ENCRIPTACIÓN DE

DATOS Y
SEGURIDAD DE
LOS MISMOS
 CONTENIDO

 Autenticación
 Criptografía
 Certificación
 Firma electrónica
 Seguridad en la Web
 Seguridad computacional

2
 ¿Qué proteger? ¿De qué proteger?
Hardware
Personas
Software
Amenazas Lógicas
Datos
Problemas físicos

Seguridad Catástrofes

¿Qué conseguir?
Autenticación ¿Cómo proteger?
Autorización Prevención
Disponibilidad Detección
Confidencialidad Recuperación
Integridad Auditoría
No repudio
Es el ac to de es tableci mi ento o c onfi rmación de
algo (o al gui en) c omo auténtico . La autenticación
de un objeto puede signific ar (pensar) la
confi rmación de su procedencia, mientras que la
autenticación de una persona a menudo c onsis te
en verificar su identidad.

AUTENTICACIÓN
4
En términos de seguridad de redes de datos, se puede
considerar uno de los tres pasos fundamentales (AAA). Cada
uno de ellos es, de forma ordenada:

Autenticación . En la seguridad de ordenador, la

autenticación es el proceso de intento de verificar la identidad
digital del remitente de una comunicación como una petición para
conectarse. El remitente siendo autenticado puede ser una
persona que usa un ordenador, un ordenador por sí mismo o un
programa del ordenador.
 Autorización. Proceso por el cual la red de datos autoriza al
usuario identificado a acceder a determinados recursos de la
misma.
 Auditoría . Mediante la cual la red o sistemas asociados
registran todos y cada uno de los accesos a los recursos que
realiza el usuario autorizados o no.

El uso más exacto describe la autenticación como el proceso de verificar la

identidad de una persona, mientras la autorización es el proceso de
verificación que una persona conocida tiene la autoridad para realizar una
cierta operación.
 AUTENTICACIÓN
 Identificar al usuario que desea tener acceso a los servicios de
cómputo (Web server, etc.)

 Monitoreo del flujo de paquetes y verificar que pertenecen a un

usuario y servicio autorizado

 Identificar Software intruso y verificar que su funcionalidad esté

autorizada, libres de virus

7
AUTENTICACIÓN – TÉCNICAS

 Contraseña
 Funciones compendio
 Firma digital

Biométricas
 Reconocimiento de voz
 Reconocimiento de la mano
 Huella digital
 Reconocimiento del iris (muy confiable)

8
CRIPTOGRAFIA

9
 CRIPTOLOGÍA
 Criptografía: procedimientos para cifrar, o enmascarar
información de carácter confidencial .

 Criptoanálisis: Es la ciencia que se estudia las

herramientas y técnicas que permitan conocer los códigos y
sistemas de protección definidos por la criptografía.

Criptología

Criptografía Criptoanálisis

10
 CRIPTOGRAFÍA
 La criptografía es una necesidad, ya que el desarrollo de
las comunicaciones electrónicas hace posible la transmisión
y almacenamiento de información confidencial que es
necesario proteger.

11
 Características de los algoritmos
de encriptación
• El algoritmo de cifrado debe ser público. Para poder ser estudiado y
determinar su nivel de seguridad.
• La robustez de un sistema depende de la clave utilizada.
• La clave actúa como modificador del algoritmo, de esta manera el algoritmo
puede ser reutilizado.
• Es diferente la clave de la contraseña.
• Tipos de algoritmos de encriptación:
• Transposición: Cambiar el orden de los símbolos que forman parte del
texto.
• Sustitución: Reemplazan unos símbolos por otros.
 Características de los algoritmos de
encriptación
Dentro de la técnica de sustitución:
• Sustitución monoalfabética: Cada símbolo se reemplaza solo por otro
símbolo.
• Sustitución polialfabética: Diversos caracteres del texto cifrado representan
a un mismo carácter del texto original.
 Historia de los sistemas criptográficos

La aplicaciones de los sistemas criptográficos

tienen aplicación principal en guerras y gobierno.

Las primeras prácticas en los griegos y romanos:

Uso del cilindro scytala era empleado por los
griegos. Método Transposición.
Componentes: correa de cuero, cilindro, mensaje
sobre el cuero enrollado. La clave: el diámetro del
cilindro.

