Encriptacion
Upcoming SlideShare
Loading in...5
×
 

Encriptacion

on

  • 2,148 views

Monografia acerca de métodos de encriptación

Monografia acerca de métodos de encriptación

Statistics

Views

Total Views
2,148
Views on SlideShare
2,148
Embed Views
0

Actions

Likes
0
Downloads
63
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Encriptacion Encriptacion Document Transcript

  • HABILITACION PROFESIONAL MONOGRAFIA FINAL “ENCRIPTACION” Prof. Ing. Wilo Carpio José Daniel Muccela Legajo: 11-20196-1 Universidad Tecnológica Nacional Facultad Regional Tucumán
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL ENCRIPTACION♦ Introducción Uno de los puntos que siempre estuvo en discusión sobre el almacenamientode información en computadoras digitales, fue la seguridad de los mismos frente aposibles miradas indiscretas, desde que la primera computadora hizo su apariciónen alguna organización militar o gubernamental la necesidad de resguardar lainformación allí almacenada se hizo evidente. Para proteger la información almacenada se suele recurrir a las denominadastécnicas de encriptación, la encriptación consiste básicamente en convertir unmensaje en otro de forma tal que el mensaje original solo pueda ser recuperado porun determinado grupo de personas que saben como "desencriptar" (descifrar) elmensaje codificado. El esquema básico de encriptación implica la utilización de unpassword (contraseña) para “encriptar” (cifrar) de forma tal que solo puedandesencriptar el mensaje aquellos que conocen el password utilizado, esto trae variosproblemas como veremos más adelante. Con el advenimiento de Internet y la masificación absoluta de lascomunicaciones la privacidad de los datos se ha vuelto un tema muy en boga en losúltimos tiempos, originando todo tipo de problemas que involucran desde el mássimple e inocente usuario de Internet hasta las más altas organizacionesgubernamentales del planeta.♦ Sobre seguridadLos tipos de seguridad se dividen en: o física: contra daños materiales (descomposturas, fallas de energía, incendios, robo, etc.) y o lógica: control de datos a fin de reducir el riesgo de transferencia, modificación, pérdida o divulgación de los datos.Entre las formas mas conocidas de mantener la seguridad tanto física como lógicacabe mencionar las siguientes: - Clasificación del personal, - Sistema de control de acceso, - Sistemas de protección de acceso de usuarios (contraseñas), - Sistemas de protección de tiempo de espera en la terminal, - Encriptación, - Autenticación (firmas), - Restricción del tiempo de acceso, - Detección y expulsión de intrusos, - Asignación de propiedades, - Métodos de respaldo, - Control de virus, - Control de calidad del software, - Monitoreo y auditoria de sistemas. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 1
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL En el presente trabajo tratamos el tema de la Encriptación como medio deseguridad.♦ ¿Qué es la encriptación? La encriptación es el proceso en el cual los datos a proteger son traducidos aalgo que parece aleatorio y que no tiene ningún significado (los datos encriptados ocifrados). El proceso inverso se llama desencriptación en el cual los datosencriptados son convertidos nuevamente a su forma original. La base sobre la que se sustenta la encriptación es la criptografía. La palabra criptografía deriva del griego kryptos (ocultar) y grafos (escribir) Criptología es el arte de transformar un mensaje claro en otro sin sentidoalguno. Este mensaje debe ser reversible en el otro extremo igual que si no hubierasucedido nada. Criptografía significa literalmente “escritura secreta“, es la ciencia queconsiste en “transformar un mensaje inteligible“ en otro que no lo sea en absoluto,para después devolverlo a su forma original, sin que nadie que vea el mensajecifrado sea capaz de entenderlo. Esta es la definición más correcta de la criptografía.