Ensayo Criptografia - ninguna PDF

Preview

Summary

ninguna...

Description

UNIVERSIDAD TECNOLOGICA DE SANTIAGO (UTESA)

NOMBRE: Enmanuel Pimentel R. 2-10-5998 Tema: Ensayo Sobre la Criptografía PROFESOR: Juan José Díaz Nerio ASIGNATURA: Seguridad Informática

Índice Lección 1. Historia de la criptografía y su desarrollo en Europa ..................................... 4 1. MÉTODOS DE CIFRA MONOALFABÉTICA ................................................................... 4 2. MÉTODOS DE CIFRA POLIALFABÉTICA ..................................................................... 5 3. USO EXTENDIDO DE LA CRIPTOGRAFÍA ................................................................... 6

Lección 2. Sistemas de cifra con clave secreta ..................................................................... 7 1. ANALOGÍA DE LA CRIPTOGRAFÍA CON LOS CANDADOS ......................................... 7 2. FUNDAMENTOS DE LA CRIPTOGRAFÍA DE CLAVE SIMÉTRICA .............................. 7 3. LOS ATAQUES POR FUERZA BRUTA .......................................................................... 8 4. EL PROBLEMA DE LA DISTRIBUCIÓN DE CLAVES .................................................... 9

Lección 3. Sistemas de cifra con clave pública ................................................................ 9 1. EL PROBLEMA DE LA DISTRIBUCIÓN DE LA CLAVE ............................................... 9 2. LA CRIPTOGRAFÍA DE CLAVE PÚBLICA ................................................................... 9 Lección 4. Introducción a la seguridad en redes telemáticas ............................................... 10 1: REDES TELEMÁTICAS. DEFINICIONES.................................................................... 10 2: RIESGOS Y PROTECCIONES EN LAS REDES TELEMÁTICAS................................ 11 3. ......................................................................................................................................... P ROTEGIENDO LA RED ................................................................................................ 13 Lección 5. Seguridad perimetral............................................ ¡Error! Marcador no definido. 1. FUNDAMENTOS DE LA SEGURIDAD PERIMETRAL. INTRODUCCIÓN A LOS ..........10

CORTAFUEGOS ................................................................................................................... 10 2. SISTEMAS DE DETECCION DE INTRUSOS. IDS y HONEYPOTS ...............................11 3. TRÁFICO EN LA RED. ANTIVIRUS, ANTISPAM y VPN ................................................ 11

Lección 6. Malware................................................................................................................12 1. INTRODUCCIÓN AL MALWARE: CONCEPTOS ...........................................................12 2. DIFUSIÓN DEL MALWARE. ¿CÓMO SE INFECTA? ..................................................... 12 3. EL NEGOCIO DEL MALWARE.......................................................................................13

Lección 7. Seguridad en aplicaciones web ............................................................................ 13 1.ARQUITECTURA BÁSICA DE UNA APLICACIÓN WEB. INCIDENTES DE SEGURIDAD ..........................................................................................................................................13 Lección 8. Protocolo de reparto de secretos ..........................................................................15 1. PROTOCOLO DE REPARTO DE UN SECRETO...........................................................15 2. REALIZACIÓN EFECTIVA DE UN PROTOCOLO DE REPARTO DE SECRETOS ........ 15 3. RECUPERANDO EL SECRETO ....................................................................................15

Lección 9. Introducción al protocolo SSL ............................................................................... 16 1. ORÍGENES DE SSL. ATAQUES A LA IDENTIDAD E INTEGRIDAD DE LOS DATOS ..16 2. FUNCIONAMIENTO DE SSL. SSL HANDSHAKE PROTOCOL ..................................... 17 3. APLICACIONES DEL PROTOCOLO SSL. COMERCIO ELECTRÓNICO Y VPNS ........ 18

