El cifrado de las comunicaciones

De FdIwiki ELP
Saltar a: navegación, buscar

El cifrado de las comunicaciones El cifrado es la ciencia matemática de códigos, cifras, y mensajes secretos. A lo largo de la historia, muchos han usado el cifrado para enviar mensajes esperando que estos no fueran leídos por nadie que no fuera la persona indicada. Hoy en día tenemos computadoras que son capaces de hacer el cifrado por nosotros. La tecnología digital de cifrado se ha expandido más allá de los mensajes secretos; hoy, el cifrado puede ser usado para propósitos más elaborados, por ejemplo, para verificar el autor de mensajes o para navegar en la web anónimamente con Tor. Bajo algunas circunstancias, el cifrado puede ser automático y simple. Pero existen casos en que el cifrado puede funcionar mal y mientras más claramente entiendas estos casos, más seguro estarás contra tales situaciones.

Tres Conceptos Para Entender el Cifrado

Llaves Privadas y Públicas

  • Llave Privada La cual se mantiene en secreto en tu computadora y te deja leer mensajes destinados exclusivamente para ti. Una llave privada también te permite poner marcas digitales inalterables en los mensajes que envías a otras personas.
  • Llave Pública es un archivo que puedes compartir con otras personas, o incluso publicar, y le permite a la(s) persona(s) comunicarse contigo en secreto, y verificar tus firmas digitales. Las llaves privadas y públicas vienen en pares, como una piedra que ha sido partida en dos pedazos iguales, pero que no son las mismas.

Certificados de Seguridad

El buscador de la Web en tu computadora puede hacer conexiones cifradas a sitios usando HTTPS. Cuando haces esto, tu navegador examina los certificados para verificar las llaves públicas de los nombres de los dominios como “www.google.com," "www.amazon.com," o "ssd.eff.org." Los certificados son una manera de intentar determinar si conoces la llave pública correcta para una persona o sitio web, para así de esa manera comunicarse de forma segura con ellos. De vez en cuando, verás mensajes de error relacionados a los certificados en la web. Es también común ver una equivocación por un error burocrático en el sistema de certificados. Pero de vez en cuando, esto es por un cracker, ladrón, agencia de policía, o una agencia de espionaje, quien está buscando romper la conexión cifrada.

Desafortunadamente, es extremadamente difícil determinar la diferencia entre estos casos. Esto quiere decir que nunca debes de dar un click ignorando los avisos de los certificados si éste es relacionado con un sitio donde tienes una cuenta, o estás leyendo alguna información sensible.

Huellas de Llaves

La palabra “huella” quiere decir muchas cosas diferentes en el campo de la seguridad de computación. Un uso de este término es “huellas de llaves,” una línea de caracteres como "342e 2309 bd20 0912 ff10 6c63 2192 1928" que te permite de manera única y segura verificar que alguien en la red de internet está usando la llave privada correcta. Si verificas que las huellas de llave de alguien son correctas, esto te da cierto grado de certeza que ellos son realmente ellos. Pero este método no es perfecto, porque si la llave ha sido copiada o robada, cualquier otra persona podría utilizar las mismas huellas.

La importancia del cifrado

Cualquier comunicación que hagamos a través de internet circula 'en claro' (sin cifrar, en argot Criptográfico).

Esto significa que un usuario malintencionado que se colocase entre emisor y receptor (Man in the middle), sería capaz de 'escuchar' e incluso modificar esta comunicación y saber exactamente lo que se está transmitiendo.

Este hecho puede tener una mayor o menor relevancia en función de que estamos haciendo. Si estamos viendo las páginas del BOE sería irrelevante. Pero si estuviésemos accediendo a nuestros datos en hacienda o nuestra cuenta bancaria, sería harina de otro costal.

Para evitar estas situaciones existe una solución técnica que privatiza y procura integridad en las comunicaciones. Esto se consigue a través del cifrado, el protocolo más habitual es el SSL "Secure Socket Layer" predecesor del protocolo TLS "Transport Layer Security".

  • ¿Qué se puede cifrar?

Cualquier tipo de comunicación y servicio en Internet se puede cifrar: El correo electrónico, el acceso a ciertas páginas web, etc.

  • ¿Qué se debe cifrar?

Se deberían cifrar todas aquellas comunicaciones en las que se transmitan datos sensibles: contraseñas de usuario, datos personales, datos financieros, etc.

  • ¿Cómo saber si estoy accediendo a páginas a través de una conexión cifrada?
    • Si en la dirección de la página aparece 'https://' en vez de 'http://'
    • Si vemos un candado cerrado en la barra de estado de nuestro navegador
  • Los certificados digitales y la confianza en la CA

Cuando establecemos una conexión cifrada (segura) con un servidor, no solo es importante saber que la conexión no va a poder ser escuchada por terceros. Además, deberíamos asegurarnos de que el servidor al que nos conectamos es realmente aquel al que queremos llegar. Podría ocurrir que fuese un farsante que, imitando sus páginas, desea capturar ciertos datos sensibles nuestros. Para evitar esto, el servidor presentará un certificado digital en el que se identifica. Este certificado es emitido por una Autoridad de Certificación (CA), que es un ente que conoce al servidor y que asegura que es quién dice ser. En la UR disponemos de una Autoridad de Certificación (URCA) que emite los certificados de todos nuestros servidores. Nosotros los usuarios, a través de nuestros navegadores, debemos confiar en esta autoridad de certificación. Esta confianza en la URCA se establece instalando en el navegador el certificado de la CA de la UR.

  • El correo cifrado

El correo en la UR se puede leer, o bien a través de la herramienta webmail (via web) o bien a través de un lector de correo tipo Netscape o Outlook. En este momento la lectura del correo via web se hace siempre de manera cifrada, de esta forma aseguramos que la contraseña del usuario en ningún caso pueda ser capturada por algún malintencionado. En el caso de la lectura con Outlook o Netscape este cifrado no es todavía obligatorio, aunque sí muy recomendable.