La criptografía funciona en varios niveles. En un nivel
se encuentran algoritmos tales como el cifrado de bloques simétrico y los
algoritmos de llave pública. Construyendo sobre estos se obtienen protocolos, y
construyendo sobre los protocolos se obtienen aflicciones (u otros protocolos).
No es suficiente estudiar la seguridad de los algoritmos
de base solamente, como tampoco las debilidades en un protocolo o aplicación de
más alto nivel se pueden traducir en cuan insegura es una aplicación o que tan
bueno es el algoritmo criptográfico de base. Un ejemplo simple es un protocolo
que filtra información sobre la clave usada para encriptar un canal de
comunicaciones. Independientemente de cuan buenos sean los algoritmos de
encripción, se vuelven inseguros si el protocolo de capa superior muestra
información de las claves usadas en la encripción.
El análisis de los protocolos es generalmente difícil porque
las aplicaciones que implementan dichos protocolos pueden conducir a problemas
adicionales. De esa manera un buen protocolo no es suficiente, se debe tener
una buena y robusta implantación.
A continuación se mencionan varios protocolos bien
conocidos
Domain Name Server Security (DNSSEC): es el protocolo
para servicios de distribución de nombres seguros. Está definido en RFC 3007 y
RFC 3008.
Generic Security Services API (GSSAPI): GSSAPI provee una
interface de autenticación, intercambio de claves y encripción para diferentes
algoritmos de encripción y sistemas. Está definido en RFC 2743.
Secure Socket Layer (SSL) / Transport Layer Security
(TLS): SSL es uno de los dos protocolos para conexiones WWW seguras (el otro es
SHTTP). La seguridad WWW se ha vuelto importante con el incremento de
información sensible, como números de tarjeta de crédito, que se transmite
sobre Internet.
SSL fue desarrollado originalmente por Netscape en 1994
como un protocolo estándar libre. El borrador de la versión 3.0 se puede
encontrar aquí. En 1996, el desarrollo de SSL se convirtió en responsabilidad
de la Fuerza de Tareas de Ingenieros de la Internet (IETF, por sus siglas en
ingles) y fue renombrado como TSL (Transport Layer Security – Capa de
Transporte Seguro). De todas formas TLS 1.0 difiere muy poco de SSL 3.0. Las
diferencias se describen en RFC 3546.
Secure Hypertext Transfer Protocol (SHTTP) - Protocolo de
transferencia de Hipertexto seguro): el protocolo de transferencia segura de
hipertexto es otro que provee más seguridad a las transacciones WWW. Es mucho más
flexible que SSL, pero debido a la posición dominante que tenía Netscape en el
mercado SSL/TSL está en una posición muy fuerte. SHTTP está definido en RFC
2660.
No hay comentarios:
Publicar un comentario