B4-T8_HTTP-SSL/TLS

Question 1

¿Cómo se denominan dentro de internet a las grandes redes con cobertura internacional?

Answer 1

tier-1

Question 2

¿Qué identificación tiene que tener toda RED de un ISP, sea del nivel que sea, dentro de internet?

Answer 2

Un numero de sistema autónomo (AS).
Los asigna la IANA/RIR.

Question 3

¿Cuáles son los 2 organismos reguladores principales de internet?

Answer 3

*IANA/ICANN => RIR (RIPE: EUROPA)

*IETF => RFC

Question 4

¿Qué es una Red de Distribución de Contenido (CDN)?

Answer 4

Cuando una empresa tiene saturados sus servidores y necesita mayor ancho de banda, contrata una CDN.

Que es una red paralela o superpuesta a la de la empresa de servidores donde se copian los datos de los servidores de la empresa maximizando el ancho de banda.

AKAMAI y CLOUDFARE son las más conocidas.

Question 5

¿Cuál es la diferencia entre HTTP 1.1 y HTTP 2?

Answer 5

Que HTTP/2 ya no es modo CARÁCTER, sino BINARIO, por lo cual, es + optimizado.

NOTA: al ser binario, tiene una trama (frame).

Question 6

¿Cómo se suele denominar al tráfico (con coste) entre una red de tier-2 y una de tier-1?

Answer 6

Tránsito o acuerdos de tránsito (tráfico vertical, hacia arriba)

Question 7

Para que los ISP usen lo menos posible el tráfico de tránsito (coste) hacia redes de niveles superiores en internet, ¿qué solución se ha diseñado?

Answer 7

Se les denomina acuerdos de peering. Pueden ser:
* privados (entre iguales => free)
* públicos (se realiza a través de un IXP o punto de acceso neutro => gastos comunes de mantenimiento)

Question 8

¿Qué es un nodo IXP?

Answer 8

Es una estructura física (mini CPD) a través de la cual los proveedores de internet (ISP) intercambian el tráfico de internet entre sus redes, para evitar acuerdos de TRÁNSITO (cuestan dinero)=> reduce la porción de tráfico de un ISP que debe ser entregado hacia su proveedor -> lo que reduce el coste promedio por bit de entrega de su servicio.

*VENTAJA: reduce coste (sólo mantenimiento), latencia y ancho de banda => aumentando la velocidad.
Ej: es donde se conectan las plataformas tipo NETFLIX.

NOTA: IXP, tiene mucha tecnológica de fibra a nivel de “switching” (capa 2: ENLACE).

Question 9

¿En qué se diferencian un CPD de un IXP?

Answer 9

El CPD (Centro de Proceso de Datos) es un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento informático y servidores. Y, puede alojar algún IXP que no vaya independiente.

En cambio, el IXP (punto de intercambio de Internet) es una infraestructura física a través de la cual diferentes ISP conectan sus redes por medio de SWITCH (Nivel 2: enlace).

Question 10

Nombre 3 organizaciones españoles que gestionen IXP:

Answer 10

*CATNIX
*DE-CIX
*ESPANIX (sin animo de lucro): es el + importante de España y el 2º de Europa.

Question 11

¿Qué relación hay entre una URL y una URI?

Answer 11

Que la URL es un tipo de URI en la que la primera parte (esquema) puede ser:
* http / https
* file
* mailto
* ftp
* news
* etc.

Question 12

¿Cómo se clasifican los protocolos de enrutamiento en internet?

Answer 12

*Interiores => IGP: protocolos usados DENTRO de un AS: RIP, OSPF y EIGRP.

*Exteriores => EGP: protocolos usados ENTRE sistemas autónomos (AS): BGP es el + conocido.

Question 13

¿En qué 3 grandes redes se divide la arquitectura de internet?

Answer 13

*TIER-1: BlackBone (columna vertebral) o CARRIER (transportadora de internet)=> para intercambio de tráfico masivo de ámbito MUNDIAL: para formar parte de las T-1 existen varios requisitos, como x ejemplo el alcance mundial.

*TIER-2: paises o ciertas zonas geográficas.

*TIER-3: ISP => proveen internet al usuario final.

Question 14

¿Qué tipos de acuerdos existen para el tráfico de internet?

Answer 14

1.CON COSTE: acuerdos de TRÁNSITO, se dan a nivel vertical.

2.SIN COSTE:
2.1.Peering PRIVADOS: entre iguales => redes T-1 entre sí, no lleva cargo económico porque no tienen que acceder a una red superior que los una.
2.2.Peering PÚBLICOS: IXP => evitan tráfico de Tránsito y comunican cualquier TIER. Su único coste es de mantenimiento en función del ancho de banda del enlace que adquieran (es donde se enganchan los CDN)

Question 15

¿Qué verbos HTTP son SEGUROS e INDEMPOTENTES?

Answer 15

*GET: es para CONSULTA=> es decir, si hago un “get” de una imagen me devuelve la imagen (recurso) sin modificación.

*HEAD: no obtiene el recurso, sino las CABECERAS de ese recurso pesado.

*OPTION: para preguntar que métodos SOPORTA la URL antes de ejecutar dichos métodos. Ej: saber si se le puede hacer un GET o un POST antes de hacerlo.

*TRACE (=rastro): te devuelve el MISMO valor mandado con “Trace”.

MNEMOTECNIA: GHOT

Question 16

¿El protocolo HTTP mantiene estado entre peticiones?

Answer 16

No, es STATLESS, es decir no tiene memoria para las distintas peticiones => cada petición es el estado incial, NO hay una que se distinga de la anterior (las cookies de sesión son un invento para paliar este hecho)

Question 17

¿Qué verbos de HTTP no son idempotentes?

Answer 17

*POST: envía datos a una URL y lo que haga con dichos datos no lo sabemos => no podemos inferir en el comportamiento de una URL que invoque POST.

*PATCH: modificaciones “parciales” de un recurso (Ej: dar de alta la factura nº 1) si no existe la creará y si existe la actualiza.

*CONNECT: Para establecer un túnel a través de un proxy.

Question 18

¿Qué tipos de verbos se utilizan en HTTP?

