UT1-3 SEGURIDAD LÓGICA Y PASIVA · ... discos de almacenamiento y red ... sino que los...
Transcript of UT1-3 SEGURIDAD LÓGICA Y PASIVA · ... discos de almacenamiento y red ... sino que los...
UT1-3
SEGURIDAD LÓGICA
Y
PASIVA
1Seguridad y Alta Disponibilidad
1. PRINCIPIOS DE LA SEGURIDAD LÓGICA
El activo más importante que tiene cualquier
organización es la información.◦ Deben existir, por tanto, técnicas que van más allá de la
seguridad física: técnicas de seguridad lógica.
Seguridad Lógica: consiste en la aplicación de
barreras y procedimientos que resguarden el
acceso a los datos y solo se permita acceder a ellos
a las personas autorizadas.
Seguridad y Alta Disponibilidad 2
1. PRINCIPIOS DE LA SEGURIDAD LÓGICA
Principio básico de seguridad lógica en la
configuración de sistemas:
◦ TODO LO QUE NO ESTÁ PERMITIDO DEBE ESTAR
PROHIBIDO.
Seguridad y Alta Disponibilidad 3
2. CONTROL DE ACCESO LÓGICO
El Control de Acceso Lógico es la principal defensa para lamayoría de los sistemas, permitiendo prevenir el ingreso depersonas no autorizadas a la información de los mismos.
Controlar el acceso conlleva dos procesos:◦ Identificación: momento en el que el usuario se da a conocer en el
sistema◦ Autenticación: verificación que realiza el sistema sobre esta
identificación.
◦ Una de las principales técnicas para implementar el control deacceso es mediante la utilización de un servidor deautenticaciones:◦ LDAP en GNU/Linux◦ Directorio Activo en Windows Server.
Seguridad y Alta Disponibilidad 4
2. CONTROL DE ACCESO LÓGICO
Los sistemas de control de accesos protegidos porcontraseña, suelen ser un punto crítico de la seguridad y,por ello, suelen recibir distintos tipo de ataques:◦ Ataque de fuerza bruta: se intenta recuperar una contraseña
probando todas las combinaciones posibles con un determinadoconjunto de símbolos. Cuanto más corta, más sencilla es de probartodas las combinaciones.
◦ Ataque de diccionario: conjunto acotado a palabras y variacionesde éstas, con significado y utilizadas. Muchos usuarios suelen utilizaruna palabra existente en su lengua que les sea fácil de recordar.
Protección:◦ Máximo número de intentos.◦ Máxima longitud de contraseña.◦ Ampliar el conjunto de símbolos posibles a utilizar.
Seguridad y Alta Disponibilidad 5
2.1. Política de contraseñas
Para que una contraseña pueda considerarse como segurase recomienda:
◦ Longitud mínima: cada carácter en una contraseña aumentaexponencialmente el grado de protección que ésta ofrece Deben contener un mínimo de entre 8 y 14 caracteres.
◦ Combinación de caracteres: letras minúsculas y mayúsculas,números y símbolos especiales.
Seguridad y Alta Disponibilidad
http://globbsecurity.com/topics/malware-vulnerabilidades/
6
2.1. Política de contraseñas
Recomendaciones de contraseñas:
◦ No incluir secuencias, palabras o nombres de usuarioconocidos.
◦ No utilizar el nombre de inicio de sesión.◦ No dejar en blanco.◦ Utilizar varias contraseñas para distintos entornos.◦ No revelarla, ni usarla en entornos poco seguros o públicos.◦ Modificarla con periodicidad.
Seguridad y Alta Disponibilidad 7
2.1. Política de contraseñas
Configuración de políticas por administrador:
◦ No dejar la seguridad en manos de usuario.
◦ Disponer configuraciones que controle la configuración de
contraseñas seguras.
◦ Windows:
Directivas de seguridad local / Directivas de cuenta.
Visor de sucesos. Activar previamente auditorías.
