{ Pasión por el código }

© Blog Ailon Webs

Tipos de cifrado y su uso en los certificados SSL

Publicado el O6/01/2020, por G. Lara

Tipos de cifrado y su uso en los certificados SSL
Skytale o escítala.

En este artículo vamos a explicar ¿qué es el cifrado? y ¿cómo se usa en un certificado SSL?
Ya hemos explicado en nuestro blog que es recomendable tener un certificado SSL para su página web, porque encripta el tráfico entre el navegador y su web, además de certificar la autenticidad del dominio web.

Un certificado SSL es importante para la cyberseguridad de su página web y de las personas que visitan su web, sus potenciales clientes, por ello nuestras Tiendas Online listas para instalar llevan un cerficado SSL incluido.  Más información en este enlace compra tu tienda online ahora mismo

Ya sabemos que un certificado SSL es importante, hoy vamos a hablar un poco más sobre ¿qué es el cifrado?, ¿cómo funciona?, tipos de cifrado y cuales se usan en un cerficado SSL.

¿Qué es el cifrado?

El cifrado es un proceso que consiste en convertir un texto plano, o un texto legible por todos, en un texto cifrado que solo puede ser leido por la persona que tiene el código secreto para revertir este proceso, llamado descifrado o desencriptación.

Llevamos usando técnicas de encriptación o cifrado durante siglos. Uno de los más antiguos data del año 700 AC. Hay evidencias de que los generales Griegos y Espartanos utilizaban un simple sistema de cifrado de mensajes de texto que consiste en el uso de un cilindro o bastón y una tira de cuero o papiro.

Cuando se enviaba un comandante a una campaña se hacían dos bastones de madera exactamente iguales en longitud y grosor, de modo que cada uno es exactamente igual que al otro en cuanto a sus dimensiones. El comandante se quedaba con uno de los bastones y su enviado al frente se llevaba el otro. A estos bastones de madera las llaman escítalas. Más información en este enlace https://es.wikipedia.org/wiki/Escítala.

Cada vez que el enviado al frente necesitaba enviar un mensaje secreto o importante usaba una tira de cuero larga y estrecha, como una correa, y la enrollaba alrededor de su escítala, sin dejar ningún espacio vacío, se cubría toda su superficie con la tira. Después de hacer esto, escribía el mensaje a enviar sobre la tira enrollada en la escítala. Una vez escrito el mensaje, quitaba la tira de cuero y la enviaba al comandante. El mensaje escrito en esta tira no es legible ya que la ristra de letras no tiene sentido, están desordenadas. Hasta que una vez recibida la tira del mensaje el comandante la enrollaba alrededor de su escítala y entonces aparecía el mensaje legible.

Cada escítala tenía sus dimensiones propias y eran fáciles de robar y falsificar, pero los mensajes cifrados solian ser referentes a una batalla en curso y no muy imporantes con el paso del tiempo, así que era un método muy efectivo de cifrado para la época.

Este sería un tipo simple de cifrado, donde el algoritmo sería enrollar el mensaje cifrado alrededor de la escítala. Es decir, la escítala sería la clave de desencriptación en este caso.

Tipos de cifrado

Los algoritmos de cifrado pueden encriptar cada bit de información, cifrándolos uno a uno como una ristra o pueden actuar sobre grupos de bits de longitud fija, llamados bloques (128 bits, 256 bits, etc).

Hay dos tipos principales de encriptación: simétrico y asimétrico.

1. Algoritmos de cifrado simétrico: solo se utiliza una clave secreta para cifrar y descifrar la información.

Estos tipos de algoritmos de cifrado son muy rápidos, cada parte ya tiene la clave, pero debemos tener en cuenta que el transporte de claves es difícil (la única forma segura y verdadera es entregarlo de persona a persona) y una vez que se intercambia la clave no hay verificación de identidad de quién tiene la clave.

