EJE 4 ACTIVIDA

CRIPTOGRAFIA Y MECANISMOS DE SEGURIDAD

Christian Andrés Cortes Agudelo.

FUNDACION UNIVERSITARIA DEL AREA ANDINA

INGENIERIA DE SISTEMAS.

BOGOTA 2020
 1- A partir de la lectura del referente de pensamiento y haciendo uso del servicio de
encriptación en línea https://8gwifi.org/RSAFunctionality?Keysize=512

Se utiliza en la página indicada la desencriptación de 2018 bit.

En el campo Public Key Ingresa el siguiente código:

MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAJ5OX38/dexgwx4H7FPgExLLQR/zE4zfO
OR7UCvXdRkxIuGugX3X8Aqxm3sbnDOJmO8/R6We1ANhJwG2ZI5O278CAwEAAQ==

En el campo Private Key se ingresa el siguiente código:

MIIBOgIBAAJBAJ5OX38/dexgwx4H7FPgExLLQR/zE4zfOOR7UCvXdRkxIuGugX3X8Aqx
m3sbnDOJmO8/R6We1ANhJwG2ZI5O278CAwEAAQJAepjzeBZres5NDTrRmPtVih6Cpv2
WzGgrJTcilXFcrE6acDZv7JFYG1s0dbv+ODzR/nXaAwLe+/pSVxGEtZJLUQIhANrg4afkPH
mb1xikm4mUrOvF5f/97EkvIHS9++uygzdDAiEAuSealNiZgyPk30xyB9h1Yq+1vjQTaosraM
mdiowWC9UCIQCTCj4uJuMFo07WDEc9HvcoETOZTQF+jL1WEAd8aNlDtwIgXJweiYy9X
Aa8F6SY9KukKzRP508M1yG9GLCfiAkBjfECIGyuMlyaKgcWx4AvBld7MsMpNqgHMD+Ts
mlydQUfxUAB

En el campo Clear Text Message se ingresa el Mensaje

encriptado:
QTU89GxL3ZU/eZvx5poSKlGYd/CZHL9nQSeYgMVXyIJtzZ0gpoSrfdoPlXHoWZ7Oii8bVU
fLtxTDfITvLlez0A==
El mensaje descifrado seria:

“Estamos por terminar”

 2- Analice los siguientes fragmentos de un mismo texto cifrado con dos algoritmos
clásicos, ¿Qué notas? ¿Qué puede decir de cada uno? Luego de un pequeño
análisis, pruebe descifrarlos con la herramienta jcryptool.

Jxyj jx zs yjcyt ij qf rfyjwnf xjlzwnifi ij qf nsktwrfhnts. Qt afrtx f hnkwfw hts itx fqltwnyrtx inxynsytx,
d afrtx f ajw htrt xj inkjwjshnfs frgtx wjxzqyfitx.

Wwzm rx mr zmkyg hk tn rsxkzvf kimcenvej lr qs mtnbweeiqbs. Ds biztk e iqswsv iwa igw gtttjmzubx
vmybvslsy, g ifesy i ijj guub xw hornwwriqns sqhwf wwwatgfvsy.

RTA:

Para el texto se 1 se usó la siguiente página https://rot13.com/

se puede usar también con la técnica de desplazamiento.
Allí copia el siguiente texto:

Jxyj jx zs yjcyt ij qf rfyjwnf xjlzwnifi ij qf nsktwrfhnts. Qt afrtx f hnkwfw hts itx fqltwnyrtx
inxynsytx, d afrtx f ajw htrt xj inkjwjshnfs frgtx wjxzqyfitx

Está en ROT21, después de buscar con diferentes métodos de cifrado.

Seguido a esto podemos descifrar este primer mensaje el cual es:

“Este es un texto de la materia seguridad de la información. Lo vamos a cifrar con

dos algoritmos distintos, y vamos a ver como se diferencian ambos resultados.”
Con el texto 2 se utilizó https://www.dcode.fr/vigenere-cipher y la clave es SEGINF

Wwzm rx mr zmkyg hk tn rsxkzvf kimcenvej lr qs mtnbweeiqbs. Ds biztk e iqswsv iwa igw

gtttjmzubx vmybvslsy, g ifesy i ijj guub xw honrwwriqns sqhwf wwwatgfvsy.

los dos textos dicen lo mismo:

“Este es un texto de la materia seguridad de la información. Lo vamos a cifrar con

dos algoritmos distintos, y vamos a ver como se diferencian ambos resultados.”

