TECNOLOGÍAS DE SEGURIDAD
CIFRADO Y AUTENTICACIÓN
RODRIGUEZ ROBLEDA ALBERTO
Tecnologías de Seguridad
 Existen muchos métodos para fortalecer la seguridad de los sistemas
computacionales o una red de sistemas computacionales. En esta sección,
aprenderás varias formas en que los sistemas computacionales son
asegurados a través del cifrado (encryption) y la autenticación.
Cifrado (Encryption)
 Cifrado de Sustitución
 Esquema de Cifrado de Clave Privada
 Esquema de Cifrado de Clave Pública
 Esquemas de Cifrado Híbridos
Cifrado de Sustitución
 El cifrado de sustitución cambia el texto simple a texto cifrado,
reemplazando cada elemento del texto simple con su sustituto cifrado.
Probablemente el más simple de todos los cifrados de sustitución es la
técnica de cifrado por caracteres (character-shift cipher), que sustituye letras
basadas en su posición en el alfabeto. La "clave" en un cifrado por
caracteres, es el número de posiciones a cambiar de puesto cada letra, y la
dirección en la cual cambiamos de puesto.
El cifrado por caracteres, por
ser
tan
simple,
sólo
proporciona un número
pequeño de formas posibles
de cifrar un mensaje. Si
cambiamos de puesto hacia
la derecha por 26 caracteres
resultaría en un texto no
cifrado, debido a que la A
sería reemplazada por la A,
etc. Así que sólo existen 25
cambios diferentes, ó 25
claves
posibles.
Este
esquema de código tiene,
por lo tanto, muy poco
espacio de clave (keyspace).
La siguiente tabla muestra
los 25 cambios de carácter.
Mientras que ésta puede parecer una tabla muy complicada, una computadora puede
calcular de forma instantánea 25 decodificaciones de un mensaje y luego seleccionar la que
produce palabras reconocibles en español. Este método de tratar cualquier clave posible
para romper un código es llamado ataque de fuerza bruta, y es altamente efectiva en
códigos con pocos espacios de clave.
Esquema de Cifrado de Clave Privada
En un esquema de cifrado de clave privada, la misma clave que fue usada para
cifrar un mensaje, puede ser usada para descifrarlo. A esto también se le
conoce como cifrado simétrico. En este esquema el transmisor y el receptor
deben mantener la clave para ellos mismos, de ahí el término esquema de
cifrado de clave "privada". Si alguien más descubre la clave privada, el mensaje
no será seguro.
Esquema de Cifrado de Clave Pública
En este esquema de cifrado, sólo se requiere que la clave de descifrado se
mantenga en secreto, mientras que la clave de cifrado puede ser publicada
libremente. Por ejemplo, si fueras a enviar un mensaje secreto a alguien, podrías
cifrar el mensaje con la clave pública del receptor. Luego, el receptor usa su clave
privada para descifrar los datos. Como se asume que sólo el receptor tiene su
clave privada, el mensaje no puede ser descifrado por alguien más.
Esquemas de Cifrado Híbridos
 Los esquemas híbridos son aquellos en los que el cifrado de clave pública es
usado para enviar una clave de creación reciente, llamada la clave de sesión,
y posteriormente el mensaje real es cifrado usando un esquema de cifrado
simétrico como RC4 o DES, basado en esta clave de sesión. Debido a que las
claves de sesión son generadas aleatoriamente y luego desechadas después
de su uso, aunque una persona trate de descifrar un mensaje usando la
fuerza bruta, éste será incapaz de descifrar cualquier otro mensaje entre las
mismas personas. Por lo tanto, el esquema híbrido es razonablemente
seguro, y usa las ventajas de la eficiencia de los esquemas de cifrado
simétrico.
 La mayoría de los esquemas de cifrado de clave pública son en realidad
híbridos de esta clase. El SSL (Protocolo del Nivel de Conectores de
Seguridad usado por los navegadores de Web) es un esquema híbrido.
Autenticación
 Contraseñas Fuertes (Strong Passwords)
 Tarjetas Inteligentes
 Biométrica
 Firmas Digitales
 Certificados Digitales y Autoridades Certificadoras
 Protocolo SSL
Contraseñas Fuertes (Strong Passwords)
Características de una buena contraseña:
 Es difícil de adivinar
 Está conformada de al menos 8 caracteres, mientras más larga mejor (si
puedes recordarla)
 Contiene una mezcla de letras mayúsculas, letras minúsculas, números,
símbolos, y signos de puntuación
 Los caracteres están acomodados en un orden impredecible
 Pueden ser tecleados rápidamente, para prevenir que alguien obtenga tu
contraseña mientras te ve teclearla.
Características de una contraseña mala:
• Están basadas en información personal como tu nombre o parte de él, seudónimo
(nickname), fecha de nacimiento, nombre de la empresa, o el nombre de un pariente
• Están basadas en objetos que te rodean, como "computadora", "escritorio", "libro"
• Son palabras de un diccionario
• Son nombres de personajes ficticios de películas o libros
• Son palabras deletreadas en un patrón particular (por ejemplo, que no incluyan la última
letra, de atrás a adelante)
• Tienen una secuencia de caracteres que es fácil de teclear como "asdf" y "qwer"
• Son caracteres que siguen un patrón especial como "abcabcdabcde" y "1122334455"
• Contraseñas que hayas visto o usado anteriormente
Cómo generar una buena contraseña:
 Usa una aplicación para la generación de contraseñas
 Usa la tercera letra de cada palabra (de más de 2 caracteres) de una oración
seleccionada al azar. Ejemplo:
 Oración: "AUTENTICACIÓN es el proceso de confirmar una identidad, determinando si
alguien es quien dice ser."
 contraseña: "Tonaetgicr".

