La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Criptología y seguridad

Presentaciones similares


Presentación del tema: "Criptología y seguridad"— Transcripción de la presentación:

1 Criptología y seguridad
Seguridad en Redes

2 Amenazas deliberadas a la seguridad de la información
Se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). Un ataque no es más que la realización de una amenaza.

3 Ataques EMPRESA PROVEEDOR Ataques externos: Tipos de ataque.
Social Engineering. Defecto del OS o aplicativo, “backdoors”. Deny Of Service (DOS). Puerto abierto, punto de entrada non protegido. EMPRESA PROVEEDOR

4 Ataques EMPRESA PROVEEDOR Ataques internos: Tipos de ataque.
Defecto del OS o aplicativo, “backdoors”. Deny Of Service (DOS). Invasión, piratería, destrucción Desvió de flujos Spoofing EMPRESA PROVEEDOR

5 Descripción Ataques Defecto del OS o aplicativo, backdoors: Utilización de bug o puntos de control en los productos para controlar, perturbar o explorar (computadores o equipos de red). Datos Avanzados: Sql injection, otros. Deny Of Service (DOS): Ataque masivo sobre un equipo para bloquear su funcionamiento por saturación. Datos Avanzados: SYN Flood, Botnets, Ping Flood, Smurfing. Social Engineering (ingeniera social): Contactar un usuario y utilizar conocimientos sobre la organización de la empresa y los empleados para aprender su contraseña e informaciones confidenciales.

6 Descripción Ataques Spoofing:
Substituir su computador al sitio que quiere visitar el usuario. Datos avanzados: IP Spoofing, Phishing. Desvió de flujos: Perturbar una comunicación entre 2 equipos para recuperarla o para bloquearla. Invasión, piratería, destrucción: Acceso ilegal a los datos de los computadores. Datos avanzados: Backdoor, virus, trojan horse, worm, logical bomb, keylogger, sniffer, Netscanner, exploit, rootkit.

7 Ataques Las cuatro categorías generales de amenazas o ataques son las siguientes: Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de ficheros. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una línea para hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas (intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).

8 Ataques Las cuatro categorías generales de amenazas o ataques son las siguientes: Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red. Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo.

9 Mecanismos de Seguridad
No existe un único mecanismo capaz de proveer todos los servicios que se puedan prestar en una red, pero la mayoría de ellos hacen uso de técnicas criptográficas basadas en el cifrado de la información. Los más importantes son los siguientes: Intercambio de autenticación Cifrado Integridad de datos Firma digital Control de acceso: Tráfico de relleno Control de encaminamiento Unicidad

10 Criptografía Entendemos por Criptografía (Kriptos=ocultar, Graphos=escritura) la técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello, que llamaremos criptograma o texto cifrado. El método o sistema empleado para encriptar el texto en claro se denomina algoritmo de encriptación.

11 Criptografía La Criptografía es una rama de las Matemáticas, que se complementa con el Criptoanálisis, que es la técnica de descifrar textos cifrados sin tener autorización para ellos, es decir, realizar una especie de Criptografía inversa. Ambas técnicas forman la ciencia llamada Criptología. La base de las Criptografía suele ser la aplicación de problemas matemáticos de dificil solución a aplicaciones específicas, denominándose criptosistema o sistema de cifrado a los fundamentos y procedimientos de operación involucrados en dicha aplicación.

12 Criptografía clásica El cifrado de textos es una actividad que ha sido ampliamente usada a lo largo de la historia humana, sobre todo en el campo militar y en aquellos otros en los que es necesario enviar mensajes con información confidencial y sensible a través de medios no seguros. Aunque en cierta forma el sistema de jeroglíficos egipcio puede considerarse ya una forma de criptografía (sólo podían ser entendidos por personas con conocimientos suficientes), el primer sistema criptográfico como tal conocido de debe a Julio Cesar.

