SEGURIDAD Y CRIPTOGRAFÍA Por: Ing. Geovanny Meza Octubre 2012
SEGURIDAD •
Definiciones –
–
–
–
Proviene del latín
securĭtas
que se refiere a la cualidad de seguro, es decir aquello que está exento de peligro, daño o riesgo. Algo seguro es algo cierto, firme e indubitable. La seguridad, por lo tanto, tanto, es una certeza. Ausencia de Riesgos. Condición de estar libre de peligro, daño, pérdida o falla.
SEGURIDAD •
Definiciones –
–
–
–
Proviene del latín
securĭtas
que se refiere a la cualidad de seguro, es decir aquello que está exento de peligro, daño o riesgo. Algo seguro es algo cierto, firme e indubitable. La seguridad, por lo tanto, tanto, es una certeza. Ausencia de Riesgos. Condición de estar libre de peligro, daño, pérdida o falla.
TIPOS DE SEGURIDAD •
•
•
Civil y militar Privada y colectiva Institucional Institucional y empresarial –
–
–
–
–
Física Lógica De desarrollo y aplicaciones De cifrado De comunicaciones y redes
SEGURIDAD TIC’S
TIPOS DE SEGURIDAD •
Física –
–
•
Tiene que ver con la protección del sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc. Medidas de protección civil y respaldo electrónico de documentos.
Lógica –
–
Aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Protección de la información en su propio medio, mediante el enmascaramiento de la misma usando técnicas de criptografía. criptografía.
TIPOS DE SEGURIDAD •
De desarrollo y aplicaciones –
•
Aquello que tenemos que tener en cuenta en las etapas de diseño y codificación de los programas
De Cifrado –
La que tiene que ver con la codificación y decodifición de información, es decir, la que tiene que ver con el intercambio de claves entre el emisor y el receptor ya que ambos deben usar la misma clave
TIPOS DE SEGURIDAD •
De comunicaciones y Redes –
–
–
Tiene que ver con la seguridad en las infraestructuras de redes y comunicaciones de una organización. Tiene en cuenta las tecnologías implicadas, el aseguramiento de los medios de transporte de la información involucrados, así como los protocolos de comunicaciones utilizados en los mismos; todo ello con el uso de las tecnologías disponibles en la industria. Se analizan las tecnologías de certificación digital, redes privadas virtuales, técnicas de detección de vulnerabilidades, mecanismos de ataques a sistemas en red, sistemas de protección de redes mediante cortafuegos, sistemas de detección de intrusos así como la realización de auditorías de seguridad y análisis forense informático.
NIVELES DE SEGURIDAD •
Básico –
•
Medio –
•
Mínimos aspectos a considerarse para garantizar la seguridad Aspectos de seguridad que dan un mayor nivel de confianza
Alto –
Consideraciones que garantizan estándares de seguridad y calidad.
CONSIDERACIONES GENERALES Para incrementar los niveles de seguridad es necesario:
•
–
–
–
Minimizar los riesgos Elaborar planes de mitigación Elaborar planes de contingencia
Tener presente que:
•
LA SEGURIDAD NO ES UN PRODUCTO,
“
ES UN PROCESO”
PLAN DE CONTINGENCIA •
Definición –
•
Conjunto de procedimientos alternativos a la operativa normal de cada empresa, cuya finalidad es la de permitir el funcionamiento de ésta, aún cuando alguna de sus funciones deje de hacerlo por culpa de algún incidente tanto interno como externo a la organización.
Importante: –
Preparar un plan de contingencia no implica un reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo contrario, supone un importante avance a la hora de superar todas aquellas situaciones que pueden provocar importantes pérdidas, no solo materiales sino aquellas derivadas de la paralización del negocio durante un período más o menos largo.
PLAN DE CONTINGENCIA •
Para qué sirve un plan de contingencia? –
–
–
Actualmente, la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad. En caso de un desastre, la interrupción prolongada de los servicios puede llevar a pérdidas financieras significativas. Lo más grave es que se puede perder la credibilidad del público o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total. Por lo tanto, un plan de contingencia sirve para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado de tiempo.
