TEORIA · SEGURETAT DADES

Mòdul 7: Criptografia i Identitat Digital

Implementació de canals segurs mitjançant HTTPS, gestió de certificats digitals i sistemes d'autenticació mútua.

7.1

HTTPS i TLS 1.3

L'HTTPS és el protocol estàndard per a la transmissió segura de dades a la web. Es basa en dues propietats fonamentals:

🔒

Confidencialitat

Ofuscació de les dades mitjançant l'ús de clau pública i privada. Només el receptor pot llegir el missatge.

Integritat

Garanteix que el missatge no ha estat manipulat durant el trànsit per la xarxa gràcies als algorismes de hash.

🚀
TLS 1.3 i Port 443: És la versió més recent i segura del protocol, que opera normalment sobre el port 443. Millora la velocitat (reduint el nombre de "handshakes") i elimina algorismes de xifrat antics que havien esdevingut vulnerables.
Comparativa TLS 1.2 vs 1.3
Diagrama: TLS 1.3 Handshake (Speed & Security) images/teoriaM03/tls-1-3-handshake.png
Llegir més: What is TLS 1.3? — cloudflare.com

Automatització amb Let's Encrypt

1

🤖 Protocol ACME

Let's Encrypt automatitza l'obtenció de certificats gratuïts.

2

⚙️ Certbot

L'eina de referència per gestionar la renovació automàtica del certificat al servidor.

7.2

El Procés de Certificació (CSR)

Per obtenir un certificat oficial, cal seguir un procés estandarditzat de sol·licitud i validació:

1

🔑 Generació local

Es genera una clau privada que mai ha de sortir del servidor.

2

📝 CSR (Certificate Signing Request)

Es crea una petició amb les dades del domini i la clau pública.

3

🏢 Validació de la CA

L'Autoritat de Certificació valida la propietat (Challenge) i signa el certificat final.

Flux de treball del CSR
Esquema: Procés de CSR i Signatura images/teoriaM03/csr-workflow.png
Llegir més: Certbot (ACME Client) — certbot.eff.org
📜

Tipus de Certificats

DV: Validació de domini (bàsic).
OV/EV: Validació d'organització/extesa (més confiança).

🚨

OCSP

Protocol per verificar en temps real si un certificat ha estat revocat (per robatori de claus o pèrdua de confiança).

7.3

Identitat Digital i Autenticació Mútua (mTLS)

🤝
L'Autenticació Mútua garanteix que tant el servidor com el client s'identifiquen un a l'altre mitjançant certificats.

A diferència de l'HTTPS convencional (on només t'assegures que la web és qui diu ser), el mTLS demana que l'usuari també presenti el seu propi certificat digital.

Exemples reals d'ús:

🏛️

Administració Pública

L'ús del DNIe, l'idCAT o el certificat de la FNMT per realitzar tràmits oficials amb la màxima seguretat legal.

🏦

Banca i Cl@ve

Sistemes de signatura electrònica i accés a dades bancàries o fiscals on no es depèn només d'una contrasenya (que pot ser robada).

⚙️

Zero Trust i APIs

Comunicació Microservei a Microservei. En infraestructures modernes, els servidors s'identifiquen entre ells amb mTLS per evitar moviments laterals d'un atacant.

💡
Conclusió: L'autenticació basada en certificats és el nivell més alt de seguretat actual, ja que és immune al phishing tradicional de contrasenyes.
Diagrama d'autenticació mútua mTLS
Diagrama: mTLS (Client ⟷ Server) images/teoriaM03/mtls-diagram.png
Llegir més: What is Mutual TLS (mTLS)? — cloudflare.com
7.4

Validació Final

🔍
Com sabem que el xifratge funciona realment?

La millor forma de comprovar-ho és utilitzar un sniffer de xarxa com Wireshark. Si el xifratge està ben configurat, Wireshark no serà capaç de llegir el contingut dels paquets, ja que apareixeran com a dades xifrades intel·ligibles.

Captura de Wireshark amb trànsit TLS
Diagrama: Captura de dades xifrades images/teoriaM03/wireshark-tls-capture.jpeg
Eina: SSL Server Test — ssllabs.com

🗂️ Resum: Criptografia i Identitat

TLS 1.3 Més ràpid i segur. Confidencialitat (claus) + Integritat (hash).
Let's Encrypt Certificats gratuïts i automàtics via protocol ACME i Certbot.
CSR Petició de signatura enviada a la CA sense revelar la clau privada.
OCSP Verificació en temps real de la revocació de certificats.
mTLS Autenticació bidireccional (DNIe, idCAT, FNMT, Microserveis).