SEGURIDAD INFORMATICA Mg. Sc. Miguel Cotaña Mier Octubre 2007

cvfdkfienreikdiekfgh CONTENIDO 1.- INTRODUCCION 2.- HERRAMIENTAS CRIPTOGRAFICAS cvfdkfienreikdiekfgh LOGIN PASSWORD 3.- FIRMA DIGITAL 4.- AUTORIDADES CERTIFICANTES

3.- Herramientas criptográficas

Definición de criptografía “cripto”- “kryptó” :Oculto Criptología: palabra oculta, describe campos de investigación de criptografía y criptoanálisis Criptografía: arte de mantener la privacidad de la información Criptoanálisis: arte de descifrar algoritmos desarrollados mediante criptografía

Definición de criptografía Algoritmos criptográficos permitían mantener comunicaciones privadas (ENIGMA se creó para enviar y recibir mensajes encriptados – Alemania, y Gran Bretaña construyó COLLOSUM – 2da Guerra Mundial) Hace más de 30 años, los bancos comenzaron a tener redes de sucursales conectadas a un mainframe central. Se desarrolló (DES). Se considera a la encriptación un componente de la seguridad cuando es un mecanismo de protección.

Encriptar Texto plano TEXTO CIFRADO + Clave de Encriptado = minino

Desencriptar Texto Plano Recuperado Texto Cifrado + Clave de Desencriptado = minino

Algoritmos usan diferentes bases de diseño: Operaciones elementales Sustituciones (César, Vigenere, Vernam, etc.) Permutaciones Combinación de ambas (DES, AES, etc.) Matemáticas Teoría de Números (RSA, ElGamal, DSS, etc.) Problemas NP y NP Completos Curvas Elípticas (ECC) Fisica Cuántica Mecanica Cuántica Principio de Incertidumbre de Heinsenberg Otras

Algoritmos pueden ser: Simétricos o de Llave Secreta Usan misma llave para cifrar y descifrar Asimétricos o de Llave Pública La llave que cifra es diferente a la que descifra Funciones Hash, Resumen o Compendio No usan llave

También pueden ser por: Bloque El mensaje se procesa en bloques del mismo tamaño Flujo El mensaje se procesa como un todo por unidad básica

Algoritmos Simétricos o de Llave Secreta DES (anterior estándar mundial) AES (Nuevo estándar mundial) 3DES Algoritmos Asimétricos o de Llave Pública RSA (Estándar de facto) ElGamal DSS (Digital Signature Standard) Algoritmos Hash MD5 SHA-1

Algoritmos Simétricos Basan su diseño en operaciones elementales Buscan eficiencia Seguridad depende del tiempo y los recursos de cómputo Aplicaciones de Criptografia Simétrica Cifrado de información no clasificada (Confidencialidad) Verificación de Integridad Autenticación

Algoritmos Asimétricos Diseño basado en problemas matemáticos Seguros computacionalmente Seguridad no depende de tiempo ni de recursos de cómputo Pero........ Aplicaciones de Criptografia Asimétrica Cifrado de informacion clasificada (Confidencialidad) Acuerdo de llave simétrica Firma Digital (Autenticación y No Repudio)

Algoritmos Hash Diseño basado en operaciones elementales Son eficientes Seguridad depende del tiempo y recursos de cómputo Proporcionan una huella digital del mensaje Aplicaciones de Algoritmos Hash Verificación de Integridad Autenticación Demostrar posesión de secretos sin revelar el secreto Virología

Aplicaciones de Criptografía Actualmente se usan de forma híbrida Simétricos: eficientes Asimétricos: seguros computacionalmente Hash: eficientes y proporcionan huella digital Se usan asimétricos para acordar llave simétrica Acordada la llave simétrica, se usa un algoritmo simétrico para cifrar la información Ejemplo: PGP, SSH, etc.

Motivos para usar la encriptación El uso de esta técnica es importante y modificará el funcionamiento de las empresas. Encriptación fuerte: permite enviar documentos confidenciales sin ser interceptados En el correo electrónico, la encriptación es imprescindible

Dado que Internet es una red insegura, la banca electrónica y los pagos on-line son aplicaciones de Internet que más se destacan por el uso e encriptación Todos los navegadores web incorporan soporte para encriptación de documentos: Longitud estándar de claves sólo alcanza a 40 bits  vulnerables El control de acceso puede ser implementado mediante criptografía (canales de cable) El hecho de tener o no encriptación puede significar la diferencia entre hacer negocios y perderlos.

