Los sistemas criptográficos en la actualidad se dividen en dos campos principales: la criptografía o encriptación simétrica y asimétrica. Ambos tipos de encriptación funcionan de diferentes maneras. Y se trata de una diferenciación que es importante conocer a la hora de implementar este tipo de mecánicas de seguridad en nuestros productos.
Comencemos por el principio:
¿Qué es la encriptación?
La encriptación es el procedimiento de seguridad a través del cual se alteran, mediante algoritmos, los datos que componen un archivo. La intención es hacer que dichos datos se vuelvan ilegibles para terceros que no cuenten con las llaves criptográficas necesarias. Se trata de un recurso muy utilizado para garantizar una transferencia segura de datos o documentos. Aunque no se puede garantizar por completo que no se filtró información sensible en una transacción, podemos evitar que se utilice para perjudicarnos.
Usualmente, la banca y comercios en línea usan la encriptación para evitar el manejo inapropiado de información de sus clientes. Muchos sistemas de mensajería también recurren a esta herramienta para asegurar sus comunicaciones y evitar que se intercepten las conversaciones.
Encriptación Asimétrica
Se basa en una codificación de información basada en dos claves: una privada y una pública. De esta manera, el remitente conserva la clave privada y la pública puede entregarse a cualquier receptor. La Clave privada permite descifrar todos los mensajes cifrados con la clave pública; con la pública solo podemos descifrar los mensajes cifrados con la clave privada original. Abordemos mejor el tema de las claves:
Claves Públicas: La clave pública puede encriptar mensajes que sólo se descifran con la clave privada. Esto significa que nadie con la clave pública puede descifrar ese mensaje. Por esto surge la confidencialidad, ya que solo el receptor, podrá interpretar el mensaje.
Claves Privadas: Con la clave privada podemos cifrar información mientras la persona posea el par de la clave pública. Este proceso no brinda la misma confidencialidad, ya que cualquiera con la clave pública podría leer el mensaje, pero le otorga autenticidad a los mensajes. Esto se debe a que solo el que tiene la clave privada puede cifrar la información de la forma en que solo el que tiene la clave pública la puede descifrar.
Encriptación Simétrica
Encriptación simétrica es más básica que la asimétrica, pero juega un papel importante en una comunicación cliente-servidor a través del protocolo HTTPS. La diferencia en este caso radica en que el cifrado simétrico se basa en una sola clave, tanto para hacer el cifrado como para el descifrado. La autenticidad y la confidencialidad no se logran, es mucho más barato y solo implica compartir la clave entre el remitente y el receptor.
Simétrica vs Asimétrica: Diferencias
Ya establecidas las definiciones de cada una, es hora de hablar de sus diferencias. Los algoritmos de encriptación simétrica utilizan la misma llave para las funciones de encriptación y desencriptación. Los asimétricos emplean una clave para encriptar los datos y otra distinta para desencriptarlos.
Por ejemplo, si le envías a alguien un mensaje por encriptación simétrica, deberás compartir también la clave del cifrado. Así, éste puede desencriptarlo y leerlo. El problema radica en que un hacker, obteniendo la clave, será capaz de acceder a la información.
Por el contrario, si empleamos un esquema asimétrico, encriptas el mensaje con clave pública para que otro pueda desencriptar con su clave privada. Por ende, la encriptación asimétrica ofrece un nivel de seguridad más elevado.
¿Donde entra la Certificación SSL?
Un certificado digital es un archivo informático generado por una entidad de servicios de certificación. Esta entidad asocia datos con una persona o empresa, confirmando así su identidad digital en Internet. De lo que hemos aprendido sobre encriptación, sabemos que hay mecanismos para que se encripten mensaje. Pero no sabemos quiénes otorgan estas certificaciones o qué tan válidas pueden llegar a ser.
Aquí entran las Autoridades de Certificación (O CA, por sus siglas en inglés); entidades responsables de verificar la identidad de quienes lo solicitan. El proceso para solicitar un certificado es simple. La organización que desea verificar su identidad debe generar una Solicitud de Certificado (o CSR) y enviarla a la CA. Una vez que esta información es validada, se genera un certificado basado en esa CSR firmada digitalmente. Luego, este certificado se envía al solicitante.
¿Qué es una CSR?
Una CSR es un bloque de texto que contiene la información de encriptación del solicitante. Detalles como el nombre del dominio, nombre de la organización, la ciudad, el correo electrónico, y la clave pública. Este CSR debe firmarse digitalmente y enviarse a la CA. Entonces la CA encuentra la clave pública con la que descifrar ese mensaje y validar los datos. Al confirmarse la identidad de la organización, reenvían el mismo certificado, pero firmado digitalmente por ellos.
En este punto, debemos entender es que estas CA son entidades en las que nuestros sistemas operativos o incluso aplicaciones confían. Soluciones digitales como Tenable.SC ofrecen su propio sistema de Certificaciones SSL que son completamente válidas y confiables. Además, ofrecen servicios que permiten generar Certificaciones personalizadas y muchas otras facilidades. Se trata de una solución en manejo de vulnerabilidades que brinda capacidades en gestión de cumplimiento. Además, cuenta configuraciones continuas de vulnerabilidades en tiempo real.
Si estás interesado conocer más sobre la compenetración entre SecurityCenter CV y tu certificación SSL, puedes contactarnos. Te ayudaremos con toda la información que requieras, pues ofrecemos las mejores herramientas del mercado. Nuestro equipo está aquí para asesorarte y brindarte un entorno de TI más eficiente.
