Unidad 3. Seguridad Informática.
IUT Colón - Estado Táchira - Venezuela
Criptografia, Esteganografia, funciones de autenticacion, firma digital, certificados digitales, tecnicas de los hacker.
3. Un método de cifrado se
compone
fundamentalmente de dos
elementos, un algoritmo
criptográfico y una o más
claves secretas
4. Criptosistemas
Un criptosistema es el conjunto de
procedimientos que garantizan la
seguridad de la información y utilizan
técnicas criptográficas.
Se describen mediante:
• El termino en inglés es cipher.
• El elemento fundamental de un
Criptosistema es la “llave”.
• En algunas referencias a la llave se le
conoce como clave.
4
5. Definiciones:
• A y B son emisor y receptor
respectivamente.
• El mensaje original (texto en claro) es
transformado mediante un procedimiento
de encripción controlado por una llave.
• El mensaje transformado (encriptado) se
llama criptograma.
• Cuando se recibe B, con conocimiento de la
llave, se transforma el criptograma en el
texto fuente o claro.
• La llave también es conocida como clave,
encripción como cifrado y decripción como
descifrado.
5
6. Criptosistema de clave secreta
Denominamos criptosistema de clave secreta (de clave
privada, de clave única o simétrico) a aquel criptosistema
en el que la clave de cifrado, , puede ser calculada a partir
de la de descifrado, , y viceversa. En la mayoría de estos
sistemas, ambas claves coinciden, y por supuesto han de
mantenerse como un secreto entre emisor y receptor: si un
atacante descubre la clave utilizada en la comunicación, ha
roto el criptosistema.
Los sistemas de cifrado de clave única
se dividen a su vez en dos grandes
grupos de criptosistemas:
• Cifradores de flujo, que son aquellos que pueden cifrar
un sólo bit de texto claro al mismo tiempo, y por tanto
su cifrado se produce bit a bit
• Cifradores de bloque, que cifran un bloque de bits
(habitualmente, cada bloque es de 64 bits) como una
única unidad.
6
7. Criptosistemas de cifrado en flujo:
Surgen como una aproximación optimizada del
cifrado de Vernam. La idea es construir una clave
lo bastante larga, cuando menos de la longitud
del mensaje, a partir de una clave inicial corta
mediante lo que se llama generador
pseudoaleatorio. Este generador expande una
clave corta, llamada semilla, para obtener una
mucho más larga. Además, la operación de
expansión tiene que tener unas características
determinadas, ya que la secuencia que resulta se
utiliza para cifrar el texto en claro.
01010101010101
0101010101010101010
010101010101010101010
010101010101010101001010
0101010101010100101010101
01010101010101010010101
01010101010101010101
01010101010101010
01010101010101 7
8. Criptosistemas de clave publica:
En éstos, la clave de cifrado se hace de
conocimiento general (se le llama clave pública).
Sin embargo, no ocurre lo mismo con la clave de
descifrado (clave privada), que se ha de
mantener en secreto. Ambas claves no son
independientes, pero del conocimiento de la
pública no es posible deducir la privada sin
ningún otro dato. Tenemos pues un par clave
pública-clave privada; la existencia de ambas
claves diferentes, para cifrar o descifrar, hace
que también se conozca a estos criptosistemas
como asimétricos.
01010101010101
0101010101010101010
010101010101010101010
010101010101010101001010
0101010101010100101010101
01010101010101010010101
01010101010101010101
01010101010101010
01010101010101 8
9. Esteganografía
Es el arte de ocultar información en algún otro elemento. No es algo que naciera de la informática,
sino que lleva acompañando al hombre desde que éste vio necesario realizar este tipo de técnicas.
Esteganografía en texto
• Ocultar información en texto, de manera que algunas (o
todas) las palabras del mismo, sirvan para descifrar el
mensaje. Hay varias técnicas, pero la mayoría se basan
en aplicar algún algoritmo que permita elegir diferentes
estados (por ejemplo, un 0 o un 1) según diferentes
palabras (coche = 0, gato=1), en un orden específico
Esteganografía en contenido multimedia
• Tanto en imágenes como en sonido o vídeo. Las técnicas
aplicadas en esteganografía de imágenes son muy
parecidas a las aplicadas en sonido (basadas
normalmente en ocultar información de poco peso en
elementos muy pequeños del sistema de archivos
multimedia, por ejemplo a nivel de pixeles en
imágenes).