El Cifrado César, usada por romanos. Consiste en

una simple sustitución de cada letra del mensaje
por otra distanciada tres posiciones del alfabeto
latino. Método Sustitución.
En los califatos islámicos, en el siglo
IX d.C., en Bagdad nace el moderno
criptoanálisis. Cada lengua tiene una
frecuencia característica de aparición
de sus letras. Esto constituyó en la
decadencia de los métodos de
sustitución monoalfabéticos.
En el renacimiento León Batista
Alberti, creo el cifrados en disco.
Método de sustitución polialfabético.
Otro método de este tipo es el del
diplomático francés Vigenere en
1586. Usado 200 años después y
“roto” a mediados del siglo XIX.
En Europa se inicio a dar importancia al cifrado y se usó
como herramientas para los gobiernos en las guerras y en las
políticas en el exterior como mecanismo de poder.
Aparecen los Secretarios (Ministros) de cifra. Felipe II en
España nombra a Luis Valle de la Cerda, quien establece la
cifra general (se usa para la comunicación entre él con sus
secretarios, embajadores y altos militares) y la cifra
particular (para un entorno más reducido) .
En Inglaterra, Walsingham con Isabel I
En Francia, Viete con Enrique III y IV

Isabel I
En el siglo XX aparecen las máquinas de cifrado: ENIGMA.

Usados por el ejército alemán en la Segunda Guerra Mundial.

Otras máquinas similares fueron el TYPEX en Reino
Unido y la Converter M-209 en los Estados Unidos

Typex
Converter M-209
Los inventores de Enigma creían que era infalible.
Sin embargo cometieron numerosos errores:
1. Cadenas de texto predecibles: Mein Furher
2. Utilización de la misma clave por periodos
prolongados de tiempo.
3. Cifrado del mismo texto con claves nuevas y
antiguas.
Hasta que un día se apoderaron de una máquina
Enigma:
PROCESO CRIPTOGRÁFICO
Mensaje cifrado

A B
CIFRADO DESCIFRADO

Mensaje de Mensaje de
origen origen
DESCRIPTADO
Interceptado

¿Mensaje de origen?

20
ALGORITMOS DE ENCRIPTACIÓN
 ROT13, a cada letra se asigna a un número y se le suma 13,
después se reemplaza el número por otra letra. Si es mayor
de 26 se le resta 26 y se convierte.

“HELLO” 8,5,12,12,15 + 13 = 21,18,25,25,28-26 =“URYYB”

 Entre más bits se usen, es más difícil de descrifrar. El

algoritmo PGP soporta claves de hasta 4,096 bits

 Se requieren 3 días para descifrar una llave de 56 bits, 6

días para 57 bits, 768 días para 64 bits, etc. Las llaves de
128 bits hoy son seguras

21
 FINALIDAD DE LA
CRIPTOGRAFÍA
 Un buen sistema criptográfico será aquel que ofrezca
un descrifrado imposible pero un encriptado sencillo.

 La finalidad es doble:

 Mantener la confidencialidad del mensaje.

 Garantizar la autenticidad tanto del mensaje como del par

remitente/destinatario..

22
 CIFRADO
Definición

Es el mecanismo para proporcionar confidencialidad a través de

funciones matemáticas

Tipos
• Simétricos o de Llave Privada (DES).

• Asimétricos o de Llave Pública (RSA).

• Híbrido (SSL).

23
 VENTAJAS DEL CIFRADO

 Protege la información almacenada en la computadora

contra accesos no autorizados

 Protege la información mientras transita de un sistema de

cómputo a otro

 Puede detectar y evitar alteraciones accidentales o

intencionales a los datos

 Puede verificar si el autor de un documento es realmente

quien se cree que es

24
 DESVENTAJAS DEL CIFRADO

 No puede prevenir que un agresor borre intencionalmente

todos los datos

 Encontrar la forma de que no se tuviera conocimiento

previamente

 Acceder al archivo antes de que sea cifrado o después de

descifrar

25
 ELEMENTOS COMUNES
DEL CIFRADO
 Algoritmo cifrador (cifra y descifra datos)

 Claves de cifrado

 Longitud de clave (claves largas)