Lección 10. Ataques al protocolo SSL ...................................................................................18 ¿ES SEGURO SSL? ..........................................................................................................18 FALLOS DE PROGRAMACIÓN EN LAS IMPLEMENTACIONES. CRIPTOANALISIS Y ..19 DOWNGRADE ................................................................................................................... 19 USO SEGURO DE SSL. RECOMENDACIONES ...............................................................19 Lección 11. Análisis y gestión de riesgos ............................................................................... 20 1. ANÁLISIS DE IMPACTO Y ANÁLISIS DE RIESGOS ..................................................... 20 2. GESTIONANDO LOS RIESGOS .................................................................................... 20

Lección 12. Seguridad en redes WiFi ....................................................................................20 1. INTRODUCCIÓN A LA SEGURIDAD DE LAS REDES WI‐FI......................................... 20 2. SEGURIDAD DE LAS REDES WI‐FI.............................................................................. 21 3. SEGURIDAD DE LOS CLIENTES WI‐FI ........................................................................ 21 4. RECOMENDACIONES DE SEGURIDAD .......................................................................22

Lección 13. Seguridad en DNS..............................................................................................22 1. EL SISTEMA DNS. CONCEPTOS BÁSICOS .................................................................22

ATAQUES AL SISTEMA DNS. MOTIVOS .........................................................................23 2. RECOMENDACIONES Y SECURIZACIÓN .................................................................... 24

Leccion 14. Funciones Unidireccionales y algoritmos de hash...............................................24 1. FUNCIONES HASH........................................................................................................ 24 2. RESISTENCIA A COLISIONES...................................................................................... 25

Lección 1. Historia de la criptografía y su desarrollo en Europa Hoy en día, la criptografía está muy presente en nuestro mundo. Así, acciones tan cotidianas como hacer, o recibir, una llamada desde un teléfono móvil, pagar con una tarjeta de crédito o débito, sacar dinero de un cajero, conectarnos a un ordenador introduciendo una contraseña, etc., hacen uso de técnicas que se aposentan en esta ciencia.

La escritura es, en opinión de muchos, el invento más importante de la humanidad. La escritura permite dejar constancia de hechos, opiniones, ideas, etc., salvando Guión intypedia001es 2 distancias temporales o espaciales. De este modo, permite el progreso del conocimiento y el avance de la civilización. Sin embargo, tras la generalización y desarrollo de la escritura, se constató los peligros que conlleva su lectura por personas ajenas, ideándose los primeros sistemas de protección de lo escrito

Históricamente tenemos que remontarnos a Esparta donde se diseña, hacia el siglo V a. C., el primer método sistemático de cifrado. Este consistía en un bastón sobre el que se enrollaba en espiral, a modo de venda, una estrecha cinta de cuero. Tras ello, se escribía a lo largo del bastón el mensaje. Al desenrollar la cinta sólo se apreciaba una larga ristra de letras sin sentido, que sólo se recobraba tras volver a enrollar la cinta sobre un bastón de igual diámetro que el primero. Ese diámetro era la clave.

