Inglés
Français
English
Português
简体中文
11/28/2025Transport Layer Security (TLS) se utiliza para proteger la privacidad y la integridad de las comunicaciones de red. Con la evolución de los ataques a la red, el Grupo de Trabajo de Ingeniería de Internet (IETF) publicó el estándar TLS 1.3 (RFC 8446) en 2018, logrando mejoras significativas en seguridad, rendimiento y escalabilidad.
TLS 1.3 ofrece grandes mejoras con respecto a TLS 1.2, con tres mejoras clave:
- Conserva sólo algoritmos de cifrado de alta resistencia (como AES-GCM) y elimina los algoritmos obsoletos con riesgos potenciales.
- Obliga al secreto hacia adelante, garantizando que las comunicaciones históricas sigan siendo seguras aunque se filtre la clave privada.
- Reduce el proceso de handshake de múltiples viajes de ida y vuelta a uno, e incluso logra cero viajes de ida y vuelta (0-RTT) en ciertos escenarios, lo que permite un establecimiento de conexión más rápido.
- Compatible con protocolos heredados, admite campos de extensión personalizables y se adapta a diversos escenarios, incluidos IoT y pagos móviles.
TLS 1.3 admite la autenticación mutua para garantizar la credibilidad de ambas partes comunicantes (tomando 1-RTT como ejemplo, el proceso de handshake es el siguiente):
El Smart Token de Watchdata es un dispositivo de hardware con un elemento seguro incorporado. Puede almacenar claves privadas de clientes y realizar operaciones de firma. Su función principal es aislar las claves privadas del cliente en hardware para evitar fugas, lo que constituye una garantía fundamental para la seguridad de la identidad del cliente en la autenticación mutua TLS. Sus principales características son:
- La clave privada nunca sale del dispositivo:
Las claves privadas se generan y almacenan internamente en el token inteligente y no pueden exportarse.
- Ejecución de firmas en el hardware:
Las operaciones de firma se realizan dentro del token inteligente, lo que garantiza que las claves privadas nunca queden expuestas.
- PIN/Biométrico: Soporte de autenticación:
Requiere verificación de identidad (por ejemplo, introducción del PIN o escaneado biométrico) para su uso, lo que impide el acceso no autorizado.
En la autenticación mutua TLS 1.3, Smart Token se utiliza normalmente para la firma de claves privadas:
- Fase de descarga del certificado:
Los usuarios generan pares de claves de cliente (claves pública y privada) en el Smart Token a través del correspondiente middleware de gestión de software. La clave pública se envía a una autoridad de certificación (CA) para la solicitud del certificado, y el certificado emitido se escribe en el Smart Token.
- Fase de apretón de manos:
Cuando el cliente necesita proporcionar un certificado, lee el certificado del token inteligente. Durante la fase CertificateVerify, la aplicación cliente (navegador/software cliente) envía el resumen del mensaje handshake al token a través de las interfaces PKCS11 o CSP. Después de que el usuario autorice el acceso introduciendo un PIN, el token firma el resumen con la clave privada interna y devuelve el resultado de la firma al cliente, que lo reenvía al servidor.
Con su alta seguridad y baja latencia, TLS 1.3 se utiliza ampliamente en los siguientes escenarios:
TLS 1.3, con su alta seguridad y baja latencia, se ha convertido en el protocolo preferido para las comunicaciones de red modernas. Combinado con la protección a nivel de hardware del Smart Token de Watchdata, el mecanismo de autenticación mutua ofrece garantías de seguridad fiables para escenarios de alta seguridad como las finanzas y los asuntos gubernamentales, sirviendo como componente clave en la construcción de un entorno de red de confianza.
Con más de 30 años de experiencia en autenticación de identidad digital y seguridad de datos, Watchdata ha aprovechado la acumulación técnica a largo plazo y la práctica de la industria para desarrollar productos Smart Token con excelente seguridad y estabilidad. Estos productos han ayudado a clientes de múltiples sectores, como el financiero, el gubernamental y el empresarial. Esperamos colaborar con más socios para promover conjuntamente el desarrollo del ecosistema de seguridad digital y proporcionar garantías fiables para la seguridad de la identidad en Internet.