Diferencia entre revisiones de «Criptografía en Ciberseguridad»

Revisión del 14:01 18 abr 2021

Criptografía en Ciberseguridad

Concepto:	Rama inicial de las Matemáticas y en la actualidad de la Informática y la Telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar y/o proteger un mensaje o archivo por medio de un algoritmo, usando una o más claves.

Criptografía

Rama inicial de las Matemáticas y en la actualidad de la Informática y la Telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar y/o proteger un mensaje o archivo por medio de un algoritmo, usando una o más claves.
La criptografía permite asegurar tres aspectos básicos de seguridad informática:
- la confidencialidad,
- la integridad,
- y el no repudio.

Sumario

1 Introducción
- 1.1 Referentes históricos
- 1.2 Conceptos
2 Cifrados clásicos
- 2.1 Cifrado por sustitución
  - 2.1.1 Cifrado César
  - 2.1.2 Vulnerabilidad
- 2.2 Cifrado por Transposición
  - 2.2.1 Transposición columnar simple
  - 2.2.2 Transposición columnar con llave
3 Criptosistemas Simétricos
- 3.1 Funcionamiento
  - 3.1.1 Criptografía simétrica
  - 3.1.2 Ejemplo de algoritmos simétricos utilizados actualmente
4 Criptosistemas asimétricos
5 Criptografía asimétrica
- 5.1 Ejemplo de Algoritmos asimétricos más utilizados actualmente
6 Función resumen o hash
- 6.1 Aplicaciones
- 6.2 Ejemplos de Funciones Hash más utilizadas
7 Firma digital
- 7.1 Ventajas de la firma digital
8 Certificados digitales e infraestructura de llave pública
- 8.1 Certificados digitales
  - 8.1.1 Aplicación de los certificados digitales
  - 8.1.2 Infraestructura de Llave Pública (PKI)
    - 8.1.2.1 Componentes de la PKI
    - 8.1.2.2 Arquitectura PKI
9 Aplicaciones comunes de la Criptografía
10 Conclusiones
11 Vease también
12 Fuente

Introducción

Referentes históricos

Conceptos

• Llave o clave: Información secreta que se utiliza durante el proceso de Cifrado o Descifrado de los mensajes. Solo es de conocimiento del Emisor y el Receptor. En los criptosistemas asimétricos existe la llave pública que es de total conocimiento.

• Algoritmo criptográfico: Conjunto ordenado de operaciones matemáticas específicas, que implementadas en software o en medios electrónicos realizan secuencialmente y a partir de una lógica, la transformación de una información en texto legible, en texto cifrado ilegible por personas no autorizadas.

• Criptoanálisis: Es la ciencia de descifrar y leer estos mensajes cifrados sin conocer la llave utilizada por el remitente.

• Esteganografía: Es la disciplina en la que se estudian y aplican técnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia.

• Criptología: Es la disciplina que se dedica al estudio de la escritura secreta, es decir, estudia los mensajes que, procesados de cierta manera, se convierten en difíciles o imposibles de leer por entidades no autorizadas.

Cifrados clásicos

Cifrado por sustitución

Objetivo: Cada letra o grupo de letras que forma el texto en claro son sustituidos por una letra o grupo de ellas.
Cifrado por sustitución monoalfabético
- Cada letra o grupo de letras que forma el texto en claro son sustituidos por una letra o grupo de ellas.
- En la sustitución más trivial, un segundo alfabeto se puede obtener del primero desplazando todos los caracteres de éste k unidades.

Cifrado César

Vulnerabilidad

Los lenguajes presentan propiedades estadísticas de aparición de letras o símbolos y combinaciones de estos, lo cual facilita mucho el trabajo de criptoanálisis.
Se comenzaría asignando los símbolos más repetidos en el mensaje cifrado o las letras más

utilizadas del idioma.

En idiomas como el inglés, el criptoanalista trabajaría con datos como estos:
- Letras más comunes: e,t,o,a,n,i...
- Pares de letras más comunes: th, in, er, re, an.
- Tríos de letras más comunes: are, the, ing, and, ion.

Cifrado por Transposición

Objetivo: Los métodos de transposición, también llamados de permutación, reordenan los símbolos del texto en claro, sin alterar su significado.
Usualmente en este reordenamiento se dispone los símbolos según un cierto patrón geométrico y se extrae posteriormente según una cierta trayectoria.

Transposición columnar simple

Se considera una matriz bidimensional de

determinado número de filas y columnas

que se rellena por filas, y de la que se van

obteniendo los caracteres por columnas.

EJEMPLO

Matriz de 8x5 y el mensaje: “ESTE ES UN

EJEMPLO DE TRANSPOSICIÓN

COLUMNAR”

Transposición columnar con llave

Se escoge una clave que no tenga caracteres

repetidos. Con esta clave se numeran las

columnas siguiendo el orden alfabético de sus

letras. El criptograma se obtiene leer las

columnas según el orden numérico.

EJEMPLO

Usando la clave CURSO [C=1 , U=5, R=4,

S3=, O=2] y el mensaje: “ESTE ES UN

EJEMPLO DE TRANSPOSICIÓN

COLUMNAR”

Criptosistemas Simétricos

Sistema criptográfico donde la llave para descifrar un criptograma (K’) se calcula a partir de la llave (K) que se utilizó para cifrar el texto en claro, y viceversa.
Lo habitual en los criptosistemas de este tipo es que ambas claves (K y K’) coincidan, es decir, que se utilice la misma clave para cifrar un mensaje y para su descifrado.