Insertar símbolos al azar (ejemplo:"To*naetgic$r").
 Mezclar letras mayúsculas, minúsculas, números, símbolos y signos de
puntuación (por ejemplo: "T1o*naEtgic$r").
Tarjetas Inteligentes
 Un ejemplo de esta tecnología, es el uso de una tarjeta telefónica, en el que
el chip está integrado a la tarjeta, que contiene tu número de cuenta
telefónica y otra información relacionada. Para usar la tarjeta, debes
deslizarla en el lector que es parte del teléfono público. El lector de la
tarjeta puede preguntarte tu número de PIN, para luego leer la información
de la tarjeta inteligente y autenticar que seas tú. Una vez que estás
autenticado, se te permite realizar la llamada si cuentas con suficientes
minutos en la tarjeta. De manera similar, una tarjeta inteligente que
almacena información del nombre de inicio y la contraseña, puede ser
usada para entrar a un sistema computacional. Para acceder a un sistema
computacional, debes insertar la tarjeta inteligente en un lector de tarjetas
conectado a tu sistema. Después de introducir tu PIN, el sistema te
autenticará basándose en la información de la tarjeta inteligente y el
número PIN que introduzcas.
Biométrica
La biométrica se refiere a la identificación automática de una persona, basada
en sus características fisiológicas o de comportamiento. Entre las características
medidas están la cara, huellas digitales, escritura, iris y voz.
Este método de identificación es más seguro, comparado a los métodos
tradicionales que involucran contraseñas y números PIN, debido a que la
persona a identificar debe estar presente físicamente en el punto de
identificación. Además, es más conveniente porque elimina la necesidad de
recordar contraseñas o PIN, o tener que cargar con tarjetas de identificación.
Firmas Digitales
De igual forma que firmas un documento para indicarle al receptor que el
mensaje proviene de tu parte, de manera similar puedes agregar una firma
digital a un documento electrónico para indicar que el mensaje en realidad lo
originaste tú. Una firma digital debe ser tanto única para la persona que envía
el mensaje, como única para el mensaje en particular de manera que pueda ser
verificada, pero no reutilizada.
Para generar una firma digital única para el mensaje y el emisor, la solución es
hacer que la firma sea un "código hash" para el texto simple. Un código hash es
un valor numérico calculado del texto simple, de forma que cualquier cambio al
mensaje, incluso de un carácter, podría causar que el código hash cambie
también.
Dos algoritmos populares de código hash que se usan actualmente son el MD5
y el SHA-1
Certificados Digitales y Autoridades Certificadoras
Un certificado digital es un documento electrónico de identidad, cuyo propósito es
ayudar a prevenir la personificación. Para completar esta analogía, de igual forma
que vas a una agencia gubernamental para obtener un pasaporte, tienes que ir a
una autoridad certificadora (CA) para obtener un certificado digital. Una CA es una
organización o compañía externa confiable, que valida las identidades y expide
certificados. Los certificados son usados para asociar claves públicas con entidades
(organizaciones, gente). El rol del CA en la seguridad de los datos es muy
importante, debido a que el intercambio electrónico de datos se está volviendo una
necesidad para las comunicaciones y el comercio.
En general, antes de expedir un certificado, la CA debe verificar la identidad de la
entidad que lo solicita. El certificado expedido por el CA asocia una clave pública
específica con la entidad que solicita el certificado. Un certificado también incluye
el nombre de la entidad que identifica, una fecha de expiración, el nombre de la CA
que expidió el certificado, y un número de serie. Y lo más importante, el certificado
incluye la firma digital de la CA que lo expide, para asegurar la autenticidad del
certificado.
Protocolo SSL
Las aplicaciones Web se basan en el cifrado para proteger información, como contraseñas,
números de tarjetas de crédito, nombres de los clientes, y direcciones transmitidas entre un
navegador Web y un servidor. El SSL (Secure Socket Layer ó Protocolo del Nivel de Conectores
de Seguridad) es un a capa del protocolo que opera en la cima del TCP/IP para proporcionar
comunicaciones cifradas seguras. El protocolo es un conjunto de reglas que gobiernan la
autenticación del servidor, de los clientes, y la comunicación cifrada entre servidores y
clientes. El SSL es ampliamente usado en Internet, especialmente para interacciones que
involucran el intercambio de información confidencial, como números de tarjetas de crédito.
El SSL usa criptografía de clave pública para transmitir una clave de sesión única para cada
conexión. Luego utiliza un algoritmo de cifrado simétrico, más rápido, como DES o RC4 para
cifrar cualquier información que la aplicación necesita transmitir.
Para verificar la identidad de un servidor Web, el SSL le pregunta al servidor su clave pública y
solicita que la clave sea firmada digitalmente por una autoridad certificadora.
Cuando te comunicas con un servidor Web usando el prefijo https en lugar de http, tu
navegador establece una conexión SSL
Como parte del "saludo inicial" entre el servidor y el cliente, SSL requiere un
certificado SSL del servidor. El servidor presenta su certificado al cliente, para
autenticar la identidad del servidor. El proceso de autenticación usa un cifrado de clave
pública, y firmas digitales, para confirmar que el servidor es en realidad el servidor que
dice ser.
Descargar

TECNOLOGÍAS DE SEGURIDAD