Autoridades Certificadoras (Certificados de Seguridad)

Como vimos anteriormente la criptografía asimétrica necesita de cuatro llaves para ser segura, pero siempre podemos dudar de que alguien no es quien dice ser. Para aumentar la seguridad se recurre a certificados de seguridad, los clásicos son VeriSign y Geotrust, que para mi punto de vista son muy caros, pero a veces la seguridad cuesta.

¿Cómo funcionan?

Las conexiones seguras en internet se hacen comúnmente usando el protocolo SSL. Cuando nos conectamos a un sitio seguro, leemos https:// en la barra de direcciones, en ocasiones vemos que sale en color amarillo y hasta aparece un candado. ¿Qué seguridad nos están brindando?, lo veremos a continuación:

Cuando inicias una conexión con un servidor, mediante SSL, se transmite la llave pública del servidor, luego tú también mandas tu llave pública, entonces de manera segura, se ponen de acuerdo para usar un sistema de cifrado simétrico; pero antes de establecer la conexión tú necesitas saber que el servidor pertenece realmente a la empresa que dice ser. Aquí entran las Autoridades Certificadoras, que lo único que hacen es dar de alta al servidor en GeoTrust, éstos a su vez mediante un estudio corroboran la identidad del servidor y, después de estar seguros, le otorgan un certificado de seguridad.

Un certificado de seguridad contiene los datos de la empresa y la llave pública del servidor, además está firmado digitalmente por la Autoridad Certificadora. Como los browsers tienen interconstruidas las llaves públicas de varias Autoridades Certificadoras, pueden revisar la firma digital del certificado, y así corroborar la identidad del servidor.

La firma digital de un certificado es simplemente el hash del certificado, que a su vez está encriptado con la llave privada de la Autoridad Certificadora. Para verificar que la firma es correcta y el certificado es válido, lo que se hace es descrifrar el hash del certificado, usando la llave pública de la Autoridad Certificadora; luego el hash desencriptado se compara con el hash del certificado. El proceso verifica implícitamente que: la Autoridad Certificadora en verdad firmó ese certificado, y que el certificado no ha sido alterado; por lo que se puede confiar plenamente en ese servidor para darle nuestro número de tarjeta de crédito, por ejemplo.

¿Pero realmente ésto nos brinda total seguridad?

Pues no, a pesar de todo el servidor nunca sabrá que quien se conecta a él es quien dice ser; pero definitivamente es mucho más seguro usar el certificado de seguridad que no usarlo.

Commentarios (2)
  1. [...] El SSL por ejemplo lo único que hace es encriptar con una llave pública lo que tu mandas y el servidor es el único que puede desencriptar, pero entonces sólamente estamos usando la mitad, ¿Cómo sabemos que el servidor realmente es el servidor?, ésto realmente no lo podemos saber, pero lo que se hace para aumentar la seguridad es que se usa un tercero confiable (Autoridad Certificadora) que dice que realmente alguien es quien dice ser, y cómo funciona una ¿autoridad certificadora? lo veremos después en otro post. [...]

Deja un comentario