 Texto en claro (información a cifrar)

 Texto cifrado (información después de cifrar)

26
 ALGORITMOS
CRIPTOGRÁFICOS
Criptografía de clave privada - simétrica
 Ambos participantes comparten una clave (Ej. DES, IDEA)

Criptografía de clave pública

 Cada participante tiene una clave privada no compartida y
una clave pública que todos conocen

 El mensaje se encripta usando la llave pública y el

participante descifra el mensaje con su clave privada (Ej. RSA
de Rivest, Shamir y Adleman)

27
 ALGORITMOS CRIPTOGRÁFICOS

 Función Hash o de Digestión del mensaje:

 No involucran el uso de claves

 Determina una suma de verificación única (checksum)

criptográfica sobre el mensaje

 El algoritmo más usado es el MD5 (Message Digest versión 5)

28
 • MAC
Datos Algoritmo
Hash

Hash

Clave Privada

Algoritmos Hash de una dirección con clave

 Algoritmos de clave
simétrica
• También se le denomina critografía privada o cifrado por bloques.
• Se caracteriza por usar la misma clave para encriptar y
desencriptar.
• Toda la seguridad está basada en la privacidad de esta clave
 CIFRADO DE PRODUCTO
 Se apoyan en dos conceptos:
 Confusión: tratar de ocultar la relación que existe entre el texto
normal, el texto cifrado y la clave, es decir, realizar sustituciones
simples
 Difusión: trata de repartir la influencia de cada bit del mensaje
original lo más posible en el mensaje cifrado, es decir, realizar
permutaciones
 Estas técnicas consisten en trocear el mensaje en bloques de
tamaño fijo, y aplicar la función de cifrado a cada uno de ellos.
 Destacar que la confusión por sí sola sería suficiente, pero
ocuparía mucha memoria, por lo que sería inviable.
 SISTEMAS DE CLAVES PRIVADAS

 IDEA – International Data Encryption Algorithm

Usa una clave de 128 bits, utilizado por el programa PGP ( Pretty Good
Privacy ) uno de los más extendidos y usados en mensajería de correo
electrónico
 RC2
Cifrador de bloque permite de 1 a 2048 bits
 SKIPJACK
Utilizado por el circuito integrado de cifrado CLIPPER, utiliza 80 bits

32
IDEA (INTERNATIONAL DATA ENCRYPTION
ALGORITHM)

 Codifica bloques de 64 bits empleando una clave de 128

bits.
 Como en el caso de DES, se usa el mismo algoritmo tanto
para cifrar como para descifrar.
 Es un algoritmo bastante seguro, y hasta ahora se ha
mostrado resistente a los ataques.
 Su longitud de clave hace imposible en la práctica un
ataque por la fuerza bruta como se podía hacer en el DES.
 Consta de ocho rondas.
 Dividiremos el bloque X a X1 X2 X3 X4
codificar, de 64 bits, en
cuatro partes X1, X2, X3 y
X4 de 16 bits.
 Denominaremos Zi a cada
una de las 52 subclaves de
16 bits que vamos a
necesitar.
 Las operaciones que
llevaremos a cabo en cada
ronda, se pueden apreciar
en la figura:
X1 X2 X3 X4
 ALGORITMO DE RIJNDAEL (AES)

 Es considerado el sucesor de DES.

 Este algoritmo se adoptó oficialmente en octubre del 2000
como nuevo Estándar Avanzado de Cifrado (AES) por el
NIST (National Institute for Standards and Technology) para
su empleo en aplicaciones criptográficas.
 Su nombre se debe a dos autores belgas Joan Daemen y
Vincent Rijmen.
 Como peculiaridad tiene que todo el proceso de selección,
revisión y estudio tanto de este algoritmo como de los restantes
candidatos, se efectuó de forma pública y abierta, por lo que,
toda la comunidad criptográfica mundial ha participado en su
análisis, lo cual convierte a Rijndael en un algoritmo
perfectamente digno de la confianza de todos.
 AES es un sistema de cifrado por bloques, diseñado para
manejar longitudes de clave y de bloque variables, ambas
comprendidas entre los 128 y los 256 bits.
 Se basa en aplicar un número determinado de rondas a un valor
intermedio que se denomina estado y que se representará en
una matriz rectangular, que posee cuatro filas, y Nb columnas.
A[4,Nb]
 La clave tiene una estructura análoga a la del estado, y se
representará mediante una tabla con cuatro filas y Nk columnas.
K[4,Nk]
 El bloque que se pretende cifrar o descifrar se traslada a la
matriz de estado y análogamente, la clave se copia sobre la
matriz de clave
 MODOS DE OPERACIÓN PARA
ALGORITMOS DE CIFRADO POR BLOQUES

