HABILITACION PROFESIONAL
MONOGRAFIA FINAL
““EENNCCRRIIPPTTAACCIIOONN””
PPrrooff.. IInngg.. WWiilloo CCaarrppiioo
JJoosséé ...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 1
ENCRIPTACION...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 2
En el presen...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 3
En el siglo ...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 4
♦ ¿Donde se ...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 5
Dentro de lo...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 6
Con una clav...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 7
Métodos Mode...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 8
- CAST (Carl...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 9
La implement...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 10
se le puede...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 11
- Ingenierí...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 12
Daño Inform...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 13
♦ Conclusió...
MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL
UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 14
♦ Bibliogra...
Próxima SlideShare
Cargando en…5
×

Monografia encriptacion

353 visualizaciones

Publicado el

Inteligencia Artificial

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
353
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
11
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Monografia encriptacion

  1. 1. HABILITACION PROFESIONAL MONOGRAFIA FINAL ““EENNCCRRIIPPTTAACCIIOONN”” PPrrooff.. IInngg.. WWiilloo CCaarrppiioo JJoosséé DDaanniieell MMuucccceellaa LLeeggaajjoo:: 1111--2200119966--11 UUnniivveerrssiiddaadd TTeeccnnoollóóggiiccaa NNaacciioonnaall FFaaccuullttaadd RReeggiioonnaall TTuuccuummáánn
  2. 2. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 1 ENCRIPTACION ♦ Introducción Uno de los puntos que siempre estuvo en discusión sobre el almacenamiento de información en computadoras digitales, fue la seguridad de los mismos frente a posibles miradas indiscretas, desde que la primera computadora hizo su aparición en alguna organización militar o gubernamental la necesidad de resguardar la información allí almacenada se hizo evidente. Para proteger la información almacenada se suele recurrir a las denominadas técnicas de encriptación, la encriptación consiste básicamente en convertir un mensaje en otro de forma tal que el mensaje original solo pueda ser recuperado por un determinado grupo de personas que saben como "desencriptar" (descifrar) el mensaje codificado. El esquema básico de encriptación implica la utilización de un password (contraseña) para “encriptar” (cifrar) de forma tal que solo puedan desencriptar el mensaje aquellos que conocen el password utilizado, esto trae varios problemas como veremos más adelante. Con el advenimiento de Internet y la masificación absoluta de las comunicaciones la privacidad de los datos se ha vuelto un tema muy en boga en los últimos tiempos, originando todo tipo de problemas que involucran desde el más simple e inocente usuario de Internet hasta las más altas organizaciones gubernamentales del planeta. ♦ Sobre seguridad Los tipos de seguridad se dividen en: o física: contra daños materiales (descomposturas, fallas de energía, incendios, robo, etc.) y o lógica: control de datos a fin de reducir el riesgo de transferencia, modificación, pérdida o divulgación de los datos. Entre las formas mas conocidas de mantener la seguridad tanto física como lógica cabe mencionar las siguientes: - Clasificación del personal, - Sistema de control de acceso, - Sistemas de protección de acceso de usuarios (contraseñas), - Sistemas de protección de tiempo de espera en la terminal, - Encriptación, - Autenticación (firmas), - Restricción del tiempo de acceso, - Detección y expulsión de intrusos, - Asignación de propiedades, - Métodos de respaldo, - Control de virus, - Control de calidad del software, - Monitoreo y auditoria de sistemas.