1. MÉTODOS DE CIFRA MONOALFABÉTICA El método conocido como escítala lacedemonia, era usado para comunicaciones entre responsables del gobierno de Esparta y sus generales. No obstante, debemos esperar aún unos siglos para encontrar el método más popular de la Antigüedad Clásica: el método César. Conocido así por ser utilizado por Julio César. Consistía en sustituir cada letra del escrito (sin cambiar su lugar en el mismo) por aquella situada tres posiciones por delante en el alfabeto. Es decir, cambiar todas las aes por des, todas las bes por es, etc., hasta llegar al final del alfabeto donde la “x”, “y” y “z” se cambian respectivamente por la “a”, “b” y “c”. Estos métodos, la escítala y el César, ilustran los dos grandes grupos de métodos de cifrado existentes: transposición y sustitución. Mediante las técnicas de transposición las letras del texto en claro intercambian sus posiciones según un cierto patrón, de modo que en el texto cifrado aparecen las mismas letras pero con sus posiciones permutadas. Los métodos que siguen este esquema se denominan de transposición o permutación y un ejemplo es la escítala lacedemonia que hemos visto ¿Qué es criptoanálisis? A lo largo de la historia numerosas personas han intentado revelar los secretos protegidos sin conocimiento de la clave que los protege. Esta disciplina se denomina criptoanálisis y criptoanalistas a sus practicantes. El conjunto de la criptografía y el criptoanálisis es lo que se conoce hoy día como la ciencia de la criptología. Realmente, tras la caída del Imperio Romano y hasta el Renacimiento, la criptología sólo registró avances significativos en los califatos islámicos, singularmente el abasí. En su capital, Bagdad, nace en el siglo IX d. C. el moderno criptoanálisis, a partir del descubrimiento de que cada lengua tiene una frecuencia característica de aparición de sus letras. Así, bastaba con contar el número de veces que aparecía cada símbolo, letra o número en un texto cifrado para saber realmente cuál era la letra subyacente, independientemente de su apariencia.

2. MÉTODOS DE CIFRA POLIALFABÉTICA

En los métodos polialfabéticos, cada vez que aparece una letra en claro se escoge un carácter cifrado (sea otra letra, número o símbolo arbitrario) de entre un conjunto finito de ellos. Así, a una letra en claro, pongamos la “a”, unas veces será sustituida por ejemplo por la “x”, pero otras veces lo será por la “y” o por el número 10. Todo ello siguiendo un estricto patrón para que no haya ambigüedades a la hora de descifrar. Por consiguiente, el conteo del número de veces que aparece cada símbolo cifrado no aportará ningún conocimiento al criptoanalistas. Los sistemas poli alfabéticos fueron los más conocidos Los métodos que siguen este esquema fueron ideados por una de las figuras más notorias del Renacimiento: Leone Battista Alberti, inventor del primer artificio de cifrado: el cifrado de disco. Consistía en dos coronas circulares concéntricas; la interior llevaba grabado el alfabeto cifrado y era fija; la exterior llevaba impreso el alfabeto en claro y podía girar sobre su centro. Así, cada letra del alfabeto en claro se correspondía con otra del alfabeto cifrado, pudiéndose cambiar esta correspondencia al girar la corona exterior. Por tanto, se trataba de un método poli alfabético. Otro sistema muy popular fue el creado por Blaise de Vigenère basado en una tabla en la que se leía la letra de intersección del texto en claro con una clave que indicaba qué alfabeto se usaba.

3. USO EXTENDIDO DE LA CRIPTOGRAFÍA

la consolidación de la escritura secreta fue un instrumento imprescindible de poder en la creación de los estados modernos, la comunicación entre ejércitos y la presencia de embajadas permanentes Se crearon los secretarios de cifra, responsables del cifrado de la correspondencia entre Reyes, ministros y embajadores, así como de criptoanalista la correspondencia intervenida de otros estados. Por ejemplo, en España, el primer Secretario de Cifra conocido es Pérez de Almazán nombrado por los Reyes Católicos. Pero es Felipe II quien renueva y da un gran impulso a las técnicas de cifrado, poniéndolas bajo la responsabilidad del Secretario de Cifra D. Luis Valle de la Cerda. Establece la Cifra General (para la comunicación entre él mismo, sus Secretarios, sus Embajadores y altos militares) y la Cifra Particular, para las comunicaciones más confidenciales entre él y alguno de los anteriores dignatarios. Además, por seguridad, cambia frecuentemente todas estas cifras. ¿Cuándo comienzan a aparecer las máquinas de cifrar? Aunque la criptología siguió avanzando durante el resto de la Edad Moderna y Contemporánea, hay que esperar al siglo XX para presenciar progresos sustanciales en las técnicas de cifrado. En efecto, éste es el siglo de las máquinas, acaparando una de ellas, la casi mítica Enigma, la mayor atención de cuantas máquinas han existido y existen en la actualidad. Enigma fue una máquina de cifrado patentada por Arthur Scherbius en 1918, y adoptada por el

ejército alemán en 1923, quien llegó a tener varios millares de ella durante la II Guerra Mundial, en la que jugó un papel esencial.

