13 Desventajas del cifrado
No puede prevenir que un agresor borre intencionalmente todos los datos
Encontrar la forma de que no se tuviera conocimiento previamente
Acceder al archivo antes de que sea cifrado o después de descifrar
14 Elementos comunes del cifrado Algoritmo cifrador (cifra y descifra datos)
Claves de cifrado
Longitud de clave (claves largas)
Texto en claro (información a cifrar)
Texto cifrado (información después de cifrar)
15 Algoritmos criptográficos Criptografía de clave privada – simétrica Ambos participantes comparten una clave (Ej. DES, IDEA)
Criptografía de clave pública Cada participante tiene una clave privada no compartida y una clave pública que todos conocen
El mensaje se encripta usando la llave pública y el participante descifra el mensaje con su clave privada (Ej. RSA de Rivest, Shamir y Adleman)
16 Algoritmos criptográficos Función Hash o de Digestión del mensaje: No involucran el uso de claves
Determina una suma de verificación única (checksum) criptográfica sobre el mensaje
El algoritmo más usado es el MD5 (Message Digest versión 5)
17 Sistemas de claves privadas RC2 Cifrador de bloque permite de 1 a 2048 bits
IDEA – International Data Encryption Algorithm Usa una clave de 128 bits, utilizado por el programa PGP (para e-mail).
SKIPJACK Utilizado por el circuito integrado de cifrado CLIPPER, utiliza 80 bits
18 Sistemas de clave privada – DES (Data Encription Std. IBM-1980)
Usa las técnicas de confusión y difusión
Cifra por bloques de 64 bits con una llave secreta de 64 bits (56 útiles y 8 de paridad)
Realiza 16 iteraciones y en cada una hace una sustitución y una permutación con la llave
En Hardware es más rápido hasta 1Gb/seg.
La llave privada se puede enviar con cada mensaje
19 Algoritmos de llave privada
20 Algoritmos de llave privada – Ventajas • El descifrado utiliza el mismo algoritmo pero con las llaves en orden inverso
• Se requieren 1500 años para hallar la clave o 6 meses si se usan 300 PCs en paralelo
• Estándar ampliamente utilizado en la industria, donde para mayor seguridad se encripta 3 veces (3DES), usando tres claves diferentes
21 Algoritmos de llave privada – Desventajas Quedan algunas incógnitas por resolver
Ya cumplió con su ciclo de vida
Puede romperse por fuerza bruta
Como todo algoritmo simétrico, tiene el problema de la distribución de la llave
22 Algoritmos de llave pública Todos los usuarios tienen una llave pública y una privada
Si alguien envía un mensaje, lo cifra con tu llave pública y sólo se descifra con la clave secreta
La seguridad depende de la confidencialidad de la llave secreta
Se basan en funciones matemáticas complejas como los logaritmos discretos y curvas elípticas
23 Algoritmos de llave pública Esquema de cifrado.
Digamos que existen un par de llaves que pertenecen al usuario A: PK A : Llave pública de A SK A : Llave secreta de A
Entonces: B -> A: PK A {mensaje} : Mensaje Cifrado A : SK A {PKA {mensaje} } : Descifrado
• El mensaje solamente lo puede entender el usuario A
24
EL GAMAL Basado en aritmética exponencial y modular, puede usarse para cifrado y firmas digitales.
DSA Algoritmo de firmas digitales, puede ser de cualquier longitud, solamente se permiten claves entre 512 y 1024 bits bajo FIPS Sistemas de clave pública
25 Pohlig-Hellman Sistema para el intercambio de claves criptográficas entre partes activas. La clave puede ser de cualquier longitud, dependiendo de la implementación de que se trate.
RSA – Data Security Inc. Puede usarse tanto para cifrar información como para ser la base de un sistema digital de firmas.
