Diferencia entre revisiones de «Criptografía en Ciberseguridad»
 
(No se muestran 21 ediciones intermedias de otro usuario)
Línea 1: Línea 1:
 
{{Definición
 
{{Definición
 
|Nombre=Rol de la Criptografía en la Ciberseguridad
 
|Nombre=Rol de la Criptografía en la Ciberseguridad
|imagen=Criptografia.jpg|<nowiki>miniaturadeimagen]]</nowiki>
+
|imagen=Criptografia.jpg|miniaturadeimagen]]
  
 
  |concepto= Rama inicial de las Matemáticas y en la actualidad de la Informática y la Telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar y/o proteger un mensaje o archivo por medio de un algoritmo, usando una o más claves.  
 
  |concepto= Rama inicial de las Matemáticas y en la actualidad de la Informática y la Telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar y/o proteger un mensaje o archivo por medio de un algoritmo, usando una o más claves.  
Línea 13: Línea 13:
 
** y el no repudio.
 
** y el no repudio.
  
==Introducción==
+
=='''Introducción'''==
===Referentes históricos===
+
==='''Referentes históricos'''===
 
[[Archivo:Referentes historicos.png|marco|centro]]
 
[[Archivo:Referentes historicos.png|marco|centro]]
  
=== Conceptos ===
+
=== '''Conceptos''' ===
 
[[Archivo:Conceptos.png|marco|centro]]
 
[[Archivo:Conceptos.png|marco|centro]]
  
 
[[Archivo:Llave_clave.png|derecha|sinmarco]]
 
[[Archivo:Llave_clave.png|derecha|sinmarco]]
• Llave o clave: Información secreta que se utiliza durante el proceso de Cifrado o Descifrado de los mensajes. Solo es de conocimiento del Emisor y el Receptor. En los criptosistemas asimétricos existe la llave pública que es de total conocimiento.  
+
'''Llave o clave''': Información secreta que se utiliza durante el proceso de Cifrado o Descifrado de los mensajes. Solo es de conocimiento del Emisor y el Receptor. En los criptosistemas asimétricos existe la llave pública que es de total conocimiento.  
  
 
[[Archivo:Algorit.png|derecha|sinmarco]]
 
[[Archivo:Algorit.png|derecha|sinmarco]]
• Algoritmo criptográfico: Conjunto ordenado de operaciones matemáticas específicas, que implementadas en software o en medios electrónicos realizan secuencialmente y a partir de una lógica, la transformación de una información en texto legible, en texto cifrado ilegible por personas no autorizadas.  
+
'''Algoritmo criptográfico''': Conjunto ordenado de operaciones matemáticas específicas, que implementadas en software o en medios electrónicos realizan secuencialmente y a partir de una lógica, la transformación de una información en texto legible, en texto cifrado ilegible por personas no autorizadas.  
  
 
[[Archivo:Criptoanalisis.png|derecha|sinmarco]]
 
[[Archivo:Criptoanalisis.png|derecha|sinmarco]]
• Criptoanálisis: Es la ciencia de descifrar y leer estos mensajes cifrados sin conocer la llave utilizada por el remitente.
+
'''Criptoanálisis''': Es la ciencia de descifrar y leer estos mensajes cifrados sin conocer la llave utilizada por el remitente.
  
 
[[Archivo:Esteganografia.png|derecha|sinmarco]]
 
[[Archivo:Esteganografia.png|derecha|sinmarco]]
• Esteganografía: Es la disciplina en la que se estudian y aplican técnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia.
+
'''Esteganografía''': Es la disciplina en la que se estudian y aplican técnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia.
  
 
[[Archivo:Criptologia.png|derecha|sinmarco]]
 
[[Archivo:Criptologia.png|derecha|sinmarco]]
• Criptología: Es la disciplina que se dedica al estudio de la escritura secreta, es decir, estudia los mensajes que, procesados de cierta manera, se convierten en difíciles o imposibles de leer por entidades no autorizadas.
+
'''Criptología''': Es la disciplina que se dedica al estudio de la escritura secreta, es decir, estudia los mensajes que, procesados de cierta manera, se convierten en difíciles o imposibles de leer por entidades no autorizadas.
  
== Cifrados clásicos ==
+
== '''Cifrados clásicos''' ==
===Cifrado por sustitución===
+
==='''Cifrado por sustitución'''===
* Objetivo: Cada letra o grupo de letras que forma el texto en claro son sustituidos por una letra o grupo de ellas.
+
* '''Objetivo''': Cada letra o grupo de letras que forma el texto en claro son sustituidos por una letra o grupo de ellas.
 
* Cifrado por sustitución monoalfabético
 
* Cifrado por sustitución monoalfabético
 
** Cada letra o grupo de letras que forma el texto en claro son sustituidos por una letra o grupo de ellas.
 
** Cada letra o grupo de letras que forma el texto en claro son sustituidos por una letra o grupo de ellas.
 
** En la sustitución más trivial, un segundo alfabeto se puede obtener del primero desplazando todos los caracteres de éste k unidades.
 
** En la sustitución más trivial, un segundo alfabeto se puede obtener del primero desplazando todos los caracteres de éste k unidades.
==== Cifrado César ====
+
 
 +
==== '''Cifrado César''' ====
 
[[Archivo:Cifrado cesar.png|marco|centro]]
 
[[Archivo:Cifrado cesar.png|marco|centro]]
==== Vulnerabilidad ====
+
 
 +
==== '''Vulnerabilidad''' ====
 
* Los lenguajes presentan propiedades estadísticas de aparición de letras o símbolos y combinaciones de estos, lo cual facilita mucho el trabajo de criptoanálisis.
 
* Los lenguajes presentan propiedades estadísticas de aparición de letras o símbolos y combinaciones de estos, lo cual facilita mucho el trabajo de criptoanálisis.
* Se comenzaría asignando los símbolos más repetidos en el mensaje cifrado o las letras más
+
* Se comenzaría asignando los símbolos más repetidos en el mensaje cifrado o las letras más utilizadas del idioma.
utilizadas del idioma.
 
 
* En idiomas como el inglés, el criptoanalista trabajaría con datos como estos:
 
* En idiomas como el inglés, el criptoanalista trabajaría con datos como estos:
 
** Letras más comunes: e,t,o,a,n,i...
 
** Letras más comunes: e,t,o,a,n,i...
Línea 52: Línea 53:
 
** Tríos de letras más comunes: are, the, ing, and, ion.
 
** Tríos de letras más comunes: are, the, ing, and, ion.
  
===Cifrado por Transposición===
+
==='''Cifrado por Transposición'''===
* Objetivo: Los métodos de transposición, también llamados de permutación, reordenan los símbolos del texto en claro, sin alterar su significado.
+
* '''Objetivo''': Los métodos de transposición, también llamados de permutación, reordenan los símbolos del texto en claro, sin alterar su significado.
 
