Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Cryptography
Agenda
Conceptos Bsicos Metas de la Criptografa Matemtica Binaria Tipos de Algoritmos Funciones de Hash Firma Digital y HMAC PKI Usos de la Criptografa Ataques Criptogrficos Referencias y Lecturas Complementarias Preguntas
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
Cryptography
Conceptos Bsicos
Conceptos Bsicos
Podemos definir a la Criptografa como una tcnica o conglomerado de tcnicas, tendientes a la proteccin u ocultamiento de algn tipo de informacin, frente a observadores no autorizados. La palabra criptografa viene del griego, kryptos (escondido) y graphein (escribir). La proteccin de la informacin se basa principalmente en la transformacin del texto original, tambin de-nominado Texto en Claro, en Texto Cifrado o Criptograma.
plaintext (cleartext)
.0 IOS 15 s re featu
Encryption algorithm
Decryption algorithm
decryption key
encryption key
ciphertext
untrusted network
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
Otros Conceptos
Key Clustering: Se produce cuando dos claves diferentes generan el mismo Texto Cifrado a partir del mismo Texto en Claro. Keyspace: Conjunto de posibles valores usados para construir una clave. Work Factor: Tiempo estimado, esfuerzo y recursos necesarios para romper un criptosistema.
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
Cryptography
Metas de la Criptografa
Metas de la Criptografa
Los profesionales en seguridad de la informacin utilizan la criptografa para alcanzar cuatro objetivos fundamentales:
Integridad Confidencialidad Autenticacin No repudio
11
12
13
14
Cryptography
Matemtica Binaria
Matemtica Binaria
Para comprender a la criptografa, se debe primero entender los conceptos bsicos referidos a la matemtica binaria y a las operaciones lgicas usadas para manipular los valores binarios. Define las reglas usadas para operar los Bits y Bytes. Un sistema binario tiene su origen en los circuitos elctricos, donde existen dos nicas posibilidades:
Presencia de corriente elctrica Ausencia de corriente elctrica
16
Operaciones Lgicas
Las cuatro operaciones lgicas ms utilizadas son:
AND OR NOT XOR
17
Funcin Mdulo
Es una funcin decimal que calcula el resto de una operacin de divisin.
18
Funciones One-Way
Es una operacin matemtica que produce, en forma sencilla, valores de salida para cada posible combinacin de valores de entrada, pero resulta imposible recuperar dichas entradas. Todos los criptosistemas de clave pblica estn basadas en estas funciones.
19
Confusin y Difusin
Una Confusin ocurre cuando la relacin entre el texto claro y la clave es lo suficientemente compleja, de manera que un atacante no puede continuar alterando el texto claro, analizando el texto cifrado obtenido para determinar la clave utilizada. Una Difusin ocurre cuando un cambio mnimo en el texto claro, resulta en mltiples cambios a lo largo del texto cifrado.
20
Cdigo vs Cifradores
Un Cdigo es un sistema de smbolos que representa palabras o frases, son mantenidos en secreto, pero no necesariamente brindan confidencialidad. Un ejemplo lo constituye el Sistema 10 de comunicacin. Bajo este sistema la frase: Recib su comunicacin y comprend su contenido es representada por el cdigo 10-4. Un Cifrador usa una variedad de tcnicas para alterar los caracteres de un mensaje con el fin de brindar confidencialidad.
21
Cryptography
Tipos de Algoritmos
Tipos de Algoritmos
Suelen dividirse en tres grandes grupos:
Segn la naturaleza del algoritmo. Segn la clave utilizada. Segn el nmero de smbolos cifrados a la vez.
23
24
25
26
Sustitucin
Un cifrado por "Sustitucin" utiliza un algoritmo de encripcin que reemplaza cada carcter o bit del mensaje en texto plano con un carcter diferente. El cifrado de Csar tambin llamado "Rotacin 3" resulta un buen ejemplo de esta tcnica.