PLAN DE CONTINGENCIA •
Qué es un desastre? Es la interrupción prolongada de los recursos de una organización que no puede remediarse dentro de un periodo de tiempo predeterminado aceptable, y que necesita el uso de un sitio o equipo alterno para su recuperación. Ejemplos son los grandes incendios, las inundaciones, los terremotos, las explosiones, los actos de sabotaje, etcétera. La alta gerencia tiene que decidir el periodo de tiempo predeterminado que lleva una interrupción de servicio de la situación de "problema" a la de "desastre". La mayoría de las logran esto llevando a cabo un análisis de impacto en el negocio para determinar el máximo tiempo de interrupción permisible en funciones vitales de sus actividades. –
–
–
PLAN DE CONTINGENCIA •
Estadísticas de desastres Terrorismo Incendios Huracanes y Tornados Terremotos Interrupción suministro energía Errores en software Inundación Errores en hardware Interrupción servicio de red Rotura tuberías Otros
17,5 % 17,5% 14,0% 10,5% 9,5% 8,8% 7,0% 5,3% 3,5% 3,5% 2,9%
PLAN DE CONTINGENCIA •
Aspectos a considerar –
–
–
–
Debe ser diseñada y elaborada de acuerdo con las necesidades de la empresa. Puede requerir la construcción o adaptación de un sitio para los equipos computacionales. Requerirá del desarrollo y prueba de muchos procedimientos nuevos, y éstos deben ser compatibles con las operaciones existentes. Se hará participar a personal de muchos departamentos diferentes, el cual debe trabajar en conjunto cuando se desarrolle e implemente la solución. Implicará un compromiso entre costo, velocidad de recuperación, medida de la recuperación y alcance de los desastres cubiertos.
PLAN DE CONTINGENCIA •
Actividades –
–
–
–
–
–
–
Identificación de riesgos Evaluación de riesgos Asignación de prioridades a las aplicaciones Establecimiento de los requerimientos recuperación Elaboración de la documentación Verificación e implementación del plan Distribución y mantenimiento del plan
de
PLAN DE CONTINGENCIA •
Contenido del Plan –
Entre otros aspectos, el plan debe contener: •
•
•
•
•
Listas de notificación, números de teléfono, mapas y direcciones Prioridades, responsabilidades, relaciones y procedimientos Información sobre adquisiciones y compras Diagramas de las instalaciones Sistemas, configuraciones y copias de seguridad en cinta
CRIPTOGRAFÍA •
DEFINICIONES –
–
Proviene de las palabras griegas Krypto y Logos, y significa estudio de lo oculto. Una rama de la criptología es la criptografía (Kryptos y Graphos que significa descripción), que se ocupa del cifrado de mensajes. Rama inicial de las Matemáticas y en la actualidad de la Informática y la Telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar y/o proteger un mensaje o archivo por medio de un algoritmo, usando una o más claves. Esto da lugar a diferentes tipos de sistemas de cifra que permiten asegurar estos cuatro aspectos de la seguridad informática: la confidencialidad, la integridad, la disponibilidad y el no repudio de emisor y receptor
CRIPTOGRAFÍA
CRIPTOGRAFÍA
CRIPTOGRAFÍA
CRIPTOGRAFÍA •
Qué hace? –
–
Se ocupa del cifrado de mensajes. Esto se basa en que el emisor emite un mensaje en claro, que es tratado mediante un cifrador con la ayuda de una clave, para crear un texto cifrado. Este texto cifrado, por medio de un canal de comunicación establecido, llega al descifrador que apoyándose en diversos métodos, extrae el texto original.
CRIPTOGRAFÍA •
Esquematización Medio de
M
Transmisor Transmisor
T
Cifrador Cifrador
Transmisión C
Receptor C
MT
Mensaje cifrado
M R
Descifrador
CRIPTOGRAFÍA CLÁSICA •
•
Métodos, técnicas y artilugios utilizados por emperadores, gobernantes, militares y en general por diversas civilizaciones para mantener sus secretos a buen recaudo. Ejemplos: La Escitala El cifrador de Polybios Rellenos de una sóla vez Sustitución Transposición El cifrador del César El cifrador de Alberti –
–
–
–
–
–
–
CRIPTOGRAFÍA MODERNA •
•
•
Se basa en las mismas ideas básicas que la criptografía tradicional, la transposición y la sustitución, pero con distinta orientación. En la criptografía moderna el objetivo es hacer algoritmos de cifrado complicados y rebuscados. Ejemplos: DES IDEA RSA DSA AES –
–
–
–
–
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA •
•
La criptografía moderna clasifica los diversos algoritmos según el tratamiento que se le quiera dar el mensaje a transmitir y según el tipo de clave. Según el tipo de clave: –
–
•
Simétricos (Clave privada o secreta) Asimétricos (Clave pública)
Según el tratamiento del mensaje –
–
Cifrado en bloque Cifrado en flujo
NOTA: Tanto los algoritmos simétricos como asimétricos pueden se cifrados en bloque.
