El documento explica qué es la criptografía. Se define como la técnica de convertir un texto claro en otro ilegible llamado criptograma, que solo pueden entender las personas autorizadas. La criptografía usa algoritmos públicos y claves secretas para encriptar y desencriptar. Los objetivos de la criptografía incluyen proporcionar confidencialidad, integridad, autenticación y no repudio de la información.
EN ESTE TEMA SE HABLA TODO SOBRE LA SEGURIDAD Y TIPOS DE ATAQUES EN LAS REDES DE COMUNICACIÓN BASANDOSE EN TELEFONIA, ESTO INCLUYE INTERNET Y INTERFERENCIA DE DATOS.
EN ESTE TEMA SE HABLA TODO SOBRE LA SEGURIDAD Y TIPOS DE ATAQUES EN LAS REDES DE COMUNICACIÓN BASANDOSE EN TELEFONIA, ESTO INCLUYE INTERNET Y INTERFERENCIA DE DATOS.
La criptografía proviene del griego kryptos: "ocultar", y grafos: "escribir". Es decir, significa "escritura oculta". Como concepto son las
técnicas utilizadas para cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes
de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.
La seguridad con frecuencia, en las computadoras contienen datos valiosos y confidenciales, incluyendo declaraciones fiscales, números de tarjetas de crédito, planes de negocios, secretos comerciales y mucho más.
Informática para principiantes:
http://novatosti.blogspot.com/
2. ¿Que es la Criptografía?
La criptografía esta formada por dos técnicas complementarias:
Criptoanálisis y criptografía.
La criptografía es la técnica de convertir un texto inteligible, texto en claro
(plaintext), en otro llamado criptograma (ciphertext), cuyo contenido de
información es igual al anterior pero solo lo pueden entender las personas
autorizadas.
El criptoanálisis es la técnica de descifrar un criptograma sin tener la
autorización.
3. Criptografía
Para encriptar se debe transformar un texto mediante un método cuya función
inversa únicamente conocen las personas autorizadas, esta clave debe ser un
algoritmo publico que utiliza una palabra llamada “clave” , solo conocida por
las personas autorizadas, esta clave debe ser imprescindible para la
encriptación y desencriptación.
Los sistemas actuales utilizan algoritmo publico y claves secretas, debido a los
siguientes motivos:
* El nivel de seguridad es el mismo.
*Los algoritmos se pueden fabricar en cadena, tanto chips de hardware
como aplicaciones de Sw. De esta manera el desarrollo es mas barato.
4. Criptografía
* Los algoritmos publicos se pueden están mas aprobados, ya
que toda la comunidad científica pueden trabajar sobre ellos
buscando fallos o agujeros. Un algoritmo secreto puede tener
agujeros detectables sin necesidad de conocer su
funcionamiento completo, por lo tanto el criptoanalista puede
encontrar fallas aunque no conozca el secreto del algoritmo.
*Es mas fácil y mas seguro transmitir un clave que todo el
funcionamiento, por lo tanto de un algoritmo.
5. Objetivos de la criptografía
La criptografía actualmente se encarga del estudio de los
algoritmos, protocolos y sistemas que se utilizan
para dotar de seguridad a las comunicaciones, a la
información y a las entidades que se comunican. El
objetivo de la criptografía es diseñar, implementar,
implantar, y hacer uso de sistemas criptográficos para
dotar de alguna forma de seguridad. Por tanto el tipo de
propiedades de las que se ocupa la criptografía son por
ejemplo:
Confidencialidad. Es decir garantiza que la información
está accesible únicamente a personal autorizado. Para
conseguirlo utiliza códigos y técnicas de cifrado.
Integridad. Es decir garantiza la corrección y completitud
de la información. Para conseguirlo puede usar por
ejemplo funciones hash criptográficas MDC,protocolos de
compromiso de bit, o protocolos de notarización
electrónica.
6. Objetivos de la criptografía
Vinculación. Permite vincular un documento o transacción a una persona o un
sistema de gestión criptográfico automatizado. Cuando se trata de una
persona, se trata de asegurar su conformidad respecto a esta vinculación
(content commitment) de forma que pueda entenderse que la vinculación
gestionada incluye el entendimiento de sus implicaciones por la persona.
Antiguamente se utilizaba el término "No repudio" que está abandonándose, ya
que implica conceptos jurídicos que la tecnología por sí sola no puede resolver.
En relación con dicho término se entendía que se proporcionaba protección
frente a que alguna de las entidades implicadas en la comunicación, para que
no pudiera negar haber participado en toda o parte de la comunicación. Para
conseguirlo se puede usar por ejemplo firma digital. En algunos contextos lo
que se intenta es justo lo contrario: Poder negar que se ha intervenido en la
comunicación. Por ejemplo cuando se usa un servicio de mensajería
instantánea y no queremos que se pueda demostrar esa comunicación. Para
ello se usan técnicas como el cifrado negable.
