Ciencia de cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.

Garantizar el secreto en la comunicación entre dos entidades (personas, organizaciones, etc.)

Asegurar que la información que se envía es auténtica en un doble sentido:

Que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado, habitualmente denominado criptograma, no haya sido modificado en su tránsito.

1.- Criptografía de Clave Simétrica Usa una misma clave para cifrar y para descifrar mensajes.

Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma.

a.- Sustitución Es el sistema más básico. La clave

consiste en una tabla de equivalencias de caracteres. Por ejemplo:

Esta clave es llamada “simétrica” porque es la misma clave la que se utiliza para codificar y para descodificar.

Utilizando esta clave podemos codificar la frase:

“de lo que sucedio al ingenioso hidalgo en la venta que el imaginaba ser castillo”

Y substituirla por: “xzmrpmilzmylvzxspmbrmswfzwspypmdsx

brfpmzwmrbmkzwñbmilzmzrmsebfswbcbmyzumvbyñsrrp”

La clave de César, aparentemente utilizada por Julio César en la guerra de las Galias, consistía simplemente en sustituir cada letra por la que la sigue x puestos después.

Así, por ejemplo, si substituimos cada letra por la que sigue tres puestos después (x=3) tendremos la clave

El sistema es muy fácil de descifrar si se utilizan textos largos ya que en cada idioma, cada carácter se repite con una proporción diferente y conocida.

Consiste en alterar el orden de las letras siguiendo una regla determinada. Normalmente se utiliza una tabla de tamaño determinado en la que se inserta el texto original que es transformado mediante la sustitución de las columnas por las filas. Por ejemplo:

“de lo que sucedio al ingenioso hidalgo en la venta que el imaginaba ser castillo”

“de lo que sucedio al ingenioso hidalgo en la venta que el imaginaba ser castillo”  

““ds n areuih qg cniluiclegdaenaodea ds n areuih qg cniluiclegdaenaodea asinlvebtqoigelaiu oon leas asinlvebtqoigelaiu oon leas tislloeameo”tislloeameo”    

Tabla de8 x 10

Para encriptarlaSe lee en forma vertical

Principal problema con los sistemas de cifrado simétrico no está ligado a su seguridad, sino al intercambio de claves.

Una vez que el remitente y el destinatario hayan intercambiado las claves pueden usarlas para comunicarse con seguridad, pero ¿qué canal de comunicación que sea seguro han usado para transmitirse la clave entre sí?

Sería mucho más fácil para un atacante intentar interceptar una clave que probar las posibles combinaciones del espacio de claves.

La criptografía de clave asimétrica o pública fue inventada en 1976 por los matemáticos Whit Diffie y Martin Hellman y es la base de la moderna criptografía.

La criptografía asimétrica utiliza dos claves complementarias llamadas clave privada y clave pública.

Lo que está codificado con una clave privada necesita su correspondiente clave pública para ser descodificado.

Y viceversa, lo codificado con una clave pública sólo puede ser descodificado con su clave privada.

Las claves privadas deben ser conocidas únicamente por su propietario, mientras que la correspondiente clave pública puede ser dada a conocer abiertamente

La mayor ventaja de la criptografía asimétrica es que se puede cifrar con una clave y descifrar con la otra, pero este sistema tiene bastantes desventajas:

Para procesar la clave y el mensaje se necesita mayor tiempo de proceso, lo cual afecta a los dispositivos.

El problema de las claves asimétricas es que si el texto a tratar es largo el proceso de codificación es muy lento.

Al igual que los sistemas de cifrado simétricos buenos, con un buen sistema de cifrado de clave pública toda la seguridad descansa en la clave y no en el algoritmo.

Un hash o función resumen se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc.

Identificar algún archivo de computadora independientemente de su nombre o ubicación.

Corroborar que el archivo no ha cambiado (que algún virus se haya agregado, se haya copiado con errores, se haya transferido mal, se haya cambiado su comportamiento en caso de ser un ejecutable, etc.)

