La situación en el campo de la seguridad de la información cambia constantemente. Los intentos de hackeo son cada vez más atrevidos y complejos. Los intrusos desarrollan métodos de robo elaborados y en varias etapas. En esta situación, mantenerse actualizado con los avances tecnológicos es un paso básico y necesario en la protección de datos digitales. Es por eso que las Autoridades de Certificación siempre están trabajando en el desarrollo de nuevas soluciones y la mejora de las existentes, lo que permite mantener la seguridad de la información en línea al más alto nivel. La criptografía de clave pública y los certificados digitales sirven para proporcionar un nuevo nivel de autenticación, privacidad y seguridad de transmisión de datos personales que no se puede mantener únicamente con frases de contraseña y contraseñas.
Hasta ahora, los principales algoritmos clave, RSA y DSA, han experimentado una amplia aplicación en el campo de la seguridad de Internet. Y después de más de 30 años de éxito, las modernas claves ECDSA (Algoritmo de firma digital de curva elíptica) salen al escenario.
DSA, RSA y ECDSA: mirando hacia atrás
DSA (Algoritmo de firma digital) es un algoritmo para la generación de firmas digitales mediante el par de claves públicas y privadas. La firma se crea de forma secreta pero puede identificarse públicamente. Esto significa que sólo un sujeto puede realmente crear la firma del mensaje utilizando la Clave Privada, pero cualquiera puede verificar su adecuación teniendo una Clave Pública correspondiente. Este algoritmo fue ofrecido por el (NIST) en agosto de 1991 y proclamado junto con la función hash SHA-1 como parte del DSS (Estándar de firma digital) en .
RSA (abreviatura de los apellidos de los científicos , , y ), además de DSA, se ha convertido en el primer criptosistema aplicable para la firma digital y el cifrado de datos, aunque la idea se expuso por primera vez a la luz en . El algoritmo RSA implica tres pasos principales: generación de pares de claves, cifrado y descifrado. Una clave pública se transmite a través de un canal abierto, mientras que la clave privada permanece secreta. Los datos cifrados con la clave privada sólo pueden descifrarse con la clave pública, que está matemáticamente vinculada a una privada. RSA se puede utilizar para determinar el origen de la fuente de datos.
ECDSA (Algoritmo de firma digital de curva elíptica), que se basa en DSA, una parte de la criptografía de curva elíptica, que es solo una ecuación matemática en sí misma. ECDSA es el algoritmo que hace que la criptografía de curva elíptica sea útil para la seguridad. y Victor S. Miller sugirieron de forma independiente el uso de curvas elípticas en criptografía en 1985, y se obtuvo un amplio rendimiento en 2004 y 2005. Se diferencia de DSA por el hecho de que no es aplicable a los números enteros de un campo finito, sino a a ciertos puntos de la curva elíptica para definir el par de claves públicas/privadas.
Certificados ECC: pros y contras
Siendo un estándar de oro con diferencia, el algoritmo de clave RSA es el más utilizado en la seguridad digital. Sin embargo, según la tendencia moderna de utilizar dispositivos móviles y compactos, el “puro rendimiento web” está a la cabeza de todo el negocio. Desde esta perspectiva, el tamaño físico de la llave es una cuestión predominante.
Los algoritmos de claves DSA y RSA requieren un tamaño de clave mayor y podrían derrotarse factorizando un número grande. Cuando se trata de ECDSA, es necesario resolver el problema del logaritmo discreto de curva elíptica (ECDLP) para descifrar la clave, y hasta ahora no ha habido grandes avances para lograrlo. Por lo tanto, el certificado ECC proporciona una mejor solución de seguridad y es más difícil de romper utilizando los métodos habituales de “fuerza bruta” de los piratas informáticos.
El tamaño de clave más corto también se encuentra definitivamente entre las ventajas. En la siguiente tabla comparamos los tamaños de clave RSA y ECDSA para obtener un mejor diseño.
Nivel de seguridad (bits) Longitud de la clave pública RSA (bits) Longitud de la clave pública ECDSA (bits) 80 1024 160 112 2048 224 128 3072 256 192 7680 384 256 15360 512
Como se ve en la tabla, para establecer una conexión de seguridad de 256 bits entre un cliente web y un servidor web se utiliza una clave de 15360 bits en el algoritmo RSA asimétrico estándar, mientras que una curva elíptica requiere una clave de 512 bits. para la conexión equivalente. Cuanto más corta es la llave, más rápido gira. Para cumplir con los crecientes requisitos de solidez criptográfica, el tamaño de las claves y las firmas también crece, al igual que el tiempo dedicado a realizar una operación criptográfica. De la tabla anterior se desprende claramente que la tasa de aumento es mucho más rápida para RSA que para ECC. Lo que principalmente está detrás de todo lo mencionado anteriormente es:
- Menor demanda de CPU;
- Espacio físico que ocupa un certificado SSL ECC;
- Banda ancha;
- El consumo de energía;
- Rendimiento mejorado del servidor al navegador;
Todas las novedades, y los certificados SSL ECC no son una excepción, toman cierto tiempo para implementarse, aceptarse y soportarse a nivel mundial. Con diferencia, algunas versiones antiguas de navegadores web tienen problemas de compatibilidad con los certificados ECC. Cuando se trata de clientes web modernos y actualizados, hay al menos dos curvas dadas por que son compatibles, por ejemplo, el P-256 y el P-384.
A continuación, los navegadores web y los sistemas operativos mostrarán el sitio web con ECC SSL correctamente, una vez que esté encadenado a la raíz.
Soporte para clientes web
Cliente web Versión mínima requerida Mozilla Firefox 2.0 Google Chrome 1.0 en sistema operativo compatible con ECC Microsoft IE 7 en sistema operativo compatible con ECC Apple Safari 4 en sistema operativo compatible con ECC
soporte del sistema operativo
SO Versión mínima requerida Microsoft Windows Windows Vista
Windows 7 y 8 que responden en OS Root Store
y mecanismo de actualización de raíz Apple OS OS X 10.6 Google Android 4.0 Red Hat Enterprise Linux 6.5
Soporte de servidor
Servidor Versión mínima requerida Apache HTTP Server 2.2.26 Nginx 1.1.0 Windows Server 2008 Apache Tomcat 1.1.30 Dovecot 2.2.5 IBM HTTP Server 8.0 con Sun Java System Web Server 7.0
Vale la pena mencionar que la Autoridad de Certificación de Comodo (ahora Sectigo) ha creado certificados raíz ECC que están disponibles en los navegadores web desde 2008. Antes de tomar la decisión de optar por el certificado ECC, es aconsejable saber si es compatible con el servidor web. ambiente también. El soporte de algunas plataformas móviles también requiere más pruebas. Lamentablemente, aún no se dispone de información precisa. Sin embargo, los servidores web Microsoft y Apache más populares permiten la operación del certificado ECC. Una posible solución es instalar certificados SSL con diferentes algoritmos de firma para respaldar las capacidades de los clientes.
Como conclusión, podemos decir que ECC es, de hecho, una mejora en la criptografía moderna que subyace a los certificados SSL. Entre los beneficios obvios se encuentran un mayor rendimiento, estabilidad de ataques y una alternativa viable a los algoritmos criptográficos existentes. Sin embargo, reconociendo el hecho de que el algoritmo RSA está muy extendido hoy en día, predecimos un futuro brillante y fabuloso para la criptografía EC.
Facebook Comments
Disqus