190 likes | 261 Views
TECNOLOGÍAS DE SEGURIDAD. CIFRADO Y AUTENTICACIÓN. RODRIGUEZ ROBLEDA ALBERTO. Tecnologías de Seguridad.
E N D
TECNOLOGÍAS DE SEGURIDAD CIFRADO Y AUTENTICACIÓN RODRIGUEZ ROBLEDA ALBERTO
Tecnologías de Seguridad • Existen muchos métodos para fortalecer la seguridad de los sistemas computacionales o una red de sistemas computacionales. En esta sección, aprenderás varias formas en que los sistemas computacionales son asegurados a través del cifrado (encryption) y la autenticación.
Cifrado (Encryption) • Cifrado de Sustitución • Esquema de Cifrado de Clave Privada • Esquema de Cifrado de Clave Pública • Esquemas de Cifrado Híbridos
Cifrado de Sustitución • El cifrado de sustitución cambia el texto simple a texto cifrado, reemplazando cada elemento del texto simple con su sustituto cifrado. Probablemente el más simple de todos los cifrados de sustitución es la técnica de cifrado por caracteres (character-shiftcipher), que sustituye letras basadas en su posición en el alfabeto. La "clave" en un cifrado por caracteres, es el número de posiciones a cambiar de puesto cada letra, y la dirección en la cual cambiamos de puesto.
El cifrado por caracteres, por ser tan simple, sólo proporciona un número pequeño de formas posibles de cifrar un mensaje. Si cambiamos de puesto hacia la derecha por 26 caracteres resultaría en un texto no cifrado, debido a que la A sería reemplazada por la A, etc. Así que sólo existen 25 cambios diferentes, ó 25 claves posibles. Este esquema de código tiene, por lo tanto, muy poco espacio de clave (keyspace). La siguiente tabla muestra los 25 cambios de carácter.
Mientras que ésta puede parecer una tabla muy complicada, una computadora puede calcular de forma instantánea 25 decodificaciones de un mensaje y luego seleccionar la que produce palabras reconocibles en español. Este método de tratar cualquier clave posible para romper un código es llamado ataque de fuerza bruta, y es altamente efectiva en códigos con pocos espacios de clave.
Esquema de Cifrado de Clave Privada En un esquema de cifrado de clave privada, la misma clave que fue usada para cifrar un mensaje, puede ser usada para descifrarlo. A esto también se le conoce como cifrado simétrico. En este esquema el transmisor y el receptor deben mantener la clave para ellos mismos, de ahí el término esquema de cifrado de clave "privada". Si alguien más descubre la clave privada, el mensaje no será seguro.
Esquema de Cifrado de Clave Pública En este esquema de cifrado, sólo se requiere que la clave de descifrado se mantenga en secreto, mientras que la clave de cifrado puede ser publicada libremente. Por ejemplo, si fueras a enviar un mensaje secreto a alguien, podrías cifrar el mensaje con la clave pública del receptor. Luego, el receptor usa su clave privada para descifrar los datos. Como se asume que sólo el receptor tiene su clave privada, el mensaje no puede ser descifrado por alguien más.
Esquemas de Cifrado Híbridos • Los esquemas híbridos son aquellos en los que el cifrado de clave pública es usado para enviar una clave de creación reciente, llamada la clave de sesión, y posteriormente el mensaje real es cifrado usando un esquema de cifrado simétrico como RC4 o DES, basado en esta clave de sesión. Debido a que las claves de sesión son generadas aleatoriamente y luego desechadas después de su uso, aunque una persona trate de descifrar un mensaje usando la fuerza bruta, éste será incapaz de descifrar cualquier otro mensaje entre las mismas personas. Por lo tanto, el esquema híbrido es razonablemente seguro, y usa las ventajas de la eficiencia de los esquemas de cifrado simétrico. • La mayoría de los esquemas de cifrado de clave pública son en realidad híbridos de esta clase. El SSL (Protocolo del Nivel de Conectores de Seguridad usado por los navegadores de Web) es un esquema híbrido.
Autenticación • Contraseñas Fuertes (StrongPasswords) • Tarjetas Inteligentes • Biométrica • Firmas Digitales • Certificados Digitales y Autoridades Certificadoras • Protocolo SSL
Contraseñas Fuertes (StrongPasswords) Características de una buena contraseña: • Es difícil de adivinar • Está conformada de al menos 8 caracteres, mientras más larga mejor (si puedes recordarla) • Contiene una mezcla de letras mayúsculas, letras minúsculas, números, símbolos, y signos de puntuación • Los caracteres están acomodados en un orden impredecible • Pueden ser tecleados rápidamente, para prevenir que alguien obtenga tu contraseña mientras te ve teclearla.
Características de una contraseña mala: • Están basadas en información personal como tu nombre o parte de él, seudónimo (nickname), fecha de nacimiento, nombre de la empresa, o el nombre de un pariente • Están basadas en objetos que te rodean, como "computadora", "escritorio", "libro" • Son palabras de un diccionario • Son nombres de personajes ficticios de películas o libros • Son palabras deletreadas en un patrón particular (por ejemplo, que no incluyan la última letra, de atrás a adelante) • Tienen una secuencia de caracteres que es fácil de teclear como "asdf" y "qwer" • Son caracteres que siguen un patrón especial como "abcabcdabcde" y "1122334455" • Contraseñas que hayas visto o usado anteriormente
Cómo generar una buena contraseña: • Usa una aplicación para la generación de contraseñas • Usa la tercera letra de cada palabra (de más de 2 caracteres) de una oración seleccionada al azar. Ejemplo: • Oración: "AUTENTICACIÓN es el proceso de confirmar una identidad, determinando si alguien es quien dice ser." • contraseña: "Tonaetgicr". • Insertar símbolos al azar (ejemplo:"To*naetgic$r"). • Mezclar letras mayúsculas, minúsculas, números, símbolos y signos de puntuación (por ejemplo: "T1o*naEtgic$r").
