4. Es el acto de establecimiento o conf i rmación de
algo (o alguien) como autént ico. La autent icación
de un objeto puede signi f icar (pensar ) la
conf i rmación de su procedencia, mient ras que la
autent icación de una persona a menudo consiste
en ver i f icar su ident idad.
4
AUTENTICACIÓN
5. En términos de seguridad de redes de datos, se puede
considerar uno de los tres pasos fundamentales (AAA). Cada
uno de ellos es, de forma ordenada:
Autenticación. En la seguridad de ordenador, la
autenticación es el proceso de intento de verificar la identidad
digital del remitente de una comunicación como una petición para
conectarse. El remitente siendo autenticado puede ser una
persona que usa un ordenador, un ordenador por sí mismo o un
programa del ordenador.
6. Autorización. Proceso por el cual la red de datos autor iza al
usuar io ident if icado a acceder a determinados recursos de la
misma.
Auditoría. Mediante la cual la red o sistemas asociados
regist ran todos y cada uno de los accesos a los recursos que
real iza el usuar io autor izados o no.
El uso más exacto describe la autenticación como el proceso de verificar la
identidad de una persona, mientras la autorización es el proceso de
verificación que una persona conocida tiene la autoridad para realizar una
cierta operación.
7. Ident i f icar al usuar io que desea tener acceso a los servicios de
cómputo (Web server, etc. )
Moni toreo del f lujo de paquetes y ver i f icar que per tenecen a un
usuar io y servicio autor izado
Ident i f icar Sof tware int ruso y ver i f icar que su funcional idad esté
autor izada, l ibres de vi rus
7
AUTENTICACIÓN
8. Cont raseña
Funciones compendio
Fi rma digi tal
Biométricas
Reconocimiento de voz
Reconocimiento de la mano
Huel la digi tal
Reconocimiento del i r is (muy conf iable)
8
AUTENTICACIÓN – TÉCNICAS
10. Criptografía: procedimientos para cifrar, o enmascarar
información de carácter confidencial.
Criptoanálisis: Es la ciencia que se estudia las
herramientas y técnicas que permitan conocer los códigos y
sistemas de protección definidos por la criptografía.
10
CRIPTOLOGÍA
Criptología
Criptografía Criptoanálisis
11. La cr iptograf ía es una necesidad, ya que el desar rol lo de
las comunicaciones elect rónicas hace posible la transmisión
y almacenamiento de información conf idencial que es
necesar io proteger.
11
CRIPTOGRAFÍA
12. Características de los algoritmos
de encriptación
• El algoritmo de cifrado debe ser público. Para poder ser estudiado y
determinar su nivel de seguridad.
• La robustez de un sistema depende de la clave utilizada.
• La clave actúa como modificador del algoritmo, de esta manera el algoritmo
puede ser reutilizado.
• Es diferente la clave de la contraseña.
• Tipos de algoritmos de encriptación:
• Transposición: Cambiar el orden de los símbolos que forman parte del
texto.
• Sustitución: Reemplazan unos símbolos por otros.
13. Características de los algoritmos de
encriptación
Dentro de la técnica de sustitución:
• Sustitución monoalfabética: Cada símbolo se reemplaza solo por otro
símbolo.
• Sustitución polialfabética: Diversos caracteres del texto cifrado representan
a un mismo carácter del texto original.
14. Historia de los sistemas criptográficos
La aplicaciones de los sistemas criptográficos
tienen aplicación principal en guerras y gobierno.
Las primeras prácticas en los griegos y romanos:
Uso del cilindro scytala era empleado por los
griegos. Método Transposición.
Componentes: correa de cuero, cilindro, mensaje
sobre el cuero enrollado. La clave: el diámetro del
cilindro.
El Cifrado César, usada por romanos. Consiste en
una simple sustitución de cada letra del mensaje
por otra distanciada tres posiciones del alfabeto
latino. Método Sustitución.
15. En los califatos islámicos, en el siglo
IX d.C., en Bagdad nace el moderno
criptoanálisis. Cada lengua tiene una
frecuencia característica de aparición
de sus letras. Esto constituyó en la
decadencia de los métodos de
sustitución monoalfabéticos.
