Introduction to Cryptography using AWS KMS

2. Quién soy?
• Mario Inga Cahuana
• Developer & Security fan
• Lider de comunidades: DevOps Perú, Cloud Native Perú y Docker Lima.
• Trabajo como Cloud Developer en
• Metal m/

3. 1. Era el único SRE del team e iba a salir de vagaciones por una semana.

4. 2. Un cliente de la plataforma realizó un Pentesting.
https://www.deltaprotect.com/blog/que-es-pentesting

5. 3. Piden desactivar Cipher-Block-Chaining (CBC) en el Load Balancer.

6. 4. El team investigó y concluyeron que el Cifrado Asimétrico + RSA era lo “mejor”.

7. 5. Cifrado Asimétrico + RSA para TODA la infraestructura, era lo “mejor”.
Asimétrico
RSA
Asimétrico
RSA
Asimétrico
RSA
Asimétrico
RSA
Asimétrico
RSA

9. 6. Lentes como Homero y me preguntaba, si el team sabía:
Qué es la Criptografía?
Simétrico vs Asimétrico?
Será que AWS puede ayudarme?
Y si “mejor” hago una
capacitación?

10. Qué NO es la Criptografía?
• Blockchain
• Criptomonedas
• NFT
• Encoding (Base64, UUEncode, etc)
• Criptoanalisis

11. Qué SI es la Criptografía?
Estudia los algoritmos, protocolos y sistemas que se utilizan para proteger la
información y dotar de “comunicación segura” entre emisor y receptor.
https://www.atalayar.com/articulo/sociedad/criptografia-historia-curiosidades-importancia-hoy-dia/20211115163953153773.html

12. Qué Información?
https://www.sealpath.com/blog/protecting-the-three-states-of-data/

13. Data en Reposo
https://www.sealpath.com/blog/protecting-the-three-states-of-data/

14. Data en Tránsito
https://www.sealpath.com/blog/protecting-the-three-states-of-data/

15. Data en Uso
https://www.sealpath.com/blog/protecting-the-three-states-of-data/

16. Cifrar / Descifrar:
• Tambien se le dice: Encriptar / Desencriptar
• Cifrar => legible a ilegible
• Descifrar => ilegible a legible
https://carballar.com/que-es-el-cifrado-de-datos-y-para-que-sirve

17. AWS KMS
• Key Management Service
• Servicio que permite administrar las Keys para ops criptográficas.
• Soporta simétrico y asimétrico.
• Single o Multi Region.
https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default

18. AWS KMS
https://docs.aws.amazon.com/kms

19. Criptografía Simétrica
https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default
UNA SOLA KEY PARA CIFRAR /
DESCIFRAR.
ALGORITMOS:
AES, DES, 3DES, RC4, ETC
PRO: VELOCIDAD Y POCO USO
DE RECURSOS
COMPUTACIONALES.
CONTRA: LA CLAVE DEBE SER
COMPARTIDA PREVIAMENTE.

20. Criptografía Simétrica
• Ventajas:
• Eficiente en grupos reducidos
• Sencillos de utilizar
• Poco tiempo para cifrar/descifrar
• Desventajas:
• Posible intercambio de claves por medios NO seguros
• Gran cantidad de claves a memorizar/almacenar
https://securitcrs.wordpress.com/criptografia/criptografia-de-clave-privada/

21. Criptografía Simétrica
https://securitcrs.wordpress.com/criptografia/criptografia-de-clave-privada/

22. AWS KMS: Simétrico
• SYMMETRIC_DEFAULT => AES-256-GCM (Galois Counter Mode)
• Cifrar / Descifrar información
• Validar integridad (HMAC)
https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default

23. AWS KMS: Simétrico - Cifrado
https://docs.aws.amazon.com/es_es/kms/latest/developerguide/concepts.html#data-keys

24. Criptografía Simétrica - Demo
$ git clone https://github.com/mario21ic/aws-kms-demos

25. Cifrado Simétrico es “mejor”
para “data grande en reposo”?

26. Criptografía Asimétrica
https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default
UNA KEY PAIR:
- PÚBLICA -> CIFRAR
- PRIVADA -> DESCIFRAR
ALGORITMOS:
RSA, ELLIPTIC CUVER
CRYPTOGRAPHY (ECC), DSA,
DIFFIE-HELLMAN, ETC
PRO: MAS ROBUSTO. CONTRA: PUEDE SER HASTA
X5 MAS GRANDE Y REQUIERE
MAS RECURSOS
COMPUTACIONALES.