Identificar un registro en una base de datos y permitir con ello un acceso más rápido a los registros

Algoritmo para funciones HASH MD5 SHA

Protocolos de Encriptación Simétrica DES / TripleDES AES IDEA

Protocolo de Encriptación Asimétrica RSA

HASH MD5 SHA

MD5 (acrónimo de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5)

Es un algoritmo de reducción criptográfico de 128 bits ampliamente usado.

El código MD5 fue diseñado por Ronald Rivest en 1991.

La codificación del MD5 de 128 bits es representada tí picamente como un número de 32 dí gitos hexadecimal. El siguiente código de 28 bytes ASCII será tratado con MD5 y veremos su correspondiente hash de salida:

MD5("Esto si es una prueba de MD5") = e07186fbff6107d0274af02b8b930b65

Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el "si" por un "no".

MD5("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034

La familia SHA (Secure Hash Algorithm, Algoritmo de Hash Seguro) es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA ( o SHA-0 para evitar confusiones con sus sucesores).

Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Existen cuatro variantes más que se han publicado desde entonces cuyas diferencias se basan en un diseño algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512 (todos ellos son referidos como SHA-2).

Encriptación Simétrica DES / TripleDES AES

Data Encryption Standard (DES) es un algoritmo de cifrado, es decir, un método para cifrar información, escogido como FIPS (Estándares Federales de Procesamiento de la Información) en los Estados Unidos en 1976, y cuyo uso se ha propagado ampliamente por todo el mundo.

Hoy en día, DES se considera inseguro para muchas aplicaciones. Esto se debe principalmente a que el tamaño de clave de 56 bits es corto; las claves de DES se han roto en menos de 24 horas.

Existen también resultados analíticos que demuestran debilidades teóricas en su cifrado, aunque son inviables en la práctica. Se cree que el algoritmo es seguro en la práctica en su variante de Triple DES, aunque existan ataques teóricos.

Triple DES se llama al algoritmo que hace triple cifrado del DES. También es conocido como TDES, fue desarrollado por IBM en 1978.

Cuando se descubrió que una clave de 56 bits no era suficiente para un ataque de fuerza bruta, TDES fue elegido como forma de agrandar el largo de la llave sin necesidad de cambiar de algoritmo de cifrado.

Clave

Mensaje Segunda clave

Terceraclave

Mensajeencriptado

En criptografía, Advanced Encryption Standard (AES), también conocido como Rijndael, es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos. Se espera que sea usado en el mundo entero y analizado exhaustivamente, como fue el caso de su predecesor, el Data Encryption Standard (DES).

Implementa: Sustitución Transposición Multiplicación Combinado con la clave

AES es rápido tanto en software como en hardware

Relativamente fácil de implementar Requiere poca memoria Hasta el 2005 no se había encontrado

ataques reales a AES.

Dentro de la criptografía RC4 o ARC4 es el sistema de cifrado de flujo Stream cipher más utilizado y se usa en algunos de los protocolos más populares como Transport Layer Security (TLS/SSL) (para proteger el tráfico de Internet) y Wired Equivalent Privacy (WEP) (para añadir seguridad en las redes inalámbricas).

RC4 fue excluido en seguida de los estándares de alta seguridad por los criptógrafos y algunos modos de usar el algoritmo de criptografía RC4 lo han llevado a ser un sistema de criptografía muy inseguro, incluyendo su uso WEP. No está recomendado su uso en los nuevos sistemas, sin embargo, algunos sistemas basados en RC4 son lo suficientemente seguros para un uso común.

Encriptación Asimétrica RSA

Recibe su nombre por la inicial del apellido de sus inventores: Ronald Rivest, Adi Shamir y Leonard Adleman ( MIT )

El sistema criptográfico con clave pública RSA es un algoritmo asimétrico cifrador de bloques, que utiliza una clave pública, la cual se distribuye (en forma autenticada preferentemente), y otra privada, la cual es guardada en secreto por su propietario.

Una clave es un número de gran tamaño, que una persona puede conceptualizar como un mensaje digital, como un archivo binario o como una cadena de bits o bytes.

Más lento que DES. En las primeras definiciones que intentó

atacar el algoritmo. El cómo se distribuyan las claves de

públicas del RSA es importante para su seguridad

Secure Sockets Layer -Protocolo de Capa de Conexión Segura- (SSL) y Transport Layer Security -Seguridad de la Capa de Transporte- (TLS), su sucesor, son protocolos criptográficos que proporcionan comunicaciones seguras en la red.

SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía.

1.- Negociar entre las partes el algoritmo que se usará en la comunicación

El cliente y el servidor negocian. Las implementaciones actuales proporcionan las siguientes opciones:

Para criptografía de clave pública: RSA, Diffie-Hellman, DSA (Digital Signature Algorithm) o Fortezza;

2.- Intercambio de claves públicas y autenticación basada en certificados digitales

Cifrado del tráfico basado en cifrado

simétrico Para cifrado simétrico: DES (Data Encryption

Standard), Triple DES o AES (Advanced Encryption Standard);

Con funciones hash: MD5 o de la familia SHA.

Session Indentifier: Secuencia de bytes arbitrarios elegidos por el servidor para identificar un estado de sesión activa o reiniciable.

Peer Certificate: Es el certificado del par.

Compression Method: el algoritmo a utilizar antes de la encriptación.

Cipher Spec: enviado por ambos, especifica el algoritmo de encriptación de datos, (por ejemplo NULL, DES, etc.) y un algoritmo de MAC (como MD5 o SHA). También define atributos criptograficos como el hash_size.

Master Secret (MAC): un secreto compartido de 48 bytes entre el cliente y el servidor.

La MAC, Valor usado para generar claves y secretos.

La clave pública cifrar la información

La clave privada para descifrarla.

El Handshake Protocol se encarga de establecer y terminar las conexiones.

Establece un canal de comunicaciones privado que permite cifrar los datos durante su transmisión. El cifrado codifica los datos.

Cuando se produce la presentación SSL entre el cliente y el servidor, el nivel de cifrado viene determinado por el navegador, el sistema operativo del equipo cliente y el certificado SSL.

El estándar de cifrado avanzado (AES) permite un cifrado de 256 bits

1.- Errores de Alerta:

SSL

Durante la ejecución del HandShake Protocol, el server espera respuesta.

Un mensaje de alerta no_certificate puede ser enviado en respuesta al requerimiento de certificado si no es apropiado el certificado disponible.

TLS

Una vez que el server ha enviado un mensaje de pedido de certificado el cliente deberá enviar el mensaje certificado

2.- Se calcula distinto el Master Secret

3.- Algoritmos de Intercambio de ClavesSSL

Se tienen como algoritmos de intercambio de claves  RSA, Diffie Hellman y Fortezza Kea.

TLS

No soporta el algoritmo de intercambio de claves Fortezza, Kea (que tiene valores públicos fijos, contenidos en los certificados)

La firma digital hace referencia en:

Transmisión de mensajes telemáticos Gestión de documentos electrónicos, a un

método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.

Está basada en los sistemas de criptografía de clave pública (PKI - Public Key Infrastructure).

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital.

El software de firma digital debe además efectuar varias validaciones:

Vigencia del certificado digital del firmante, Revocación del certificado digital del

firmante (puede ser por OCSP o CRL), Inclusión de sello de tiempo. La función hash permite calcular un valor

resumen de los datos a ser firmados digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales.

DSA (Digital Signature Algorithm, en español Algoritmo de Firma digital) es un estándar del Gobierno Federal de los Estados Unidos de América o FIPS para firmas digitales. Fue un Algoritmo propuesto por el Instituto Nacional de Normas y Tecnología de los Estados Unidos para su uso en su Estándar de Firma Digital(DSS). Sirve para firmar y no para cifrar información.

Una desventaja de este algoritmo es que requiere mucho más tiempo de cómputo que RSA.

Sirve para dar identidad a una clave pública, y que la identidad del dueño no pueda ser falsificada.

En la actualidad casi todas las aplicaciones de comercio electrónico y transacciones seguras requieren un certificado digital, se ha propagado tanto su uso que se tiene ya un formato estándar de certificado digital, este es conocido como X509 v. 3

Personal, acredita la identidad del titular. De pertenencia a empresa, acredita su

vinculación con la entidad para la que trabaja. Representante, acredita también los

poderes de representación que el titular tiene sobre la misma.