En el renacimiento León Batista
Alberti, creo el cifrados en disco.
Método de sustitución polialfabético.
Otro método de este tipo es el del
diplomático francés Vigenere en
1586. Usado 200 años después y
“roto” a mediados del siglo XIX.
16. En Europa se inicio a dar importancia al cifrado y se usó
como herramientas para los gobiernos en las guerras y en las
políticas en el exterior como mecanismo de poder.
Aparecen los Secretarios (Ministros) de cifra. Felipe II en
España nombra a Luis Valle de la Cerda, quien establece la
cifra general (se usa para la comunicación entre él con sus
secretarios, embajadores y altos militares) y la cifra
particular (para un entorno más reducido) .
En Inglaterra, Walsingham con Isabel I
En Francia, Viete con Enrique III y IV
Isabel I
17. En el siglo XX aparecen las máquinas de cifrado: ENIGMA.
Usados por el ejército alemán en la Segunda Guerra Mundial.
18. Otras máquinas similares fueron el TYPEX en Reino
Unido y la Converter M-209 en los Estados Unidos
Typex
Converter M-209
19. Los inventores de Enigma creían que era infalible.
Sin embargo cometieron numerosos errores:
1. Cadenas de texto predecibles: Mein Furher
2. Utilización de la misma clave por periodos
prolongados de tiempo.
3. Cifrado del mismo texto con claves nuevas y
antiguas.
Hasta que un día se apoderaron de una máquina
Enigma:
20. A B
20
PROCESO CRIPTOGRÁFICO
Mensaje cifrado
CIFRADO DESCIFRADO
DESCRIPTADO
Mensaje de
origen
Mensaje de
origen
¿Mensaje de origen?
Interceptado
21. ROT13, a cada let ra se asigna a un número y se le suma 13,
después se reemplaza el número por ot ra let ra. Si es mayor
de 26 se le resta 26 y se convier te.
“H E L LO” 8 , 5 , 1 2 , 1 2 , 1 5 + 1 3 = 2 1 , 1 8 , 2 5 , 2 5 , 2 8- 2 6 = “URY YB ”
Ent re más bi ts se usen, es más di f íci l de descr i f rar. El
algor i tmo PGP sopor ta claves de hasta 4,096 bi ts
Se requieren 3 días para desci f rar una l lave de 56 bi ts, 6
días para 57 bi ts, 768 días para 64 bi ts, etc. Las l laves de
128 bi ts hoy son seguras
21
ALGORITMOS DE ENCRIPTACIÓN
22. Un buen sistema criptográfico será aquel que ofrezca
un descrifrado imposible pero un encriptado sencillo.
La finalidad es doble:
Mantener la confidencialidad del mensaje.
Garantizar la autenticidad tanto del mensaje como del par
remitente/destinatario..
22
FINALIDAD DE LA
CRIPTOGRAFÍA
23. 23
CIFRADO
Definición
Es el mecanismo para proporcionar confidencialidad a través de
funciones matemáticas
Tipos
• Simétricos o de Llave Privada (DES).
• Asimétricos o de Llave Pública (RSA).
• Híbrido (SSL).
24. Protege la información almacenada en la computadora
cont ra accesos no autor izados
Protege la información mient ras transita de un sistema de
cómputo a ot ro
Puede detectar y evitar alteraciones accidentales o
intencionales a los datos
Puede veri f icar si el autor de un documento es realmente
quien se cree que es
24
VENTAJAS DEL CIFRADO
25. No puede prevenir que un agresor bor re intencionalmente
todos los datos
Encontrar la forma de que no se tuviera conocimiento
previamente
Acceder al archivo antes de que sea cifrado o después de
desci f rar
25
DESVENTAJAS DEL CIFRADO
26. Algoritmo cifrador (cifra y descifra datos)
Claves de cifrado
Longitud de clave (claves largas)
Texto en claro (información a cifrar)
Texto cifrado (información después de cifrar)
26
ELEMENTOS COMUNES
DEL CIFRADO
27. Criptografía de clave privada - simétrica
Ambos participantes comparten una clave (Ej. DES, IDEA)
Criptografía de clave pública
Cada participante tiene una clave privada no compartida y
una clave pública que todos conocen
El mensaje se encripta usando la llave pública y el
participante descifra el mensaje con su clave privada (Ej. RSA
de Rivest, Shamir y Adleman)
27
ALGORITMOS
CRIPTOGRÁFICOS
28. ALGORITMOS CRIPTOGRÁFICOS
Función Hash o de Digestión del mensaje:
No involucran el uso de claves
Determina una suma de verificación única (checksum)
criptográfica sobre el mensaje
El algoritmo más usado es el MD5 (Message Digest versión 5)
28
29. Datos
• MAC
Hash
Algoritmos Hash de una dirección con clave
Clave Privada
Algoritmo
Hash
30. Algoritmos de clave
simétrica
• También se le denomina critografía privada o cifrado por bloques.