♦ Reseña Histórica Desde tiempos inmemorables siempre se busco, la forma de cifrar o “ocultar“un mensaje mediante técnicas reversibles, pero que a su vez volvían los textosininteligibles. Cifrar un texto o mensaje, conlleva a que si este es interceptado poralguien, el texto no pueda ser descifrado sin la clave correcta. Los sistemas criptográficos se han extendido como la pólvora en la Red,buenos y malos emplean la criptografía para “esconder“ sus mensajes. Los Crackersmás hábiles, por otro lado, tratan de demostrar que también los sistemascriptográficos más modernos caen ante ellos. Ya en el antiguo Egipto se emplearon sistemas criptográficos y prueba de elloson los jeroglíficos no estándar escritos en las paredes de las pirámides y algunastumbas. Esto, data de 4.000 años atrás y el sistema se basaba en figurasgeométricas y dibujos, que conformaban un mensaje no descifrable. Este sistema,podría ser realmente complejo ya que una forma geométrica indefinida podría decirmuchas cosas y no decir nada. Por otro lado los griegos ya empleaban sistemas criptográficos,aproximadamente en el año 500 a.C. Estos empleaban un curioso artilugio llamado“scytale“ que consistía en un cilindro alrededor del cual, se enrollaba una tira decuero. Se escribía un mensaje sobre la tira, y al desenrollarla, se podía ver una ristrade letras, aparentemente sin sentido alguno. Nótese que ya desde esa tempranaedad, los sistemas de cifrado se sostenían sobre la base de intercambiar laspalabras de los textos, y por tanto se trataban de sistemas de cifrado clásicos, yaque únicamente se necesitaban encriptar mensajes escritos. Julio Cesar también empleo un sistema de cifrado durante su reinado. Susistema se basaba en sustituir la letra a encriptar por otra letra distanciada a 3posiciones mas adelante. De esta forma se obtenían mensajes ininteligibles ydurante su reinado y posterior el sistema nunca fue desencriptado por aquelentonces. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 2
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL En el siglo XII, el sabio ingles Roger Bacon, describió diversos métodoscriptográficos al igual que Gabriel di Lavinde “quien inventó el sistemaNomemclator“, quien publicó en 1379 una compilación de sistemas a petición delPapa Clemente VII. Es bien curioso saber que hasta la propia iglesia tenía que echarmano a sistemas criptográficos. Los sistemas empleados por esas fechas indudablemente se basaban enmétodos clásicos por sustitución. En 1467 León Battista Alberti invento el primer sistema criptográficopolialfabetico y no fue hasta el siglo XVIII, cuando fue descifrado. En 1790 ThomasJefferson invento su cilindro de transposiciones, que fue ampliamente utilizadodurante la segunda guerra mundial por la armada de los Estados Unidos. Pero elsistema no duraría mucho, ya que se basaba en un sistema polialfabetico y en 1861se publicó la primera solución generalizada para resolver cifrados polialfabeticos,poniendo fin a 400 años de silencio. Sin embargo los sistemas criptográficos no experimentaron ni parada algunani mucho menos demora en sus sistemas de cifrado. Las grandes guerrasimpulsaron la creación de nuevos sistemas criptográficos más potentes y difíciles deentender. La maquina Enigma desarrollada por los alemanes a mediados de los 70fue un duro golpe para el criptoanálisis y sobre todo para los expertos en sistemascriptográficos. Poco después de los 70 aparecieron los sistemas criptográficos denominadosmodernos. Así en 1976 el código DES hizo su aparición gracias al desarrollo decomputadores digitales. A partir de hay los algoritmos y sistemas de criptografíaexperimentarían un interés ineludible. El sistema DES fue el primero de los sistemascomplejos, pero introdujo la clave secreta, que debía, esta, ser muy guardada si sequería mantener la fuerza del sistema, pero ese mismo año hacían la apariciónestelar Diffie y Hellman, creadores del primer sistema de cifrado basado en clavespublicas. Sistemas altamente seguros. Un año después Rivert, Shamir y Adelman se sacaban de la manga elsistema criptográfico de actualidad, el RSA. Un sistema basado en buscar númerosprimos, nada fácil de solucionar. Hasta la fecha el sistema esta siendo empleado porcomputadores y sistemas de codificación de canales de televisión. Finalmente, el sistema criptográfico más conocido en la red de Internet paratodos los cibernautas, es el sistema PGP (Pretty Good Privacy -privacidad bastantebuena- aplicación que permite la encriptación de datos y mensajes) de PhilZimmerman, creado en 1991. Sin embargo hay que decir que este sistemacriptográfico, más que eso, es un programa que reúne los sistemas criptográficosmás fuertes del mercado como el DSS o el de Diffie-Hellman. Pero lo que hace es jugar con ellos y así se obtienen brillantes encriptacionesrealmente seguras. Hoy por hoy el sistema objetivo por un gran número de Hackers es elmencionado PGP, ya que es el mas ampliamente utilizado por los navegantes. Demomento no se ha conocido apertura ninguna de este sistema, sin embargo losnuevos ordenadores del futuro, ponen en manos de Hackers herramientasverdaderamente potentes que acabaran con todos estos sistemas criptográficos degran seguridad. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 3