◦ GNU/Linux:
Módulo PAM_cracklib. PAM significa Pluggable Authetication
Module.
Control de intentos de login: /var/log/auth.log
Seguridad y Alta Disponibilidad 8
2.1. Política de contraseñas
Práctica 3. Peligros de distribuciones Live
◦ Ultimate Boot CD (UBCD): posee en un entorno simulado deWindows aplicaciones como antivirus, recuperación de datos,aplicaciones de recuperación y borrado de contraseñas de laBIOS (cmos_pwd), borrado y restitución de nuevascontraseñas de usuarios de sistemas Windows instalados endisco, incluso creación de nuevas cuentas de usuario de tipoAdministrador.
◦ Kali-Linux: distribución específica con un conjunto deherramientas de auditorías de seguridad, entre otras, algunasque permiten escalada de privilegios en sistemas Windows(ophcrack) y GNU/Linux (John the ripper).
Seguridad y Alta Disponibilidad 9
2.1. Política de contraseñas
Práctica 3. Peligros de distribuciones Live
◦ Ophcrack: distribución específica que contiene la aplicacióndel mismo nombre con capacidad de extraer contraseñas deusuarios en sistemas Windows.
◦ Slax: distribución basada en Slackware, muy ligera yarrancable desde USB. Permite el montaje y acceso a lossistemas de ficheros instalados en disco.
◦ Wifiway y Wifislax: distribuciones orientadas a realizarauditorías wireless, como recuperación de contraseñas.
Seguridad y Alta Disponibilidad 10
2.1. Política de contraseñas
Práctica 3. Peligros de distribuciones Live
Seguridad y Alta Disponibilidad 11
PRINCIPIOS DE LA SEGURIDAD PASIVA
La seguridad pasiva intenta minimizar el impacto ylos efectos causados por accidentes: medidas oacciones posteriores a un ataque o incidente.
Ataques o incidentes:◦ Físicos o ambientales: Cortes de suministro, robos,
incendios, desastres atmosféricos, etc.
Consecuencias:◦ Pérdida y/o mal funcionamiento del hardware.◦ Falta de disponibilidad de servicios.◦ Pérdida de información.
Seguridad y Alta Disponibilidad 12
3. COPIAS DE SEGURIDAD
La pérdida de información es el aspecto fundamental entorno al que gira la seguridad informática.
Como medida transversal a los problemas de seguridadinformática siempre se recomienda en primer lugar:
◦ Recuperación de Datos Copia de seguridad.
Las copias de seguridad o backups, son réplicas dedatos que nos permiten recuperar la informaciónoriginal en caso de ser necesario.◦ Es uno o varios archivos digitales, considerados lo
suficientemente importantes como para ser conservados.
Seguridad y Alta Disponibilidad 13
3. COPIAS DE SEGURIDAD
Soportes: Disco duro, CD/DVD, memorias de estadosólido, USB, cintas, particiones de datos, disco en red, etc.
Modelos de almacenamiento:
◦ DAS (Direct Attached Storage).
◦ NAS (Network Attached Storage).
◦ SAN (Storage Area Network).
Seguridad y Alta Disponibilidad 14
3. COPIAS DE SEGURIDAD
DAS (Direct Attached Storage): Dispositivo conectadodirectamente al sistema. Ej: Disco duro, disco externo o unpendrive.
NAS (Network Attached Storage): Almacenamiento en red.Buena solución para una LAN de tamaño pequeño o medio.
Ejemplos: carpetas compartidas mediante protocolos de redcomo SMB, NFS, FTP o similar.
El uso de NAS permite, con bajo coste, realizar balanceode carga y tolerancia a fallos, por lo que es cada vez másutilizado en servidores Web para proveer servicios dealmacenamiento, especialmente contenidos multimedia.
Seguridad y Alta Disponibilidad 15
3. COPIAS DE SEGURIDAD
SAN (Storage Area Network): Red específica dealmacenamiento.