* Usualmente en este reordenamiento se dispone los símbolos según un cierto patrón geométrico y se extrae posteriormente según una cierta trayectoria.
 
* Usualmente en este reordenamiento se dispone los símbolos según un cierto patrón geométrico y se extrae posteriormente según una cierta trayectoria.
 
[[Archivo:Cifrado tranposicion.png|marco|centro]]
 
[[Archivo:Cifrado tranposicion.png|marco|centro]]
  
====Transposición columnar simple====
+
===='''Transposición columnar simple'''====
 
[[Archivo:Tranposicion columnar simple.png|derecha|sinmarco|408x408px]]
 
[[Archivo:Tranposicion columnar simple.png|derecha|sinmarco|408x408px]]
 
Se considera una matriz bidimensional de
 
Se considera una matriz bidimensional de
Línea 69: Línea 70:
  
  
EJEMPLO
+
'''EJEMPLO'''
  
 
Matriz de 8x5 y el mensaje: “ESTE ES UN
 
Matriz de 8x5 y el mensaje: “ESTE ES UN
Línea 77: Línea 78:
 
COLUMNAR”
 
COLUMNAR”
  
====Transposición columnar con llave====
+
===='''Transposición columnar con llave'''====
 
Se escoge una clave que no tenga caracteres
 
Se escoge una clave que no tenga caracteres
[[Archivo:Tranposicion columnar llave.png|derecha]]
+
[[Archivo:Tranposicion columnar llave.png|derecha|sinmarco|408x408px]]
  
 
repetidos. Con esta clave se numeran las
 
repetidos. Con esta clave se numeran las
Línea 91: Línea 92:
  
  
EJEMPLO
+
'''EJEMPLO'''
  
 
Usando la clave CURSO [C=1 , U=5, R=4,
 
Usando la clave CURSO [C=1 , U=5, R=4,
Línea 101: Línea 102:
 
COLUMNAR”
 
COLUMNAR”
  
== Clasificación ==
+
== '''Criptosistemas Simétricos''' ==
imagen=evaluaciones.png
+
* Sistema criptográfico donde la llave para descifrar un criptograma (K’) se calcula a partir de la llave (K) que se utilizó para cifrar el texto en claro, y viceversa.
 +
* Lo habitual en los criptosistemas de este tipo es que ambas claves (K y K’) coincidan, es decir, que se utilice la misma clave para cifrar un mensaje y para su descifrado.
 +
 
 +
[[Archivo:Cripto simet.png|marco|centro]]
 +
 
 +
=== '''Funcionamiento''' ===
 +
[[Archivo:Fun cripto simet.png|marco|centro]]
 +
 
 +
# Alicia redacta un mensaje.
 +
# Alicia cifra el mensaje con la clave secreta.
 +
# Alicia envía el mensaje cifrado a Roberto a través de Internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio.
 +
# Roberto recibe el mensaje cifrado y lo descifra con la clave secreta.
 +
# Roberto ya puede leer el mensaje original que le mandó Alicia.
 +
 
 +
==== '''Criptografía simétrica''' ====
 +
* '''Ventajas'''
 +
** La simetría del criptosistema hace que los papeles del emisor y receptor sean intercambiables fácilmente.
 +
** Este tipo de criptosistemas mantiene la confidencialidad de la información y confiere autenticidad al emisor.
 +
** La velocidad de cifrado y descifrado es por lo general mayor que otros criptosistemas.
  
=== Auditorías de seguridad ===
+
* '''Desventajas'''
* Se enfocan en la evaluación de personas, procesos, cumplimiento de normas, estándares y políticas de seguridad establecidas para el tipo de entidad.
+
** La distribución de claves exige un canal seguro.
* Incluye entrevistas a directivos, administradores TIC y otros. • Se revisan los componentes de la infraestructura tecnológica, incluyendo aspectos de protección y acceso físico.
+
** En los criptosistemas simétricos, con numerosos interlocutores, el número de claves implicadas es muy grande:(N*(N-1))/2  (Ej. para 20 nodos, es necesario tener 190 llaves y 19 900 para 200 nodos)
* Se realiza sistemáticamente y permite evaluar la preparación de la entidad ante las normas y políticas establecidas
 
  
== Aspectos a tener en cuenta ==
+
===='''Ejemplo de algoritmos simétricos utilizados actualmente'''====
* Las auditorías de seguridad deben basarse en los estándares, normas y resoluciones establecidos para el sector al cual pertenece la entidad.  
+
* AES (Advanced Encryption Standard) es un estándar de criptografía industrial. Ofrece tres tipos de longitudes de claves: 128, 192 y 256 bits.
* La entidad y áreas deben organizar un equipo de facilitadores que suministren la documentación, reuniones y accesos requeridos a los auditores.  
+
* Camellia Desarrollado en Japón, crea claves de 128, 192 y 256 bits. Es utilizado por TLS.
* Una auditoría debe mostrar no solamente las deficiencias de la entidad, sino también recomendaciones para corregirlas.  
+
* Triple DES Diseñado para agrandar el largo de la clave sin necesidad de cambiar el algoritmo Data Encryption Standard (DES), tarjetas de crédito y otros medios de pago electrónicos tienen como estándar el algoritmo Triple DES pero está desapareciendo lentamente, siendo reemplazado por AES que es hasta 6 veces más rápido.
* Deben tenerse en cuenta los resultados de auditorías anteriores y los cambios tecnológicos para determinar el nivel de evolución de la entidad respecto a la seguridad informática.  
+
* Twofish El tamaño de bloque en Twofish es de 128 bits y el tamaño de clave puede llegar hasta 256 bits. Es rápido, flexible y eficiente y es utilizado en las herramientas de gestión de contraseñas y sistemas de pago seguros.
* La solución final de los problemas encontrados será siempre responsabilidad de los directivos que dirigen el área evaluada y la entidad.
 