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL♦ ¿Donde se aplica? En el mundo de las computadoras la criptografía puede ser utilizada para variascosas, algunas áreas importantes en donde se utiliza la criptografía son: o La encriptación de información critica que debe ser almacenada en computadoras, actos gubernamentales, informaciones secretas, información de tarjetas de crédito, números de la seguridad social, correspondencia privada, datos personales, información sensitiva de una compañía o empresa, información de datos bancarios, etc. o La encriptación de mensajes enviados a través de redes, redes locales, redes públicas e Internet. o La certificación de identidad de quienes envían mensajes importantes a través de Internet. o Protección de información delicada que deba enviarse a través de Internet como, por ejemplo, números de tarjetas de crédito. o Encriptación de comunicaciones telefónicas, radiales o televisivas que pueden ser interceptadas. o En la actualidad las industrias manufactureras de dispositivos electrónicos están implementando en gran medida el uso de llaves de acceso a dichos dispositivos.♦ Tipos de Criptosistemas. Clasificación de los métodos Criptosistemas Métodos Clásicos Métodos Modernos Métodos por Métodos por Sistemas Sistemas Sustitución Transposición Simétricos AsimétricosMétodos Clásicos Los métodos clásicos son aquellos que existieron desde siempre y sonmétodos desarrollados para cifrar mensajes escritos a mano o en maquinas deimpresión. Los métodos clásicos se basan en la sustitución de letras por otra y en latransposición, que juegan con la alteración del orden lógico de los caracteres delmensaje. Así a los métodos clásicos les han salidos dos formas de cifrado,denominados grupos, que son “métodos por sustitución“ y “métodos portransposición“. Los métodos por sustitución son aquellos que cambian palabras por otras,esta simple forma de cifrar siempre ha obtenido buenos resultados. Los métodos por transposición son aquellos que alteran el orden de laspalabras del mismo mensaje. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 4
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL Dentro de los métodos por sustitución podemos mencionar los siguientes: - Cifrado CESAR (Caesar) o monoalfabético simple El algoritmo de Cesar, llamado así porque es el que empleaba Julio Cesarpara enviar mensajes secretos, es uno de los algoritmos criptográficos más simples.Consiste en sumar 3 al número de orden de cada letra. De esta forma a la A lecorresponde la D, a la B la E, y así sucesivamente.Sustituir A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y ZPor D E F G H I J K LMN ÑO P Q R ST U VW X Y Z C BA De esta manera si por ejemplo usamos el mensaje “Habilitación Profesional”,el mensaje resultante quedaría de la siguiente manera: KDELÑLWDFLRP SURIHVLRPDÑ Notar que este algoritmo ni siquiera posee clave, puesto que latransformación siempre es la misma. Obviamente, para descifrar basta con restar 3al número de orden de las letras del criptograma. Fue el primero que se utilizó del cual se tienen registros. El sistema esmonoalfabético y es realmente muy malo, su único valor es el valor histórico dehaber sido el primero. - Cifrado monoalfabético general Es un sistema que se basa en sustituir cada letra por otra de forma aleatoria. Esto supone un grado más de complejidad en el método de cifrado anterior. Un ejemplo seria el siguiente:Sustituir A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y ZPor Z CQ V A J G ÑWNF B U M R H I O D Y X T P E S L K Si usamos el mensaje “Habilitación Profesional”, el mensaje resultantequedaría de la siguiente forma: ÑZCWBWXZQWHM IDHJAYWHMZB. - Cifrado por sustitución polialfabética Es un método que emplea