Ejemplos: Sistemas, discos de almacenamiento y redespecífica, para el almacenamiento de una gran volumen dedatos utilizando fibra óptica y protocolos de red como iSCSI.
De modo general, un dispositivo de almacenamiento no espropiedad exclusiva de un servidor, lo que permite que variosservidores puedan acceder a los mismos recursos.
El funcionamiento se basa en las peticiones de datos querealizan las aplicaciones al servidor, que se ocupa de obtenerlos datos del disco concreto donde estén almacenados.
Seguridad y Alta Disponibilidad 16
3. COPIAS DE SEGURIDAD La diferencia entre NAS y SAN,
principalmente es que un Host o
Servidor accede a un disco NAS a
través de la red LAN, MAN o WAN
(ej: carpeta compartida), siendo el
Sistema Operativo consciente de
que se está accediendo a un
recurso (el disco o mejor dicho, el
sistema de ficheros) remoto.
Sin embargo, un Host o Servidor
accede a un disco SAN como si
fuera un disco local (es decir, un
disco DAS), de forma transparente
para el Sistema Operativo, siendo
las tarjetas HBA (Host Bus
Adapter) y sus drivers quienes se
preocupen de que dicho acceso a
la SAN sea así de transparente.
También se dice, que NAS se
encuentra entre el Servidor de
Aplicaciones y el Sistema de
Ficheros, mientras que SAN se
encuentra entre el Sistema de
Ficheros y el Almacenamiento
Físico.
Seguridad y Alta Disponibilidad 17
3. COPIAS DE SEGURIDAD
En una SAN, un dispositivo dealmacenamiento no es propiedadexclusiva de un servidor, sino quelos dispositivos de almacenamientoson compartidos entre todos losservidores de la red como recursosindividuales.
NAS
Seguridad y Alta Disponibilidad 18
3. COPIAS DE SEGURIDAD Tipos de copia:
Desestructurada: conjunto de CD/DVD, memorias USB, discos
duros externos.
Completa o total: se hace copia de seguridad de todos los datos
seleccionados.
Incremental: solo se copia lo modificado desde la última copia de
seguridad (ya sea completa, incremental o diferencial).
Diferencial: solo se copia lo modificado desde la última copia de
seguridad completa.
Modelo óptimo: en grandes empresas donde la realización de
copias de seguridad está perfectamente planificada, se suelen
utilizar sistemas mixtos:
Todos los días 1 de cada mes a las 23h: copia de seguridad total.
Todos los viernes a las 23h: copia diferencial desde copia día 1.
Todos los días 23h: copia incremental desde copia día anterior.
Seguridad y Alta Disponibilidad 19
3. COPIAS DE SEGURIDAD
Tipos de copia:
Método de copia Espacio de
almacenamiento
Velocidad de
copia
Restauración Copia
recomendada
Completo Máximo Muy lento Muy simple Pocos datos a
copiar
Completo +
Incremental
Mínimo Rápido Compleja Muchos datos que
cambian
frecuentemente
Completo +
Diferencial
Intermedio Lento Sencilla Datos cuya
velocidad de
cambio es
moderada
Seguridad y Alta Disponibilidad 20
3. COPIAS DE SEGURIDAD
Ejemplo de copia de seguridad
D: Diaria
W: Semanal
M: Mensual
F: Completa
I: Incremental
Dif: Diferencial
Seguridad y Alta Disponibilidad 21
3. COPIAS DE SEGURIDAD
Conclusión
"Una copia de seguridad diferencial lleva más tiempo pararealizar y son más rápidas de recuperar, mientras que lasincrementales son las más rápidas de realizar y llevan mástiempo para recuperar".
De hecho, no hay diferencia física entre la copia deseguridad incremental agregada a la copia de seguridadcompleta y una copia de seguridad diferencial agregada a lamisma copia de seguridad completa en un mismo momento.
La diferencia antes mencionada, implica la creación de unacopia de seguridad después, o en vez de, crear múltiplescopias de seguridad incremental.
