Protoco de negociacion SSL/TLS
También llamado protocolo de encajada de manos, tiene por finalidad autenticar el cliente y servidor. Hay 10 tipos de mensaje y depende de los campos y tipo de mensaje.
Finalizacion.
Verificacion de certificado
Intercambio de claves de cliente
Certificado cliente
Fi de saludo de servidor
Peticion de certificado
Certificado de servidor
Saludo de servidor
Saludo cliente
Peticion de saludo.
Para cada datagrama que llega a un nodo IPsec, se consulta una base de datos de politicas de seguridad donde se especifican criterios o acciones :
1. Aplicar servicios de seguridad IPsec al diagrama procesarlo segun AH o ESP.
2.Procesarlo como un datagrama IP normal es decir de forma transparente a IPsec.
3.Descartar el datagrama.
Codificacion de contraseñas en Unix, en esta se guardan las contraseñas de los usuarios codificadas con una funcion unidereccional, nadie ( ni siquiera el superusuario) puede sabercual es la contraseña de cada usuario aunque tenga acceso a la lista.
H = h(M)
Se resumen es segura si cumple las siguientes condiciones
Es resistente a colisiones es decir dado un mensaje M cualquiera es computacionalmente inviable encontrar M.
Unidereccional , es decir, si tenemos H = h(M) es computacionalmenteinviable encontrar M a partir del resumen H.
Si consideramos un texto flotante por bits la suma y resta son equivalentes, ambas son idénticas con el operador lógico XOR.
Aritmetica binaria:
0+0 = 0 , 0-0 = 0
0+1 = 1 , 0-1 = 1
1+1 = 0 , 1-1 = 0
Si M es el mensaje a proteger aplicamos un algoritmo cifrado F que lo transforma en otro mensaje C = ( C=f(M) )
Estudia desde un punto de vista matematico los metodos de la protecion de la informacion
Criptografia
Definicion y tipos de VPN
Una red privada virtuak (VPN) es una configuracion que combina el uso de dos tipos de tecnologias :
Dependiendo de la situacion de los nodos que se utilizan esta red podemos considerar tres tipos:
3. VPN extranet
2. VPN de acceso remoto.
1. VPN entre redes locacles o intranets
Tecnologia de encapazulado
La tecnologia de seguridad
Caracteristicas del protocolo SSL/TLS
El objetivo principal fue proteger las conexiones entre clientes y servidores web con el protocolo HTTP esto permite el cliente se conecte con el servidor autentico.
Autenticacion de mensaje , cada paquete enviado en una conexion SSL a mas de ir cifrada puede incorporar un codigo MAC para que el destinatario compruebe que nadie ha modificado el paquete.
Criterios :
1.Eficiencia
2.Extensibilidad
Autentificacion de entidad, protocolo reto-respuesta basado en firmas digitales el cliente puede confirmar la identidad del servidor al cual se ha conectado.
Modos de uso de los protocolos IPsec
Modo tunel, el datagrama original se encapsula entero con su cabecera y sus datos dentro de otro datagrama.
Modo de transporte , la cabecera AH se incluye despues de la cabecera IP como que fuera un protocolo de nivel alto.
Protección de nivel de red :IPsec
La proteccion a nivel de aplicacion puede responder mejor a la necesidades de ciertos protocolos. Por ejemplo los correos electronicos interesa proteger datos de aplicacion.
La proteccion a nivel de transporte , tiene la ventaja de que solo se precisa adaptar las implem,entaciones de protocolos (TCP, UDP, etc).
La proteccion a nivel de red , garantiza que los datos que se envian a los protocolos de nivel superior.
Sistemas de autentificacion, este servicio permite garantizar que nadie ha falsificado la comunicación.
Subtema
Existen Dos tipos de autentificacion
Autentificacion de entidad, permite confirmar la identidad de un participante A en una comunicacion.
Tecncias para la identificacion de un usuario "A" pueden estar basadas en :
Algo que "A" es , alguna propiedad inherente a "A" como caracteristicas biometricas.
Algo que "A" tiene como una tarjeta con bandas magnetica o chip.
Algo que "A" sabe como, por ejemplo una contraseña o clave privada.
Autentificacion de mensaje , permite confirmar que el originador A de un mensaje es autentico es decir que el mensaje no se ha genereado por un tercero.
Dos tipos de tecnicas.
1. Códigos de autenticacion o MAC basados en claves simétricas.
2. Firmas digitales que se basan en la ciptografia de clave publica.
2. Los codigos MAC dado que se basan en una clave secreta , solo tiene significado para quienes conozcan dicha clave.
1. Se obtiene con un algoritmo "a" que tiene dos entradas: un mensaje "M" de longitud arbitraria y una clave secreta "K" compartida por el originador y el destinatarios del mensaje.
Criptografia de la clave publica
Certificado de clave publica , consta de tres partes básicas.
La firma de las dos partes anteriores
El valor de la clave publica de este usario
Una identificación de usuario.
Una firma digital , es básicamente un mensaje con la clave privada del firmante, pero no se cifra el mensaje si no se resumen calculando con una funcion hash.
Los mecanismos de intercambio de claves permiten que dos partes se pongan de acuerdo en las claves simetricas que utilizarían para comunicarse.