C = (P + 3) mod 26 P = (C - 3) mod 26
Texto Plano: CESAR Texto Cifrado: FHVDU C=F , E=H, S=V , A=D , R=U
27
Sustitucin (Cont.)
Mantiene el mismo patrn de frecuencias del alfabeto original. Tipo de Ataque ms comn: Anlisis de Frecuencias. Pueden utilizarse mltiples alfabetos (Sustitucin Polialfabtica) en lugar de un nico alfabeto (Sustitucin Monoalfabtica).
28
donde K es la clave de encripcin para cada letra representada por C. La gran ventaja del mtodo "One-Time Pad" es que, usado apropiadamente, no existen patrones repetidos en la sustitucin alfabtica.
29
30
10
31
Transposicin
Un cifrado por "Transposicin" utiliza un algoritmo de encripcin que reordena las letras de un mensaje en texto claro, produciendo el mensaje cifrado. Un ejemplo simple de transposicin resulta al invertir las letras del mensaje, por ejemplo "casa" sera "asac".
32
Transposicin (Cont.)
Permuta los caracteres del texto plano.
E U A R
S N J U
T M E E
E E D B
E N E A
S S P !
33
11
Transposicin (Cont.)
Mantiene el mismo patrn de frecuencias del alfabeto original. Tipo de Ataque ms comn: Anlisis de Frecuencias. Pueden utilizarse mltiples alfabetos.
34
Claves
En un principio se mantena el concepto de ocultar los detalles de los algoritmos de encripcin a fin de lograr seguridad. Hoy en da se abandon este concepto primitivo dando a conocer estos algoritmos al pblico, pero s ocultando las claves utilizadas. La gran mayora de los sistemas criptogrficos se basan en la generacin y utilizacin de algn tipo de clave.
35
Claves (Cont.)
De acuerdo a su uso, los diferentes tipos de clave pertenecen a alguno de los siguientes grupos: Clave privada: Se denomina Clave Privada, a aquella que relacionada con un sistema criptogrfico asimtrico, slo es conocida por el propietario de la misma. Clave pblica: Se llama Clave Pblica, a aquella que relacionada con un sistema criptogrfico asimtrico, es dada a conocer pblicamente. Clave Compartida: Una Clave Compartida es aquella que siendo secreta, se encuentra en poder y es conocida, tanto por el emisor como por el receptor.
36
12
Esteganografa
La esteganografa, suele ser definida como el arte o ciencia de comunicar de manera oculta un mensaje, camuflando la informacin entre otro conjunto de datos para que pase desapercibida. La encriptacin por medio de tcnicas esteganogrficas, pude ser muy difcil de detectar, por lo que resulta difcil impedir el filtrado de informacin confidencial por parte de empleados. Gracias a las aplicaciones disponibles hoy da, es posible esconder informacin en todo tipo de archivos, tales como fotografas, audio y video.
37
Key Escrow
Agencias separadas mantienen componentes de la llave privada, los cuales una vez que se combinan permiten desencriptar el texto cifrado. El propsito de este sistema es poder desencriptar comunicaciones relacionadas con el trfico de drogas / terrorismo. Utilizaba el Clipper Chip:
Desarrollado por la NSA para ser incluido en cada dispositivo Hecho en Amrica (Ej. Telfonos, PCs, etc) Estaba basado en el algoritmo secreto Skipjack. Utilizaba claves de 80 bits.
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
38
Algoritmos Simtricos
Se denomina Algoritmo Simtrico, a todo proceso criptogrfico que utilice en su accionar, una misma clave para encriptar y desencriptar. Para que funcione correctamente, tanto el emisor como el receptor del mensaje, deben encontrarse en conocimiento de la clave a utilizar, transformando sta en su Secreto Compartido. Debido a ello, la existencia de un canal seguro a travs del cual se pueda realizar el intercambio de claves, se convierte en un requisito indispensable.