• Se caracteriza por usar la misma clave para encriptar y
desencriptar.
• Toda la seguridad está basada en la privacidad de esta clave
31. CIFRADO DE PRODUCTO
Se apoyan en dos conceptos:
Confusión: tratar de ocultar la relación que existe entre el texto
normal, el texto cifrado y la clave, es decir, realizar sustituciones
simples
Difusión: trata de repartir la influencia de cada bit del mensaje
original lo más posible en el mensaje cifrado, es decir, realizar
permutaciones
Estas técnicas consisten en t rocear el mensaje en bloques de
tamaño f i jo, y apl icar la función de ci f rado a cada uno de el los.
Destacar que la confusión por sí sola ser ía suf iciente, pero
ocupar ía mucha memor ia, por lo que ser ía inviable.
32. SISTEMAS DE CLAVES PRIVADAS
IDEA – International Data Encryption Algorithm
Usa una clave de 128 bits, utilizado por el programa PGP ( Pretty Good
Privacy ) uno de los más extendidos y usados en mensajería de correo
electrónico
RC2
Cifrador de bloque permite de 1 a 2048 bits
SKIPJACK
Utilizado por el circuito integrado de cifrado CLIPPER, utiliza 80 bits
32
33. IDEA ( INTERNATIONAL DATA ENCRYPTION
ALGORITHM)
Codif ica bloques de 64 bi ts empleando una clave de 128
bi ts.
Como en el caso de DES, se usa el mismo algor itmo tanto
para ci f rar como para desci f rar.
Es un algori tmo bastante seguro, y hasta ahora se ha
most rado resistente a los ataques.
Su longitud de clave hace imposible en la práct ica un
ataque por la fuerza bruta como se podía hacer en el DES.
34. Consta de ocho rondas.
Dividiremos el bloque X a
codi f icar, de 64 bi ts, en
cuat ro par tes X1, X2, X3 y
X4 de 16 bi ts.
Denominaremos Zi a cada
una de las 52 subclaves de
16 bi ts que vamos a
necesi tar.
Las operaciones que
l levaremos a cabo en cada
ronda, se pueden apreciar
en la f igura:
X1 X2 X3 X4
X1 X2 X3 X4
35. ALGORITMO DE RIJNDAEL (AES)
Es considerado el sucesor de DES.
Este algor itmo se adoptó of icialmente en octubre del 2000
como nuevo Estándar Avanzado de Ci frado (AES) por el
NIST (Nat ional Inst itute for Standards and Technology) para
su empleo en apl icaciones cr iptográf icas.
Su nombre se debe a dos autores belgas Joan Daemen y
Vincent Ri jmen.
36. Como peculiar idad t iene que todo el proceso de selección,
revisión y estudio tanto de este algor itmo como de los restantes
candidatos, se efectuó de forma públ ica y abierta, por lo que,
toda la comunidad cr iptográf ica mundial ha part icipado en su
anál isis, lo cual convierte a Ri jndael en un algor itmo
per fectamente digno de la conf ianza de todos.
AES es un sistema de cif rado por bloques, diseñado para
manejar longi tudes de clave y de bloque variables, ambas
comprendidas ent re los 128 y los 256 bi ts.