Lección 2. Sistemas de cifra con clave secreta 1. ANALOGÍA DE LA CRIPTOGRAFÍA CON LOS CANDADOS Todos nos preguntaremos si cuando vamos a enviar un mensaje lo leen otras personas que no queremos o no. Pues bien, aqui van unos ejemplos:Imaginaros que tenemos un sobre con una carta con un contenido secreto que quieres enviárselo a un amigo. nOs preguntarems qué hacer para que no lo lean otras personas no? Pues sencillamente vale con una caja a prueba de robo, que se cerrará con un candado y tendrá una combinación que solo tú y tu amigo sabra. ¿Todavia piensa que no la pueden abrir? el candado usa una combinación de 8 dígitos. Eso significa que existen 10 elevado a la 8 combinaciones posibles, o lo que es lo mismo, 1 seguido de 8 ceros, o sea, 100 millones de combinaciones. Por lo tanto tardarían más de 10 años en probar todas las combinaciones. Así que este método es seguro. 2. FUNDAMENTOS DE LA CRIPTOGRAFÍA DE CLAVE SIMÉTRICA Cuando quieres proteger un mensaje digital, puedes cifrarlo utilizando un algoritmo de cifrado. Igual que existen muchos tipos de candados, existen muchos tipos de algoritmos de cifrado. Para cifrar mensajes de correo, archivos del disco duro, registros de una base de datos, y en general para cifrar grandes cantidades de datos, se utiliza un tipo de algoritmo de cifrado conocido como de clave secreta o simétrico, Porque se utiliza la misma clave de cifrado para cifrar y para descifrar el mensaje. 3. LOS ATAQUES POR FUERZA BRUTA la seguridad de un algoritmo de cifrado depende de dos factores. El primero ya lo hemos visto: es el diseño del algoritmo. El segundo factor es la longitud de la clave utilizada. Cuando un criptoanalista no puede encontrar fallos en el algoritmo, siempre le queda recurrir a un ataque de fuerza bruta. Se trata de un método sin elegancia, que no ataca el algoritmo en sí, sino que busca exhaustivamente todos los posibles valores de la clave hasta dar con la correcta. ¿Cómo lo del candado con una combinación de 8 dígitos, Eso significa que hay 100 millones de combinaciones posibles. Son tantas que probarlas todas a mano llevaría muchos años que las claves de los algoritmos de cifrado no se prueban a mano, como con el candado, sino que se le deja el trabajo a un ordenador.

Por eso es tan importante elegir claves suficientemente largas, de manera que con la potencia de cálculo actual sea imposible probarlas todas en un tiempo razonable. Éste fue el problema del algoritmo simétrico DES. Su longitud de clave fue establecida en 56 bits. Hay que tener en cuenta que DES fue diseñado en el año 1976, y que en aquellos tiempos resultaba impensable que un ordenador pudiera probar 2 elevado a la 56 combinaciones posibles de la clave. Pero claro, la informática fue evolucionando y en el año 1998 se diseñó un dispositivo capaz de obtener la clave correcta en 56 horas. Sucesivos avances en computación paralela han conseguido reducir el tiempo a menos de un día. Actualmente, una clave simétrica de ese tamaño es completamente insegura.