39
13
40
41
KEY
KEY
Decrypt $1000
42
14
43
DES
En 1977 el gobierno de los EEUU public el Estndar de Encripcin de Datos o DES. Desde el punto de vista de su funcionamiento, DES suele ser un algoritmo de cifrado por bloques. Una entrada M (Mensaje) sufre en primer lugar una transposicin, bajo una permutacin denominada IP (Permutacin Inicial), originando To=IP(M). Despus de pasar To diecisis veces por una funcin f, se transpone bajo la permutacin inversa IP', obtenindose as el resultado final.
44
DES (Cont.)
DES toma bloques de informacin de 64 bits y los cifra con una clave de 56 bits. Realmente la clave inicial es de 64 bits, pero debido a que los bits menos significativos de cada byte se utilizan como bits de paridad pueden ser eliminados, obtenindose una clave efectiva de 56 bits. Si bien es cierto que DES era considerado un algoritmo fuerte, el tamao final de su clave (56 bits) en conjuncin con el poder de cmputo actual, lo vuelven vulnerable a un ataque de fuerza bruta.
45
15
DES (Cont.)
plaintext
L0
64-bit block
R0
Estructura de Feistel
R O U N D
+
L1
subkey 1
R1
subkey n
15 more rounds
L16 R16
ciphertext
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
46
Modos de Operacin
Existen cuatro modos de operacin en un cifrador por bloques:
ECB (Libro de Cdigo Electrnico) CBC (Encadenado de Bloques Cifrados) CFB (Realimentacin del Cifrado) OFB (Realimentacin de la Salida)
47
48
16
49
DES
DES
DES
DES
DES
DES
DES
DES
DES
DES
50
51
17
52
3DES
Es considerado una mejora tecnolgica respecto del DES tradicional. Esta nueva versin utiliza un procedimiento por medio del cual el mensaje original es cifrado tres veces. Des esta manera se logra alcanzar claves de 112 bits y 168 bits segn el procedimiento utilizado. 3DES es ms duro de romper que muchos otros sistemas basados en algoritmos simtricos, quizs por ello, contina siendo uno de los ms utilizados.
53
3DES (Cont.)
Existen tres implementaciones posibles de 3DES:
DES-EEE3: Se cifra tres veces con una clave diferente cada vez. DES-EDE3: Primero se cifra, luego se descifra y por ltimo se vuelve a cifrar, cada vez con una clave diferente. EDE permite compatibilidad con el DES simple. DES-EEE2 / DES-EDE2: Similares a los anteriores, con la salvedad que la clave usada en el primer y en el ltimo paso coinciden.
54
18
3DES (Cont.)
key K1
key K2
key K3
$1000
Encrypt
$!@#
Decrypt
df5&4r
Encrypt
fie9r3
EDE (encrypt-decrypt-encrypt) method EEE (encrypt-encrypt-encrypt) method K1=K3 yields 112-bit key length K1K3 yields 168-bit key length
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
35
55
IDEA
El IDEA (International Data Encryption Algorithm) fue desarrollado por el Instituto Federal Suizo de Tecnologa en 1991. Sus caractersticas principales son:
Opera con bloques de 64 bits de texto plano. Utiliza una clave de 128 bits, la cual permite generar subclaves de 16 bits. Posee slo 8 etapas. Puede trabajar en los mismos modos que DES: ECB, CBC, CFB y OFB. Es utilizado en PGP.
56
Blowfish
Fue desarrollado en 1993, consiguiendo ser una de las alternativas ms populares al DES. Entre sus caractersticas principales, encontramos:
Opera con bloques de 64 bits de texto plano. Permite el empleo de claves de longitud variable, desde 32 bits (Vulnerable) hasta 448 bits. Utiliza 16 etapas. Fcil de implementar y rpido de ejecutar. Puede correr en menos de 5 K de memoria. Es un algoritmo mucho ms rpido que IDEA y DES.
57
19
RC5
Fue desarrollado en 1994 por Ron Rivest, uno de los inventores del algoritmo RSA. Se define en la RFC 2040 y posee las siguientes caractersticas:
Adecuado para hardware y software. Rpido. Adaptable a procesadores con diferentes tamaos de palabra, el nmero de bits de una palabra es un parmetro de RC5. Nmero variable de etapas, hasta 255. Longitud de clave variable, hasta 2048 bits.