  
== Evaluación de vulnerabilidades ==
+
== '''Criptosistemas asimétricos''' ==
* Cuando se analiza la seguridad en una red de datos o aplicación informática deben comprobarse un número considerable de cuestiones técnicas.
+
* Sistema criptográfico que usa un par de claves para el envío de mensajes.
* La probable presencia de vulnerabilidades estará en proporción directa con el número de activos informáticos a proteger.  
+
* Las dos claves pertenecen a la misma persona que ha enviado el mensaje:
* Solamente si un especialista de seguridad quisiera comprobar la existencia de puertos abiertos, tendría que revisar, por cada computadora, la habilitación o no, de 65536 puertos de red o al menos, los 1024 puertos más conocidos.
+
** una clave es pública y se puede entregar a cualquier persona,
* ¿Qué tiempo le llevaría a un especialista hacer todas esas comprobaciones para luego analizarlas en su conjunto por puesto de trabajo?
+
** la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.
* La Evaluación de Vulnerabilidades (EV), también conocida como análisis de vulnerabilidades, es un modo de identificar y clasificar problemas o errores en sistemas informáticos o redes de datos.  
+
* Lo que se cifra en emisión con una clave, se descifra en recepción con la otra clave.
* En este tipo de evaluación es una práctica común la utilización de escáneres de vulnerabilidades, los cuales contienen un conjunto de reglas predefinidas y permiten realizar muchas comprobaciones en un tiempo breve.  
+
* Se conoce también como Criptografía de Llave Pública.
* Los escáneres de vulnerabilidades son capaces de identificar problemas de configuración, puertos abiertos, servicios disponibles, aplicaciones instaladas, sistema operativo, presencia de vulnerabilidades conocidas, debilidades en cuentas de usuarios y otros.
 
  
== Tipos de escaneos ==
+
==='''Aplicaciones de la criptografía asimétrica'''===
imagen=escaneos.png
+
[[Archivo:Aplicaciones crip asi.png|marco|centro]]
  
==Ventajas de los escáneres de vulnerabilidades==
+
==='''Funcionamiento | Cifrado de llave pública'''===
* Ahorro de tiempo y recursos en la detección de vulnerabilidades.  
+
[[Archivo:Fun cif llav pub.png|552px|marco|centro]]
* Puede contribuir a preparar a personal sin experiencia para hacer los sistemas más seguros.
+
# Alicia redacta un mensaje.
* Mediante la actualización de sus algoritmos y firmas, pueden identificar nuevas vulnerabilidades.  
+
# Alicia cifra el mensaje con la llave pública de Roberto.
* Pueden ser configurados para detectar vulnerabilidades específicas que puedan afectar determinadas regulaciones a cumplir por la entidad.
+
# Alicia envía el mensaje cifrado a Roberto a través de Internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio.
 +
# Roberto recibe el mensaje cifrado y lo descifra con su llave privada.
 +
# Roberto ya puede leer el mensaje original que le mandó Alicia.
  
== Debilidades de los escáneres de vulnerabilidades ==
+
===Funcionamiento | Firma Digital (simplificada)===
* Emisión de un número alto de falsos positivos.  
+
[[Archivo:Fun fir dig.png|552px|marco|centro]]
* Los escáneres de vulnerabilidades sirven solamente para diagnosticar los sistemas, no para corregir los problemas.  
+
# Alicia redacta un mensaje.
* Requiere de la configuración y seguimiento de un especialista de seguridad.  
+
# Alicia firma digitalmente el mensaje con su llave privada.
* Si un escáner de vulnerabilidades no está actualizado, puede desestimar vulnerabilidades presentes durante una evaluación.  
+
# Alicia envía el mensaje firmado digitalmente a Roberto a través de Internet.
* Un escaneo de vulnerabilidades puede impactar el rendimiento de los sistemas y redes de datos, así como causar daños a la información presente.
+
# Roberto recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la llave pública de Alicia.
 +
# Roberto ya puede leer el mensaje con total seguridad de que ha sido Alicia el remitente.
  
=== Pruebas de penetración ===
+
== '''Criptografía asimétrica''' ==
== Caso de estudio 1 ==
+
* '''Ventajas'''
* Durante un escaneo de vulnerabilidades, se detectó la presencia de la vulnerabilidad CVE-2015-8562 del CMS Joomla, publicada en diciembre del 2015 y cuya explotación llegó a comprometer hasta 20 mil sitios web diarios en Internet en esa fecha.
+
** Solo las llaves privadas son secretas.
* La vulnerabilidad permite la inyección y ejecución de código arbitrario PHP a través del campo de encabezado HTTP User-Agent.
+
** Fácil administración de llaves y menor cantidad de las mismas en una red.
* La vulnerabilidad fue encontrada en el sitio web A y en el sitio web B.
+
** Dependiendo del modo de uso, los pares de llaves son válidos por ciertos períodos de tiempo (usualmente años).
 +
** El número total de claves implicadas siempre va a ser 2 ∗ 𝑛
  
¿Una misma vulnerabilidad puede representar un riesgo diferente para la entidad según el sitio web donde esté presente?
+
* '''Desventajas'''
 +
** Por regla general, los algoritmos asimétricos son más lentos computacionalmente que los algoritmos simétricos.
 +
** Mayor tamaño de llaves para obtener iguales niveles de seguridad que los criptosistemas simétricos.
  
== Caso de estudio 2 ==
+
==='''Ejemplo de Algoritmos asimétricos más utilizados actualmente'''===
* Un sitio web puede estar publicado en internet y otro ser de uso interno.
 
* El servidor web de un sitio puede estar mal configurado y permitir el acceso a otros servidores críticos de la entidad.
 
* Un sitio web puede compartir el servidor con aplicaciones que manejan información de los procesos sustantivos de la entidad.
 
* Un servidor web puede estar configurado para que no ejecute determinados instrucciones PHP y el otro no.
 
* Un sitio web sirve de portada principal de la entidad y el otro no.
 
  
Ningún análisis de este tipo lo proveerá una herramienta automatizada de seguridad
+
* RSA: Nombrado por las iniciales de sus autores (Rivest, Shamir y Adleman) La seguridad de este algoritmo radica en el problema de la factorización de números enteros. Los mensajes enviados se representan mediante números, y el funcionamiento se basa en el producto, conocido, de dos números primos grandes elegidos al azar y mantenidos en secreto.
 +
* Diffie-Hellman: Es un protocolo de establecimiento de claves entre partes que no han tenido contacto previo, utilizando un canal inseguro y de manera anónima (no autenticada). Se emplea generalmente como medio para acordar claves simétricas que serán empleadas para el cifrado de una sesión (establecer clave de sesión).
 +
* ElGamal: Fue descrito por Taher Elgamal en 1984. Este algoritmo no está bajo ninguna patente lo que lo hace de uso libre. Está basado en la idea de Diffie-Hellman y que funciona de una forma parecida a este algoritmo discreto. Puede ser utilizado tanto para generar firmas digitales como para cifrar o descifrar.
  
