1 Aspectos generales El 80% de las transacciones realizadas en Internet son cerradas (comprador y vendedor se conocen previamente). Las transacciones abiertas son muy escasas (comercio electrónico e-bussiness), fundamentalmente a través de clave pública o firma digital, debido al escaso desarrollo de las autoridades de certificación encargadas de validar esas claves públicas. (Gp:) ¿La RED es todavía demasiado insegura?
2 Clasificación de problemas de seguridad Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas: 1.-El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados. 2.-La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando. 3.-El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero. 4.-El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas.
3 El control de integridad (1/2) Los esquemas de validación de integridad, se basan en la idea de una función de dispersión unidireccional (o hash) que toma una parte arbitrariamente grande de texto común y a partir de ella calcula una cadena de bits de longitud fija. La función de dispersión, llamada compendio de mensaje (message digest), tiene tres propiedades importantes: 1.-dado un texto P, es fácil calcular su compendio de mensaje MD(P) 2.-dado un compendio de mensaje MD(P), es computacionalmente imposible encontrar P, es decir no tiene inversa 3.-nadie puede generar dos mensajes que tengan el mismo compendio de mensaje, a no ser que sean el mismo mensaje. Esto requiere compendios de 128 bits de longitud mínimo.
El compendio de un mensaje se conoce como huella digital.
4 El control de integridad (2/2) Los compendios de mensaje funcionan tanto en clave privada como en clave pública, siendo los de mayor uso el MD5 y el SHA
Ejemplo: Para entender la idea del compendio, podemos relacionarlo con los CRC añadidos en los paquetes, de forma que si un paquete es alterado, el CRC no coincide con lo cual cabe pensar que se ha dañado o ha sido manipulado.
5 MD5: Message Digest 5 El MD5 es la quinta de una serie de funciones de dispersión diseñadas por Ron Rivest (el del algoritmo RSA) en el año 1992. [RFC1321] Las anteriores versiones MD2[RFC1319], MD4[RFC1186 y 1320] son más lentas. Opera alterando los bits de una manera tan complicada que cada bit de salida es afectado por cada bit de entrada.
6 MD5: algoritmo 1.- Se coge todo el mensaje original y se rellena hasta alcanzar una longitud de 448 módulo 512 bits, esto es, el mensaje debe tener una longitud en bits tal que al dividirla por 512 proporcione como resto el valor 448 2.- Se añade al mensaje la longitud original del mismo como un entero de 64 bits (por tanto el tamaño máximo de texto a compendiar es de 264 bits), por lo cual el mensaje total a codificar es un múltiplo de 512 bits 3.- Se inicializa un buffer de 128 bits con un valor fijo 4.- Comienza el cálculo del compendio: cada iteración se toma un bloque de 512 bits de entrada y lo mezcla por completo con el buffer de 128 bits y los valores de una tabla construida a partir de la función matemática seno. Este proceso continúa hasta que todos los bloques de entrada se han consumido
Una vez terminado el cálculo, el buffer de 128 bits (16 bytes) contiene el valor del compendio de mensaje.
7 SHA: Secure Hash Algoritm El SHA (Secure Hash Algoritm), fue desarrollado por la NSA (National Security Agency) junto con NIST (National Institut of Standards and Technology) y procesa los datos de entrada en bloques de 512 bits, pero a diferencia del MD5 genera un compendio de mensaje de 160 bits (20 bytes).
El algoritmo procede igual que MD5, salvo que manipula un buffer de 160 bits. Cálculo del compendio de 160 bits: cada iteración se toma un bloque de 512 bits de entrada y lo mezcla con el buffer de 160 bits, utilizando 80 iteraciones para cada bloque de entrada y finaliza con el compendio de 160 bits en el buffer.
8 SHA y MD5: comparación y otros El SHA es 232 (160 –128 bits)veces más seguro que el MD5, pero es más lento su cálculo que el cálculo del MD5. Tanto el MD5 como el SHA se han mostrado inviolables hasta la fecha, pues aún con ataques sofisticados llevaría un tiempo del orden de siglos. Otros algoritmos de compendio son RIPEMD también de 160 bits. En ocasiones, esto es suficiente para las necesidades de un usuario, el saber que el texto está íntegro, sin necesidad de cifrarlo ni protegerlo.
9 Clasificación de problemas de seguridad Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas: 1.-El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados. 2.-La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando. 3.-El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero. 4.-El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas.
10 Firma digital La validación de identificación y autenticidad de muchos documentos legales, financieros y de otros tipos se determina por la presencia o ausencia o bien de una firma manuscrita autorizada o bien de una firma digital. La firma digital permite que una parte pueda enviar un mensaje “firmado” a otra parte, con las propiedades de autentificación (íntegro, auténtico) y no repudio.
POR TANTO, LA CLAVE DE LA FIRMA DIGITAL ESTRIBA EN PEDIR OBLIGATORIAMENTE UN ACUSE DE RECIBO
11 Son condiciones más fuertes que la de una firma manuscrita. Características de una firma digital Requisitos de la Firma Digital: a) Debe ser fácil de generar. b) Será irrevocable, no rechazable por su propietario con el acuse de recibo. c) Será única, sólo posible de generar por su propietario. d) Será fácil de autenticar o reconocer por su propietario y los usuarios receptores. e) Debe depender del mensaje (por compendio) y del autor (por certificado).
12 Firma digital: clasificación Al igual que la criptografía, las firmas digitales se dividen en dos grandes grupos:
firmas de clave secreta o simétrica firmas de clave pública o asimétrica
| Página siguiente |