37. Se basa en apl icar un número determinado de rondas a un valor
intermedio que se denomina estado y que se representará en
una mat riz rectangular, que posee cuatro f i las, y Nb columnas.
A[4,Nb]
La clave t iene una estructura análoga a la del estado, y se
representará mediante una tabla con cuatro f i las y Nk columnas.
K[4,Nk]
El bloque que se pretende cifrar o descif rar se traslada a la
mat r iz de estado y análogamente, la clave se copia sobre la
mat r iz de clave
38. MODOS DE OPERACIÓN PARA
ALGORITMOS DE CIFRADO POR BLOQUES
Independientemente del método empleado ¿qué ocurre cuando
la longitud del mensaje no es un múltiplo exacto del tamaño de
bloque?
Se ha de añadir información al
final para que sí lo sea.
Mecanismo:
Rellenar con 0’s el bloque que se
codifica hasta completar.
Problema: ¿cuándo se descifra por
donde hay que cortar?.
Añadir como último byte del último bloque el
número de bytes que se han añadido.
39. Los algor i tmos simét r icos encr iptan bloques de texto apl icando
ci f rados de bloques.
El tamaño de los bloques puede ser constante o var iable según
el t ipo de algor i tmo.
Tienen 4 formas de funcionamiento:
ECB
CBC
POR OTRO LADO
• CFB
• OFB
40. MODO ECB (ELECTRONIC CODE
BOOK)
Es el método más sencillo de aplicar
Subdivide la cadena a codificar en bloques del tamaño fijo y
se cifran todos ellos empleando la misma clave.
Ventajas:
– Permite codificar bloques
independientemente de su
orden.
– Es resistente a errores.
Desventajas:
– Si el mensaje presenta
patrones que se repiten, el
texto cifrado también los
presentará.
– Puede sufrir una
sustitución de bloques
41. MODO CBC (CIPHER BOOK
CHAINING)
Es un mecanismo de ret roal imentación de bloques mediante una
codif icación XOR ent re el mensaje a codif icar y el cr iptograma
ci f rado anter ior.
No comienza a codi f icar hasta que no tenga un bloque entero
Ventajas:
– Nos protege respecto a la
sustitución de bloques.
– Es resistente a errores.
Desventajas:
– Si dos textos tienen el
mismo patrón obtendrán
el mismo resultado usar
Vector de Inicio
42. - MODO CFB (CIPHER FEEDBACK
MODE)
Permi te codi f icar la información en unidades inferiores al
tamaño del bloque
Real iza una XOR entre caracteres o bi ts aislados del texto y
las sal idas del algori tmo.
Ventajas:
- Permite aprovechar totalmente la capacidad de transmisión
del canal de comunicaciones con mayor seguridad.
43. MODO OFB (OUTPUT FEEDBACK
MODE)
Como el CFB, real iza una XOR ent re caracteres o bi ts aislados del
texto y las sal idas del algor i tmo.
Pero ut i l iza como ent radas sus propias sal idas, por lo tanto no
depende del texto.
Ventajas:
– Ya no depende del texto
44. • Usa las técnicas de confusión y di fusión
• Ci fra por bloques de 64 bi ts con una l lave secreta de 64 bits
(56 út i les y 8 de par idad)
• Real iza 16 iteraciones y en cada una hace una sust itución y
una permutación con la l lave
• En Hardware es más rápido hasta 1Gb/seg.
• La l lave pr ivada se puede enviar con cada mensaje
44
SISTEMAS DE CLAVE PRIVADA –
DES (DATA ENCRIPTION STD. IBM-1980)
45. 45
ALGORITMOS DE LLAVE PRIVADA -
VENTAJAS
• El descifrado utiliza el mismo algoritmo pero con las llaves en orden inverso
• Se requieren 1500 años para hallar la clave o 6 meses si se usan 300 PCs
en paralelo
• Estándar ampliamente utilizado en la industria, donde para mayor seguridad
se encripta 3 veces (3DES), usando tres claves diferentes
46. 46
ALGORITMOS DE LLAVE PRIVADA -
DESVENTAJAS
• Quedan algunas incógnitas por resolver
• Ya cumplió con su ciclo de vida
• Puede romperse por fuerza bruta
• Como todo algoritmo simétrico, tiene el problema de la
distribución de la llave
47. Algoritmo de clave simétrica ( ó privada)
Datos
asE4Bhl
Datos
cifrados
Clave Privada
Algoritmo de
clave simétrica
Datos
Clave Privada
Algoritmo de
clave simétrica
• DES y triple DES
• IDEA
• RC2 y RC4
• SkipJack
48. ALGORITMOS DE CLAVE ASIMÉTRICA
Se caracter iza por usar una clave para encr iptar y ot ra para
desencr iptar. Una clave no se der ivará de la ot ra.