Persona jurídica, identifica una empresa o sociedad como tal a la hora de realizar trámites ante las administraciones o instituciones.

De atributo, permite identificar una cualidad, estado o situación. Este tipo de certificado va asociado al certificado personal. (p.ej. Médico, Director, Casado, Apoderado de..., etc.).

De servidor seguro, utilizado en los servidores web que quieren proteger ante terceros el intercambio de información con los usuarios.

De firma de código, para garantizar la autoría y la no modificación del código de aplicaciones informáticas.

Infraestructura de clave pública, es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas

• La autoridad de certificación, encargada de emitir y revocar certificados. Es la entidad de confianza que da legitimidad a la relación de una clave pública con la identidad de un usuario o servicio.

La autoridad de registro es responsable de verificar el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.

Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados.

La autoridad de validación encargada de comprobar la validez de los certificados digitales.

La autoridad de sellado de tiempo encargada de firmar documentos con la finalidad de probar que existían antes de un determinado instante de tiempo.

Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y privada) y un certificado asociado a su clave pública.

Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versión segura de HTTP.

El sistema HTTPS utiliza un cifrado basado en las Secure Socket Layers (SSL) para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP.

De este modo se consigue que la información sensible (usuario y claves de paso normalmente) no puede ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar.

Cabe mencionar que el uso del protocolo HTTPS no impide que se pueda utilizar HTTP. Es aquí, cuando nuestro navegador nos advertirá sobre la carga de elementos no seguros (HTTP), estando conectados a un entorno seguro (HTTPS).

Los protocolos HTTPS son utilizados por navegadores como: Safari, Internet Explorer, Mozilla Firefox, Opera y Google Chrome, entre otros.

Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas.

El puerto estándar para este protocolo es el 443.

Familia: Familia de protocolos de Internet

Función: Transferencia segura de hipertexto

Puertos: 443/TCP

Ubicación en la pila de protocolosAplicación HTTPSTransporte SSL/TLS

TCPRed IP

Estándares: RFC 2818 – HTTP sobre TLS

SET Secure Electronic Transaction o SET (del inglés,

Transacción electrónica segura) es un protocolo estándar para proporcionar seguridad a una transacción con tarjeta de crédito en redes de computadoras inseguras, en especial Internet.

SET surge de una solicitud de estándar de seguridad por VISA y MasterCard en febrero de 1996 y la especificación inicial involucró a un amplio rango de compañías, tales como GTE, IBM, Microsoft, Netscape, RSA y VeriSign.

SET utiliza técnicas criptográficas tales como certificados digitales y criptografía de clave pública para permitir a las entidades llevar a cabo una autenticación entre sí y además intercambiar información de manera segura.

SETSET enlista los siguientes requerimientos de negocio para

procesamiento de pago seguro con tarjeta de crédito a través de Internet y otras redes:

Proveer confidencialidad de pago e información de órdenes de compra

Asegurar la integridad de la totalidad de los datos que se transmiten

Proveer autenticación de que el portador de una tarjeta es un usuario legítimo de una cuenta de tarjeta de crédito

Proveer autenticación de que el comerciante puede aceptar transacciones con tarjetas de crédito a través de su relación con una institución financiera

Asegurar el uso de las mejores prácticas de seguridad y de técnicas de diseño de sistemas para proteger los involucrados legítimos en la transacción de comercio electrónico

Crear un protocolo que no dependa de mecanismos de seguridad de transporte ni que prevenga su uso

Facilitar y promover la interoperabilidad entre proveedores de software y redes

SSHSSH (Secure SHell, en español: intérprete de órdenes seguro) es

el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix) corriendo.

SSH está diseñado para sustituir a los métodos comunes de control remoto para acceder a otro sistema a través de un shell de comandos. Un programa llamado scp sustituye mayores programas diseñados para copiar archivos entre hosts como rcp o ftp. Dado que estas aplicaciones antiguas no encriptan contraseñas entre el cliente y el servidor, evitarlos siempre que sea posible. El uso de métodos seguros para acceder remotamente a otros sistemas disminuirá los riesgos de seguridad tanto para el sistema y el sistema remoto.