Sistemas de clave pública
26 Algoritmo de llave pública – RSA • Surge en 1978 gracias a Ron Rivest, Adi Shamir y Leonard Adleman fundadores de RSA Data Security
• Su seguridad radica en la dificultad de factorizar números muy grandes (esp. números primos) – De 100-200 dígitos (512 bits). Hoy se usan llaves de 1024 bits
• Proporciona mayor flexibilidad – Se puede utilizar tanto para encriptar como para firmar mensajes
La firma se hace con la llave privada y se verifica usando la llave pública
27 Funciones criptográficas Hash Aceptan como entrada un conjunto de datos y genera un resultado de longitud fija único:
No debe ser posible reconstruir la fuente de datos con el resultado compendiado
El resultado debe parecer un conjunto aleatorio de datos para que al agregarlos a los datos cifrados no se pueda determinar donde terminan y donde inicia la firma digital
28 Algoritmo Hash MDn (2 o 5) Calculan una suma de verificación (checksum) criptográfica de longitud fija de un mensaje de entrada de longitud arbitraria
Operan en partes de mensaje de 512 bits con transformaciones complejas
Para la firma se usa RSA sobre el resultado de la Checksum
29 Funciones criptográficas Hash SNERFU N-HASH
MD2, MD4, MD5 – Message Digest Algorithm SHA – Secure Hash Algorithm
RIPE – MD HAVAL
30 Sistemas de seguridad completos PGP – Pretty Good Privacy (Phil Zimmerman) opera en la capa de aplicación
Encriptación y autenticación para correo electrónico
Usa una llave pública certificada por alguien
PGP puede utilizar diferentes algoritmos de encriptación
31 Sistemas de seguridad completos El protocolo IPSEC opera a nivel de capa de red
Seguridad de nivel capa de transporte – HTTPS Usa un puerto seguro de TCP (443)
Otros protocolos de capa de transporte son SSL y TLS, proporcionan privacidad, integridad y autenticación
32 Protocolo de capa de red SSL – Secure Socket Layer (Netscape)
• Cifra los datos con clave privada RC4 o IDEA y la clave de sesión de RC4 o IDEA mediante RSA de clave pública
La clave de sesión es la que se utiliza para cifrar los datos que vienen o van al servidor seguro, se genera una clave distinta por transacción
Además proporciona autenticación de servidores, integridad de mensajes y de conexiones TCP/IP
33 Protocolo de capa de red SSL – Secure Socket Layer (Netscape) •¨Cuando el cliente pide una comunicación segura, el servidor abre un puerto cifrado gestionado por SSL:
Fase Hola – acuerdo sobre los algoritmos a usar Fase Intercambio de claves, generando la maestra Fase de producción de clave de sesión para cifrar Fase de verificación del servidor al usar RSA Fase de autenticación del cliente Fase de fin para iniciar el intercambio de inf.
34 Protocolo de capa de red SSL – Secure Socket Layer (Netscape) •¨Se sabe que el servidor es seguro si en Netscape aparece una llave o un candado si se usa Explorer
http aparece ahora como httpa
Sólo protege transacciones entre dos puntos: servidor Web y navegador del cliente o emisor de tarjeta No protege al comprador del uso fraudulento de su tarjeta de crédito Los vendores corren el riesgo de que les sea proporcionado un número de tarjeta no autorizada
35 Protocolo Secure Elecronic Transaction – (SET) Producto de la alianza IBM, Microsoft, Netscape, Visa y Mastercard No es adecuado para micropagos (< US$10) Garantiza la autenticación de todas las partes: cliente, vendedor, bancos emisor y adquiriente
Alta confidencialidad, el vendedor no tiene acceso al número de tarjeta y el banco no accesa los pedidos Permite la gestión de la actividad comercial, registros, autorizaciones y liquidaciones
36 Protocolo Secure Elecronic Transaction – (SET) Limitantes Lento desarrollo de software de monedero y POST (punto de venta) No hay compatibilidad completa de los productos que maneja SET
Exige rígidas jerarquias de certificación, diferentes para cada tarjeta, lo cual es engorroso El costo de su implementación es elevada
37 Certificación
38 Sistemas de certificación Se autentifica a los clientes que desean acceder a servidores
Los procedimientos se iniciaron en el MIT con Kerberos y ahora se tiene el estándar X.509
La verificación la hace un tercero “servidor de certificación”. Tanto el cliente, como el servidor y el certificador usan encriptación
39 Certificado digital La empresa mas importante a nivel mundial para la expedicion de firma o certificado digital es:
http://www.verisign.com/client/enrollment/index.html
Costo del certificado: 60 Días Gratis. $14.95 por Año.