 Independientemente del método empleado ¿qué ocurre cuando

la longitud del mensaje no es un múltiplo exacto del tamaño de
bloque?

 Se ha de añadir información al
final para que sí lo sea.
 Mecanismo:
Rellenar con 0’s el bloque que se
codifica hasta completar.
Problema: ¿cuándo se descifra por
donde hay que cortar?.
 Añadir como último byte del último bloque el
número de bytes que se han añadido.
 POR OTRO LADO

 Los algoritmos simétricos encriptan bloques de texto aplicando

cifrados de bloques.
 El tamaño de los bloques puede ser constante o variable según
el tipo de algoritmo.
 Tienen 4 formas de funcionamiento:
 ECB
 CBC

• CFB
• OFB
 MODO ECB (ELECTRONIC CODE
BOOK)
 Es el método más sencillo de aplicar
 Subdivide la cadena a codificar en bloques del tamaño fijo y
se cifran todos ellos empleando la misma clave.

 Ventajas:
– Permite codificar bloques
independientemente de su
orden.
– Es resistente a errores.
 Desventajas:
– Si el mensaje presenta
patrones que se repiten, el
texto cifrado también los
presentará.
– Puede sufrir una
sustitución de bloques
 MODO CBC (CIPHER BOOK
CHAINING)
 Es un mecanismo de retroalimentación de bloques mediante una
codificación XOR entre el mensaje a codificar y el criptograma
cifrado anterior.
 No comienza a codificar hasta que no tenga un bloque entero

 Ventajas:
– Nos protege respecto a la
sustitución de bloques.
– Es resistente a errores.
 Desventajas:
– Si dos textos tienen el
mismo patrón obtendrán
el mismo resultado  usar
Vector de Inicio
 - MODO CFB (CIPHER FEEDBACK
MODE)
 Permite codificar la información en unidades inferiores al
tamaño del bloque
 Realiza una XOR entre caracteres o bits aislados del texto y
las salidas del algoritmo.

 Ventajas:
- Permite aprovechar totalmente la capacidad de transmisión
del canal de comunicaciones con mayor seguridad.
 MODO OFB (OUTPUT FEEDBACK
MODE)
 Como el CFB, realiza una XOR entre caracteres o bits aislados del
texto y las salidas del algoritmo.
 Pero utiliza como entradas sus propias salidas, por lo tanto no
depende del texto.

 Ventajas:
– Ya no depende del texto
 SISTEMAS DE CLAVE PRIVADA –
DES (DATA ENCRIPTION STD. IBM-1980)
• Usa las técnicas de confusión y difusión

• Cifra por bloques de 64 bits con una llave secreta de 64 bits

(56 útiles y 8 de paridad)

• Realiza 16 iteraciones y en cada una hace una sustitución y

una permutación con la llave

• En Hardware es más rápido hasta 1Gb/seg.

