Mecanismos de Protección

Plan your lessons and the goals of your lessons as well as including important content

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Rocket clouds
Mecanismos de Protección por Mind Map: Mecanismos de Protección

1. Definiciones

1.1. La criptografía estudia, desde el punto de vista matemático, los métodos de protección de la información. El criptoanálisis estudia las posibles técnicas utilizadas para contrarrestar los métodos criptográficos.

1.2. Los sistemas criptográficos de clave simétrica se caracterizan porque la clave de descifrado x es idéntica a la clave de cifrado k, o bien se puede deducir directamente a partir de ésta.

1.3. El funcionamiento de una cifrado en flujo consiste en la combinación de un texto en claro M cn un texto de cifrado S que se obtiene a partir de la clave simétrica k.

1.4. Una firma digital es básicamente un mensaje cifrado con la clave privada del firmante. Pero por cuestiones de eficiencia, lo que se cifra no es directamente el mensaje a firmar, sino solamente su resumen calculado con una función hash segura.

1.5. La definición de una red virtual lleva a cabo mediante el establecimiento de tuneles, que permiten encapsular paquetes de la red virtual, con sus protocolos, dentro de paquetes de otra red, que normalmente es Internet, con su protocolo, es decir IP.

2. Formas de llevar a cabo un ataque:

2.1. Mediante el criptoanálisis, es decir estudiando matemáticamente la forma de deducir el texto en claro a partir del texto cifrado.

2.2. Aplicando la fuerza bruta, es decir, probando uno a uno los valores posibles de la clave de descifrado x hasta encontrar uno que produzca un texto en claro con sentido.

3. Algoritmos de cifrado en bloque

3.1. En una cifra de bloque, el algoritmo de cifrado o descifrado se aplica separadamente a bloques de entrada de longitud fija b, y para cada uno de ellos es el resultado es un bloque de la misma longitud.

4. Operaciones básicas de los algoritmos del cifrado de bloque

4.1. La sustitución.

4.1.1. Consiste en traducir cada grupo de bits de la entrada a otro, de acuerdo con una permutación determinada. El cifrado del César sería un ejemplo simple de sustitución, en el que cada grupo de bits correspondería a una letra.

4.2. La transposición.

4.2.1. Consiste en reordenar la información del texto en claro según un patrón determinado. Un ejemplo podría ser la formación grupos de cinco letras, incluidos los espacios en blanco, y rescribir cada grupo (1,2,3,4,5) en el orden (3,1,5,4,2).

5. Confusión y difusión

5.1. Dos propiedades deseables en un algoritmo criptográfico son la confusión, que consiste en esconder la relación entre la clave y las propiedades estadísticas del texto cifrado, y la difusión, que propaga la redundancia del texto en claro a lo largo del texto cifrado para que no sea fácilmente reconocible.

6. Modos de operación al cifrado en bloque:

6.1. El modo ECB (Electronic Codebook) es el más simple, y consiste en dividir el texto en bloques y cifrar cada uno de ellos de forma independiente.

6.2. En el modo CBC (Cipher Block Chaining), se suma a cada bloque de texto en claro, antes de cifrarlo. (bit a bit, con XOR) el bloque cifrado anterior.

6.3. En el modo CFB (Cipher Feedback), el algoritmo de cifrado no se aplica directamente a texto en claro sino a un vector auxiliar.

6.4. El modo OFB (Output Feedback) opera como el CFB, pero en lugar de actualizar el vector auxiliar con el texto cifrado, se actualiza con el resultado obtenido del algoritmo de cifrado.

7. Intercambio de claves Diffie-Hellman

7.1. Es un mecanismo que permite que dos partes se pongan de acuerdo de forma segura sobre una clave secreta. El algoritmo se basa en la dificultad de calcular logaritmos discretos.

8. Funciones hash seguras

8.1. Aparte de cifrar datos, existen algoritmos basados en técnicas criptográficas que se usan para garantizar la autenticidad de los mensajes. Podemos decir que una función hash nos permite obtener una cadena de bits de longitud fija, relativamente corta, a partir de un mensaje de longitud arbitraria: H = h(M).

9. Partes básicas del certificado de clave pública:

9.1. Una identificación de usuario como, por ejemplo, su nombre.

9.2. El valor de la clave pública de este usuario.

9.3. La firma de las dos partes anteriores.

10. Sistemas de autenticación

10.1. Uno de los servicios de seguridad que se requiere en muchas aplicaciones es el de la autenticación. Este servicio permite garantizar que nadie ha falsificado la comunicación.

11. Tipos de autenticación:

11.1. La autenticación de mensaje o autenticación de origen de datos.

11.1.1. Permite confirmar que el originador A de un mensaje es auténtico, es decir, que el mensaje no ha sido generado por un tercero Z que quiere hacer creer que lo ha generado A.

11.2. La autenticación de entidad.

11.2.1. Permite confirmar la identidad de un participante A en una comunicación, es decir, que no se trata de un tercero Z que dice ser A.

12. Contraseñas

12.1. La idea básica de la autenticación basada en contraseñas es que el usuario A manda su identidad (su identificador de usuario, su nombre de login, etc.) seguida de una contraseña secreta. El verificador B comprueba que la contraseña sea válida, y si lo es da por buena la identidad de A.