Seguridad y Alta Disponibilidad 22
3. COPIAS DE SEGURIDAD
Opciones a tener en cuenta en una herramienta de copia
de seguridad:
◦ Compresión / Duplicado / Tipo de copia / Cifrado / Nombre de
archivo / Planificación o automatización de la tarea.
◦ Copias de seguridad con herramientas del sistema:
Windows:
Herramienta preinstalada en el SO de Copias de Seguridad.
Partición específica de datos. Mejora la recuperación.
Puntos de restauración.
GNU/Linux:
Modo comando tar: empaquetar y comprimir
Modo comando cron: automatizar tarea.
Seguridad y Alta Disponibilidad 23
3. COPIAS DE SEGURIDAD
Copias de seguridad con herramientas específicas:
Windows:
Cobian Backup. Prácticamente todas las opciones a tener en cuenta
están incluidas.
Es gratuito y multitarea
En cualquier unidad, tanto local, como extraíble, como remota
Conexiones seguras mediante SSL
Soporta compresión, encriptación, definición de eventos, planificación de
tareas
Hace copias completas, incrementales y diferenciales
GNU/Linux:
Fwbackups.
En modo comandos: duplicity, rsync.
Seguridad y Alta Disponibilidad 24
3. COPIAS DE SEGURIDAD
3.1. Recuperación de datos
◦ Recuperación de datos: Cuando se borra un fichero de un medio
de almacenamiento el sistema operativo marca aquellas posiciones
que ocupaba dicho fichero en el dispositivo como libres, para
almacenar nueva información, ¡¡ pero no las borra !!.
◦ Los datos permanecerán hasta que se sobrescriban con nueva
información Por tanto, es posible recuperarla mediante
software.
Windows:
PC Tools File Recover, Ontra EasyRecovery, DiskDigger, Recuva.
GNU/Linux:
Testdisk, PhotoRec, Foremost, Scalpel.
Seguridad y Alta Disponibilidad 25
3. COPIAS DE SEGURIDAD
3.1. Recuperación de datos
◦ Recuva
Permite recuperar archivos borrados en sistemas Windows
Es gratuita
Permite seleccionar el tipo de archivo y en qué unidades buscar archivos
que están borrados o no visibles directamente en la unidad
No siempre es posible recuperar el 100% de los datos o el nombre del
archivo no coincide con el original.
Seguridad y Alta Disponibilidad 26
3. COPIAS DE SEGURIDAD
3.2. Imágenes de discos
◦ Una copia de seguridad solamente copia datos.
◦ Una imagen copia un dispositivo o parte del mismo bit a bit
en otro dispositivo o parte del mismo. Es decir, copia datos y
aplicaciones.
◦ Es muy útil para restaurar un sistema a un punto determinado.
También para realizar instalaciones de SSOO masivas e
idénticas.
Windows:
Acronis True Image, Norton Ghost, Clonezilla, …
GNU/Linux:
Comando dd
Seguridad y Alta Disponibilidad 27
4. PRINCIPIOS DE CRIPTOGRAFÍA
La criptografía (griego “oculto” y “escribir”, literalmente
“escritura oculta”): ciencia de cifrar y descifrar
información.
Se emplea frecuentemente para permitir un intercambio
de mensajes que solo puedan ser leídos por personas a
las que van dirigidos y que poseen los medios para
descifrarlos. Confidencialidad.
Seguridad y Alta Disponibilidad 28
4. PRINCIPIOS DE CRIPTOGRAFÍA
En la terminología de criptografía:
Información original a proteger: texto en claro o texto
plano.
Cifrado: proceso de convertir el texto plano en un texto
ilegible, o texto cifrado o criptograma.
La aplicación concreta del algoritmo de cifrado se basa en
la existencia de una clave o información secreta que adapta
el algoritmo de cifrado para cada uso distinto.
