El documento trata sobre seguridad de la información y las infraestructuras de seguridad. Explica que la seguridad de la información debe garantizar la confidencialidad, integridad, disponibilidad e irrefutabilidad. Además, se divide la seguridad en física y lógica, y describe algunas tecnologías utilizadas como firewalls, gestión de usuarios, antivirus, VPN, entre otras. Finalmente, introduce conceptos de criptografía como cifrado simétrico, asimétrico, algoritmos como RSA, DSA, ElGam
15. SEGURIDADSEGURIDADSEGURIDADSEGURIDAD LOGICALOGICALOGICALOGICA
Objetivos
Restricciones y controles al acceso de programas y archivos.
Asegurar que Operadores trabajen sin una supervisión
minuciosa y con restricciones y controles especificos
Asegurar que se usen datos, archivos y programas correctos en
y por el procedimiento correcto.
Asegurar información transmitida sea sólo recibida por el
destinatario al cual ha sido enviada y no a otro.
Asegurar que la información recibida sea la misma que ha sido
transmitida.
Asegurar que existan sistemas alternativos secundarios de
transmisión entre diferentes puntos.
Asegurar metodos alternativos en casos de contingencias
18. SEGURIDADSEGURIDADSEGURIDADSEGURIDAD LOGICALOGICALOGICALOGICA
Amenazas interna .-Se generan dentro de la
organización o empresa y son mas peligrosas
Los usuarios conocen la red y saben cómo es su
funcionamiento.
Tienen algún nivel de acceso a la red por las
mismas necesidades de su trabajo.
Los IPS y Firewalls son mecanismos no efectivos
en amenazas internas.
19. SEGURIDADSEGURIDADSEGURIDADSEGURIDAD LOGICALOGICALOGICALOGICA
Amenazas externas: Se originan de afuera de la
red.
Al no tener información certera de la red, un
atacante tiene que realizar ciertos pasos para
poder conocer qué es lo que hay en ella y buscar
la manera de atacarla.
La ventaja que se tiene en este caso es que el
administrador de la red puede prevenir una buena
parte de los ataques externos.
55. DESDESDESDES
El algoritmo de cifrado DES usa una clave
de 56 bits, lo que significa que hay 2 elevado
a 56 claves posibles
(72.057.594.037.927.936 claves)
59. IIIIDDDDEEEEAAAA
El espacio de claves es mucho más grande:
2128 ≈ 3.4 x 1038
Todas las operaciones son algebraicas
No hay operaciones a nivel bit, facilitando su
programación en alto nivel
Se pueden utilizar todos los modos de
operación definidos para el DES
61. AESAESAESAES
AES tiene un tamaño de bloque fijo de 128 bits y
tamaños de llave de 128, 192 ó 256 bits,
El diseño y fortaleza de todas las longitudes de
claves (i.e., 128, 192 y 256) ; son suficientes para
proteger información clasificada hasta el nivel
SECRET .
La informacion a nivel TOP SECRET requiere el
uso de tanto longitudes de clave de 192 o 256 bits
62.
63. AESAESAESAES
Advanced Encryption Standard (AES),
también conocido como Rijndael, es un
esquema de cifrado por bloques adoptado
como un estándar de cifrado por el
gobierno de los Estados Unidos.
Se espera que sea usado en el mundo
entero y analizado exhaustivamente, como
fue el caso de su predecesor, el Data
Encryption Standard (DES)
67. DESVENTAJASDESVENTAJASDESVENTAJASDESVENTAJAS DIFFIEDIFFIEDIFFIEDIFFIE HELLMANHELLMANHELLMANHELLMAN
Sin embargo, el protocolo es sensible a
ataques activos del tipo "hombre en el
medio" (mitm, man-in-the-middle).
Si la comunicación es interceptada por un
tercero, éste se puede hacer pasar por el
emisor cara al destinatario y viceversa, ya
que no se dispone de ningún mecanismo
para validar la identidad de los participantes
en la comunicación.