58
RC5 (Cont.)
Simple. Bajo consumo de memoria. Brinda un alto nivel de seguridad.
59
AES
El 3DES tiene dos atractivos que aseguran su uso durante los prximos aos:
Posee una longitud de clave de 168 bits, que lo hace resistente a los ataques por fuerza bruta. Usa el mismo algoritmo de cifrado que DES, en donde no se han encontrado vulnerabilidades a su estructura que no sea el ya mencionado ataque por fuerza bruta.
El inconveniente principal del 3DES reside en que es relativamente lento en su implementacin por software. En 1997 el NIST realiz un concurso de propuestas para el desarrollo de un nuevo estndar.
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
60
20
AES (Cont.)
En octubre del 2000 el NIST anunci que el algoritmo Rijndael sera el reemplazo del DES/3DES, bajo el nombre de Estndar Avanzado de Encripcin o AES, el cual fue publicado en noviembre del 2001 bajo el estndar final FIPS PUB 197. Entre sus caractersticas principales, encontramos:
Permite el empleo de tres longitudes de claves: 128 bits, 192 bits y 256 bits. Procesa inicialmente bloques de 128 bits, aunque permite exceder esta longitud al utilizar bloques de igual tamao que la clave utilizada.
61
AES (Cont.)
El nmero de etapas es de 10, 12 o 14, segn el tamao de la clave utilizada. No posee una estructura de Feistel, el AES procesa todo el bloque de datos en paralelo durante cada etapa.
62
63
21
Distribucin de la Clave
Existen tres mtodos que permiten intercambiar las claves secretas o claves de sesin:
Distribucin Offline Encripcin de Clave Pblica Intercambio Diffie Hellman
64
Distribucin Offline
Una parte de la comunicacin le provee a la otra parte la clave secreta necesaria para desencriptar los mensajes recibidos.
65
66
22
67
Algoritmos Asimtricos
Los algoritmos asimtricos, o de clave pblica, utilizan dos claves en su proceso de cifrado y descifrado. Ambas claves suelen ser referidas como clave pblica y clave privada. En este tipo de esquema, el remitente utiliza la clave pblica del destinatario para cifrar el mensaje, el cual slo puede ser descifrado por la clave privada del mismo. Ambos extremos de la comunicacin deben estar en conocimiento de la clave pblica, lo cual no representa un riesgo.
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
68
69
23
70
71
Encryption Key
Decryption Key
$1000
Encrypt
%3f7&4
Decrypt
$1000
72
24
73
Diffie Hellman
Fue el primer algoritmo de clave pblica. Como ya se dijo, su finalidad es hacer posible el intercambio seguro de una clave secreta. Su eficacia depende de la dificultad de computar logaritmos discretos.
74
Alice
Bob
Y A =g
mod p
YB = g
mod p
YA
YB
YB A mod p = g
XA XB
mod p = YA B mod p
(shared secret)
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
40
75
25
RSA
Fue propuesto en 1977 por Ron Rivest, Adi Shamir y Len Adleman en el MIT. Constituye el centro de gravedad de numerosas infraestructuras de seguridad, como Cisco, Nokia, etc. Su fortaleza depende de la dificultad computacional existente en la factorizacin de nmeros primos de elevado valor.
76
RSA (Cont.)
Para un bloque de texto claro M y un bloque de texto cifrado C, las operaciones son las siguientes:
C = Me mod n M = Cd mod n = (Me)d mod n = Med mod n
El procedimiento es el siguiente:
Se seleccionan dos nmeros primos de elevado valor (p y q). Se calcula su producto llamado n, que es el mdulo para el cifrado y el descifrado. Se calcula la denominada Funcin de Euler = (p-1).(q-1)
77
RSA (Cont.)