== Factores claves ==
+
=='''Función resumen o hash'''==
* No basta solamente con detectar las vulnerabilidades: hay que comprobar realmente si existen.
+
* Es una función matemática unidireccional que opera sobre un documento digital, secuencia digital numérica, etc., todos de gran tamaño medido en bits, y brinda como resultado un valor más pequeño y de tamaño fijo, cualquiera sea su entrada, que se utiliza en aplicaciones criptográficas que protegen la integridad de la información.
* No es suficiente el reporte emitido por una herramienta: es necesario una valoración que contextualice la solución en la entidad.  
+
[[Archivo:Fun res hash.png|marco|centro]]
* Las herramientas son solo eso, herramientas que apoyan la labor del especialista de seguridad, pero debe ser este último el que analice y tome las decisiones y no debe convertirse en una extensión más de la herramienta para solo ponerla en marcha mediante el clic en un botón y enviar el reporte cuando esté listo.
 
  
== Pruebas de penetración ==
+
* Una función resumen es una función h la cual cumple propiedades como:
* Método formal para realizar evaluaciones de seguridad en redes de datos y sistemas informáticos, mediante la identificación y explotación controlada de vulnerabilidades y empleando técnicas que simulan una intrusión real.  
+
** Compresión h mapea una entrada x de longitud arbitrariamente finita a una salida h(x) de longitud fija n.
* Su ejecución se enmarca en un proceso formal mediante la contratación de este servicio a empresas consultoras de ciberseguridad o planificación y ejecución por equipos internos de la entidad como parte del Plan de Seguridad Informática.  
+
** Fácil de calcular dado x, calcular h(x) es computacionalmente barato.
* Son conocidas también por el término de pruebas de penetración, pentesting y hacking ético.
+
** Función de un solo sentido es difícil encontrar una entrada, cuyo hash sea un valor resumen pre-especificado.
 +
** Resistencia a colisiones es difícil encontrar dos entradas que tengan el mismo valor resumen.
 +
** Difusión si se modifica un solo bit del mensaje x, el hash h(x) debería cambiar al menos la mitad de sus bits aproximadamente.
  
== ¿Cuándo hacer una prueba de penetración? ==
+
==='''Aplicaciones'''===
* Antes de liberar un nuevo producto de software.
+
* Almacenamiento de contraseñas (Una contraseña debe ser irrecuperable siempre)
* Si se introduce un nuevo activo informático en la infraestructura de la entidad.
+
* Validación de datos
* Cuando se aplican actualizaciones o modificaciones significativas en la aplicación.
+
* Autenticación de paquetes de software
* Después de la aplicación de parches de seguridad.
+
* Identificación de ficheros en redes peer-to-peer
* Si las políticas de seguridad han sido modificadas en los servidores.
+
* Referencias de archivos de video en Youtube
 +
* Implementaciones en protocolos de seguridad y en sistemas tales como SSL/TLS, PGP, IPsec,
 +
* S/MIME, Bitcoin, etc.
 +
* Firma digital
  
* Es muy recomendable la realización de una prueba anual de penetración en la organización.
+
==='''Ejemplos de Funciones Hash más utilizadas'''===
 +
* SHA-3 (Secure Hash Algorithm) versión 3 es una familia de funciones hash de cifrado publicadas por el Instituto Nacional de Normas y Tecnología (NIST) de EE. UU.
 +
* MD5 (abreviatura de Message-Digest Algorithm 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. Uno de sus usos es el de comprobar que algún archivo no haya sido modificado. A pesar de su amplia difusión actual, se han detectado problemas de seguridad desde 1996.
 +
* RIPEMD-160 (acrónimo de RACE Integrity Primitives Evaluation Message Digest) es un algoritmo del resumen del mensaje de 160 bits (y función criptográfica de hash) desarrollado en Europa por Hans Dobbertin, Antoon Bosselaers y Bart Preneel, y publicados primeramente en 1996. Es una versión mejorada de RIPEMD y es similar en seguridad y funcionamiento de SHA-1 .
  
== Fases de una prueba de penetración ==
+
== '''Firma digital''' ==
Imagen=prueba.png
+
* '''Firma digital''': Es un valor numérico que se adhiere a un mensaje o documento y que se obtiene mediante un procedimiento matemático conocido, vinculado a la llave privada del suscriptor iniciador de una comunicación y al texto del mensaje para permitir determinar que este valor se ha obtenido exclusivamente con esa llave privada (secreta) del iniciador, y que el mensaje inicial no ha sido modificado después de efectuada la transformación.
 +
[[Archivo:Firma dig.png|marco|centro]]
 +
[[Archivo:Crea fir dig.png|marco|centro]]
 +
[[Archivo:Ver fir dig.png|marco|centro]]
  
== Aspectos a tener en cuenta ==
+
=== '''Ventajas de la firma digital'''===
* Las pruebas de penetración de alta complejidad y de posible afectación a los sistemas deben hacerse sobre un entorno que simule la infraestructura real.  
+
* Mayor dificultad para suplantar la firma que en un documento de papel.
* Una prueba de penetración depende de la complejidad y el nivel de profundidad al que quiera llegarse.
+
* Permite garantizar la autoría e integridad de los documentos digitales.
* Los atacantes tienen el tiempo a su favor, los defensores no.  
+
* Mayor control sobre el archivo.
* El objetivo de la prueba de penetración es contribuir al aumento de la seguridad, todo lo demás es secundario.
+
* Permite la tramitación digital de la información lo que posibilita brindar servicios a distancia.
 +
* Mayor disponibilidad de la información.
 +
* Ahorro de tiempo.
 +
* Agilidad en los servicios.
 +
* Ahorro de papel, tóner y/o tinta de impresión.
 +
* Ahorro de espacio físico.
 +
* Ahorro de combustible.
 +
[[Archivo:Apl fir dig.png|800px|miniaturadeimagen|centro]]
  
=== Solución de vulnerabilidades y debilidades encontradas ===
+
=='''Certificados digitales e infraestructura de llave pública''' ==
== Solución a los problemas encontrados ==
+
==='''Certificados digitales'''===
* De nada sirve realizar una evaluación de seguridad correcta si no se toman sus recomendaciones como base para solucionar los problemas de seguridad encontrados.
+
* Certificado Digital de Llave Pública: Es un archivo o documento electrónico mediante el cual, una autoridad de certificación (tercero confiable) garantiza la vinculación entre la identidad de un sujeto o entidad (nombre, dirección, número de identidad o pasaporte, y otros elementos de identificación) y una llave criptográfica pública, y es una pieza imprescindible en los protocolos que se usan para autenticar a las partes de una comunicación digital.
* Como se establece en el Decreto No. 360 del Consejo de Ministros, Artículo 80: La dirección de la entidad instrumenta la ejecución de procedimientos periódicos de verificación de la seguridad de sus redes de datos, con la finalidad de detectar posibles vulnerabilidades, incluido para ello, cuando sea procedente y debido a la sensibilidad de estas acciones, la comprobación de forma remota por entidades autorizadas oficialmente.  
+
* Técnicamente, es un pequeño archivo con formato estándar definido por la ITU-T X.509.
* La solución a los problemas de seguridad puede ser sencilla en muchos casos como la aplicación de parches de seguridad pero en otros pueden significar la sustitución del equipamiento, el mantenimiento o desarrollo de un nuevo sistema informático y otras acciones que impactarán en las finanzas de la entidad o en los servicios prestados.
 
