viernes, 7 de octubre de 2011

IPv6 la muerte del SSL

Cada vez vemos muchas empresas moviendo su seguridad a encripción a nivel aplicación ya que no pueden hacer mucho por proteger la capa de transporte de información sensible que viaja por ahí.
IPv6 dará muerte a la aplicación de SSL.

El problema de SSL es que ya tiene muchos bugs y ya es tan común que cualquier aplicación hecha por cualquier n00b es capaz de poder emular un certificado y nuestros navegaderos no son muy eficientes en la detección de phishing y páginas clonadas con malware.

IPv6 ofrece soporte de encripción desde el propio protocolo de seguridad. Esta es una de las ventajas más evidentes que tiene en relación a la versión 4 en dónde la encripción era posible a nivel aplicación. Aunque pues tenemos la opción de utilizar IPSEC dentro de la versión 4. Pero bueno esto en la nueva versión ya va a ser muy sencillo de implementar.

IPv6 requiere de manera obligatoria el uso de IPSEC (con todo el código de criptografía asociado para realizar su trabajo) no es solo una add-on. Es un requerimiento.
Es evidente que IPv6 no va a resolver todos los problemas que se tienen actualmente en el mundo tan complejo de la industria de la seguridad de internet, pero si es una gran herramienta que nos va a permitir sin duda quitar muchos de los problemas actuales y elevar más la seguridad desde la base de la plataforma.

Para que este tenga la capacida de matar a SSL es importante que tenga 2 características principales:
1.- Necesita ser tan efectivo como SSL ó mejor.
2.- Necesita ser utilizado por una gran cantidad de personas para tener soporte.
IPv6 va a darnos todo eso. Cuando IPv6 finalmente se vuelva una norma de la industria, IPSEC va a ser más utilizado de lo que alguna vez fue SSL. De igual manera va a facilitar mucho las cosas para los desarrolladores. La criptografía es un tema complejo. Los desarrolladores cometen muchos errores implementado funciones de criptografía todos los dias. El tener mejorado el protocolo en cuanto a la seguridad e implementar la criptografía dentro de la capa de red será algo bueno sin duda.
IPsec permite a la aplicación el hacer llamadas para la autenticación de una manera separada a la encripción para lugares en donde esta puede ser muy costosa ó compleja de implementar. Esto es, AH headers pueden brindar integridad y autenticación del usuario final sin causar overhead en los procesos de encriptación.
Para la mayoría de las máquinas, La idea de Intel de implementar el procesamiento criptográfico de AES dentro del CPU podría aliviar mucho los costos de tiempo de procesamiento de encripción.

La nueva privacidad extendida de IPv6 direcciones generadas CGA (Cryptographycally generated addresses):
1.- Mantener la Privacidad.
2.- Dar más herramientas a los administradores de sistemas para controlar y tener logs.

Dentro de los RFC que están utilizados para la seguridad de IPv6 están:
1.- Authentication Header (AH) RFC4302
2.- Encapsulating Security Payload (ESP) RFC4303

ESP brinda:
1.- Integridad.
2.- Autenticación del origen de los datos.
3.- Anti-Replay
4.- Confidencialidad.

En fin SSL va a ser algo que no tiene mucho sentido en no mucho tiempo. Así que no se preocupen por ver tantos hackeos a sitios encargados de los SSL. Ya que la industria sabe que cuando IPv6 sea el standart la gente tendrá que volver a invertir en hardware certificado y ya no se necesitará tanto el checar certificados ya que tendremos la seguridad dentro de la capa de transporte.





No hay comentarios: