1. Seguretat i alta disponibilitat
Criptografia
Xavier Sala Pujolar
Institut Cendrassos
UF 1: Seguretat física, lògica i legislació
Part 4
2. Administració de Sistemes Informàtics i Xarxes
Protecció de les dades
● Qualsevol amb un simple CD d'arrancada pot
aconseguir saltar-se les proteccions dels
sistemes operatius
3. Administració de Sistemes Informàtics i Xarxes
Protecció de les dades
● La proliferació de dispositius mòbils que es
poden “oblidar”, “ser robats” fa que la pèrdua
de dades sigui més perillosa que mai
4. Administració de Sistemes Informàtics i Xarxes
Robatori de dades
● La millor forma de protegir-se contra molts dels
atacs contra les dades consisteix en amagar
informació per a les persones no autoritzades a
veure-la
5. Administració de Sistemes Informàtics i Xarxes
Zones Insegures
● Des de fa segles sovint s'han d'enviar
missatges privats per “zones insegures”
– La solució va ser xifrar els missatges
iTjm45Fa1Wp!
6. Administració de Sistemes Informàtics i Xarxes
Criptografia
● El mot “criptografia” significa escriptura
secreta
La criptografia és un mètode d'emmagatzemar i
transmetre dades d'una forma en que només
les pot llegir qui conegui com fer-ho
● És la forma pràctica en la que es pot
emmagatzemar informació sensible que ha de
passar per zones no segures
7. Administració de Sistemes Informàtics i Xarxes
Amagar dades
● Perquè amagar dades?
– Enviar informació a algú que no volem que
ningú més vegi
● Correus electrònics privats
● Documents estratègics
● etc..
– Emmagatzemar informació que ha de ser
mantinguda en privat
● números de targetes de crèdit
● Informació mèdica i personal
– Motius legals
8. Administració de Sistemes Informàtics i Xarxes
Protecció de les dades
● A l'Estat espanyol que algú no autoritzat
aconsegueixi accés a informació que contingui
dades sobre persones és :
– Sancionable
● Multes que poden ser importants
– I la responsabilitat és de l'empresa que
tenia les dades
● Encara que les dades hagin estat perdudes!
● Obliga a que es posin les mesures adequades
per evitar que passi
Ley Orgánica de Protección de Datos (LOPD)
9. Administració de Sistemes Informàtics i Xarxes
Internet: Zona segura?
● Internet ha globalitzat les zones insegures
● S'ha de partir de la idea de que el món està ple
de gent “maliciosa”
– Xifrar s'ha fet molt més important
10. Administració de Sistemes Informàtics i Xarxes
Xifrat
● Quan algú aconsegueix un dispositiu té accés
total a les dades que hi han contingudes
Si la informació està xifrada la informació no
estarà disponible
iTjm45Fa1
Wp_+3o5
???
11. Administració de Sistemes Informàtics i Xarxes
Xifrar
● Xifrar és agafar el missatge i fer-li alguna
modificació que el converteixi en intel·ligible
– La transformació sol ser un procediment públic
– Tot queda definit per una clau que fa que els
resultats siguin diferents
HOLA
KTPB
CEDA
Missatge
Clau
12. Administració de Sistemes Informàtics i Xarxes
Xifrat
● A pesar de que hi poden haver moltes formes
de xifrar un missatge hi ha dos mètodes de
xifrat
Xifrat de clau
secreta
Xifrat asimètric
Xifrat
13. Administració de Sistemes Informàtics i Xarxes
Xifrat de clau secreta
● Consisteix en convertir el text amb una sola
clau que permet xifrar i desxifrar el missatge
HOLA HOLA
TRANSMISSIÓ
14. Administració de Sistemes Informàtics i Xarxes
Sistemes clàssics
● Durant la història s'han anat desenvolupant
diferents sistemes de xifrar missatges:
– Scytala
– Cèsar / ROT-13
– Substitució
– XOR
– Vigenère
– ...