Emplean longi tudes de clave mucho mayores que los
simét r icos.
Además, la complej idad de cálculo que compor tan los hace
más lentos que los algor i tmos de ci f rado simét r icos.
Por el lo, los métodos asimét r icos se emplean para
intercambiar la clave de sesión mient ras que los simét r icos
para el intercambio de información dent ro de una sesión.
49. APLICACIONES
Cifrado de la información sin tener que t ransmit ir la clave de
decodi f icación, lo cual permi te su uso en canales inseguros.
La clave que se hace pública es aquella que permite codificar los
mensajes, mientras que la clave privada es aquella que permite
descifrarlos.
Autent i ficación de mensajes que nos permiten obtener una f irma
digital a part i r de un mensaje. Dicha f i rma es mucho más pequeña
que el mensaje original, y es muy dif íci l encont rar ot ro mensaje de
lugar a la misma.
La clave de descifrado se hará pública previamente, y la clave que
se emplea para cifrar es la clave privada.
50. 50
ALGORITMOS DE LLAVE PÚBLICA
• Todos los usuarios tienen una llave pública y una privada
• Si alguien envía un mensaje, lo cifra con tu llave pública y sólo se
descifra con la clave secreta
• La seguridad depende de la confidencialidad de la llave secreta
• Se basan en funciones matemáticas complejas como los logaritmos
discretos y curvas elípticasA
51. Datos
Algoritmo de clave asimétrica ( ó pública)
asE4Bhl
Datos
cifrados
Datos
Clave Privada
Algoritmo de
clave pública
Algoritmo de
clave pública
Clave Pública
• RSA
• Diffie-Hellman
Cifrado público
Cifrado privado
52. 52
ALGORITMOS DE LLAVE PÚBLICA
Esquema de cifrado.
Digamos que existen un par de llaves que pertenecen al usuario A:
• PK A : Llave pública de A
• SK A : Llave secreta de A
Entonces:
• B -> A: PK A {mensaje} : Mensaje Cifrado
• A : SK A {PKA {mensaje} } : Descifrado
• El mensaje solamente lo puede entender el usuario A
53. EL GAMAL
Basado en aritmética exponencial y modular, puede usarse
para cifrado y firmas digitales.
DSA
Algoritmo de firmas digitales, puede ser de cualquier longitud,
solamente se permiten claves entre 512 y 1024 bits bajo FIPS
53
Sistemas de clave pública
54. Sistemas de clave pública
Pohlig-Hellman
Sistema para el intercambio de claves criptográficas entre
partes activas. La clave puede ser de cualquier longitud,
dependiendo de la implementación de que se trate.
RSA – Data Security Inc.
Puede usarse tanto para cifrar información como para ser la
base de un sistema digital de firmas.
54
55. 55
ALGORITMO DE LLAVE PÚBLICA - RSA
• Surge en 1978 gracias a Ron Rivest, Adi Shamir y Leonard Adleman fundadores
de RSA Data Security
• Su seguridad radica en la dificultad de factorizar números muy grandes (esp.
números primos)
- De 100-200 dígitos (512 bits). Hoy se usan llaves de 1024 bits
• Proporciona mayor flexibilidad
– Se puede utilizar tanto para encriptar como para firmar mensajes
• La firma se hace con la llave privada y se verifica usando la llave pública
56. VULNERABILIDADES:
- Claves Demasiado Cortas
Deberemos escoger la longi tud de la clave en función del t iempo que
queramos que nuest ra información permanezca en secreto.