Answer 18

*SEGUROS: son READ-ONLY = no modifican el recurso: GET, HEAD, OPTION y TRACE => los verbos o métodos SEGUROS también son INDEMPOTENTES.

*INDEMPOTENTES: cuando ejecutas el verbo el efecto siempre es el mismo: son los verbos SEGUROS, más DELETE (borrar recurso) y PUT (poner recurso en una URL: crea o reemplaza).

*NO IDEMPOTENTES: NO repiten resultados: POST, PATH y CONNECT.

Question 19

¿Qué es una URI (Identificador de Recurso Uniforme)?

Answer 19

Es un esquema o formato de cadena formado por un esquema URL (HTTP/HTTPS, File, Mailto, …) y el otro trozo de la cadena URN.

1.La URL (Localizador de Recurso Uniforme): son para LOCALIZAR, tipo FS (empiezan por http://, https://, mailto,..)

2. La URN (Nombre Uniforme de Recurso) para IDENTIFICAR los recursos (empieza por “urn”).
   Ej: urn: isbn:44-abc-126: identifica a un libro por su ISBN (identificador de titulo)

Question 20

¿Cuál es el funcionamiento básico de HTTP?

Answer 20

Cuando hacemos una petición HTTP, nuestro navegador manda al servidor web (que es la entidad que va a responder a nuestra petición) unas cabeceras con el formato: un verbo + /url + versión del protocolo que estemos usando (HTTP 1.1) y una linea en blanco (donde iría el cuerpo si lo hubiera).

FORMATO de las CABECERAS HTTP: User Agent &raquo_space;—–ENVÍA—–> HTTP Server (Verbo+URL+versión HTTP+linea en blanco o cuerpo).

NOTA: en estas cabeceras se indica el destino, lenguaje que se acepta, codificación que se acepta, formato de imágenes que se acepta, body, …
EJEMPLOS:
Host:www.Madrid.es
Accept: image/gif
Accpet: Enconding: gzip
[linea en blanco para body]

NOTA2: el servidor responde con otra cabecera con sus requisitos e intentan llegar a un acuerdo.

*Cabecera REQUEST (petición) y cabecera RESPONSE (respuesta).

Question 21

¿Qué son las extensiones de WebDAV?

Answer 21

Un conjunto de verbos HTTP nuevos para “tratar” el espacio de url’s como si fuera un sistema ficheros (algo así como un FTP).

*MKCOL: crear directorios.
*MOVE: mover un recurso de una URI a otra.
*COPY
*SEARCH
*UNLOCK

Question 22

¿Qué quiere decir que el protocolo HTTP 1.1 sea orientado a carácter?

Answer 22

Que lo que transmite son mensajes de caracteres o texto que viajan por internet, es decir NO hay PDU ni trama alguna.

NOTA: mismo funcionamiento que POP, FTP y SMTP.

Question 23

¿En qué se diferencian FTP y SMTP?

Answer 23

Con FTP el usuario puede enviar y recibir archivos desde y hacia el ordenador, mientras que SMTP se utiliza para entregar el correo al buzón de correo del usuario configurado en el servidor de correo electrónico.

Question 24

¿Qué significa en una petición HTTP la cabecera Connection: keep-alive?

Answer 24

No queremos que se cierre la conexión TCP subyacente (optimización)

Question 25

¿Para qué sirve la cabecera Accept-Encoding en una petición HTTP?

Answer 25

Para decirle al servidor que aceptamos que nos envíe la información comprimida con gzip por ej.

Question 26

¿Para qué sirve la cabecera LOCATION en una respuesta (RESPONSE) HTTP?

Answer 26

Para informarle al navegador que haga una redirección a una nueva URL.

EJEMPLO1:
Si pedimos un recurso que estuviera en otra URl.
EJEMPLO2:
cuando una página nos pide una calve, nos redirecciona a la página para introducir la clave y luego vuelve a la original.

SINTAXIS DE ESTA CABECERA QUE NOS ENVÍA EL SERVIDOR:
Location: url

Question 27

¿Para qué sirve la cabecera WWW-Authenticate: Basic en una respuesta HTTP?

Answer 27

Para decirle al navegador que para acceder a ese recurso necesita credenciales.

Este mostrará una ventana automáticamente al usuario para que introduzca el usuario y la contraseña.

Question 28

¿Con que cabecera el servidor le envía una cookie al navegador para que la registre?

Answer 28

Set-Cookie

Question 29

¿Cuál es la cabecera que el servidor envía al navegador indicándole desde que dominios permite peticiones cruzadas (política CORS)?

Answer 29

Access-Control-Allow-Origin: * (todos los dominios)

NOTA: al permitir las peticiones desde cualquier servidor se eliminaría la política CORS => ya que esta POLÍTICA DE SEGURIDAD sirve para controlar que cuando descarguemos un determinado código JS no se pueda conectar con otro servidor, por medio de estas cabeceras que sirven para preguntar si podemos o no hacer peticiones CRUZADAS.

Question 30

Explica el funcionamiento de la POLÍTICA de SEGURIDAD “CORS”?

Answer 30

El recurso que no es ORIGEN pregunta a este con el método OPTION si puedo o no hacer ciertas cosas sobre él (si se puede hacer GET, DELETE, POST, …). Si el Origen responde con un “*” permitiría TODO tipo de peticiones cruzadas.

EJEMPLO CON MÉTODO “GET”:
1º PETICIÓN => Acces - Control - Request-Method: GET

2º RESPONSE => Acces-Control_Allow-Origin: *

->quiere decir que cualquiera puede usar el método GET. Es decir, con el “*” (donde deberían de ir los servidores aceptados) no se filtra NADA con CORS.

Question 31

¿Cuáles son las 4 cabeceras que componen las políticas de seguridad de HTTP?

Answer 31

1ª AUTORIZATION: con la palabra reservada BASIC o JWT.

2ª CORS: nos protege de otros dominios (páginas) de el que le estamos haciendo la petición => el navegador cortaría las petición NO aceptadas.
a) ACCES-CONTROL-REQUEST-METHOD: ???
b) ACCES-CONTRO-ALLOW-ORIGIN: ???