mas de un alfabeto de sustitución. Esto es, seemplean varias cadenas de palabras aleatorias y diferentes entre si, para despuéselegir una palabra distinta según una secuencia establecida. Aquí nacen las clavessecretas basadas en números. Este sistema es algo más complejo que losanteriores y a veces resulta difícil descifrar mensajes cuando empleamos más dediez columnas de palabras aleatorias. Sigamos un ejemplo:Sustituir A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y ZPor 1/ FQ R A L K Z S J ÑMY T Y V D B E W VN O C X H PG 2/ GA W H V M UY FQ L B R C J N D S K TÑ P Z O Y X E 3/ CÑ O GD Q HA R PY T X E WV BM V LY F S N Z K J UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 5
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONALCon una clave 2-3-1, por ejemplo el mensaje “Habilitación Profesional” quedaría así: YCQFTJÑCRFVY DVDMDVFVYGT Dentro de los métodos por transposición podemos mencionar los siguientes: - Cifrado inverso Es quizás una de las formas más simples de cifrar una imagen y esprobablemente reconocida por todos nosotros. Es normal escribir del revés cuandoestamos aburridos, pero lo cierto es que este es un sistema de cifrado. La forma dehacerlo es simplemente escribiendo el mensaje al revés. Sigamos con el ejemplo de “Habilitación Profesional”. El mensaje resultantequeda: LANOISEFORP NOICATILIBAH - Cifrado en figura geométrica El mensaje se empieza por escribir siguiendo un patrón preestablecido y seencripta siguiendo una estructura geométrica basado en otro patrón. Este últimopatrón puede ser verdaderamente complejo según la extensión del mensaje escrito yla forma de seguimiento de la línea. Un ejemplo simple seria el que sigue:Consideremos la frase “EL HACKER ESTA AL ACECHO” El HAC KER ESTA AL ACE CHOPatrón de cifrado;Mensaje cifrado: ECALHKAHOACRECEATSE - Cifrado por filas Consiste en escribir el mensaje en columnas y luego utilizar una regla parareordenarlas. Esta regla elegida al azar será la clave para cifrar el mensaje. También aquíes importante saber la clave secreta para poder descifrar el mensaje. En estaocasión el mensaje puede estar fuertemente encriptado si se emplean textosrelativamente largos. Un buen ejemplo sencillo es el que sigue: Consideremosnuevamente la frase “EL HACKER ESTA AL ACECHO”ELHACK Si la clave es 6 3 1 5 4 2, el mensaje queda: KHECALERESTA AEETSRALACEC CAAECLCHO OCH Notar que los números corresponden a las columnas de la palabra original,así K está en la sexta columna y de ahí que la letra E tenga que ser reemplazadapor la letra K y así sucesivamente. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 6
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONALMétodos Modernos Los métodos modernos se basan en combinar secuencias de dígitos creadosde forma aleatoria con los dígitos del mensaje, mediante puertas lógicas, en el casode los módulos PRG sencillos. Otros emplean algoritmos matemáticos de grancomplejidad para permutar mensajes de cierta longitud de bits. Dentro de losmétodos modernos encontramos dos grandes grupos:Sistemas (o algoritmos) Simétricos y Asimétricos: Los sistemas simétricos, son sistemas de cifrado basados en “clavessecretas” (o también llamadas claves privadas), estos, emplean la misma clave paraencriptar y desencriptar el mensaje o los datos de control del descodificador. Los algoritmos simétricos se clasifican en algoritmos para bloques de textoo flujo de datos. Los primeros trabajan sobre un grupo o bloque de bytes, entamaños definidos; los segundos encriptan byte a byte toda la información. Los algoritmos más utilizados son los siguientes:- DES: Adoptado como estándar ANSI en 1977. En una técnica de cifrado sobrebloques de texto que usa claves de 56 bits.- DESX: variación del DES; introduce un proceso de encriptado en dos fases quehace prácticamente imposible encontrar la clave.- Triple-DES: Algoritmo DES pero utilizando tres claves distintas. Este algoritmo esel más utilizado en transacciones en instituciones financieras.- RC2: Sistema de cifrado en bloques adoptado inicialmente por la agencia RSA;admite claves con longitudes entre 1 y 2048 bits. La versión de exportación limita suuso a claves de 40 bits. Desarrollado por Ronald Rivest.