Imagen=cripto_simet

Funcionamiento

Imagen=fun_cripto_simet 1. Alicia redacta un mensaje. 2. Alicia cifra el mensaje con la clave secreta 3. Alicia envía el mensaje cifrado a Roberto a través de Internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio. 4. Roberto recibe el mensaje cifrado y lo descifra con la clave secreta 5. Roberto ya puede leer el mensaje original que le mandó Alicia.

Criptografía simétrica

Ventajas
- La simetría del criptosistema hace que los papeles del emisor y receptor sean intercambiables fácilmente.
- Este tipo de criptosistemas mantiene la confidencialidad de la información y confiere autenticidad al emisor.
- La velocidad de cifrado y descifrado es por lo general mayor que otros criptosistemas.
Desventajas
- La distribución de claves exige un canal seguro.
- En los criptosistemas simétricos, con numerosos interlocutores, el número de claves implicadas es muy grande:(N*(N-1))/2 (Ej. para 20 nodos, es necesario tener 190 llaves y 19 900 para 200 nodos)

Ejemplo de algoritmos simétricos utilizados actualmente

AES (Advanced Encryption Standard) es un estándar de criptografía industrial. Ofrece tres tipos de longitudes de claves: 128, 192 y 256 bits.
Camellia Desarrollado en Japón, crea claves de 128, 192 y 256 bits. Es utilizado por TLS.
Triple DES Diseñado para agrandar el largo de la clave sin necesidad de cambiar el algoritmo Data Encryption Standard (DES), tarjetas de crédito y otros medios de pago electrónicos tienen como estándar el algoritmo Triple DES pero está desapareciendo lentamente, siendo reemplazado por AES que es hasta 6 veces más rápido.
Twofish El tamaño de bloque en Twofish es de 128 bits y el tamaño de clave puede llegar hasta 256 bits. Es rápido, flexible y eficiente y es utilizado en las herramientas de gestión de contraseñas y sistemas de pago seguros.

Criptosistemas asimétricos

Sistema criptográfico que usa un par de claves para el envío de mensajes.
Las dos claves pertenecen a la misma persona que ha enviado el mensaje:
- una clave es pública y se puede entregar a cualquier persona,
- la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.
Lo que se cifra en emisión con una clave, se descifra en recepción con la otra clave.
Se conoce también como Criptografía de Llave Pública.

Aplicaciones de la criptografía asimétrica

Imagen=aplicaciones_crip_asi.png

Funcionamiento | Cifrado de llave pública

Imagen=fun_cif_llav_pub.png 1. Alicia redacta un mensaje. 2. Alicia cifra el mensaje con la llave pública de Roberto. 3. Alicia envía el mensaje cifrado a Roberto a través de Internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio. 4. Roberto recibe el mensaje cifrado y lo descifra con su llave privada. 5. Roberto ya puede leer el mensaje original que le mandó Alicia.

Funcionamiento | Firma Digital (simplificada)

Imagen=fun_fir_dig.png 1. Alicia redacta un mensaje. 2. Alicia firma digitalmente el mensaje con su llave privada. 3. Alicia envía el mensaje firmado digitalmente a Roberto a través de Internet. 4. Roberto recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la llave pública de Alicia. 5. Roberto ya puede leer el mensaje con total seguridad de que ha sido Alicia el remitente.

Criptografía asimétrica

Ventajas
- Solo las llaves privadas son secretas.
- Fácil administración de llaves y menor cantidad de las mismas en una red.
- Dependiendo del modo de uso, los pares de llaves son válidos por ciertos períodos de tiempo (usualmente años).
- El número total de claves implicadas siempre va a ser 2 ∗ 𝑛
Desventajas
- Por regla general, los algoritmos asimétricos son más lentos computacionalmente que los

algoritmos simétricos.

- Mayor tamaño de llaves para obtener iguales niveles de seguridad que los criptosistemas

simétricos.

Ejemplo de Algoritmos asimétricos más utilizados actualmente

RSA: Nombrado por las iniciales de sus autores (Rivest, Shamir y Adleman) La seguridad de este algoritmo radica en el problema de la factorización de números enteros. Los mensajes enviados se representan mediante números, y el funcionamiento se basa en el producto, conocido, de dos números primos grandes elegidos al azar y mantenidos en secreto.
Diffie-Hellman: Es un protocolo de establecimiento de claves entre partes que no han tenido

contacto previo, utilizando un canal inseguro y de manera anónima (no autenticada). Se emplea generalmente como medio para acordar claves simétricas que serán empleadas para el cifrado de una sesión (establecer clave de sesión).

ElGamal: Fue descrito por Taher Elgamal en 1984. Este algoritmo no está bajo ninguna patente lo que lo hace de uso libre. Está basado en la idea de Diffie-Hellman y que funciona de una forma parecida a este algoritmo discreto. Puede ser utilizado tanto para generar firmas digitales como para cifrar o descifrar.

Función resumen o hash

Es una función matemática unidireccional que opera sobre un documento digital, secuencia digital numérica, etc., todos de gran tamaño medido en bits, y brinda como resultado un valor más pequeño y de tamaño fijo, cualquiera sea su entrada, que se utiliza en aplicaciones criptográficas que protegen la integridad de la información.

Imagen=fun_res_hash.png

Una función resumen es una función h la cual cumple propiedades como:
- Compresión h mapea una entrada x de longitud arbitrariamente finita a una salida h(x) de longitud fija n.
- Fácil de calcular dado x, calcular h(x) es computacionalmente barato.
- Función de un solo sentido es difícil encontrar una entrada, cuyo hash sea un valor resumen

pre-especificado.