¿Cómo de larga debe ser hoy una clave para estar a salvo de los ataques de fuerza bruta? Hoy en día se estima que claves de 128 bits de longitud o más garantizarán la seguridad por muchos años. De hecho, algunos algoritmos permiten seleccionar a voluntad la longitud de la clave, como el estándar AES que se base en el algoritmo criptográfico Rijndael. Piensa que cada bit que se añade a la clave dobla el tamaño del espacio de claves posibles. 4. EL PROBLEMA DE LA DISTRIBUCIÓN DE CLAVES el problema de distribución de la clave. Durante siglos la criptografía se ha enfrentado con poco éxito a este problema, hasta que en los 70 se inventó la criptografía de clave pública

Lección 3. Sistemas de cifra con clave pública

1. EL PROBLEMA DE LA DISTRIBUCIÓN DE LA CLAVE Hasta mediados del siglo XX, muy pocos necesitaban realmente hacer uso de la criptografía: militares, diplomáticos y algunas empresas. Por eso tenían suficiente con la criptografía de clave simétrica. Podían gastar tiempo y dinero en distribuir las claves. Por ejemplo los militares podían enviarlas custodiadas por soldados, los políticos podían protegerlas por fuerzas de seguridad y las grandes empresas podían contratar a agentes de seguridad. A finales del siglo XX cada vez era mayor la demanda del uso de la criptografía, por lo que resultaba necesario encontrar un mecanismo capaz de distribuir claves secretas de manera rápida, segura y al alcance de todos.

¿Cómo enviar la clave secreta de forma segura a través de un canal inseguro? Pensemos en un sencillo candado con su llave. El candado representará el algoritmo de cifrado y la llave representará la clave de cifrado

2. LA CRIPTOGRAFÍA DE CLAVE PÚBLICA Es una analogía que nos ayuda a comprender cómo funcionan los algoritmos de cifrado de clave pública. Se dispone de dos claves: una es pública y por tanto conocida por todo el mundo y la otra es privada y conocida solamente por su poseedor. Aunque cualquiera puede cifrar usando la clave pública, sólo el que posee la correspondiente clave privada podrá descifra. En este tipo de criptografía se utiliza una pareja de claves: una para cifrar y otra para descifrar. La clave pública debe ser conocida por todo el mundo, lo que facilita su distribución. Una vez que alguien conoce tu clave pública, puede enviarte mensajes cifrados con la seguridad de que nadie más que tú podrá descifrarlos, porque sólo tú posees la clave privada correspondiente a esa clave pública. Eso sí, la clave privada es muy importante que la mantengas en privado y sólo tú la conozcas. Nadie más. Si cifras un mensaje con la clave pública no podrás descifrarlo usando esa misma clave pública. Necesitarás usar la clave privada. Lo que cifras con una clave, debes descifrarlo con la otra. Es lo que en matemática discreta se conoce como inversos, pero esos temas serán estudiados en otra lección.

es tan importante que tu clave privada sea privada o secreta y nunca la conozca nadie más que tú. En la práctica, debido a que los algoritmos de cifrado asimétrico son muy lentos, no suelen usarse para cifrar todo el mensaje, sino un resumen del mismo. Pero ya veremos en una próxima lección las funciones hash, las firmas digitales y cómo también proporcionan integridad a los mensajes.

Lección 4. Introducción a la seguridad en redes telemáticas 1: REDES TELEMÁTICAS. DEFINICIONES Desde tiempos ancestrales el hombre ha necesitado superar sus obstáculos de tiempo y espacio desarrollando mecanismos de comunicación cada vez más precisos. Hoy en día, en pleno siglo XXI el uso de la telefonía móvil o de Internet es un claro ejemplo de estos avances. Sin embargo, no siempre el usuario final tiene noción de la complejidad de estas tecnologías y de los inconvenientes que acarrea usarlas de forma incorrecta… Para adentrarse en estas tecnologías es necesario conocer la esencia del funcionamiento de las redes de telecomunicación, y en nuestro caso concreto de las redes de ordenadores y las comunicaciones entre ellas. Es por tanto interesante centrarse en el caso de las redes telemáticas. En general, una red telemática es un conjunto de equipos conectados mediante un medio de transmisión de datos, como pueden ser cables que transmiten señales, ond...