientación tan específica IPSec : Ha sido postulado en ocasiones como sucesor o competidor de SSL. Sin embargo su mayor complejidad en cuanto a implantación y mantenimiento reducen su ámbito de actuación, al menos por el momento, a ámbitos de comunicaciones empresariales y no al mundo abierto y sin fronteras del comercio electrónico
Cybercash: Introdujo en el panorama de los protocolos seguros conceptos como el de la pasarela de pago y mecanismos para proteger no sólo al vendedor, sino también al comprador. La especial complejidad de un esquema que no se vio acompañado por el estado de la técnica. Cuando Cybercash (atravesaba su momento de esplendor la conexiones habituales en los ordenadores de los usuarios eran de 9K6 o 14K4) y la inmadurez de los sistemas PKI imprescindibles para su desarrollo lo condenaron a una larga peregrinación de cambios y adaptaciones al mercado hasta su definitiva muerte a manos de Verisign. SET : Ha retomado el testigo de Cybercash. Utiliza un esquema muy similar y está arropado por los gigantes del pago electrónico y las grandes compañías de informática y telecomunicaciones.
Las PKI se encuentran en un momento de extensión y reconocimiento (aunque aún adolecen de algunos serios problemas) y las comunicaciones ya no son lo que eran. No obstante sigue sin arrancar. El principal problema, según todos los expertos, es la complejidad de la infraestructura a desarrollar. El comercio electrónico es hoy en día, en su mayor parte, un mecanismo impulsivo y espontáneo y sería muy difícil convencer al usuario de la necesidad de obtener una certificación (que habría de adquirir de modo presencial) para realizar sus compras en Internet. Hay, de todas formas, muchos factores próximos que pueden cambiar este punto: la inminente implantación del DNI digital hará que todos tengamos en el bolsillo un certificado digital con las máximas garantías. Quizás sea ese el ‘pistoletazo’ de salida que necesita SET
Objetivo del protocolo SSL El objetivo principal es proporcionar un canal de comunicaciones seguro entre un cliente y un servidor que sea independiente del sistema operativo usado por ambos y que se beneficie de forma dinámica y flexible de los nuevos adelantos en materia de cifrado a medida de que estos estuvieran disponibles. SSL fue diseñado como un protocolo seguro de propósito general y no teniendo en mente las necesidades específicas del comercio electrónico. SSL trabaja sobre el protocolo TCP y por debajo de protocolos como HTTP,IMAP, LDAP, etc., y puede ser usado por todos ellos de forma transparente para el usuario. Opera entre la capa de transporte y la de sesión del modelo OSI (o entre la capa de transporte y la de aplicación del modelo TCP) y está formado, a su vez, por dos capas y cuatro componentes bien diferenciados
¿Como trabaja el protocolo SSL? SSL trabaja de la siguiente forma: en primer lugar intercambiamos una clave de longitud suficiente mediante un algoritmo de cifrado asimétrico. Mediante esa clave establecemos un canal seguro utilizando para ello un algoritmo simétrico previamente negociado. A continuación, toma los mensajes a ser transmitidos, los fragmenta en bloques, los comprime, aplica un algoritmo hash para obtener un resumen (MAC) que es concatenado a cada uno de los bloques comprimidos para asegurar la integridad de los mismos, realiza el cifrado y envía los resultados. El estado de todas estas operaciones son controladas mediante una máquina de control de estados. Una sesión SSL puede comprender múltiples conexiones. Adicionalmente, se pueden establecer múltiples sesiones SSL simultaneas.
Debilidades de SSL La versión 2.0 de SSL poseía muchas debilidades que la versión 3.0 se apresuró a corregir: una débil construcción de los MAC, errores en el mecanismo de HandShake, etc. Aunque, como decimos, la gran mayoría de estos errores están corregidos, la gran mayoría de nuestros navegadores y muchos servidores de Internet siguen aceptando, por motivos de compatibilidad, la versión 2.0 de este protocolo. La versión 3.0 de SSL es suficientemente robusta para aguantar la gran mayoría de los ataques y la mayoría de las debilidades que analizaremos brevemente en este apartado no son universales, sino que afectan a determinadas implementaciones más o menos extendidas, del popular protocolo. Para más detalles al respecto, el capítulo siguiente del presente documento refleja un historial de las vulnerabilidades conocidas en las distintas implementaciones de este protocolo.
Conclusión Hay un hecho evidente y es que en el futuro cada vez habré más necesidad de contar con redes de comunicaciones seguras. Lo que no es tan fácil de prever es por cuanto tiempo mantendrá SSL su supremacía (en cuanto a universalidad, que no en cuanto a calidad) en estos terrenos. Lo lógico sería pensar que en el terreno de las comunicaciones seguras de propósito general se vea desplazado en algún momento por IPSec y en el terreno específico de las aplicaciones de comercio electrónico por SET u otro protocolo diseñado a tal efecto el momento en el que esto ocurrirá es mucho más difícil de prever Por el momento y lo que hemos tratado de reflejar en este documento, SSL se mantiene en ‘la cresta de la ola’ porque no existe ninguna otra opción mejor.
En el terreno de los protocolos de propósito general tenemos tres grandes grupos: los que son más restrictivos que SSL en cuanto a posibles aplicaciones (como S-HTTP), los que no aportan nada nuevo a lo que ya hace bien SSL y lo poco que aportan no decide a su favor la balanza debido al peso que la gran implantación de SSL le proporciona (como PCT o el mismo TLS) y los que aportando mejores mecanismos y más seguridad se ven desfavorecidos por su mayor coste de implantación y mantenimiento (lo cual es el caso de IPSec).