También se puede comprobar con la tabla de Vigenere.

 3- Se tiene sospechas de que en la imagen wargames.jpg aojada en
https://drive.google.com/open?id=1mH4enc2k4GFQLuFEVVznzWK-3LnnE esta
escondida de alguna manera, una contraseña. ¿Cuál es dicha clave?

Imagen original:
Después de buscar varias formas en aplicativos de Windows y sin encontrar ningún
resultado, procedo a buscar los metadatos de la foto en la siguiente WEB encontrada:

https://www.verexif.com/ver.php

Encontrado como resultado la siguiente frase:

“SHALL WE PLAY A GAME”

Después de esto, decido volver a guardar esta foto descubierta por el aplicativo y me
genera la siguiente imagen:
Intente probando mas aplicaciones online para mirar los metadatos de las imágenes, esto
de las 2 imágenes nuevas encontradas, la de la frase y la del triky:

Metapicz

Online Exif Viewer

Online photo EXIF metadata reader

EXIF Viewer

Pero, aunque encontraba información de las imágenes, no mostraba nada puntual como para
asumir algún indicio de clave oculta.

Luego encontré una pagina llamada Jeffrey’s Exif Viewer

Es una de las mejores herramientas que además de Exif, utiliza otros estándares para ver
los metadatos de otro tipo de formatos.

En la cual observo varios datos adicionales como la ubicación de las fotos, datos de longitud lo que
me pareció indicado para un posible avance, tras otra posible búsqueda en GPS.
Después con estos datos procedo a realizar la búsqueda en Google Maps. Pero no se encontró la
ubicación indicada.
Al igual con otros aplicativos de búsqueda de coordenadas no se obtuvo información.

4- Ustedes son los responsables de administrar un sistema de información de una

compañía que tiene como finalidad compartir información en línea de clientes y
proveedores para ofrecer servicios de aseguramientos de archivo. Las empresas
que contratan con usted deben tener la posibilidad de acceder de forma remota a
los archivos confidenciales que su empresa resguarda a través de modernas
técnicas de protección y cifrado. Proponga un esquema de cifrado y
comunicaciones que permita a sus clientes disponer de la seguridad a partir de los
elementos propuestos en la triada de la información y en combinación con los
elementos de un sistema criptográfico.

Para el acceso a la información confidencial remota, implementaría los siguientes tipos de

seguridad y encriptación de información:
La compañía tendrá un dominio para configurar los roles de seguridad, deberá crear un
dominio de autenticación llamado HTTP, cuyo sistema operativo de todos los aliados sería
Windows, en el cual la identidad de un usuario puede ser verificada en la base de datos de
usuarios local o remota.
 Inicialmente cada empresa se identificará con un CAI y una clave única con la cual
podrá desencriptar la información que le envíen sus contratitas, quienes a su vez
tendrán que realizar aprobación de documentos mediante uso de firma digital.

Autenticación
Cliente se realiza cifrado de la contraseña del usuario mediante algoritmo hash de
resumen y la contraseña va encriptada, de esta manera se verifica la integridad y para
enviar información de archivos de manera cifrada.
La contraseña se calcula el algoritmo y se compara con el algoritmo Hash entrante con el
resultado del hash que venía si son iguales se presume íntegro el mensaje, de esta
manera se hace la validación se crea el usuario y se encriptada la contraseña, la cual se
registra en una base de datos de contraseñas encriptadas.
Entonces el mensaje enviado por el usuario una vez llega al servidor se valida si la
contraseña es igual a la guardada en el servidor, si es igual se permite el acceso de lo
contrario el acceso es denegado.

Firma digital
La firma digital es una tecnología que permite integrar la identidad del firmante con un
documento electrónico, acreditando que este asume como propia la información que está
firmando. La firma digital tiene la misma validez legal que la firma manuscrita según lo
estipulado en la ley 527 de 1999, por lo tanto, es importante tener en cuenta que para
seguridad de la información esta debe ser certificada ante un ente acreditado.