13 Criptografía clásica Su sistema consistía en reemplazar en el mensaje a enviar cada letra por la situada tres posiciones por delante en el alfabeto latino. En nuestro alfabeto actual tendríamos la siguiente tabla de equivalencias: A B C D E F G H I J K L M N Q O P R S T U V W X Y Z

14 Criptografía clásica La sustitución consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición natural en el alfabeto. Por ejemplo, fijar una equivalencia entre las letras del alfabeto original y una variación de él, de forma análoga a lo que ocurre en el método de Julio Cesar. Si fijamos la equivalencia de alfabetos: A B C D E F G H I J K L M N Q O P R S T U V W X Y Z

15 Criptografía clásica La transposición en cambio consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición en el orden del mensaje. Por ejemplo, si establecemos la siguiente regla de cambio en el orden de las letras en el texto: a letra 1 2 3 4 5 6 7 8 9 pasa a ser la

16 Criptografía moderna Como hemos visto anteriormente, los sistemas criptográficos clásicos presentan una dificultad en cuanto a la relación complejidad-longitud de la clave / tiempo necesario para encriptar y desencriptar el mensaje. En la era moderna esta barrera clásica se rompió, debido principalmente a los siguientes factores: velocidad de cálculo: con la aparición de los computadores se dispuso de una potencia de cálculo muy superior a la de los métodos clásicos. avance de las matemáticas: que permitieron encontrar y definir con claridad sistemas criptográficos estables y seguros. necesidades de seguridad: surgieron muchas actividades nuevas que precisaban la ocultación de datos, con lo que la Criptología experimentó un fuerte avance.

17 Criptografía simétrica
Incluye los sistemas clásicos, y se caracteriza por que en ellos se usa la misma clave para encriptar y para desencriptar, motivo por el que se denomina simétrica. Toda la seguridad de este sistema está basada en la llave simétrica, por lo que es misión fundamental tanto del emisor como del receptor conocer esta clave y mantenerla en secreto. Si la llave cáe en manos de terceros, el sistema deja de ser seguro, por lo que habría que desechar dicha llave y generar una nueva.

18 Criptografía de clave pública
También llamada asimétrica, se basa en el uso de dos claves diferentes, claves que poseen una propiedad fundamental: una clave puede desencriptar lo que la otra ha encriptado. Generalmente una de las claves de la pareja, denominada clave privada, es usada por el propietario para encriptar los mensajes, mientras que la otra, llamada clave pública, es usada para desencriptar el mensaje cifrado.

19 Firma digital Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas; al igual que cuando se firma un documento holográficamente este sí puede ser visualizado por otras personas.

20 Firma digital El proceso de firma digital consta de dos partes bien diferenciadas: Proceso de Firma: en el que el emisor encripta el documento con su llave privada, enviando al destinatario tanto el documento en claro como el encriptado. 2. Proceso de Verificacion de la Firma: el receptor desencripta el documento cifrado con la clave pública de A y comprueba que coincide con el documento original, lo que atestigua de forma total que el emisor del mismo ha sido efectivamente A.

21 Funciones hash Son unas funciones matemáticas que realizan un resumen del documento a firmar. Su forma de operar es comprimir el documento en un único bloque de longitud fija, bloque cuyo contenido es ilegible y no tiene ningún sentido real. Tanto es así que por definición las funciones hash son irreversibles, es decir, que a partir de un bloque comprimido no se puede obtener el bloque sin comprimir, y si no es así no es una función hash. Estas funciones son además de dominio público. A un mensaje resumido mediante una función hash y encriptado con una llave privada es lo que en la vida real se denomina firma digital. El esquema de firma digital mediante una función hash es el siguiente:

22 Funciones hash Mecanismo de funcionamiento:
El emisor aplica una función hash conocida al documento, con lo que obtiene un resumen hash del mismo. Encripta dicho resumen con su clave privada. Envía al receptor el documento original plano y el resumen hash encriptado. El receptor B aplica la función hash al resumen sin encriptar y desencripta el resumen encriptado con la llave pública de A. Si ambos coinciden está seguro de que ha sido A el que le ha enviado el documento. Si no coinciden, está seguro de que no ha sido A o de que el envío ha sido interceptado durante el medio de envío y modificado.

23 Funciones hash

24 Funciones hash Las funciones hash y la firma digital son elementos indispensables para el establecimiento de canales seguros de comunicación, basados en los Certificados Digitales. Para que una función pueda considerarse como función hash debe cumplir: Debe transformar un texto de longitud variable en un bloque de longitud fija, que generalmente es pequeña (algunas son de 16 bits). Debe ser cómoda de usar e implementar. Debe ser irreversible, es decir, no se puede obtener el texto original del resumen hash. Debe ser imposible encontrar dos mensajes diferentes cuya firma digital mediante la función hash sea la misma (no-colisión). Si se desea además mantener un intercambio de información con Confidencialidad, basta con cifrar el documento a enviar con la clave pública del receptor.