3ª Técnica HSTS (HTTP Strict Transport Security): (forzar canal HTTPS) permite a un sitio web indicar a los navegadores que sólo se debe comunicar con HTTPS.

4ª Técnica CSP (Content Security Policy = política de seguridad del contenido): RESTRINGIR desde que FUENTE (“self” = uno mismo, se refiere al propio sevidor) se pueden descargar ciertos recursos: imágenes, script, csds, ….

*CSP ES LA TÉCNICA QUE + PROTEGE ANTE ATAQUES DE TERCEROS.

Question 32

¿Pará que sirve la herramienta JWT (JSON Web Token)?

Answer 32

Basada en JSON para crear un token que sirva para enviar datos entre aplicaciones y garantizar que sean válidos y seguros.

Question 33

¿Cuál es la técnica o política de seguridad HTTP que + protege ante ataques de terceros?

Answer 33

CSP: La cabecera se llama:

“Content-Security-Policy”: script-src; style-src; image-src

El servidor te indica de que FUENTES debes descargar esas directivas-src indicadas en la cabecera separadas por “;” al navegador.

DIRECTIVE EXAMPLE
script-src script-src’self’ js.example.com;
style-src style-src’self’ css.example.com;
image-src image-src’self’ img.example.com;

=> NO dejar entrar ningún recurso que NO venga de esas FUENTES DE CONFIANZA.

*Con ‘self’ nos referimos al servidor.

Question 34

¿Con que cabecera de respuesta provocamos que el navegador nos de la opción de guardar un determinado recurso como adjunto?

Answer 34

Content-Disposition: attachment; filename=informe.pdf

*Con esta cabecera (RESPONSE) el servidor nos informa de que nos envía un adjunto.

Question 35

¿Con que cabecera de petición (REQUEST) le decimos al servidor que solo queremos que nos devuelva unos determinados bytes del recurso solicitado?

Answer 35

Range: bytes=500-720

EJEMPLO: cuando solicitemos un video pesado, podemos pedir al servidor que nos envíe en ciertas partes y no tener que descargarlo todo de una vez.

Question 36

Si un mismo servidor web (ej. Apache) está sirviendo páginas de 4 dominios distintos, ¿cuándo le hacen una petición HTTP como sabe de qué dominio se trata?

Answer 36

Cabecera => Host: www.?????.es

Question 37

Si al hacer una petición a un recurso nos devuelven un código 301, ¿qué quiere decir?

Answer 37

Que el recurso se ha movido de localización (de forma permanente)

Question 38

¿Qué indicamos con las cabeceras “contents” de la petición (REQUEST)?

Answer 38

Se refieren al body:

*Content-Type: texto plano, JSON, …=> informa del tipo de contenido del body que le enviamos.

*Content-Lenght: tamaño del body

Question 39

Enumera algunas de las cabeceras que envía nuestro navegador (REQUEST/petición) cuando entramos en una página web:

Answer 39

*Cache-Control: no-cache => controla lo que es o no cacheable (que se almacena en cache para recuperarlo mas tarde)

*Accept: text/html => le decimos al servidor que tipos MIME aceptamos.

*Accept-Charset: utf-8 => le decimos el conjunto de caracteres que soporta nuestro navegador.

Question 40

¿En qué 5 grupos están organizadas las RESPUESTAS del protocolo HTTP?

Answer 40

*Informativos: son los códigos “100” => NO SE USAN.

*Éxito: los “200” indican que la petición ha ido bien.

*Redirecciones: los “300”

*Problemas con la solicitud (mal realizada): son los “400”.

*Error: los 500 indican error o problema al procesar la solicitud en el servidor => dada una petición del cliente buena se produce algún fallo en el servidor, es decir, es un ERROR DE SERVIDOR.

NMEMOTECNIA: I-E-R-P-E

Question 41

Expón algunos de los códigos “200” de respuesta HTTP:

Answer 41

*Éxito: los “200” indican que la petición ha ido bien.

 200: OK típico
 201: CREATED => se ha creado un nuevo recurso
 202: ACCEPTED => para peticiones ASÍNCRONAS, pues indica que ha recibido tú petición. pero NO la tiene procesada.

Question 42

Expón algunos de los códigos “300” de respuesta HTTP:

Answer 42

*Redirecciones:
301: se ha movido de forma permanente.
302: se ha movido de forma temporal.
304: indica que no se ha modificado desde la última petición (request) => así sabríamos que si no se ha modificado tendríamos la última versión disponible en la cache almacenada.

Question 43

Expón algunos de los códigos “400” de respuesta HTTP:

Answer 43

*Problemas con la solicitud (mal realizada): son los “400”.
400: BAD REQUEST (petición mal construida a nivel HTTP)
401: NO AUTORIZADO / REQUIRE ATORIZ. DEL CLIENTE: no estas autorizado, pero te pide autorización sacando la ventana para ello => pero si introduces “usuario” y “contraseña” que no tengan acceso TE DARÁ EL ERROR 403.
403: PROHIBIDO => no tienes permiso o no te conoce.
404: NOT FOUND => cuando pides un recurso “url” que NO EXISTE.
405: MÉTODO NO PERMITIDO => es dcir, has hecho un GET sobre un recurso que no se podía.
413: REQUEST MUY GRANDE => es decir, enviamos demasiada información, por ejemplo al adjuntar un fichero, y sobrepasamos el límite estipulado en el servidor web.

Question 44

Si al hacer una petición a un recurso nos devuelven un código 304, ¿qué quiere decir?

Answer 44

Que el recurso no se ha modificado desde la última petición (para eso el cliente tiene que configurar una cabecera llamada If-Modified-Since)

Question 45

Expón algunos de los códigos “500” de respuesta HTTP:

Answer 45

*Error: los 500 indican error o problema al procesar la solicitud en el servidor => dada una petición del cliente buena se produce algún fallo en el servidor, es decir, es un ERROR DE SERVIDOR.
500: INTERNAR SERVER ERROR (genérico)
501: NO IMPLEMENTADO => cuando el servidor no reconoce el método de solicitud y no es capaz de soportarlo.
502: BAD GATEWAY => cuando hay una determinada redireccion que no funciona en una pasarela.
503: SERVICIO NO DISPONIBLE => en ese momento el servidor web no es capaz de generar una respuesta.