15. Administració de Sistemes Informàtics i Xarxes
Xifrat del cèsar
● En l'antiga Roma hi havia una forma de
codificar missatges que ara es coneix com
“Xifrat del Cèsar” (actualment ROT3)
– Cada lletra es substitueix per la que està 3
posicions més endavant en l'abecedari
X Y Z A B C
X Y Z A B C D E F
16. Administració de Sistemes Informàtics i Xarxes
Vigenère
● Vigenère va ser un sistema molt popular durant
segles i és l'exemple típic de xifrat polialfabètic
Clau
Missatge
17. Administració de Sistemes Informàtics i Xarxes
Xifrat de clau secreta
Els sistemes clàssics
de xifrat no són prou
robustos pels
ordinadors actuals ...
Desxifrat en
0.00001 segon
CNGC LCEVC GUV
ALEA JACTA EST
18. Administració de Sistemes Informàtics i Xarxes
Xifrat de clau secreta
● Per això s'han hagut
de desenvolupar
nous algorismes de
xifrat simètric
– AES
– DES, 3DES, DESX
– IDEA
– RC4
– Blowfish
– SEAL
19. Administració de Sistemes Informàtics i Xarxes
AES
● Advanced Encryption
System (Rijndael) és
el xifrat oficial del
govern dels Estats
Units
– Substitueix a DES
com a estàndard
– És de domini públic
● S'ha convertit en un
dels algorismes de
xifrat simètric més
populars
20. Administració de Sistemes Informàtics i Xarxes
DES
● Data Encryption Algorithm (DES) va ser
l'estàndard del govern dels Estats Units durant
uns 35 anys
– No se li ha trobat cap fallada greu
– La clau efectiva és petita (40 bits) pels sistemes
actuals i pot ser atacat per força bruta
● Per millorar l'efectivitat es va desenvolupar
3DES
– És simplement aplicar DES 3 vegades
– Això permet aconseguir claus efectives de (112
o168 bits)
● Encara es fa servir molt
21. Administració de Sistemes Informàtics i Xarxes
Xifrat simètric
● Els avantatges més grans dels sistemes de
xifrat simètric són que:
– Els algorismes són ràpids perquè estan basats en
operacions simples
– A vegades es senzill implementar-los en maquinari
La velocitat els permet ser usats per
transmetre grans volums de dades
22. Administració de Sistemes Informàtics i Xarxes
Xifrat de clau secreta
● El problema del xifrat simètric és que si algú
coneix la clau pot descobrir el missatge
HOLA HOLA
HOLA
23. Administració de Sistemes Informàtics i Xarxes
Problemes...
● Com fem arribar la clau al destinatari i estar
segurs de que no ha estat interceptada?
25. Administració de Sistemes Informàtics i Xarxes
Clau pública
● El xifrat de clau pública soluciona el problema
del repartiment de claus
– Permet enviar les claus sense que importi que
l'atacant les aconsegueixi
26. Administració de Sistemes Informàtics i Xarxes
Xifrat asimètric
● Fan servir un parell de claus creades a partir de
mètodes matemàtics
● Tots els participants tenen dues claus:
– Clau privada: Que ha de ser mantinguda en secret
– Clau pública: Que es pot distribuir lliurement
Pública
Privada
27. Administració de Sistemes Informàtics i Xarxes
Xifrat asimètric
● El que xifra una clau només pot desxifrar-ho
l'altra
HOLA
XIFRAR
HOLA
DESXIFRAR
28. Administració de Sistemes Informàtics i Xarxes
TRANSMISSIÓ
Xifrat asimètric
HOLA
HOLA
Envia la clau
pública
Xifra el missatge
amb la clau
pública
Desxifra
amb la clau
secreta
29. Administració de Sistemes Informàtics i Xarxes
TRANSMISSIÓ
Xifrat asimètric
HOLA
HOLA
Envia la clau
pública
Xifra el missatge
amb la clau
pública
Desxifra
amb la clau
secreta
30. Administració de Sistemes Informàtics i Xarxes
Xifrat asimètric
● Si un atacant intercepta la comunicació...