7. Objetivos de la criptografía
Autenticación. Es decir proporciona mecanismos que permiten verificar la
identidad del comunicador. Para conseguirlo puede usar por ejemplo función
hash criptográfica MAC o protocolo de conocimiento cero.
Soluciones a problemas de la falta de simultaneidad en la tele firma digital de
contratos. Para conseguirlo puede usar por ejemplo protocolos de
transferencia inconsciente.
Un sistema criptográfico es seguro respecto a una tarea si un adversario con
capacidades especiales no puede romper esa seguridad, es decir, el atacante
no puede realizar esa tarea específica.
8. Evaluación de la seguridad de un
sistema criptográfico
El objetivo de un sistema criptográfico es dotar de seguridad. Por
tanto para calibrar la calidad de un sistema criptográfico es
necesario evaluar la seguridad que aporta dicho sistema.
Hacer público o no: Para poder evaluar mejor la seguridad de un
sistema criptográfico, además de las verificaciones internas de
seguridad que la organización haga, se puede considerar hacer
público a todo el mundo los entresijos del sistema. Sin embargo, al
hacer pública esa información se facilita el que alguien pueda
descubrir alguna debilidad y la aproveche o incluso la haga pública
para que otros la puedan utilizar. Cuanta más información se
publique más fácil será encontrar debilidades tanto para buenos
objetivos (mejorar el producto) como para malos (realizar ataques).
En resumen cuanta más información se publique más personas
podrán evaluar la seguridad y se podrán corregir
las debilidades que se encuentren, pero también aumenta la
exposición a ataques. En función de las decisiones que se tomen
se establecerá una política de revelación.
9. Evaluación de la seguridad de un sistema
criptográfico
Formas de romper la seguridad: Hay básicamente tres formas de romper la
seguridad de un sistema criptográfico.
Atacar la criptografía subyacente. Es lo que sería un ataque teórico a los
mecanismos criptográficos usados.
Atacar la implementación concreta. La criptografía puede ser implementada en
software o en hardware. Es bastante probable que las implementaciones
concretas tengan vulnerabilidades que se pueden aprovechar. También las
vulnerabilidades se podrían introducir de forma deliberada y de esta forma
proporcionar puertas traseras disponibles para ser utilizadas.
Atacar el lado humano. Muchas veces en los sistemas criptográficas hay
personas o entidades que tienen privilegios especiales. Presionando a estas
personas o entidades para que nos den acceso a recursos o a información
privilegiada, podríamos vulnerar la seguridad del sistema.
Las personas o entidades interesadas en romper la seguridad de este tipo de
sistemas tienen en cuenta todos estos frentes. Por ejemplo las informaciones
deEdward Snowden revelan que el programa Bullrun adopta estos tres tipos de
estrategias.
10. Evaluación de la seguridad de un sistema
criptográfico
Grados de seguridad teórica: Cuando se evalúa la seguridad de un
sistema criptográfico se puede calibrar la seguridad que aporta en función de si
éste es seguro de forma incondicional o si es seguro sólo si se cumplen ciertas
condiciones.
*Utilizado en La II
Guerra
Mundial ---
11. Evaluación de la seguridad de un
sistema criptográfico
Seguridad incondicional
Se dice que un sistema criptográfico tiene una seguridad incondicional (en
inglés unconditional security) sobre cierta tarea si un atacante no puede
resolver la tarea aunque tenga infinito poder computacional.
En función de la tarea sobre la que se dice que el sistema criptográfico es
incondicionalmente seguro, podemos hablar por ejemplo de:
Criptosistemas incondicionalmente seguros (cifrado).
Autenticación incondicionalmente segura (autenticación).
Distribución de claves incondicionalmente segura.
Firma digital incondicionalmente segura (firma digital).
Es habitual que los sistemas incondicionalmente seguros tengan
inconvenientes importantes como por ejemplo en la longitud de las claves
(libreta de un solo uso). Para certificar una seguridad incondicional
los criptólogos se suelen basar en la teoría de la información y, por tanto, en
la teoría de la probabilidad.
12. Evaluación de la seguridad de un
sistema criptográfico
Limitacione:
El que un sistema tenga seguridad incondicional no quiere decir que su seguridad sea inviolable. Veamos dos consideraciones
Los sistemas son incondicionalmente seguros desde un punto de vista probabilístico: El oponente siempre tiene una probabilidad
mayor que cero de romper la seguridad. Sin embargo, esta probabilidad puede ser muy muy pequeña. Esto es lo que sucede con los
sistemas incondicionalmente seguros.