Ejemplos de este tipo de algoritmos de cifrado son AES (Advanced Encryption Standart), Twofish y RC4 (Rivest Chipher 4).

2. Algoritmos de cifrado asimétrico: utiliza pares de claves, claves públicas, que pueden difundirse ampliamente, y claves privadas, que solo son conocidas por el propietario.

En este caso se necesita una infraestructura de clave pública y se utilizan certificados digitales para verificar la identidad.

Estos tipos de algoritmos de cifrado utilizan autenticación que permiten verificar la identidad del remitente / destinatario, la clave privada nunca necesita ser compartida. Pero esto los hace más lentos que los algoritmos simétricos ya que requieren una autoridad de certificación y se crea la necesidad de confiar en un tercero.

Ejemplos de este tipo de algoritmos de cifrado son RSA y Diffie-Hellman.

Cifrado en un certificado SSL

Para el cifrado de datos mediante un certificado SSL se utilizan los dos tipos de cifrado: asimétrico primero para verificar la identidad del dominio web mediante un cerficado digital. Una vez establecida la comunicación se intercambian las claves de cifrados para el algoritmo simétrico elegido. A partir de aquí la comunicación sigue usando un cifrado de algoritmo simétrico, más rápido, lo cual es muy importante para la era de la información inmediata como es internet.

Así tenemos todos los elementos en uno: certificación de la autenticidad de los interlocutores (servidor y usuario) a través de un tercero de confianza, intercambio de claves simétricas en un entorno seguro para asegurar la confidencialidad y rapidez del intercambio de la información.

Los certificados SSL se llaman así por las siglas SSL Secure Server Layer (capa de puertos seguros), pero es interesante puntualizar que a partir del año 2000 se sustituyó por TLS, Transport Socket Layer o Seguridad de la capa de transporte. Los navegadores de hoy día utilizan la versión 1.2 o 1.3 de TLS. El protocolo SSL fue desarrollado originalmente por Netscape (parece que el nombre de su protocolo va a durar más que su marca).

¿Cómo funciona un cerficado SSL?

A grandes rasgos, cuando su servidor de internet conecta a una página web con un certificado HTTPS lo primero que ocurre es lo que se llama el TLS handshake (apretón de manos en inglés).

Su navegador de internet le envía un mensaje de Hello (Hola) al servidor web con el que está conectando. Este mensaje incluye la versión de TLS, los algoritmos que puede utilizar para la comunicación y un texto aleatorio.

El servidor web contesta con otro mensaje Hello (Hola) con más o menos la misma información, más su certificado digital con su clave pública.

Entonces su navegador web verifica la autenticidad del certificado digital del servidor a través de la entidad certificadora de confianza. Una vez asegurada la identidad del servidor, el navegador codifica el tráfico utilizando la clave pública del servidor, enviando una clave de encriptación inicial, codificada con la clave pública del servidor.

El servidor recibe esta clave y la desencripta utilizando su clave privada.

A partir de aquí se generan las claves de sessión privadas simétricas en ambos lados que utilizarán para encriptar/desencriptar la información que se intercambien mientras estén conectados.

Más información sobre este proceso en este enlace https://es.wikipedia.org/wiki/Seguridad_de_la_capa_de_transporte

Puede ver la información de un cerficado SSL haciendo click sobre el candado en la barra de dirección de su navegador web. En la ventana emergente puede ver los algoritmos utilizados para la firma y cifrado de los datos.

También puede ver información sobre quien es la autoridad cerficada que firma el cerficado digital del dominio, el cual nos da la seguridad de que la identidad de este dominio web ha sido confirmada.

Imagen de la información de un certificado SSL en un navegador web

Más información sobre como conseguir un certificado SSL en este enlace: /es/blog/comercio-online/certificado-ssl-que-es-para-que-sirve-como-conseguir-uno/


Categorías: Comercio online, Diseño de páginas web

Etiquetas: cyberseguridad, tienda online