Dominando los Fundamentos de la Criptografía con el Módulo Crypto de Node

Rate this content
Bookmark

¿Sabías ese meme de Homer Simpson tratando de esconderse en los arbustos? Así es como me sentía cuando mis compañeros de trabajo hablaban de cifrado asimétrico, firma de certificados, salado y acrónimos locos como PBKDF2.

Después de años tratando de ignorar este problema, finalmente decidí hacer algo al respecto. Pero en lugar de adentrarme en el tema a través de libros de texto y seudocódigo, decidí investigar la gran cantidad de funcionalidades que ofrece el módulo `crypto` incorporado en Node.js. Luego, retrocedí para comprender qué hace cada función, en qué práctica de seguridad se basa y cuándo es apropiado usarla.

Entonces, si eres como yo, sal de los arbustos y únete a mí en esta masterclass para aprender los fundamentos de proteger información de manera práctica con Node.js.

This talk has been presented at JSNation 2024, check out the latest edition of this JavaScript Conference.

Yonatan Mevorach
Yonatan Mevorach
25 min
17 Jun, 2024

Comments

Sign in or register to post your comment.

Video Summary and Transcription

Esta charla proporciona una introducción a la criptografía con Node.js, cubriendo conceptos de cifrado, algoritmo AES-256-CBC, vector de inicialización para el cifrado, función de derivación de claves y sal, aleatoriedad y acuerdo de claves, distribución de claves y RSA, firma y verificación, certificados de clave pública y confianza en la jerarquía de certificados.

1. Introducción a la Criptografía con Node.js

Short description:

En esta charla, hablaré sobre el dominio de los fundamentos de la criptografía con el módulo crypto de Node. La criptografía es la ciencia de la comunicación secreta, lo cual es crucial en nuestro mundo en línea. Node.js tiene un módulo crypto incorporado que ofrece algoritmos criptográficos comunes para su uso en aplicaciones. La documentación del módulo asume familiaridad con los conceptos básicos de la criptografía, así que proporcionaré un atajo cubriendo los conceptos y el uso práctico. ¡Comencemos!

Así que en esta charla, me gustaría hablarles sobre esto. Oh, lo siento. El título de la charla está encriptado. Así que apliquemos la desencriptación.

Hoy quiero hablarles sobre esto. De acuerdo. Dominando los fundamentos de la criptografía con el módulo crypto de Node. Así que este título es un poco largo. Así que vamos a desglosarlo. Primero hablemos sobre qué es la criptografía. La criptografía es la ciencia o el estudio de los medios de comunicación secreta. Y como pueden imaginar, en nuestro mundo en línea, esto juega un papel muy importante.

Afortunadamente, dentro de Node.js tenemos un módulo incorporado llamado el módulo crypto y está ahí para ofrecer algoritmos criptográficos comunes que puedes usar en tu aplicación. Ahora este es un módulo incorporado al igual que FS, por lo que puedes comenzar a usarlo de inmediato sin instalar nada. Además, como es un módulo incorporado, tiene documentación. Así que cuando quería comenzar a usarlo por primera vez, aquí es donde fui. Y descubrí que este tipo de documentación no es realmente adecuada para un principiante como yo. Porque es una estructura muy plana. Hay muy poca información sobre cada método. Asume que ya estás bastante familiarizado con los conceptos básicos de la criptografía, qué hace cada algoritmo. Y solo te da la sintaxis específica en Node.js. Así que tuve que volver al principio y leer sobre los conceptos. Y aprender sobre qué hace cada algoritmo diferente, qué problemas resuelve, cuándo es aplicable usarlo. Y solo entonces, cuando tenía estos datos conceptuales, pude volver y ver la sintaxis real en Node.js para poder ser práctico y experimentar con escribir código que use ese algoritmo. Y este es el proceso a través del cual quiero darte un atajo en la charla de hoy. Quiero que cubramos los conceptos básicos de la criptografía, la información conceptual, y luego ser prácticos y ver cómo podemos usar estas cosas en Node.js.

Así que empecemos. Mi nombre es Yonatan Navarro. Soy un desarrollador web de Wix.com.

2. Conceptos de Encriptación y AES-256-CBC

Short description:

El primer concepto en criptografía es la encriptación, que permite una comunicación segura a través de un canal inseguro. Para realizar la encriptación, necesitamos elegir un algoritmo de encriptación. Un algoritmo popular es AES-256-CBC, que garantiza seguridad y privacidad. El tamaño de clave del algoritmo de 256 bits proporciona una gran cantidad de combinaciones de claves para que los atacantes adivinen. El modo CBC y el vector de inicialización mejoran la seguridad de la encriptación. El proceso de encriptación involucra el texto plano y una clave compartida entre el remitente y el receptor.

Así que el primer concepto en criptografía del que hablaremos es esta idea de encriptación. Esto permite que dos partes, digamos Alice y Bob, intercambien información a través de un canal inseguro como Internet sin tener que preocuparse de que alguien que haya capturado los mensajes que se envían pueda entender el significado detrás de estos mensajes. Y por eso hacemos encriptación.

