PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

LABORATORIO N04 – FUNDAMENTOS DE CRIPTOGRAFIA (Parte A)

PREGUNTAS

1) Tiberio dice que no firma digitalmente sus mensajes cifrados enviados por email porque el
archivo resultante tiene un tamaño igual al doble del que no incluye firma. Prudencio afirma
estar seguro de que eso no es cierto y que el tamaño del fichero sólo se ve incrementado en
unas decenas de bits. Paulino asegura que el hecho de firmar un mensaje no altera el tamaño
del archivo final pues va implícito en el mismo mensaje. Si los tres están hablando de un
sistema real como por ejemplo el PGP:

a.- ¿Quién de los tres tiene razón y por qué?

 Realizando 2 pruebas de cifrado quedo pensando si el formato del archivo

afecta, ya que en la primera se realizó con Word y el segundo con el bloc de
notas, en el primero solo modifico uno cuantos bytes, lo que daría razón a
Prudencio. Pero en la segunda prueba el tamaño se duplico el tamaño, lo
que hace que esto le dé la razón Tiberio.

b.- ¿Qué función hace que el tamaño del archivo final con firma digital sea el doble, algo mayor
o no se vea afectado por la inclusión de la firma?

 “Esto ocurre debido a un algoritmo de cifrado de llave pública de uso común

llamado RSA (Rivest-Shamir-Adleman). RSA se utiliza a menudo para generar
pares de llaves”.[ CITATION Sur18 \l 22538 ]
PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

2) Qué certifica un certificado digital?

 “Es el único medio que permite garantizar técnica y legalmente la identidad

de una persona en Internet. El receptor de un documento firmado puede
tener la seguridad de que éste es el original y no ha sido manipulado y el
autor de la firma electrónica no podrá negar la autoría de esta
firma.”[ CITATION Uni \l 3082 ]
 “Un Certificado Digital consta de una pareja de claves criptográficas, una
pública y una privada, creadas con un algoritmo matemático, de forma que
aquello que se cifra con una de las claves sólo se puede descifrar con su
clave pareja.”[ CITATION Uni \l 3082 ]

3) Se tienen dos criptogramas C1 y C2 que pertenecen a sendos textos en claro en el idioma

español:

C1 = RTCTB MPHOO XNLTO DRYYV VVJKP ÑHIOA

C2= MUNLP HJRRT OPQRT UUUUG JHUOP ETYKZ

Si ANA afirma que es posible que ambos criptogramas pertenecen a un cifrado por sustitución
mono alfabética y MARIA dice que, por el contrario; que es imposible, ¿quién tiene la razón y
por qué?

 En lo investigado y poco entendido, es posible que maría tenga la razón ya

que si es un texto o frase en español no hay un frase o palabra que contenga
más de 3 letras iguales por lo tanto al encriptar en modo “sustitución mono
alfabética” la palabra no podría resultar “UUUUG” [ CITATION DrJ16 \l 22538 ]

4) Supongamos que un usuario JULIO, descubre que su clave privada es la misma que la clave
pública de otro usuario PEDRO. ¿Debería considerar JULIO, cambiar sus claves pública y
privada? Justifica tu respuesta.

 No, ya que el método de cifrado, se genera de diferente manera tanto para

cerrar y como abrir el mensaje. Y ya que una es pública y la otra es privada,
cada una actúa de manera diferente.[ CITATION Die16 \l 3082 ]

5) La compañía RapLeaf construye bases de datos sobre individuos utilizando sus actividades
en redes sociales, el historial de compras y otras interacciones con el Web. Los datos
recogidos se utilizan para campañas de publicidad dirigida. En la dirección siguiente puedes
encontrar un artículo sobre esta compañía:

Responde las siguientes preguntas:

a.- Describe el funcionamiento del método de la compañía RapLeaf para crear los perfiles de
los usuarios.