Question 46

¿Qué relación tienen las respuestas 401 y 403?

Answer 46

Que el código 401 te indica que no estas autorizado y te saca una ventana para ello, pues si las credenciales que introduces tampoco las conoce te mostraría el 403 (PROHIBIDO)

Question 47

¿Qué diferencia hay entre un código HTTP 401 (No autorizado) y el 403 (Forbiden)?

Answer 47

Con el 401 el servidor nos está indicando realmente que nos autentiquemos y el 403 es cuando las credenciales que le presentamos no son correctas.

Question 48

Nombre 5 mejoras del protocolo HTTP/2 basado en SPDY (Google):

Answer 48

• Binario (cuando HTTP 1.1 era de caracter) => frame (unidad miníma de intercambio): las imágenes JS pueden ir cada una en un FRAME.
• Un sola conexion TCP
• Multiplexacion => genera una sóla respuesta sobre varias REQUEST (JS, img, CSS)
• Priorización de flujos: se pueden priorizar los flujos
• Compresion Headers: las cabeceras se comprimen.
• SERVER PUSH: enviar información unilateralmente desde el servidor al cliente.

Question 49

¿HTTP/2 requiere TLS como su antecesor HTTP 1.1?

Answer 49

No, porque de manera nativa HTTP/2 ya tiene incorporadas las opciones de seguridad.

Question 50

Una de las mejoras con HTTP/2 es la opción SERVER PUSH, ¿tiene HTTP 1.1 algo parecido?

Answer 50

Si, SSE (Server Send Event) y Web Socket.

Son tecnologías para desde el servidor, de forma unilateral, poder enviar información a los clientes, es decir, sin que hubiera habido petición (REQUEST) previa por parte del cliente.

Question 51

¿A qué nos referimos con un SNIFFER?

Answer 51

Herramienta para supervisar tú tráfico en internet en tiempo real (todo el tráfico que entra y sale = peticiones(REQUEST) / respuestas (RESPONSIVE))

Ej: WIRESHARK, TCPDUMP, WINDUMP…

*TIENE UN MAL USO => quizás se trate de una de las técnicas + sigilosas de HACKEO, pero se puede combatir con: ANTIVIRUS, VPN o NO usando WIFIs públicos ni medios sin cifrar (ni mensajes ni sitios web).

Question 52

¿Que es o era SPDY?

Answer 52

Protocolo obsoleto de nivel de SESIÓN (OSI), complementario al protocolo HTTP y que funcionaba sobre TCP/IP.

SPDY es un protocolo de red de Google Chrome. SPDY fue creado para ayudar a fortalecer la seguridad de las páginas web habilitadas para HTTP.

Question 53

Explica, con tus palabras, la filosofía de HTTP/2 con respecto a HTTP 1.1:

Answer 53

Ahora lo que se envía entre cliente y servidor se llaman “FLUJOS” (STREAM). Y estos streams se dividen en “FRAMES” (marcos).
En el campo STREAM IDENTIFIER se indica de que flujo (stream) es este FRAME.
Las cabeceras se pueden enviar en FRAMES diferentes (no va todo junto como en HTTP 1.1) y se pueden mezclar los FRAMES de un “stream” con el de otro para aprovechar el canal => esta optimización de ancho de banda se llama MULTIPLEXACIÓN.

Question 54

Menciona algunos tipos de FRAMES utilizados en HTTP/2:

Answer 54

DATA (para enviar el recurso en sí), HEADERS (para mandar sólo las cabeceras del recurso), PRIORITY, PROMISE, …

Question 55

¿Qué es el protocolo TLS y que tiene que ver con HTTP 1.1 y HTTP /2?

Answer 55

HTTP 1.1 no lo tenía incorporado y HTTP /2 sí.

(Transport Layer Security=Seguridad de la capa de transporte) Es el protocolo SUCESOR a SSL. Es una versión mejorada y funciona de modo parecido utilizando cifrado que protege la transferencia de datos e información.

Question 56

¿Cuál es el gran cambio que ha introducido HTTP /3?

Answer 56

El protocolo QUIC (Quick UDP Internet Connections = Conexiones UDP rápidas en Internet)

Desarrollado por GOOGLE y lo derivaron del protocolo SPDY de HTTP /2.

QUIC es un protocolo de la capa de transporte, que soporta un conjunto de conexiones multiplexadas entre 2 extremos sobre UDP (User Data Protocol) y provee seguridad equivalente a TLS/SSL, además de una reducida latencia y estimación del ancho de banda de cada dirección para evitar la congestión.

Mejora el rendimiento de las condiciones TCP (protocolo que usaba SPDY).

Question 57

¿Qué desventaja fundamental tienen los algoritmos de cifrado asimétricos?

Answer 57

Son lentos, ya que usa 2 claves (PÚBLICA y PRIVADA => lo que se hace con una se deshace con la otra), a diferencia del ALGORITMO SIMÉTRICO, que solo usa una clave para cifrar y descifrar.

Question 58

¿Qué desventaja fundamental tienen los algoritmos de cifrado simétricos?

Answer 58

La de usar la misma clave para cifrar y descifrar el problema es la distribución entre emisores y receptores de esa clave

Question 59

¿En qué consiste la firma digital de un documento?

Answer 59

• Calcular el hash del documento
• Cifrar con la clave privada del emisor la información obtenida en el paso anterior

Question 60

¿Qué es SHA-2?

Answer 60

Una conjunto de funciones hash (SHA-224, SHA-256, SHA-384, SHA-512)

Question 61

¿Cuál es el tamaño de la salida de una función hash SHA-1?

Answer 61

160 bits

Question 62

¿Qué diferencia hay entre una función MAC y MIC ?

Answer 62

• MIC solo necesita un parámetro de entrada (el documento o residuo).
• MAC (ej HMAC) necesita dos parámetros (residuo o documento y una clave).

Algunos algoritmos basados en funciones HASH que usan para verificar el documento original con el residuo: SHA-1, SHA-2, SHA-3 y MD5.

