2. Comunicaciones Seguras
• Tráfico entre sites debe ser seguro
• Deben tomarse medidas para garantizar que la comunicación
no pueda ser alterada o descifrada si es interceptada
MARS
Segmento Remoto
VPN
VPN
Iron Port
Firewall
IPS
CSA
Web
Server
Email
Server DNS
CSA
CSA
CSA
CSA
CSA
CSA
CSA
3. Tareas Principales:
Autenticación
• Un Cajero Automático
requiere de un PIN
(Número de
Identificación Personal)
para su autenticación.
• El PIN es un secreto
compartido entre el
titular de una cuenta
bancaria y la institución
financiera
4. Integridad
• Un sello de cera intacto en un sobre asegura la
integridad.
• El sello único intacto garantiza que nadie ha
cambiado el contenido .
7. Métodos Criptografía:
Cifrados por Transposición
F...C...T...A...A...A.
.L.N.O.S.E.T.C.R.H.R.
..A...E...A...A...O...
Texto Cifrado
3
FCTAAA
LNOSETCRHR
AEAAO
El mensaje de texto claro sería
codificado usando una clave de 3.
1
FLANCO ESTE
ATACAR AHORA
Utilizar cifrado “rail fence”
(riel de valla) y clave 3.
2
El mensaje de texto claro
aparecería como se ve.
Texto claro
8. Cifrado por Substitución
Cifrado del Cesar
Texto Cifrado
3
IODQR HVWH
DWDFDU DKRUD
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
El mensaje de texto claro sería
codificado usando una clave 3.
1
FLANCO ESTE
ATACAR AHORA
Desplazamiento
superior de tres
caracteres (clave
3), una A se
convierte en D, B
se convierte en E,
y así
sucesivamente
2
El mensaje de texto claro se
cifraría de la siguiente manera
utilizando una clave 3.
Texto Claro
9. Rueda de Cifrado
Texto Cifrado
3
IODQR HVWH
DWDFDV DKRUD
1
FLANCO ESTE
ATACAR AHORA
Girando la rueda interior 3
caracteres, entonces A se
convierte en D, B se convierte en
E, y así sucesivamente.
2
Texto Claro
El mensaje de texto claro sería
codificado usando una clave 3.
El mensaje de texto claro se
cifraría de la siguiente manera
utilizando una clave 3.
10. Encriptado Simétrico
• Mejor conocido como algoritmos de clave secreta compartida
• La longitud de clave usual es de 80 a 256 bits
• Un remitente y un receptor deben compartir una clave secreta
• Procesamiento más rápido porque utilizan operaciones
matemáticas simples.
• Los ejemplos incluyen DES, 3DES, AES, IDEA, RC2 / 4/5/6 y
Blowfish.
Key Key
Encript
ado
Desenc
riptado$1000 $1000$!@#IQ
Pre-shared
key
11. Algoritmos Simétricos
Algoritmos
Simétricos
Long. Clave
(en bits)
Descripción
DES 56
Diseñado en IBM durante los años 70 y era el estándar del NIST hasta
1997. Aunque se considera anticuado, el DES sigue siendo ampliamente
utilizado. Diseñado para ser implementado sólo en hardware, y por lo
tanto es extremadamente lento en software.
3DES 112 y 168
Basado en el uso de DES tres veces, lo que significa que los datos de
entrada se cifran tres veces y por lo tanto se considera mucho más
fuerte que el DES. Sin embargo, es bastante lento en comparación con
algunos nuevos cifrados de bloques como AES.
AES 128, 192, y 256
Rápido en software y hardware, es relativamente fácil de implementar,
y requiere poca memoria. Como un nuevo estándar de encriptación,
actualmente se está desplegando a gran escala.
Software
Encryption
Algorithm (SEAL)
160
SEAL es un algoritmo alternativo a DES, 3DES y AES.
Utiliza una clave de cifrado de 160 bits y tiene un menor impacto en la
CPU cuando se compara con otros algoritmos basados en software.
La serie RC
RC2 (40 y 64)
RC4 (1 a 256)
RC5 (0 a 2040)
RC6 (128, 192, y
256)
Un conjunto de algoritmos de cifrado de clave simétrica inventado por
Ron Rivest.
RC1 nunca se publicó y RC3 se rompió antes de ser utilizado.
RC4 es el cifrado de flujo más utilizado del mundo.