  3. 3. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 2 En el presente trabajo tratamos el tema de la Encriptación como medio de seguridad. ♦ ¿Qué es la encriptación? La encriptación es el proceso en el cual los datos a proteger son traducidos a algo que parece aleatorio y que no tiene ningún significado (los datos encriptados o cifrados). El proceso inverso se llama desencriptación en el cual los datos encriptados son convertidos nuevamente a su forma original. La base sobre la que se sustenta la encriptación es la criptografía. La palabra criptografía deriva del griego kryptos (ocultar) y grafos (escribir) Criptología es el arte de transformar un mensaje claro en otro sin sentido alguno. Este mensaje debe ser reversible en el otro extremo igual que si no hubiera sucedido nada. Criptografía significa literalmente “escritura secreta“, es la ciencia que consiste en “transformar un mensaje inteligible“ en otro que no lo sea en absoluto, para después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo. Esta es la definición más correcta de la criptografía. ♦ Reseña Histórica Desde tiempos inmemorables siempre se busco, la forma de cifrar o “ocultar“ un mensaje mediante técnicas reversibles, pero que a su vez volvían los textos ininteligibles. Cifrar un texto o mensaje, conlleva a que si este es interceptado por alguien, el texto no pueda ser descifrado sin la clave correcta. Los sistemas criptográficos se han extendido como la pólvora en la Red, buenos y malos emplean la criptografía para “esconder“ sus mensajes. Los Crackers más hábiles, por otro lado, tratan de demostrar que también los sistemas criptográficos más modernos caen ante ellos. Ya en el antiguo Egipto se emplearon sistemas criptográficos y prueba de ello son los jeroglíficos no estándar escritos en las paredes de las pirámides y algunas tumbas. Esto, data de 4.000 años atrás y el sistema se basaba en figuras geométricas y dibujos, que conformaban un mensaje no descifrable. Este sistema, podría ser realmente complejo ya que una forma geométrica indefinida podría decir muchas cosas y no decir nada. Por otro lado los griegos ya empleaban sistemas criptográficos, aproximadamente en el año 500 a.C. Estos empleaban un curioso artilugio llamado “scytale“ que consistía en un cilindro alrededor del cual, se enrollaba una tira de cuero. Se escribía un mensaje sobre la tira, y al desenrollarla, se podía ver una ristra de letras, aparentemente sin sentido alguno. Nótese que ya desde esa temprana edad, los sistemas de cifrado se sostenían sobre la base de intercambiar las palabras de los textos, y por tanto se trataban de sistemas de cifrado clásicos, ya que únicamente se necesitaban encriptar mensajes escritos. Julio Cesar también empleo un sistema de cifrado durante su reinado. Su sistema se basaba en sustituir la letra a encriptar por otra letra distanciada a 3 posiciones mas adelante. De esta forma se obtenían mensajes ininteligibles y durante su reinado y posterior el sistema nunca fue desencriptado por aquel entonces.
  4. 4. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 3 En el siglo XII, el sabio ingles Roger Bacon, describió diversos métodos criptográficos al igual que Gabriel di Lavinde “quien inventó el sistema Nomemclator“, quien publicó en 1379 una compilación de sistemas a petición del Papa Clemente VII. Es bien curioso saber que hasta la propia iglesia tenía que echar mano a sistemas criptográficos. Los sistemas empleados por esas fechas indudablemente se basaban en métodos clásicos por sustitución. En 1467 León Battista Alberti invento el primer sistema criptográfico polialfabetico y no fue hasta el siglo XVIII, cuando fue descifrado. En 1790 Thomas Jefferson invento su cilindro de transposiciones, que fue ampliamente utilizado durante la segunda guerra mundial por la armada de los Estados Unidos. Pero el sistema no duraría mucho, ya que se basaba en un sistema polialfabetico y en 1861 se publicó la primera solución generalizada para resolver cifrados polialfabeticos, poniendo fin a 400 años de silencio. Sin embargo los sistemas criptográficos no experimentaron ni parada alguna ni mucho menos demora en sus sistemas de cifrado. Las grandes guerras impulsaron la creación de nuevos sistemas criptográficos más potentes y difíciles de entender. La maquina Enigma desarrollada por los alemanes a mediados de los 70 fue un duro golpe para el criptoanálisis y sobre todo para los expertos en sistemas criptográficos. Poco después de los 70 aparecieron los sistemas criptográficos denominados modernos. Así en 1976 el código DES hizo su aparición gracias al desarrollo de computadores digitales. A partir de hay los algoritmos y sistemas de criptografía experimentarían un interés ineludible. El sistema DES fue el primero de los sistemas complejos, pero introdujo la clave secreta, que debía, esta, ser muy guardada si se quería mantener la fuerza del sistema, pero ese mismo año hacían la aparición estelar Diffie y Hellman, creadores del primer sistema de cifrado basado en claves publicas. Sistemas altamente seguros. Un año después Rivert, Shamir y Adelman se sacaban de la manga el sistema criptográfico de actualidad, el RSA. Un sistema basado en buscar números primos, nada fácil de solucionar. Hasta la fecha el sistema esta siendo empleado por computadores y sistemas de codificación de canales de televisión. Finalmente, el sistema criptográfico más conocido en la red de Internet para todos los cibernautas, es el sistema PGP (Pretty Good Privacy -privacidad bastante buena- aplicación que permite la encriptación de datos y mensajes) de Phil Zimmerman, creado en 1991. Sin embargo hay que decir que este sistema criptográfico, más que eso, es un programa que reúne los sistemas criptográficos más fuertes del mercado como el DSS o el de Diffie-Hellman. Pero lo que hace es jugar con ellos y así se obtienen brillantes encriptaciones realmente seguras. Hoy por hoy el sistema objetivo por un gran número de Hackers es el mencionado PGP, ya que es el mas ampliamente utilizado por los navegantes. De momento no se ha conocido apertura ninguna de este sistema, sin embargo los nuevos ordenadores del futuro, ponen en manos de Hackers herramientas verdaderamente potentes que acabaran con todos estos sistemas criptográficos de gran seguridad.