Tarjetas Inteligentes • Un ejemplo de esta tecnología, es el uso de una tarjeta telefónica, en el que el chip está integrado a la tarjeta, que contiene tu número de cuenta telefónica y otra información relacionada. Para usar la tarjeta, debes deslizarla en el lector que es parte del teléfono público. El lector de la tarjeta puede preguntarte tu número de PIN, para luego leer la información de la tarjeta inteligente y autenticar que seas tú. Una vez que estás autenticado, se te permite realizar la llamada si cuentas con suficientes minutos en la tarjeta. De manera similar, una tarjeta inteligente que almacena información del nombre de inicio y la contraseña, puede ser usada para entrar a un sistema computacional. Para acceder a un sistema computacional, debes insertar la tarjeta inteligente en un lector de tarjetas conectado a tu sistema. Después de introducir tu PIN, el sistema te autenticará basándose en la información de la tarjeta inteligente y el número PIN que introduzcas.
Biométrica La biométrica se refiere a la identificación automática de una persona, basada en sus características fisiológicas o de comportamiento. Entre las características medidas están la cara, huellas digitales, escritura, iris y voz. Este método de identificación es más seguro, comparado a los métodos tradicionales que involucran contraseñas y números PIN, debido a que la persona a identificar debe estar presente físicamente en el punto de identificación. Además, es más conveniente porque elimina la necesidad de recordar contraseñas o PIN, o tener que cargar con tarjetas de identificación.
Firmas Digitales De igual forma que firmas un documento para indicarle al receptor que el mensaje proviene de tu parte, de manera similar puedes agregar una firma digital a un documento electrónico para indicar que el mensaje en realidad lo originaste tú. Una firma digital debe ser tanto única para la persona que envía el mensaje, como única para el mensaje en particular de manera que pueda ser verificada, pero no reutilizada. Para generar una firma digital única para el mensaje y el emisor, la solución es hacer que la firma sea un "código hash" para el texto simple. Un código hash es un valor numérico calculado del texto simple, de forma que cualquier cambio al mensaje, incluso de un carácter, podría causar que el código hash cambie también. Dos algoritmos populares de código hash que se usan actualmente son el MD5 y el SHA-1
Certificados Digitales y Autoridades Certificadoras Un certificado digital es un documento electrónico de identidad, cuyo propósito es ayudar a prevenir la personificación. Para completar esta analogía, de igual forma que vas a una agencia gubernamental para obtener un pasaporte, tienes que ir a una autoridad certificadora (CA) para obtener un certificado digital. Una CA es una organización o compañía externa confiable, que valida las identidades y expide certificados. Los certificados son usados para asociar claves públicas con entidades (organizaciones, gente). El rol del CA en la seguridad de los datos es muy importante, debido a que el intercambio electrónico de datos se está volviendo una necesidad para las comunicaciones y el comercio. En general, antes de expedir un certificado, la CA debe verificar la identidad de la entidad que lo solicita. El certificado expedido por el CA asocia una clave pública específica con la entidad que solicita el certificado. Un certificado también incluye el nombre de la entidad que identifica, una fecha de expiración, el nombre de la CA que expidió el certificado, y un número de serie. Y lo más importante, el certificado incluye la firma digital de la CA que lo expide, para asegurar la autenticidad del certificado.
Protocolo SSL Las aplicaciones Web se basan en el cifrado para proteger información, como contraseñas, números de tarjetas de crédito, nombres de los clientes, y direcciones transmitidas entre un navegador Web y un servidor. El SSL (Secure Socket Layer ó Protocolo del Nivel de Conectores de Seguridad) es un a capa del protocolo que opera en la cima del TCP/IP para proporcionar comunicaciones cifradas seguras. El protocolo es un conjunto de reglas que gobiernan la autenticación del servidor, de los clientes, y la comunicación cifrada entre servidores y clientes. El SSL es ampliamente usado en Internet, especialmente para interacciones que involucran el intercambio de información confidencial, como números de tarjetas de crédito. El SSL usa criptografía de clave pública para transmitir una clave de sesión única para cada conexión. Luego utiliza un algoritmo de cifrado simétrico, más rápido, como DES o RC4 para cifrar cualquier información que la aplicación necesita transmitir. Para verificar la identidad de un servidor Web, el SSL le pregunta al servidor su clave pública y solicita que la clave sea firmada digitalmente por una autoridad certificadora. Cuando te comunicas con un servidor Web usando el prefijo https en lugar de http, tu navegador establece una conexión SSL
Como parte del "saludo inicial" entre el servidor y el cliente, SSL requiere un certificado SSL del servidor. El servidor presenta su certificado al cliente, para autenticar la identidad del servidor. El proceso de autenticación usa un cifrado de clave pública, y firmas digitales, para confirmar que el servidor es en realidad el servidor que dice ser.