  
== Medidas más comunes ==
+
===='''Aplicación de los certificados digitales'''====
* Aplicación de parches de seguridad en forma de actualizaciones de sistemas operativos, aplicaciones, etc.  
+
* Sirven para identificarse ante terceros.
* Instalación de nuevas versiones de sistemas operativos.  
+
* Permiten tomar precauciones contra la suplantación de identidad.
* Aplicaciones de configuraciones de seguridad, tanto en estaciones de trabajos, servidores y herramientas de seguridad.
+
* Los certificados digitales pueden garantizar:
* Reorganización de aplicaciones y servicios entre servidores.  
+
* la autentificación de las partes.
* Incorporación de nuevos servidores.  
+
* la integridad de la transacción.
* Capacitación del personal.  
+
* la confidencialidad de la información.
* Actualizaciones de las Políticas de Seguridad Informática.
+
* el no repudio
  
== Conclusiones ==
+
===='''Infraestructura de Llave Pública (PKI)'''====
 +
La Infraestructura de Llave Pública o PKI (por sus siglas en inglés Public Key Infrastructure), es una combinación de hardware, software, y políticas y procedimientos de seguridad, que permiten la ejecución, con garantías, de operaciones criptográficas, como el cifrado, la firma digital, y el no repudio de transacciones electrónicas.
 +
====='''Componentes de la PKI'''=====
 +
* La Autoridad de Certificación (CA, Certificate Authority) es la encargada de emitir y revocar un certificado. Es la entidad de confianza que da legitimidad a la relación de una clave pública con la identidad de un usuario o servicio.
 +
* La Autoridad de Registro (RA, Registration Authority) es la responsable de verificar el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.
 +
* Los repositorios son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados (CRL, Certificate Revocation List), donde se incluyen todos aquellos certificados que han dejado de ser válidos antes de la fecha establecida.
 +
* La Autoridad de Validación (VA, Validation Authority) es la encargada de comprobar la validez de los certificados digitales.
 +
* La Autoridad de Sellado de Tiempo (TSA, Time Stamp Authority) es la encargada de firmar documentos con la finalidad de probar que existían antes de un determinado instante de tiempo.
 +
* Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI (para validar firmas digitales, cifrar documentos para otros usuarios, etc.)
 
* Las evaluaciones de seguridad son una práctica común en el proceso de seguridad informática de la entidad.  
 
* Las evaluaciones de seguridad son una práctica común en el proceso de seguridad informática de la entidad.  
 
* Las evaluaciones de seguridad no se anulan entre sí, cada una debe aplicarse según sus características y por un personal experto en ello.  
 
* Las evaluaciones de seguridad no se anulan entre sí, cada una debe aplicarse según sus características y por un personal experto en ello.  
 
* Una evaluación de seguridad debe concluir con una serie de recomendaciones y medidas que contribuyan a solucionar los problemas y vulnerabilidades de seguridad halladas.
 
* Una evaluación de seguridad debe concluir con una serie de recomendaciones y medidas que contribuyan a solucionar los problemas y vulnerabilidades de seguridad halladas.
 +
====='''Arquitectura PKI'''=====
 +
[[Archivo:Arquitectura pki.png|marco|centro]]
 +
 +
== '''Aplicaciones comunes de la Criptografía''' ==
 +
==='''Criptosistemas híbridos'''===
 +
* Los criptosistemas simétricos son rápidos pero presentan el problema de la distribución de llaves.
 +
* Los criptosistemas asimétricos son más lentos, pero resuelven el problema de la distribución de llaves.
 +
* La criptografía híbrida usa tanto el cifrado simétrico como el asimétrico.
 +
** Emplea la criptografía de llave pública para compartir una llave para el cifrado simétrico.
 +
** El mensaje que se esté enviando en el momento, se cifra usando su propia clave privada, luego el mensaje cifrado se envía al destinatario.
 +
** Cómo intercambiar una llave simétrica no es seguro, ésta es diferente para cada sesión.
 +
 +
==='''Aplicaciones del protocolo SSL/TLS'''===
 +
* Transport Layer Security (TLS) (Seguridad de la Capa de Transporte) y su antecesor Secure Sockets Layer (SSL, Capa de Puertos Seguros) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
 +
* Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la contraparte con quien se están comunicando y para intercambiar una llave simétrica.
 +
* Esto permite la confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para integridad y como un producto lateral, la autenticación del mensaje.
 +
* Varias versiones del protocolo están en aplicaciones ampliamente utilizadas como navegación web, correo electrónico, fax por Internet, mensajería instantánea, y voz-sobre-IP (VoIP).
 +
[[Archivo:Apl pro ssl tsl.png|marco|centro]]
 +
 +
==='''Protocolo SSH'''===
 +
* Secure Shell (SSH) es un protocolo criptográfico de red para establecer la comunicación segura de datos, servicios de terminal remotos, ejecución de comandos y otros servicios entre dos computadoras sobre una red insegura.
 +
* Permite por tanto la configuración y generación de una conexión TCP cifrada.
 +
* Aplicaciones:
 +
** Administración remota de servidores (SSH).
 +
** Distintos tipos de transferencia de archivos entre nodos (SCP, Rsync)
 +
** Servicio de FTP seguro (SFTP)
 +
** Tunelización de servicios.
 +
[[Archivo:Prot ssh.png|marco|centro]]
 +
 +
==='''Cifrado de unidades de almacenamiento'''===
 +
* En los casos de robos de dispositivos informáticos, los delincuentes pueden acceder a la información existente en las unidades de almacenamiento.
 +
* Para evitar esto, los sistemas operativos modernos brindan un conjunto de funciones que permiten elcifrado de las unidades de disco, particiones y volúmenes.
 +
* Algunos ejemplos son programas como BitLocker (Windows 10), Veracrypt (multiploataforma), funcionalidades de seguridad de Android (cifrado de dispositivo y tarjeta de memoria).
 +
* Estas funcionalidades y programas son suficientes para evitar que delincuentes comunes puedan acceder a la información no clasificada.
 +
 +
==='''Módulo de plataforma confiable'''===
 +
[[Archivo:Mod pla con.png|derecha]]
 +
* El Módulo de Plataforma de Confianza(Trusted Platform Module TPM por sus siglas en inglés) es  el nombre de una especificación detalla un criptoprocesador seguro que puede almacenar llaves de cifrado para proteger información.
 +
* El TPM es un chip pasivo desactivado en la factoría y que solo el propietario de un  omputador equipado con él puede elegir activar.
 +
* Cuando está activado, el TPM solo recibe comandos y datos de la CPU local, realiza su trabajo y devuelve los resultados.
 +
 +
=='''Conclusiones'''==
 +
* La criptografía es un componente fundamental para la aplicación de la ciberseguridad en las entidades.
 +
* Desde el punto de vista organizacional es importante analizar si en su aplicación se están usando las técnicas y criptosistemas recomendados para cada caso.
 +
* La aplicación de la criptografía contribuirá a la seguridad de nuestros sistemas en la misma medida en que seamos cuidadosos con la gestión de los diferentes activos criptográficos como por ejemplo las llaves y certificados, ya sea a nivel de infraestructura o personal.
  