Recomendados

Code Smells y SOLID: A qué huele tu código?
Code Smells y SOLID: A qué huele tu código?Code Smells y SOLID: A qué huele tu código?
Code Smells y SOLID: A qué huele tu código?
Johnny Ordóñez
 
Netcat
NetcatNetcat
Netcatyogendra singh chahar
 
Contraseñas
Contraseñas Contraseñas
Contraseñas SergioBelloso1
 
Seguridad Informática: Hackers
Seguridad Informática: HackersSeguridad Informática: Hackers
Seguridad Informática: HackersSandra Esposito
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDAD
andreamo_21
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptx
Luis Flores
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
carlos910042
 

Recomendados

Code Smells y SOLID: A qué huele tu código?
Code Smells y SOLID: A qué huele tu código?Code Smells y SOLID: A qué huele tu código?
Code Smells y SOLID: A qué huele tu código?
Johnny Ordóñez
 
Netcat
NetcatNetcat
Netcatyogendra singh chahar
 
Contraseñas
Contraseñas Contraseñas
Contraseñas SergioBelloso1
 
Seguridad Informática: Hackers
Seguridad Informática: HackersSeguridad Informática: Hackers
Seguridad Informática: HackersSandra Esposito
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDAD
andreamo_21
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptx
Luis Flores
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
carlos910042
 
Ventajas y Desventajas de Apache y IIS
Ventajas y Desventajas de Apache y IISVentajas y Desventajas de Apache y IIS
Ventajas y Desventajas de Apache y IISklucho19
 
Fundamentos de ciberseguridad
Fundamentos de ciberseguridadFundamentos de ciberseguridad
Fundamentos de ciberseguridad
Christian Farinango
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuarios
Uriel Hernandez
 
Introducción procesos desarrollo software
Introducción procesos desarrollo software Introducción procesos desarrollo software
Introducción procesos desarrollo software
Edward Andres Aponte Rodrigurez
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
nana nana
 
Herramientas de monitoreo de redes
Herramientas de monitoreo de redesHerramientas de monitoreo de redes
Herramientas de monitoreo de redesMeztli Valeriano Orozco
 
UTM (unified threat management)
UTM (unified threat management)UTM (unified threat management)
UTM (unified threat management)
military
 
Todo sobre el internet
Todo sobre el internetTodo sobre el internet
Todo sobre el internet
jpatricioap
 
Encriptacion
EncriptacionEncriptacion
Encriptacionareishamareli
 
Password cracking and brute force
Password cracking and brute forcePassword cracking and brute force
Password cracking and brute force
vishalgohel12195
 
Prueba De La Estructura De Control
Prueba De La Estructura De ControlPrueba De La Estructura De Control
Prueba De La Estructura De Control
Erma Chamba
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
Espinosa Benilda
 
Firewall
FirewallFirewall
Firewall
Saurabh Chauhan
 
Manejo de prototipos
Manejo de prototiposManejo de prototipos
Manejo de prototiposColegio Agropecuario de San Carlos
 