RC6, un cifrado de bloques de 128 bits basado en gran medida en RC5,
fue un finalista AES desarrollado en 1997.
13. Asymmetric Encryption
• También conocidos como algoritmos de clave pública
• La longitud de clave usual es 512-4096 bits
• Un remitente y un receptor no comparten una clave secreta
• Relativamente lentos porque se basan en algoritmos
computacionales difíciles
• Los ejemplos incluyen RSA, ElGamal y DH.
Clave
Encriptado
Clave
Desencriptado
Encrypt Decrypt
$1000 $1000%3f7&4
Dos claves
separadas que
no se
comparten
14. Como funciona el Encriptado
Asimétrico?
Comp. A
B Clave
privade
Puedo conocer su clave pública?
Esta es mi Clave
Pública.
Clave Pública
Comp. B
Clave Pública
Comp A
Comp. B
La comp. A obtiene la clave
pública de la comp. B
Comp. A usa clave pública de
Comp. B para encriptar un msg
usando un algoritmo acordado
Comp. A transmite el msg
Encriptado a Comp. B
Comp. B usa su clave privada p/
desencriptar el msg
A Clave
privada
15. Algorítmo de Clave Asimétrica
Algoritmo
Largo
de Clave
(en bits)
Descripción
DH
512, 1024,
2048
Inventado en 1976 por Whitfield Diffie y Martin Hellman.
Dos partes acuerdan una clave que pueden usar para cifrar mensajes
La suposición es que es fácil levantar un número a una cierta potencia, pero
difícil de calcular qué poder se utilizó dado el número y el resultado.
Digital Signature
Standard (DSS) and
Digital Signature
Algorithm (DSA)
512 - 1024
Creado por NIST y especifica DSA como el algoritmo para las firmas
digitales.
Un algoritmo de clave pública basado en el esquema de firma ElGamal.
La velocidad de creación de la firma es similar con RSA, pero es más lenta
para la verificación.
RSA encryption
algorithms
512 to
2048
Desarrollado por Ron Rivest, Adi Shamir y Leonard Adleman en el MIT en
1977. Basado en la dificultad actual de factorizar números muy grandes.
Adecuado para la firma, así como encriptación. Ampliamente utilizado en
protocolos de comercio electrónico
EIGamal 512 - 1024
Basado en el acuerdo clave de Diffie-Hellman.
Descrito por Taher Elgamal en 1984 y utilizado en el software GNU Privacy
Guard, PGP y otros criptosistemas.
El mensaje encriptado se vuelve aproximadamente el doble del tamaño del
mensaje original y por esta razón sólo se utiliza para mensajes pequeños
como claves secretas
17. Espacio de Claves
Clave DES Espacio de claves # de Posibles Claves
56-bit
256
11111111 11111111 11111111
11111111 11111111 11111111 11111111
72,000,000,000,000,000
57-bit
257
11111111 11111111 11111111
11111111 11111111 11111111 11111111 1
144,000,000,000,000,000
58-bit
258
11111111 11111111 11111111
11111111 11111111 11111111 1111111111
288,000,000,000,000,000
59-bit
259
11111111 11111111 11111111
11111111 11111111 11111111 11111111111
576,000,000,000,000,000
60-bit
260
11111111 11111111 11111111
11111111 11111111 11111111 111111111111
1,152,000,000,000,000,000
Para cada bit añadido a la clave DES, el atacante necesitaría el doble de la cantidad de tiempo para buscar el espacio de
claves .
Las claves más largas son más seguras pero también requieren más recursos y pueden afectar el rendimiento .
Con 60-bit DES
un atacante requiere
16 veces
mas tiempo que
56-bit DES
Doble de
tiempo
Cuatro veces
mas tiempo
18. Tipos of Claves
2242242432112Protección
hasta 20 años
192192177696Protección
hasta 10 años
160160124880Protección
hasta 3 años
HashFirma Digital
Clave
Asimétrica
Clave
Simétrica
2562563248128Protección
hasta 30 años
51251215424256Protección contra
computadora quantum
Las claves más largas son más seguras pero también requieren más
recursos y pueden afectar el rendimiento.
Obsérvese las longitudes de clave simétricas comparativamente cortas
que ilustran que los algoritmos simétricos son el tipo de algoritmo más
fuerte.
