SSL, SSL2, SSL3, TLS
Son protocolos de CEE para comunicaciones con sesión, se usan mayoritariamente para web. Sirven para poder comunicarse de manera confidencial utilizando el cifrado y para autentificación del servidor y opcionalmente del cliente.
Para establecer una conexión con ssl es necesario tener un certificado x509. Protocolo:
-- El cliente se conecta.
-- Cliente y servidor tienen que ponerse de acuerdo protocolo que usaran para conectarse. Que algoritmo de clave privada usarán para comunicarse.
-- El servidor manda su certificado al cliente. Este lo contrasta con las autoridades certificadoras de confianza que tenga en el navegador.
-- Ahora el cliente tiene que verificar que el certificado es del servidor. Para ello el cliente lanza un reto al servidor, enviandole algo cifrado con la clave pública del servidor. Si el servidor responde el reto es porque ha podido descifrarlo, por lo tanto es quien dice ser. Normalmente lo que se manda en el reto es la clave de sesión con la que se comunicarán en posteriores comunicaciones.
-- Ahora ambos pueden comenzar una comunicación cifrada y totalmente confidencial con cualquier algoritmo de clave privada y con la clave del reto.
-- Si el servidor quiere autentificar al cliente puede hacerlo mediante el uso de una passwrd. Esto es seguro ya que circulara cifrado. También es posible que el servidor exija un certificado al cliente.
Hay 4 tipos de autentificación que puede pedir el servidor al cliente:
1- no pedir, sin autentificación.
2- voluntario pero que el certificado que aporte sea bueno, lo que el cliente quiera.
3- voluntario y aunque el certificado no lo puedan verificar no importa.
4- Obligatorio presentar un certificado y este ha de ser válido para el servidor, lo ha de poder verificar.
Cuando hacemos una conexión https estamos obligando a que se producía una conexión segura.
Es recomendable guardar nuestros certificados caducados por si alguna vez los necesitamos para leer algo que nos mandaron cuando era válido.
SMIME, PGP
Son protocolos de CEE para comunicaciones sin sesión, se usan para email. Diseñados para proteger la integridad y seguridad de datos entre dos aplicaciones que se comunican entre sí.
PGP suele ir integrado en los programas de correo más usuales para facilitar el encriptado y firmado de documentos sea más fácil. Cuando enviamos un mensaje encriptado a otro usuario de PGP, el programa crea una clave de sesión, que es independiente de nuestras claves privadas o públicas. Esta clave de sesión es un número generado de forma aleatoria por el programa. Esa clave de sesión se usa para encriptar el texto del mensaje, con lo que ya no hay forma de “ver” el mensaje. Antes de enviarlo, la clave de sesión se encripta utilizando la clave pública del destinatario y ambos paquetes, texto encriptado y clave de sesión encriptada se envían juntos.
Al recibir el mensaje, el destinatario desencripta la clave de sesión usando la clave privada. Una vez tiene la clave de sesión, se desencripta el texto del mensaje con ella.
De este modo PGP garantiza que el mensaje sólo será leído por quien debe leerlo y además asegura la integridad del mismo, es decir asegurar que nadie ha modificado su contenido.