- Ataques de Intermediar io
Puede darse con cualquier algor i tmo asimét r ico.
Manera de evi tar : Cer t i f icados de conf ianza, que cer t i f ican la autent icidad
de la clave.
- Ataques de Texto en Claro Escogido
Explota la posibi l idad de que un usuar io codi f ique y f i rme un único
mensaje empleando el mismo par de claves.
- Firmar y Codi f icar
Nunca se debe f i rmar un mensaje después de codi f icar lo ya que existen
ataques que aprovechan este hecho.
57. ALGORITMO DE DIFFIE-HELLMAN
Se emplea fundamentalmente para acordar una clave común ent re
dos inter locutores, a t ravés de un canal de comunicación inseguro.
Algor i tmo:
A escoge un número aleatorio x, y envía a B el valor αx(mod p)
B escoge un número aleatorio y envía a A el valor αy(mod p)
B recoge α x y calcula K = (α x)y (mod p).
A recoge α y y calcula K = (α y)x (mod p).
Ventaja: no son necesarias claves públ icas en el sent ido estr icto,
sino una información compar t ida por los dos comunicantes.
58. ALGORITMO ELGAMAL
Fue diseñado en un pr incipio para producir f irmas digitales, pero
poster iormente se extendió también para codi f icar mensajes.
Se basa en el problema de los logar i tmos discretos
Algor i tmo:
Se escoge un número primo n y dos números
aleatorios p y x menores que n. Se calcula
entonces la expresión:
y = px (mod n)
La clave pública es (p, y, n), mientras que la clave
privada es x.
59. ALGORITMO ELGAMAL
Firmas Digi tales de ElGamal
Escoger un número k aleator io, tal que mcd(k,n-1) =1, y calcular :
a = pk(mod n)
b = (m-xa)k-1 (mod (n-1) )
La f i rma la const i tuye el par (a, b) . En cuanto al valor k, debe
mantenerse en secreto y ser di ferente cada vez.
La f i rma se ver i f ica comprobando que yaab = pm (mod n)
Codi f icación de ElGamal
Para codi f icar el mensaje m se escoge pr imero un número
aleator io k pr imo relat ivo con (n-1) , que también será mantenido
en secreto. Calculamos:
a = pk (mod n)
b = ykm (mod n)
El par (a, b) es el texto ci f rado, de doble longi tud que el texto
or iginal .
Para decodi f icar se calcula
m = b * a-x (mod n)
60. ALGORITMO DE RABIN
Se basa en el problema de calcular raíces cuadradas modulo un
número compuesto. Este problema se ha demost rado que es
equivalente al de la factor ización de dicho número.
En pr imer lugar escogemos dos números pr imos, p y q, ambos
congruentes con 3 módulo 4 ( los dos últ imos bi ts a 1). Estos
pr imos son la clave pr ivada. La clave públ ica es su producto, n
= pq.
Para codi f icar un mensaje m, se calcula:
c = m2 (mod n)
61. ALGORITMO DSA (DIGITAL SIGNATURE
ALGORITHM)
Es una parte el estándar de f irma digi tal DSS (Digi tal Signature
Standard) .
Propuesto por el NIST, data de 1991, es una var iante del método
asimét r ico de ElGamal .
Pasos:
Por un lado se generará la clave pública
compuesta por (p, q, α, y). Y por otro la clave
privada a.
Se generá la firma con la cual podrá operar el
emisor.
El destinatario efectuará las operaciones
oportunas, suponiendo que conoce la clave
pública (p, q, α , y), para verificar la autenticidad
de la firma.