19. CLAVES CORTAS = RÁPIDO
PROCESAMIENTO, PERO
MENOS SEGURAS
CLAVES LARGAS =
PROCESAMIENTO MAS
LENTO, PERO MAS
SEGURA
Propiedades de la Clave
20. Métodos de Criptoanálisis
Texto Cifrado
Conocido
Ataque por Fuerza Bruta
Con un ataque de Fuerza Bruta, el atacante tiene parte del
texto cifrado. El atacante intenta descifrar el texto cifrado
con todas las claves posibles.
Desencriptado
exitoso!
Clave
encontrada
21. Mett-in-the-Middle Attack
(Ataque encuentro a medio camino)
Con un ataque Mett-in-the-Middle, el atacante tiene una parte del
texto tanto en texto plano como en texto cifrado. El atacante intenta
descifrar el texto cifrado con todas las claves posibles y, al mismo
tiempo, cifrar el texto plano con otro conjunto de claves posibles
hasta que se encuentre una coincidencia.
Texto Cifrado
Conocido
Texto Plano
Conocido
Utilice todas las posibles
claves de descifrado hasta
que se encuentre un
resultado que coincida con
el texto plano
correspondiente.
Utilice todas las posibles
claves de cifrado hasta
que se encuentre un
resultado que coincida
con el correspondiente
texto cifrado.
Coincide con el
texto cifrado!
Clave
encontrada
23. Hashes criptográficos, protocolos y
ejemplos de algoritmos
IntegridadIntegridad AutenticaciónAutenticación ConfidencialidadConfidencialidad
MD5
SHA
HMAC-MD5
HMAC-SHA-1
RSA and DSA
DES
3DES
AES
SEAL
RC (RC2, RC4, RC5, and RC6)
HASH HASH c/Clave
Encriptación
Función Resumen
24. Fundamentos del Hashing
• Las funciones de hash se
utilizan para garantizar la
integridad.
• Las funciones de hash se
basan en funciones
unidireccionales.
• La función de hash convierte
datos de longitud arbitraria
en un resumen de longitud
fija conocido como el valor
de hash, el resumen de
mensaje, el resumen o la
huella digital.
• Libre de colisiones
Datos de longitud
Arbitraria
Longitud fija
Valor de Hash
e883aa0b24c09f
25. Propiedades del Hashing
X
h e883aa0b24c09f
H
(H)
= (x)h
Valor
de
Hash
Función
de Hash
Texto de
longitud
arbitraria
26. Hashing en Acción
• Vulnerable al ataque man-in-the-middle
– Hashing no provee seguridad en la transmisión.
• Funciones de Hash mas conocidas
– MD5 con 128-bit resumen
– SHA-1 con 160-bit resumen
Páguese a Terry Smith
$100.00
Pesos Cien y 00/100---
Páguese a Alex Jones
$1000.00
Pesos Un Mil y 00/100
4ehIDx67NMop9 12ehqPx67NMoX
Coincide = No hay cambios
No coincide = Alteraciones
Internet
Quisiera
cobrar este
cheque!
27. MD5
• MD5 es un algoritmo de
hashing muy utilizado
• Propiedades de hash
– Función unidireccional: fácil
de calcular hash e imposible
de calcular datos originales de
un hash
–Secuencia compleja de
operaciones binarias simples
(XORs, rotaciones, etc.) que
finalmente produce un hash
de 128 bits.
MD5
28. SHA
• SHA es similar en diseño a la familia MD4 y MD5
de funciones de hash
• Toma un mensaje de entrada de no más de
2^64 bits Produce un resumen de mensaje de
160 bits
• El algoritmo es ligeramente más lento que
MD5.
• SHA-1 es una revisión que corrigió una falla
inédita en el SHA original. SHA-224, SHA-256,
SHA-384 y SHA-512 son versiones más nuevas y
más seguras de SHA y se conocen
colectivamente como SHA-2.
SHA
29. Ejemplo de Hashing
En este ejemplo, el texto claro introducido muestra los resultados de
hash con MD5, SHA-1 y SHA256. Observe la diferencia en
longitudes de clave entre los diversos algoritmos. Cuanto más larga
sea la clave, más segura será la función hash.
30. Caracteristicas de HMAC
• Utiliza una clave secreta
adicional como entrada
para la función hash
• La clave secreta es conocida
por el emisor y el receptor
• Añade autenticación al
aseguramiento de la
integridad
• Derrota a los ataques de
hombre en el medio
• Basado en funciones hash
existentes, como MD5 y
SHA-1.