9
10. Funciones de autentificación
Se entiende por Autentificación cualquier
método que permita garantizar alguna
característica sobre un objeto dado. Interesa
comprobar la autentificación de:
• Un Mensaje mediante una firma: se debe garantizar la
procedencia de un mensaje conocido, de forma de
poder asegurar que no es una falsificación. A este
mecanismo se lo conoce como Firma Digital y consiste
en asegurar que el mensaje m proviene del emisor E y
no de otro.
• Un Usuario mediante una contraseña: se debe
garantizar la presencia de un usuario autorizado
mediante una contraseña secreta.
• Un Dispositivo: se debe garantizar la presencia de un
dispositivo válido en el sistema, por ejemplo una llave
electrónica.
10
11. Criptosistema de clave secreta
Una firma digital se logra mediante una Función Hash de
Resumen. Esta función se encarga de obtener una
"muestra única" del mensaje original. Dicha muestra es
más pequeña y es muy difícil encontrar otro mensaje que
tenga la misma firma. Suponiendo que B envía un mensaje
m firmado a A, el procedimiento es:
• B genera un resumen del mensaje r(m) y lo cifra con su
clave privada.
• B envía el criptograma.
• A genera su propia copia de r(m) usando la clave pública
de B asociada a la privada.
• A compara su criptograma con el recibido y si coinciden
el mensaje es auténtico.
11
Cabe destacar que:
• Cualquiera que posea la clave pública de B puede
constatar que el mensaje proviene realmente de B.
• La firma digital es distinta en todos los documentos: si A
firma dos documentos produce dos criptogramas
distintos y; si A y B firman el mismo documento m
también se producen dos criptogramas diferentes.
12. Certificados digitales
En el certificado digital sirve para dar identidad a una clave pública.
Su origen
• Surge para resolver el problema de administrar las
claves públicas y que la identidad del dueño no
pueda ser falsificada.
La idea
• Es que una tercera identidad intervenga en la
administración de las claves públicas y asegure que las
claves públicas tengan un usuario claramente
identificado [Kohnfelder MIT 86].
12
Partes
• Una clave pública
• La identidad de un implicado
• Una entidad llamada autoridad certificadora
13. Técnicas de los hackers
La piratería o hacking no ético se
puede llamar a la actividad ilegal para
obtener información no autorizada. Lo
hace al modificar las características de
un sistema y explotar sus lagunas.
13
14. Técnicas de los hackers
• Keylogger
Es un software simple
que registra la
secuencia de teclas y
los trazos del teclado
en un archivo de
registro en el
ordenador. Estos
archivos de registro
incluso pueden
contener los ID y
contraseñas de correo
electrónico personales.
• Denegación de
servicio (DDoS)
Un ataque de
denegación de servicio
es una técnica de
pirateo para derribar
un sitio o servidor
inundándolos con
mucho tráfico. El
servidor no puede
procesar todas las
solicitudes en tiempo
real y, finalmente, falla.
• WAP falso
Incluso por diversión,
los hackers pueden
usar software para
falsificar un punto de
acceso inalámbrico.
Este WAP se conecta al
lugar público oficial
WAP. Una vez que te
conectas con el WAP
falso, un hacker puede
acceder a los datos.
• Phishing
Es una técnica de
piratería mediante la
cual un hacker
informático imita los
sitios más accesibles y
atrapa a la víctima
enviando ese enlace
falso. Combinado con
la ingeniería social, se
convierte en uno de los
vectores de ataque
más usados y más
letales.
• Virus y troyanos
Son programas de
software maliciosos. Se
instalan en el sistema
de la víctima y siguen
enviando los datos al
hacker. También
pueden bloquear los
archivos, mostrar
publicidad fraudulenta,
desviar tráfico o
husmear los datos de
un equipo.
14
Es importante conocer algunas de las técnicas de piratería que se utilizan comúnmente para
obtener información personal de forma no autorizada.