Lo que sucede cuando nos conectamos con SLL/TLS

En [PDF] SSL/TLS: What’s Under the Hood un documento con bastante información sobre el tema, y con un nivel de detalle interesante.

Secure Sockets Layer (SSL) and Transport Layer Security (TLS) are both
protocols used for the encryption of network data

Anuncios

Un bug en SSL relacionado con los enteros

Tengo un poco abandonado este sitio. No por falta de enlaces guardados (aunque sí de lecturas, que últimamente tengo menos) sino por un cierto estado de (des)ánimo. Aprovecho un rato que tengo ahora para escribir una entrada y (tal vez) programar otras.

En este caso es una de esas que me gustan bastante: un fallo sencillo de ver que afecta a un programa (que, además, es un programa supuestamente seguro): incorrect integer conversions in OpenSSL can result in memory corruption.

El problema tendría que ver con un paso de un entero largo a un entero que en algunos casos podría provocar que en una reducción de espacio de memoria (que era algo que no estaba previsto en las bibliotecas correspondientes) provocara un desbordamiento. Un poco técnico, pero que nos muestra como esas pequeñas inconsistencias no previstas pueden provocarnos un dolor de cabeza.

Sobre certificados digitales y seguridad

Me declaro fan de Una al día de Hispasec. En general no son ni excesivamente técnicos, ni tampoco tan ligeros que no te enteras de nada. En Conversaciones sobre certificados, seguridad y pornografía el tono es bastante didáctico y nos avisa de los problemas que existen con los certificados digitales, incluso para sitios muy importantes, y lo cuidadosos que deberíamos de ser cuando navegamos por la red.

Está claro que el sistema no es el más amigable del mundo, y no es de extrañar que la gente termine mirando hacia otro lado en estas cuestiones.

Los primeros milisegundos de una conexión HTTPs

Todo el mundo tiene claro que el candadito en una conexión web indica que la cosa es ‘segura’ (aunque nadie suele tener claro mucho más). No creo que la mayoría de esa gente vaya a leerlo pero me gustó mucho el enfoque de The First Few Milliseconds of an HTTPS Connection donde va mostrando paso a paso (o casi) los procesos que van sucediendo cuando se establece una conexión de estas. Desde luego, me lo guardo para futura referencia.

La criptografía en las administraciones

El viejo dicho viene a ser: tu seguridad es tan buena como lo más inseguro que tengas (el eslabón más débil será el que haga que se rompa la cadena). En ¿Es segura la criptografía en la administración Española? hacen un análisis de los protocolos (relacionados con SSL).

Lo que no todo el mundo sabe es que SSL como tal, no es un protocolo único, mas bien es una enorme familia de protocolos, empezando por que existen 4 versiones (SSL v1, SSL v2, SSL v3 y TLS) además en cada versión se pueden negociar diferentes algoritmos con sus correspondientes longitudes.

Podriamos decir que el mundo SSL es como el mundo de las hipotecas, existen algoritmos AAA fiables y algoritmos subprime inseguros y poco aconsejables.

Yago Jesús ha probado unos cuantos sitios para ver cuántos de ellos permiten versiones del protocolo con criptografía débil y lo que ha encontrado es que en el mejor de los casos permiten sólo 2 algoritmos inseguros pero en algún caso permiten hasta 15. Es posible descargar un documento con los resultados detallados (OO.org).