El mismo procedimiento se utiliza
para la generación y verificación
de huellas digitales seguras
Valor de Hash
autenticada de
longitud fija
+
Clave
Secreta
Longitud de Datos
Arbitraria
e883aa0b24c09f
31. Ejemplo HMAC
Datos
HMAC
(Clave Digital
Autenticada)
Clave
Secreta
Paguese a Terry Smith
$100.00
Pesos Cien y 00/100
4ehIDx67NMop9
Paguese a Terry Smith
$100.00
Pesos Cien y 00/100
4ehIDx67NMop9
Datos Recibidos
HMAC
(Clave Digital
Autenticada)
Clave
Secreta
4ehIDx67NMop9
Paguese a Terry Smith
$100.00
Pesos Cien y 00/100
Si el HMAC generado coincide
con el HMAC enviado, se ha
verificado la integridad y la
autenticidad. Si no coinciden,
descarte el mensaje.
32. Usando Hashing
• Los routers usan hash con claves secretas
• Los gateways IPSec y los clientes utilizan algoritmos de hashing
• Las imágenes de software descargadas del sitio web tienen sumas de
comprobación
• Las sesiones se pueden cifrar
Valor de Hash
Longitud Fija
e883aa0b24c09f
Integridad de
Datos
Autenticacion de
Entidades
Autenticidad de
Datos
34. Espacio de Claves
Clave DES Espacio de claves # de Posibles Claves
56-bit
256
11111111 11111111 11111111
11111111 11111111 11111111 11111111
72,000,000,000,000,000
57-bit
257
11111111 11111111 11111111
11111111 11111111 11111111 11111111 1
144,000,000,000,000,000
58-bit
258
11111111 11111111 11111111
11111111 11111111 11111111 1111111111
288,000,000,000,000,000
59-bit
259
11111111 11111111 11111111
11111111 11111111 11111111 11111111111
576,000,000,000,000,000
60-bit
260
11111111 11111111 11111111
11111111 11111111 11111111 111111111111
1,152,000,000,000,000,000
Para cada bit añadido a la clave DES, el atacante necesitaría el doble de la cantidad de tiempo para buscar el espacio de
claves .
Las claves más largas son más seguras pero también requieren más recursos y pueden afectar el rendimiento .
Con 60-bit DES
un atacante requiere
16 veces
mas tiempo que
56-bit DES
Doble de
tiempo
Cuatro veces
mas tiempo
35. Tipos of Claves
2242242432112Protección
hasta 20 años
192192177696Protección
hasta 10 años
160160124880Protección
hasta 3 años
HashFirma Digital
Clave
Asimétrica
Clave
Simétrica
2562563248128Protección
hasta 30 años
51251215424256Protección contra
computadora quantum
Las claves más largas son más seguras pero también requieren más
recursos y pueden afectar el rendimiento.
Obsérvese las longitudes de clave simétricas comparativamente cortas
que ilustran que los algoritmos simétricos son el tipo de algoritmo más
fuerte.
36. CLAVES CORTAS = RÁPIDO
PROCESAMIENTO, PERO
MENOS SEGURAS
CLAVES LARGAS =
PROCESAMIENTO MAS
LENTO, PERO MAS
SEGURA
Propiedades de la Clave
37. Algoritmos Simétricos
Algoritmos
Simétricos
Long. Clave
(en bits)
Descripción
DES 56
Diseñado en IBM durante los años 70 y era el estándar del NIST hasta
1997. Aunque se considera anticuado, el DES sigue siendo ampliamente
utilizado. Diseñado para ser implementado sólo en hardware, y por lo
tanto es extremadamente lento en software.
3DES 112 y 168
Basado en el uso de DES tres veces, lo que significa que los datos de
entrada se cifran tres veces y por lo tanto se considera mucho más
fuerte que el DES. Sin embargo, es bastante lento en comparación con
algunos nuevos cifrados de bloques como AES.
AES 128, 192, y 256
Rápido en software y hardware, es relativamente fácil de implementar,
y requiere poca memoria. Como un nuevo estándar de encriptación,
actualmente se está desplegando a gran escala.
Software
Encryption
Algorithm (SEAL)
160
SEAL es un algoritmo alternativo a DES, 3DES y AES.
Utiliza una clave de cifrado de 160 bits y tiene un menor impacto en la
CPU cuando se compara con otros algoritmos basados en software.