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA
CRIPTOGRAFÍA MODERNA •
Algoritmo de Curva Elíptica Se escoge un número entero aleatorio k como clave privada, y puede asignarse el valor P = k *G se da a conocer como clave pública, donde G es un punto específico y publicado para utilizar con la curva. (Ejemplo: y 2 = x 3 + x + 6) Si el emisor y receptor tienen las claves privadas k A y k B, y las claves públicas P A y PB, entonces el emisor podría calcular k A*PB = (k A*k B)*G; y el receptor puede obtener el mismo valor dado que k B*P A = (k B*k A)*G. Esto permite establecer un valor "secreto" que el emisor y el receptor pueden calcular fácilmente, pero que es muy complicado de derivar para una tercera persona. Además, el receptor no consigue averiguar nada nuevo sobre k A durante ésta transacción, de forma que la clave del emisor sigue siendo privada.
CRIPTOGRAFÍA MODERNA •
El control de integridad –
•
En la criptografía de clave pública se hace también un control de la integridad, es decir, asegurarnos de que el mensaje recibido fue el enviado por la otra parte y no uno manipulado, para ello se usan funciones de dispersión unidireccional (o hash).
El no repudio –
El no repudio consiste en que el receptor puede saber a ciencia cierta de quien es el mensaje y esto lo podemos conseguir mediante la firma digital, al ser esta única, como si fuera una firma normal en un papel, tenemos como un acuse o un recibo, que demuestra quién ha enviado el mensaje.
CRIPTOGRAFÍA MODERNA •
Firma digital Es un esquema matemático que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrónico. Una firma digital da al destinatario seguridad en que el mensaje fue creado por el remitente, y que no fue alterado durante la transmisión. Las firmas digitales se utilizan comúnmente para la distribución de software, transacciones financieras y en otras áreas donde es importante detectar la falsificación y la manipulación.
CRIPTOGRAFÍA MODERNA •
Requisitos de la firma digital a. Debe ser fácil de generar. b. Será irrevocable, no rechazable por su propietario. c. Será única, sólo posible de generar por su propietario. d. Será fácil de autenticar o reconocer por su propietario y los usuarios receptores. e. Debe depender del mensaje y del autor
CRIPTOGRAFÍA MODERNA •
Ventajas de la firma digital –
–
La principal ventaja de la firma digital en comparación de la firma autógrafa, es que el procedimiento de verificación es exacto y que es imposible en la práctica su falsificación. Otra ventaja de la firma digital es su portabilidad, es decir, la firma digital puede ser realizada en diferentes puntos del mundo, de forma simultánea y sin necesidad de testigos.
CRIPTOGRAFÍA MODERNA •
Desventajas de la firma digital –
–
La más notable desventaja actual de la firma digital en contra de la firma autógrafa, es que la primera no es valida legalmente aun en muchos países. Parece ser que esto obedece a una transición natural de esta nueva tecnología, que por lo tanto existe un rechazo en su aceptación a pesar de los grandes beneficios que proporciona. Otra desventaja visible de la firma digital, es que su seguridad depende de la clave privada, es decir, que si la clave privada se compromete por alguna causa, entonces, se compromete la seguridad de la firma digital, esto quiere decir que puede ser usada por individuos y eventos no autorizados.