 Relaciona los nombres de usuarios y correos electrónicos con muchos

perfiles de redes sociales.
 Empresa invita a los visitantes a crear una cuenta Rapleaf para
"gestionar tus datos," pero al entrar no se muestra el perfil detallado
que Rapleaf ha reunido sobre ti: muestra únicamente información
demográfica básica y los intereses etiquetados en amplias categorías.
PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

 Te dice que sabe que te gustan las redes sociales, pero ocultará que
sabe que manejas Facebook, Pandora y Plaxo, tampoco te dirá que
conoce la frecuencia con la que twiteas y tú ‘lista de deseos' en
Amazon.

b.- Di cuál de las técnicas y/o medidas podrías usar para evitar o alterar el perfil que crea la
compañía

 Una opción podría ser cancelar la cuenta en las redes sociales, aunque la
información ya está comprometida.
 Otra seria estar modificando cada cierto tiempo la información que se tiene
actualmente en las redes.

6) OpenID es un estándar de autenticación que permite acceder a recursos que dispongan de

un control de acceso. Otro estándar es Open Authorization (OAuth). En este caso facilita incluir
seguridad a la autenticación para aplicaciones web y de escritorio. Compara estos dos
estándares, indicando los puntos siguientes:

Características comunes Diferencias

OpenID  en HTTP para la
autenticación y / o
autorización.
 permiten que los
usuarios realicen
acciones sin otorgar
credenciales de
Open Authorization autenticación o
(OAuth) permisos generales a
clientes o terceros.
 Trabajan en conjunto
para brindar seguridad.
 es un protocolo para
autenticación
 está destinado a la
autenticación federada
y la autenticación
descentralizada
 es un protocolo para
autorización.
 está destinado a la
autorización delegada
y para verificar la
identidad de un usuario
final y otorgar permisos
a un tercero

Fuentes [CITATION Jul \l 22538 ] - [ CITATION Ano \l 22538 ] - [ CITATION Ano14 \l 22538 ]
PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

Referencias
Aguirre, D. J. (2016). Crypt4you. Obtenido de
http://www.criptored.upm.es/crypt4you/temas/criptografiaclasica/leccion8.html#apa
rtado2-1

Anonimo. (2014). Stack Exchange. Obtenido de

https://security.stackexchange.com/questions/44611/difference-between-oauth-
openid-and-openid-connect-in-very-simple-term

Anonimo. (s.f.). Code Examples. Obtenido de https://code-examples.net/es/q/109637

Arias, D. (2018). auth0.com. Obtenido de https://auth0.com/blog/adding-salt-to-hashing-a-

better-way-to-store-passwords/

Cordoba, D. (2016). juncotic.com. Obtenido de https://juncotic.com/rsa-como-funciona-este-

algoritmo/

esacademic. (2010). esacademic.com. Obtenido de

https://esacademic.com/dic.nsf/eswiki/553264

heberwords. (2018). steemit.com. Obtenido de steemit.com:

https://steemit.com/spanish/@heberwords/el-primer-virus-de-gusano-gusano-morris

Inza, J. (2014). Todo es electrónico. Obtenido de https://inza.wordpress.com/2014/10/17/en-

que-se-diferencian-saml-openid-y-oauth/

Rouse, M. (2007). searchsecurity.techtarget.com. Obtenido de

https://searchsecurity.techtarget.com/definition/shadow-password-file

Surveillance Self-Defense. (2018). Surveillance Self-Defense. Obtenido de

https://ssd.eff.org/es/module/una-mirada-en-profundidad-al-cifrado-de-extremo-
extremo-%C2%BFc%C3%B3mo-funcionan-los-sistemas-de

Universitat politecnica de valencia. (s.f.). Universitat politecnica de valencia. Obtenido de 2012:

https://www.upv.es/contenidos/CD/info/711545normalc.html

Zerial. (18 de Oct de 2008). blog.zerial.org. Obtenido de blog.zerial.org:

https://blog.zerial.org/seguridad/descifrando-password-encriptadas-con-shadow-
md5-salt/