Comparación entre criptografías Criptografía clave pública Criptografía clave secreta Ventajas Sistema más seguro y conveniente: las claves privadas no se envían nunca Tecnología rápida – Archivos grandes Implementación sencilla de sistema de firma digital utilizando infraestructura de clave pública Desventajas Encriptación que no sirve para archivos grandes La inevitable transmisión de la clave constituye un riesgo de seguridad Implementación de un mecanismo de autenticación difícil con las claves secretas La implementación de un sistema de firma digital implica intercambio de información secreta Sistema óptimo Combinación de ambos tipos de criptografía: el mensaje se encripta con clave secreta, la que se adjunta al mensaje y es encriptado con modalidad de clave pública. Seguridad y velocidad.

Esteganografía La esteganografía es el arte o ciencia de ocultar mensajes invisibles en mensajes visibles. Al interceptar estos archivos, se obtiene un mensaje que no guarda ninguna particularidad. Existen paquetes de software de distribución gratuita que permiten encriptar por medio de esteganografía (SteganosSafe) Paquetes comerciales de software esteganográfico ofrecen mayor calidad de protección.

3.- Firma Digital

La impresión del dígito pulgar derecho La Firma Digital NO es: La impresión del dígito pulgar derecho La imágen escaneada de una firma quirografaria Porqué no? Porque son fácilmente duplicables!

La Firma Digital es: Un proceso que permite asegurar la IDENTIDAD del autor del documento, y la INALTERABILIDAD del contenido del documento luego de haber sido firmado. FECHA y HORA de la firma. Mediante métodos CRIPTOGRAFICOS

Certificado y Firma Digital Confianza Electrónica Autenticación Permite probar la identidad de un ciudadano Integridad Prueba de que la información no ha sido alterada Confidencialidad Capacidad de intercambiar información de forma secreta No repudio Certifica que el ciudadano ha realizado una transacción Certificados Firma Digital Cifrado Certificado y Firma Digital

Ubicuidad Disponibilidad Usabilidad Posibilitar al usuario la realización de firma de documentos a través de su dispositivo Firma de expedientes y sumarios de forma segura desde terminales móviles Ubicuidad Los usuarios tendrán acceso a aplicaciones desde cualquier parte Autorizaciones para intervenciones desde ordenadores SEGURIDAD Disponibilidad Acceso 24x7 a las aplicaciones del entorno Comprobación de aprobaciones documentales y flujos e autorización realizados mediante firma electrónica desde ordenador Usabilidad Interfaces amigables, sistemas táctiles integrados Procesos de votación y participación vinculante a través del dispositivo móvil

Firma Digital Móvil : Proyecto Universitario ESTUDIANTE/EMPLEADO RESPONSABLE Solicitud de inscripción Consulta de Inscripciones a cursos Validación de Inscripciones Almacenamiento de registros Desestimación de Solicitudes Jesús M. Alarcía 05.395.863 v PC + Lector de tarjetas + Tarjeta HTTPS GPRS + HTTPS Servidor aplicaciones GPRS + HTTPS PDA + Certificado Usuario Jesús M. Alarcía 05.395.863 v PDA + Lector de Tarjetas + Tarjeta Base de Datos

Algunas definiciones Mensaje: Representación digital de la información. Criptosistema Asimétrico: Algoritmo o serie de algoritmos que brindan un par de claves Confiables. Clave Privada: de dos claves, una de ellas se usa para crear una firma digital. Clave Pública: de dos claves, una de ellas se usa para Verificar una firma digital. Verificar una firma digital: Determinar fehacientemente que la firma digital fue creada por la clave privada correspondiente a la clave pública, y que el mensaje no ha sufrido modificaciones con posterioridad a la creación del mensaje.