27. Criptografía Asimétrica
• Ventajas:
• Menor número de claves
• Utilización en medios NO seguros
• Firma digital
• Desventajas:
• Poco eficiente (requiere más recursos computacionales)
• Proteger clave privada (con criptografía simétrica)
• Importante backup de la clave privada
https://securitcrs.wordpress.com/criptografia/criptografia-de-clave-privada/

28. Criptografía Simétrica
https://securitcrs.wordpress.com/criptografia/criptografia-de-clave-privada/

29. AWS KMS: Asimétrico
• RSA => 2048, 3072 y 4096 bits
• Cifrar / Descifrar información
• Firmar y verificar
https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default

30. AWS KMS: Asimétrico - Cifrado
https://docs.aws.amazon.com/es_es/kms/latest/developerguide/concepts.html#data-key-pairs

31. AWS KMS: Asimétrico - Descifrado
https://docs.aws.amazon.com/es_es/kms/latest/developerguide/concepts.html#data-key-pairs

32. Criptografía Asimétrica - Demo
$ git clone https://github.com/mario21ic/aws-kms-demos

33. Cifrado Asimétrico es “mejor”
para “data grande en reposo”..
o para “data en tránsito”?

34. Resumen
Simétrico Asimétrico
Keys Una sola (privada) Una pública y una privada.
Complejidad Baja Alta
Velocidad Rápida Lenta
Uso de recursos Bajo Alto
Longitud de keys 128 – 256 bits 2048 bits a más
Uso recomendado Cifrar grandes fragmentos de datos Cifrar pequeños fragmentos de datos
Seguridad Baja Alta
Algoritmos Block ciphers: AES, DES, 3DES, BlowFish,
Twofish, etc
Stream ciphers: RC4, ChaCha20
RSA, Elliptic Cuver Cryptography (ECC), DSA,
Diffie-Hellman, ECDSA, EdDSA, RSA-OAEP,
RSA-PSS

35. Usar la criptografía Asimétrica
como “medio seguro” para
intercambiar una Clave
(criptografía Simétrica)?
Criptografía Híbrida, Ejem: SSL/TLS base de HTTPS

36. Pero.. y cómo quedó la Infra?

37. Simétrico Simétrico
Simétrico Simétrico
Asimétrico
RSA

38. Lecciones aprendidas:
• La palabra “mejor” requiere de un contexto.
• “No existe la bala de plata”.
• Siempre hay un trade-off
• De ser posible hacer una PoC (Proof of concept).
https://securitcrs.wordpress.com/criptografia/criptografia-de-clave-privada/

39. “Ver como se hace algo NO nos
hace expertos. Requiere
práctica”

40. Qué sigue?
• Hash (sha, md5, etc)
• Hardware Security Module (HSM)
• Criptografía:
• Híbrida => Simétrico + Asimétrico
• Homomórfica
• Cuántica
• Certificados X.509
• Mutual TLS
• etc
https://securitcrs.wordpress.com/criptografia/criptografia-de-clave-privada/

41. https://www.youtube.com/watch?v=szagwwSLbXo

42. https://www.youtube.com/watch?v=szagwwSLbXo

43. https://securitcrs.wordpress.com/criptografia/criptografia-de-clave-privada/

44. https://securitcrs.wordpress.com/criptografia/criptografia-de-clave-privada/

45. Recursos:
• Cryptohack https://cryptohack.org/courses/
• Udacity https://www.udacity.com/course/applied-cryptography--cs387
• Coursera https://www.coursera.org/learn/crypto
• Youtube – Fundamentos de Criptografía
https://www.youtube.com/watch?v=TiGDbbuD6k0&list=PLPbiCSNMeJu1Pz
GASyVaJPzBkDKIRK6MX&index=1&t=319s