PROTOCOLOS DE SEGURIDAD •
•
•
Un protocolo de seguridad define las reglas que gobiernan las comunicaciones, diseñadas para que el sistema pueda soportar ataques de carácter malicioso. Protegerse contra todos los ataques posibles es generalmente muy costoso, por lo cual los protocolos son diseñados bajo ciertas premisas con respecto a los riesgos a los cuales el sistema está expuesto. La evaluación de un protocolo por lo tanto envuelve dos preguntas básicas: ¿Es el modelo de riesgo realista? ¿El protocolo puede controlar ese nivel de riesgo? Entre los protocolos más conocidos tenemos: SSL, SET, OPEN PGP y DSS
PROTOCOLO SSL •
SSL (Secure Socket Layer) –
–
–
Fue propuesto por Netscape Communications Corporation. El protocolo SSL es un sistema de seguridad desarrollado y utilizado actualmente por la mayoría de empresas que comercian a través de Internet. Es un sistema de seguridad ideado para acceder a un servidor garantizando la confidencialidad de los datos mediante técnicas de encriptación modernas. Proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP.
PROTOCOLO SSL •
SSL aporta las siguientes características: Confidencialidad –
•
–
Integridad •
–
Mediante el uso de la Encriptación se garantiza que los datos enviados y recibidos no podrán ser interpretados ninguna otra persona que no sea ni el emisor ni el receptor. Se garantiza que los datos recibidos son exactamente iguales a los datos enviados, pero no se impide que al receptor la posibilidad de modificar estos datos una vez recibidos.
Autentificación •
El vendedor se autentifica utilizando un Certificado Digital emitido por una empresa llamada Autoridad Certificadora, este documento es totalmente infalsificable y garantiza que el Vendedor es quien dice ser.
PROTOCOLO SSL •
Cómo trabaja? –
Cuando el cliente pide al servidor seguro una comunicación segura, el servidor abre un puerto cifrado, gestionado por un software llamado Protocolo SSL Record, situado encima de TCP. Será el software de alto nivel, Protocolo SSL Handshake, quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de forma segura con el cliente.
PROTOCOLO SSL HANDSHAKE Durante el protocolo SSL Handshake, el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes seis fases (de manera muy resumida): La fase Hola, usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticación. La fase de intercambio de claves, en la que intercambia información sobre las claves, de modo que al final ambas partes comparten una clave maestra. La fase de producción de clave de sesión , que será la usada para cifrar los datos intercambiados. La fase de verificación del servidor, presente sólo cuando se usa RSA como algoritmo de intercambio de claves, y sirve para que el cliente autentique al servidor. La fase de autenticación del cliente , en la que el servidor solicita al cliente un certificado X.509 (si es necesaria la autenticación de cliente). Por último, la fase de fin, que indica que ya se puede comenzar la sesión •
•
•
•
•
•
PROTOCOLO SSL RECORD El Protocolo SSL Record especifica la forma de encapsular los datos transmitidos y recibidos. La porción de datos del protocolo tiene tres componentes: –
–
–
MAC-DATA, el código de autenticación del mensaje. ACTUAL-DATA, los datos de aplicación a transmitir. PADDING-DATA, los datos requeridos para rellenar el mensaje cuando se usa cifrado en bloque.
APLICACIONES •
PGP –
–
–
–
Pretty Good Privacy (PGP) es el programa más popular de encriptación y de creación de llaves públicas y privadas para seguridad en aplicaciones informáticas. Escrito originalmente por Philip Zimmermann. PGP se ha convertido en el estándar de seguridad para las plataformas en que se ha lanzado. PGP es ideal para poder añadir seguridad a documentos, aplicaciones, correos electrónicos, etc., y enviarlos de forma mucho más segura a través de Internet. Gracias a su sistema de claves públicas y privadas, permite controlar que personas pueden leer la información.
APLICACIONES •
GNUPG –
–
–
–
–
GnuPG, al igual que PGP, es un programa para cifrar y firmar archivos, documentos o correos electrónicos. La principal diferencia con PGP es que es completamente libre y la licencia que lo acompaña es totalmente gratuita incluso para usos comerciales. Es muy importante tener en cuenta que todo el código fuente es accesible, por lo que la existencia de puertas traseras es prácticamente imposible (muy difícil) de que existan. GnuPG (o también GPG) fue desarrollado originalmente para Linux y ha sido transportado a Windows. Su instalación y manejo es algo más complicado que PGP.