Especificacion De Requisitos De Usuario
Especificacion De Requisitos De UsuarioEspecificacion De Requisitos De Usuario
Especificacion De Requisitos De Usuario
Decimo Sistemas
 
Malware
MalwareMalware
Malware
Piergiorgio Borgogno
 
Administración de redes
Administración de redesAdministración de redes
Administración de redes
edithua
 
Linea de tiempo del desarrollo de software
Linea de tiempo del desarrollo de softwareLinea de tiempo del desarrollo de software
Linea de tiempo del desarrollo de softwareAngelito Nicolas
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
Efrain Reyes
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Hacking Bolivia
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Protocolo SSL
Protocolo SSLProtocolo SSL
Protocolo SSLDarwin Mejias
 

Más contenido relacionado

La actualidad más candente

Ventajas y Desventajas de Apache y IIS
Ventajas y Desventajas de Apache y IISVentajas y Desventajas de Apache y IIS
Ventajas y Desventajas de Apache y IISklucho19
 
Fundamentos de ciberseguridad
Fundamentos de ciberseguridadFundamentos de ciberseguridad
Fundamentos de ciberseguridad
Christian Farinango
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuarios
Uriel Hernandez
 
Introducción procesos desarrollo software
Introducción procesos desarrollo software Introducción procesos desarrollo software
Introducción procesos desarrollo software
Edward Andres Aponte Rodrigurez
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
nana nana
 
UTM (unified threat management)
UTM (unified threat management)UTM (unified threat management)
UTM (unified threat management)
military
 
Todo sobre el internet
Todo sobre el internetTodo sobre el internet
Todo sobre el internet
jpatricioap
 
Password cracking and brute force
Password cracking and brute forcePassword cracking and brute force
Password cracking and brute force
vishalgohel12195
 
Prueba De La Estructura De Control
Prueba De La Estructura De ControlPrueba De La Estructura De Control
Prueba De La Estructura De Control
Erma Chamba
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
Espinosa Benilda
 
Firewall
FirewallFirewall
Firewall
Saurabh Chauhan
 
Especificacion De Requisitos De Usuario
Especificacion De Requisitos De UsuarioEspecificacion De Requisitos De Usuario
Especificacion De Requisitos De Usuario
Decimo Sistemas
 
Malware
MalwareMalware
Malware
Piergiorgio Borgogno
 
Administración de redes
Administración de redesAdministración de redes
Administración de redes
edithua
 
Linea de tiempo del desarrollo de software
Linea de tiempo del desarrollo de softwareLinea de tiempo del desarrollo de software
Linea de tiempo del desarrollo de softwareAngelito Nicolas
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
Efrain Reyes
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Hacking Bolivia
 

La actualidad más candente (20)

Ventajas y Desventajas de Apache y IIS
Ventajas y Desventajas de Apache y IISVentajas y Desventajas de Apache y IIS
Ventajas y Desventajas de Apache y IIS
 
Fundamentos de ciberseguridad
Fundamentos de ciberseguridadFundamentos de ciberseguridad
Fundamentos de ciberseguridad
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuarios
 
Introducción procesos desarrollo software
Introducción procesos desarrollo software Introducción procesos desarrollo software
Introducción procesos desarrollo software
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
 
Herramientas de monitoreo de redes
Herramientas de monitoreo de redesHerramientas de monitoreo de redes
Herramientas de monitoreo de redes
 
UTM (unified threat management)
UTM (unified threat management)UTM (unified threat management)
UTM (unified threat management)
 
Todo sobre el internet
Todo sobre el internetTodo sobre el internet
Todo sobre el internet
 
Encriptacion
EncriptacionEncriptacion
Encriptacion
 
Password cracking and brute force
Password cracking and brute forcePassword cracking and brute force
Password cracking and brute force
 
Prueba De La Estructura De Control
Prueba De La Estructura De ControlPrueba De La Estructura De Control
Prueba De La Estructura De Control
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
 
Firewall
FirewallFirewall
Firewall
 
Manejo de prototipos
Manejo de prototiposManejo de prototipos
Manejo de prototipos
 
Especificacion De Requisitos De Usuario
Especificacion De Requisitos De UsuarioEspecificacion De Requisitos De Usuario
Especificacion De Requisitos De Usuario
 