62. Aceptan como entrada un conjunto de datos y genera
un resultado de longitud fija único:
No debe ser posible reconstruir la fuente de datos con el
resultado compendiado
El resultado debe parecer un conjunto aleatorio de datos
para que al agregarlos a los datos cifrados no se pueda
determinar donde terminan y donde inicia la firma digital
62
FUNCIONES CRIPTOGRÁFICAS HASHN
63. Calculan una suma de ver i f icación (checksum) cr iptográf ica
de longi tud f i ja de un mensaje de ent rada de longi tud
arbi t rar ia
Operan en par tes de mensaje de 512 bi ts con
t ransformaciones complejas
Para la f i rma se usa RSA sobre el resul tado de la Checksum
63
ALGORITMO HASH MDN (2 O 5)
65. PGP – Pretty Good Privacy (Phil Zimmerman) opera en la
capa de aplicación
Encriptación y autenticación para correo electrónico
Usa una llave pública certificada por alguien
PGP puede utilizar diferentes algoritmos de encriptación
65
SISTEMAS DE SEGURIDAD COMPLETOS
66. El protocolo IPSEC opera a nivel de capa de red
Seguridad de nivel capa de transporte – HTTPS
Usa un puerto seguro de TCP (443)
Otros protocolos de capa de transporte son SSL y TLS,
proporcionan privacidad, integridad y autenticación
66
SISTEMAS DE SEGURIDAD
COMPLETOS
67. 67
PROTOCOLO DE CAPA DE RED
SSL – Secure Socket Layer (Netscape)
• Cifra los datos con clave privada RC4 o IDEA y la clave de sesión de
RC4 o IDEA mediante RSA de clave pública
• La clave de sesión es la que se utiliza para cifrar los datos que vienen
o van al servidor seguro, se genera una clave distinta por transacción
• Además proporciona autenticación de servidores, integridad de
mensajes y de conexiones TCP/IP
68. 68
PROTOCOLO DE CAPA DE RED
•¨Cuando el cliente pide una comunicación segura, el servidor abre un
puerto cifrado gestionado por SSL:
Fase Hola – acuerdo sobre los algoritmos a usar
• Fase Intercambio de claves, generando la maestra
• Fase de producción de clave de sesión para cifrar
• Fase de verificación del servidor al usar RSA
• Fase de autenticación del cliente
• Fase de fin para iniciar el intercambio de inf.
69. SSL
https://www.dominio.co
m
VISIO CORPORATION
$
Certificado servidor
Auténtico ?
Continuar ?
No
Si
Si
Clave Pública servidor
Clave Privada servidor
Clave
simétrica de
sesión
asE4Bhl
Clave
simétrica de
sesión
Clave
simétrica de
sesión
No
Cliente Fin
Servidor
Generador de
claves
70. PROTOCOLO SECURE ELECRONIC TRANSACTION –
Producto de la alianza IBM, Microsoft, Netscape, Visa y
Mastercard
No es adecuado para micropagos (< US$10)
Garantiza la autenticación de todas las partes: cliente, vendedor,
bancos emisor y adquiriente
Alta confidencialidad, el vendedor no tiene acceso al número de
tarjeta y el banco no accesa los pedidos
Permite la gestión de la actividad comercial, registros,
autorizaciones y liquidaciones
70
(SET)
71. … P R O TO C O LO SECURE ELECRONIC TRANSACTION – (SET)
Limitantes
Lento desarrollo de software de monedero y POST
(punto de venta)
No hay compatibilidad completa de los productos
que maneja SET
Exige rígidas jerarquias de certificación, diferentes
para cada tarjeta, lo cual es engorroso
El costo de su implementación es elevada
71
73. 73
CERTIFICADO DIGITAL
La empresa mas importante a nivel
mundial para la expedicion de
firma o certificado digital es:
http://www.verisign.com/client/enroll
ment/index.html
Costo del certificado:
• 60 Días Gratis.
• $14.95 por Año.
75. 75
PROCESO DE CERTIFICACIÓN
El proceso de certificación incluye servicios de registro, "naming",
autenticación, emisión, revocación y suspensión de los
certificados.
VeriSign ofrece tres niveles de servicios de certificación de
acuerdo a las necesidades del usuario.
76. 76
CERTIFICADO DIGITAL CLASE 1
Son emitidos y comunicados electrónicamente a personas físicas,
y relacionan en forma indubitable el nombre del usuario o su "alias"
y su dirección de E-mail con el registro llevado por VeriSign.
No autentican la identidad del usuario. Son utilizados
fundamentalmente para Web Browsing y E-mail, afianzando la
seguridad de sus entornos. No son para uso comercial.