Seguridad y Alta Disponibilidad 29
4. PRINCIPIOS DE CRIPTOGRAFÍA
Las dos técnicas más sencillas de cifrado en lacriptografía clásica, son:
Sustitución: cambio de significado de los elementos básicosdel mensaje, las letras, los dígitos o los símbolos.
Transposición: reordenación de los mismos pero loselementos básicos no se modifican.
El descifrado: proceso inverso que recupera el textoplano a partir del criptograma y la clave.
Seguridad y Alta Disponibilidad 30
4. PRINCIPIOS DE CRIPTOGRAFÍA
Ejemplo de algoritmo de sustitución:
Cifrado César.
GNU/Linux: comando tr.
Seguridad y Alta Disponibilidad 31
4. PRINCIPIOS DE CRIPTOGRAFÍA
La Escitala
Como podemos ver en la imagen, el mensaje es: “es el
primer método de encriptación conocido”, pero en la
cinta lo que se podría leer es:
“EMCCSEROETINLOPOPDTCROAIIDCDMEIOEEOR NN”.
Seguridad y Alta Disponibilidad 32
4. PRINCIPIOS DE CRIPTOGRAFÍA
El cifrador de Polybios
A mediados del siglo II antes de Cristo, los griegos
desarrollaron otro método que consistía en sustituir cada
letra del mensaje original por el par de letras o números que
indicaban la fila y columna en la cual se encontraba.
La siguiente tabla muestra la correspondencia de letras para
utilizar el cifrador de Polybios.
El mensaje que queremos enviar es “El cifrador de
Polybios”, y el mensaje cifrado que enviaremos es “AECA
ACBDBADBAAADCDDB ADAE CECDCAEDAB”.
Vídeo: Historia de la
Criptografía
Seguridad y Alta Disponibilidad 33
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.1. Tipos de algoritmos de cifrado
Existen dos grandes grupos de algoritmos de cifrado:
Simétricos o de clave simétrica o privada: una única clavetanto en el proceso de cifrado como en descifrado.
Asimétricos o de clave asimétrica o pública: una clavepara cifrar mensajes y una clave distinta para descifrarlos.Estos forman el núcleo de las técnicas de cifrado modernas:certificados digitales, firma digital, DNIe.
Seguridad y Alta Disponibilidad 34
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.2. Criptografía simétrica
Las dos partes que se comunican han de ponerse de
acuerdo de antemano sobre la clave (única) a usar.
Seguridad y Alta Disponibilidad 35
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.2. Criptografía simétrica
Según el principio de Kerchohoff la fortaleza o
algoritmo de cifrado debe recaer en la clave y no enel algoritmo, cuyos principios de funcionamiento sonconocidos normalmente. En caso de no conocer laclave no podremos descifrar el mensaje.
VIDEO: Sistemas de cifrado con clave secreta
VIDEO: Sistemas de cifrado con clave pública
Seguridad y Alta Disponibilidad 36
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.2. Criptografía simétrica
Un buen sistema de cifrado pone toda la seguridad en la
clave y ninguna en el algoritmo.
Es importante que sea muy difícil adivinar.
El espacio de posibilidades de claves ha de ser amplio.
Todo esto los posibilita la longitud y el conjunto de
caracteres que emplee.
Seguridad y Alta Disponibilidad 37
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.2. Criptografía simétrica
El más común de los algoritmos de cifrado simétrico hasido el Estándar de Cifrado de Datos (DES) :
DES utiliza cifrado en bloque de 64 bits y una clave decifrado/descifrado de 56 bits. Los 8 bits adicionales son paraverificación de paridad.
El número de claves que se puede formar es 256 lo quesupone un total de 72.0572594.0371927.036 claves posibles.
Si bien son muchas claves, DES no es un sistemacriptográfico fuerte y se puede romper por fuerza bruta.
Seguridad y Alta Disponibilidad 38
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.2. Criptografía simétrica
Existen algoritmos de cifrado más potentes que DES,
Como 3DES, Blowfish e IDEA que utilizan claves de 128bits o, incluso de 256 bits. La mayoría de las tarjetas decrédito y otros medios de pago electrónicos tienen comoestándar el algoritmo 3DES.
