Entendimiento de cifrado y capas

Pensar en "capas" puede ser confuso. Las capas provienen del modelo OSI que fue diseñado para otro conjunto de protocolos, antiguos competidores de lo que se convirtió en TCP / IP (el " Protocolo de Internet "que utilizamos hoy en día). Si desea colocar SSL en el modelo de capas, debe tener más o menos que ponerlo en la capa 6 o más, pero también debajo de la capa 4 al mismo tiempo, lo que no funciona. El "modelo de capa" no puede realmente digerir SSL.

Cuando quieres seguridad , cuando hablas con "un servidor", quieres varias cosas:

• Confidencialidad : las personas que pueden espiar los cables no deben poder entender los datos que usted intercambia.
• Integridad : las personas que pueden conectar cables no deben poder alterar los datos mientras transitan.
• Autenticidad : cuando habla con un servidor, debe tener alguna garantía razonable de que está hablando con el servidor original, no con alguna falsificación controlada por un atacante.

SSL es "de extremo a extremo": garantiza estas características independientemente de cómo se transporten físicamente los bytes de datos. Los sistemas de cifrado aplicados en "capas inferiores", por lo general, carecen de este amplio alcance. Por ejemplo, cuando se usa un punto de acceso WiFi, hay algo de cifrado que se produce entre su computadora portátil y el punto de acceso, pero se detiene allí. El punto de acceso en sí mismo, y los enrutadores más allá de ese punto de acceso, verán los datos de texto simple.

Hay protocolos de extremo a extremo que pretenden integrarse con TCP / IP a un nivel inferior (por ejemplo, IPsec ), pero no se utilizan tan ampliamente como SSL para la "navegación habitual" debido a la tradición histórica. De hecho, si desea cierta seguridad entre su navegador web y un servidor web, entonces tanto el navegador como el servidor deben admitir el mismo protocolo relevante y aceptar su uso; En este momento, el único protocolo que "funciona en todas partes" es SSL (es por eso que las personas se concentran en el soporte de SSL, es por eso que SSL funciona en todas partes, por lo que las personas se concentran en el soporte de SSL, que ...).

No sé qué quiere decir con "capa de Internet". Supongo que se refiere a la capa de red.

Su pregunta se basa en el cifrado que se implementa más abajo en la pila: este es un escenario posible pero muy inusual.

El cifrado de la capa de red es opcional. IPSec es un ejemplo de esto que puede proporcionar cifrado de extremo a extremo. El cifrado de wifi solo cubre el salto OTA, no los saltos posteriores.

Otra consideración es que no todo el cifrado se basa en el mismo modelo de confianza: SSL fue diseñado específicamente para verificar el lado del servidor y, opcionalmente, el lado del cliente, y para admitir la autenticación basada en un pequeño número de autoridades (es decir, los clientes no (no es necesario configurar previamente las claves para cada servidor), pero esto tiene un costo que no sería práctico para todos los tipos de intercambio de datos de Internet (es bastante difícil usar SSL con UDP e ICMP).

Debido a la encapsulación, solo puede cifrar desde su capa 'arriba'. Es decir, si está en SSL (capa 5), puede cifrar las capas 5-6-7.

IPsec es un protocolo de capa 3, con el método ESP podemos cifrar todo el paquete IP (aunque no es el encabezado IP, debe poder ver esto para reenviar el paquete). Esto cifraría las capas 3-4-5-6-7.

Los sitios que no usan SSL se consideran inseguros porque no todos los clientes utilizan IPsec de forma predeterminada. Podemos considerar una aplicación web típica como en la capa de aplicación (lol).

Para rastrear todo el tráfico hacia / desde un host, debes ser un atacante en la ruta (Man in the middle). Esto se puede realizar de varias maneras, como el envenenamiento ARP.

Es inseguro iniciar sesión sin SSL en una red pública porque cualquier persona que se encuentre dentro de esa red (no fuera de ella) podrá ver lo que está enviando. El cifrado de nivel 2 solo evita que los usuarios fuera de la red puedan detectar sus paquetes.