IPv6 la muerte del SSL
Cada vez vemos muchas empresas moviendo su seguridad a encripción a nivel aplicación ya que no pueden hacer mucho por proteger la capa de transporte de información sensible que viaja por ahí.
IPv6 dará muerte a la aplicación de SSL. El problema de SSL es que ya tiene muchos bugs y ya es tan común que cualquier aplicación hecha por cualquier n00b es capaz de poder emular un certificado y nuestros navegaderos no son muy eficientes en la detección de phishing y páginas clonadas con malware.
IPv6 ofrece soporte de encripción desde el propio protocolo de seguridad. Esta es una de las ventajas más evidentes que tiene en relación a la versión 4 en dónde la encripción era posible a nivel aplicación. Aunque pues tenemos la opción de utilizar IPSEC dentro de la versión 4. Pero bueno esto en la nueva versión ya va a ser muy sencillo de implementar.
IPv6 requiere de manera obligatoria el uso de IPSEC ( con todo el código de criptografía asociado para realizar su trabajo) no es solo una add-on. Es un requerimiento.
Es evidente que IPv6 no va a resolver todos los problemas que se tienen actualmente en el mundo tan complejo de la industria de la seguridad de internet, pero si es una gran herramienta que nos va a permitir sin duda quitar muchos de los problemas actuales y elevar más la seguridad desde la base de la plataforma.
Para que este tenga la capacida de matar a SSL es importante que tenga 2 características principales:
IPsec permite a la aplicación el hacer llamadas para la autenticación de una manera separada a la encripción para lugares en donde esta puede ser muy costosa ó compleja de implementar. Esto es, AH headers pueden brindar integridad y autenticación del usuario final sin causar overhead en los procesos de encriptación.
Para la mayoría de las máquinas, La idea de Intel de implementar el procesamiento criptográfico de AES dentro del CPU podría aliviar mucho los costos de tiempo de procesamiento de encripción.
La nueva privacidad extendida de IPv6 direcciones generadas CGA (Cryptographycally generated addresses):
Fuente: Organización Mexicana de Hackers Éticos
IPv6 dará muerte a la aplicación de SSL. El problema de SSL es que ya tiene muchos bugs y ya es tan común que cualquier aplicación hecha por cualquier n00b es capaz de poder emular un certificado y nuestros navegaderos no son muy eficientes en la detección de phishing y páginas clonadas con malware.
IPv6 ofrece soporte de encripción desde el propio protocolo de seguridad. Esta es una de las ventajas más evidentes que tiene en relación a la versión 4 en dónde la encripción era posible a nivel aplicación. Aunque pues tenemos la opción de utilizar IPSEC dentro de la versión 4. Pero bueno esto en la nueva versión ya va a ser muy sencillo de implementar.
IPv6 requiere de manera obligatoria el uso de IPSEC ( con todo el código de criptografía asociado para realizar su trabajo) no es solo una add-on. Es un requerimiento.
Es evidente que IPv6 no va a resolver todos los problemas que se tienen actualmente en el mundo tan complejo de la industria de la seguridad de internet, pero si es una gran herramienta que nos va a permitir sin duda quitar muchos de los problemas actuales y elevar más la seguridad desde la base de la plataforma.
Para que este tenga la capacida de matar a SSL es importante que tenga 2 características principales:
- Necesita ser tan efectivo como SSL ó mejor.
- Necesita ser utilizado por una gran cantidad de personas para tener soporte.
IPsec permite a la aplicación el hacer llamadas para la autenticación de una manera separada a la encripción para lugares en donde esta puede ser muy costosa ó compleja de implementar. Esto es, AH headers pueden brindar integridad y autenticación del usuario final sin causar overhead en los procesos de encriptación.
Para la mayoría de las máquinas, La idea de Intel de implementar el procesamiento criptográfico de AES dentro del CPU podría aliviar mucho los costos de tiempo de procesamiento de encripción.
La nueva privacidad extendida de IPv6 direcciones generadas CGA (Cryptographycally generated addresses):
- Mantener la Privacidad.
- Dar más herramientas a los administradores de sistemas para controlar y tener logs.
- Authentication Header (AH) RFC4302
- Encapsulating Security Payload (ESP) RFC4303
- 1.- Integridad
- 2.- Autenticación del origen de los datos
- 3.- Anti-Replay
- 4.- Confidencialidad
Fuente: Organización Mexicana de Hackers Éticos
ESte gente, una observación: "IPv6 requiere de manera obligatoria el uso de IPSEC ( con todo el código de criptografía asociado para realizar su trabajo) no es solo una add-on. Es un requerimiento." <-- Es un error letal esa afirmación, IPsec quedo com osugerencia mas no como requerimiento (Al menos asi quedo hace 5 años, igual y me estoy quemando), consulten el articulo Questioning IPv6 Security
ResponderBorrarDeNardis, Laura
Business Communications Review; Jul 2006; 36, 7; ProQuest Telecommunications
pg. 51
El artículo en cuestión tiene tantos errores, que las correcciones llevarían mas tiempo y espacio que el artículo original.
ResponderBorrarPor lo pronto, recomiendo la siguiente "lectura": http://www.si6networks.com/presentations/ariu2011/fgont-ariu2011-seguridad-ipv6.pdf
Gracias por las sugerencias. Harian bien de enviarlo al grupo desarrollador del art. original.
ResponderBorrarCristian