- Resistencia a colisiones es difícil encontrar dos entradas que tengan el mismo valor resumen.
- Difusión si se modifica un solo bit del mensaje x, el hash h(x) debería cambiar al menos la mitad de sus bits aproximadamente.

Aplicaciones

Almacenamiento de contraseñas (Una contraseña debe ser irrecuperable siempre)

* Validación de datos
* Autenticación de paquetes de software
* Identificación de ficheros en redes peer-to-peer
* Referencias de archivos de video en Youtube
* Implementaciones en protocolos de seguridad y en sistemas tales como SSL/TLS, PGP, IPsec,

S/MIME, Bitcoin, etc.

* Firma digital

Ejemplos de Funciones Hash más utilizadas

SHA-3 (Secure Hash Algorithm) versión 3 es una familia de funciones hash de cifrado publicadas por el Instituto Nacional de Normas y Tecnología (NIST) de EE. UU.
MD5 (abreviatura de Message-Digest Algorithm 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. Uno de sus usos es el de comprobar que algún archivo no haya sido modificado. A pesar de su amplia difusión actual, se han detectado problemas de seguridad desde 1996.
RIPEMD-160 (acrónimo de RACE Integrity Primitives Evaluation Message Digest) es un algoritmo del resumen del mensaje de 160 bits (y función criptográfica de hash) desarrollado en Europa por Hans Dobbertin, Antoon Bosselaers y Bart Preneel, y publicados primeramente en 1996. Es una versión mejorada de RIPEMD y es similar en seguridad y funcionamiento de SHA-1 .

Firma digital

Firma digital: Es un valor numérico que se adhiere a un mensaje o documento y que se obtiene mediante un procedimiento matemático conocido, vinculado a la llave privada del suscriptor iniciador de una comunicación y al texto del mensaje para permitir determinar que este valor se ha obtenido exclusivamente con esa llave privada (secreta) del iniciador, y que el mensaje inicial no ha sido modificado después de efectuada la transformación.

Imagen=firma1.png Imagen=crea_firm_dig.png Imagen=ver_firm_dig.png

Ventajas de la firma digital

Mayor dificultad para suplantar la firma que en un documento de papel.
Permite garantizar la autoría e integridad de los documentos digitales.
Mayor control sobre el archivo.
Permite la tramitación digital de la información lo que posibilita brindar servicios a distancia.
Mayor disponibilidad de la información.
Ahorro de tiempo.
Agilidad en los servicios.
Ahorro de papel, tóner y/o tinta de impresión.
Ahorro de espacio físico.
Ahorro de combustible.

Imagen=apl_firm_dig.png

Certificados digitales e infraestructura de llave pública

Certificados digitales

Certificado Digital de Llave Pública: Es un archivo o documento electrónico mediante el cual, una autoridad de certificación (tercero confiable) garantiza la vinculación entre la identidad de un sujeto o entidad (nombre, dirección, número de identidad o pasaporte, y otros elementos de identificación) y una llave criptográfica pública, y es una pieza imprescindible en los protocolos que se usan para autenticar a las partes de una comunicación digital.
Técnicamente, es un pequeño archivo con formato estándar definido por la ITU-T X.509.

Aplicación de los certificados digitales

Sirven para identificarse ante terceros.
Permiten tomar precauciones contra la suplantación de identidad.
Los certificados digitales pueden garantizar:
la autentificación de las partes.
la integridad de la transacción.
la confidencialidad de la información.
el no repudio

Infraestructura de Llave Pública (PKI)

La Infraestructura de Llave Pública o PKI (por sus siglas en inglés Public Key Infrastructure), es una combinación de hardware, software, y políticas y procedimientos de seguridad, que permiten la ejecución, con garantías, de operaciones criptográficas, como el cifrado, la firma digital, y el no repudio de transacciones electrónicas.

Componentes de la PKI

La Autoridad de Certificación (CA, Certificate Authority) es la encargada de emitir y revocar un certificado. Es la entidad de confianza que da legitimidad a la relación de una clave pública con la identidad de un usuario o servicio.
La Autoridad de Registro (RA, Registration Authority) es la responsable de verificar el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.
Los repositorios son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados (CRL, Certificate Revocation List), donde se incluyen todos aquellos certificados que han dejado de ser válidos antes de la fecha establecida.
La Autoridad de Validación (VA, Validation Authority) es la encargada de comprobar la validez de los certificados digitales.
La Autoridad de Sellado de Tiempo (TSA, Time Stamp Authority) es la encargada de firmar documentos con la finalidad de probar que existían antes de un determinado instante de tiempo.
Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI (para validar firmas digitales, cifrar documentos para otros usuarios, etc.)
Las evaluaciones de seguridad son una práctica común en el proceso de seguridad informática de la entidad.
Las evaluaciones de seguridad no se anulan entre sí, cada una debe aplicarse según sus características y por un personal experto en ello.
Una evaluación de seguridad debe concluir con una serie de recomendaciones y medidas que contribuyan a solucionar los problemas y vulnerabilidades de seguridad halladas.

Arquitectura PKI

Imagen=arquitectura_pki.png

Aplicaciones comunes de la Criptografía

Criptosistemas híbridos

Los criptosistemas simétricos son rápidos pero presentan el problema de la distribución de llaves.
Los criptosistemas asimétricos son más lentos, pero resuelven el problema de la distribución de llaves.
La criptografía híbrida usa tanto el cifrado simétrico como el asimétrico.
- Emplea la criptografía de llave pública para compartir una llave para el cifrado simétrico.
- El mensaje que se esté enviando en el momento, se cifra usando su propia clave privada, luego el mensaje cifrado se envía al destinatario.
- Cómo intercambiar una llave simétrica no es seguro, ésta es diferente para cada sesión.

