El protocolo SSL intercambia registros cada registro puede ser comprimido, cifrado y empaquetado con un codigo de autentificación del mensaje (MAC). Cada registro tiene un campo de content_type que especifica el protocolo de nivel superior que se esta usando.
Cuando se inicia la conexion, el registro encapsula otro protocolo, el protocolo handshake, que tiene el content_type 22.
El cliente envia y recibe varias estructuras handshake:
-Envia un mensaje especificando una lista de conjunto de cifrados, metodos de compresion y la versión del protocolo SSL mas alta que es permitida. Este tambien envía bytes de forma aleatoria que seran usados mas tarde tambien puede incluir el identificador de la sesion.
-Recibe un registro, en el que el servidor elige que parametros de conexion a partir de las opciones ofertadas con anterioridad por el cliente.
Cuando los parametros de la conexion son conocidos del cliente y del servidor intercambian certificados.
-El servidor puede requerir un certificado al cliente, para que la conexion sea mutuamente autentificada.
Cliente y servidor negocian una clave secreta comun llamada master secret, posiblemente usando el resultado de un intercambio Diffie-Hellman, o simplemente cifrando una clave secreta con una clave pública que es descifrada con la clave privada de cada uno. Todos los datos de claves restantes son derivados a partir de este master secret, que son pasados a traves una funcion aleatoria cuidadosamente elegida.
TLS/SSL poseen una variedad de medidas de seguridad:
-Numerando todos los registros y usando el número de secuencia en el MAC.
-Usando un resumen de mensaje mejorado con una clave.
-Protección contra varios ataques conocidos, como los que implican un degradado del protocolo a versiones previas.
-El mensaje que finaliza el protocolo handshake envía un hash de todos los datos intercambiados y vistos por ambas partes.
-La funcion pseudo aleatoria divide los datos de entrada en 2 mitades y las procesa con algoritmos hash diferentes, despues realiza sobre ellos una operación XOR. De esta forma se protege a sí mismo de la eventualidad de que alguno de estos algoritmos se revelen vulnerables en el futuro.
y asi funciona estas tecnologias de seguridad.
fuente: http://es.wikipedia.org/wiki/Transport_Layer_Security
No hay comentarios:
Publicar un comentario