- RC4: Sistema de cifrado de flujo, también adoptado por por la agencia RSA; admiteclaves con longitudes entre 1 y 2048 bits. La versión de exportación limita su uso aclaves de 40 bits. Desarrollado por Ronald Rivest en 1994.- RC5: Sistema de cifrado en bloques adoptado inicialmente por la agencia RSA;admite claves con longitudes entre 1 y 2048 bits. Permite que el usuario varíe eltamaño del bloque que se encripta en cada paso. Desarrollado por Ronald Rivest.- IDEA (International Data Encription Algorithm): Desarrollado por Xuejia Lay yJames Massey. A pesar de que solamente lleva unos años en uso, esprobablemente el mejor algoritmo de bloques existente. Utiliza clave de 128 bits y secree que es resistente al criptoanálisis. Se encuentra bajo patente de Ascom-Tech,aunque se permite su uso gratuito para aplicaciones no comerciales.- SAFER: Algoritmo diseñado por Robert Massey (uno de los creadores de IDEA).Tiene claves de hasta 128 bits y, a pesar de algunas debilidades en la primeraversión y de ciertos ataques, parece un algoritmo seguro. Este programa fuedesarrollado para la empresa Cylink, que algunos ligan a la no muy querida Agenciade Seguridad Nacional norteamericana (NSA); por ello, hay quien no se fía. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 7
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL- CAST (Carlisle Adams y Stafford Tavares): tiene estructura similar a la de Blowfish.Parece ser un buen algoritmo, aunque tampoco lleva el tiempo suficiente como parahaber sido atacado hasta la saciedad. De momento, sus posibilidades son buenas.Se conocen ataques criptoanalíticos contra la versión de clave 64 bits, aunque distanmucho de ser eficaces (requieren 2^17 textos sin cifrar y 2^48 cálculos diferentes).No se conocen ataques contra la versión de 128 bits. Ha sido patentado por EntrustTechnologies, quienes permiten el uso libre de este algoritmo.- Blowfish: creado por Bruce Schneier, autor del libro Applied Criptography(considerado por muchos como la "biblia" en cuestiones de criptografía). Utilizaclaves de hasta 448 bits y, hasta el momento, ha resistido con éxito todos losataques. Por ello y por su estructura se le considera uno de los algoritmos másseguros, a pesar de lo cual no se utiliza masivamente. Tal vez se deba a su relativajuventud (la del algoritmo, no la de Schneier). Su autor no ha patentado el métodopara que pueda ser empleado sin limitaciones. Los sistemas asimétricos, sin embargo, operan con dos claves distintas.Emplean una “clave pública“ para encriptar y otra “clave secreta“ para desencriptar.Este cifrado es más complejo y por tanto posee un mayor nivel de seguridad. Los algoritmos asimétricos se clasifican en algoritmos para bloques de textoo flujo de datos. Los primeros trabajan sobre un número de bytes, en tamañosdefinidos; los segundos encriptan byte a byte toda la información. Los algoritmos más utilizados son los siguientes:- Diffie-Hellman key exchange: propiamente es un sistema para generar eintercambiar una llave compartida por un canal no seguro.- RSA: Sistema de claves públicas desarrollodo por Rivest, Shamir y Adleman (MIT).Es utilizado tanto para encriptar información como para firma digital. Los sistemas defirma digital se utilizan para garantizar que el autor de la información es el firmante(es decir, que la información no ha sido modificada por un tercero). La clave puedetener una longitud variable y puede ser tan grande como se desee.- DSS: El sistema de firma digital (digital signature system) fue desarrollado por laAgencia de Seguridad Nacional de los EE. UU. (NSA) y puede utilizar claves entre512 y 1024 bits de longitud. Los sistemas de cifrado simétricos, como se habrá intuido son más débilesque los sistemas de cifrado asimétricos, esto es así, porque ambos, emisor yreceptor deben de emplear la misma clave, tanto para el proceso de encriptacióncomo para el proceso de desencriptación. De esta forma esta clave debe serenviada a través de un medio de transmisión. Un Hacker podría leer esta clave yemplearla para desencriptar el mensaje. Si ciframos esta clave con otra clave,siempre estaríamos igual, ya que la ultima clave revelaría siempre la clave oculta.Sin embargo los sistemas de cifrado asimétricos, al emplear distintas claves, permiteel uso de medios de transmisión poco seguros. La seguridad de estos sistemas depende de la longitud de la clave. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 8