Por ejmplo A escoge la clave simetrica k con la clave publica de B y enviar el resultado B , luego B descifrara con su clave privada el valor recibidoy sabra cual es la clave k que ha escogido A.
Criptografia de clave publica, se puede obtener fácilmente a partir de la otra, la clave privada, pero por el contrario es computacionalmente de muy difícil obtención la clave privada a partir de la clave publica.
Dos propiedades deseables en un algoritmo criptografico con la confusion, consiste en esconder la relacion entre la clave y las propiedades estadisticas del texto cifrado y la disfusion propaga la redundancia del texto en laro a lo largo del texto cifrado para que no sea reconocible
Algoritmo de cifrado de flujo , consiste en la combinacion de un texto en claro M con un texto cifrado S que se obtiene a partir de la clave simetrica K.
Algoritmo de cifrado de bloque , el algoritmo de cifrado o descifrado se aplica separadamente a bloques de entrada de longitud fija ( ambas del mismo tamaño ).
Muchos algoritmos de cifrado de bloque utilizan la combinación de dos operaciones sustitucion y transportacion.
Transposicion consiste en re ordenar la informaron del texto en claro según un patrón determinado.
Sustitucion , consiste en traducir cada grupo de bits de la entrada a otro de acuerdo con una permutacion determinada.
Criptologia , conjunto de las dos disciplinas, criptografia y criptoanalisis.
Proteccion del nivel de transporte : SSL/TLS/WTLS
Protocolo de registros SSL/TLS
Se empaqueta en registros y cada campo es el siguiente :
El quinto campo es el codigo de autentificacion (MAC)
El cuarto campo son los datos.
El tercer campo indica la longitud del resto del registro.
El segundo campo son dos bytes que indican la version de protocolo.
El primer campo indica cual es el tipo de contenido.
El transporte seguro SSL/TLS
Dividido en sub capas :
Subacapa inferior, estos mensajes son estructurados en registros a los cuales se les aplica la autentificacion y cifrado
Subcapa superior se encarga basicamente de negociar los parametros de seguridad y transferir los datos de la aplicacion.
Un metodo alternativo que no necesita modificiaciones en los equipos de inerconexiones es introducir la seguridad en los protocolos de transporte.
La arquitectura IPsec , añade servicios de seguridad al protocolo IP que pueden ser utilizados por protocolos de niveles superior
Se basa en uso de serie de protocolos seguros los cuales hay dos que proporcionan la mayor parte de servicios
Protocolo ESP , puede ofrecer el servicio de confidencialidad, el de autenticacion de origen de los datos de los datagramas IP.
Procolo AH , ofrece el servicio de autentificacion de origen de los datagramas IP
Protocolo de reto-respuesta con clave publica , Existen dos formas de utilizar esta tecnica de protocolo.
El reto se envia en claro y la respuesta es la firma del reto.
El reto se manda cifrado con clave publica y la respuesta es e reto descifrarla con la correspondiente vcave privada.
Contraseñas, La idea basica en contraseñas es que el usuareio "A" manda su idenidad seguida de una contraseña y el verificador "B" comprueba las credenciales.
Contraseñas de un solo uso , solo son validas una vez osea que la siguiente vez es preciso utilizar otra contraseña.
Contraseñas basadas en unidireccional
Lista de contraseñas compartida "A" Y "B" se ponen de acuerdo de la lista de contraseñas y no por medio de una canañ.
Tecnicas para dificultar los ataques de diccionario
Uso de passphrases
Añadir bits de sal a la codificación de las contraseñas
Añadir complejidad a la codificación de las contraseñas.
Ocultar la lista de contraseñas codificadas
Listas de contraseñas codificadas, un metodo mas seguro es que cada contraseña guardada esta codificada con alguna transformacion C de manera que no se sabe su valor real.
Lista de contraseñas en claro es la manera mas sumple de comprobar las credenciales el verificador tiene una lista la comprueba directamente .
Protocolo de retro-respuesta , "A" haciendo uso de una clave secreta calcula una respuesta a partir de este reto y lo envia al verificador "B"
Claves simetricas , se basa en una clave "Kab" compartida por "A" y "B" existen formas de obtener esta clave.
2. Autentificacion con numero aleatoreos
1. Autentificacion con marca de tiempo
Se puede verificar y generar retos de diversas maneras
Cronologicamente
Aleatoreamente
Secuenciamente
Cadenas de certificados y jerarquías de certificado no soluciona el problema de la autenticidad de la clave publica si esta firmada por un CA en a cual confiamos.
Funciones de hash seguras, podemos decir que esta funcion nos permite obtener cadena de bits de longitud fija , relativamente corta, a partir de un mensaje de longitud arbitraria.
Cifrado sincrono y asincrono , Si el texto S depende de la clave "K" se dice que el sifrado es sincrono.
Un texto "S" se calcula a partir de la clave "K" y el mismo texto cifrado "C" se le llama asincrono.
Criptografia de clave simetrica , la clave de descifrado x es identica a la clave de cifrado k.
Criptoanalisis , Estudia las posibles tecnicas utilizadas para contrarrestar métodos criptograficos y ayudan a que sean mas robustos y dificiles de atacar
