Créditos: Imágen de una escítala por CC BY-SA 3.0
En este artículo vamos a explicar ¿Qué es el cifrado? ¿Cómo funciona? Tipos de cifrado y cuáles se usan en un certificado SSL. Información sobre certificados SSL. Ya hemos explicado que es recomendable tener un certificado SSL para su página web, porque encripta el tráfico entre el navegador y su web, además de certificar la autenticidad del dominio web.
Un certificado SSL es importante para la ciberseguridad de su página web y de las personas que visitan su web, sus potenciales clientes; por ello todas las webs que desarrollamos, incluidas nuestras Tiendas Online llevan un certificado SSL incluido.
Ya sabemos que un certificado SSL es importante. Hoy vamos a hablar un poco más sobre ¿qué es el cifrado?, ¿cómo funciona?, tipos cifrado y cuáles se usan en un certificado SSL.
¿Qué es el cifrado?
El cifrado es un proceso que consiste en convertir un texto plano, o un texto legible por todos, en un texto cifrado que solo puede ser leído por la persona que tiene el código secreto para revertir este proceso, llamado descifrado o desencriptación.
Llevamos usando técnicas de encriptación o cifrado durante siglos. Uno de los más antiguos data del año 700 AC. Hay evidencias de que los generales griegos y espartanos utilizaban un simple sistema de cifrado de mensajes de texto que consiste en el uso de un cilindro o bastón y una tira de cuero o papiro.
Cuando se enviaba un comandante a una campaña, se hacían dos bastones de madera exactamente iguales en longitud y grosor, de modo que cada uno es exactamente igual que el otro en cuanto a sus dimensiones. El comandante se quedaba con uno de los bastones y su enviado al frente se llevaba el otro. A estos bastones de madera las llaman escítalas. Más información en este enlace https://es.wikipedia.org/wiki/Escítala.
Cada vez que el enviado al frente necesitaba enviar un mensaje secreto o importante, usaba una tira de cuero larga y estrecha, como una correa, y la enrollaba alrededor de su escítala, sin dejar ningún espacio vacío. Se cubría toda su superficie con la tira. Después de hacer esto, escribía el mensaje a enviar sobre la tira enrollada en la escítala. Una vez escrito el mensaje, quitaba la tira de cuero y la enviaba al comandante. El mensaje escrito en esta tira no es legible, ya que la ristra de letras no tiene sentido, están desordenadas. Hasta que una vez recibida la tira del mensaje el comandante la enrollaba alrededor de su escítala y entonces aparecía el mensaje legible.
Cada escítala tenía sus dimensiones propias y eran fáciles de robar y falsificar, pero los mensajes cifrados solían ser referentes a una batalla en curso y no muy importantes con el paso del tiempo, así que era un método muy efectivo de cifrado para la época.
Este sería un tipo simple de cifrado, donde el algoritmo sería enrollar el mensaje cifrado alrededor de la escítala. Es decir, la escítala sería la clave de desencriptación en este caso.
Tipos de cifrado
Los algoritmos de cifrado pueden encriptar cada bit de información, cifrándolos uno a uno como una ristra o pueden actuar sobre grupos de bits de longitud fija, llamados bloques (128 bits, 256 bits, etc).
Hay dos tipos principales de encriptación: simétrico y asimétrico.
-
Algoritmos de cifrado simétrico: solo se utiliza una clave secreta para cifrar y descifrar la información.
Estos tipos de algoritmos de cifrado son muy rápidos, cada parte ya tiene la clave, pero debemos tener en cuenta que el transporte de claves es difícil (la única forma segura y verdadera es entregarlo de persona a persona) y una vez que se intercambia la clave no hay verificación de identidad de quién tiene la clave.
Ejemplos de este tipo de algoritmos de cifrado son AES (Advanced Encryption Standart), Twofish y RC4 (Rivest Chipher 4). -
Algoritmos de cifrado asimétrico: utiliza pares de claves, claves públicas, que pueden difundirse ampliamente, y claves privadas, que solo son conocidas por el propietario.