Question 63

Nombre 4 algoritmos de criptografía asimétrica:

Answer 63

• RSA (permite enviar mensajes cifrados sin tener que intercambiar una clave privada y es el más utilizado para este fin)
• DSA ((Digital Signature Algorithm=Algoritmo de Firma digital) sirve para firmar (autenticar), pero no para cifrar información. Una desventaja de este algoritmo es que requiere mucho más tiempo de cómputo que RSA.
• EC (Curva Elíptica) es una variante de la criptografía asimétrica basada en las matemáticas de las curvas elípticas.
• DH (Diffie Hellman es el primer protocolo asimétrico de intercambio de claves) intercambia claves simétricas codificandolas.

Question 64

¿Qué tipo de algoritmo es AES?

Answer 64

SIMÉTRICO.

(Advanced Encryption Standard) Sustituye al DES.

El cifrado de AES puede ser empleado tanto en software como en hardware => es un algoritmo de cifrado por bloques.

Question 65

¿Qué dos peculiaridades tiene un algoritmo asimétrico?

Answer 65

1. Lo que cifres con una de las claves se descifra con la otra
2. El algoritmo genera también las propias claves

Question 66

¿Conoce algún sistema hibrido (que mezcle ideas de las criptografía simétrica y asimétrica)?

Answer 66

• SSL
• PGP

Como uno es rápido (simétrico) y el otro no tiene el problema de distribución de clave (asimétrico) => se pueden juntar:

1ª FASE: utilizaríamos ASIMÉTRICA para la distribución de la clave.

2ª FASE: el resto del diálogo sería SIMÉTRICO.

=> CIFRAMOS UN CANAL SIN PROBLEMA DE DISTRIBUCIÓN DE CLAVES.

*Por eso se llaman sistemas HÍBRIDOS.

Question 67

Nombre 4 algoritmos de criptografía simétrica:

Answer 67

*3DES (Estándar de Cifrado de Datos Triple) aplica DES (su antecesor de 56 bits) tres veces a cada bloque de información, triplicando la clave de 56 bits en una de 168 bits.

*RC5 (sucesor de RC4) es una unidad de cifrado por bloques notable por su simplicidad.

*IDEA (International Data Encription Algorithm) es un algoritmo de cifrado por bloques de 64 bits iterativo.

*AES (Advanced Encryption Standard) son claves simétricas que pueden tener 3 longitudes: 128, 192 y 256 bits => es el algoritmos simétrico + IMPORTANTE.

Question 68

¿Qué tienen que ver SSL y TLS?

Answer 68

TLS es la nueva versión de SSL, pero es lo mismo.

No son exclusivos de HTTP => se pueden usar para cifrar un canal HTTP, pero también para cifrar un canal de FTP, es puro protocolo de transporte = puro canal cifrado.

Cuando un protocolo se usa con SSL:
*FTP => FTPS
*LDAP => LDAPS
*SMTP => SMTPS
*POP => POPS
*IMAP => IMAPS

Question 69

¿Qué es CIA en criptografía SSL/TLS?

Answer 69

*C: Confidencialidad => que las cosas estén cifradas y nadie pueda ver el contenido del documento.
NOTA: los algoritmos de cifrado (simétricos y asimétricos) garantizan la letra “C”.

*I: Integridad => saber si ha sido alterado / modificado.
NOTA: los algoritmos MIC y MAC (Ej. HMAC) buscan validar la integridad.

*A: Autenticidad => te garantiza el autor que envía la información.

Question 70

¿En qué se diferencian los algoritmos SIMÉTRICOS/ASIMÉTRICOS de los MIC/MAC?

Answer 70

Así como los simétricos/asimétricos son muy pesados para cifrar información y garantizar el canal / Los MIC y MAC generan una versión pequeña (RESIDUO) del documento, para poder regenerar dicho documento original si alguien lo manipulase.

NOTA: los MAC (Ej. HMAC) además del RESIDUO generan una CLAVE.

Question 71

Define el algoritmo MD5 de tipo MIC/MAC:

Answer 71

(Algoritmo de resumen de mensaje) es un algoritmo de reducción criptográfica de 128 bits, para comprobar que un archivo no haya sido modificado.

Se basa en una función HASH que verifica que un archivo enviado coincide con el que ha recibido la persona a la que se lo ha enviado.

Question 72

¿Qué es una Función HASH?

Answer 72

Una función criptográfica hash- usualmente conocida como “hash”- es un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija.

Question 73

¿Qué es una Firma Digital?

Answer 73

Busca garantizar la integridad (I) y autenticación (A) => garantiza que el atacante no modifique el RESIDUO cifrandolo con la clave privada del emisor.

Es un mecanismo criptográfico que permite al receptor de un mensaje cifrado digitalmente, IDENTIFICAR a la entidad originadora de dicho mensaje y CONFIRMAR que el mensaje no ha sido alterado desde que fue firmado por el originador.

Question 74

¿Qué es una notificación PUSH?

Answer 74

Aquello que no ha pedido un cliente web, pero el servidor se lo envía.

Question 75

¿En qué se basa la Firma Digital para garantizar la integridad (I) y autenticación (A)?

Answer 75

Se basa en que el originante entrega al receptor el documento (residuo) y la información adicional que resulta de cifrar con la CLAVE PRIVADA DEL EMISOR el “hash” calculado del documento o residuo.

Question 76

¿Qué tipos de claves tenemos si hablamos de algoritmos ASIMÉTRICOS?

Answer 76

*EMISOR: Clave Pública (ClavePubE) y Clave Privada (ClavePriE)

*RECEPTOR: Clave Pública (ClavePubR) y Clave Privada (ClavePriR)

NOTA: estas parejas están en los certificados digitales X.500.

Si cifras con la clave pública / descifras con la privada y viceversa => EN LOS ALGORITMOS ASIMÉTRICOS, LO QUE HAGAS CON UNA CLAVE SE DESHACE CON OTRA, es decir, las 2 claves (pública y privada) son las 2 caras de una moneda (con una cifras y con la otra descifras).

Question 77

¿Cómo podemos garantizar de la triada CIA la “I” y la “A”?