• La llave privada se puede enviar con cada mensaje

44
 ALGORITMOS DE LLAVE PRIVADA -
VENTAJAS

• El descifrado utiliza el mismo algoritmo pero con las llaves en orden inverso

• Se requieren 1500 años para hallar la clave o 6 meses si se usan 300 PCs
en paralelo

• Estándar ampliamente utilizado en la industria, donde para mayor seguridad

se encripta 3 veces (3DES), usando tres claves diferentes

45
 ALGORITMOS DE LLAVE PRIVADA -
DESVENTAJAS

• Quedan algunas incógnitas por resolver

• Ya cumplió con su ciclo de vida

• Puede romperse por fuerza bruta

• Como todo algoritmo simétrico, tiene el problema de la

distribución de la llave

46
Algoritmo de clave simétrica ( ó privada)

Datos Datos

asE4Bhl

Algoritmo de Algoritmo de
clave simétrica Datos clave simétrica
cifrados

• DES y triple DES

Clave Privada • IDEA
• RC2 y RC4
Clave Privada • SkipJack
ALGORITMOS DE CLAVE ASIMÉTRICA

 Se caracteriza por usar una clave para encriptar y otra para

desencriptar. Una clave no se derivará de la otra.
 Emplean longitudes de clave mucho mayores que los
simétricos.
 Además, la complejidad de cálculo que comportan los hace
más lentos que los algoritmos de cifrado simétricos.
 Por ello, los métodos asimétricos se emplean para
intercambiar la clave de sesión mientras que los simétricos
para el intercambio de información dentro de una sesión.
 APLICACIONES
 Cifrado de la información sin tener que transmitir la clave de
decodificación, lo cual permite su uso en canales inseguros.
 La clave que se hace pública es aquella que permite codificar los
mensajes, mientras que la clave privada es aquella que permite
descifrarlos.
 Autentificación de mensajes que nos permiten obtener una firma
digital a partir de un mensaje. Dicha firma es mucho más pequeña
que el mensaje original, y es muy difícil encontrar otro mensaje de
lugar a la misma.
 La clave de descifrado se hará pública previamente, y la clave que
se emplea para cifrar es la clave privada.
 ALGORITMOS DE LLAVE PÚBLICA

• Todos los usuarios tienen una llave pública y una privada

• Si alguien envía un mensaje, lo cifra con tu llave pública y sólo se

descifra con la clave secreta

• La seguridad depende de la confidencialidad de la llave secreta

• Se basan en funciones matemáticas complejas como los logaritmos

discretos y curvas elípticasA

50
 Algoritmo de clave asimétrica ( ó pública)

Datos
• RSA
• Diffie-Hellman Datos

asE4Bhl

Algoritmo de Algoritmo de
clave pública Datos clave pública
cifrados

Clave Pública
Cifrado público
Clave Privada
Cifrado privado
 ALGORITMOS DE LLAVE PÚBLICA

Esquema de cifrado.
Digamos que existen un par de llaves que pertenecen al usuario A:
• PK A : Llave pública de A
• SK A : Llave secreta de A

Entonces:
• B -> A: PK A {mensaje} : Mensaje Cifrado
• A : SK A {PKA {mensaje} } : Descifrado

• El mensaje solamente lo puede entender el usuario A

52
 Sistemas de clave pública

 EL GAMAL
 Basado en aritmética exponencial y modular, puede usarse
para cifrado y firmas digitales.

 DSA
 Algoritmo de firmas digitales, puede ser de cualquier longitud,
solamente se permiten claves entre 512 y 1024 bits bajo FIPS

53
 Sistemas de clave pública
 Pohlig-Hellman
 Sistema para el intercambio de claves criptográficas entre
partes activas. La clave puede ser de cualquier longitud,
dependiendo de la implementación de que se trate.

 RSA – Data Security Inc.

 Puede usarse tanto para cifrar información como para ser la
base de un sistema digital de firmas.

54
 ALGORITMO DE LLAVE PÚBLICA - RSA

• Surge en 1978 gracias a Ron Rivest, Adi Shamir y Leonard Adleman fundadores
de RSA Data Security

• Su seguridad radica en la dificultad de factorizar números muy grandes (esp.