La serie RC
RC2 (40 y 64)
RC4 (1 a 256)
RC5 (0 a 2040)
RC6 (128, 192, y
256)
Un conjunto de algoritmos de cifrado de clave simétrica inventado por
Ron Rivest.
RC1 nunca se publicó y RC3 se rompió antes de ser utilizado.
RC4 es el cifrado de flujo más utilizado del mundo.
RC6, un cifrado de bloques de 128 bits basado en gran medida en RC5,
fue un finalista AES desarrollado en 1997.
38. Asymmetric Encryption
• También conocidos como algoritmos de clave pública
• La longitud de clave usual es 512-4096 bits
• Un remitente y un receptor no comparten una clave secreta
• Relativamente lentos porque se basan en algoritmos
computacionales difíciles
• Los ejemplos incluyen RSA, ElGamal y DH.
Clave
Encriptado
Clave
Desencriptado
Encrypt Decrypt
$1000 $1000%3f7&4
Dos claves
separadas que
no se
comparten
39. Como funciona el Encriptado
Asimétrico?
Comp. A
B Clave
privade
Puedo conocer su clave pública?
Esta es mi Clave
Pública.
Clave Pública
Comp. B
Clave Pública
Comp A
Comp. B
La comp. A obtiene la clave
pública de la comp. B
Comp. A usa clave pública de
Comp. B para encriptar un msg
usando un algoritmo acordado
Comp. A transmite el msg
Encriptado a Comp. B
Comp. B usa su clave privada p/
desencriptar el msg
A Clave
privada
40. Algorítmo de Clave Asimétrica
Algoritmo
Largo
de Clave
(en bits)
Descripción
DH
512, 1024,
2048
Inventado en 1976 por Whitfield Diffie y Martin Hellman.
Dos partes acuerdan una clave que pueden usar para cifrar mensajes
La suposición es que es fácil levantar un número a una cierta potencia, pero
difícil de calcular qué poder se utilizó dado el número y el resultado.
Digital Signature
Standard (DSS) and
Digital Signature
Algorithm (DSA)
512 - 1024
Creado por NIST y especifica DSA como el algoritmo para las firmas
digitales.
Un algoritmo de clave pública basado en el esquema de firma ElGamal.
La velocidad de creación de la firma es similar con RSA, pero es más lenta
para la verificación.
RSA encryption
algorithms
512 to
2048
Desarrollado por Ron Rivest, Adi Shamir y Leonard Adleman en el MIT en
1977. Basado en la dificultad actual de factorizar números muy grandes.
Adecuado para la firma, así como encriptación. Ampliamente utilizado en
protocolos de comercio electrónico
EIGamal 512 - 1024
Basado en el acuerdo clave de Diffie-Hellman.
Descrito por Taher Elgamal en 1984 y utilizado en el software GNU Privacy
Guard, PGP y otros criptosistemas.
El mensaje encriptado se vuelve aproximadamente el doble del tamaño del
mensaje original y por esta razón sólo se utiliza para mensajes pequeños
como claves secretas
41. Digital Signatures
• La firma es auténtica y no
forjable: La firma es la prueba
de que el firmante, y nadie
más, firmó el documento.
• La firma no es reutilizable: La firma es una parte del
documento y no se puede mover a un documento
diferente.
• La firma es inalterable: Después de la firma de un
documento, no se puede modificar.
• La firma no puede ser repudiada: Para fines legales, la firma
y el documento se consideran cosas físicas. El firmante no
puede reclamar más tarde que no lo firmaron.
Notas del editor
Media Notes:
More Information: Refer to the National Institute of Standards and Technology (NIST) website at http://www.keylength.com/en/4/ to see updated key length recommendations
More Information: The terms message digest and hash value are often used interchangeably to describe the output of a hash function. The terms digest or fingerprint may also be used.
More Information: In 2005, security flaws were identified in MD5 and SHA-1 indicating that a stronger hash function would be desirable. SHA-2 is the recommended hash functions. There is also a contest sponsored by the National Institute of Standards and Technology to design a hash function which will be given the name SHA-3 by 2012. For more detail, refer to http://www.itl.nist.gov/lab/bulletns/B-05-08.pdf.
TIP: To try an online HASH converter, refer to http://hash-it.net/.
More Information: Refer to the National Institute of Standards and Technology (NIST) website at http://www.keylength.com/en/4/ to see updated key length recommendations