Answer 77

Usaremos criptografía ASIMÉTRICA con código MIC o HMAC:

1º GARANTIZAR LA INTEGRIDAD (I) => Del documento habría que generar un HASH (Ej: SHA-1), como un código MIC => aunque el atacante o receptor lo modifique, pero NO podrá DESHACERLO y crear uno nuevo. (ya que el hash o residuo nos serviría para regenerarlo).

NOTA: la integridad no busca si el documento que te ha llegado es lícito o esta modificado, sino que si el contenido ha llegado bien, es decir, que han llegado bien los bits y no ha habido ningún error de transporte.

2º GARANTIZAR LA AUTENTICIDAD (A) => si quisiéramos proteger este HASH para que nadie lo pueda tocar, habría que encriptarlo.

Hay 4 posibilidades (las públicas y privadas de ambos receptor y emisor): de estas 4 claves la 1ª que tenemos calro que no podemos usar para este encriptado es la “privada del receptor” (Clave PriR), porque no la conocemos, evidentemente.
Si lo ciframos con la pública del receptor (clave PubR), este sería el único que podría verificar o abrir al firma, porque lo que se hace con SÓLO se puede deshacer con la otra (entonces si cifro con la pública del receptor sólo podré descifrar con su privada y sólo la tiene él).

Si lo hago con mi pública (PubE), la firma la puede hacer cualquiera, pero sólo la puede abrir quien tenga la privada del emisor (yo).

ASÍ QUE LA SOLUCIÓN SERIA: se cifra con la privada del emisor => el emisor sería el único que puede hacer la firma y todos pueden comprobar la firma, garantizando la “I” y la “A” => ES DECIR, TODOS VEN QUE LA FIRMA ES BUENA, PERO NO PODRÁN SUPLANTAR O MODIFICAR, PORQUE SOLO TIENE LA CALVE EL EMISOR.

Question 78

¿Cómo podemos garantizar de la triada CIA la “I” y la “A”?

Answer 78

Usaremos criptografía ASIMÉTRICA con código MIC o HMAC:

1º GARANTIZAR LA INTEGRIDAD (I) => Del documento habría que generar un HASH (Ej: SHA-1), como un código MIC => aunque el atacante o receptor lo modifique, pero NO podrá DESHACERLO y crear uno nuevo. (ya que el hash o residuo nos serviría para regenerarlo).

NOTA: la integridad no busca si el documento que te ha llegado es lícito o esta modificado, sino que si el contenido ha llegado bien, es decir, que han llegado bien los bits y no ha habido ningún error de transporte.

2º GARANTIZAR LA AUTENTICIDAD (A) => si quisiéramos proteger este HASH para que nadie lo pueda tocar, habría que encriptarlo.

Hay 4 posibilidades (las públicas y privadas de ambos receptor y emisor): de estas 4 claves la 1ª que tenemos claro que no podemos usar para este encriptado es la “privada del receptor” (Clave PriR), porque no la conocemos, evidentemente.
Si lo ciframos con la pública del receptor (clave PubR), este sería el único que podría verificar o abrir la firma, porque lo que se hace con SÓLO se puede deshacer con la otra (entonces si cifro con la pública del receptor sólo podré descifrar con su privada y sólo la tiene él).

Si lo hago con mi pública (PubE), la firma la puede hacer cualquiera, pero sólo la puede abrir quien tenga la privada del emisor (yo).

ASÍ QUE LA SOLUCIÓN SERIA: se cifra con la privada del emisor => el emisor sería el único que puede hacer la firma y todos pueden comprobar la firma, garantizando la “I” y la “A” => ES DECIR, TODOS VEN QUE LA FIRMA ES BUENA, PERO NO PODRÁN SUPLANTAR O MODIFICAR, PORQUE SOLO TIENE LA CLAVE EL EMISOR.

Question 79

¿Qué especifica el CERTIFICADO DIGITAL X.509?

Answer 79

Los certificados X. 509 son documentos digitales que representan a un usuario, equipo, servicio o dispositivo (tienen sus datos identificativos). Los emite una entidad de certificación (CA) y contienen la clave pública del firmante del certificado.

Cuando nos conectamos a un servidor (url) CON SEGURIDAD (HTTPS), uno de los 1º documentos que nos descarga el servidor a nuestro navegador es el CERTIFICADO DIGITAL.
Estos certificados siguen la norma x509 v3 y estan emitidos y firmados por una autoridad de confianza (CA o PSC en España=Prestador de Servicios de Confianza). Es decir, para que ese documento sea valido, una tercera parte de confianza ha tenido que emitirlo y firmarlo.
Como cuestan dinero, se usan las técnicas SAN y WILDCARD, para que ese certificado sirva para varios dominios.

Question 80

¿Qué extensión tiene un fichero que contiene un certificado junto con su clave privada (parte pública+clave privada)?

Answer 80

• p12
• pfx

*PKCS#12: es el estándar de criptografía donde se definen esos 2 formatos.

Question 81

¿Qué extensión tiene un fichero que contiene un certificado sólo con la parte pública, sin su clave privada?

Answer 81

• cer
• pem

Question 82

Cuando una CA emite un certificado de servidor lo hace para un dominio concreto, ¿es posible que ese certificado se pueda usar en más de un dominio?

Answer 82

• SAN (Subject Alternatives Name) => ALTERNATIVE, xq en el certificado viene el nombre principal, sobre el que se crearon el certificado para el dominio, y luego otros nombres.
• WildCard

*Reducen el costo de SSL usando un único certificado para múltiples dominios => garantizan la verificación de un grupo de dominios en lugar de sólo uno.

Question 83

Cuando una CA emite un certificado, ¿que hace básicamente para darle validez?

Answer 83

Lo firma digitalmente e incluye esa firma dentro del propio certificado emitido

Question 84

¿Para qué sirve el número de serie de un certificado?

Answer 84

Para poder consultar al servicio OCSP de la CA en cuestión del estado de revocación de ese certificado.

Question 85

¿Que 4 subprotocolos existen dentro de SSL/TLS?

Answer 85

• Handshake (donde se negocia la criptografía a usar y la clave simétrica de cifrado)
• Change Cipher Spec
• Alert
• Application Data

Question 86

Dentro del cliente que realiza una llamada SSL/TLS, ¿qué utilidad tienen los llamados almacenes de confianza?

