ENCRIPTACIN

SEGURIDAD DE REDES CIERCOM 2013

CRIPTOLOGA
Criptografa (Kripto=oculto, graphos=escritura) Es la ciencia que estudia las tcnicas empleadas para transformar (encriptar o cifrar) la informacin y hacerla irreconocible a todos aquellos usuarios no autorizados de un sistema informtico de modo que solo los legtimos propietarios pueden recuperar (desencriptar o descifrar) la informacin original. Mecanismo para garantizar la confidencialidad, la integridad y la autenticidad de los mensajes y documentos.

CRIPTOLOGA
Criptoanlisis
Es la ciencia que se estudia las herramientas y tcnicas que permitan conocer los cdigos y sistemas de proteccin definidos por la criptografa. Criptologa
Criptologa

Criptografa

Criptoanlisis

CRIPTOLOGA
Componentes de un sistema de cifrado

Mensaje en claro

Algoritmo de encriptacin
Clave

Mensaje cifrado

CARACTERSTICAS DE LOS ALGORITMOS DE ENCRIPTACIN

El algoritmo de cifrado determina el nivel de seguridad. La robustez de un sistema depende de la clave utilizada. La clave acta como modificador del algoritmo, de esta manera el algoritmo puede ser reutilizado. Es diferente la clave de la contrasea.

TIPOS DE ALGORITMOS DE ENCRIPTACIN

Criptografa clsica
Por Sustitucin Por Transposicin

Algoritmos simtricos Algoritmos asimtricos

CRIPTOGRAFA CLSICA
Sistemas de cifrado anteriores a la II Guerra Mundial, o lo que es lo mismo, al nacimiento de los ordenadores. Se basa en algoritmos sencillos y claves muy largas para la seguridad. Perdieron su eficacia, debido a que son fcilmente criptoanalizables por los ordenadores. Todos los algoritmos criptogrficos clsicos son simtricos .

CRIPTOGRAFA CLSICA
SUSTITUCIN : Sustitucin de cada letra por otra letra pero conservando el orden de los smbolos de texto normal.
- algoritmo de Csar, - mtodos de cifrado monoalfabticos - polialfabticos

TRANSPOSICIN: Las unidades de texto plano se cambian de posicin siguiendo un esquema bien definido; las 'unidades de texto' pueden ser de una sola letra, pares de letras, tros de letras, mezclas de lo anterior. Es decir, hay una permutacin de 'unidades de texto'.

ALGORITMO DEL CSAR

El Cifrado Csar, usada por romanos. Consiste en una simple sustitucin de cada letra del mensaje por otra distanciada tres posiciones del alfabeto latino.

ALGORITMO DE CSAR
Debe su nombre a que era usado por Julio Csar para enviar mensajes secretos. Este algoritmo no posee clave, puesto que la transformacin siempre es la misma. Para descifrar basta con restar 3 al nmero de orden de las letras del criptograma. Ejemplo: el mensaje ATAQUE se convertira en DWDTXH

CRIPTOGRAFA POR SUSTITUCIN

SUSTITUCIN MONOALFABTICA: Cada smbolo se reemplaza solo por otro smbolo.

SUSTITUCIN POLIALFABTICA: Diversos caracteres del texto cifrado representan a un mismo carcter del texto original.

MTODOS DE CIFRADO MONOALFABTICOS

Sustituyen cada letra por otra que ocupa la misma posicin en un alfabeto desordenado y esta correspondencia se mantiene a lo largo de todo el mensaje. As se consiguen tantas claves como posibilidades de alfabetos hay. El problema est en cmo recordar la clave (el alfabeto desordenado).

MTODOS DE CIFRADO MONOALFABTICOS

ROT13, a cada letra se asigna a un nmero y se le suma 13, despus se reemplaza el nmero por otra letra. Si es mayor de 26 se le resta 26 y se convierte. HELLO 8,5,12,12,15 + 13 = 21,18,25,25,28-26 =URYYB

MTODOS DE CIFRADO MONOALFABTICOS

1. Se busca una palabra (clave) fcil de recordar y se le quitan las letras duplicadas. SEGURIDAD SEGURIDA

2. Se aaden al final de la palabra las restantes letras del alfabeto (sin duplicar letras). SEGURIDABCFH..................XYZ

MTODOS DE CIFRADO MONOALFABTICOS

3. Se ordenan en una matriz cuya primera fila es la palabra clave SEGUR I DA BCFH JK LM NOPQTVWX YZ 4. El nuevo alfabeto se lee por columnas: SBNYECOZGFPUHQRJTIKVDLWAMX Ejemplo: el mensaje ATAQUE se convertira en SVSTDE

El sistema de criptoanlisis mejor para romper el algoritmo es el estadstico.