Otros algoritmos de cifrado muy usados: RC5 y AES(Advanced Encryption Standard), conocido como Rijndael,estándar de cifrado por el gobierno de los Estados Unidos.
Seguridad y Alta Disponibilidad 39
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.2. Criptografía simétrica
Ejemplos:
PGP (Pretty Good Privacy) el programa más popular de
encriptación y de creación de llaves públicas y privadas, se
considera híbrido.
GPG o GNU Privacy Guard herramienta reemplazo del PGP
es software libre licenciado bajo la GPL.
Cifrado simétrico: gpg –c archivo archivo.gpg
Descifrar: gpg –d archivo.gpg
Seguridad y Alta Disponibilidad 40
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.2. Criptografía simétrica
Ejemplos (cont.):
Truecrypt: cifrado de particiones, archivos, etc. Algoritmosde cifrado simétrico: AES, Serpent, Twofish.
Seguridad y Alta Disponibilidad 41
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.3. Criptografía de clave asimétrica
Los principales problemas de los sistemas de cifradosimétrico no son su seguridad sino:
El intercambio de claves: ¿qué canal de comunicación segurohan usado para transmitirse las claves?o Sería mucho más fácil para un atacante intentar interceptar una
clave que probar las posibles combinaciones.
El número de claves que se necesitan: para un número n depersonas que se comunican entre sí, se necesitan n/2 clavesdiferentes para cada pareja de personas.o Esto puede funcionar con un grupo reducido de personas, pero sería
imposible llevarlo a cabo con grupos más grandes.
Para solucionar estos problemas se mejora la seguridad de lossistemas mediante la criptografía asimétrica y la criptografía híbrida.
Seguridad y Alta Disponibilidad 42
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.3. Criptografía de clave asimétrica
Cada usuario del sistema ha de poseer una pareja declaves:
Clave privada: custodiada por el propietario de la misma yno se dará a conocer.
Clave pública: conocida por todos los usuarios.
Las dos claves funcionan como un par:
Una clave se utilizar para encriptar y la otra para desencriptar. Cuando se generan ambas claves, cualquiera de ellas se podría
usar para encriptar o desencriptar, pero una vez que una clave seha utilizado para una de estas operaciones, la otra clave se usaráindefectiblemente para la operación contraria.
Seguridad y Alta Disponibilidad 43
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.3. Criptografía de clave asimétrica
Cualquiera puede cifrar un mensaje con la clave pública, perosólo el propietario de la clave privada puede descifrarlo
Proporciona confidencialidad
Si el propietario de la clave privada cifra con ella un mensaje,cualquiera puede descifrarlo con la correspondiente clave pública
Proporciona integridad, autenticación y no repudio
Del receptor
Seguridad y Alta Disponibilidad 44
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.3. Criptografía de clave asimétrica
Con este sistema se resuelve el problema de la
distribución de las claves y la utilización de la misma clave
para las operaciones de encriptado/desencriptado.
Los algoritmos de encriptación de clave asimétrica se
basan en funciones resumen o hash: de un solo
sentido (que es de computación fácil, mientras su
inversión extremadamente difícil).
VIDEO: Funciones
unidireccionales y hash
Seguridad y Alta Disponibilidad 45
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.3. Criptografía de clave asimétrica
Ejemplo RSA
Seguridad y Alta Disponibilidad 46
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.3. Criptografía de clave asimétrica
Algunos de los algoritmos: funciones resumen o hashMD5 y SHA, Diffie-Hellman, RSA, DSA, ElGamal,criptografía de curva elíptica.
Herramientas SW: PGP y GPG.
Protocolos de Comunicaciones: SSH, capa de seguridadSSL/TLS.
Seguridad y Alta Disponibilidad 47
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.3. Criptografía de clave asimétrica
Usos:
Cifrado contraseñas de usuario GNU/Linux archivo/etc/shadow.