Answer 86

Contiene las CA’s en las que “nos fiamos”.

Esto se usa para chequear si el certificado que nos presenta el servidor pertenece a una de estas CA’s o no.

Question 87

¿Con que propiedad podemos configurar en Java un almacén de certificados (con clave privada)?

Answer 87

• javax.net.ssl.keyStore
• javax.net.ssl.keyStorePassword

Question 88

¿Qué es un trustStore en Java?

Answer 88

Un almacén donde hay certificados de CA’s en las que confiamos

Question 89

¿Existe algún almacén por defecto con CA’s de confianza en JAVA?

Answer 89

Si, en JAVA_HOME/jre/lib/security/cacerts

(password changeit)

*Este fichero se puede abrir con el programa:
KeyStore Explorer y podremos ver todas las CAs, poner nuevas CAs y configurar las siguientes PROPERTYs:

a) javax.net.ssl.keystore => (almacén JKS con clave privada) para hacer firma digital con clave PRIVADA.

b) javax.net.ssl.truststore => (almacén JKS con CAs adicionales) parte PÚBLICA.

Question 90

¿Cuál es el formato en el que se guardan los almacenes de certificados en Java?

Answer 90

JKS (java key store)

Question 91

Expón algunos campos de un certificado digital x.509:

Answer 91

VERSION - Nº SERIE - ALGORITMO USADO POR LA CA PARA FIRMAR - EMISOR (CA que lo emite) - VALIDEZ - SUJETO (para quien se emite) - ALGORITMO DE CLAVE PÚBLICA - CLAVE PÚBLICA DEL SUJETO - FIRMA DIGITAL (creada par ala CA).

*Con estos metadatos se hace un HASH y la CA incluye su firma.

*Este certificado tendría uno de los formatos .pfx o .p12 del estandar PKCS#12, xq tienen información PÚBLICA + la cable PRIVADA.

Cuando el certificado se emite para un dominio, en lugar de un sólo destinatario, se llama CERTIFICADO DE SERVIDOR.

Question 92

¿Qué es un certificado electrónico o certificado digital?

Answer 92

Un Certificado Electrónico (o certificado digital) es un fichero digital emitido por una tercera parte de confianza (una CA) que garantiza la vinculación entre la identidad de una persona o entidad y su clave pública, por tanto, permite identificar a su titular de forma inequívoca.

Le permitirá identificarse en Internet e intercambiar información con otras personas y organismos con la garantía de que sólo Ud. y su interlocutor pueden acceder a ella.

Question 93

Cuando nos descargamos un certificado x509 x SSL/TLS (HTTPS) del servidor, ¿cuáles son los 5 pasos para verificar dicho documento?

Answer 93

1º Chequear su periodo de validez

2º Que ha sido emitido para el dominio desde el cual nos lo hemos descargado.

3º Verificar que esta bien firmado (Integridad) => como tenemos las firmas digitales en el propio certificado, podemos garantizar la integridad de manera local (en el navegador): en el campo: FIRMA DIGITAL DE LA “CA”.

4º Comprobar si esta CA que ha firmado la tenemos registrada en nuestro almacén de confianza.

5º Chequear el estado de revocación con una de las 2 maneras posibles => en una cierta “url” con OCSP (ONLINE) o en un “fichero” con CLR (OFFLINE):
a) OCSP: todas las CAs usan el protocolo OCSP sobre HTTP, para que, en base al nº de serie, tu puedas preguntar si el certificado esta o no revocado (DE MANERA ONLINE).
b) CLR: es otra técnica, que se basa en una lista, a descargar con todas las revocaciones de esa CA (OFFLINE). Es decir, primero se descarga la lista CLR y luego se busca.

*Una vez descargado dicho certificado y pasado estas 5 comprobaciones, hay que realizar una negociación previa al intercambio de tráfico HTTP para que el tráfico este cifrado => para ello, el protocolo SSL/TLS tiene 2 subprotocolos:
1- Protocolo de la capa superior (HANDSHAKE, CHANGE CIPHER SPEC, ALERT y APLICATION DATA)
2-TLS Record Subprotocol

Question 94

Después de los 5 pasos de SSL/TLS para verificación del certificado, hay que pasar a la negociación para el cifrado del canal, explica una de las capas que usa TLS para ello:

Answer 94

CAPA DE ARRIBA: “Higher Layer Subprotocol” =>tiene 4 protocolos a transportar en esta capa de abajo, dependiendo de la fase en la que estemos:

1-(22) Tramas de HANDSHAKE: es el que realiza el INTERCAMBIO DE CLAVES para que el navegador y el servidor tengan una clave de sesión simétrica y con el protocolo “APPLICATION DATA” puedan intercambiar información por el canal cifrado de manera simétrica (Ej: con AES)
Client-Hello
Server-Hello
Client-Key-Exchange
…

2.(20) CHANGE CIPHER SPECIFICATION (tramas de especificación de cifrado).

3.(21) ALERT (tramas de alertas => para fallos)

4.(23) APPLICATION DATA (datos de aplicación): una vez establecido el canal, seria lo que más se intercambie.

*La capa de abajo (TLS Record=>capa para transporte), usa esos (números) para saber que esta transportando.

Question 95

Después de los 5 pasos de SSL/TLS para verificación del certificado, hay que pasar a la negociación para el cifrado del canal, explica una de las capas que usa TLS para ello:

Answer 95

CAPA DE ABAJO: “TLS Record Subprotocol” => es la capa de TRANSPORTE (TCP/IP) y, aunque básicamente es la encargada de cifrar, realiza 4 operaciones:

1. De cada trama que intercambia calcula el código MAC.
2. Encriptar datos.
3. Comprimir datos.
4. Fragmentar datos.

Question 96

¿A qué nos referimos con “revocación de certificado”?

Answer 96

Revocar es dar de baja o invalidar el certificado => es una técnica que cuando la “CA” ve que se ha podido vulnerar la autoridad del certificado lo da de baja (lo revoca).

Ej: si te sacas un 2º certificado por error para una autoridad, el 1º se revoca.