69. RSARSARSARSA
El sistema criptográfico con clave
pública RSA es un algoritmo asimétrico
cifrador de bloques, que utiliza una clave
pública, la cual se distribuye (en forma
autenticada preferentemente), y otra
privada, la cual es guardada en secreto por
su propietario.
71. RSRSRSRSAAAA.
Una clave es un número de gran tamaño, que
una persona puede conceptualizar como un
mensaje digital, como un archivo binario o
como una cadena de bits o bytes.
Los mensajes enviados usando el algoritmo
RSA se representan mediante números y el
funcionamiento se basa en el producto de
dos números primos grandes (mayores que
10100) elegidos al azar para conformar la
clave de descifrado.
72. RSARSARSARSA
RSA es mucho más lento que DES y que
otros criptosistemas simétricos.
Como todos los cifrados, es importante
como se distribuyan las claves públicas del
RSA. La distribución de la clave debe ser
segura contra un atacante que se disponga
a espiar el canal para hacer un ataque de
replay
73. RRRRSASASASA
Contra la defensa de ataques algunos
están basados en certificados digitales u
otros componentes de infraestructuras de la
clave pública.
74. DSADSADSADSA
DSA (Digital Signature Algorithm, en español
Algoritmo de Firma digital) es un estándar del
Gobierno Federal de los Estados Unidos de
América o FIPS para firmas digitales.
Fue un Algoritmo propuesto por el Instituto
Nacional de Normas y Tecnología de los Estados
Unidos para su uso en su Estándar de Firma
Digital(DSS), especificado en el FIPS 186.
Una desventaja de este algoritmo es que requiere
mucho más tiempo de cómputo que RSA.
75. EEEELLLLGGGGAAAAMALMALMALMAL
Esquema de cifrado basado en problemas
matemáticos de algoritmos discretos. Es un
algoritmo de criptografía asimétrica basado
en la idea de Diffie-Hellman y que funciona
de una forma parecida a este algoritmo
discreto.
El algoritmo de El Gamal puede ser
utilizado tanto para generar firmas digitales
como para cifrar o descifrar.
77. CRIPTOGRAFIA DECRIPTOGRAFIA DECRIPTOGRAFIA DECRIPTOGRAFIA DE CURVACURVACURVACURVA ELIPTICAELIPTICAELIPTICAELIPTICA
Variante de la criptografía asimétrica o de
clave pública basada en las matemáticas
de las curvas elípticas.
Sus autores argumentan que la CCE puede
ser más rápida y usar claves más cortas
que los métodos antiguos — como RSA —
al tiempo que proporcionan un nivel de
seguridad equivalente.
78. ECCECCECCECC RSARSARSARSA DSADSADSADSA TAMAÑOSTAMAÑOSTAMAÑOSTAMAÑOS DEDEDEDE CLAVECLAVECLAVECLAVE
NIST y ANSI X9 han establecido unos
requisitos mínimos de tamaño de clave de
1024 bits para RSA y DSA y de 160 bits para
ECC, correspondientes a un bloque simétrico
de clave de 80 bits.
NIST ha publicado una lista de curvas
elípticas recomendadas de 5 tamaños
distintos de claves (80, 112, 128, 192, 256).
En general, la CCE sobre un grupo binario
requiere una clave asimétrica del doble de
tamaño que el correspondiente a una clave
simétrica.
79. FUNCIONESFUNCIONESFUNCIONESFUNCIONES HASHHASHHASHHASH
En informática, Hash se refiere a una función o
método para generar claves o llaves que
representen de manera casi unívoca a
un documento, registro, archivo, etc., resumir o
identificar un dato a través de la probabilidad,
utilizando una función hash o algoritmo hash.
Un hash es el resultado de dicha función o
algoritmo.