Resumen de archivos, para verificación de autenticidad delos mismos. Usado en descargas de ejecutables, para evitarposibles descargas falsificadas o malware.
Firma digital de archivos, correo electrónico, etc.
Seguridad y Alta Disponibilidad 48
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.3. Criptografía de clave asimétrica
La mayor ventaja de la criptografía asimétrica es que se
puede cifrar con una clave y descifrar con la otra, pero
este sistema tiene bastantes desventajas:
Para una misma longitud de clave y mensaje mayor se
necesita mayor tiempo de proceso.
Las claves deben ser de mayor tamaño que las simétricas:
Mínimo 1024 bits.
El mensaje cifrado ocupa más espacio que el original.
Seguridad y Alta Disponibilidad 49
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.4. Criptografía híbrida
La mayoría de las aplicaciones utilizan un cifrado
híbrido:
criptografía asimétrica para intercambiar claves
simétricas.
criptografía simétrica para la transmisión de la
información.
Utiliza dos algoritmos:
clave pública (más seguro): cifrado en el envío de una
pequeña cantidad de información: por ejemplo una clave
simétrica.
clave simétrica, cifrado del mensaje, reduciendo el coste
computacional.
Seguridad y Alta Disponibilidad 50
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.4. Criptografía híbrida
El emisor envía la clave secreta, generada aleatoriamente,
cifrada con la clave pública del receptor, el único capaz de
descifrarla usando su correspondiente clave privada.
Paso 1º: generación de la clave secreta a compartir
Seguridad y Alta Disponibilidad 51
El emisor cifra el mensaje con su clave privada, operación
que sólo él puede realizar.
Cualquiera puede descifrarlo con su clave pública,
verificando así su autoría.
Paso 2º: cifrado/descifrado el mensaje
Seguridad y Alta Disponibilidad 52
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.4. Criptografía híbrida
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.5. Firma digital
Permite al receptor de un mensaje verificar la
autenticidad del origen de la información y que no ha
sido modificada desde su generación.
Autenticación e integridad de los datos y no repudio en
origen, ya que la persona que origina un mensaje firmado
digitalmente no puede argumentar que no lo hizo.
Una firma digital está destinada al mismo propósito que
una manuscrita.
Seguridad y Alta Disponibilidad 53
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.5. Firma digital
La firma manuscrita es falsificable. Sin embargo, en la
Firma Digital esto es imposible a no ser que se descubra
la clave privada del firmante.
La firma digital es un cifrado del mensaje utilizando la
clave privada en lugar de la pública.
Es el resultado de cifrar con la clave privada el resumen
de los datos a firmar, haciendo uso de funciones resumen
o hash.
Seguridad y Alta Disponibilidad 54
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.6. Terceras partes de confianza
Una vez definido un certificado digital ¿ cómo confiar si es
válido o si está falsificado ? La validez de un certificado es
la confianza en que la clave pública contenida en el
certificado pertenece al usuario indicado en el mismo.
La manera de confiar en el certificado es mediante la
confianza en terceras partes.
Dos usuarios puedan confiar directamente entre sí, si
ambos tienen relación con una tercera parte y que
ésta puede dar fe de la fiabilidad de los dos.
Seguridad y Alta Disponibilidad 55
4. PRINCIPIOS DE CRIPTOGRAFÍA 4.6. Terceras partes de confianza
La necesidad de una Tercera Parte Confiable (TPC o TTP,Trusted Third Party) es la mejor forma de permitir ladistribución de las claves públicas (o certificadosdigitales) agente, en quien todos los usuarios confíen.
La manera en que esa tercera parte avalará que elcertificado es confiable es mediante su firma digitalsobre el certificado.
La TPC se conoce con el nombre de Autoridad deCertificación (AC). En el caso de España, FábricaNacional de Moneda y Timbre (FNMT) y Dirección Generalde la Policía.
Seguridad y Alta Disponibilidad 56