  5. 5. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 4 ♦ ¿Donde se aplica? En el mundo de las computadoras la criptografía puede ser utilizada para varias cosas, algunas áreas importantes en donde se utiliza la criptografía son: o La encriptación de información 'critica' que debe ser almacenada en computadoras, actos gubernamentales, informaciones secretas, información de tarjetas de crédito, números de la seguridad social, correspondencia privada, datos personales, información sensitiva de una compañía o empresa, información de datos bancarios, etc. o La encriptación de mensajes enviados a través de redes, redes locales, redes públicas e Internet. o La certificación de identidad de quienes envían mensajes importantes a través de Internet. o Protección de información 'delicada' que deba enviarse a través de Internet como, por ejemplo, números de tarjetas de crédito. o Encriptación de comunicaciones telefónicas, radiales o televisivas que pueden ser interceptadas. o En la actualidad las industrias manufactureras de dispositivos electrónicos están implementando en gran medida el uso de llaves de acceso a dichos dispositivos. ♦ Tipos de Criptosistemas. Clasificación de los métodos Métodos Clásicos Los métodos clásicos son aquellos que existieron desde siempre y son métodos desarrollados para cifrar mensajes escritos a mano o en maquinas de impresión. Los métodos clásicos se basan en la sustitución de letras por otra y en la transposición, que juegan con la alteración del orden lógico de los caracteres del mensaje. Así a los métodos clásicos les han salidos dos formas de cifrado, denominados grupos, que son “métodos por sustitución“ y “métodos por transposición“. Los métodos por sustitución son aquellos que cambian palabras por otras, esta simple forma de cifrar siempre ha obtenido buenos resultados. Los métodos por transposición son aquellos que alteran el orden de las palabras del mismo mensaje. Criptosistemas Métodos Clásicos Métodos Modernos Métodos por Sustitución Métodos por Transposición Sistemas Simétricos Sistemas Asimétricos
  6. 6. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 5 Dentro de los métodos por sustitución podemos mencionar los siguientes: - Cifrado CESAR (Caesar) o monoalfabético simple El algoritmo de Cesar, llamado así porque es el que empleaba Julio Cesar para enviar mensajes secretos, es uno de los algoritmos criptográficos más simples. Consiste en sumar 3 al número de orden de cada letra. De esta forma a la A le corresponde la D, a la B la E, y así sucesivamente. Sustituir A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z Por D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z C B A De esta manera si por ejemplo usamos el mensaje “Habilitación Profesional”, el mensaje resultante quedaría de la siguiente manera: KDELÑLWDFLRP SURIHVLRPDÑ Notar que este algoritmo ni siquiera posee clave, puesto que la transformación siempre es la misma. Obviamente, para descifrar basta con restar 3 al número de orden de las letras del criptograma. Fue el primero que se utilizó del cual se tienen registros. El sistema es monoalfabético y es realmente muy malo, su