En la mayoría de los estudios sobre la seguridad de un sistema se hace la suposición de que los atacantes tienen sólo un intento para
atacar la seguridad del sistema. El éxito o el fracaso están determinados por el éxito o fracaso de ese intento. Esta suposición es
válida, por ejemplo, en ciertos problemas de comunicación segura donde el enemigo no tiene oportunidad de verificar si el mensaje
estimado es correcto o no. Sin embargo hay otros tipos de problemas donde esta suposición no tiene sentido. Por ejemplo, en un
sistema de autenticación con usuario y contraseña para entrar en una cuenta restringida, el atacante puede realizar varios intentos.
Además, en algunos casos, los intentos fallidos anteriores dan información para hacer una estimación mejor para los intentos
siguientes. Cuando decimos que un sistema criptográfico es incondicionalmente seguro, nos estamos refiriendo a nivel teórico. Sin
embargo cuando es implementado en la práctica puede no mantenerse esa seguridad. Hay muchos tipos de ataques que sólo se
aplican cuando los sistemas están implementados en un sistema concreto. Ejemplos:
Explotación de canales ocultos. Los canales ocultos son canales de comunicación no intencionados y de difícil detección, que
permiten la transferencia de información de forma que viola la política de seguridad del sistema. En un computador real los
procesos al ejecutarse producen una serie de efectos y fenómenos que pueden ser medidos y explotados para revelar información
relevante que puede ser utilizada para romper el sistema (Ej. pistas sobre la clave). Este problema es inherente y no puede ser
evitado mediante técnicas criptográficas. Son ejemplos típicos de este tipo de canales los canales ocultos generados por análisis
de temporizaciones, por análisis de consumos de energia o por análisis de consumos de radiaciones electromagnéticas o por
análisis de consumo de espacio de almacenamiento.
Malos diseños o implementaciones del software o el hardware pueden hacer que la solución práctica sea insegura. Ejemplos de
ataques que se aprovechan de debilidades producidas por un mal diseño o implementación: desbordamiento de buffer, Inyección
SQL, Cross Site Scripting, ataques basados en deficiencias del hardware.
13. Evaluación de la seguridad de un
sistema criptográfico
Seguridad condicional: Se dice que un sistema criptográfico tiene una seguridad condicional (en
inglés conditional security) sobre cierta tarea si un atacante puede teóricamente resolver la tarea, pero
no es computacionalmente factible para él (debido a sus recursos, capacidades y acceso a
información). Hay un tipo especial de seguridad condicional llamada seguridad demostrable (en
inglés provable security). La idea es mostrar que romper un sistema criptográfico es
computacionalmente equivalente a resolver un problema matemático considerado como difícil. Esto
es, que se cumplen las dos siguientes sentencias:
Si el problema difícil puede ser resuelto, entonces el sistema criptográfico puede ser roto
Si el sistema criptográfico puede ser roto, entonces el problema difícil puede ser resuelto.
La seguridad demostrable es difícil de lograr para sistemas criptográficos complejos. Se ha
desarrollado una metodología (modelo de oráculo aleatorio) para diseñar sistemas que no tienen
realmente una seguridad demostrable, pero que dan unas buenas sensaciones respecto a su
seguridad. La idea básica es diseñar un sistema ideal que usa una o varias funciones aleatorias -
también conocidas como oráculos aleatorios- y probar la seguridad de este sistema matemático. A
continuación el sistema ideal es implementado en un sistema real reemplazando cada oráculo
aleatorio con una buena y adecuada función pseudoaleatoria conocida -típicamente un código de
detección de manipulaciones como SHA-1 o MD5-. Si las funciones pseudoaleatorias utilizadas tiene
buenas propiedades, entonces uno puede esperar que la seguridad probada del sistema ideal sea
heredada por el sistema real. Observar que esto ya no es una prueba, sino una evidencia sobre la
seguridad del sistema real. Se ha demostrado que esta evidencia no siempre es cierta y que es
posible romper sistemas criptográficos cuya seguridad se apoya en el modelo de oráculo aleatorio.
14. La criptografía en el correo electrónico
La criptografía en el correo electrónico: La mayor parte de los mensajes de
correo electrónico que se transmiten por Internet no incorporan seguridad
alguna, por lo que la información que contienen es fácilmente accesible a
terceros. Para evitarlo, la criptografía también se aplica al correo electrónico.
Entre las diversas ventajas que tiene usar un certificado al enviar un email,
podríamos destacar la seguridad que nos aporta ya que así evita que terceras
personas (o hackers) puedan leer su contenido, o bien que tenemos la certeza
de que el remitente de éste correo electrónico es realmente quien dice ser.