SHTTP
|
SHTTP (Secure Hypertext Transfer Protocol). Es un proceso de transacciones HTTP (HyperText Transfer Protocol; en castellano, Protocolo de Transferencia de Hipertexto) que se basa en el perfeccionamiento del protocolo HTTP creado en 1994 por EIT (Enterprise Integration Technologies). Este proceso hace posible establecer una conexión segura para transacciones de comercio electrónico mediante mensajes cifrados, y garantizar a los clientes la confidencialidad de los números de tarjetas bancarias y su información personal. La compañía Terisa Systems desarrolló una de las implementaciones de SHTTP para incluir una conexión segura entre los servidores y los clientes Web.
Sumario
Historia
El protocolo fue diseñado por E. Rescorla y A. Schiffman de Enterprise Integration Technologies (EIT). para obtener conexiones de HTTP. S-HTTP provee una variedad amplia de mecanismos para tener prevista confidencialidad, autenticación, e integridad, La separación de política de mecanismo fue un cometido explícito.
S-HTTP es un superconjunto de HTTP, el cual permite mensajes para ser narrado de forma resumida de forma muy diversa. Las encapsulaciones pueden incluir cifrado, firma, o una autenticación basada en MAC. Esta encapsulación puede ser recursiva, y un mensaje puede tener varias transformaciones de seguridad aplicadas.
S-HTTP también incluye definiciones de encabezado para proveer la transferencia de clave, dar un certificado a la transferencia, y las funciones administrativas similares. S-HTTP parece ser sumamente flexible, lo cual permitirá al programador desarrollar aplicaciones web sin temor a que la aplicación sea vulnerada. S-HTTP también ofrece el potencial para el desenvolvimiento sustancial del usuario dentro de él, y el descuido de la autenticación y las actividades de cifrado.
S-HTTP no confía en un esquema particular de certificación de clave. Incluye soporte para RSA, hacia dentro se agrupa, fuera de banda y el cambio de clave kerberos. Las claves para las certificaciones pueden ser provistas en un mensaje, u obtenido en otro sitio. Como en SSL, las llaves públicas del cliente no son requeridas.
Funcionamiento
A diferencia de SSL (Secure Socket Layer) que funciona transportando capas, SHTTP garantiza la seguridad del mensaje mediante el protocolo HTTP, que marca individualmente los documentos HTML con certificados. En tanto que SSL es independiente de la aplicación utilizada y puede cifrar todo tipo de comunicación, SHTTP está íntimamente relacionado con el protocolo HTTP y cifra mensajes de forma individual.
Componentes de mensajes
- El mensaje HTTP
- Las preferencias criptográficas del remitente
las preferencias del destinatario Así, para descifrar un mensaje SHTTP, el destinatario analiza los encabezados del mensaje para determinar el tipo de método que se utilizó para cifrar el mensaje. Luego, basándose en sus preferencias criptográficas presentes y pasadas, y en las preferencias criptográficas pasadas del remitente, el destinatario puede descifrar el mensaje.
Naturaleza complementaria de SHTTP y SSL
Cuando SSL y SHTTP competían, muchas personas se dieron entonces cuenta de que estos dos protocolos de seguridad eran complementarios, ya que no trabajaban en el mismo nivel. El SSL garantiza una conexión segura a Internet, mientras que el SHTTP garantiza intercambios HTTP seguros.
Como resultado, la compañía Terisa Systems, especializada en protección de red y formada por RSA Data Security y EIT, desarrolló un kit de programación que permitió a los administradores desarrollar servidores Web implementando los protocolos SSL y SHTTP (SecureWeb Server Toolkit) así como clientes Web capaces de soportar estos protocolos (SecureWeb Client Toolkit).
Amenazas
Las amenazas a la S-HTTP son similares a aquellos en contra de SSL. Sin enbargo el carácter más general de S-HTTP hace que sea dificil evaluar con exactitud lo que es posible. En el caso de un hacker, o el espectador, el ataque a una CA puede ser más difícil, debido a la existencia de múltiples entidades emisoras de certificados. Una de las claves en teoría podría ser verificado por varias entidades emisoras de certificados, lo que hace inviable un ataque.
Debilidades
El uso de la banda a cambio de clave puede ser muy problemática, los autores no pasan suficiente tiempo las teclas asegurar se transfieren correctamente. Una transferencia inadecuada sería un sistema que envía la tecla B en Ea (B). Es decir, la tecla B que sustituye a la tecla A no puede ser enviado a través de una clave para cifrar.Si un atacante ha tecla A, entonces tendrá la tecla B, y el cambio de clave es una pérdida de tiempo (con respecto a ese atacante.) Exactamente este error fue cometido con frecuencia por los japoneses en la Segunda Guerra Mundial.(Kahn) Esperando a los programadores a aprender de este error de los demás (especialmente 50 años viejos errores) es una apuesta pobres.
S-HTTP, en la flexibilidad, puede ofrecer una cuerda programador lo suficiente como para colgarse. Es cierto que no ofrece opciones roto muchos, pero no parece tener nada de SSL "Cifrar todo y no se preocupe que" la actitud. Un programador, y mucho menos un familiar con problemas de seguridad y criptografía, podría pensar en "Uso de S-HTTP me va a proteger" y totalmente no proporcionan ninguna protección criptográfica de la información.La probabilidad de que esto ocurra puede ser discutible, pero el problema es digno de consideración.
SHTTP puede proporcionar confidencialidad, autenticación, garantiza la integridad de una base de archivos individuales. SHTTP proporcionar confidencialidad, Autenticación, garantiza la Integridad de la base de Una Individuales Archivos. Sitios Web con funciones de seguridad se utilizan cuando se muestra la información tal como, números de tarjeta de crédito, información personal, contraseñas y datos de contacto. Sitios Web Con Funciones de Seguridad sí utilizan CUANDO SE Muestra la Información tal COMO Números de Tarjeta de Crédito, información personal, contraseñas y Datos de contacto. Seguridad para el comercio en Internet Uno de los principales problemas para el comercio minorista electrónico en Internet es la falta de seguridad.
Seguridad Para El Comercio en Internet Uno de los Principales Problemas Para El Comercio Minorista electrónico en Internet es la Falta de Seguridad. Dos de propósito general los enfoques que son ampliamente representativo y probablemente el más importante, así: las Secure Socket Layer (SSL) de Netscape, y Secure HTTP (S-HTTP) de la tecnología de integración empresarial. Dos de Propósito general de los Enfoques Que hijo ampliamente Representativo y probablemente El Mas Importante, asi: las Secure Socket Layer (SSL) de Netscape, y Secure HTTP (S-HTTP) de la Tecnología de Integración Empresarial.
Para los sistemas de pago que proporciona una gran seguridad para compras por Internet de bienes y servicios son dos transacciones electrónicas seguras SET, propuesto para las transacciones de tarjetas bancarias por MasterCard y Visa o un pago más sofisticados en particular en el anonimato, es dinero electrónico desarrollado por Digicash. Para los Sistemas de Pago Que proporciona Una gran Seguridad Compras Por Internet párrafo de Bienes y Servicios Transacciones Electrónicas hijo dos Seguras (SET), Propuesto las Transacciones Bancarias de Tarjetas Por MasterCard y Visa o sin Pago Más sofisticados en particular, en El anonimato, es Dinero electr ónico Desarrollado por Digicash.