1 / 28

Seguridad informática

Seguridad informática. Confidencialidad. Alejandro Silvestri 2008. Presentación basada en el libro de W. Stallings, Cryptography and Network Security, 4º ed. Dónde encriptar. Puntos delicados. LAN Sniffer Switches, dominios de colisión Cableado estructurado Gabinetes de distribución

kelly-montoya
Download Presentation

Seguridad informática

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seguridad informática Confidencialidad Alejandro Silvestri 2008 Presentación basada en el libro de W. Stallings, Cryptography and Network Security, 4º ed.

  2. Dónde encriptar

  3. Puntos delicados • LAN • Sniffer • Switches, dominios de colisión • Cableado estructurado • Gabinetes de distribución • Central • De piso • WAN • Líneas punto a punto • Accesos a redes públicas • Nodos de redes públicas • Satélite • Microondas • Pool de módems • Internet

  4. Dos aproximaciones • End to end • Application layer • Cifrado y descifrado ocurren en las terminales de usuario, en los puntos finales de la comunicación • Link • Physical layer • Cifrado y descifrado ocurren en los extremos de un enlace punto a punto “débil” (con bajo nivel de seguridad)

  5. Link vs. End to end

  6. Link & End to end

  7. Encabezados cifrados

  8. Cifrado y layers

  9. Confidencialidad

  10. Traffic Padding • El tráfico cifrado no está protegido contra el análisis de tráfico • Link • Rellenar los tiempos muertos con “basura” • Stream de datos aleatorios • End to end • Padding para obtener paquetes del mismo tamaño • Paquetes nulos (sólo basura)

  11. Renovación de claves • Si la clave no se renueva, aumenta la información disponible para romperla por criptoanálisis • Si la clave se obtiene por cualquier medio, todo el sistema se vuelve vulnerable • Lo usual es utilizar una clave por cada sesión

  12. Distribución de claves

  13. Distribución física • A y B requieren intercambiar datos cifrados • La distribución física consiste en entregar la misma clave a A y a B, por medios diferentes a la red de comunicaciones de datos • Dos métodos teóricos • A elige una clave y se la entrega físicamente a B • Un tercero elige una clave y se la entrega físicamente a A y a B

  14. Distribución física • Se utiliza principalmente para links • La distribución física de una clave diferente por cada par posible de computadoras, y por cada sesión entre ellas es inviable • Cantidad de pares para N computadoras, para una sola sesión N (N-1) /2

  15. Distribución lógica • A y B requieren intercambiar datos cifrados • La distribución lógica consiste en entregar la misma clave a A y a B, por la red de comunicaciones de datos • Dos métodos teóricos • A elige una clave nueva y la envía a B cifrada con una clave vieja conocida por B • A y B tienen una conexión cifrada con C, que se encarga de distribuir la clave nueva

  16. Master keys & session keys • Master key • Para la conexión con el centro de distribución de claves • Distribución física • No cambia • Una diferente por PC • Session key • Solicitada al centro de distribución de claves • Distribución lógica

  17. Distribución de claves con Master Key • A solicita a B una sesión • Incluye un nonce N1 • B retorna una clave de sesión, cifrados con la Master Key, N1 y un identificador de B, f(N1) y N2 • A retorna f(N2) cifrada con la clave de sesión • Esto requiere N-1 Master Key distribuidas físicamente en cada computadora

  18. Escenario para la distribución de claves

  19. Pasos de distribución • A solicita al KDC una clave para una sesión con B, incluyendo • Identificadores de A y de B • Nonce N1 • KDC responde a A • cifrado con una Master Key exclusiva de A: • La clave para la sesión • El pedido original • cifrado con una Master Key exclusiva de B: • La clave para la sesión • Un identificador de A IDA • Por ejemplo la dirección IP • A reenvía a B la parte que le corresponde recibida del KDC

  20. Pasos opcionales • Usando la nueva clave de sesión, B envía cifrado un nonce N2 a A • A devuelve cifrado f(N2)

  21. Implementación a través de un servicio de seguridad

  22. Control de utilización de claves • Las entidades que inician sesiones y solicitan claves pueden estar en el kernel o ser aplicaciones • Para protegerse de aplicaciones malintencionadas, se restringe la utilización de las claves • De este modo una aplicación no puede utilizar una clave con un propósito diferente para el que le fue concedida • Algunos tipos de sesiones • Comunicación general • Transferencia de PIN • Cifrado de archivos

  23. Control de utilización de claves

  24. Generación de números aleatorios

  25. Utilización de números aleatorios • Generación de • claves de sesión • nonces • Claves para RSA

  26. Aleatoridad • Distribución uniforme • La probabilidad de ocurrencia de cada valor debe ser la misma • Verificable a través de un análisis de frecuencias relativas • Independencia • Ningún valor de la secuencia se debe poder inferir a partir de los otros • No es posible probar la independencia • Impredecibilidad

  27. PRNG • Pseudorandom Number Generation • Generadores lineales • Parecen aleatorios, pero conociendo el algoritmo, con algunos valores consecutivos es posible deducir la secuencia

  28. Generadores critpográficos • Cifrado cíclico • Los números aleatorios provienen de un contador cifrado con una clave maestra • DES output feedback mode • ANSI X9.17 PRNG • Uno de los más fuertes • Blum Blum Shub • Generador de bits • Fortalezademostradamatemáticamente

More Related