números primos)
- De 100-200 dígitos (512 bits). Hoy se usan llaves de 1024 bits

• Proporciona mayor flexibilidad

– Se puede utilizar tanto para encriptar como para firmar mensajes

• La firma se hace con la llave privada y se verifica usando la llave pública

55
 VULNERABILIDADES:
- Claves Demasiado Cortas
Deberemos escoger la longitud de la clave en función del tiempo que
queramos que nuestra información permanezc a en secreto.
- Ataques de Intermediario
Puede darse con cualquier algoritmo asimétrico.
Manera de evitar: Certificados de confianza, que certifican la autenticidad
de la clave.
- Ataques de Texto en Claro Escogido
Explota la posibilidad de que un usuario codifique y firme un único
mensaje empleando el mismo par de claves.
- Firmar y Codificar
Nunca se debe firmar un mensaje después de codificarlo ya que existen
ataques que aprovechan este hecho.
 ALGORITMO DE DIFFIE-HELLMAN
 Se emplea fundamentalmente para acordar una clave común entre
dos interlocutores, a través de un canal de comunicación inseguro.
 Algoritmo:
 A escoge un número aleatorio x, y envía a B el valor α x (mod p)
 B escoge un número aleatorio y envía a A el valor α y (mod p)
 B recoge α x y calcula K = (α x ) y (mod p).
 A recoge α y y calcula K = (α y ) x (mod p).

 Ventaja: no son necesarias claves públicas en el sentido estricto,

sino una información compartida por los dos comunicantes.
 ALGORITMO ELGAMAL
 Fue diseñado en un principio para producir firmas digitales, pero
posteriormente se extendió también para codificar mensajes.
 Se basa en el problema de los logaritmos discretos
 Algoritmo:
 Se escoge un número primo n y dos números
aleatorios p y x menores que n. Se calcula
entonces la expresión:
y = p x (mod n)
 La clave pública es (p, y, n), mientras que la clave
privada es x.
 ALGORITMO ELGAMAL
 Firmas Digitales de ElGamal
Escoger un número k aleatorio, tal que mcd(k,n-1) =1, y calcular:
a = p k (mod n)
b = (m-xa)k -1 (mod (n-1))

La firma la constituye el par (a, b). En cuanto al valor k, debe

mantenerse en secreto y ser diferente cada vez.
La firma se verifica comprobando que y a a b = p m (mod n)

 Codificación de ElGamal
Para codificar el mensaje m se escoge primero un número
aleatorio k primo relativo con (n-1), que también será mantenido
en secreto. Calculamos:
a = p k (mod n)
b = y k m (mod n)
El par (a, b) es el texto cifrado, de doble longitud que el texto
original.

Para decodificar se calcula

m = b * a -x (mod n)
 ALGORITMO DE RABIN
 Se basa en el problema de calcular raíces cuadradas modulo un
número compuesto. Este problema se ha demostrado que es
equivalente al de la factorización de dicho número.
 En primer lugar escogemos dos números primos, p y q, ambos
congruentes con 3 módulo 4 (los dos últimos bits a 1). Estos
primos son la clave privada. La clave pública es su producto, n
= pq.
 Para codificar un mensaje m, se calcula:
c = m 2 (mod n)
 ALGORITMO DSA (DIGITAL SIGNATURE
ALGORITHM)

 Es una parte el estándar de firma digital DSS (Digital Signature

Standard).
 Propuesto por el NIST, data de 1991, es una variante del método
asimétrico de ElGamal.
 Pasos:
 Por un lado se generará la clave pública
compuesta por (p, q, α, y). Y por otro la clave
privada a.
 Se generá la firma con la cual podrá operar el
emisor.
 El destinatario efectuará las operaciones
oportunas, suponiendo que conoce la clave
pública (p, q, α , y), para verificar la autenticidad
de la firma.
 FUNCIONES CRIPTOGRÁFICAS HASHN

 Aceptan como entrada un conjunto de datos y genera

un resultado de longitud fija único:

 No debe ser posible reconstruir la fuente de datos con el

resultado compendiado

 El resultado debe parecer un conjunto aleatorio de datos

para que al agregarlos a los datos cifrados no se pueda
determinar donde terminan y donde inicia la firma digital