HOLA
HOLA
Envia missatge
Xifrat amb la clau
pública
Envio la clau pública
No pot desxifrar:
No té la clau privada
Desxifrat amb
La clau privada
31. Administració de Sistemes Informàtics i Xarxes
RSA
● L'algorisme RSA va
ser inventat per
Rivest, Shamir i
Adleman
● Està sota domini
públic des del 2000
● És l'algorisme de clau
publica més usat:
TLS, PGP, IPSec,
navegadors web...
● Basat en els números
primers
32. Administració de Sistemes Informàtics i Xarxes
Xifrat asimètric
● Els algorismes de
clau asimètrica més
usats són:
– RSA
– Diffie-Hellman (DH)
– DSA
– Elliptic Curbe
Cryptography
(ECC)
– ElGamal
33. Administració de Sistemes Informàtics i Xarxes
Xifrat asimètric
● Avantatges:
– Incrementa la seguretat perquè ja no cal
transmetre la clau de desxifrat
● Inconvenient:
– És un procediment lent i per tant són ideals per
intercanvi de claus i signatura electrònica
34. Administració de Sistemes Informàtics i Xarxes
Funcionament
● Com que:
– Els mètodes simètrics són ràpids però tenen
el problema de repartiment de claus
– Els mètodes asimètrics són lents al xifrar
● S'ha creat els mètodes híbrids:
– Combinen el xifrat simètric i asimètric per tenir
el millor dels dos móns
35. Administració de Sistemes Informàtics i Xarxes
Mètodes híbrids
HOLA
HOLA
TRANSMISSIÓ
Xifrem la clau
simètrica
amb la clau pública
Generar una clau
Simètrica aleatòria
Xifrem el missatge
amb la clau simètrica
Desxifra per trobar
la clau simètrica
36. Administració de Sistemes Informàtics i Xarxes
Cryptool
● Una eina interessant
per aprendre com
funcionen:
– Els algorismes
de xifrat
– Els sistemes de
criptoanàlisi
37. Administració de Sistemes Informàtics i Xarxes
Criptografia
● Sigui el que sigui el sistema que es faci servir
hi ha quatre aspectes que s'han de tenir en
compte:
– Confidencialitat
– Integritat: Les dades no han estat canviades
– Autentificació: El receptor pot verificar qui ha
enviat el missatge
– No repudi: El que envia el missatge no pot
denegar que ho ha fet
38. Administració de Sistemes Informàtics i Xarxes
Integritat de les dades
● Garantir la integritat de les dades és un
concepte clau en els sistemes moderns
– La pèrdua de dades o la seva corrupció pot
provocar molts problemes en una empresa
– S'ha de garantir que les dades no han estat
manipulades
39. Administració de Sistemes Informàtics i Xarxes
Autentificació
● L'autentificació es pot garantir amb l'ús de
signatures electròniques
– La presència de la signatura és una garantia
de que el missatge és genuí
40. Administració de Sistemes Informàtics i Xarxes
Autentificació
● L'autenticitat també es fa servir per identificar
explícitament que un usuari és qui diu que és
Àvia?
