Introducción tecnologías web
0 recomendaciones1,020 vistas
Este documento introduce las tecnologías web y la arquitectura cliente-servidor. Explica protocolos como HTTP y HTTPS, tecnologías de clientes y servidores como navegadores, IIS y PHP. También cubre SSL/TLS para cifrado y autenticación, así como firma digital, certificados y el protocolo de mano de obra SSL.
Introducción tecnologías web
- 1. Introducción a las Tecnologías web Autor: Luis Marco Giménez Agencia Tributaria Dpto. Informática Tributaria Madrid 2003 Colaboradores: Javier Álvarez Eloy García Instituto de Salud Carlos III Madrid
- 2. Arquitectura l Arquitectura clásica CLIENTE - SERVIDOR CLIENTES Petición http Respuesta http Petición http (html, pdf, gif, …) INTERNET Respuesta http (html, pdf, gif, …) SERVIDOR
- 3. Protocolos implicados l HTTP sobre TCP/IP (puerto 80) l HTTPS sobre TCP/IP con SSL o TLS (puerto 443)
- 4. Tecnologías Cliente l Navegador Web l Internet Explorer Navegador web l Netscape Navigator l Mozilla l Konqueror l Tecnologías de programación l HTML l JavaScript / JScript l VBScript l Applets Java l Componentes ActiveX en Visual C++, Visual Basic o .NET
- 5. Tecnologías Servidor l Servidor Web l Internet Information Server (IIS) l Apache, Apache - Tomcat l WebSphere webserver l Motores Java, PHP, … l Tecnologías de Programación l PHP l ASP l JSP l Servlets l CGIs (Common Gateway Interface)
- 6. SSL en HTTP seguro l Secure Sockets Layer l Desarrollado por Netscape l Autenticación Servidor y Cliente l Cifrado http simétrico l Actualmente versión 3
- 7. SSL v3 - Cifradores simétricos l 3DES con 168 bits de cifrado y SHA-1 MAC l RC4 con 128 bits de cifrado y MD5 MAC l RC2 con 128 bits de cifrado y MD5 MAC l DES con 56 bits de cifrado y SHA-1 MAC l RC4 con 40 bits de cifrado y MD5 MAC l RC2 con 40 bits de cifrado y MD5 MAC l Sin cifrado y MD5 MAC
- 8. MAC. Integridad de los datos l Message Authentication Code l Funciones hashing (one-way) l Obtienen un resumen (digest) l SHA-1 (Secure Hash Algorithm 1) de 160 bits de U.S. National Institute for Standards and Technology (NIST) l MD5 (Message Digest Algorithm 5) de 128 bits de RSA Data Security, Inc.
- 9. Resumen hash Texto en Función Hashing Función Hashing claro ¡ No se puede ! One way Resumen n bits
- 10. Algoritmos simétricos l Clave única para cifrar y descifrar Clave Simétrica Texto Algoritmo Texto en Algoritmo simétrico cifrado claro simétrico Clave Simétrica
- 11. Algoritmos asimétricos l También llamados de Clave Pública l Asimetría en las claves: l Clave Pública l Clave Privada l Basados en certificados digitales Microsoft Internet Explorer: .pfx Microsoft Internet Explorer: .pfx Netscape Navigator: .p12 Netscape Navigator: .p12 Java: keystore Java: keystore
- 12. Certificados Digitales l Identificación del titular del Certificado l Distintivos del Certificado: Número de Serie, Entidad que lo emitió, fecha de emisión, fecha de caducidad, etc. l Clave Pública l La firma electrónica de la autoridad de certificación que lo emitió l Clave Privada asociada al certificado
- 13. Cifrado asimétrico Usuario A Clavé Pública de B Texto Algoritmo Asimétrico Algoritmo Texto en de cifrado simétrico cifrado claro Clave Privada de B Usuario B
- 14. Firma electrónica Usuario A Texto Clavé Privada de A en Texto claro Algoritmo asimétrico en Algoritmo de Firma claro simétrico Texto Firmado Clave Pública de A Usuario B
- 15. Alicia Bob Clave Privada de Bob Clave Privada de Alicia 1 Clave Simétrica Sobre 6 de Sesión Huella 2 Firma Mensaje Digital Huella (Resumen) Digital (Resumen) Clave Simétrica de Sesión 9 + Mensaje + Encriptado 3 7 + + Mensaje Encriptado Mensaje Encriptado Comparación Sobre Digital Clave Pública Alicia Alicia de Bob 5 Clave Pública de Alicia + 4 8 Bob Sobre Firma Huella Digital Digital (Resumen)
- 16. Protocolo SSL HandShake Generación de clave simétrica de sesión 1. El cliente envía su versión de SSL, algoritmos de cifrado soportados y otra información adicional. 2. El servidor contesta al cliente enviándole su certificado, versión de SSL, algoritmos de cifrado soportados e información generada aleatoriamente y firmada con su clave privada. 3. El cliente verifica la firma generada por el servidor así como la validez de su certificado.
- 17. Protocolo SSL HandShake 4. El cliente genera el secreto maestro a usar para generar en ambas partes la clave de sesión. Este secreto maestro se envía al servidor cifrado con su clave pública. El cliente genera la clave simétrica de sesión. 5. El servidor procede a descifrar el secreto maestro con su clave privada y genera la clave simétrica de sesión. 6. El SSL Handshanke se ha completado y se puede empezar a intercambiar datos cifrados de forma segura: Protocolo SSL Record è Túnel cifrado.
- 18. Qué aporta la seguridad l Autenticación: Certificados digitales l Confidencialidad: Cifrado simétrico / asimétrico l Integridad: MAC l No repudio: Firma electrónica
- 19. Más información l http://www.verisign.com l http://www.netscape.com l http://www.rsasecurity.com l https://aeat.es/yprinqso.html l http://www.cert.fnmt.es/certifi.htm