En este caso se necesita una infraestructura de clave pública y se utilizan certificados digitales para verificar la identidad.
Estos tipos de algoritmos de cifrado utilizan autenticación que permiten verificar la identidad del remitente / destinatario; la clave privada nunca necesita ser compartida. Pero esto los hace más lentos que los algoritmos simétricos, ya que requieren una autoridad de certificación y se crea la necesidad de confiar en un tercero.
Ejemplos de este tipo de algoritmos de cifrado son RSA y Diffie-Hellman.
Cifrado en un certificado SSL
Para el cifrado de datos mediante un certificado SSL se utilizan los dos tipos de cifrado: asimétrico, primero para verificar la identidad del dominio web mediante un certificado digital. Una vez establecida la comunicación, se intercambian las claves de cifrados para el algoritmo simétrico elegido. A partir de aquí, la comunicación sigue usando un cifrado de algoritmo simétrico, más rápido, lo cual es muy importante para la era de la información inmediata como es Internet.
Así tenemos todos los elementos en uno: certificación de la autenticidad de los interlocutores (servidor y usuario) a través de un tercero de confianza, intercambio de claves simétricas en un entorno seguro para asegurar la confidencialidad y rapidez del intercambio de la información.
Los certificados SSL se llaman así por las siglas SSL Secure Server Layer (capa de puertos seguros), pero es interesante puntualizar que a partir del año 2000 se sustituyó por TLS, Transport Socket Layer o seguridad de la capa de transporte. Los navegadores de hoy día utilizan la versión 1.2 o 1.3 de TLS. El protocolo SSL fue desarrollado originalmente por Netscape (parece que el nombre de su protocolo va a durar más que su marca).
¿Cómo funciona un certificado SSL?
A grandes rasgos, cuando su servidor de Internet conecta a una página web con un certificado HTTPS lo primero que ocurre es lo que se llama el TLS handshake (apretón de manos en inglés).
Su navegador de Internet le envía un mensaje de Hello (Hola) al servidor web con el que está conectando. Este mensaje incluye la versión de TLS, los algoritmos que puede utilizar para la comunicación y un texto aleatorio.
El servidor web contesta con otro mensaje Hello (Hola) con más o menos la misma información, más su certificado digital con su clave pública.
Entonces su navegador web verifica la autenticidad del certificado digital del servidor a través de la entidad certificadora de confianza. Una vez asegurada la identidad del servidor, el navegador codifica el tráfico utilizando la clave pública del servidor, enviando una clave de encriptación inicial, codificada con la clave pública del servidor.
El servidor recibe esta clave y la desencripta utilizando su clave privada.
A partir de aquí se generan las claves de sesión privadas simétricas en ambos lados que utilizarán para encriptar/desencriptar la información que se intercambien mientras estén conectados.
Más información sobre este proceso en este enlace https://es.wikipedia.org/wiki/Seguridad_de_la_capa_de_transporte
Puede ver la información de un certificado SSL haciendo click sobre el candado en la barra de dirección de su navegador web. En la ventana emergente puede ver los algoritmos utilizados para la firma y cifrado de los datos.
También puede ver información sobre quien es la autoridad cerficada que firma el certificado digital del dominio, el cual nos da la seguridad de que la identidad de este dominio web ha sido confirmada.
Si estás pensando en tener una página web con un nombre de dominio propio, te recomendamos que instales un Certificado de Seguridad SSL para tu página web. Nuestras páginas web ya vienen con un SSL incluido, si vas a vender por Internet o quieres un buen posicionamiento en buscadores web, debes instalarlo.
Más información sobre como conseguir un certificado SSL en nuestro artículo: Certificado SSL ¿qué es? ¿para qué sirve? ¿cómo conseguir uno.
Solicita presupuesto sin compromiso
Categorías: Tienda online
Etiquetas: ciberseguridad tienda online certificados digitales conexión cifrada