82. MDMDMDMD5555
En criptografía, MD5 ( de Message-Digest
Algorithm 5, Algoritmo de Resumen del
Mensaje 5) es un algoritmo de reducción
criptográfico de 128 bits ampliamente usado.
83. MD5MD5MD5MD5 EJEMPLOS
MD5 ("Esto sí es una prueba de MD5") =
e99008846853ff3b725c27315e469fbc
Un simple cambio en el mensaje nos da un
cambio total en la codificación hash, en este
caso cambiamos dos letras, el «sí» por un
«no».
MD5 ("Esto no es una prueba de MD5") =
dd21d99a468f3bb52a136ef5beef5034
85. SSSSHHHHAAAA
El primero salió en 1993 , oficialmente llamado
SHA. Sin embargo, hoy día, no oficialmente se
le llama SHA-0 para evitar confusiones con sus
sucesores.
Dos años más tarde su sucesor de SHA fue
publicado con el nombre de SHA-1.
Existen cuatro variantes más, cuyas diferencias
se basan en un diseño algo modificado y rangos
de salida incrementados: SHA-224, SHA- 256,
SHA-384, y SHA-512 (llamándose SHA- 2 a
todos ellos).
91. FIRMAFIRMAFIRMAFIRMA DIGITALDIGITALDIGITALDIGITAL
Las firmas digitales son comúnmente
utilizadas para la distribución de software,
transacciones financieras y en otro casos
donde es importante detectar adulteraciones,
fraudes y tampering
92. FIRMAFIRMAFIRMAFIRMA DIGITALDIGITALDIGITALDIGITAL
Consiste de 3 algoritmos:
Un algoritmo para la generación de claves que
selecciona una clave privada de manera aleatoria
y uniforme de un posible grupo de claves privadas.
La salida del algoritmo nos da la clave privada y su
clave publica.
El algoritmo de firma, el cual dado un mensaje y
una clave privada, produce una firma.
El algoritmo de verificación, el cual dado un
mensaje, una clave publica y una firma; acepta o
rechaza el mensaje.
94. PPPPGGGGPPPP
PGP (Pretty Good Privacy).- usa una
combinacion serial de :
hashing,
compresion de datos,
criptografia de clave simétrica y finalmente
criptografia de clave publica;
cada paso involucra el uso de varios de estos
algoritmo soportados.
95. PPPPGGGGPPPP
IETF ( Internet Engineering Task Force) se
ha basado en el diseño de PGP para crear
el estándar de Internet OpenPGP.
Las últimas versiones de PGP son
conformes o compatibles en mayor o menor
medida con ese estándar.
La compatibilidad entre versiones de PGP y
la historia del esfuerzo por estandarizar
OpenPGP, se tratan a continuación.
96. PPPPGGGGPPPP
Seguridad en PGP
Utilizado correctamente, PGP puede
proporcionar un gran nivel de seguridad.
A diferencia de protocolos de seguridad
como SSL, que sólo protege los datos en
tránsito (es decir, mientras se transmiten a
través de la red), PGP también puede
utilizarse para proteger datos almacenados
en discos, copias de seguridad, etcétera.
PGP Usa una función de 4 claves
97. WEBWEBWEBWEB OF TRUSTOF TRUSTOF TRUSTOF TRUST PGPPGPPGPPGP
En criptografía un web de confianza, ( web
of trust) es un concepto utilizado
en PGP, GnuPG, y otros sistemas
OpenPGP- compatible, para establecer la
autenticidad de la ligadura entre una clave
publica y un usuario.
Este modelo de raíz descentralizada, es
una alternativa al modelo centralizado de
infraestructura de claves publicas (PKI ), el
cual descansa exclusivamente sobre una
autoridad certificadora.
98. PGPPGPPGPPGP
De la misma forma como hay redes de
computadores, alli tambien hay muchos
independientes webs de confianza y
cualesquier usuario puede ser parte de
ellos y enlazarce entre multiples webs
trust.