Se selecciona un nmero entero e que es primo relativo de la Funcin de Euler y menor que ste. Primo relativo significa que el nico factor comn es 1. Finalmente se calcula el nmero d tal que: (ed-1) mod Funcin de Euler = 0
Tanto el emisor como el receptor de un mensaje deben conocer los valores de e y n, pero slo el receptor conoce el valor de d. La clave pblica es {e,n} y la clave privada es {d,n}.
78
26
RSA (Cont.)
Supongamos que el usuario A ha publicado su clave pblica y que el usuario B quiere enviar un mensaje M al usuario A. El usuario B calcula C = Me mod n y transmite C. Al recibir el texto cifrado, el usuario A descifra C calculando M = Cd mod n.
79
El Gamal
Fue publicado en 1985, permitiendo extender los conceptos matemticos del intercambio de claves Diffie Hellman, con el objeto de soportar un criptosistema de clave pblica. Una de sus principales ventajas sobre RSA es que El Gamal no fue patentado, siendo de dominio pblico. Como desventaja podemos mencionar que su proceso duplica la longitud de un mensaje al encriptarlo.
80
81
27
Cifrado/Descifrado Si No Si
Firma Digital Si No Si
Intercambio de Clave Si Si Si
82
Sistemas Hbridos
Combinan las fortalezas de los algoritmos simtricos con las de los algoritmos asimtricos. Su esquema de funcionamiento es el siguiente:
Un usuario A quiere enviar un mensaje M a otro usuario, B. A continuacin se procede a encriptar el mensaje M utilizando un algoritmo de encripcin simtrico, como por ejemplo 3DES, AES, etc. Como se estudi anteriormente, es necesario distribuir la clave secreta utilizada por el algoritmo de encripcin simtrico al destinatario del mensaje, en este caso el usuario B. Para esta tarea se utiliza un algoritmo de encripcin asimtrico, como RSA.
83
84
28
85
Cryptography
Funciones de Hash
Funciones de Hash
Se define como una operacin que se realiza sobre un conjunto de datos de cualquier tamao de tal forma que se obtiene como resultado, otro conjunto de datos denominado resumen. El resumen tiene un tamao fijo e independiente del tamao original, que adems tiene la propiedad de estar asociado unvocamente a los datos iniciales. Es prcticamente imposible encontrar dos mensajes distintos que tengan un resumen hash idntico, aunque esto est relacionado directamente con la funcin de Hash elegida.
87
29
88
89
90
30
e883aa0b24c09f..
91
hashing algorithm
hashing algorithm
Hash digest
(fingerprint)
e8f0031a..
92
93
31
94
MD2
Fue desarrollado en 1989 para proveer una funcin de Hash en procesadores de 8 bits. MD2 rellena el mensaje original hasta alcanzar una longitud mltiplo de 16 bytes. Posteriormente computa un Checksum de 16 bytes y lo agrega al final del mensaje. Un Resumen de 128 bits es calculado usando como entrada el mensaje original y el Checksum agregado.
95
MD2 (Cont.)
Existen ataques criptogrficos contra implementaciones impropias de MD2, en especial, si el Checksum no es agregado al mensaje antes del clculo del Resumen, pueden ocurrir colisiones.
96
32
MD4
En 1990 se extendi el algoritmo original para soportar los procesadores de 32 bits y para incrementar el nivel de seguridad. Esta nueva funcin llamada MD4 primero rellena el mensaje original para que su longitud sea 64 bits ms corta que un mltiplo de 512 bits. Por ejemplo, para un mensaje de 16 bits de longitud, se debera completar con 432 bits adicionales para que su longitud final sea de 448 bits, es decir, 64 bits menos que un mensaje de 512 bits.
97
MD4 (Cont.)
MD4 procesa bloques de 512 bits del mensaje original en tres iteraciones, para producir una salida de 128 bits. En 1996 existieron varias publicaciones que evidenciaban vulnerabilidades en versiones de MD4 mal implementadas. En stas se estableca que una PC poda ser usada para encontrar colisiones en los Resmenes MD4 en menos de un minuto.