40 Certificado digital
41 Proceso de Certificación
El proceso de certificación incluye servicios de registro, "naming", autenticación, emisión, revocación y suspensión de los certificados.
VeriSign ofrece tres niveles de servicios de certificación de acuerdo a las necesidades del usuario.
42 Certificado digital Clase 1 Son emitidos y comunicados electrónicamente a personas físicas, y relacionan en forma indubitable el nombre del usuario o su "alias" y su dirección de E-mail con el registro llevado por VeriSign.
No autentican la identidad del usuario. Son utilizados fundamentalmente para Web Browsing y E-mail, afianzando la seguridad de sus entornos. No son para uso comercial.
43 Certificado digital Clase 2 Son emitidos a personas físicas, y confirman la veracidad de la información aportada en el acto de presentar la aplicación y que ella no difiere de la que surge de alguna base de datos de usuarios reconocida.
Es utilizado para realizar comunicaciones vía E-mail; transacciones comerciales de bajo riesgo, validación de software y suscripciones on-line.
44 Certificado digital Clase 3
Son emitidos a personas físicas y organizaciones públicas y privadas.
En el primer caso, asegura la identidad del suscriptor, requiriendo su presencia física ante una LRA o un notario.
45 Certificado digital Clase 3 En el caso de organizaciones asegura la existencia y nombre mediante el cotejo de los registros denunciados con los contenidos en bases de datos independientes.
Son utilizados para determinadas aplicaciones de comercio electrónico como ‘Electronic banking' y Electronic Data Interchange (EDI).
46 Firma electrónica
47 Firma electrónica
Por Firma Electrónica se entiende "aquel conjunto de datos en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.”
48 Firma electrónica avanzada
Permite la identificación del signatario y ha sido creada por medios que este mantiene bajo su exclusivo control, vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de estos.
Tiene iguales efectos jurídicos que en la firma manuscrita.
49 Certificado digital
Certificado de Navegador, Intranets/Extranets. Este tipo de certificados permiten firmar digitalmente los documentos, garantizando la autenticidad y el no repudio de los mismos.
Certificado de Servidor Seguro. Garantizan la identidad del servidor y posibilitan las comunicaciones seguras y privadas con clientes, socios, proveedores u otras personas.
Certificado de firma de Software. Garantizan la identidad del fabricante y la integridad del contenido.
50 Seguridad en la Web
51 Seguridad en la Web La WWW es un sistema para intercambiar información sobre internet.
Se construye de servidores web que ponen la información disponible en la red.
Los examinadores de la web se usan para tener acceso a información almacenada en los servidores y para desplegarla en la pantalla del usuario.
52 Servidor seguro cont… Al construir un servidor web, se debe estar seguro de: Los usuarios no deben ser capaces de ejecutar comandos arbitrarios o interactuar con el intérprete de comandos en el servidor.
Los guiones CGI que se ejecutan deben desempeñarse ya sea haciendo la función esperada o devolviendo un mensaje de error.
Un agresor no debería ser capaz de usar el servidor para ataques posteriores.
53 Servidor seguro cont…
Los servidores usan tres técnicas principales para controlar el acceso a los archivos y directorios: Restringir el acceso a las direcciones IP, subredes o dominios DNS particulares.
Restringir el acceso a usuarios en particular.
Restringir el acceso de usuarios que presenten claves públicas firmadas por una autoridad de certificación apropiada.
54 Desarrollo de un sitio oculto El sitio oculto puede pasar a producción y contiene información sobre el producto que puede servir en caso de fallas
En caso de problemas es mejor avisarle a todo mundo que se está consciente del problema y que se toma la responsabilidad del caso
De no hacerlo, los usuarios descontentos pueden hacer una campaña negativa de publicidad en línea
55 Desarrollo de un sitio oculto En 1994 un matemático descubrió que el chip Pentium no hacía cálculos correctos de punto flotante en ciertas condiciones, al avisarle a Intel no hizo caso, trataron de esconder el problema
Hubo una gran protesta por Internet, por los medios, los usuarios pedían reemplazo de chips. Intel reemplazó los chips por una nueva serie. (Ford en llamas)
Ahora tiene una base de datos on line de errores detectados. El Pentium II se puede corregir por soft.