Malware
MalwareMalware
Malware
 
Administración de redes
Administración de redesAdministración de redes
Administración de redes
 
Linea de tiempo del desarrollo de software
Linea de tiempo del desarrollo de softwareLinea de tiempo del desarrollo de software
Linea de tiempo del desarrollo de software
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 

Destacado

Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Protocolos de seguridad en internet
Protocolos de seguridad en internetProtocolos de seguridad en internet
Protocolos de seguridad en internet
pepe69yoyo
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes3123753782
 
Seguridad ssl
Seguridad sslSeguridad ssl
Seguridad ssl
carlitosmancilla
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes ssl
NANO-06
 
Principales aspectos a considerar en materia de ssl
Principales aspectos a considerar en materia de sslPrincipales aspectos a considerar en materia de ssl
Principales aspectos a considerar en materia de sslCORINPROINCA GROUP
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Estilos de programación y sus lenguajes
Estilos de programación y sus lenguajesEstilos de programación y sus lenguajes
Estilos de programación y sus lenguajes
Pedro Contreras Flores
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informática
Fernando Gallardo Gutierrez
 
PROTOCOLO HTTPS
PROTOCOLO HTTPSPROTOCOLO HTTPS
PROTOCOLO HTTPS
Byron
 
Secure Socket Layer
Secure Socket LayerSecure Socket Layer
Secure Socket Layer
Naveen Kumar
 
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitosProtocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Centro de Formación en Periodismo Digital
 
Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una red
mamuga
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En Redes
SHARITO21
 

Destacado (17)

Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSH
 
Protocolo SSL
Protocolo SSLProtocolo SSL
Protocolo SSL
 
Protocolos de seguridad en internet
Protocolos de seguridad en internetProtocolos de seguridad en internet
Protocolos de seguridad en internet
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Seguridad ssl
Seguridad sslSeguridad ssl
Seguridad ssl
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes ssl
 
Principales aspectos a considerar en materia de ssl
Principales aspectos a considerar en materia de sslPrincipales aspectos a considerar en materia de ssl
Principales aspectos a considerar en materia de ssl
 
Tipos de redes examen
Tipos de redes examenTipos de redes examen
Tipos de redes examen
 
Protocolos SSL/TLS
Protocolos SSL/TLSProtocolos SSL/TLS
Protocolos SSL/TLS
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
 
Estilos de programación y sus lenguajes
Estilos de programación y sus lenguajesEstilos de programación y sus lenguajes
Estilos de programación y sus lenguajes
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informática
 
PROTOCOLO HTTPS
PROTOCOLO HTTPSPROTOCOLO HTTPS
PROTOCOLO HTTPS
 
Secure Socket Layer
Secure Socket LayerSecure Socket Layer
Secure Socket Layer
 
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitosProtocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitos
 
Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una red
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En Redes
 

Similar a Protocolos de seguridad ssl

Protocolo
ProtocoloProtocolo
Protocolo
SolerJesusManuel
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicosjcfarit
 
Manual de procedimientos
Manual de procedimientosManual de procedimientos
Manual de procedimientos
Oscar
 
Comercio Electrónico
Comercio Electrónico Comercio Electrónico
Comercio Electrónico
AdanAlbertoGB
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitales
Luis Fernando Ordóñez Armijos
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes ssl
john gonzalez
 
Unidad 2
Unidad 2Unidad 2
Unidad 2
Sarabeeat
 
Infraestructura pk ix
Infraestructura pk ixInfraestructura pk ix
Infraestructura pk ixptrujillo82
 
Unidad2
Unidad2Unidad2
Unidad2
karlasan
 
Factura Electrónica (CFD)
Factura Electrónica (CFD)Factura Electrónica (CFD)
Factura Electrónica (CFD)ernieng
 
Seguridad en las transacciones
Seguridad en las transaccionesSeguridad en las transacciones
Seguridad en las transaccionesguest46247cd
 
Elprocesodee commerceexposicion1-131127170703-phpapp01
Elprocesodee commerceexposicion1-131127170703-phpapp01Elprocesodee commerceexposicion1-131127170703-phpapp01
Elprocesodee commerceexposicion1-131127170703-phpapp01
Edgar Yunes Oyaga
 
El proceso de e commerce exposicion (1)
El proceso de e commerce exposicion (1)El proceso de e commerce exposicion (1)
El proceso de e commerce exposicion (1)Jairo Habeych
 