único valor es el valor histórico de haber sido el primero. - Cifrado monoalfabético general Es un sistema que se basa en sustituir cada letra por otra de forma aleatoria. Esto supone un grado más de complejidad en el método de cifrado anterior. Un ejemplo seria el siguiente: Sustituir A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z Por Z C Q V A J G Ñ W N F B U M R H I O D Y X T P E S L K Si usamos el mensaje “Habilitación Profesional”, el mensaje resultante quedaría de la siguiente forma: ÑZCWBWXZQWHM IDHJAYWHMZB. - Cifrado por sustitución polialfabética Es un método que emplea mas de un alfabeto de sustitución. Esto es, se emplean varias cadenas de palabras aleatorias y diferentes entre si, para después elegir una palabra distinta según una secuencia establecida. Aquí nacen las claves secretas basadas en números. Este sistema es algo más complejo que los anteriores y a veces resulta difícil descifrar mensajes cuando empleamos más de diez columnas de palabras aleatorias. Sigamos un ejemplo: Sustituir A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z Por 1/ F Q R A L K Z S J Ñ M Y T Y V D B E W V N O C X H P G 2/ G A W H V M U Y F Q L B R C J N D S K T Ñ P Z O Y X E 3/ C Ñ O G D Q H A R P Y T X E W V B M V L Y F S N Z K J
  7. 7. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 6 Con una clave 2-3-1, por ejemplo el mensaje “Habilitación Profesional” quedaría así: YCQFTJÑCRFVY DVDMDVFVYGT Dentro de los métodos por transposición podemos mencionar los siguientes: - Cifrado inverso Es quizás una de las formas más simples de cifrar una imagen y es probablemente reconocida por todos nosotros. Es normal escribir del revés cuando estamos aburridos, pero lo cierto es que este es un sistema de cifrado. La forma de hacerlo es simplemente escribiendo el mensaje al revés. Sigamos con el ejemplo de “Habilitación Profesional”. El mensaje resultante queda: LANOISEFORP NOICATILIBAH - Cifrado en figura geométrica El mensaje se empieza por escribir siguiendo un patrón preestablecido y se encripta siguiendo una estructura geométrica basado en otro patrón. Este último patrón puede ser verdaderamente complejo según la extensión del mensaje escrito y la forma de seguimiento de la línea. Un ejemplo simple seria el que sigue: Consideremos la frase “EL HACKER ESTA AL ACECHO” El HAC KER ESTA AL ACE CHO Patrón de cifrado; Mensaje cifrado: ECALHKAHOACRECEATSE - Cifrado por filas Consiste en escribir el mensaje en columnas y luego utilizar una regla para reordenarlas. Esta regla elegida al azar será la clave para cifrar el mensaje. También aquí es importante saber la clave secreta para poder descifrar el mensaje. En esta ocasión el mensaje puede estar fuertemente encriptado si se emplean textos relativamente largos. Un buen ejemplo sencillo es el que sigue: Consideremos nuevamente la frase “EL HACKER ESTA AL ACECHO” ELHACK Si la clave es 6 3 1 5 4 2, el mensaje queda: KHECAL ERESTA AEETSR ALACEC CAAECL CHO OCH Notar que los números corresponden a las columnas de la palabra original, así K está en la sexta columna y de ahí que la letra E tenga que ser reemplazada por la letra K y así sucesivamente.