MTODOS DE CIFRADO POLIALFABTICOS

Corresponde a la aplicacin cclica de n cifrados monoalfabticos, (de varios abecedarios desordenados).

Un ejemplo tpico es el Cifrado de Vignere:

- Dada una tabla con un alfabeto por cada letra del abecedario

MTODOS DE CIFRADO POLIALFABTICOS

- Mtodo: Se busca una palabra clave fcil de recordar. Se escribe la palabra debajo del texto en claro, repitindose tantas veces como sea necesario.

Cada letra del texto en claro se codifica con el alfabeto de la tabla marcado por la letra inferior, o sea, la letra de la clave que corresponde.

MTODOS DE CIFRADO POLIALFABTICOS

Ejemplo: CLAVE: ADIOS Texto en claro : E S T O E S C R I P T O L O G I A Clave: ADIO SA DIOSADIOSAD Criptograma EVBD WS FZWHTRTCYID

CIFRADOS POR TRANSPOSICIN

Se basa en la reordenacin de las letras de un texto de acuerdo a una palabra clave escogida que no contiene letras repetidas.

Mtodo: - Con la clave se numera las columnas, estando la columna 1 bajo la letra de la clave ms cercana al inicio del alfabeto, y as sucesivamente. - El texto normal se escribe horizontalmente en filas. - El texto cifrado se lee por columnas, comenzando por la columna cuya letra clave es ms baja.

CIFRADOS POR TRANSPOSICIN

Se puede criptoanalizar efectuando un estudio estadstico sobre la frecuencia de aparicin de pares y tripletas de smbolos

CIFRADOS POR TRANSPOSICIN

Ejemplo:
- Texto normal: Este es un trabajo para la asignatura de Redes" - Clave: Video - Texto cifrado: T ROAAA E EUA STDD SSTJR NAR NBPLIUEE EE AAAGR S
V 5 E I 3 s D 1 t E 2 e O 4

s
t r o a a n a a

u
a

n
b p l

a a a g r

j r

s t d

i u e

R
s

ALGORITMOS DE ENCRIPTACIN SIMTRICOS Y ASIMTRICOS

FINALIDAD DE LA CRIPTOGRAFA
Un buen sistema criptogrfico ser aquel que ofrezca un descifrado imposible pero un encriptado sencillo.
La finalidad es doble:

Mantener la confidencialidad del mensaje. Garantizar la autenticidad tanto del mensaje como del par remitente/destinatario..

CIFRADO
DEFINICIN
Es el mecanismo para proporcionar confidencialidad a travs de funciones matemticas aplicadas al mensaje transmitido.

TIPOS
Simtricos o de Llave Privada (DES).

Asimtricos o de Llave Pblica (RSA).

Hbrido (SSL).

VENTAJAS DEL CIFRADO

Protege la informacin almacenada en la computadora contra accesos no autorizados. Protege la informacin mientras transita de un sistema a otro. Puede detectar y evitar alteraciones accidentales o intencionales a los datos.

Puede verificar si el autor de un documento es realmente quien se cree que es.

DESVENTAJAS DEL CIFRADO

No puede prevenir que un agresor borre intencionalmente todos los datos.

No es posible saber si est siendo descifrado. Acceder al archivo antes de que sea cifrado o despus de descifrar

ELEMENTOS COMUNES DEL CIFRADO

Texto en claro (informacin a cifrar) Algoritmo cifrador (cifra y descifra datos) Claves de cifrado

Longitud de clave (claves largas)

Texto cifrado (informacin despus de cifrar)

ELEMENTOS COMUNES DEL CIFRADO

ALGORITMOS DE CLAVE SIMTRICA

Tambin se le denomina critografa privada (LLAVE PRIVADA) Se caracteriza por usar la misma clave para encriptar y desencriptar.