56 Experiencias on line Jugo de manzana Odwalla con la bacteria E-coli mata a bebé. Se retiraron jugos en 4,500 comercios, se instaló una página para información y consulta. Al final 90% de los clientes seguían prefiriendo la marca
Lo mismo sucedió con Swiss Air en su accidente en Canada, cuando la empresa dio toda la información
En el caso del descarrilamiento del tren de alta velocidad de Alemania de la Deutche Bundesbahn, no dio ninguna información y perdió mucha credibilidad
57 Servicios de reclamos en línea Complain.com, Fight Back y Complain To Us, cobran una tarifa por escribir una carta y dar seguimiento de quejas
58 Administración de riesgo Auditorias regulares de riesgo Documentar planes de emergencia
Monitoreo de palabras clave
Manual de crisis accesible en Intranet Sitios ocultos completos y actualizados
Simulacros de emergencia Información a los medios y usuarios en caso de emergencia
59 Planeación estratégica para casos de emergencia Desarrollar un sitio oculto con información acerca de medidas de seguridad, debe incluir formas de contactar a expertos y debe reemplazar al sitio normal en menos de una hora, con declaraciones de la alta dirección
El sitio debe estar en CD o ZIP para llevarlo a un ISP y publicarlo, avisando por los medios al público
Hay sitios que monitorean la red en caso de problemas, “The informant” y “Mind It” (perro guardian)
60 Seguridad computacional
61 Seguridad Computacional Seguridad Informática Disciplina que busca proteger la información ante eventos adversos
Se basa en 3 principios básicos: Confidencialidad
Integridad Disponibilidad
62 Seguridad Computacional Confidencialidad – La información sólo es revelada a los individuos o procesos autorizados
Integridad – La información no debe ser modificada de manera accidental o maliciosa
• Disponibilidad – Los recursos de información son accesibles en todo momento.
63 Los 10 mandamientos del usuario de la red
La utilización de los antivirus es importante, se debe ejecutar por lo menos una vez al día
En caso de que su equipo quede desatendido por alguna razón, debe de colocar el Protector de pantalla protegido con contraseña.
64 Los 10 mandamientos del usuario de la red
Si maneja información secreta lo mejor es mantenerla encriptada en su disco duro y en el servidor. Usar PGP(Pretty Good Privacy). No olvide asegurar su llave privada.
Para compartir información en la red, asegúrese de colocar los permisos estrictamente necesarios a los usuarios adecuados y por el mínimo tiempo posible.
65 Los 10 mandamientos del usuario de la red
Absténgase de instalar programas no autorizados en la red.
Procure que su equipo se encuentre en optimas condiciones, buena ventilación, mantenimiento de hardware y software por el personal autorizado de la empresa.
66 Los 10 mandamientos del usuario de la red Recuerde realizar copias de respaldo actualizadas de la información vital y colocarla en un lugar interno y externo seguro bajo llave y encriptada.
Mantener la información de la empresa en la misma y no transportarla a otros sitios diferentes.
Asegurarse de seguir cada uno de los 10 mandamientos.
67 Los 10 mandamientos del administrador de la red Siga, respalde y audite cada uno de Los 10 Mandamientos del usuario de la Red.
Establezca políticas de seguridad apropiadas para la red computacional de la empresa,
Implemente sistemas de seguridad para la red en cada uno de los servidores de la empresa utilizando Firewalls, proxy o filtros.
68 Los 10 mandamientos del administrador de la red
Responda inmediatamente a cualquier sugerencia o queja de un usuario con respecto a la seguridad de su información.
Procure no sobrecargar los servidores asignándoles muchos servicios, recuerde que esto baja el rendimiento y atenta contra la seguridad y la constancia de los servicios.
69 Los 10 mandamientos del administrador de la red El manejo de los puertos es fundamental a la hora de auditar posibles huecos de seguridad.
Implementar estrategias para la creación de copias de respaldo.
Debe leer diariamente los logs ( Archivo de texto que muestra el funcionamiento y la utilización del equipo)
70 Los 10 mandamientos del administrador de la red El acceso al centro de computo donde se encuentran los servidores de la empresa, debe ser completamente restringido y auditado a cada instante
Verificar la seguridad, conviértase en el Hacker de su empresa.
| Página siguiente |