Entonces, lo primero que debemos considerar para realizar la encriptación es qué tipo de algoritmo de encriptación usar. Hay bastantes de ellos disponibles. Todos funcionan básicamente mediante el concepto de sustitución y transformación del mensaje original y luego hacer lo contrario para desencriptar. Ahora, esta parte del code que estoy mostrando aquí es en realidad la primera parte del code del módulo crypto que estoy mostrando hoy, y esto se llama la función getCiphers. Y como su nombre sugiere, esto devolverá una lista de todos los algoritmos criptográficos que puedes ejecutar en tu máquina usando el módulo crypto. Por ejemplo, cuando lo ejecuto en mi máquina, devuelve 171 resultados. Así que elijamos uno para ilustrar esta idea de encriptación.

Entonces, hay una familia de algoritmos de encriptación conocidos como AES, Advanced Encryption Standard. Y como su nombre sugiere, estos son algoritmos lo suficientemente advanced como para ser utilizados en aplicaciones modernas. Y es un estándar, por lo que se implementan en diferentes entornos. Específicamente, echemos un vistazo a AES-256-CBC. Así que desglosemos esto. Entonces, 256 se aplica aquí al tamaño de la clave. Hablaremos sobre la clave y el papel que desempeña en la desencriptación en un momento. Pero esta es esencialmente la parte del algoritmo que garantiza la seguridad y privacidad de la comunicación. Lo que un atacante como Yves podría intentar hacer es probar todas las combinaciones posibles de la Entonces, si usamos una clave de 256 bits, significa que el atacante tendría que probar una cantidad astronómica de clave que se utiliza. combinaciones de claves diferentes.

Ahora, CBC significa cipher block chaining. Este es un modo de encriptación donde, como parte del proceso de encriptación, el mensaje se divide en diferentes bloques. Y para calcular el primer bloque, debes proporcionar algo que se llama un IV o vector de inicialización. Hablaremos sobre su papel y cómo hace que nuestra encriptación sea más segura en un momento. Así que hablemos sobre el proceso de encriptación. Digamos que Yves quiere enviarle a Bob un mensaje encriptado. Necesitaría el texto plano, que es el mensaje original, la clave, de la que hablaremos más adelante. Hablaremos sobre cómo decidimos qué valor usar como clave y cómo transportar la clave. Pero por ahora, digamos que es un fragmento de data que Yves tiene y Bob debe tener una clave idéntica, es decir, el mismo fragmento de data, para poder realizar la desencriptación.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.
El estado de la autenticación sin contraseña en la web
JSNation 2023JSNation 2023
30 min
El estado de la autenticación sin contraseña en la web
Passwords are terrible and easily hacked, with most people not using password managers. The credential management API and autocomplete attribute can improve user experience and security. Two-factor authentication enhances security but regresses user experience. Passkeys offer a seamless and secure login experience, but browser support may be limited. Recommendations include detecting Passkey support and offering fallbacks to passwords and two-factor authentication.
5 Formas en las que Podrías Haber Hackeado Node.js
JSNation 2023JSNation 2023
22 min
5 Formas en las que Podrías Haber Hackeado Node.js
Top Content
The Node.js security team is responsible for addressing vulnerabilities and receives reports through HackerOne. The Talk discusses various hacking techniques, including DLL injections and DNS rebinding attacks. It also highlights Node.js security vulnerabilities such as HTTP request smuggling and certification validation. The importance of using HTTP proxy tunneling and the experimental permission model in Node.js 20 is emphasized. NearForm, a company specializing in Node.js, offers services for scaling and improving security.
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
React Summit US 2023React Summit US 2023
9 min
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
Top Content
Lucas Estevão, a Principal UI Engineer and Technical Manager at Avenue Code, discusses how to implement Content Security Policy (CSP) with Next.js to enhance website security. He explains that CSP is a security layer that protects against cross-site scripting and data injection attacks by restricting browser functionality. The talk covers adding CSP to an XJS application using meta tags or headers, and demonstrates the use of the 'nonce' attribute for allowing inline scripts securely. Estevão also highlights the importance of using content security reports to identify and improve application security.
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
React Advanced Conference 2021React Advanced Conference 2021
22 min
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
Top Content
React's default security against XSS vulnerabilities, exploring and fixing XSS vulnerabilities in React, exploring control characters and security issues, exploring an alternative solution for JSON parsing, and exploring JSON input and third-party dependencies.
Cómo los Aplicaciones de React son Hackeadas en el Mundo Real
React Summit 2022React Summit 2022
7 min
Cómo los Aplicaciones de React son Hackeadas en el Mundo Real
How to hack a RealWorld live React application in seven minutes. Tips, best practices, and pitfalls when writing React code. XSS and cross-site scripting in React. React's secure by default, but not always. The first thing to discover: adding a link to a React application. React code vulnerability: cross-site scripting with Twitter link. React doesn't sanitize or output H ref attributes. Fix attempts: detect JavaScript, use dummy hashtag, transition to lowercase. Control corrector exploit. Best practices: avoid denialist approach, sanitize user inputs. React's lack of sanitization and output encoding for user inputs. Exploring XSS vulnerabilities and the need to pretty print JSON. The React JSON pretty package and its potential XSS risks. The importance of context encoding and secure coding practices.