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoActividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Cristhian Criollo
 

Similar a Protocolos de seguridad ssl (20)

Protocolo
ProtocoloProtocolo
Protocolo
 
E commerce security, ii
E commerce security, iiE commerce security, ii
E commerce security, ii
 
Ssl
SslSsl
Ssl
 
Aplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos EconómicosAplicaciones Criptográficas en Entornos Económicos
Aplicaciones Criptográficas en Entornos Económicos
 
Manual de procedimientos
Manual de procedimientosManual de procedimientos
Manual de procedimientos
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronico
 
Comercio Electrónico
Comercio Electrónico Comercio Electrónico
Comercio Electrónico
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitales
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes ssl
 
Confidencialidad
ConfidencialidadConfidencialidad
Confidencialidad
 
Unidad 2
Unidad 2Unidad 2
Unidad 2
 
Noticia abril
Noticia abrilNoticia abril
Noticia abril
 
Infraestructura pk ix
Infraestructura pk ixInfraestructura pk ix
Infraestructura pk ix
 
Unidad2
Unidad2Unidad2
Unidad2
 
Unidad2
Unidad2Unidad2
Unidad2
 
Factura Electrónica (CFD)
Factura Electrónica (CFD)Factura Electrónica (CFD)
Factura Electrónica (CFD)
 
Seguridad en las transacciones
Seguridad en las transaccionesSeguridad en las transacciones
Seguridad en las transacciones
 
Elprocesodee commerceexposicion1-131127170703-phpapp01
Elprocesodee commerceexposicion1-131127170703-phpapp01Elprocesodee commerceexposicion1-131127170703-phpapp01
Elprocesodee commerceexposicion1-131127170703-phpapp01
 
El proceso de e commerce exposicion (1)
El proceso de e commerce exposicion (1)El proceso de e commerce exposicion (1)
El proceso de e commerce exposicion (1)
 
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoActividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
 

Último

Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
HuallpaSamaniegoSeba
 
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdfHABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
DIANADIAZSILVA1
 
MIP PAPA Rancha Papa.pdf.....y caracteristicas
MIP PAPA Rancha Papa.pdf.....y caracteristicasMIP PAPA Rancha Papa.pdf.....y caracteristicas
MIP PAPA Rancha Papa.pdf.....y caracteristicas
jheisonraulmedinafer
 
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
rosannatasaycoyactay
 
Fase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometricoFase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometrico
YasneidyGonzalez
 
Proceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de PamplonaProceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de Pamplona
Edurne Navarro Bueno
 
El fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docxEl fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docx
Alejandrino Halire Ccahuana
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
20minutos
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
CESAR MIJAEL ESPINOZA SALAZAR
 
Conocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del ArrabalConocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del Arrabal
Profes de Relideleón Apellidos
 
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptxCLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
LilianaRivera778668
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
sandradianelly
 
Junio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividadesJunio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividades
cintiat3400
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Demetrio Ccesa Rayme
 
Texto_de_Aprendizaje-1ro_secundaria-2024.pdf
Texto_de_Aprendizaje-1ro_secundaria-2024.pdfTexto_de_Aprendizaje-1ro_secundaria-2024.pdf
Texto_de_Aprendizaje-1ro_secundaria-2024.pdf
ClaudiaAlcondeViadez
 
Semana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptxSemana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptx
LorenaCovarrubias12
 
Educar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdfEducar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdf
Demetrio Ccesa Rayme
 
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Monseespinoza6
 
El lugar mas bonito del mundo resumen del libro
El lugar mas bonito del mundo resumen del libroEl lugar mas bonito del mundo resumen del libro
El lugar mas bonito del mundo resumen del libro
Distea V región
 
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
auxsoporte
 

Último (20)

Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
Varón de 30 años acude a consulta por presentar hipertensión arterial de reci...
 
