Explicación y ejemplo del uso de depositos de llaves (Key escrow) y llaves maestras (Key recovery)

1. 25-7-2017 Key Escrow Y Key
Recovery
Investigación 5
Jesús Navarro
ING. EN SOFTWARE

2. Introducción
La encriptación de datos es una tecnología que permite la transmisión segura
de información, al codificar los datos transmitidos usando una fórmula
matemática que "desmenuza" los datos. Asegurar que la Información viaje
segura, manteniendo su autenticidad, integridad, confidencialidad y el no
repudio de la misma entre otros aspectos.
Para proteger la información almacenada se suele recurrir a las denominadas
técnicas de encriptación, la encriptación consiste básicamente en convertir un
mensaje en otro de forma tal que el mensaje original solo pueda ser
recuperado por un determinado grupo de personas que saben cómo
"desencriptar" el mensaje codificado.
El esquema básico de encriptación implica la utilización de un password o clave para
encriptar el mensaje de forma tal que solo puedan desencriptar el mensaje aquellos
que conocen el password utilizado.
Criptografía
La encriptación de datos funciona utilizando la criptografía. La criptografía es
la ciencia de usar las matemáticas para encriptar y desencriptar datos. Una vez
que la información ha sido encriptada, puede ser almacenada en un medio
inseguro o enviada a través de una red insegura (como Internet) y aun así
permanecer secreta. Luego, los datos pueden desencriptarse a su formato
original.
Algoritmo criptográfico: Un algoritmo criptográfico, o cifrador, es una función
matemática usada en los procesos de encriptación y desencriptación. Un
algoritmo criptográfico trabaja en combinación con una llave (un número,
palabra, frase, o contraseña) para encriptar y desencriptar datos. Para
encriptar, el algoritmo combina matemáticamente la información a proteger
con una llave provista.

3. El objetivo de un algoritmo criptográfico es hacer tan difícil como sea posible
desencriptar los datos sin utilizar la llave. Si se usa un algoritmo de encriptación
realmente bueno, entonces no hay ninguna técnica significativamente mejor
que intentar metódicamente con cada llave posible. El resultado de este
cálculo son los datos encriptados. Para desencriptar, el algoritmo hace un
cálculo combinando los datos encriptados con una llave provista, siendo el
resultado de esta combinación los datos desencriptados.
La mayoría de los algoritmos modernos del cifrado se basan en una de las
siguientes dos categorías de procesos:
• Problemas matemáticos que son simples pero que tienen una inversa
que se cree (pero no se prueba) que es complicada
• Secuencias o permutaciones que son en parte definidos por los datos de
entradas.
Key Escrow
También conocido como Esquema criptográfico de claves bajo custodia o
Deposito de llaves consiste en que las claves que se necesitan para descifrar
los datos cifrados son depositadas en un sitio seguro para que, solo bajo ciertas
circunstancias, una tercera parte autorizada pueda tener acceso a ellas para
poder descifrar los datos. Esta tercera parte podría ser por ejemplo empresas
que quieren acceder a las comunicaciones de sus empleados, o gobiernos, que
quieren ver el contenido de las comunicaciones.
Uno de los ejemplos más remarcables de un depósito de llaves son los
protocolos SSL (Segure Sockets Layer) y TLS (Transport Security Layer), ambos
protocolos criptográficos proporcionan comunicaciones seguras por una red,
comúnmente Internet.
Una conexión SSL o TLS mutuamente autenticada requiere un depósito de
claves en cada extremo de la conexión. El depósito de claves puede contener
los siguientes certificados y solicitudes:
• Un número de certificados de CA de diversas autorizaciones de
certificación que permiten al gestor de colas o cliente verificar los
certificados que recibe de su asociado en el extremo remoto de la

4. conexión. Los certificados individuales pueden estar dentro de una
cadena de certificados.
• Uno o más certificados personales recibidos de una entidad emisora de
certificados. Los certificados personales son esenciales en un cliente SSL
o TLS si se requiere autenticación mutua. Si no se requiere autenticación
mutua, los certificados personales no son necesarios en el cliente. El
depósito de claves podría también contener la clave privada
correspondiente a cada certificado personal.
• Las solicitudes de certificados que están en espera de ser firmados por
un certificado de CA de confianza.
Ejemplo del funcionamiento de SSL/TLS
Key Recovery
También conocida como Llave maestra es una clave que se usa para recuperar
datos en caso de la pérdida del repositorio de llaves, aunque su uso es
exclusivo en casos de emergencia permite descodificar datos sin importar su
tamaño siempre y cuando las llaves con las que se codifico estén ligadas a la
llave maestra.
Por ejemplo, en el sistema operativo Windows de Microsoft existe un tipo de
usuario llamado DRA (Data Recovery Agent) a quien se le han dado los
permisos para decodificar datos que fueron codificados por otros usuarios,

5. normalmente esta clase de responsabilidad se asigna a los departamentos de
IT de las empresas. En Windows 2000 el administrador por default del sistema
operativo era el DRA del mismo, sin embargo, a partir de Windows XP en
adelante el usuario DRA debía de generarse por separado teniendo que
generar los debidos certificados que garantizaban el acceso a los archivos
encriptados por los demás usuarios. Se tiene por advertencia por parte de
Microsoft que si el usuario DRA es creado después de encriptar los archivos
estos no podrán ser desencriptados.