Criptografia
Criptoanalisis , Estudia las posibles tecnicas utilizadas para contrarrestar métodos criptograficos y ayudan a que sean mas robustos y dificiles de atacar
Criptografia de clave simetrica , la clave de descifrado x es identica a la clave de cifrado k.
Cifrado sincrono y asincrono , Si el texto S depende de la clave "K" se dice que el sifrado es sincrono.
Un texto "S" se calcula a partir de la clave "K" y el mismo texto cifrado "C" se le llama asincrono.
Funciones de hash seguras, podemos decir que esta funcion nos permite obtener cadena de bits de longitud fija , relativamente corta, a partir de un mensaje de longitud arbitraria.
Cadenas de certificados y jerarquías de certificado no soluciona el problema de la autenticidad de la clave publica si esta firmada por un CA en a cual confiamos.
Protocolo de retro-respuesta , "A" haciendo uso de una clave secreta calcula una respuesta a partir de este reto y lo envia al verificador "B"
Se puede verificar y generar retos de diversas maneras
Secuenciamente
Aleatoreamente
Cronologicamente
Claves simetricas , se basa en una clave "Kab" compartida por "A" y "B" existen formas de obtener esta clave.
1. Autentificacion con marca de tiempo
2. Autentificacion con numero aleatoreos
Contraseñas, La idea basica en contraseñas es que el usuareio "A" manda su idenidad seguida de una contraseña y el verificador "B" comprueba las credenciales.
Lista de contraseñas en claro es la manera mas sumple de comprobar las credenciales el verificador tiene una lista la comprueba directamente .
Listas de contraseñas codificadas, un metodo mas seguro es que cada contraseña guardada esta codificada con alguna transformacion C de manera que no se sabe su valor real.
Tecnicas para dificultar los ataques de diccionario
Ocultar la lista de contraseñas codificadas
Añadir complejidad a la codificación de las contraseñas.
Añadir bits de sal a la codificación de las contraseñas
Uso de passphrases
Contraseñas de un solo uso , solo son validas una vez osea que la siguiente vez es preciso utilizar otra contraseña.
Lista de contraseñas compartida "A" Y "B" se ponen de acuerdo de la lista de contraseñas y no por medio de una canañ.
Contraseñas basadas en unidireccional
Protocolo de reto-respuesta con clave publica , Existen dos formas de utilizar esta tecnica de protocolo.
El reto se manda cifrado con clave publica y la respuesta es e reto descifrarla con la correspondiente vcave privada.
El reto se envia en claro y la respuesta es la firma del reto.
La arquitectura IPsec , añade servicios de seguridad al protocolo IP que pueden ser utilizados por protocolos de niveles superior
Se basa en uso de serie de protocolos seguros los cuales hay dos que proporcionan la mayor parte de servicios
Procolo AH , ofrece el servicio de autentificacion de origen de los datagramas IP
Protocolo ESP , puede ofrecer el servicio de confidencialidad, el de autenticacion de origen de los datos de los datagramas IP.
Proteccion del nivel de transporte : SSL/TLS/WTLS
Un metodo alternativo que no necesita modificiaciones en los equipos de inerconexiones es introducir la seguridad en los protocolos de transporte.
El transporte seguro SSL/TLS
Dividido en sub capas :
Subcapa superior se encarga basicamente de negociar los parametros de seguridad y transferir los datos de la aplicacion.
Subacapa inferior, estos mensajes son estructurados en registros a los cuales se les aplica la autentificacion y cifrado
Protocolo de registros SSL/TLS
Se empaqueta en registros y cada campo es el siguiente :
El primer campo indica cual es el tipo de contenido.
El segundo campo son dos bytes que indican la version de protocolo.
El tercer campo indica la longitud del resto del registro.
El cuarto campo son los datos.
El quinto campo es el codigo de autentificacion (MAC)
Criptologia , conjunto de las dos disciplinas, criptografia y criptoanalisis.
Algoritmo de cifrado de flujo , consiste en la combinacion de un texto en claro M con un texto cifrado S que se obtiene a partir de la clave simetrica K.
Algoritmo de cifrado de bloque , el algoritmo de cifrado o descifrado se aplica separadamente a bloques de entrada de longitud fija ( ambas del mismo tamaño ).
Muchos algoritmos de cifrado de bloque utilizan la combinación de dos operaciones sustitucion y transportacion.
Sustitucion , consiste en traducir cada grupo de bits de la entrada a otro de acuerdo con una permutacion determinada.
Transposicion consiste en re ordenar la informaron del texto en claro según un patrón determinado.
Dos propiedades deseables en un algoritmo criptografico con la confusion, consiste en esconder la relacion entre la clave y las propiedades estadisticas del texto cifrado y la disfusion propaga la redundancia del texto en laro a lo largo del texto cifrado para que no sea reconocible
Criptografia de la clave publica
Criptografia de clave publica, se puede obtener fácilmente a partir de la otra, la clave privada, pero por el contrario es computacionalmente de muy difícil obtención la clave privada a partir de la clave publica.
Los mecanismos de intercambio de claves permiten que dos partes se pongan de acuerdo en las claves simetricas que utilizarían para comunicarse.
