22 sep. 2014

Keyless-SSL: CloudFlare promete una nueva forma de crear conexiones cifradas

La compañía de seguridad CloudFlare está lanzando un nuevo servicio sobre la red Amazon Web Services y orientado a evitar la utilización de claves de cifrado privadas. El servicio denominado SSL Keyless rompe el tradicional Handshake ("apretón de manos") al principio de una sesión TLS, pasando parte de los datos a transmitir hacia el centro de datos de la organización para realizar el cifrado. CloudFlare negocia la sesión con los datos devueltos y actúa como un gateway para sesiones autenticadas, mientras que sigue siendo capaz de eliminar cualquier tipo de tráfico malicioso como ataques denegación de servicio.

El desarrollo de SSL Keyless comenzó aproximadamente hace dos años, en luego de una serie de ataques masivos de denegación de servicio contra instituciones financieras y la respuesta fue cambiar lo que sucede con el protocolo y el Handshake de SSL.

En el Handshake, lo que pasa es que un cliente se conecta al servidor, a partir de un mensaje "Hello". El cliente lista qué versión de TLS y cipher suites reconoce y el servidor -en base a su lista-, toma la más favorable. Con eso, envía el certificado público del sitio al cliente". Los mensajes entre el servidor y el cliente también incluyen un intercambio de números: 4 bytes que se basan en la hora del sistema del cliente y el servidor y 28 bytes generados al azar, todo combinado en un número de 32 bytes junto a un ID de sesión.

El siguiente paso es donde ocurren los cambios de CloudFlare. En este punto, el cliente envía un "pre-master secret", una combinación de los dos números aleatorios compartidos cifrados con la clave pública del servidor. Normalmente, el servidor utiliza los dos números cifrados con la clave privada del servidor y la clave pública del cliente. El servidor y el cliente utilizan los números intercambiados para crear un secreto compartido llamado "Master Secret" para generar las claves de cifrado de la sesión. Los navegadores Chrome y Firefox, además soportan un "session ticket" que es un token que puede almacenarse en ambos extremos para identificar la sesión y realizar una negociación más rápida si la conexión es interrumpida.
Normalmente, esto significaría que el servidor tendría que tener acceso a la clave privada de la organización pero en "Keyless", los números se pasan a una aplicación en el centro de datos de Cloudflare sobre una conexión VPN y así el cliente, servicio de Cloudflare y el servidor de backend tienen la misma clave de sesión.

Una vez finalizado el proceso, el centro de datos CloudFlare es capaz de gestionar la sesión con el cliente, y utilizar la clave de sesión para cifrar el contenido del sitio de la organización.

Fuente: ArsTechnica

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!