== Vease también ==
+
== '''Vease también''' ==
 
* [[Seguridad Informática]]
 
* [[Seguridad Informática]]
 
* [[Ciberseguridad]]
 
* [[Ciberseguridad]]

última versión al 11:24 20 abr 2021

Criptografía en Ciberseguridad
Información sobre la plantilla
Criptografia.jpg
Concepto:Rama inicial de las Matemáticas y en la actualidad de la Informática y la Telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar y/o proteger un mensaje o archivo por medio de un algoritmo, usando una o más claves.

Criptografía

  • Rama inicial de las Matemáticas y en la actualidad de la Informática y la Telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar y/o proteger un mensaje o archivo por medio de un algoritmo, usando una o más claves.
  • La criptografía permite asegurar tres aspectos básicos de seguridad informática:
    • la confidencialidad,
    • la integridad,
    • y el no repudio.

Introducción

Referentes históricos

Referentes historicos.png

Conceptos

Conceptos.png
Llave clave.png

Llave o clave: Información secreta que se utiliza durante el proceso de Cifrado o Descifrado de los mensajes. Solo es de conocimiento del Emisor y el Receptor. En los criptosistemas asimétricos existe la llave pública que es de total conocimiento.

Algorit.png

Algoritmo criptográfico: Conjunto ordenado de operaciones matemáticas específicas, que implementadas en software o en medios electrónicos realizan secuencialmente y a partir de una lógica, la transformación de una información en texto legible, en texto cifrado ilegible por personas no autorizadas.

Criptoanalisis.png

Criptoanálisis: Es la ciencia de descifrar y leer estos mensajes cifrados sin conocer la llave utilizada por el remitente.

Esteganografia.png

Esteganografía: Es la disciplina en la que se estudian y aplican técnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia.

Criptologia.png

Criptología: Es la disciplina que se dedica al estudio de la escritura secreta, es decir, estudia los mensajes que, procesados de cierta manera, se convierten en difíciles o imposibles de leer por entidades no autorizadas.

Cifrados clásicos

Cifrado por sustitución

  • Objetivo: Cada letra o grupo de letras que forma el texto en claro son sustituidos por una letra o grupo de ellas.
  • Cifrado por sustitución monoalfabético
    • Cada letra o grupo de letras que forma el texto en claro son sustituidos por una letra o grupo de ellas.
    • En la sustitución más trivial, un segundo alfabeto se puede obtener del primero desplazando todos los caracteres de éste k unidades.

Cifrado César

Cifrado cesar.png

Vulnerabilidad

  • Los lenguajes presentan propiedades estadísticas de aparición de letras o símbolos y combinaciones de estos, lo cual facilita mucho el trabajo de criptoanálisis.
  • Se comenzaría asignando los símbolos más repetidos en el mensaje cifrado o las letras más utilizadas del idioma.
  • En idiomas como el inglés, el criptoanalista trabajaría con datos como estos:
    • Letras más comunes: e,t,o,a,n,i...
    • Pares de letras más comunes: th, in, er, re, an.
    • Tríos de letras más comunes: are, the, ing, and, ion.

Cifrado por Transposición

  • Objetivo: Los métodos de transposición, también llamados de permutación, reordenan los símbolos del texto en claro, sin alterar su significado.
  • Usualmente en este reordenamiento se dispone los símbolos según un cierto patrón geométrico y se extrae posteriormente según una cierta trayectoria.
Cifrado tranposicion.png

Transposición columnar simple

Tranposicion columnar simple.png

Se considera una matriz bidimensional de

determinado número de filas y columnas

que se rellena por filas, y de la que se van

obteniendo los caracteres por columnas.


EJEMPLO

Matriz de 8x5 y el mensaje: “ESTE ES UN

EJEMPLO DE TRANSPOSICIÓN

COLUMNAR”

Transposición columnar con llave

Se escoge una clave que no tenga caracteres

Tranposicion columnar llave.png

repetidos. Con esta clave se numeran las

columnas siguiendo el orden alfabético de sus

letras. El criptograma se obtiene leer las

columnas según el orden numérico.


EJEMPLO

Usando la clave CURSO [C=1 , U=5, R=4,

S3=, O=2] y el mensaje: “ESTE ES UN

EJEMPLO DE TRANSPOSICIÓN

COLUMNAR”

Criptosistemas Simétricos

  • Sistema criptográfico donde la llave para descifrar un criptograma (K’) se calcula a partir de la llave (K) que se utilizó para cifrar el texto en claro, y viceversa.
  • Lo habitual en los criptosistemas de este tipo es que ambas claves (K y K’) coincidan, es decir, que se utilice la misma clave para cifrar un mensaje y para su descifrado.
Cripto simet.png

Funcionamiento

Fun cripto simet.png
  1. Alicia redacta un mensaje.
  2. Alicia cifra el mensaje con la clave secreta.
  3. Alicia envía el mensaje cifrado a Roberto a través de Internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio.
  4. Roberto recibe el mensaje cifrado y lo descifra con la clave secreta.
  5. Roberto ya puede leer el mensaje original que le mandó Alicia.

Criptografía simétrica

  • Ventajas
    • La simetría del criptosistema hace que los papeles del emisor y receptor sean intercambiables fácilmente.
    • Este tipo de criptosistemas mantiene la confidencialidad de la información y confiere autenticidad al emisor.
    • La velocidad de cifrado y descifrado es por lo general mayor que otros criptosistemas.
  • Desventajas
    • La distribución de claves exige un canal seguro.
    • En los criptosistemas simétricos, con numerosos interlocutores, el número de claves implicadas es muy grande:(N*(N-1))/2 (Ej. para 20 nodos, es necesario tener 190 llaves y 19 900 para 200 nodos)

Ejemplo de algoritmos simétricos utilizados actualmente

  • AES (Advanced Encryption Standard) es un estándar de criptografía industrial. Ofrece tres tipos de longitudes de claves: 128, 192 y 256 bits.
  • Camellia Desarrollado en Japón, crea claves de 128, 192 y 256 bits. Es utilizado por TLS.
  • Triple DES Diseñado para agrandar el largo de la clave sin necesidad de cambiar el algoritmo Data Encryption Standard (DES), tarjetas de crédito y otros medios de pago electrónicos tienen como estándar el algoritmo Triple DES pero está desapareciendo lentamente, siendo reemplazado por AES que es hasta 6 veces más rápido.
  • Twofish El tamaño de bloque en Twofish es de 128 bits y el tamaño de clave puede llegar hasta 256 bits. Es rápido, flexible y eficiente y es utilizado en las herramientas de gestión de contraseñas y sistemas de pago seguros.