62
ALGORITMO HASH MDN (2 O 5)

 Calculan una suma de verificación ( checksum) criptográfica

de longitud fija de un mensaje de entrada de longitud
arbitraria

 Operan en partes de mensaje de 512 bits con

transformaciones complejas

 Para la firma se usa RSA sobre el resultado de la Checksum

63
FUNCIONES CRIPTOGRÁFICAS HASH

 SNERFU
 N-HASH

 MD2, MD4, MD5 – Message Digest Algorithm

 SHA – Secure Hash Algorithm

 RIPE – MD
 HAVAL

64
 SISTEMAS DE SEGURIDAD COMPLETOS

 PGP – Pretty Good Privacy (Phil Zimmerman) opera en la

capa de aplicación

 Encriptación y autenticación para correo electrónico

 Usa una llave pública certificada por alguien

 PGP puede utilizar diferentes algoritmos de encriptación

65
 SISTEMAS DE SEGURIDAD
COMPLETOS
 El protocolo IPSEC opera a nivel de capa de red

 Seguridad de nivel capa de transporte – HTTPS

 Usa un puerto seguro de TCP (443)

 Otros protocolos de capa de transporte son SSL y TLS,

proporcionan privacidad, integridad y autenticación

66
 PROTOCOLO DE CAPA DE RED

SSL – Secure Socket Layer (Netscape)

• Cifra los datos con clave privada RC4 o IDEA y la clave de sesión de
RC4 o IDEA mediante RSA de clave pública

• La clave de sesión es la que se utiliza para cifrar los datos que vienen
o van al servidor seguro, se genera una clave distinta por transacción

• Además proporciona autenticación de servidores, integridad de

mensajes y de conexiones TCP/IP

67
 PROTOCOLO DE CAPA DE RED

•¨Cuandoel cliente pide una comunicación segura, el servidor abre un

puerto cifrado gestionado por SSL:
Fase Hola – acuerdo sobre los algoritmos a usar
• Fase Intercambio de claves, generando la maestra
• Fase de producción de clave de sesión para cifrar
• Fase de verificación del servidor al usar RSA
• Fase de autenticación del cliente
• Fase de fin para iniciar el intercambio de inf.

68
 Cliente No SSL
Continuar ? Fin
No
Si
Auténtico ?
Si

https://www.dominio.co Clave
m Generador de
claves simétrica de
sesión

Clave
Clave Pública servidor
simétrica de
VISIO CORPORATION sesión
asE4Bhl
$

Certificado servidor

Clave Privada servidor

Clave
Servidor simétrica de
sesión
 PROTOCOLO SECURE ELECRONIC TRANSACTION –
(SET)

 Producto de la alianza IBM, Microsoft, Netscape, Visa y

Mastercard
 No es adecuado para micropagos (< US$10)
 Garantiza la autenticación de todas las partes: cliente, vendedor,
bancos emisor y adquiriente
 Alta confidencialidad, el vendedor no tiene acceso al número de
tarjeta y el banco no accesa los pedidos
 Permite la gestión de la actividad comercial, registros,
autorizaciones y liquidaciones

70
… P ROTOCOLO SECURE ELECRONIC TRANSACTION – (SET)

 Limitantes
 Lento desarrollo de software de monedero y POST
(punto de venta)
 No hay compatibilidad completa de los productos
que maneja SET

 Exige rígidas jerarquias de certificación, diferentes

para cada tarjeta, lo cual es engorroso
 El costo de su implementación es elevada

71
CERTIFICACIÓN

72
CERTIFICADO DIGITAL

La empresa mas importante a nivel

mundial para la expedicion de
firma o certificado digital es:

http://www.verisign.com/client/enroll
ment/index.html

Costo del certificado:

• 60 Días Gratis.
• $14.95 por Año.

73
CERTIFICADO DIGITAL

74
 PROCESO DE CERTIFICACIÓN

El proceso de certificación incluye servicios de registro, "naming",

autenticación, emisión, revocación y suspensión de los
certificados.

VeriSign ofrece tres niveles de servicios de certificación de

acuerdo a las necesidades del usuario.

75
 CERTIFICADO DIGITAL CLASE 1

Son emitidos y comunicados electrónicamente a personas físicas,

y relacionan en forma indubitable el nombre del usuario o su "alias"
y su dirección de E-mail con el registro llevado por VeriSign.

No autentican la identidad del usuario. Son utilizados

fundamentalmente para Web Browsing y E-mail, afianzando la
seguridad de sus entornos. No son para uso comercial.

76
 CERTIFICADO DIGITAL CLASE 2

Son emitidos a personas físicas, y confirman la veracidad de la

información aportada en el acto de presentar la aplicación y que ella
no difiere de la que surge de alguna base de datos de usuarios
reconocida.