Workshops on related topic

De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
JSNation 2024JSNation 2024
97 min
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
Workshop
Marco Ippolito
Marco Ippolito
En este masterclass, cubriremos las diez vulnerabilidades más comunes y riesgos de seguridad críticos identificados por OWASP, que es una autoridad confiable en Seguridad de Aplicaciones Web.Durante el masterclass, aprenderás cómo prevenir estas vulnerabilidades y desarrollar la capacidad de reconocerlas en aplicaciones web.El masterclass incluye 10 desafíos de código que representan cada una de las vulnerabilidades más comunes de OWASP. Se proporcionarán pistas para ayudar a resolver las vulnerabilidades y pasar las pruebas.El instructor también proporcionará explicaciones detalladas, diapositivas y ejemplos de la vida real en Node.js para ayudar a comprender mejor los problemas. Además, obtendrás información de un Mantenedor de Node.js que compartirá cómo gestionan la seguridad en un proyecto grande.Es adecuado para desarrolladores de Node.js de todos los niveles de habilidad, desde principiantes hasta expertos, se requiere un conocimiento general de aplicaciones web y JavaScript.
Tabla de contenidos:- Control de Acceso Roto- Fallas Criptográficas- Inyección- Diseño Inseguro- Configuración de Seguridad Incorrecta- Componentes Vulnerables y Obsoletos- Fallas de Identificación y Autenticación- Fallas de Integridad de Software y Datos- Fallas de Registro y Monitoreo de Seguridad- Falsificación de Solicitudes del Lado del Servidor
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
JSNation 2022JSNation 2022
99 min
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
WorkshopFree
Matthew Salmon
Matthew Salmon
npm y seguridad, ¿cuánto sabes sobre tus dependencias?Hack-along, hacking en vivo de una aplicación Node vulnerable https://github.com/snyk-labs/nodejs-goof, Vulnerabilidades tanto de código abierto como de código escrito. Se anima a descargar la aplicación y hackear junto con nosotros.Corrigiendo los problemas y una introducción a Snyk con una demostración.Preguntas abiertas.
Aporta Calidad y Seguridad al pipeline de CI/CD
DevOps.js Conf 2022DevOps.js Conf 2022
76 min
Aporta Calidad y Seguridad al pipeline de CI/CD
WorkshopFree
Elena Vilchik
Elena Vilchik
En esta masterclass repasaremos todos los aspectos y etapas al integrar tu proyecto en el ecosistema de Calidad y Seguridad del Código. Tomaremos una aplicación web simple como punto de partida y crearemos un pipeline de CI que active el monitoreo de calidad del código. Realizaremos un ciclo completo de desarrollo, comenzando desde la codificación en el IDE y abriendo una Pull Request, y te mostraré cómo puedes controlar la calidad en esas etapas. Al final de la masterclass, estarás listo para habilitar esta integración en tus propios proyectos.
Autenticación sin contraseña para servidores: práctica con ASA
DevOps.js Conf 2022DevOps.js Conf 2022
32 min
Autenticación sin contraseña para servidores: práctica con ASA
WorkshopFree
E. Dunham
E. Dunham
Hoy en día, no necesitas una contraseña separada para cada sitio web en el que inicias sesión. Sin embargo, gracias a la deuda tecnológica y la tradición, muchos profesionales de DevOps todavía tienen que lidiar con una gran cantidad de claves SSH para acceder a los servidores en los que a veces necesitamos estar. Con OAuth moderno, un solo inicio de sesión y un segundo factor para demostrar tu identidad son suficientes para acceder de forma segura a todos los servicios a los que tienes autorización. ¿Y si SSHing en servidores fuera tan fácil? En este masterclass, utilizaremos la herramienta de Acceso Avanzado a Servidores de Okta (anteriormente ScaleFT) para experimentar una forma en que el sueño de enviar claves SSH como la contraseña se ha hecho realidad.
- discutiremos cómo funciona ASA y cuándo es la herramienta adecuada para el trabajo- guiaremos el proceso de configuración de una cuenta de prueba gratuita de Okta para usar ASA, y la configuración de la puerta de enlace ASA y el servidor en servidores Linux- luego nos conectaremos por SSH a nuestros hosts con los clientes ASA sin necesidad de proporcionar una clave SSH desde nuestras laptops- revisaremos los registros de auditoría de nuestras sesiones SSH para examinar qué comandos se ejecutaron