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL La implementación de encriptación y autentificación afecta la velocidad detransmisión de los paquetes, por lo que se debe utilizar solamente para informaciónmuy importante.♦ Actualidad de la encriptación En la actualidad, la criptografía no sólo se utiliza para comunicar informaciónde forma segura ocultando su contenido a posibles fisgones. Una de las ramas de lacriptografía que más ha revolucionado el panorama actual de las tecnologíasinformáticas es el de la firma digital: tecnología que busca asociar al emisor de unmensaje con su contenido de forma que aquel no pueda posteriormente repudiarlo.♦ ¿Es segura la encriptación que existe hoy en día? El punto más importante en este asunto es que depende de quien intenteobservar la información!, aunque la información sea enviada encriptada (cifrada),cualquier persona en Internet con entrenamiento mínimo puede interceptar estainformación encriptada, sin embargo, para observarla requiere de su "llave privada"que se explicó anteriormente. Consideremos que una computadora personal (PC) puede realizar millonesde operaciones por segundo, debido a esto, no está tan lejos de la razón generaruna "llave privada" a partir de cierta información interceptada; las "llaves privadas"generalmente constan de 40-bits, en una PC es posible (aunque lleva tiempo)procesar estas 2^40 alternativas, La situación cambia si se tienen varios servidoresen paralelo realizando trillones de operaciones por segundo ya que probablementesea posible procesar estas 2^40 alternativas en cuestión de minutos. Lo anterior es una de la razones por las por ejemplo Estados Unidos cuida (omejor dicho cuidaba!) con tanto recelo la exportación de encriptación de 128-bits, lacual es 3 veces más poderosa (2^128 alternativas) que la de 40-bits. Públicamente se conoce que en los servidores más poderosos del mercadoes posible descubrir una "llave privada" en cuestión de días de procesamiento. Estoobviamente detiene a aquellas personas ("hackers") con servidores "comunes" y eneste caso hasta oficinas de seguridad gubernamentales en "desencriptar"información con este tipo de encriptación. En definitiva, la efectividad, o nivel de seguridad, de la encriptación se mideen términos del tamaño de la clave (mientras más larga es la clave, mayor sería eltiempo que le tomaría a una persona sin el decodificador correcto para decodificar elmensaje.♦ ¿Seguridad es igual a encriptación? Los Problemas de Seguridad se presentan por diversos motivos. Falta de protección o tal vez porque no hay una protección adecuada. Si hablamos específicamente de la encriptación como mecanismo deseguridad cabe hacer la pregunta: ¿Es segura la encriptación que estamosutilizando para proteger la información almacenada o la que desea transmitir? A esto UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 9
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONALse le puede agregar todo lo concerniente a los recaudos físicos necesarios, tanto deequipos como de las salas donde se encuentran los mismos. A partir de aquí es que hay que analizar los mecanismos de seguridad que seestén utilizando (si es que los hay) y tomando como base los resultados de dichoanálisis implementar un nivel de seguridad adecuado para la información ytransmisión de la misma.♦ Consideraciones sobre los algoritmos de clave privada Los algoritmos de clave privada pueden construirse tan eficientes como sedesee utilizando passwords más y más largos, sin embargo por más largo que sea elpassword estos algoritmos presentan una vulnerabilidad evidente: el password. En un esquema de encriptación por clave privada todo aquel que conozca elpassword es capaz de desencriptar un mensaje, de aquí que a veces, es masimportante estudiar como proteger el password que como trabaja el algoritmoelegido. Además, muchas veces es necesario transmitir, o enviar el password aalguna persona por lo que será necesario a su vez encriptar el password ingresandoen un loop infinito. Muchas veces el password es tan vulnerable que los criptoanalistas no semolestan en descifrar el código interceptado sino que directamente intentanaveriguar el password. Uno de los ejemplos más habituales consiste en averiguarpasswords que permiten el acceso a determinados sistemas: cuentas bancarias,computadoras, computadoras donde se guardan otros passwords, etc. Acontinuación se mencionan algunas de las técnicas mas utilizadas para robo depasswords.