  8. 8. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 7 Métodos Modernos Los métodos modernos se basan en combinar secuencias de dígitos creados de forma aleatoria con los dígitos del mensaje, mediante puertas lógicas, en el caso de los módulos PRG sencillos. Otros emplean algoritmos matemáticos de gran complejidad para permutar mensajes de cierta longitud de bits. Dentro de los métodos modernos encontramos dos grandes grupos: Sistemas (o algoritmos) Simétricos y Asimétricos: Los sistemas simétricos, son sistemas de cifrado basados en “claves secretas” (o también llamadas claves privadas), estos, emplean la misma clave para encriptar y desencriptar el mensaje o los datos de control del descodificador. Los algoritmos simétricos se clasifican en algoritmos para bloques de texto o flujo de datos. Los primeros trabajan sobre un grupo o bloque de bytes, en tamaños definidos; los segundos encriptan byte a byte toda la información. Los algoritmos más utilizados son los siguientes: - DES: Adoptado como estándar ANSI en 1977. En una técnica de cifrado sobre bloques de texto que usa claves de 56 bits. - DESX: variación del DES; introduce un proceso de encriptado en dos fases que hace prácticamente imposible encontrar la clave. - Triple-DES: Algoritmo DES pero utilizando tres claves distintas. Este algoritmo es el más utilizado en transacciones en instituciones financieras. - RC2: Sistema de cifrado en bloques adoptado inicialmente por la agencia RSA; admite claves con longitudes entre 1 y 2048 bits. La versión de exportación limita su uso a claves de 40 bits. Desarrollado por Ronald Rivest. - RC4: Sistema de cifrado de flujo, también adoptado por por la agencia RSA; admite claves con longitudes entre 1 y 2048 bits. La versión de exportación limita su uso a claves de 40 bits. Desarrollado por Ronald Rivest en 1994. - RC5: Sistema de cifrado en bloques adoptado inicialmente por la agencia RSA; admite claves con longitudes entre 1 y 2048 bits. Permite que el usuario varíe el tamaño del bloque que se encripta en cada paso. Desarrollado por Ronald Rivest. - IDEA (International Data Encription Algorithm): Desarrollado por Xuejia Lay y James Massey. A pesar de que solamente lleva unos años en uso, es probablemente el mejor algoritmo de bloques existente. Utiliza clave de 128 bits y se cree que es resistente al criptoanálisis. Se encuentra bajo patente de Ascom-Tech, aunque se permite su uso gratuito para aplicaciones no comerciales. - SAFER: Algoritmo diseñado por Robert Massey (uno de los creadores de IDEA). Tiene claves de hasta 128 bits y, a pesar de algunas debilidades en la primera versión y de ciertos ataques, parece un algoritmo seguro. Este programa fue desarrollado para la empresa Cylink, que algunos ligan a la no muy querida Agencia de Seguridad Nacional norteamericana (NSA); por ello, hay quien no se fía.
  9. 9. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 8 - CAST (Carlisle Adams y Stafford Tavares): tiene estructura similar a la de Blowfish. Parece ser un buen algoritmo, aunque tampoco lleva el tiempo suficiente como para haber sido atacado hasta la saciedad. De momento, sus posibilidades son buenas. Se conocen ataques criptoanalíticos contra la versión de clave 64 bits, aunque distan mucho de ser eficaces (requieren 2^17 textos sin cifrar y 2^48 cálculos diferentes). No se conocen ataques contra la versión de 128 bits. Ha sido patentado por Entrust Technologies, quienes permiten el uso libre de este algoritmo. - Blowfish: creado por Bruce Schneier, autor del libro Applied Criptography (considerado por muchos como la "biblia" en cuestiones de criptografía). Utiliza claves de hasta 448 bits y, hasta el momento, ha resistido con éxito todos los ataques. Por ello y por su estructura se le considera uno de los algoritmos más seguros, a pesar de lo cual no se utiliza masivamente. Tal vez se deba a su relativa juventud (la del algoritmo, no la de Schneier). Su autor no ha patentado el método para que pueda ser empleado sin limitaciones. Los sistemas asimétricos, sin embargo, operan con dos claves distintas. Emplean una “clave pública“ para encriptar y otra “clave secreta“ para desencriptar. Este cifrado es más complejo y por tanto posee un mayor nivel de seguridad. Los algoritmos asimétricos se clasifican en algoritmos para bloques de texto o flujo de datos. Los primeros trabajan sobre un número de bytes, en tamaños definidos; los segundos encriptan byte a byte toda la información. Los algoritmos más utilizados son los siguientes: - Diffie-Hellman key exchange: propiamente es un sistema para generar e intercambiar una llave compartida por un canal no seguro. - RSA: Sistema de claves públicas desarrollodo por Rivest, Shamir y Adleman (MIT). Es utilizado tanto para encriptar información como para firma digital. Los sistemas de firma digital se utilizan para garantizar que el autor de la información es el firmante (es decir, que la información no ha sido modificada por un tercero). La clave puede tener una longitud variable y puede ser tan grande como se desee. - DSS: El sistema de firma digital (digital signature system) fue desarrollado por la Agencia de Seguridad Nacional de los EE. UU. (NSA) y puede utilizar claves entre 512 y 1024 bits de longitud. Los sistemas de cifrado simétricos, como se habrá intuido son más débiles que los sistemas de cifrado asimétricos, esto es así, porque ambos, emisor y receptor deben de emplear la misma clave, tanto para el proceso de encriptación como para el proceso de desencriptación. De esta forma esta clave debe ser enviada a través de un medio de transmisión. Un Hacker podría leer esta clave y emplearla para desencriptar el mensaje. Si ciframos esta clave con otra clave, siempre estaríamos igual, ya que la ultima clave revelaría siempre la clave oculta. Sin embargo los sistemas de cifrado asimétricos, al emplear distintas claves, permite el uso de medios de transmisión poco seguros. La seguridad de estos sistemas depende de la longitud de la clave.