Toda la seguridad est basada en la privacidad de esta clave

METODOS DE OPERACIN BSICA

CIFRADO DE BLOQUES CIFRADO DE FLUJO

CIFRADO DE BLOQUES
La informacin a cifrar se divide en bloques de longitud fija (8,16, ... bytes), luego se aplica el algoritmo de cifrado a cada bloque utilizando una clave secreta. Existen distintos modos de operacin dependiendo de como se mezcla la clave con la informacin a cifrar:
MODO ECB MODO CBC MODO CFB

CIFRADO DE BLOQUES
Qu ocurre cuando la longitud del mensaje no es un mltiplo exacto del tamao de bloque?
Se ha de aadir informacin al final para que s lo sea. Mecanismo:
Rellenar con 0s el bloque que se codifica hasta completar. Problema: cundo se descifra por donde hay que cortar?.
Aadir como ltimo byte del ltimo bloque el nmero de bytes que se han aadido.

MODO ECB
Modo ECB (Electronic Code Book): El texto se divide en bloques y cada bloque es cifrado en forma independiente utilizando la clave. Es el mtodo ms sencillo de aplicar

Subdivide la cadena a codificar en bloques del tamao fijo y se cifran todos ellos empleando la misma clave.

MODO ECB

Ventajas:

Desventajas:

Permite codificar bloques independientemente de su orden. Es resistente a errores.

Si el mensaje presenta patrones que se repiten, el texto cifrado tambin los presentar. Puede sufrir una sustitucin de bloques

MODO CBC (CIPHER BOOK CHAINING)

Es un mecanismo de retroalimentacin de bloques mediante una codificacin XOR entre el mensaje a codificar y el criptograma cifrado anterior. No comienza a codificar hasta que no tenga un bloque entero

Ventajas:

Desventajas:

Nos protege respecto a la sustitucin de bloques. Es resistente a errores.

Si dos textos tienen el mismo patrn obtendrn el mismo resultado usar Vector de Inicio

Modo CFB (Cipher Feedback Mode)

Permite codificar la informacin en unidades inferiores al tamao del bloque Realiza una XOR entre caracteres o bits aislados del texto y las salidas del algoritmo.

Ventajas:
- Permite aprovechar totalmente la capacidad de transmisin del canal de comunicaciones con mayor seguridad.

MODO OFB (OUTPUT FEEDBACK MODE)

Como el CFB, realiza una XOR entre caracteres o bits aislados del texto y las salidas del algoritmo. Pero utiliza como entradas sus propias salidas, por lo tanto no depende del texto.

Ventajas:

Ya no depende del texto

CIFRADO DE FLUJO
Para algunas aplicaciones, como el cifrado de conversaciones telefnicas, el cifrado en bloques es inapropiada porque los datos se producen en tiempo real en pequeos fragmentos. Las muestras de datos pueden ser tan pequeas como 8 bits o incluso de 1 bit. El algoritmo genera una secuencia pseudoaleatoria de bits que se emplea como clave. Ejemplo : RC4

VENTAJAS DE LOS ALGORITMOS SIMTRICOS

Gran velocidad de cifrado y descifrado. No aumenta el tamao del mensaje Tecnologa muy conocida y difundida.

DESVENTAJAS
La seguridad depende de un secreto compartido entre el emisor y el receptor. La administracin de las claves no es "escalable". La distribucin de claves debe hacerse a travs de algn medio seguro.

ALGORITMO DES
(Data Encryption Standar) Estndar de cifrado de datos, algoritmo desarrollado originalmente por IBM.
Es el algoritmo simtrico ms extendido mundialmente. Codifica bloques de 64 bits empleando claves de 56 bits. Consta de 16 rondas, ms dos permutaciones, una que se aplica al principio (Pi) y otra al final (Pf ), tales que la ltima es la inversa de la primera.

ALGORITMO DES
Para descifrar basta con usar el mismo algoritmo empleando el orden inverso.

Ventajas del algoritmo: Es muy rpido y fcil de implementar.

Desventajas: Emplea una clave demasiado corta, lo cual hace que con el avance actual de los ordenadores, los ataques por la fuerza bruta se puedan llevar a cabo.

VARIANTES DEL DES

Se han propuesto variantes de este algoritmo para as aprovechar gran parte de las implementaciones por hardware existentes de DES. DES Mltiple:
Aplicar varias veces el algoritmo DES con diferentes claves al mensaje original. El ms comn de todos ellos es el Triple-DES: Codifica con la subclave k1, decodificar con k2 y volver a codificar con k1. La clave resultante es la concatenacin de k1 y k2, con una longitud de 112 bits.