- Shoulder Surfing Esta técnica es la más básica y consiste en merodear a aquellas personasque conocen el password que se quiere averiguar intentando ver si se consiguevisualizar el momento en que el password es tipeado en un teclado o escrito enalgún papel, variantes más modernas de esta técnica incluyen programas residentesque monitorean las teclas que se oprimen en el teclado, cámaras que registran loque se tipea desde un punto elevado, etc. La forma mas elemental es como sunombre lo indica observar por encima del hombro de la persona que tipea elpassword, parece tonto pero se utiliza muchísimo.- Caballos de Troya Los caballos de Troya son programas que se diseñan con el fin específico derobar passwords. El programa es introducido en una computadora y lo que hace essimplemente cada vez que es ejecutado pedirle el password al usuario y si este lotipea (grave error) guardarlo en un archivo. Luego lo único que hay que hacer escada tanto consultar el archivo y ver que es lo que nuestro caballo de Troya hapescado. Una de las reglas de seguridad mas importantes que establecen losadministradores de sistemas es adiestrar a los usuarios para que JAMAS ingresensu password una vez que se han logoneado en el sistema, además suele serrecomendable resetear la terminal antes de logonearse al sistema por si el usuarioanterior dejo andando un caballo de Troya que imita al programa de login. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 10
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL- Ingeniería Social Esta disciplina puede parecer ridícula pero es la más exitosa en cuanto a robode passwords. La Ingeniería Social consiste en conseguir que una persona,simplemente, le diga su password a otra. Las técnicas son de lo mas variadas:llamados telefónicos pidiendo el password pues se cayó un disco y hay quebackupear la información de cada usuario, pedidos de password para verificacionesrutinarias, encuestas a ver quien tiene el password mas seguro, etc. Aunque parezca mentira hay personas realmente especializadas en este tipode ataques.♦ Legalidad y encriptación-Ley 25506La ley 25506 promulgada el 11 de diciembre de 2001 en Argentina, ‘... reconoce elempleo de la firma electrónica y de la firma digital y su eficacia jurídica en lascondiciones que establece la presente ley’. Establece que la firma digital puede serutilizada en todos los lados que la ley requiera una firma holográfica, excluyendo aactos jurídicos por causa de muerte, del derecho de familia, actos de personalismoen general. Las llaves utilizadas, deben ser certificadas por la Autoridad CertificanteLicenciadas del Gobierno. Además, la exigencia legal de conservar documentos,registros o datos, también queda satisfecha con la conservación de loscorrespondientes documentos digitales firmados digitalmente, según losprocedimientos que determine la reglamentación. La ley, no prevé sobre como seadministra el uso de las llaves, estas corren por cuenta de los usuarios de que lamantengan en secreto y que los lugares donde se implementan (por ejemplo,ordenadores) sean confiables, pero la ley es una buen camino para acelerar laburocracia, los trámites de ministerios y secretarías.- Ley de delitos informáticos en Argentina En la República Argentina se estudió el tema relacionado con los delitosinformáticos, resultando entre otros los siguientes artículos relacionados al tema quese ha tratado en este trabajo:Acceso Ilegítimo Informático:Artículo 1: Será reprimido con pena de multa de mil quinientos a treinta mil pesos, sino resultare un delito más severamente penado, el que ilegítimamente y a sabiendasaccediere, por cualquier medio, a un sistema o dato informático de carácter privadoo público de acceso restringido. La pena será de un mes a dos años de prisión si elautor revelare, divulgare o comercializare la información accedida ilegítimamente. Enel caso de los dos párrafos anteriores, si las conductas se dirigen a sistemas o datosinformáticos concernientes a la seguridad, defensa nacional, salud pública o laprestación de servicios públicos, la pena de prisión será de seis meses a seis años. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 11
