SSL

Grupo 2

Agenda

Qu es SSL

Servicios que proporciona

Parmetros de seguridad

Protocolos SSL

Ejemplo

Qu es?

Secure Socket Layer (Capa de conexin segura).

Protocolo criptogrfico empleado para realizar conexiones seguras entre un

cliente y un servidor.

Este protocolo ha sido sucedido por TLS (Transport Layer Security) tambin
conocido
como
Seguridad
de
la
capa
de
transporte).

Servicios SSL

Diseado para proporcionar servicios de seguridad y compresin a los datos

generados a partir de la capa de aplicacin.

Tpicamente, SSL puede recibir datos desde cualquier protocolo de capa de

aplicacin, pero por lo general es el protocolo HTTP.

Los datos recibidos desde la aplicacin son comprimidos (opcional), firmados

y encriptados. Los datos se pasan entonces a un protocolo de capa de
transporte fiable tal como TCP.

SSL proporciona varios servicios en los datos recibidos desde la capa de

aplicacin.

Servicios SSL
1. Fragmentacin

SSL divide los datos en bloques de 214 bytes o menos.

2. Compresin

Cada fragmento de datos se comprime mediante el uso de uno de los mtodos de compresin sin
prdidas negociado entre el cliente y el servidor (opcional)

Servicios SSL
3. Integridad del mensaje

SSL utiliza una funcin con clave hash para crear un MAC.

4. Confidencialidad

Los datos originales y el MAC son encriptados usando criptografa de clave

simtrica.

5. Framing
-Un encabezado se aade a la carga til cifrada. La carga til se pasa entonces a
un protocolo de capa de transporte fiable.

Parmetros de Seguridad
1.

Suite de Cifrado

La combinacin de algoritmos de clave de cambio, de hash y de cifrado

define un conjunto de cifrado para cada sesin SSL.

Cada suite comienza con el trmino SSL, seguido por el algoritmo de

intercambio de claves.

La palabra WITH separa el algoritmo de intercambio de claves de los

algoritmos de cifrado y hash.

Data Communications and

Networking By Behrouz
A.Forouzan 4th Edition
Table 32.3 SSL cipher suite
list

Parmetros de Seguridad
2. Secretos Criptogrficos

La segunda parte de los parmetros de seguridad se conoce como secretos

criptogrficos.

Para lograr la integridad del mensaje y la confidencialidad, SSL necesita seis

secretos criptogrficos, cuatro claves, y dos IVs.

El Cliente necesita una clave para la autenticacin de mensaje, una clave

para el cifrado, y una IV para el bloque cifrado. El servidor necesita lo mismo.
SSL requiere que las claves para una direccin sean diferentes a las de otra
direccin. Si hay un ataque en una direccin, la otra direccin no se ve
afectada.

Estos parmetros se generan mediante el uso de un protocolo de negociacin.

Data Communications and

Networking By Behrouz
A.Forouzan 4th Edition
Figure 32.15 Creation of
cryptographic secrets in SSL

Protocolos SSL
SSL define cuatro protocolos en dos capas:

Protocolo de registro

Protocolo de negociacin

Protocolo ChangeCipherSpec

Protocolo de Alerta

Protocolos SSL
1. Protocolo de negociacin

El protocolo de negociacin usa mensajes para negociar la suite de cifrado, autenticar el

servidor al cliente y el cliente al servidor si es necesario, e intercambiar informacin para
construir los secretos de cifrado.

La negociacin se hace en cuatro fases:

Fase 1: Se establecen capacidades de seguridad

Fase 2: Se autentica el servidor y se intercambian claves

Fase 3: Se autentica el cliente y se intercambian claves.

Fase 4: Se finaliza el protocolo de negociacin.

Protocolos SSL

2.

Protocolo ChangeCipherSpec

- SSL ordena que las partes implicadas no usen los parmetros o secretos de la
suite de cifrado hasta que hayan enviado o recibido un mensaje especial, el
mensaje ChangeCipherSpec, que se intercambia durante el protocolo de
negociacin y est definido en el protocolo ChangeCipherSpec.

Protocolos SSL
3. Protocolo de alerta
- SSL usa el protocolo de alerta para reportar errores y situaciones anormales,
solo tiene un tipo de mensaje: El mensaje de alerta, el cual describe el problema
y su nivel (Advertencia o fatal).

Protocolos SSL
4. Protocolo de registro
- Este protocolo lleva los mensajes de la capa superior (Protocolo de negociacin,
protocolo ChangeCipherSpec, Protocolo de alerta, o capa de aplicacin).

El mensaje se fragmenta y se comprime de forma opcional, se aade una MAC

al mensaje comprimido usando el algoritmo hash acordado.

El fragmento comprimido y la MAC se encripta usando el algoritmo de

encriptacin acordado.

Finalmente la cabecera de SSL se aade al mensaje encriptado .

Ejemplo de cmo funciona un Simple

TLS HandShake
Cliente ----Client Hello ---> Servidor
1) Especifica la versin ms alta del protocolo TLS ms alta soportada, un
nmero aleatorio y una lista de algoritmo de autenticacin cifrado y MAC
(Message Authentication Code).
Cliente -Server Hello --- Servidor
2) Se responde con un mensaje que indica la versin ms alta posible
seleccionada, un nmero aleatorio, los algoritmos que selecciona por los
enviados del cliente.

Ejemplo de cmo funciona un Simple

TLS HandShake
3) Verificacin del Certificado del servidor
- Mediante un PKI (Autoridad de confianza)
Cliente PreMasterSecret (nmero Secreto)
- Nmero secreto con informacin para generar la clave de sesin.
4) Cliente y servidor usan los nmeros aleatorio intercambiados y la PreMaster
Secret. Con esto crean un secreto comn denominado Master Secret, todas
las claves son derivadas de ste.

Ejemplo de cmo funciona un Simple

TLS HandShake
Cliente --- ChangeCipherSpec Servidor
5) Se enva un registro que indica al servidor que a partir de ste momento toda
comunicacin ser autenticada.
6) El cliente enva un mensaje Finished firmado y cifrado, conteniendo un Hash y
MAC de los mensajes negociados anteriormente.
7) El servidor intentar descifrar el mensaje Finished enviada por el cliente y verifica
el hash y el MAC
8) Si todo va bien, el servidor enva un ChangeCipherSpec, terminando as el negocio.

Bibliografa

Data Communications and Networking By Behrouz A.Forouzan 4th Edition

http://aprenderinternet.about.com/od/ConceptosBasico/a/Que-Es-Ssl.htm