IDEA (INTERNATIONAL DATA ENCRYPTION ALGORITHM)

Codifica bloques de 64 bits empleando una clave de 128 bits.

Como en el caso de DES, se usa el mismo algoritmo tanto para cifrar como para descifrar.
Es un algoritmo bastante seguro, y hasta ahora se ha mostrado resistente a los ataques. Su longitud de clave hace imposible en la prctica un ataque por la fuerza bruta como se poda hacer en el DES.

IDEA (INTERNATIONAL DATA ENCRYPTION ALGORITHM)

Consta de ocho rondas Divide el bloque X a codificar, de 64 bits, en cuatro partes X1, X2, X3 y X4 de 16 bits.

Se denomina Zi a cada una de las 52 subclaves de 16 bits que vamos a necesitar.

Las operaciones que se llevar a cabo en cada ronda, se pueden apreciar:

X1

X2

X3

X4

X1

X2

X3

X4

ALGORITMO DE RIJNDAEL (AES)

Advanced Encryption Standard (AES), tambin conocido como Rijndael (Joan Daemen y Vincent Rijmen). Es un esquema de cifrado por bloques adoptado como un estndar de cifrado por el gobierno de los Estados Unidos. El AES fue anunciado por el Instituto Nacional de Estndares y Tecnologa (NIST) el 26 de noviembre de 2001 despus de un proceso de estandarizacin que dur 5 aos.

ALGORITMO DE RIJNDAEL (AES)

Se transform en un estndar efectivo el 26 de mayo de 2002. Desde 2006, el AES es uno de los algoritmos ms populares usados en criptografa simtrica. Cumpla con las condiciones:
Algoritmo de cifrado simtrico y soportar bloques de, como mnimo, 128 bits. Las claves de cifrado podran ser de 128, 192 y 256 bits. Ser implementable tanto en hardware como en software.

VENTAJAS DE AES
AES es rpido tanto en software como en hardware. Relativamente fcil de implementar, y requiere poca memoria. Como nuevo estndar de cifrado, se est utilizando actualmente a gran escala.

SEGURIDAD AES
Los investigadores ponen un ejemplo para comprender por qu su hallazgo no tiene implicaciones prcticas en la seguridad de los datos: Con este defecto, un billn de ordenadores que pudieran cada uno probar mil millones de claves por segundo, tardaran ms de 2.000 millones de aos en dar con una del sistema AES-128, y hay que tener en cuenta que las mquinas actuales slo pueden probar 10 millones de claves por segundo.

ALGORITMOS ASIMTRICOS

ALGORITMOS DE CLAVE ASIMTRICA

Se caracteriza por usar una clave para encriptar y otra para desencriptar. Una clave no se derivar de la otra.
Emplean longitudes de clave mucho mayores que los simtricos. La complejidad de clculo los hace ms lentos que los algoritmos de cifrado simtricos. Los mtodos asimtricos se emplean para intercambiar la clave de sesin mientras que los simtricos para el intercambio de informacin dentro de una sesin.

MODOS DE CIFRADO
ENCRIPCIN: el mensaje es encriptado usando la clave pblica del receptor, el mensaje encriptado es enviado al destinatario, el mensaje recibido se desencripta usando la clave privada del receptor, garantizando as la confidencialidad del mensaje.

AUTENTICACIN: el mensaje es encriptado usando la clave privada del emisor, el mensaje encriptado se enva a uno o ms receptores, el mensaje se desencripta usando la clave pblica del emisor. Esto garantiza la autenticidad del emisor y la integridad del mensaje.

VENTAJAS/DESVENTAJAS
Este sistema de cifrado tiene las siguientes ventajas:
No se intercambian claves. Es una tecnologa muy difundida. Sus modos cubren los requisitos de seguridad de la informacin.

Pero presentan las siguientes desventajas:

Requiere potencia de cmputo. El tamao del mensaje cifrado es mayor al del original.

APLICACIONES
Cifrado de la informacin sin tener que transmitir la clave de decodificacin, lo cual permite su uso en canales inseguros.

La clave que se hace pblica es aquella que permite codificar los mensajes, mientras que la clave privada es aquella que permite descifrarlos.

Autentificacin de mensajes que nos permiten obtener una firma digital a partir de un mensaje. Dicha firma es mucho ms pequea que el mensaje original, y es muy difcil encontrar otro mensaje de lugar a la misma.