  10. 10. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 9 La implementación de encriptación y autentificación afecta la velocidad de transmisión de los paquetes, por lo que se debe utilizar solamente para información muy importante. ♦ Actualidad de la encriptación En la actualidad, la criptografía no sólo se utiliza para comunicar información de forma segura ocultando su contenido a posibles fisgones. Una de las ramas de la criptografía que más ha revolucionado el panorama actual de las tecnologías informáticas es el de la firma digital: tecnología que busca asociar al emisor de un mensaje con su contenido de forma que aquel no pueda posteriormente repudiarlo. ♦ ¿Es segura la encriptación que existe hoy en día? El punto más importante en este asunto es que depende de quien intente observar la información!, aunque la información sea enviada encriptada (cifrada), cualquier persona en Internet con entrenamiento mínimo puede interceptar esta información encriptada, sin embargo, para observarla requiere de su "llave privada" que se explicó anteriormente. Consideremos que una computadora personal (PC) puede realizar millones de operaciones por segundo, debido a esto, no está tan lejos de la razón generar una "llave privada" a partir de cierta información interceptada; las "llaves privadas" generalmente constan de 40-bits, en una PC es posible (aunque lleva tiempo) procesar estas 2^40 alternativas, La situación cambia si se tienen varios servidores en paralelo realizando trillones de operaciones por segundo ya que probablemente sea posible procesar estas 2^40 alternativas en cuestión de minutos. Lo anterior es una de la razones por las por ejemplo Estados Unidos cuida (o mejor dicho cuidaba!) con tanto recelo la exportación de encriptación de 128-bits, la cual es 3 veces más poderosa (2^128 alternativas) que la de 40-bits. Públicamente se conoce que en los servidores más poderosos del mercado es posible descubrir una "llave privada" en cuestión de días de procesamiento. Esto obviamente detiene a aquellas personas ("hackers") con servidores "comunes" y en este caso hasta oficinas de seguridad gubernamentales en "desencriptar" información con este tipo de encriptación. En definitiva, la efectividad, o nivel de seguridad, de la encriptación se mide en términos del tamaño de la clave (mientras más larga es la clave, mayor sería el tiempo que le tomaría a una persona sin el decodificador correcto para decodificar el mensaje. ♦ ¿Seguridad es igual a encriptación? Los Problemas de Seguridad se presentan por diversos motivos. Falta de protección o tal vez porque no hay una protección adecuada. Si hablamos específicamente de la encriptación como mecanismo de seguridad cabe hacer la pregunta: ¿Es segura la encriptación que estamos utilizando para proteger la información almacenada o la que desea transmitir? A esto
  11. 11. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 10 se le puede agregar todo lo concerniente a los recaudos físicos necesarios, tanto de equipos como de las salas donde se encuentran los mismos. A partir de aquí es que hay que analizar los mecanismos de seguridad que se estén utilizando (si es que los hay) y tomando como base los resultados de dicho análisis implementar un nivel de seguridad adecuado para la información y transmisión de la misma. ♦ Consideraciones sobre los algoritmos de clave privada Los algoritmos de clave privada pueden construirse tan eficientes como se desee utilizando passwords más y más largos, sin embargo por más largo que sea el password estos algoritmos presentan una vulnerabilidad evidente: el password. En un esquema de encriptación por clave privada todo aquel que conozca el password es capaz de desencriptar un mensaje, de aquí que a veces, es mas importante estudiar como proteger el password que como trabaja el algoritmo elegido. Además, muchas veces es necesario transmitir, o enviar el password a alguna persona por lo que será necesario a su vez encriptar el password ingresando en un loop infinito. Muchas veces el password es tan vulnerable que los criptoanalistas no se molestan en descifrar el código interceptado sino que directamente intentan averiguar el password. Uno de los ejemplos más habituales consiste en averiguar passwords que