99. PPPPKIKIKIKI
En criptografía, una infraestructura de clave
publica (o PKI, Public Key Infrastructure ) es
una combinación de hardware y
software, políticas y procedimientos de
seguridad que permiten la ejecución con
garantías de operaciones criptográficas como el
cifrado, la firma digital o el no repudio de
transacciones electrónicas.
100. PPPPKIKIKIKI
En una operación criptográfica que use infraestructura
PKI, intervienen conceptualmente como mínimo las
siguientes partes :
Un usuario iniciador de la operación
Unos sistemas servidores que dan fe de la
ocurrencia de la operación y garantizan la validez de
los certificados implicados en la operación (Autoridad
de Certificación, Autoridad de registro y Sistema
de Sellado de tiempo)
Un destinatario de los datos
cifrados/firmados/enviados garantizados por parte
del usuario iniciador de la operación (puede ser él
mismo).
101. PKIPKIPKIPKI ---- COMPONENTESCOMPONENTESCOMPONENTESCOMPONENTES
La autoridad de certificación ( CA, Certificate Authority ) es
la encargada de emitir y revocar certificados. Es la entidad
de confianza que da legitimidad a la relación de una clave
pública con la identidad de un usuario o servicio.
La autoridad de registro ( RA, Registration Authority ) es
la responsable de verificar el enlace entre los certificados
(concretamente, entre la clave pública del certificado) y la
identidad de sus titulares.
Los repositorios: son las estructuras encargadas de
almacenar la información relativa a la PKI.
Los dos repositorios más importantes son el repositorio de
certificados y el repositorio de listas de revocación de
certificados. En una lista de revocación de certificados (o,
en inglés,CRL, Certificate Revocation List) se incluyen
todos aquellos certificados que por algún motivo han
dejado de ser válidos antes de la fecha establecida dentro
del mismo certificado.
102.
103. PKIPKIPKIPKI – COMPONENTESCOMPONENTESCOMPONENTESCOMPONENTES 2DA2DA2DA2DA PARTEPARTEPARTEPARTE
La autoridad de validación ( VA, Validation Authority )
es la encargada de comprobar la validez de los
certificados digitales.
La autoridad de sellado de tiempo ( TSA,Time Stamp
Authority ) es la encargada de firmar documentos con
la finalidad de probar que existían antes de un
determinado instante de tiempo.
Los usuarios y entidades finales son aquellos que
poseen un par de claves (pública y privada) y un
certificado asociado a su clave pública. Utilizan un
conjunto de aplicaciones que hacen uso de la
tecnología PKI (para validar firmar digitales, cifrar
documentos para otros usuarios, etc.)
104.
105. PKIPKIPKIPKI ESTANDARESESTANDARESESTANDARESESTANDARES PARAPARAPARAPARA X.509X.509X.509X.509
PKCS#7 (Cryptographic Message Syntax
Standard – Clave publica con prueba de identidad
para mensaje firmado y/o encriptado para PKI.
Secure Sockets Layer (SSL) – Protocolo
criptografico para comunicaciones seguras de
internet.
Online Certificate Status Protocol (OCSP)
/ Certificate Revocation List (CRL) – Esto es para
las validaciones de las prueba de indentidad.
PKCS#12 (Personal Information Exchange Syntax
Standard) – Usado para almacenar una clave
privada con su apropiado certificado de clave
publica.
106.
107. USOS DE LAUSOS DE LAUSOS DE LAUSOS DE LA TECNOLOGÍATECNOLOGÍATECNOLOGÍATECNOLOGÍA PKIPKIPKIPKI
Autenticación de usuarios y sistemas (login).
Identificación del interlocutor.
Cifrado de datos digitales.
Firmado digital de datos (documentos,
software, etc.)
Asegurar las comunicaciones
Garantía de no repudio (negar que cierta
transacción tuvo lugar)
113. ¿QUÉ ES UN CERTIFICADO DIGITAL?
