Blog de Seguridad Informática

Handshake: el proceso de intercambio de información privada

  • 28/05/2012
  • Noticias

Cuando un usuario entra en una página web para intercambiar información y ésta es a su vez privada, con SSL o protocolo https, se ejecuta un proceso llamado popularmente como Handshake, o apretón de manos. Se hace una similitud con los negocios cuando se realiza este gesto entre dos empresarios que tal vez no se conocían pero que van a entablar una relación de confianza.

En primer lugar es el usuario o cliente, nosotros, quien envía al servidor datos sobre el número de cliente, el cifrado y la clave aleatoria, así como otro tipo de información que requieren los servidores.

El servidor a su vez reenvía los datos, de manera que el cliente obtiene la información que pedía. Asimismo envía el certificado digital que posee. Por ejemplo si es autofirmado o si bien es contratado con una Autoridad de Certificación.

Entonces es el browser del cliente el que comprueba la autentificación. Le avisa a la persona por ejemplo si el servidor no está respaldado por nadie y otro tipo de problemas. Hay entidades que son certificadoras pero que tienen una encriptación débil, por ejemplo. Si finalmente sí puede darse la conexión y está autenficado, se provede a la conexión.

Usando los datos generados por este apretón de manos, por el handshake, se crea el premaster secret para la sesión. Se encripta a través de la llave pública que es creada por el certificado digital. En ocasiones el servidor también puede pedir autentificación al cliente, por ejemplo una contraseña.

Los dos protagonistas de la conexión generarán sus claves simétricas que serán usadas para encriptar y desencriptar la información. De esta manera la conexión se permitirá una conexión íntegra y segura.

 

Samuel Noriega Certsuperior

Samuel Noriega es un experto en tecnología y marketing digital. Síguelo en Google o en LinkedIn

Comentarios