Es utilizado para realizar comunicaciones vía E-mail; transacciones

comerciales de bajo riesgo, validación de software y suscripciones
on-line.

77
 CERTIFICADO DIGITAL CLASE 3

Son emitidos a personas físicas y organizaciones

públicas y privadas.
En el primer caso, asegura la identidad del
suscriptor, requiriendo su presencia física ante
una LRA o un notario.

78
 CERTIFICADO DIGITAL CLASE 3

En el caso de organizaciones asegura la

existencia y nombre mediante el cotejo de los
registros denunciados con los contenidos en
bases de datos independientes.

Son utilizados para determinadas aplicaciones

de comercio electrónico como ‘Electronic
banking' y Electronic Data Interchange (EDI).

79
80
 FIRMA ELECTRÓNICA

Por Firma Electrónica se entiende "aquel conjunto de datos en

forma electrónica, anexos a otros datos electrónicos o asociados
funcionalmente con ellos, utilizados como medio para identificar
formalmente al autor o a los autores del documento que la recoge.”

81
 FIRMA ELECTRÓNICA AVANZADA

Permite la identificación del signatario y ha sido creada por

medios que este mantiene bajo su exclusivo control, vinculada
únicamente al mismo y a los datos a los que se refiere, lo que
permite que sea detectable cualquier modificación ulterior de
estos.
Tiene iguales efectos jurídicos que en la firma manuscrita.

82
SEGURIDAD EN LA WEB

83
 SEGURIDAD EN LA WEB
 La WWW es un sistema para intercambiar información sobre
internet.

 Se construye de servidores web que ponen la información

disponible en la red.

 Los examinadores de la web se usan para tener acceso a

información almacenada en los servidores y para desplegarla
en la pantalla del usuario.

84
 SERVIDOR SEGURO CONT…

 Al construir un servidor web, se debe estar seguro de:

 Los usuarios no deben ser capaces de ejecutar comandos
arbitrarios o interactuar con el intérprete de comandos en el
servidor.

 Los guiones CGI que se ejecutan deben desempeñarse ya sea

haciendo la función esperada o devolviendo un mensaje de
error.

 Un agresor no debería ser capaz de usar el servidor para

ataques posteriores.

85
 SERVIDOR SEGURO CONT…

 Los servidores usan tres técnicas principales

para controlar el acceso a los archivos y
directorios:
 Restringir el acceso a las direcciones IP, subredes o dominios
DNS particulares.
 Restringir el acceso a usuarios en particular.
 Restringir el acceso de usuarios que presenten claves
públicas firmadas por una autoridad de certificación
apropiada.

86
 ADMINISTRACIÓN DE RIESGO
 Auditorias regulares de riesgo
 Documentar planes de emergencia

 Monitoreo de palabras clave

 Manual de crisis accesible en Intranet

 Sitios ocultos completos y actualizados

 Simulacros de emergencia
 Información a los medios y usuarios en caso de
emergencia

87
PLANEACIÓN ESTRATÉGICA PARA CASOS
DE EMERGENCIA

 Desarrollar un sitio oculto con información acerca de

medidas de seguridad, debe incluir formas de contactar
a expertos y debe reemplazar al sitio normal en menos
de una hora, con declaraciones de la alta dirección

 El sitio debe estar en CD o ZIP para llevarlo a un ISP y

publicarlo, avisando por los medios al público

 Hay sitios que monitorean la red en caso de problemas,

“The informant” y “Mind It” (perro guardian)

88
 SEGURIDAD
COMPUTACIONAL

89
 SEGURIDAD COMPUTACIONAL

Seguridad Informática
 Disciplina que busca proteger la información ante eventos
adversos

Se basa en 3 principios básicos:

Confidencialidad

Disponibilidad Integridad

90
 SEGURIDAD COMPUTACIONAL

 Confidencialidad
– La información sólo es revelada a los individuos o procesos
autorizados

 Integridad
– La información no debe ser modificada de manera accidental o
maliciosa

• Disponibilidad
– Los recursos de información son accesibles en todo momento.

91