Aplicaciones del protocolo SSL/TLS

Transport Layer Security (TLS) (Seguridad de la Capa de Transporte) y su antecesor Secure Sockets Layer (SSL, Capa de Puertos Seguros) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la contraparte con quien se están comunicando y para intercambiar una llave simétrica.
Esto permite la confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para integridad y como un producto lateral, la autenticación del mensaje.
Varias versiones del protocolo están en aplicaciones ampliamente utilizadas como navegación web, correo electrónico, fax por Internet, mensajería instantánea, y voz-sobre-IP (VoIP).

Imagen=apl_pro_ssl_tls.png

Protocolo SSH

Secure Shell (SSH) es un protocolo criptográfico de red para establecer la comunicación segura de datos, servicios de terminal remotos, ejecución de comandos y otros servicios entre dos computadoras sobre una red insegura.
Permite por tanto la configuración y generación de una conexión TCP cifrada.
Aplicaciones:
- Administración remota de servidores (SSH).
- Distintos tipos de transferencia de archivos entre nodos (SCP, Rsync)
- Servicio de FTP seguro (SFTP)
- Tunelización de servicios.

Imagen=prot_ssh.png

Cifrado de unidades de almacenamiento

En los casos de robos de dispositivos informáticos, los delincuentes pueden acceder a la información existente en las unidades de almacenamiento.
Para evitar esto, los sistemas operativos modernos brindan un conjunto de funciones que permiten elcifrado de las unidades de disco, particiones y volúmenes.
Algunos ejemplos son programas como BitLocker (Windows 10), Veracrypt (multiploataforma), funcionalidades de seguridad de Android (cifrado de dispositivo y tarjeta de memoria).
Estas funcionalidades y programas son suficientes para evitar que delincuentes comunes puedan acceder a la información no clasificada.

Módulo de plataforma confiable

El Módulo de Plataforma de Confianza (Trusted Platform imagen=mod_pla_con.png

Module TPM por sus siglas en inglés) es el nombre de una especificación detalla un criptoprocesador seguro que puede almacenar llaves de cifrado para proteger información.

El TPM es un chip pasivo desactivado en la factoría y

que solo el propietario de un computador equipado con él puede elegir activar.

Cuando está activado, el TPM solo recibe comandos y

datos de la CPU local, realiza su trabajo y devuelve los resultados.

Conclusiones

La criptografía es un componente fundamental para la aplicación de la ciberseguridad en las entidades.
Desde el punto de vista organizacional es importante analizar si en su aplicación se están usando las técnicas y criptosistemas recomendados para cada caso.
La aplicación de la criptografía contribuirá a la seguridad de nuestros sistemas en la misma medida en que seamos cuidadosos con la gestión de los diferentes activos criptográficos como por ejemplo las llaves y certificados, ya sea a nivel de infraestructura o personal.

Vease también

Fuente

Curso Fundamentos de la Ciberseguridad. Autores. M.Sc. Henry Raúl González Brito - Dr.C. Walter Baluja García - Dr. C. Raydel Montesino Perurena
Manual sobre Seguridad informática.