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdfHABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
 
MIP PAPA Rancha Papa.pdf.....y caracteristicas
MIP PAPA Rancha Papa.pdf.....y caracteristicasMIP PAPA Rancha Papa.pdf.....y caracteristicas
MIP PAPA Rancha Papa.pdf.....y caracteristicas
 
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
 
Fase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometricoFase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometrico
 
Proceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de PamplonaProceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de Pamplona
 
El fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docxEl fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docx
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
 
Conocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del ArrabalConocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del Arrabal
 
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptxCLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
 
Junio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividadesJunio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividades
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
 
Texto_de_Aprendizaje-1ro_secundaria-2024.pdf
Texto_de_Aprendizaje-1ro_secundaria-2024.pdfTexto_de_Aprendizaje-1ro_secundaria-2024.pdf
Texto_de_Aprendizaje-1ro_secundaria-2024.pdf
 
Semana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptxSemana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptx
 
Educar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdfEducar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdf
 
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
 
El lugar mas bonito del mundo resumen del libro
El lugar mas bonito del mundo resumen del libroEl lugar mas bonito del mundo resumen del libro
El lugar mas bonito del mundo resumen del libro
 
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
 

Protocolos de seguridad ssl

  • 1. Protocolos de Seguridad Informática SSI Alan Verastegui Seguridad Informática
  • 2. Resumen El comercio electrónico en Internet constituye una compleja operación en la que uno de los principales elementos es dar seguridad a vendedor y comprador de que la transacción comercial que están realizando se realiza sin intromisiones de ningún tipo y sin posibilidad de fraudes o engaños entre ninguna de ambas partes. Durante los últimos 10 años han ido surgiendo un número considerable de tecnologías y sistemas de pago electrónico que ofrecen las garantías de seguridad e integridad necesarias para realizar estas transacciones de una forma fiable. No obstante, este sigue siendo el mayor obstáculo (tanto técnico como psicológico) a vencer para que se produzca el definitivo despegue del comercio electrónico. Mientras no exista confianza, mientras los usuarios teman al fraude, mientras se desconozcan los sistemas de pago empleados y su fiabilidad, es difícil que esta oportunidad de negocio prospere.
  • 3. Es de aquí donde nace la idea de crear un método seguro para realizar cualquier transacción electrónica de aquí nace SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico es decir un (conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras con páginas web). SSL, Secure Sockets Layer, fue diseñado y propuesto por Netscape Communications Corporation en 1994 junto con su primera versión de Netscape Navigator. Tras una accidentada historia inicial de revisiones alcanzó su madurez en 1995 con la versión 3.0, convirtiéndose hoy en día en la solución más extendida en los servidores que ofrecen servicios de comercio electrónico y dejando virtualmente en la cuneta a todos sus competidores a pesar de que no es ni el método más seguro ni el más idóneo para implantar este tipo de soluciones, puesto que fue diseñado como un protocolo seguro de propósito general. En este documento nos centraremos en realizar un detallado análisis del, hasta ahora, ganador en esta carrera pero sin olvidar por completo los méritos de sus competidores
  • 4. Introducción La seguridad es la barrera real y psicológica que es necesario franquear para el definitivo despegue del comercio electrónico. Los elementos que forman esta barrera son siete y van más allá de lo físico (hardware) o lógico (protocolos, aplicaciones) e involucran factores tales como la legislación, la educación de los usuarios, etc. Y los siete elementos son: * Confidencialidad. * Integridad. * Disponibilidad. * No Repudio. *Verificación de la Identidad. * Validez Legal. * Confianza de los Usuarios.