Criptosistemas asimétricos

  • Sistema criptográfico que usa un par de claves para el envío de mensajes.
  • Las dos claves pertenecen a la misma persona que ha enviado el mensaje:
    • una clave es pública y se puede entregar a cualquier persona,
    • la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.
  • Lo que se cifra en emisión con una clave, se descifra en recepción con la otra clave.
  • Se conoce también como Criptografía de Llave Pública.

Aplicaciones de la criptografía asimétrica

Aplicaciones crip asi.png

Funcionamiento | Cifrado de llave pública

Fun cif llav pub.png
  1. Alicia redacta un mensaje.
  2. Alicia cifra el mensaje con la llave pública de Roberto.
  3. Alicia envía el mensaje cifrado a Roberto a través de Internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio.
  4. Roberto recibe el mensaje cifrado y lo descifra con su llave privada.
  5. Roberto ya puede leer el mensaje original que le mandó Alicia.

Funcionamiento | Firma Digital (simplificada)

Fun fir dig.png
  1. Alicia redacta un mensaje.
  2. Alicia firma digitalmente el mensaje con su llave privada.
  3. Alicia envía el mensaje firmado digitalmente a Roberto a través de Internet.
  4. Roberto recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la llave pública de Alicia.
  5. Roberto ya puede leer el mensaje con total seguridad de que ha sido Alicia el remitente.

Criptografía asimétrica

  • Ventajas
    • Solo las llaves privadas son secretas.
    • Fácil administración de llaves y menor cantidad de las mismas en una red.
    • Dependiendo del modo de uso, los pares de llaves son válidos por ciertos períodos de tiempo (usualmente años).
    • El número total de claves implicadas siempre va a ser 2 ∗ 𝑛
  • Desventajas
    • Por regla general, los algoritmos asimétricos son más lentos computacionalmente que los algoritmos simétricos.
    • Mayor tamaño de llaves para obtener iguales niveles de seguridad que los criptosistemas simétricos.

Ejemplo de Algoritmos asimétricos más utilizados actualmente

  • RSA: Nombrado por las iniciales de sus autores (Rivest, Shamir y Adleman) La seguridad de este algoritmo radica en el problema de la factorización de números enteros. Los mensajes enviados se representan mediante números, y el funcionamiento se basa en el producto, conocido, de dos números primos grandes elegidos al azar y mantenidos en secreto.
  • Diffie-Hellman: Es un protocolo de establecimiento de claves entre partes que no han tenido contacto previo, utilizando un canal inseguro y de manera anónima (no autenticada). Se emplea generalmente como medio para acordar claves simétricas que serán empleadas para el cifrado de una sesión (establecer clave de sesión).
  • ElGamal: Fue descrito por Taher Elgamal en 1984. Este algoritmo no está bajo ninguna patente lo que lo hace de uso libre. Está basado en la idea de Diffie-Hellman y que funciona de una forma parecida a este algoritmo discreto. Puede ser utilizado tanto para generar firmas digitales como para cifrar o descifrar.

Función resumen o hash

  • Es una función matemática unidireccional que opera sobre un documento digital, secuencia digital numérica, etc., todos de gran tamaño medido en bits, y brinda como resultado un valor más pequeño y de tamaño fijo, cualquiera sea su entrada, que se utiliza en aplicaciones criptográficas que protegen la integridad de la información.
Fun res hash.png
  • Una función resumen es una función h la cual cumple propiedades como:
    • Compresión h mapea una entrada x de longitud arbitrariamente finita a una salida h(x) de longitud fija n.
    • Fácil de calcular dado x, calcular h(x) es computacionalmente barato.
    • Función de un solo sentido es difícil encontrar una entrada, cuyo hash sea un valor resumen pre-especificado.
    • Resistencia a colisiones es difícil encontrar dos entradas que tengan el mismo valor resumen.
    • Difusión si se modifica un solo bit del mensaje x, el hash h(x) debería cambiar al menos la mitad de sus bits aproximadamente.

Aplicaciones

  • Almacenamiento de contraseñas (Una contraseña debe ser irrecuperable siempre)
  • Validación de datos
  • Autenticación de paquetes de software
  • Identificación de ficheros en redes peer-to-peer
  • Referencias de archivos de video en Youtube
  • Implementaciones en protocolos de seguridad y en sistemas tales como SSL/TLS, PGP, IPsec,
  • S/MIME, Bitcoin, etc.
  • Firma digital

Ejemplos de Funciones Hash más utilizadas

  • SHA-3 (Secure Hash Algorithm) versión 3 es una familia de funciones hash de cifrado publicadas por el Instituto Nacional de Normas y Tecnología (NIST) de EE. UU.
  • MD5 (abreviatura de Message-Digest Algorithm 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. Uno de sus usos es el de comprobar que algún archivo no haya sido modificado. A pesar de su amplia difusión actual, se han detectado problemas de seguridad desde 1996.
  • RIPEMD-160 (acrónimo de RACE Integrity Primitives Evaluation Message Digest) es un algoritmo del resumen del mensaje de 160 bits (y función criptográfica de hash) desarrollado en Europa por Hans Dobbertin, Antoon Bosselaers y Bart Preneel, y publicados primeramente en 1996. Es una versión mejorada de RIPEMD y es similar en seguridad y funcionamiento de SHA-1 .