@@ Línea 79: / Línea 79: @@
 ====Transposición columnar con llave====
 Se escoge una clave que no tenga caracteres
-[[Archivo:Tranposicion columnar llave.png|derecha]]
+[[Archivo:Tranposicion columnar llave.png|derecha|sinmarco|408x408px]]
 repetidos. Con esta clave se numeran las
@@ Línea 101: / Línea 101: @@
 COLUMNAR”
-== Clasificación ==
+== Criptosistemas Simétricos ==
-imagen=evaluaciones.png
+* Sistema criptográfico donde la llave para descifrar un criptograma (K’) se calcula a partir de la llave (K) que se utilizó para cifrar el texto en claro, y viceversa.
+* Lo habitual en los criptosistemas de este tipo es que ambas claves (K y K’) coincidan, es decir, que se utilice la misma clave para cifrar un mensaje y para su descifrado.
-=== Auditorías de seguridad ===
+Imagen=cripto_simet
-* Se enfocan en la evaluación de personas, procesos, cumplimiento de normas, estándares y políticas de seguridad establecidas para el tipo de entidad.
-* Incluye entrevistas a directivos, administradores TIC y otros. • Se revisan los componentes de la infraestructura tecnológica, incluyendo aspectos de protección y acceso físico.
-* Se realiza sistemáticamente y permite evaluar la preparación de la entidad ante las normas y políticas establecidas
-== Aspectos a tener en cuenta ==
+=== Funcionamiento ===
-* Las auditorías de seguridad deben basarse en los estándares, normas y resoluciones establecidos para el sector al cual pertenece la entidad.
+Imagen=fun_cripto_simet
-* La entidad y áreas deben organizar un equipo de facilitadores que suministren la documentación, reuniones y accesos requeridos a los auditores.
+. Alicia redacta un mensaje.
-* Una auditoría debe mostrar no solamente las deficiencias de la entidad, sino también recomendaciones para corregirlas.
+. Alicia cifra el mensaje con la clave secreta
-* Deben tenerse en cuenta los resultados de auditorías anteriores y los cambios tecnológicos para determinar el nivel de evolución de la entidad respecto a la seguridad informática.
+. Alicia envía el mensaje cifrado a Roberto a través de Internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio.
-* La solución final de los problemas encontrados será siempre responsabilidad de los directivos que dirigen el área evaluada y la entidad.
+. Roberto recibe el mensaje cifrado y lo descifra con la clave secreta
+. Roberto ya puede leer el mensaje original que le mandó Alicia.
-== Evaluación de vulnerabilidades ==
+==== Criptografía simétrica ====
-* Cuando se analiza la seguridad en una red de datos o aplicación informática deben comprobarse un número considerable de cuestiones técnicas.
+* Ventajas
-* La probable presencia de vulnerabilidades estará en proporción directa con el número de activos informáticos a proteger.
+** La simetría del criptosistema hace que los papeles del emisor y receptor sean intercambiables fácilmente.
-* Solamente si un especialista de seguridad quisiera comprobar la existencia de puertos abiertos, tendría que revisar, por cada computadora, la habilitación o no, de 65536 puertos de red o al menos, los 1024 puertos más conocidos.
+** Este tipo de criptosistemas mantiene la confidencialidad de la información y confiere autenticidad al emisor.
-* ¿Qué tiempo le llevaría a un especialista hacer todas esas comprobaciones para luego analizarlas en su conjunto por puesto de trabajo?
+** La velocidad de cifrado y descifrado es por lo general mayor que otros criptosistemas.
-* La Evaluación de Vulnerabilidades (EV), también conocida como análisis de vulnerabilidades, es un modo de identificar y clasificar problemas o errores en sistemas informáticos o redes de datos.
+* Desventajas
-* En este tipo de evaluación es una práctica común la utilización de escáneres de vulnerabilidades, los cuales contienen un conjunto de reglas predefinidas y permiten realizar muchas comprobaciones en un tiempo breve.
+** La distribución de claves exige un canal seguro.
-* Los escáneres de vulnerabilidades son capaces de identificar problemas de configuración, puertos abiertos, servicios disponibles, aplicaciones instaladas, sistema operativo, presencia de vulnerabilidades conocidas, debilidades en cuentas de usuarios y otros.
+** En los criptosistemas simétricos, con numerosos interlocutores, el número de claves implicadas es muy grande:(N*(N-1))/2  (Ej. para 20 nodos, es necesario tener 190 llaves y 19 900 para 200 nodos)
-== Tipos de escaneos ==
+====Ejemplo de algoritmos simétricos utilizados actualmente====
-imagen=escaneos.png
+* AES (Advanced Encryption Standard) es un estándar de criptografía industrial. Ofrece tres tipos de longitudes de claves: 128, 192 y 256 bits.
+* Camellia Desarrollado en Japón, crea claves de 128, 192 y 256 bits. Es utilizado por TLS.
+* Triple DES Diseñado para agrandar el largo de la clave sin necesidad de cambiar el algoritmo Data Encryption Standard (DES), tarjetas de crédito y otros medios de pago electrónicos tienen como estándar el algoritmo Triple DES pero está desapareciendo lentamente, siendo reemplazado por AES que es hasta 6 veces más rápido.
+* Twofish El tamaño de bloque en Twofish es de 128 bits y el tamaño de clave puede llegar hasta 256 bits. Es rápido, flexible y eficiente y es utilizado en las herramientas de gestión de contraseñas y sistemas de pago seguros.
-==Ventajas de los escáneres de vulnerabilidades==
+== Criptosistemas asimétricos ==
-* Ahorro de tiempo y recursos en la detección de vulnerabilidades.
+* Sistema criptográfico que usa un par de claves para el envío de mensajes.
-* Puede contribuir a preparar a personal sin experiencia para hacer los sistemas más seguros.
+* Las dos claves pertenecen a la misma persona que ha enviado el mensaje:
-* Mediante la actualización de sus algoritmos y firmas, pueden identificar nuevas vulnerabilidades.
+** una clave es pública y se puede entregar a cualquier persona,
-* Pueden ser configurados para detectar vulnerabilidades específicas que puedan afectar determinadas regulaciones a cumplir por la entidad.
+** la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.
+* Lo que se cifra en emisión con una clave, se descifra en recepción con la otra clave.