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONALDaño Informático:Artículo 2: Será reprimido con prisión de un mes a tres años, siempre que el hechono constituya un delito más severamente penado, el que ilegítimamente y asabiendas, alterare de cualquier forma, destruyere, inutilizare, suprimiere o hiciereinaccesible, o de cualquier modo y por cualquier medio, dañare un sistema o datoinformático.Artículo 3: En el caso del artículo 2º, la pena será de dos a ocho años de prisión, simediara cualquiera de las circunstancias siguientes: 1) Ejecutarse el hecho con el fin de impedir el libre ejercicio de la autoridad o en venganza de sus determinaciones; 2) Si fuera cometido contra un sistema o dato informático de valor científico, artístico, cultural o financiero de cualquier administración pública, establecimiento público o de uso público de todo género; 3) Si fuera cometido contra un sistema o dato informático concerniente a la seguridad, defensa nacional, salud pública o la prestación de servicios públicos. Si del hecho resultaren, además, lesiones de las descritas en los artículos 90 o 91 del Código Penal, la pena será de tres a quince años de prisión, y si resultare la muerte se elevará hasta veinte años de prisión. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 12
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL♦ Conclusión Si hay un tema candente en materia de Sistemas de Información, es laseguridad. Seguridad en todo sentido, tanto lógica como física, ya que siempre hayalguien interesado en conocer parte o toda la información que manejamos así comotener (si existe posibilidad) acceso físico a los equipos. Hay que estar siempre alerta, especialmente si manejamos información através de la red. Para ello debemos estar informados de las nuevas tecnologías y delas nuevas formas de amenazas y delitos informáticos que aparecen. Y en estepunto tengo que exponer lo que estoy observando y escuchando de los usuariosúltimamente y es el hecho de que hay un mayor interés por conocer cuales son losmecanismos de seguridad y protección disponibles para así poder mantener lainformación y los equipos bien resguardados. El tema de la Encriptación que se expuso en este trabajo es uno de los temasligados a la seguridad, especialmente para proteger información de clientes y de lapropia empresa, entre otras. Como profesionales que seremos en Sistemas de Información, tenemos queconocer no sólo la forma de manejar la información, sino también como mantenerlasegura de personas indeseables. Con la formación técnica-científica que recibimos debemos ser capaces deevaluar y seleccionar los métodos de seguridad apropiados que se han deimplementar sin apartarnos de la ética profesional. UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 13
  • MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL♦ Bibliografía- Conceptos sobre seguridad de la información - Instituto Nacional de Estadísticas eInformática(INEI)- Hackers, los piratas del Chip y de Internet - Capitulo 6 - Claudio HernándezWeb: http://perso.wanadoo.es/snickers/ - E Mail: snickers@wanadoo.es- Criptografía - Textos Científicos -Web: www.textoscientificos.com/criptografia- Encriptación de Comunicaciones - Universidad de Cantabria –Web: www.unican.es/WebUC/Unidades/SdeI/servicios/soporte/guias/seguridad- Privacidad en la Red: Como encriptar un mensaje? - Revista Consumer nº 48Octubre de 2001 - Web: http://revista.consumer.es/web/es/20011001- Seguridad en el comercio electrónico - Microsoft TechNet - Microsoft Corporation1.999 - Web:www.reduy.com/computacion/ms-com-electronico/technet-5.htm- Seguridad y algoritmos de encriptación - 2.006 -Web: www.cryptoforge.com.ar/- Una Introducción a la Criptografía - Mario Merino Martinez- El Papel Digital - Juan F. Codagnone - E Mail: juam@arnet.com.ar- Seguridad y Encriptación - 2000 - Osmosis LatinaWeb: www.osmosislatina.com/aplicaciones/seguridad.htm- Seguridad y Privacidad - Citibank NA Sucursal Panamá - Web:www.latam.citibank.com/panama/lapagl/spanish/accounts/internet/segpriv.htm#a5- Negocios en Internet - ING. Marcelo Simón - MAG. Mónica R. de ArtecheWeb: http://www.gestionyestrategia.com/doc/neginternet05.pdf UNIVERSIDAD TECNOLÓGICA NACIONAL – FACULTAD REGIONAL TUCUMÁN 14