  • 5. La validez legal de una transacción comercial a través de Internet y la confianza de los usuarios habrá que ganarla poco a poco, interviniendo en ella mucho más la actitud de los medios de comunicación y la formación de los usuarios que la verdadera validez del protocolo. El estándar SSL no contempla la implementación del No Repudio de mensajes. Sin embargo, decíamos en el resumen previo que SSL no está diseñado específicamente para el comercio electrónico ¿cómo es posible entonces que se adapte tan bien a los requisitos del mismo? En realidad no lo hace. En una transacción comercial electrónica existe una tercera parte involucrada que no se contempla en SSL: el banco. Cuando realizamos una transacción comercial usando SSL el cliente escoge la mercancía, realiza la orden de pedido y envía la información de pago (típicamente un número de tarjeta de crédito o débito) al vendedor.
  • 6. Este realiza las comprobaciones oportunas en el banco y una vez que obtiene la validez del medio de pago procesa el pedido. ¿Cuál es el problema en este esquema? Es evidente: el vendedor no compromete ante el cliente ningún tipo de información sensible y, además, está protegido contra posibles fraudes (tarjetas falsas o caducadas). El comprador, sin embargo, tiene que enviar información sensible al vendedor comprometiendo la misma ante la honestidad de este y, además, exponiendose ante SSL, Secure Sockets Layer y otros Protocolos para el Comercio Electrónico.
  • 7. Mientras que algunos de los competidores de SSL (S-HTTP, PCT o TLS) son meras variantes más o menos mejoradas de hacer lo mismo que se han visto perjudicadas por la supremacía que durante largos años ha mantenido Netscape en este sector, existen dos protocolos (SET y Cybercash) que si ofrecen una solución a estos problemas y que, sin embargo, no han tenido la aceptación y difusión que debieran, al menos hasta el momento. CyberCash fue comprada a mediados de 2001 por Verisign, quien se limita a mantener el soporte a la escasa cartera de clientes existentes de esta tecnología con objeto de darle una muerte más o menos digna y tratar de potenciar su propia solución al problema del pago electrónico y SET, a pesar de estar arropada por VISA y Mastercard (dos de los grandes gigantes del pago magnético) no acaba de arrancar en el terreno del pago electrónico. Trataremos de estudiar el porque más adelante. SSL, Secure Sockets Layer y otros Protocolos para el Comercio Electrónico.
  • 8. Protocolo de seguridad informático SSL SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico (un conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras con páginas web). SSL, es el protocolo dominante en la actualidad en el panorama del comercio electrónico, proporciona confidencialidad, integridad y verificación de la identidad de ambas partes (esta últimas característica sólo si se utiliza en conjunción de certificados digitales en ambos extremos, cosa que no suele ser frecuente)
  • 9. Otros protocolos de seguridad TLS : La llamada versión 3.1 de SSL, es el sucesor natural de este. Lo tiene todo para que esta sucesión se realice sin traumas: como el alías que lo acompaña indica (nos referimos a la ‘etiqueta’ de SSL 3.1) es meramente un SSL mejorado y no propietario que posee mecanismos de compatibilidad con SSL y viene ya de serie con la gran mayoría de los navegadores. Y sin embargo, la inercia en el mundo de los servidores es tal que la transición hacía el no acaba de realizarse. Tanto IIS como Apache, los dos servidores más extendidos (juntos suman más del 90% del total del parque de Internet) llevan soporte de TLS y, sin embargo, los administradores de sistemas siguen decantándose por ‘las viejas soluciones’.
  • 10. PCT : Es el clónico de SSL inventado por Microsoft. Poco merece la pena hablar de el: aporta pocas novedades técnicas y en esta ocasión, las cosas no les han salido bien a los chicos de Redmon. Ni siquiera las últimas versiones de Explorer soportan ya este protocolo S-HTTP: Es un protocolo muy orientado a proporcionar seguridad exclusivamente al protocolo HTTP que, a pesar de ser posiblemente el protocolo seguro más antiguo de Internet, no ha sabido aprovecharse de esa ventaja, quizás a su orientación tan específica IPSec : Ha sido postulado en ocasiones como sucesor o competidor de SSL. Sin embargo su mayor complejidad en cuanto a implantación y mantenimiento reducen su ámbito de actuación, al menos por el momento, a ámbitos de comunicaciones empresariales y no al mundo abierto y sin fronteras del comercio electrónico
  • 11. Cybercash: Introdujo en el panorama de los protocolos seguros conceptos como el de la pasarela de pago y mecanismos para proteger no sólo al vendedor, sino también al comprador. La especial complejidad de un esquema que no se vio acompañado por el estado de la técnica. Cuando Cybercash (atravesaba su momento de esplendor la conexiones habituales en los ordenadores de los usuarios eran de 9K6 o 14K4) y la inmadurez de los sistemas PKI imprescindibles para su desarrollo lo condenaron a una larga peregrinación de cambios y adaptaciones al mercado hasta su definitiva muerte a manos de Verisign. SET : Ha retomado el testigo de Cybercash. Utiliza un esquema muy similar y está arropado por los gigantes del pago electrónico y las grandes compañías de informática y telecomunicaciones.