+* Se conoce también como Criptografía de Llave Pública.
-== Debilidades de los escáneres de vulnerabilidades ==
+===Aplicaciones de la criptografía asimétrica===
-* Emisión de un número alto de falsos positivos.
+Imagen=aplicaciones_crip_asi.png
-* Los escáneres de vulnerabilidades sirven solamente para diagnosticar los sistemas, no para corregir los problemas.
-* Requiere de la configuración y seguimiento de un especialista de seguridad.
-* Si un escáner de vulnerabilidades no está actualizado, puede desestimar vulnerabilidades presentes durante una evaluación.
-* Un escaneo de vulnerabilidades puede impactar el rendimiento de los sistemas y redes de datos, así como causar daños a la información presente.
-=== Pruebas de penetración ===
+===Funcionamiento | Cifrado de llave pública===
-== Caso de estudio 1 ==
+Imagen=fun_cif_llav_pub.png
-* Durante un escaneo de vulnerabilidades, se detectó la presencia de la vulnerabilidad CVE-2015-8562 del CMS Joomla, publicada en diciembre del 2015 y cuya explotación llegó a comprometer hasta 20 mil sitios web diarios en Internet en esa fecha.
+. Alicia redacta un mensaje.
-* La vulnerabilidad permite la inyección y ejecución de código arbitrario PHP a través del campo de encabezado HTTP User-Agent.
+. Alicia cifra el mensaje con la llave pública de Roberto.
-* La vulnerabilidad fue encontrada en el sitio web A y en el sitio web B.
+. Alicia envía el mensaje cifrado a Roberto a través de Internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio.
+. Roberto recibe el mensaje cifrado y lo descifra con su llave privada.
+. Roberto ya puede leer el mensaje original que le mandó Alicia.
-¿Una misma vulnerabilidad puede representar un riesgo diferente para la entidad según el sitio web donde esté presente?
+===Funcionamiento | Firma Digital (simplificada)===
+Imagen=fun_fir_dig.png
+. Alicia redacta un mensaje.
+. Alicia firma digitalmente el mensaje con su llave privada.
+. Alicia envía el mensaje firmado digitalmente a Roberto a través de Internet.
+. Roberto recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la llave pública de Alicia.
+. Roberto ya puede leer el mensaje con total seguridad de que ha sido Alicia el remitente.
-== Caso de estudio 2 ==
+== Criptografía asimétrica ==
-* Un sitio web puede estar publicado en internet y otro ser de uso interno.
+* Ventajas
-* El servidor web de un sitio puede estar mal configurado y permitir el acceso a otros servidores críticos de la entidad.
+** Solo las llaves privadas son secretas.
-* Un sitio web puede compartir el servidor con aplicaciones que manejan información de los procesos sustantivos de la entidad.
+** Fácil administración de llaves y menor cantidad de las mismas en una red.
-* Un servidor web puede estar configurado para que no ejecute determinados instrucciones PHP y el otro no.
+** Dependiendo del modo de uso, los pares de llaves son válidos por ciertos períodos de tiempo (usualmente años).
-* Un sitio web sirve de portada principal de la entidad y el otro no.
+** El número total de claves implicadas siempre va a ser 2 ∗ 𝑛
+* Desventajas
+** Por regla general, los algoritmos asimétricos son más lentos computacionalmente que los
+algoritmos simétricos.
+** Mayor tamaño de llaves para obtener iguales niveles de seguridad que los criptosistemas
+simétricos.
-Ningún análisis de este tipo lo proveerá una herramienta automatizada de seguridad
+=== Ejemplo de Algoritmos asimétricos más utilizados actualmente===
+* RSA: Nombrado por las iniciales de sus autores (Rivest, Shamir y Adleman) La seguridad de este algoritmo radica en el problema de la factorización de números enteros. Los mensajes enviados se representan mediante números, y el funcionamiento se basa en el producto, conocido, de dos números primos grandes elegidos al azar y mantenidos en secreto.
+* Diffie-Hellman: Es un protocolo de establecimiento de claves entre partes que no han tenido
+contacto previo, utilizando un canal inseguro y de manera anónima (no autenticada). Se
+emplea generalmente como medio para acordar claves simétricas que serán empleadas
+para el cifrado de una sesión (establecer clave de sesión).
+* ElGamal: Fue descrito por Taher Elgamal en 1984. Este algoritmo no está bajo ninguna patente lo que lo hace de uso libre. Está basado en la idea de Diffie-Hellman y que funciona de una forma parecida a este algoritmo discreto. Puede ser utilizado tanto para generar firmas digitales como para cifrar o descifrar.
-== Factores claves ==
+== Función resumen o hash==
-* No basta solamente con detectar las vulnerabilidades: hay que comprobar realmente si existen.
+* Es una función matemática unidireccional que opera sobre un documento digital, secuencia digital numérica, etc., todos de gran tamaño medido en bits, y brinda como resultado un valor más pequeño y de tamaño fijo, cualquiera sea su entrada, que se utiliza en aplicaciones criptográficas que protegen la integridad de la información.
-* No es suficiente el reporte emitido por una herramienta: es necesario una valoración que contextualice la solución en la entidad.
+Imagen=fun_res_hash.png
-* Las herramientas son solo eso, herramientas que apoyan la labor del especialista de seguridad, pero debe ser este último el que analice y tome las decisiones y no debe convertirse en una extensión más de la herramienta para solo ponerla en marcha mediante el clic en un botón y enviar el reporte cuando esté listo.
+* Una función resumen es una función h la cual cumple propiedades como:
+** Compresión h mapea una entrada x de longitud arbitrariamente finita a una salida h(x) de longitud fija n.
+** Fácil de calcular dado x, calcular h(x) es computacionalmente barato.
+** Función de un solo sentido es difícil encontrar una entrada, cuyo hash sea un valor resumen
+pre-especificado.
+** Resistencia a colisiones es difícil encontrar dos entradas que tengan el mismo valor resumen.
+** Difusión si se modifica un solo bit del mensaje x, el hash h(x) debería cambiar al menos la mitad de sus bits aproximadamente.
-== Pruebas de penetración ==
+=== Aplicaciones ===