Firma digital

  • Firma digital: Es un valor numérico que se adhiere a un mensaje o documento y que se obtiene mediante un procedimiento matemático conocido, vinculado a la llave privada del suscriptor iniciador de una comunicación y al texto del mensaje para permitir determinar que este valor se ha obtenido exclusivamente con esa llave privada (secreta) del iniciador, y que el mensaje inicial no ha sido modificado después de efectuada la transformación.
Firma dig.png
Crea fir dig.png
Ver fir dig.png

Ventajas de la firma digital

  • Mayor dificultad para suplantar la firma que en un documento de papel.
  • Permite garantizar la autoría e integridad de los documentos digitales.
  • Mayor control sobre el archivo.
  • Permite la tramitación digital de la información lo que posibilita brindar servicios a distancia.
  • Mayor disponibilidad de la información.
  • Ahorro de tiempo.
  • Agilidad en los servicios.
  • Ahorro de papel, tóner y/o tinta de impresión.
  • Ahorro de espacio físico.
  • Ahorro de combustible.
Apl fir dig.png

Certificados digitales e infraestructura de llave pública

Certificados digitales

  • Certificado Digital de Llave Pública: Es un archivo o documento electrónico mediante el cual, una autoridad de certificación (tercero confiable) garantiza la vinculación entre la identidad de un sujeto o entidad (nombre, dirección, número de identidad o pasaporte, y otros elementos de identificación) y una llave criptográfica pública, y es una pieza imprescindible en los protocolos que se usan para autenticar a las partes de una comunicación digital.
  • Técnicamente, es un pequeño archivo con formato estándar definido por la ITU-T X.509.

Aplicación de los certificados digitales

  • Sirven para identificarse ante terceros.
  • Permiten tomar precauciones contra la suplantación de identidad.
  • Los certificados digitales pueden garantizar:
  • la autentificación de las partes.
  • la integridad de la transacción.
  • la confidencialidad de la información.
  • el no repudio

Infraestructura de Llave Pública (PKI)

La Infraestructura de Llave Pública o PKI (por sus siglas en inglés Public Key Infrastructure), es una combinación de hardware, software, y políticas y procedimientos de seguridad, que permiten la ejecución, con garantías, de operaciones criptográficas, como el cifrado, la firma digital, y el no repudio de transacciones electrónicas.

Componentes de la PKI
  • La Autoridad de Certificación (CA, Certificate Authority) es la encargada de emitir y revocar un certificado. Es la entidad de confianza que da legitimidad a la relación de una clave pública con la identidad de un usuario o servicio.
  • La Autoridad de Registro (RA, Registration Authority) es la responsable de verificar el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.
  • Los repositorios son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados (CRL, Certificate Revocation List), donde se incluyen todos aquellos certificados que han dejado de ser válidos antes de la fecha establecida.
  • La Autoridad de Validación (VA, Validation Authority) es la encargada de comprobar la validez de los certificados digitales.
  • La Autoridad de Sellado de Tiempo (TSA, Time Stamp Authority) es la encargada de firmar documentos con la finalidad de probar que existían antes de un determinado instante de tiempo.
  • Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI (para validar firmas digitales, cifrar documentos para otros usuarios, etc.)
  • Las evaluaciones de seguridad son una práctica común en el proceso de seguridad informática de la entidad.
  • Las evaluaciones de seguridad no se anulan entre sí, cada una debe aplicarse según sus características y por un personal experto en ello.
  • Una evaluación de seguridad debe concluir con una serie de recomendaciones y medidas que contribuyan a solucionar los problemas y vulnerabilidades de seguridad halladas.
Arquitectura PKI
Arquitectura pki.png

Aplicaciones comunes de la Criptografía

Criptosistemas híbridos

  • Los criptosistemas simétricos son rápidos pero presentan el problema de la distribución de llaves.
  • Los criptosistemas asimétricos son más lentos, pero resuelven el problema de la distribución de llaves.
  • La criptografía híbrida usa tanto el cifrado simétrico como el asimétrico.
    • Emplea la criptografía de llave pública para compartir una llave para el cifrado simétrico.
    • El mensaje que se esté enviando en el momento, se cifra usando su propia clave privada, luego el mensaje cifrado se envía al destinatario.
    • Cómo intercambiar una llave simétrica no es seguro, ésta es diferente para cada sesión.

Aplicaciones del protocolo SSL/TLS

  • Transport Layer Security (TLS) (Seguridad de la Capa de Transporte) y su antecesor Secure Sockets Layer (SSL, Capa de Puertos Seguros) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
  • Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la contraparte con quien se están comunicando y para intercambiar una llave simétrica.
  • Esto permite la confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para integridad y como un producto lateral, la autenticación del mensaje.
  • Varias versiones del protocolo están en aplicaciones ampliamente utilizadas como navegación web, correo electrónico, fax por Internet, mensajería instantánea, y voz-sobre-IP (VoIP).
Apl pro ssl tsl.png

Protocolo SSH

  • Secure Shell (SSH) es un protocolo criptográfico de red para establecer la comunicación segura de datos, servicios de terminal remotos, ejecución de comandos y otros servicios entre dos computadoras sobre una red insegura.
  • Permite por tanto la configuración y generación de una conexión TCP cifrada.
  • Aplicaciones:
    • Administración remota de servidores (SSH).
    • Distintos tipos de transferencia de archivos entre nodos (SCP, Rsync)
    • Servicio de FTP seguro (SFTP)
    • Tunelización de servicios.
Prot ssh.png

Cifrado de unidades de almacenamiento

  • En los casos de robos de dispositivos informáticos, los delincuentes pueden acceder a la información existente en las unidades de almacenamiento.
  • Para evitar esto, los sistemas operativos modernos brindan un conjunto de funciones que permiten elcifrado de las unidades de disco, particiones y volúmenes.
  • Algunos ejemplos son programas como BitLocker (Windows 10), Veracrypt (multiploataforma), funcionalidades de seguridad de Android (cifrado de dispositivo y tarjeta de memoria).
  • Estas funcionalidades y programas son suficientes para evitar que delincuentes comunes puedan acceder a la información no clasificada.

Módulo de plataforma confiable

Mod pla con.png
  • El Módulo de Plataforma de Confianza(Trusted Platform Module TPM por sus siglas en inglés) es el nombre de una especificación detalla un criptoprocesador seguro que puede almacenar llaves de cifrado para proteger información.
  • El TPM es un chip pasivo desactivado en la factoría y que solo el propietario de un omputador equipado con él puede elegir activar.
  • Cuando está activado, el TPM solo recibe comandos y datos de la CPU local, realiza su trabajo y devuelve los resultados.

Conclusiones

  • La criptografía es un componente fundamental para la aplicación de la ciberseguridad en las entidades.
  • Desde el punto de vista organizacional es importante analizar si en su aplicación se están usando las técnicas y criptosistemas recomendados para cada caso.
  • La aplicación de la criptografía contribuirá a la seguridad de nuestros sistemas en la misma medida en que seamos cuidadosos con la gestión de los diferentes activos criptográficos como por ejemplo las llaves y certificados, ya sea a nivel de infraestructura o personal.

Vease también

Fuente

  • Curso Fundamentos de la Ciberseguridad. Autores. M.Sc. Henry Raúl González Brito - Dr.C. Walter Baluja García - Dr. C. Raydel Montesino Perurena
  • Manual sobre Seguridad informática.
Obtenido de «https://www.ecured.cu/index.php?title=Criptografía_en_Ciberseguridad&oldid=3921856»