Suscriptor: Persona que: Es el sujeto cuyo nombre figura en un certificado; acepta el certificado, y tiene una clave privada que corresponde a la clave pública mencionada en dicho certificado. Certificado Válido: Certificado: Que ha sido emitido por una autoridad certificante. Que ha sido aceptado por el suscriptor allí mencionado. Que no ha sido revocado ni suspendido. Que no ha vencido. Suspender un Certificado: volverlo temporalmente ineficaz a partir de una determinada fecha. Timbre Fechador: Significa agregar a un mensaje, a una firma digital o a un certificado una anotación firmada digitalmente donde se indique como mínimo la fecha, la hora y la identidad de la persona que efectúa la anotación.

Sistema de encripción de Clave única (Simétrico) MENSAJE Clave de Encriptado MENSAJE ENCRIPTADO Donato Canal Inseguro (Internet) Clave de Encriptado Canal Seguro MENSAJE CLAVE DE ENCRIPCION Carlos

Sistema de Encripción de Claves Públicas y Privadas (Asimétrico) Clave Privada de Donato Mensaje Encriptado con Clave Pública de Donato MENSAJE MENSAJE ENCRIPTADO Donato Mensaje Encriptado con Clave Pública de Donato Canal Inseguro (Internet) Clave Pública de Donato MENSAJE Carlos

Aplicaciones Comunicación segura Cliente Servidor Dato cifrado Dato Clave privada Dato Clave pública Dato Dato cifrado

Sistema de Encripción de Claves Públicas y Privadas (Asimétrico) y Firmado. Mensaje Encriptado con Clave Privada de Carlos y Pública de Donato Clave Privada de Donato Clave Pública de Donato Mensaje Encriptado con Clave Privada de Carlos y Pública de Donato MENSAJE ENCRIPTADO Mensaje Encriptado con Clave Privada de Carlos Mensaje Encriptado con Clave Privada de Carlos Clave Pública de Carlos Clave Privada de Carlos MENSAJE MENSAJE Canal Inseguro (Internet) Carlos Donato

Algoritmo Hash El Sistema de Digesto seguro se perfecciona mediante la utilización de: Un Algoritmo Hash, que actúa sobre el código binario del documento electrónico, tomando de éste ciertas características distintivas, y creando una sentencia de 160 bits “única” que conforma un resumen (Digesto) del Documento. A este Digesto se le aplica el Algoritmo de encripción conjuntamente con la clave privada del firmante y de esta manera se crea la firma digital.

Mensaje HASH Digesto Firma Digital Algoritmo HASH Clave Privada Del Firmante Algoritmo Encripción Digesto Firma Digital

Aplicaciones Firma de datos Cliente Servidor Clave privada Hash Firma Clave pública Hash 0111001001 1110011100 0011101011 1000111010 Hash

PRINCIPALES METODOS DE PAGO POR INTERNET Contra Entrega Cheques Western Union Transacciones Bancarias Tarjetas de Credito Telefonía Móvil PayPal

Seguridad basada en el cliente 4.- AUTORIDADES CERTIFICANTES Seguridad basada en el cliente

Certificados digitales Son el medio de vincular una clave criptográfica con uno o más atributos del usuario. Permiten al destinatario verificar la autenticidad de la comunicación y han ayudado a incrementar la confianza en los negocios de Internet. Es un archivo encriptado y protegido con contraseña. Se proporciona una clave pública que se usa para verificar la firma digital del remitente de un mensaje previamente firmado con la correspondiente clave privada. Los certificados digitales se usan para que la comunicación sea segura entre navegadores y servidores, entre clientes y comerciantes.

La autenticación cliente-servidor SSL: cuando se accede a una solución de banca on-line se intercambian varios mensajes antes de que aparezca la primera página segura. Sirve para identificar al servidor La clave pública guardada en el certificado es usada para encriptar la clave de la sesión. La identificación del certificado del servidor se coteja con la autoridad de certificación que la emitió. Si la identidad es correcta, se crea una clave de sesión para encriptar la comunicación que tiene lugar en ese momento.

Certificados digitales gratuitos Certificados digitales gratuitos para uso privado Thawte http://www.thawte.com TrustCenter http://www.trustcenter.de VeriSing http://www.verisign.com Xcert http://www.xcert.com

CERTIFICADOS SSL

Gracias !!!