SSH

Las siguientes son las garantías proporcionadas por SSH:

Después de una conexión inicial, el cliente comprueba que se está conectando al mismo servidor durante los períodos de sesiones.

El cliente transmite su información de autenticación al servidor, como un nombre de usuario y contraseña, en un formato codificado.

Todos los datos enviados y recibidos durante la conexión se transfiere mediante fuertes, cifrado de 128 bits, por lo que es extremadamente difícil de descifrar y leer.

SAFEBOOT (Aplicaciones)

Safeboot SafeBoot es una herramienta de seguridad que

protege la información de su Institución evitando el robo y fuga de información importante de dispositivos como computadores, Laptop, PDA.

SafeBoot es un sistema único de codificación de archivos y carpetas en discos duros locales, en servidores y en medios removibles. Cumple las necesidades de seguridad en la información de cualquier empresa, siendo extremadamente fácil de usar y totalmente transparente para el usuario.

SAFEBOOT

De que manera me protejo con SAFEBOOT

Robo de computador Robo de discos duros desde los equipos al

anterior de su institución Accesos en horarios no permitidos Control de flujo de archivos

TrueCrypt

es un software de código libre y gratuito para cifrar y ocultar en el ordenador datos que el usuario considere reservados empleando para ello diferentes algoritmos de cifrado como AES, Blowfish, CAST5, Serpent, Triple DES, y Twofish o una combinación de los mismos.

El método de TrueCrypt consiste en un archivo que puede tener cualquier nombre y que puede montar como una unidad de disco, con su identificación respectiva, según el sistema operativo utilizado. Tiene su propio sistema de archivos y todo lo necesario para operar como una unidad común de almacenamiento. Lo que se grabe en esa unidad virtual se cifra usando tecnología punta y con la potencia de cifrado que el usuario elija. Cuando se "monta" la unidad a través de TrueCrypt, se pide la contraseña que el usuario escogió al momento de crear este archivo secreto.

TrueCrypt

GnuPG John the Ripper PGP WinCuaimaCrypt FreeOTFE PointSec

Aplicaciones De Criptografía

GnuPGGPG o GNU Privacy Guard es una

herramienta de software libre para cifrado y firmas digitales.

GPG cifra los mensajes usando pares de claves individuales asimétricas generadas por los usuarios.

GPG no usa algoritmos de software que están restringidos por patentes, entre estos: ElGamal, CAST5, Triple DES (3DES), AES y Blowfish. (IDEA en algunos casos)

Aplicaciones De Criptografía

John the RipperEs un programa de criptografía que aplica fuerza

bruta para descifrar contraseñas. Es capaz de romper varios algoritmos de cifrado o hash, como DES, SHA-1 y otros.

Es una herramienta de seguridad muy popular, ya que permite a los administradores de sistemas comprobar que las contraseñas de los usuarios son suficientemente buenas.

Es capaz de autodetectar el tipo de cifrado y se puede personalizar su algoritmo de prueba de contraseñas.

Aplicaciones De Criptografía

PGPPretty Good Privacy o PGP (privacidad

bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales.

Aplicaciones De Criptografía

WinCuaimaCryptEs la aplicación diseñada para implementar el

algoritmo de CuaimaCrypt, en esta se definieron tres niveles de seguridad, rápido ”fast” que implementa un nivel de seguridad equivalente de 1610 bits, normal (“normal”) el cual implementa un nivel de seguridad equivalente a 2412 bits y por último el nivel paranoico (“paranoid”) que implementa un nivel equivalente a 4297 bits de seguridad.

Puede ser utilizado para codificar archivos y correos para ser enviados por Internet.

Aplicaciones De Criptografía

FreeOTFEEs un programa gratuito, de código abierto y

transparente para el cifrado de discos.FreeOTFE permite diferentes tipos de

algoritmos de codificación como AES (256 bit), Twofish (256 bit), Blowfish (448 bit), Serpent (256 bit), etc.

Aplicaciones De Criptografía

PointSecSoftware para la encriptación del disco duro

que garantiza la seguridad de los datos en equipos portátiles

Aplicaciones De Criptografía