25 Funciones hash Las funciones hash más conocidas y usadas son:
MD2, abreviatura de Message Digest 2, diseñado para ordenadores con procesador de 8 bits. Todavía se usa, pero no es recomendable, debido a su lentitud de proceso. MD4, abreviatura de Message Digest 4, desarrollado por Ron Rivest, uno de los fundadodres de RSA Data Security Inc. y padre del sistema asimétrico RSA. Aunque se considera un sistema inseguro, es importante porque ha servido de base para la creación de otras funciones hash. Un sistema de ataque desarrollado por Hans Dobbertin posibilita el crear mensajes aleatorios con los mismos valores de hash (colisiones), por lo que ya no se usa. De hecho, existe un algoritmo que encuentra una colisión en segundos. MD5, abreviatura de Message Digest 5, también obra de Ron Rivest, que se creó para dar seguridad a MD4, y que ha sido ampliamente usado en diversos campos, como autenticador de mensajes en el protocolo SSL y como firmador de mensajes en el programa de correo PGP. Si embargo, fué reventado en 1996 por el mismo investigador que lo hizo con MD4, el señor Dobbertin, que consiguió crear colisiones en el sistema MD5, aunque por medio de ataques parciales.

26 Funciones hash SHA-1, Secure Hash Algorithm, desarrollado como parte integrante del Secure Hash Standar (SHS) y el Digital Signature Standar (DSS) por la Agencia de Seguridad Nacional Norteamericana, NSA. Sus creadores afirman que la base de este sistema es similar a la de MD4 de Rivest, y ha sido mejorado debido a ataques nunca desvelados. La versión actual se considera segura (por lo menos hasta que se demuestre lo contrario) y es muy utilizada algoritmo de firma, como en el programa PGP en sus nuevas claves DH/DSS (Diffie-Hellman/Digital Signature Standar). Destacar también que en la actualidad se están estudiando versiones de SHA con longitudes de clave de 256, 384 y 512 bits. RIPEMD-160, desarrollada por un grupo de investigadores europeos, entre los que se encuentra Hans Dobbertin (el reventador de MD4-MD5) y otros investigadores incluidos en el proyecto RIPE (RACE Integrity Primitives Evaluation). Su primera versión adolecía de las mismas debilidades que MD4, produciendo colisiones, pero las versiones mejoradas actuales son consideradas seguras. Maneja claves muy robustas, normalmente de 160 bits, aunque exiten versiones de 128 y se están planteando nuevas de 256 y 320 bits. Es muy rápido, no está patentado y su código fuente es abierto, de libre acceso.

27 Aspectos de Seguridad En cuanto a la longitud de las claves, para los sistemas de clave pública como RSA la longitud de clave recomendada es de 1024 bits. Para los sistemas simétricos las longitudes recomendadas son: DES: al menos 56 bits, siendo el tamaño óptimo de 128 bits. TDES: 168 bits. RC4: 128 bits.

28 Aspectos de Seguridad Elección de claves.
Es normal que las personas elijan claves basadas en su nombre, apellidos, fecha de nacimiento, matrícula del automóvil, etc. Estas, por su propia constitución, son inapropiadas, ya que lo primero que suele hacer el que busca nuestras claves es someter el sistema a un ataque basado en fuerza bruta (prueba con generadores de palabras, números o mezcla de ambos), basado en la prueba de miles y miles de palabras comunes en un idioma (ataques de diccionario) o en palabras comunes en el entorno de la persona propietaria de las mismas (basado en asociación de ideas). En el caso de que tengamos que elegir nosotros las claves debemos procurar mezclar en ellas letras y números, creando una palabra o frase que no tenga ningún sentido en el mundo real, y con la máxima extensión permitida por el algoritmo. Y debemos también procurar escoger una clave diferente para cada algoritmo, para evitar depositar toda nuestra seguridad en una única clave.

29 Recomendaciones para la creación de Passwords
Windows incluye una nueva DLL (Passfilt.dll) que permite obligar que los usuarios introduzcan passwords fuertes, al incorporar la siguiente política: 1. Los passwords deben tener una longitud mínima de 6 caracteres. 2. Los passwords deben contener caracteres de al menos tres de las siguientes cuatro clases: a) Letras mayúsculas b) Letras minúsculas c) Números d) Caracteres especiales no alfanuméricos, como signos de puntuación. 3. Los passwords no podrán contener el nombre de usuario ni otra parte del nombre completo del usuario.


Descargar ppt "Criptología y seguridad"

Presentaciones similares


Anuncios Google