Por ejmplo A escoge la clave simetrica k con la clave publica de B y enviar el resultado B , luego B descifrara con su clave privada el valor recibidoy sabra cual es la clave k que ha escogido A.
Una firma digital , es básicamente un mensaje con la clave privada del firmante, pero no se cifra el mensaje si no se resumen calculando con una funcion hash.
Certificado de clave publica , consta de tres partes básicas.
Una identificación de usuario.
El valor de la clave publica de este usario
La firma de las dos partes anteriores
Sistemas de autentificacion, este servicio permite garantizar que nadie ha falsificado la comunicación.
Existen Dos tipos de autentificacion
Autentificacion de mensaje , permite confirmar que el originador A de un mensaje es autentico es decir que el mensaje no se ha genereado por un tercero.
Dos tipos de tecnicas.
1. Códigos de autenticacion o MAC basados en claves simétricas.
2. Firmas digitales que se basan en la ciptografia de clave publica.
1. Se obtiene con un algoritmo "a" que tiene dos entradas: un mensaje "M" de longitud arbitraria y una clave secreta "K" compartida por el originador y el destinatarios del mensaje.
2. Los codigos MAC dado que se basan en una clave secreta , solo tiene significado para quienes conozcan dicha clave.
Autentificacion de entidad, permite confirmar la identidad de un participante A en una comunicacion.
Tecncias para la identificacion de un usuario "A" pueden estar basadas en :
Algo que "A" sabe como, por ejemplo una contraseña o clave privada.
Algo que "A" tiene como una tarjeta con bandas magnetica o chip.
Algo que "A" es , alguna propiedad inherente a "A" como caracteristicas biometricas.
Subtema
Protección de nivel de red :IPsec
La proteccion a nivel de red , garantiza que los datos que se envian a los protocolos de nivel superior.
La proteccion a nivel de transporte , tiene la ventaja de que solo se precisa adaptar las implem,entaciones de protocolos (TCP, UDP, etc).
La proteccion a nivel de aplicacion puede responder mejor a la necesidades de ciertos protocolos. Por ejemplo los correos electronicos interesa proteger datos de aplicacion.
Modos de uso de los protocolos IPsec
Modo de transporte , la cabecera AH se incluye despues de la cabecera IP como que fuera un protocolo de nivel alto.
Modo tunel, el datagrama original se encapsula entero con su cabecera y sus datos dentro de otro datagrama.
Caracteristicas del protocolo SSL/TLS
El objetivo principal fue proteger las conexiones entre clientes y servidores web con el protocolo HTTP esto permite el cliente se conecte con el servidor autentico.
Autentificacion de entidad, protocolo reto-respuesta basado en firmas digitales el cliente puede confirmar la identidad del servidor al cual se ha conectado.
Autenticacion de mensaje , cada paquete enviado en una conexion SSL a mas de ir cifrada puede incorporar un codigo MAC para que el destinatario compruebe que nadie ha modificado el paquete.
Criterios :
1.Eficiencia
2.Extensibilidad
Definicion y tipos de VPN
Una red privada virtuak (VPN) es una configuracion que combina el uso de dos tipos de tecnologias :
La tecnologia de seguridad
Tecnologia de encapazulado
Dependiendo de la situacion de los nodos que se utilizan esta red podemos considerar tres tipos:
1. VPN entre redes locacles o intranets
2. VPN de acceso remoto.
3. VPN extranet
Estudia desde un punto de vista matematico los metodos de la protecion de la informacion
Si M es el mensaje a proteger aplicamos un algoritmo cifrado F que lo transforma en otro mensaje C = ( C=f(M) )
Si consideramos un texto flotante por bits la suma y resta son equivalentes, ambas son idénticas con el operador lógico XOR.
Aritmetica binaria:
0+0 = 0 , 0-0 = 0
0+1 = 1 , 0-1 = 1
1+1 = 0 , 1-1 = 0
H = h(M)
Se resumen es segura si cumple las siguientes condiciones
Unidereccional , es decir, si tenemos H = h(M) es computacionalmenteinviable encontrar M a partir del resumen H.
Es resistente a colisiones es decir dado un mensaje M cualquiera es computacionalmente inviable encontrar M.
Codificacion de contraseñas en Unix, en esta se guardan las contraseñas de los usuarios codificadas con una funcion unidereccional, nadie ( ni siquiera el superusuario) puede sabercual es la contraseña de cada usuario aunque tenga acceso a la lista.
Para cada datagrama que llega a un nodo IPsec, se consulta una base de datos de politicas de seguridad donde se especifican criterios o acciones :
1. Aplicar servicios de seguridad IPsec al diagrama procesarlo segun AH o ESP.
2.Procesarlo como un datagrama IP normal es decir de forma transparente a IPsec.
3.Descartar el datagrama.
Protoco de negociacion SSL/TLS
También llamado protocolo de encajada de manos, tiene por finalidad autenticar el cliente y servidor. Hay 10 tipos de mensaje y depende de los campos y tipo de mensaje.
Peticion de saludo.
Saludo cliente
Saludo de servidor
Certificado de servidor
Peticion de certificado
Fi de saludo de servidor
Certificado cliente
Intercambio de claves de cliente
Verificacion de certificado
Finalizacion.