-* Método formal para realizar evaluaciones de seguridad en redes de datos y sistemas informáticos, mediante la identificación y explotación controlada de vulnerabilidades y empleando técnicas que simulan una intrusión real.
+* Almacenamiento de contraseñas (Una contraseña debe ser irrecuperable siempre)
-* Su ejecución se enmarca en un proceso formal mediante la contratación de este servicio a empresas consultoras de ciberseguridad o planificación y ejecución por equipos internos de la entidad como parte del Plan de Seguridad Informática.
+ * Validación de datos
-* Son conocidas también por el término de pruebas de penetración, pentesting y hacking ético.
+ * Autenticación de paquetes de software
+ * Identificación de ficheros en redes peer-to-peer
+ * Referencias de archivos de video en Youtube
+ * Implementaciones en protocolos de seguridad y en sistemas tales como SSL/TLS, PGP, IPsec,
+* S/MIME, Bitcoin, etc.
+ * Firma digital
-== ¿Cuándo hacer una prueba de penetración? ==
+=== Ejemplos de Funciones Hash más utilizadas===
-* Antes de liberar un nuevo producto de software.
+* SHA-3 (Secure Hash Algorithm) versión 3 es una familia de funciones hash de cifrado publicadas por el Instituto Nacional de Normas y Tecnología (NIST) de EE. UU.
-* Si se introduce un nuevo activo informático en la infraestructura de la entidad.
+* MD5 (abreviatura de Message-Digest Algorithm 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. Uno de sus usos es el de comprobar que algún archivo no haya sido modificado. A pesar de su amplia difusión actual, se han detectado problemas de seguridad desde 1996.
-* Cuando se aplican actualizaciones o modificaciones significativas en la aplicación.
+* RIPEMD-160 (acrónimo de RACE Integrity Primitives Evaluation Message Digest) es un algoritmo del resumen del mensaje de 160 bits (y función criptográfica de hash) desarrollado en Europa por Hans Dobbertin, Antoon Bosselaers y Bart Preneel, y publicados primeramente en 1996. Es una versión mejorada de RIPEMD y es similar en seguridad y funcionamiento de SHA-1 .
-* Después de la aplicación de parches de seguridad.
-* Si las políticas de seguridad han sido modificadas en los servidores.
-* Es muy recomendable la realización de una prueba anual de penetración en la organización.
+== Firma digital ==
+* Firma digital: Es un valor numérico que se adhiere a un mensaje o documento y que se obtiene mediante un procedimiento matemático conocido, vinculado a la llave privada del suscriptor iniciador de una comunicación y al texto del mensaje para permitir determinar que este valor se ha obtenido exclusivamente con esa llave privada (secreta) del iniciador, y que el mensaje inicial no ha sido modificado después de efectuada la transformación.
+Imagen=firma1.png
+Imagen=crea_firm_dig.png
+Imagen=ver_firm_dig.png
-== Fases de una prueba de penetración ==
+=== Ventajas de la firma digital===
-Imagen=prueba.png
+* Mayor dificultad para suplantar la firma que en un documento de papel.
+* Permite garantizar la autoría e integridad de los documentos digitales.
+* Mayor control sobre el archivo.
+* Permite la tramitación digital de la información lo que posibilita brindar servicios a distancia.
+* Mayor disponibilidad de la información.
+* Ahorro de tiempo.
+* Agilidad en los servicios.
+* Ahorro de papel, tóner y/o tinta de impresión.
+* Ahorro de espacio físico.
+* Ahorro de combustible.
+Imagen=apl_firm_dig.png
-== Aspectos a tener en cuenta ==
+==Certificados digitales e infraestructura de llave pública ==
-* Las pruebas de penetración de alta complejidad y de posible afectación a los sistemas deben hacerse sobre un entorno que simule la infraestructura real.
+===Certificados digitales ===
-* Una prueba de penetración depende de la complejidad y el nivel de profundidad al que quiera llegarse.
+* Certificado Digital de Llave Pública: Es un archivo o documento electrónico mediante el cual, una autoridad de certificación (tercero confiable) garantiza la vinculación entre la identidad de un sujeto o entidad (nombre, dirección, número de identidad o pasaporte, y otros elementos de identificación) y una llave criptográfica pública, y es una pieza imprescindible en los protocolos que se usan para autenticar a las partes de una comunicación digital.
-* Los atacantes tienen el tiempo a su favor, los defensores no.
+* Técnicamente, es un pequeño archivo con formato estándar definido por la ITU-T X.509.
-* El objetivo de la prueba de penetración es contribuir al aumento de la seguridad, todo lo demás es secundario.
+====Aplicación de los certificados digitales====
+* Sirven para identificarse ante terceros.
+* Permiten tomar precauciones contra la suplantación de identidad.
+* Los certificados digitales pueden garantizar:
+* la autentificación de las partes.
+* la integridad de la transacción.
+* la confidencialidad de la información.
+* el no repudio
-=== Solución de vulnerabilidades y debilidades encontradas ===
+====Infraestructura de Llave Pública (PKI)====
-== Solución a los problemas encontrados ==
+La Infraestructura de Llave Pública o PKI (por sus siglas en inglés Public Key Infrastructure), es una combinación de hardware, software, y políticas y procedimientos de seguridad, que permiten la ejecución, con garantías, de operaciones criptográficas, como el cifrado, la firma digital, y el no repudio de transacciones electrónicas.
-* De nada sirve realizar una evaluación de seguridad correcta si no se toman sus recomendaciones como base para solucionar los problemas de seguridad encontrados.
+=====Componentes de la PKI=====
-* Como se establece en el Decreto No. 360 del Consejo de Ministros, Artículo 80: La dirección de la entidad instrumenta la ejecución de procedimientos periódicos de verificación de la seguridad de sus redes de datos, con la finalidad de detectar posibles vulnerabilidades, incluido para ello, cuando sea procedente y debido a la sensibilidad de estas acciones, la comprobación de forma remota por entidades autorizadas oficialmente.
+* La Autoridad de Certificación (CA, Certificate Authority) es la encargada de emitir y revocar un certificado. Es la entidad de confianza que da legitimidad a la relación de una clave pública con la identidad de un usuario o servicio.