98
MD5
Esta funcin tambin procesa bloques de 512 bits del mensaje original. Utiliza cuatro iteraciones para producir la misma salida que las funciones MD2 y MD4, es decir, 128 bits. MD5 tiene el mismo requerimiento de relleno que MD4, es decir, la longitud del mensaje debe ser 64 bits ms corta que un mltiplo de 512. MD5 es muy empleado en numerosas aplicaciones actuales, sin embargo se ha probado que un equipo estndar puede hallar una colisin en cuestin de horas.
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
99
33
SHA
El Algoritmo Hash Seguro y su sucesor SHA-1 son estndares del gobierno desarrollados por el NIST. SHA-1 toma una entrada de cualquier longitud y produce una salida de 160 bits. Debido a su estructura matemtica, el algoritmo procesa un mensaje en bloques de 512 bits, rellenando el mensaje original con datos adicionales hasta que la longitud necesaria es alcanzada. El gobierno se encuentra preparando tres nuevas funciones para reemplazar al tradicional SHA-1 en el futuro: SHA-256, SHA-512 y SHA-384 (Que es una versin truncada del SHA-512).
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
100
(Cont.)
Infinito
101
Cryptography
34
Necesidad de Autenticar
Uno de los problemas fundamentales a resolver en el contexto de una red, ha sido solventar la necesidad de corroborar en forma segura, que una persona es quien dice ser, al presentarse ante un servicio determinado. Se conoce con el trmino de autenticacin, al proceso por el cual es posible confirmar la identidad, de cada una de las partes involucradas en el proceso de una comunicacin o intercambio de mensajes.
103
Firma Digital
La Firma Digital, es bsicamente una herramienta tecnolgica, que permite garantizar la autora e integridad de los documentos digitales. Desde el punto de vista informtico, una Firma Digital, puede ser vista como un grupo de datos asociados a un mensaje digital. Tcnicamente hablando, el esquema de Firma Digital se basa en la utilizacin combinada de Criptografa Asimtrica o de Clave Pblica y de Funciones de Hash o Resumen. Es preciso hacer notar que la Firma Digital no brinda privacidad.
104
105
35
En Argentina, el esquema de Firma Digital se encuentra respaldado por la Ley 25506 y el Decreto 2628/2002. El NIST especifica que el mecanismo de firma digital para el gobierno federal est normado en el FIPS 1862, tambin conocido como Digital Signature Standard (DSS). Este documento cita que la funcin Hash a utilizar es SHA-1.
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
106
107
signed data
Signature key
signature algorithm
signature algorithm
Verification key
108
36
HMAC
Como una de las primeras alternativas surgidas, a la hora de asegurar la autenticidad de la informacin transmitida o almacenada, surgi el concepto de MAC (Cdigo de Autenticacin de Mensajes). En la prctica, el funcionamiento de MAC, radica en la inclusin de informacin adicional, como parte integral del mensaje a transmitir. Generalmente, esta informacin adicional suele estar formada por una clave compartida que es conocida por ambos extremos de la comunicacin.
109
HMAC (Cont.)
Si bien el concepto detrs de HMAC es el mismo, el uso de Funciones de Hash como parte integral del proceso de generacin de este Cdigo de Autenticacin, lo transforma en una herramienta an ms efectiva. Cuando HMAC se pone en funcionamiento, el mensaje original es procesado junto a la clave de secreto compartido, por una funcin hash del estilo de MD5 o SHA-1.
110
HMAC (Cont.)
Esta operacin produce como resultado, un valor de hash, el cual es transmitido junto al mensaje original al otro extremo de la comunicacin. El receptor, recibe el mensaje y el valor de hash enviado por el emisor, y procede a recalcular un nuevo hash, ya que conoce la clave que se combin con la informacin transmitida. Posteriormente el valor de hash enviado, es comparado con el valor de hash generado por el receptor. En caso de que ambos valores sean coincidentes, la integridad y autenticidad del mensaje estarn garantizadas.