Teniendo en cuenta que el certificado de firma digital contiene datos que acreditan la
identidad del titular del certificado ante terceros, tiene asociado un par de llaves (llave
pública y llave privada), posee un periodo de vigencia implícito, es emitido y firmado por
una Autoridad Certificadora reconocida como tal que garantiza que el titular del
certificado es quien dice ser. El Certificado de Firma Digital contiene la siguiente
información:
- Código identificador único del certificado.
- Identificación de la Autoridad Certificadora que lo emitió.
- Firma digital de la Autoridad Certificadora
- Identidad del titular del certificado.
- Dirección de correo electrónico del titular.
 - La llave pública del titular del certificado.
- Periodo de validez del certificado.
(Servicios de Firma Digital (Acreditado ante ONAC), 2019)

Por lo tanto, no es solo escanear la firma, sino que debe estar certificada; de esta manera
se asegura que todo documento que entre compañías se transfiera y este firmado
cumplen con los mecanismos de cifrado y autenticidad, teniendo en cuenta que la firma
digital se obtiene a partir de la llave privada que identifica de manera univoca al firmante,
esta llave privada corresponde a la llave publica vinculada a un certificado digital. El
certificado digital avala que la llave privada es válida al momento de firmar y acredita que
el firmante es quien dice ser; cuando se firma digitalmente un documento se crea un
resumen cifrado que se adhiere al documento original, este resumen es la firma digital y
permanece adjunto al documento hasta tanto no se efectúe ningún cambio.
De esta manera las empresas podrán aprobar documentos mediante firma digital,
teniendo en cuenta que no puede ser copiada ni falsificada, ni trasladada a otro
documento.

Cifrado
El cifrado de extremo a extremo se hace necesario que las claves sólo se encuentren en
los equipos origen y destino, la clave no debe viajar de un extremo a otro.
El mensaje que envié la empresa deberá estar encriptado por ejemplo; una de las
empresas quiere validar el pago de las facturas solicita el link para acceder cuando la
compañía envía el msj lo envía cifrado y cuando el contratista lo recibe este lo desbloquea
usando su clave de acuerdo con su CAI

Instalación de software para administración centralizada de todas las claves y

políticas de seguridad de la información
La empresa podrá comprar un software SafeNet ProtectFile que ofrece:

Protección centrada en datos – Cifrado granular a nivel de archivos y fólderes a lo largo

del ciclo de vida de la información.
Algoritmos de cifrado comprobados – Proporciona un cifrado confiable de todos sus
archivos de datos y llaves de autenticación, usando algoritmos de cifrado comprobados.
Acceso controlado – Asegura la conformidad con regulaciones y reduce riesgos
estableciendo políticas para separar deberes administrativos.
Instalación remota – Goce una activación rápida y costo-eficiente en entornos tanto
grandes como pequeños, utilizando la vía remota y silenciosa para la instalación y la
interface de script.

(SafeNet ProtectFile: Cifrado de archivos empresariales, 2012 )

(SafeNet ProtectFile: Cifrado de archivos empresariales, 2012 )

Dominio de autenticación HTTP
Un dominio de autenticación es un grupo de parámetros relacionados con la
autenticación de usuarios-
En la interfaz web, estos parámetros pueden modificarse en la página Servidor >
Parámetros del servidor > Seguridad de la consola HTTP.
Inicio de sesión de superusuario: HTTPAdminName "nombre" especifica el inicio de sesión
del superusuario del administrador del Servidor de despliegue de sistema operativo para
poder acceder a todos los parámetros de configuración de sistema operativo del servidor.
Sólo hay un inicio de sesión de superusuario.
Contraseña de superusuario: NetPassword "serie" especifica la contraseña utilizada por el
administrador principal del Servidor de despliegue de sistema operativo; esta contraseña
se utiliza para proteger los archivos del servidor de accesos remotos no autorizados.
Nuevo rol de seguridad: HTTPRole "nombre" {Members "lista_series" AllowPages
"lista_series" AllowGroups "lista_series"} permite que los nuevos miembros accedan a la
interfaz web especificando qué páginas están disponibles para los mismos y qué grupos de
administración pueden gestionar dichos nuevos miembros.