13. Técnicas para dificultar los ataques de diccionario

13.1. Ocultar la lista de contraseñas codificadas.

13.2. Reglas para evitar contraseñas fáciles.

13.3. Añadir complejidad a la codificación de las contraseñas.

13.4. Añadir bits de sal a la codificación de las contraseñas.

13.5. Uso de passpkrases

14. Protocolos de reto-respuesta con clave simétrica

14.1. Autenticación con marca de tiempo.

14.1.1. Es el que utiliza como reto implícito la hora actual. El usuario A obtiene una marca de tiempo y la manda al verificador B cifrada con la clave compartida.

14.2. Autenticación con números aleatorios.

14.2.1. Es preciso enviar explícitamente el reto, que consiste en un número aleatorio generado por B.

14.3. Autenticación mutua con números aleatorios

14.3.1. Con tres mensajes, el protocolo anterior se puede convertir en un protocolo de autenticación mutua, es decir, de A adelante B y de B delante A.

14.4. Autenticación con función unidireccional

14.4.1. Los protocolos anteriores hacen uso de un algoritmo de cifrado simétrico, pero también es posible utilizar funciones unidireccionales con claves secreta como, por ejemplo, los algoritmos de MAC.

15. Modos de uso de los protocolos IPsec

15.1. En el modo transporte, la cabecera AH o ESP se incluye después de la cabecera IP convencional, como si fuera una cabecera de un protocolo de nivel superior, y a continuación van los datos del datagrama (por ejemplo, un segmento TCP con su cabecera correspondiente, etc.)

15.2. En el modo túnel, el datagrama original se encapsula entero, con su cabecera y sus datos, dentro de otro datagrama. Este otro datagrama tendrá una cabecera IP en la cual las direcciones de origen y de destino serán las de los nodos inicio y final de la SA.

16. Subcapas de la capa de transporte seguro de SSL/TLS

16.1. La subcapa superior se encarga básicamente de negociar los parámetros de seguridad y de transferir los datos de la aplicación.

16.2. En la subcapa inferior, estos mensajes son estructurados en registros a los cuales se les aplica, según corresponda, la compresión, la autenticación y el cifrado.

17. Ataques contra el protocolo SSL/TLS

17.1. Lectura de los paquetes enviados por el cliente y servidor.

17.1.1. Cuando los datos se envían cifrados, un atacante que pueda leer los paquete, por ejemplo utilizando técnicas de sniffing, se enfrenta al problema de romper el cifrado se quiere interpretar su contenido.

17.2. Suplantación de servidor o cliente.

17.2.1. Cuando se realiza la autenticación de servidor o cliente, el certificado digital debidamente firmado por la CA sirve para verificar la identidad de su propietario.

17.3. Alteración de los paquetes.

17.3.1. Un atacante puede modificar los paquetes para que lleguen al destinatario con un contenido distinto del original.

17.4. Repetición, eliminación o reordenación de paquetes

17.4.1. Si el atacante vuelve a enviar un paquete correcto que ya había sido enviado antes, o suprime algún paquete haciendo que no llegue a su destino, o los cambia de orden, el receptor lo detectara porque los códigos MAC no coincidirán con el valor esperado.

18. Una red privada virtual (VPN) es una configuración que combina el uso de dos tipos de tecnologías:

18.1. Las tecnologías de seguridad que permiten la definición de una red privada es decir un medio de comunicación confidencial que no puede ser interceptado por usuarios ajenos a la red.

18.2. Las tecnologías de encapsulamiento de protocolos que permiten que, en lugar de una conexión física dedicada para la red privada, se pueda utilizar una infraestructura de red pública, como internet, para definir por encima de ella una red virtual.

19. Glosario

19.1. Ataque:

19.1.1. Acción realizada por una tercera parte, distinta del emisor y del receptor de la información protegida, para intentar contrarrestar esta protección.

19.2. Ataque de diccionario:

19.2.1. Ataque contra los métodos de autenticación de entidad basados en contraseñas, consistentes en probar las palabras de un diccionario hasta encontrar la correcta.

19.3. Autenticación:

19.3.1. Protección de la información contra falsificaciones.

19.4. Autenticación de entidad:

19.4.1. Servicio de seguridad que permite confirmar que un participante en una comunicación es auténtico y no se trata de un impostor que está intentando suplantarlo.

19.5. Autenticación de mensaje:

19.5.1. Servicio de seguridad que permite confirmar que el originador de un mensaje es auténtico, y que el mensaje no ha sido creado o modificado por un falsificador.

19.6. Cadena de certificados:

19.6.1. Lista de certificados, cada uno de los cuales permite verificar la autenticidad de la clave pública de la CA que ha emitido el anterior, hasta llegar al certificado de una CA raíz.

19.7. Cifrado:

19.7.1. Transformación de un texto en claro, mediante un algoritmo que tiene como parámetro una clave, en un texto cifrado ininteligible para quien no conozca la clave de descifrado.

19.8. Contraseña:

19.8.1. Palabra (password) o cadena de caracteres secreta, de longitud relativamente corta, usada por una entidad para autenticarse.

19.9. Hash:

19.9.1. Cadena de bits, de longitud predeterminada que se obtiene a partir de una secuencia de bits de longitud arbitraria, como resumen de esta secuencia.

19.10. IPsec:

19.10.1. Conjunto de protocolos a nivel de red (AH, ESP, etc.) que añaden seguridad al protocolo IP.