permiten el acceso a determinados sistemas: cuentas bancarias, computadoras, computadoras donde se guardan otros passwords, etc. A continuación se mencionan algunas de las técnicas mas utilizadas para 'robo de passwords'. - Shoulder Surfing Esta técnica es la más básica y consiste en merodear a aquellas personas que conocen el password que se quiere averiguar intentando ver si se consigue visualizar el momento en que el password es tipeado en un teclado o escrito en algún papel, variantes más modernas de esta técnica incluyen programas residentes que monitorean las teclas que se oprimen en el teclado, cámaras que registran lo que se tipea desde un punto elevado, etc. La forma mas elemental es como su nombre lo indica observar por encima del hombro de la persona que tipea el password, parece tonto pero se utiliza muchísimo. - Caballos de Troya Los caballos de Troya son programas que se diseñan con el fin específico de robar passwords. El programa es introducido en una computadora y lo que hace es simplemente cada vez que es ejecutado pedirle el password al usuario y si este lo tipea (grave error) guardarlo en un archivo. Luego lo único que hay que hacer es cada tanto consultar el archivo y ver que es lo que nuestro caballo de Troya ha 'pescado'. Una de las reglas de seguridad mas importantes que establecen los administradores de sistemas es adiestrar a los usuarios para que JAMAS ingresen su password una vez que se han logoneado en el sistema, además suele ser recomendable resetear la terminal antes de logonearse al sistema por si el usuario anterior dejo andando un caballo de Troya que imita al programa de login.
  12. 12. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 11 - Ingeniería Social Esta disciplina puede parecer ridícula pero es la más exitosa en cuanto a robo de passwords. La Ingeniería Social consiste en conseguir que una persona, simplemente, le diga su password a otra. Las técnicas son de lo mas variadas: llamados telefónicos pidiendo el password pues se cayó un disco y hay que backupear la información de cada usuario, pedidos de password para 'verificaciones rutinarias', encuestas a ver quien tiene el password mas seguro, etc. Aunque parezca mentira hay personas realmente especializadas en este tipo de ataques. ♦ Legalidad y encriptación -Ley 25506 La ley 25506 promulgada el 11 de diciembre de 2001 en Argentina, ‘... reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley’. Establece que la firma digital puede ser utilizada en todos los lados que la ley requiera una firma holográfica, excluyendo a actos jurídicos por causa de muerte, del derecho de familia, actos de personalismo en general. Las llaves utilizadas, deben ser certificadas por la Autoridad Certificante Licenciadas del Gobierno. Además, la exigencia legal de conservar documentos, registros o datos, también queda satisfecha con la conservación de los correspondientes documentos digitales firmados digitalmente, según los procedimientos que determine la reglamentación. La ley, no prevé sobre como se administra el uso de las llaves, estas corren por cuenta de los usuarios de que la mantengan en secreto y que los lugares donde se implementan (por ejemplo, ordenadores) sean confiables, pero la ley es una buen camino para acelerar la burocracia, los trámites de ministerios y secretarías. - Ley de delitos informáticos en Argentina En la República Argentina se estudió el tema relacionado con los delitos informáticos, resultando entre otros los siguientes artículos relacionados al tema que se ha tratado en este trabajo: Acceso Ilegítimo Informático: Artículo 1: Será reprimido con pena de multa de mil quinientos a treinta mil pesos, si no resultare un delito más severamente penado, el que ilegítimamente y a sabiendas accediere, por cualquier medio, a un sistema o dato informático de carácter privado o público de acceso restringido. La pena será de un mes a dos años de prisión si el autor revelare, divulgare o comercializare la información accedida ilegítimamente. En el caso de los dos párrafos anteriores, si las conductas se dirigen a sistemas o datos informáticos concernientes a la seguridad, defensa nacional, salud pública o la prestación de servicios públicos, la pena de prisión será de seis meses a seis años.