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
111
37
HMAC (Cont.)
age Mess
+
Hash Function
secret key
3ef8f85a0003c..
112
HMAC (Cont.)
data
m Confir order
hashing algorithm
secret key
113
Cryptography
PKI
38
PKI
El trmino PKI o en su acepcin en espaol Infraestructura de Clave Pblica, es el utilizado para definir la combinacin de software, tecnologas de encriptacin y servicios, necesaria para dotar a un sistema de-terminado de las siguientes caractersticas principales:
Integridad Confidencialidad Autenticacin No Repudio
Los algoritmos de encriptacin Simtricos y Asimtricos, se encuentran ntimamente relacionados con esta tecnologa.
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
115
PKI (Cont.)
La solucin propuesta que se elija, deber alcanzar los siguientes objetivos prcticos:
Que se autentique la identidad. Que se verifique la integridad. Que se asegure la privacidad. Que se autorice el acceso. Que se autorice la transaccin. Que se soporte el No Repudio.
116
Componentes PKI
PKI es considerado ms bien un Framework y no una tecnologa en si misma. Siempre existirn al menos, una serie de componentes bsicos necesarios, a la hora de hacer funcionar cualquier Infraestructura de Clave Pblica:
Certificados Digitales (X.509 v3) Autoridad de Registro (RA) Autoridad de Certificacin (CA) Sistema de Almacenamiento y Distribucin de Certificados Sistema de recuperacin y backup de claves
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
117
39
118
119
120
40
121
122
123
41
124
125
126
42
Revocacin de Certificados
Se conoce como Revocacin de Certificado al proceso de revocar o anular un certificado digital, antes de que ste expire en la fecha prevista al momento de su generacin o renovacin. Un certificado, podra requerir ser revocado por diversos motivos, entre los que se encuentran:
Un empleado que deja de trabajar en la compaa. Un socio de negocios que deja de serlo. Un cliente que no ha cumplido con sus obligaciones contractuales. Una clave que ha sido comprometida, etc.
127
128
Distribucin de Certificados
Un factor fundamental que debe tenerse en cuenta, es la forma en la que el certificado digital correspondiente a cada uno de los extremos de una comunicacin, llegar a destino. Lo ms habitual hoy en da, sigue siendo la utilizacin de estndares abiertos y mtodos tradicionales entre los que se encuentran:
Correo Electrnico Servicios de Directorio X.500 Servicios de Directorio LDAP Distribucin Manual
CISSP Security Training Cryptography Copyright 2004-2008 SICinformtica S.R.L.
129
43
130
131
132
44
133
134
135
45
Cryptography
Usos de la Criptografa
Usos de la Criptografa
Correo Electrnico: Pretty Good Privacy (PGP) Privacy Enhanced Mail (PEM) MOSS S/MIME Servicios Web:
Secure Socket Layer (SSL) Secure HTTP Esteganografa
137
Networking:
Encripcin de circuitos IPSec Wireless
138
46
Cryptography
Amenazas - Ataques
Ataques Criptogrficos
Si bien existe la posibilidad por parte de un atacante, de lanzar un ataque de denegacin de servicio sobre un sistema criptogrfico, lo cierto es que su objetivo final se encontrar relacionado con la posibilidad de obtener la informacin protegida por alguno de los mtodos de cifrado conocidos.
140
141
47
La velocidad de procesamiento aumenta con el paso del tiempo. Se puede aprovechar el concepto de Clusters. DES es vulnerable a ataques por fuerza bruta.
142
Estadsticos
Utilizan debilidades estadsticas del diseo del sistema (por ejemplo, la repeticin de IV en WEP, ms 1 que 0 en promedio en el keystream)
143
144
48
145
146
147
49
Cryptography
Information Security Management Handbook, Fifth Edition By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978 CISSP: Certified Information Systems Security Profesional Study Guide, Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
149
Cryptography
Preguntas?
50