Question 97

¿Para qué sirve el HANDSHAKE de SSL y qué 2 técnicas hay?

Answer 97

Para que los 2 extremos tengan la misma clave simétrica para poder cifrar el canal.

Una en la que autenticamos sólo al servidor (el servidor no pide nada al cliente). Y otra en la que se autentica el servidor y el cliente (el servidor le pide al caliente que seccione su certificado) => esta 2ª técnica se llama MUTUAL.

Una vez finalizada la negociación HANDSHAKE, quedando cliente y servidor con la misma clave de sesión simétrica, ya podríamos cifrar el canal con la capa de abajo (TLS Record) y pasaríamos al subprotocolo APPLICATION DATA para intercambiar información por dicho canal cifrado y de manera simétrica (3DES, RC5, IDEA o AES).

Question 98

¿Cuándo quedó obsoleto SSL?

Answer 98

En su versión 3.
Ahora se usa TLS en sus versiones: 1.2 y 1.3.

*TLS, Seguridad de la capa de transporte y su antecesor Secure Sockets Layer (SSL) son protocolos criptográficos, que proporcionan comunicaciones seguras por una red.

Question 99

¿Qué es el CIPHER SUITE (conjunto de cifrados) y quién lo envía?

Answer 99

Este conjunto de cifrados (CIPHER SUITE) se lo envía el cliente al servidor en el HANDSHAKE.

Es una lista de cifrados que el cliente sabe manejar.

El servidor elegirá el mejor algoritmo de la lista y se lo hace saber.

Question 100

Pon un ejemplo de un CIPHER SUITE:

Answer 100

TLS_ECDHE_RSA_ WITH_AES_128_GCM_SHA256

*Indica algoritmos asimétricos (EC, DH y RSA), simétricos (AES), la función HASH (SHA256) y el tipo de encriptación (GCM: cifrado por bloques que funciona igual que el modo CRT).

Question 101

¿Qué herramienta de la JDK de Java usamos para crear los almacenes de confianza?

Answer 101

keytool

Es una herramienta de linea de comandos para suministrar funciones criptográficas a otros paquetes como: OpenSSH y navegadores web.

NOTA: JDK: (Java Development Kit) es un SW para los desarrolladores de Java. Incluye: INTERPRETE JAVA, CLASE JAVA y HERRAMIENTAS DE DESARROLLO o JDT (compilador, depurador, desensamblador, visor de applets, generador de archivos de apéndice y generador de documentación)

Question 102

¿Cuál es la librería de terceros (NO de Java) para hacer tratamientos criptográficos en Java más importante?

Answer 102

BouncyCastle

(castillo hinchable)

Entre otras funciones criptográficas sirve para LEER UN CERTIFICADO DE UN FICHERO.

Question 103

¿Con qué propiedad podemos ver el código de depuración de la negociación SSL (HANDSHAKE) al acceder a un recurso HTTPS en la consola?

Answer 103

javax.net.debug=all

Con esta propiedad se accede al soporte genérico de seguimiento de depuración dinámica (java.security.debug) especifico de JSSE (Java Secure Socket Extension).

*JSSE: conjunto de paquetes Java para la comunicación segura en internet.

Question 104

¿Cuál es el formato de los almacenes de confianza en JAVA?

Answer 104

JKS (Java Key Store)

Question 105

¿Cuáles son las 2 maneras de crear un almacén de confianza en Java?

Answer 105

1. keytool => comando de la JDK (Java Development Kit)
2. KeyStore Explorer => programa con el que podremos crear nuevas autoridades de confianza, ver todas las autorizades de confianzas (CAs), …

*El formato de los almacenes de confianza es: JDK (Java Key Store)

Question 106

¿Que diferentes almacenes de confianza (CA) hay en Java?

Answer 106

*Java-Home/JRE/lib/security/CACERTS => en este fichero están los almacenes de confianza genéricos de la JRE ( Java Runtime Environment)

*trustStore => solo con las CA’s que tu quieres configurar como de confianza para una aplicación concreta.

*keyStore => sirve (ya que estos almacenes tienen la clave privada) por ej para hacer firmas.

NOTA: Todos son formato JKS (java keystore) y se gestionan con el programa “KeyStore Explorer”.

Question 107

¿Qué es la JRE de Java y que tiene que ver con la JDK?

Answer 107

Java Runtime Environment, o JRE, es una capa de software que se ejecuta encima del sistema operativo y proporciona las bibliotecas de clases, la JVM y otros recursos que un programa Java específico necesita ejecutar.

El Java Development Kit (JDK) y el JRE interactúan para crear un entorno de tiempo de ejecución sostenible que ejecute archivos de programas de Java en cualquier máquina.

NOTA: la JRE va dentro de la JDK.

Question 108

¿Mediante que 2 protocolos, situados en capas diferentes, encripta SSL?

Answer 108

*TLS RECORD PROTOCOL (protocolo de AUTENTICACIÓN) se lleva a cabo la autenticación para que las transmisión de datos sea mediante una conexión privada y fiable => se negocia la encriptación y la integridad del emisor-receptor.

*TLS HANDSHAKE PROTOCOL (protocolo de MUTUO ACUERDO) se negocia el mensaje de manera segura. En cada mensaje se especifica el protocolo en el campo “content_type” y se cifra y empaqueta con un código de autentificación (o MAC).

Question 109

¿Qué relación tienen los códigos MAC (direcciones de Control de Acceso a los Medios), HMAC (Código de autenticación de mensajes basado en hash) y MIC (Código de Integridad de Mensaje)?

Answer 109

*Generan una versión pequeña o código (llamado hash o residuo) de un documento para poder regenerarlo en base ha dicho residuo, en el caso de que alguien lo manipulase.

*Solo para INTEGRIDAD tendríamos los códigos MIC (ej. Funciones Hash: MD5, SHAI-1. SHA-2, …)

*HMAC, es un tipo de MAC y nos permiten verificar INTEGRIDAD y AUTENTICIDAD.

*El código MIC sólo necesita el mensaje o documento de entrada para generar el RESIDUO. En cambio el código HMAC (MAC), necesita el mensaje y una CLAVE => al ir con clave, el receptor NO podrá generar otro documento del que enviamos.