77. 77
CERTIFICADO DIGITAL CLASE 2
Son emitidos a personas físicas, y confirman la veracidad de la
información aportada en el acto de presentar la aplicación y que ella
no difiere de la que surge de alguna base de datos de usuarios
reconocida.
Es utilizado para realizar comunicaciones vía E-mail; transacciones
comerciales de bajo riesgo, validación de software y suscripciones
on-line.
78. 78
CERTIFICADO DIGITAL CLASE 3
Son emitidos a personas físicas y organizaciones
públicas y privadas.
En el primer caso, asegura la identidad del
suscriptor, requiriendo su presencia física ante
una LRA o un notario.
79. 79
CERTIFICADO DIGITAL CLASE 3
En el caso de organizaciones asegura la
existencia y nombre mediante el cotejo de los
registros denunciados con los contenidos en
bases de datos independientes.
Son utilizados para determinadas aplicaciones
de comercio electrónico como ‘Electronic
banking' y Electronic Data Interchange (EDI).
81. 81
FIRMA ELECTRÓNICA
Por Firma Electrónica se entiende "aquel conjunto de datos en
forma electrónica, anexos a otros datos electrónicos o asociados
funcionalmente con ellos, utilizados como medio para identificar
formalmente al autor o a los autores del documento que la recoge.”
82. 82
FIRMA ELECTRÓNICA AVANZADA
Permite la identificación del signatario y ha sido creada por
medios que este mantiene bajo su exclusivo control, vinculada
únicamente al mismo y a los datos a los que se refiere, lo que
permite que sea detectable cualquier modificación ulterior de
estos.
Tiene iguales efectos jurídicos que en la firma manuscrita.
84. SEGURIDAD EN LA WEB
La WWW es un sistema para intercambiar información sobre
internet .
Se const ruye de servidores web que ponen la información
disponible en la red.
Los examinadores de la web se usan para tener acceso a
información almacenada en los servidores y para desplegar la
en la pantal la del usuar io.
84
85. Al construir un servidor web, se debe estar seguro de:
Los usuarios no deben ser capaces de ejecutar comandos
arbitrarios o interactuar con el intérprete de comandos en el
servidor.
Los guiones CGI que se ejecutan deben desempeñarse ya sea
haciendo la función esperada o devolviendo un mensaje de
error.
Un agresor no debería ser capaz de usar el servidor para
ataques posteriores.
85
SERVIDOR SEGURO CONT…
86. Los servidores usan tres técnicas principales
para controlar el acceso a los archivos y
directorios:
Restringir el acceso a las direcciones IP, subredes o dominios
DNS particulares.
Restringir el acceso a usuarios en particular.
Restringir el acceso de usuarios que presenten claves
públicas firmadas por una autoridad de certificación
apropiada.
86
SERVIDOR SEGURO CONT…
87. Auditorias regulares de riesgo
Documentar planes de emergencia
Monitoreo de palabras clave
Manual de crisis accesible en Intranet
Sitios ocultos completos y actualizados
Simulacros de emergencia
Información a los medios y usuarios en caso de
emergencia
87
ADMINISTRACIÓN DE RIESGO
88. PLANEACIÓN ESTRATÉGICA PARA CASOS
Desarrollar un sitio oculto con información acerca de
medidas de seguridad, debe incluir formas de contactar
a expertos y debe reemplazar al sitio normal en menos
de una hora, con declaraciones de la alta dirección
El sitio debe estar en CD o ZIP para llevarlo a un ISP y
publicarlo, avisando por los medios al público
Hay sitios que monitorean la red en caso de problemas,
“The informant ” y “Mind It” ( perro guardian)
88
DE EMERGENCIA
90. Segur idad Informát ica
Disciplina que busca proteger la información ante eventos
adversos
Se basa en 3 principios básicos:
Confidencialidad
90
SEGURIDAD COMPUTACIONAL
Disponibilidad Integridad
91. Confidencialidad
– La información sólo es revelada a los individuos o procesos
autorizados
Integridad
– La información no debe ser modificada de manera accidental o
maliciosa
• Dis p o nibilida d
– Los recursos de información son accesibles en todo momento.
91
SEGURIDAD COMPUTACIONAL