-* La solución a los problemas de seguridad puede ser sencilla en muchos casos como la aplicación de parches de seguridad pero en otros pueden significar la sustitución del equipamiento, el mantenimiento o desarrollo de un nuevo sistema informático y otras acciones que impactarán en las finanzas de la entidad o en los servicios prestados.
+* La Autoridad de Registro (RA, Registration Authority) es la responsable de verificar el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.
+* Los repositorios son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados (CRL, Certificate Revocation List), donde se incluyen todos aquellos certificados que han dejado de ser válidos antes de la fecha establecida.
-== Medidas más comunes ==
+* La Autoridad de Validación (VA, Validation Authority) es la encargada de comprobar la validez de los certificados digitales.
-* Aplicación de parches de seguridad en forma de actualizaciones de sistemas operativos, aplicaciones, etc.
+* La Autoridad de Sellado de Tiempo (TSA, Time Stamp Authority) es la encargada de firmar documentos con la finalidad de probar que existían antes de un determinado instante de tiempo.
-* Instalación de nuevas versiones de sistemas operativos.
+* Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI (para validar firmas digitales, cifrar documentos para otros usuarios, etc.)
-* Aplicaciones de configuraciones de seguridad, tanto en estaciones de trabajos, servidores y herramientas de seguridad.
-* Reorganización de aplicaciones y servicios entre servidores.
-* Incorporación de nuevos servidores.
-* Capacitación del personal.
-* Actualizaciones de las Políticas de Seguridad Informática.
-== Conclusiones ==
 * Las evaluaciones de seguridad son una práctica común en el proceso de seguridad informática de la entidad.
 * Las evaluaciones de seguridad no se anulan entre sí, cada una debe aplicarse según sus características y por un personal experto en ello.
 * Una evaluación de seguridad debe concluir con una serie de recomendaciones y medidas que contribuyan a solucionar los problemas y vulnerabilidades de seguridad halladas.
+=====Arquitectura PKI=====
+Imagen=arquitectura_pki.png
+== Aplicaciones comunes de la Criptografía ==
+===Criptosistemas híbridos===
+* Los criptosistemas simétricos son rápidos pero presentan el problema de la distribución de llaves.
+* Los criptosistemas asimétricos son más lentos, pero resuelven el problema de la distribución de llaves.
+* La criptografía híbrida usa tanto el cifrado simétrico como el asimétrico.
+** Emplea la criptografía de llave pública para compartir una llave para el cifrado simétrico.
+** El mensaje que se esté enviando en el momento, se cifra usando su propia clave privada, luego el mensaje cifrado se envía al destinatario.
+** Cómo intercambiar una llave simétrica no es seguro, ésta es diferente para cada sesión.
+===Aplicaciones del protocolo SSL/TLS===
+* Transport Layer Security (TLS) (Seguridad de la Capa de Transporte) y su antecesor Secure Sockets Layer (SSL, Capa de Puertos Seguros) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
+* Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la contraparte con quien se están comunicando y para intercambiar una llave simétrica.
+* Esto permite la confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para integridad y como un producto lateral, la autenticación del mensaje.
+* Varias versiones del protocolo están en aplicaciones ampliamente utilizadas como navegación web, correo electrónico, fax por Internet, mensajería instantánea, y voz-sobre-IP (VoIP).
+Imagen=apl_pro_ssl_tls.png
+===Protocolo SSH===
+* Secure Shell (SSH) es un protocolo criptográfico de red para establecer la comunicación segura de datos, servicios de terminal remotos, ejecución de comandos y otros servicios entre dos computadoras sobre una red insegura.
+* Permite por tanto la configuración y generación de una conexión TCP cifrada.
+* Aplicaciones:
+** Administración remota de servidores (SSH).
+** Distintos tipos de transferencia de archivos entre nodos (SCP, Rsync)
+** Servicio de FTP seguro (SFTP)
+** Tunelización de servicios.
+Imagen=prot_ssh.png
+===Cifrado de unidades de almacenamiento===
+* En los casos de robos de dispositivos informáticos, los delincuentes pueden acceder a la información existente en las unidades de almacenamiento.
+* Para evitar esto, los sistemas operativos modernos brindan un conjunto de funciones que permiten elcifrado de las unidades de disco, particiones y volúmenes.
+* Algunos ejemplos son programas como BitLocker (Windows 10), Veracrypt (multiploataforma), funcionalidades de seguridad de Android (cifrado de dispositivo y tarjeta de memoria).
+* Estas funcionalidades y programas son suficientes para evitar que delincuentes comunes puedan acceder a la información no clasificada.
+===Módulo de plataforma confiable===
+* El Módulo de Plataforma de Confianza (Trusted Platform imagen=mod_pla_con.png
+Module TPM por sus siglas en inglés) es el nombre de
+una especificación detalla un criptoprocesador seguro
+que puede almacenar llaves de cifrado para proteger
+información.
+* El TPM es un chip pasivo desactivado en la factoría y
+que solo el propietario de un computador equipado con
+él puede elegir activar.
+* Cuando está activado, el TPM solo recibe comandos y
+datos de la CPU local, realiza su trabajo y devuelve los
+resultados.
+==Conclusiones==
+* La criptografía es un componente fundamental para la aplicación de la ciberseguridad en las entidades.
+* Desde el punto de vista organizacional es importante analizar si en su aplicación se están usando las técnicas y criptosistemas recomendados para cada caso.
+* La aplicación de la criptografía contribuirá a la seguridad de nuestros sistemas en la misma medida en que seamos cuidadosos con la gestión de los diferentes activos criptográficos como por ejemplo las llaves y certificados, ya sea a nivel de infraestructura o personal.
 == Vease también ==

Anónimo

Buscar

Navegación

Herramientas wiki

Herramientas de página

Categorías