  13. 13. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 12 Daño Informático: Artículo 2: Será reprimido con prisión de un mes a tres años, siempre que el hecho no constituya un delito más severamente penado, el que ilegítimamente y a sabiendas, alterare de cualquier forma, destruyere, inutilizare, suprimiere o hiciere inaccesible, o de cualquier modo y por cualquier medio, dañare un sistema o dato informático. Artículo 3: En el caso del artículo 2º, la pena será de dos a ocho años de prisión, si mediara cualquiera de las circunstancias siguientes: 1) Ejecutarse el hecho con el fin de impedir el libre ejercicio de la autoridad o en venganza de sus determinaciones; 2) Si fuera cometido contra un sistema o dato informático de valor científico, artístico, cultural o financiero de cualquier administración pública, establecimiento público o de uso público de todo género; 3) Si fuera cometido contra un sistema o dato informático concerniente a la seguridad, defensa nacional, salud pública o la prestación de servicios públicos. Si del hecho resultaren, además, lesiones de las descritas en los artículos 90 o 91 del Código Penal, la pena será de tres a quince años de prisión, y si resultare la muerte se elevará hasta veinte años de prisión.
  14. 14. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 13 ♦ Conclusión Si hay un tema candente en materia de Sistemas de Información, es la seguridad. Seguridad en todo sentido, tanto lógica como física, ya que siempre hay alguien interesado en conocer parte o toda la información que manejamos así como tener (si existe posibilidad) acceso físico a los equipos. Hay que estar siempre alerta, especialmente si manejamos información a través de la red. Para ello debemos estar informados de las nuevas tecnologías y de las nuevas formas de amenazas y delitos informáticos que aparecen. Y en este punto tengo que exponer lo que estoy observando y escuchando de los usuarios últimamente y es el hecho de que hay un mayor interés por conocer cuales son los mecanismos de seguridad y protección disponibles para así poder mantener la información y los equipos bien resguardados. El tema de la Encriptación que se expuso en este trabajo es uno de los temas ligados a la seguridad, especialmente para proteger información de clientes y de la propia empresa, entre otras. Como profesionales que seremos en Sistemas de Información, tenemos que conocer no sólo la forma de manejar la información, sino también como mantenerla segura de personas indeseables. Con la formación técnica-científica que recibimos debemos ser capaces de evaluar y seleccionar los métodos de seguridad apropiados que se han de implementar sin apartarnos de la ética profesional.
  15. 15. MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 14 ♦ Bibliografía - Conceptos sobre seguridad de la información - Instituto Nacional de Estadísticas e Informática(INEI) - Hackers, los piratas del Chip y de Internet - Capitulo 6 - Claudio Hernández Web: http://perso.wanadoo.es/snickers/ - E Mail: snickers@wanadoo.es - Criptografía - Textos Científicos - Web: www.textoscientificos.com/criptografia - Encriptación de Comunicaciones - Universidad de Cantabria – Web: www.unican.es/WebUC/Unidades/SdeI/servicios/soporte/guias/seguridad - Privacidad en la Red: Como encriptar un mensaje? - Revista Consumer nº 48 Octubre de 2001 - Web: http://revista.consumer.es/web/es/20011001 - Seguridad en el comercio electrónico - Microsoft TechNet - Microsoft Corporation 1.999 - Web:www.reduy.com/computacion/ms-com-electronico/technet-5.htm - Seguridad y algoritmos de encriptación - 2.006 - Web: www.cryptoforge.com.ar/ - Una Introducción a la Criptografía - Mario Merino Martinez - El Papel Digital - Juan F. Codagnone - E Mail: juam@arnet.com.ar - Seguridad y Encriptación - 2000 - Osmosis Latina Web: www.osmosislatina.com/aplicaciones/seguridad.htm - Seguridad y Privacidad - Citibank NA Sucursal Panamá - Web: www.latam.citibank.com/panama/lapagl/spanish/accounts/internet/segpriv.htm#a5 - Negocios en Internet - ING. Marcelo Simón - MAG. Mónica R. de Arteche Web: http://www.gestionyestrategia.com/doc/neginternet05.pdf

×