  • 12. Las PKI se encuentran en un momento de extensión y reconocimiento (aunque aún adolecen de algunos serios problemas) y las comunicaciones ya no son lo que eran. No obstante sigue sin arrancar. El principal problema, según todos los expertos, es la complejidad de la infraestructura a desarrollar. El comercio electrónico es hoy en día, en su mayor parte, un mecanismo impulsivo y espontáneo y sería muy difícil convencer al usuario de la necesidad de obtener una certificación (que habría de adquirir de modo presencial) para realizar sus compras en Internet. Hay, de todas formas, muchos factores próximos que pueden cambiar este punto: la inminente implantación del DNI digital hará que todos tengamos en el bolsillo un certificado digital con las máximas garantías. Quizás sea ese el ‘pistoletazo’ de salida que necesita SET
  • 13.
  • 14. Objetivo del protocolo SSL El objetivo principal es proporcionar un canal de comunicaciones seguro entre un cliente y un servidor que sea independiente del sistema operativo usado por ambos y que se beneficie de forma dinámica y flexible de los nuevos adelantos en materia de cifrado a medida de que estos estuvieran disponibles. SSL fue diseñado como un protocolo seguro de propósito general y no teniendo en mente las necesidades específicas del comercio electrónico. SSL trabaja sobre el protocolo TCP y por debajo de protocolos como HTTP,IMAP, LDAP, etc., y puede ser usado por todos ellos de forma transparente para el usuario. Opera entre la capa de transporte y la de sesión del modelo OSI (o entre la capa de transporte y la de aplicación del modelo TCP) y está formado, a su vez, por dos capas y cuatro componentes bien diferenciados
  • 15.
  • 16. ¿Como trabaja el protocolo SSL? SSL trabaja de la siguiente forma: en primer lugar intercambiamos una clave de longitud suficiente mediante un algoritmo de cifrado asimétrico. Mediante esa clave establecemos un canal seguro utilizando para ello un algoritmo simétrico previamente negociado. A continuación, toma los mensajes a ser transmitidos, los fragmenta en bloques, los comprime, aplica un algoritmo hash para obtener un resumen (MAC) que es concatenado a cada uno de los bloques comprimidos para asegurar la integridad de los mismos, realiza el cifrado y envía los resultados. El estado de todas estas operaciones son controladas mediante una máquina de control de estados. Una sesión SSL puede comprender múltiples conexiones. Adicionalmente, se pueden establecer múltiples sesiones SSL simultaneas.
  • 17. Debilidades de SSL La versión 2.0 de SSL poseía muchas debilidades que la versión 3.0 se apresuró a corregir: una débil construcción de los MAC, errores en el mecanismo de HandShake, etc. Aunque, como decimos, la gran mayoría de estos errores están corregidos, la gran mayoría de nuestros navegadores y muchos servidores de Internet siguen aceptando, por motivos de compatibilidad, la versión 2.0 de este protocolo. La versión 3.0 de SSL es suficientemente robusta para aguantar la gran mayoría de los ataques y la mayoría de las debilidades que analizaremos brevemente en este apartado no son universales, sino que afectan a determinadas implementaciones más o menos extendidas, del popular protocolo. Para más detalles al respecto, el capítulo siguiente del presente documento refleja un historial de las vulnerabilidades conocidas en las distintas implementaciones de este protocolo.
  • 18. Conclusión Hay un hecho evidente y es que en el futuro cada vez habré más necesidad de contar con redes de comunicaciones seguras. Lo que no es tan fácil de prever es por cuanto tiempo mantendrá SSL su supremacía (en cuanto a universalidad, que no en cuanto a calidad) en estos terrenos. Lo lógico sería pensar que en el terreno de las comunicaciones seguras de propósito general se vea desplazado en algún momento por IPSec y en el terreno específico de las aplicaciones de comercio electrónico por SET u otro protocolo diseñado a tal efecto el momento en el que esto ocurrirá es mucho más difícil de prever Por el momento y lo que hemos tratado de reflejar en este documento, SSL se mantiene en ‘la cresta de la ola’ porque no existe ninguna otra opción mejor.
  • 19. En el terreno de los protocolos de propósito general tenemos tres grandes grupos: los que son más restrictivos que SSL en cuanto a posibles aplicaciones (como S-HTTP), los que no aportan nada nuevo a lo que ya hace bien SSL y lo poco que aportan no decide a su favor la balanza debido al peso que la gran implantación de SSL le proporciona (como PCT o el mismo TLS) y los que aportando mejores mecanismos y más seguridad se ven desfavorecidos por su mayor coste de implantación y mantenimiento (lo cual es el caso de IPSec).