ALGORITMOS ASIMETRICOS
Todos los usuarios tienen una llave pblica y una privada. Si alguien enva un mensaje, lo cifra con tu llave pblica y slo se descifra con la clave secreta. La seguridad depende de la confidencialidad de la llave secreta. Se basan en funciones matemticas complejas como los logaritmos discretos y curvas elpticas
56

ALGORITMOS ASIMETRICOS
Esquema de cifrado.
Digamos que existen un par de llaves que pertenecen al usuario A: PK A : Llave pblica de A SK A : Llave secreta de A

Entonces: B -> A: PK A {mensaje} : Mensaje Cifrado A : SK A {PKA {mensaje} } : Descifrado

El mensaje solamente lo puede entender el usuario A

57

ALGORITMOS ASIMETRICOS
EL GAMAL

Basado en aritmtica exponencial y modular, puede usarse para cifrado y firmas digitales.

DSA

Algoritmo de firmas digitales, puede ser de cualquier longitud, solamente se permiten claves entre 512 y 1024 bits bajo FIPS
58

SISTEMAS DE CLAVE PBLICA

Pohlig-Hellman

Sistema para el intercambio de claves criptogrficas entre partes activas. La clave puede ser de cualquier longitud, dependiendo de la implementacin de que se trate.

RSA Data Security Inc.

Puede usarse tanto para cifrar informacin como para ser la base de un sistema digital de firmas.

Diffie-Hellman
Valores numricos de hasta 512 bits.
59

RSA

FUNCIONAMIENTO RSA

SISTEMAS DE SEGURIDAD COMPLETOS

PGP Pretty Good Privacy (Phil Zimmerman) opera en la capa de aplicacin
Encriptacin y autenticacin para correo electrnico Usa una llave pblica certificada por alguien PGP puede utilizar diferentes algoritmos de encriptacin

62

SISTEMAS DE SEGURIDAD COMPLETOS

El protocolo IPSEC opera a nivel de capa de red Seguridad de nivel capa de transporte HTTPS
Usa un puerto seguro de TCP (443)

Otros protocolos de capa de transporte son SSL y TLS, proporcionan privacidad, integridad y autenticacin

63

PROTOCOLO DE CAPA DE RED

SSL Secure Socket Layer (Netscape)
Cifra los datos con clave privada RC4 o IDEA y la clave de sesin de RC4 o IDEA mediante RSA de clave pblica

La clave de sesin es la que se utiliza para cifrar los datos que vienen o van al servidor seguro, se genera una clave distinta por transaccin
Adems proporciona autenticacin de servidores, integridad de mensajes y de conexiones TCP/IP

64

PROTOCOLO DE CAPA DE RED

SSL Secure Socket Layer (Netscape)
Cuando el cliente pide una comunicacin segura, el servidor abre un puerto cifrado gestionado por SSL: Fase Hola acuerdo sobre los algoritmos a usar Fase Intercambio de claves, generando la maestra Fase de produccin de clave de sesin para cifrar Fase de verificacin del servidor al usar RSA Fase de autenticacin del cliente Fase de fin para iniciar el intercambio de inf.

65

PROTOCOLO DE CAPA DE RED

SSL Secure Socket Layer (Netscape)
Se sabe que el servidor es seguro si en Netscape aparece una llave o un candado si se usa Explorer http aparece ahora como httpa

Slo protege transacciones entre dos puntos: servidor Web y navegador del cliente o emisor de tarjeta No protege al comprador del uso fraudulento de su tarjeta de crdito Los vendores corren el riesgo de que les sea proporcionado un nmero de tarjeta no autorizada

66

PROTOCOLO SECURE ELECRONIC TRANSACTION (SET)

Producto de la alianza IBM, Microsoft, Netscape, Visa y Mastercard
No es adecuado para micropagos (< US$10) Garantiza la autenticacin de todas las partes: cliente, vendedor, bancos emisor y adquiriente

Alta confidencialidad, el vendedor no tiene acceso al nmero de tarjeta y el banco no accesa los pedidos Permite la gestin de la actividad comercial, registros, autorizaciones y liquidaciones

67

Protocolo Secure Elecronic Transaction (SET)

Limitantes
Lento desarrollo de software de monedero y POST (punto de venta) No hay compatibilidad completa de los productos que maneja SET Exige rgidas jerarquias de certificacin, diferentes para cada tarjeta, lo cual es engorroso El costo de su implementacin es elevada
68