Post on 18-Jul-2015
transcript
Inicios de la criptografía
• Código César (Época romana): Desplazamiento de las letras dentro del diccionario (Ej: Todas pasan a la siguiente). Algoritmo primitivo y sin clave de cifrado.
• Máquinas Enigma (Alemania, Segunda Guerra Mundial): Con clave de cifrado y algoritmo implementado en cada máquina. De algoritmo y clave desconocidos por los aliados -> requirió la invención de Colossus.
Cifrado
• Objetivo: evitar que terceras personas (distintas de las personas autorizadas) puedan interceptarla o obtenerla y vulnerar así la confidencialidad de la misma.
• Se utiliza en:– Llamadas de voz (GSM) y protocolos VOIP.
– Mensajes SMS y WhatsApp.
– Redes WIFI.
– Conexiones VPN (redes privadas virtuales).
Protocolos seguros e inseguros
• POP3 y SMTP vs HTTPS webmail y SSL.
• Telnet vs SSH.
• FTP vs SFTP.
• Conexión remota estándar vs VPN.
• HTTP vs HTTPS.
• …
Cifrado
• Para cifrar es necesario:
– Algoritmo de cifrado
• simétricos o asimétricos.
• Los más importantes son públicos como AES, TwoFish, Serpent y combinaciones.
– Clave de cifrado privada (conocida sólo por las personas autorizadas para acceder a la información).
– Clave de cifrado pública (sólo para algoritmos asimétricos, conocida por todos, se genera a partir de la privada).
Cifrado simétrico
• Algoritmo público o privado pero conocido por ambos (emisor y receptor).
• Clave privada y única conocida por ambos.• Ventaja:
– Muy rápidos.
• Problema:– Un usuario no autorizado obtiene la clave.– Se ha de comunicar la clave por un canal distinto al
más usual.– Ejemplo: Clave o PIN de tarjeta de crédito y cifrado de
un archivo comprimido.
Cifrado asimétrico
• Receptor genera clave pública y clave privada.
• Le pasa la clave pública al emisor, no es necesario que sea por otro canal.
• El emisor cifra utilizando clave pública y algoritmo público.
• El receptor, que tiene la clave privada, descifra el mensaje codificado por el emisor.
Cifrado asimétrico
• Ventajas:
– No necesita un nuevo canal por el que mandar la clave.
• Inconvenientes:
– Más lentos que los simétricos.
– Vulnerables a ataques criptográficos si se usa mucho.
– Hay que proteger la clave privada y llevarla para poder descifrar (no es un pass)
Cifrado y firmado
• Se usa para autentificar al emisor.
• El emisor aplica una función hash a la info.
• El emisor cifra el resultado de la función hash con la clave privada.
• El emisor manda el hash cifrado y la info.
• El receptor aplica la misma función hash a la inforecibida y el resultado lo cifra con la clave pública.
• Si coincide con lo recibido del emisor, el emisor es correcto.
Consejos sobre la clave
• Usar claves largas…
• sin palabras del diccionario…
• con números y letras…
• caracteres especiales…
• mayúsculas y minúsculas…
• cambiándolas regularmente…
• sin utilizar las mismas para varias cuentas…
• y sin reciclar contraseñas antiguas.
Certificados digitales
• Práctica:
– Intentar obtener el certificado digital (solicitarlo en la Seguridad Social o por el DNIe).
– Instalarlo en el equipo.
– Comprobar que es posible exportarlo y acceder a un portal gubernamental con el certificado digital.
Certificados digitales
• Buscar la explicación de los conceptos de CA, RA, VA y repositorios.
• Trabajar con un certificado digital propio (FNMT o DNIe).
• ¿Cuánto cuesta un PKI para empresa?
DNI ElectrónicoA veces surgen errores entre el software utilizado y el módulo criptográfico. Si es así, desinstalar, volver a instalar y reiniciar entre la instalación de ambos y una vez terminado.
Esteganografía
• Se trata de ocultar la información en una imagen combinando cifrado y almacenado dentro de dicha imagen.
• La imagen de destino ha de ser grande y el archivo no muy pesado para que pase desapercibido.
• Es un nivel más de seguridad de la confidencialidad de la información, (el atacante no se sabe donde buscar).
Práctica de firma, cifrado y esteganografía
• Utilizar ecofirma (enlace disponible en el blog) para realizar una firma y cifrado de un documento.
• Utilizar ecofirma para realizar una ocultación esteganográfica en una imagen contenedora.
Práctica VPN
• Una VPN cifra de origen a fin los datos y es uno de los métodos más seguros para cifrar conexiones individuales (desde puntos de acceso inseguros o lugares públicos).
• Utiliza SurfEasy (configuración sencilla) para comprobar cómo cambia tu IP.
• Utiliza OpenVPN (configuración avanzada) combinada con el sitio vpnbook.com