41. Administració de Sistemes Informàtics i Xarxes
No repudi
● Serveix perquè els
signants no puguin
negar la participació
– Es pot verificar
que algú ha
signat
– Només pot
haver signat qui
tingui la clau
secreta
---------------
---------------
---------------
---------------
42. Administració de Sistemes Informàtics i Xarxes
Atacs a la criptografia
● No importa com de segur sigui el mètode que
es faci servir
Pot ser atacat
● La única forma de mesurar la força d'un
sistema és a base dels atacs que ha suportat
44. Administració de Sistemes Informàtics i Xarxes
Seguretat de les dades
● Pràcticament tots els sistemes operatius
moderns ofereixen alguna forma de xifrar les
dades automàticament
● També hi ha programes externs per fer-ho
45. Administració de Sistemes Informàtics i Xarxes
Xifrar
● Per defecte hi ha mecanismes de xifrat tant de
particions com de fitxers
Bitloker
Encrypted File System
dm-crypt
ecryptfs
46. Administració de Sistemes Informàtics i Xarxes
Programari per Windows
● Entre els principals programes per Windows hi
ha:
PGP Whole Disk
Encryption
Permet xifrar totalment totes les particions de disc
del sistema (enllaç)
Bitlocker
Només disponible en Windows 7 Ultimate
EFS Permet xifrar fitxers i carpetes però no el sistema.
Només l'usuari que xifra pot accedir a les dades
SafeBoot Sistema comercial de xifrat de l'empresa McAfee (
enllaç)
Symantec Endpoint
Encryption
Sistema comercial de xifrat de Symantec (enllaç)
Truecrypt Permet xifrar particions, crear unitats virtuals
xifrades, amagar unitats virtuals, ... (enllaç)
47. Administració de Sistemes Informàtics i Xarxes
Programari per Linux
● Per Linux en destaquen:
PGP Whole Disk
Encryption
Permet xifrar totalment totes les particions de disc
del sistema (Enllaç)
cryptloop Xifrat de particions a nivell de sistema
dm-crypt Subsistema de xifrat transparent (Enllaç)
- Cryptsetup (Enllaç)
loop-AES Sistema ràpid de xifrat de particions i espais
d'intercanvi (Enllaç)
SDL4L Amaga particions dins de fitxers normals (Enllaç)
Truecrypt Permet xifrar particions, crear unitats virtuals
xifrades, amagar unitats virtuals, ...
EncFs Permet xifrar dades al vol de manera automàtica
48. Administració de Sistemes Informàtics i Xarxes
EFS
● Permet xifrar carpetes i arxius de forma
transparent en Windows
– Es xifra cada arxiu amb una clau diferent i tot amb
la clau pública
– Només funciona en NTFS
– Només l'usuari pot accedir a les dades
– Si es perd l'usuari es perden les dades
● Per evitar-ho se n'hauria de fer una còpia
C:> cipher /X
50. Administració de Sistemes Informàtics i Xarxes
eCryptfs
● Permet xifrar arxius
de forma semblant a
EFS (Windows) en
sistemes Linux
● Està en el kernel de
Linux
● Emmagatzema
metadades en la
capçalera dels fitxers
per fer-los portables
51. Administració de Sistemes Informàtics i Xarxes
EncFS
● EncFS és un sistema
de fitxers basat en
FUSE
– S'hi treballa tenint
dues carpetes, una
xifrada i una
desxifrada
– A disc només hi ha la
xifrada
● Es pot fer servir en
Windows (BoxCryptor
o Dokan+encfs4win)
52. Administració de Sistemes Informàtics i Xarxes
EncFS
$ encfs ~/Dropbox/.xifrat ~/Documents/Secret
Tot el que es
desi aquí
Es desa xifrat
aquí
53. Administració de Sistemes Informàtics i Xarxes
BitLocker Disk Encryption
● Disponible només en les versions Ultimate i
Enterprise de Windows
● Pensat per xifrar discs NTFS
● Fa servir AES
54. Administració de Sistemes Informàtics i Xarxes
dm-crypt
● Mòdul de Linux que permet xifrar discs o
particions en Linux de forma transparent
● Fa servir diversos algorismes (AES, ...)
● Cal algun programa d'espai d'usuari per
interactuar-hi
– Cryptsetup: Només proporciona el més bàsic
per funcionar
– Cryptmount: permet muntar i desmuntar
discs sense que calgui ser root
● Es poden llegir els discs des de Windows amb
FreeOTFE
55. Administració de Sistemes Informàtics i Xarxes
Truecrypt
● Es tracta d'un dels sistemes multiplataforma
més populars