En rigor de verdad, no es más que un
“documento digital” otorgado por un tercero de
confianza, que da fe de la vinculación entre una
clave pública y un individuo o entidad.
Uno de los formatos de certificado más utilizados,
es el estándar soportado por la “Unión
Internacional de Telecomunicaciones” (ITU)
denominado X.509 v3.
114. ¿QUÉ CONTIENE UN CERTIFICADO DIGITAL?
Un certificado digital contiene generalmente:
Versión
Número de serie
Nombre de la entidad o persona a la que
pertenece la clave pública
Clave pública de la entidad o persona
nombrada
Fecha de expiración del certificado
Nombre de la entidad emisora
Ing J.Zelada Pe
Fralt
ia
rma digital de la entidad emisora
115. Función hash que se cifra con
la clave privada de laAC
Versión
Nº de serie
Algoritmo
Parámetros
Autoridad de Certificación
Inicio de la validez
Caducidad de la validez
Nombre del usuario
Algoritmo
Parámetros
Clave pública del usuario
Firma de laAC
Identificador del algoritmo
Período de validez
Clave pública que se firma
¿QUÉ ES UN CERTIFICADO DIGITAL?
117. TIPOS DETIPOS DETIPOS DETIPOS DE ARCHIVOSARCHIVOSARCHIVOSARCHIVOS ---- PARTEPARTEPARTEPARTE IIII
.DER - Certificado codificado en DER
.PEM - (Privacy Enhanced Mail) certificado DER codificado
en Base64 , encerrado entre "-----BEGIN CERTIFICATE-----
" y "-----END CERTIFICATE-----" (también algunas veces
representado como .CRT, pero doblemente checkeado
para estar seguros .)
.cer, .crt - usualmente DER en formato binario (igual como
.der), pero también puede ser codificado en Base64
(como .pem).
.P7B - igual que .p7c
.P7C - PKCS#7 SignedData structure without data, just
Ing J.Zecladea Pretriafltiacate(s) or CRL(s)
.PFX - ver.p12
118. TIPOS DETIPOS DETIPOS DETIPOS DE ARCHIVOSARCHIVOSARCHIVOSARCHIVOS –––– PARTEPARTEPARTEPARTE IIIIIIII
P12 - PKCS#12, puede contener certificados y claves
publicas y privadas (claves protegidas)
PKCS#7 es un estándar para firmar o encriptar dato
(oficialmente llamado sobre) Desde que el certificado es
necesario para verificar el dato firmado, este esta incluido
en la estructura de dato firmado. Un archivo .P7C-file es
solamente una estructura de firma de datos, sin ningun
dato firmado
PKCS#12 evolución desde el estandard PFX (Personal
inFormation eXchange) es usado para intercambiar
objetos privados y públicos en un simple archivo.
Un .PEM-file puede contener certificados (o claves
privadas , encerrados entre las líneas BEGIN/END-lines
(CERTIFICATE or RSA PRIVATE KEY).
119. XXXX....555509090909
En criptografia, el X.509 es un estandard ITU-
T para un sistema (PKI).
X.509 especifica, entre otras cosas formatos
estandarizados para :
certificados de clave publica,
listas de revocación de certificados,
atributos de certificados y
algoritmos de validación de certificación
120. CERTIFICADOSCERTIFICADOSCERTIFICADOSCERTIFICADOS
La estructura de un X.509 v3 certificado digital es como sigue:
Certificate
Version
Serial Number
Algorithm ID
Issuer
Validity
Not Before
Not After
Subject
Subject Public Key Info
Public Key Algorithm
Subject Public Key
Issuer Unique Identifier (Optional)
Subject Unique Identifier (Optional)
Extensions (Optional)
...
Certificate Signature Algorithm
Certificate Signature
121. SUITESUITESUITESUITE BBBB
Llamado asi en las aplicaciones y sus componentes
criptograficos son :
Advanced Encryption Standard (AES) con tamaño
de claves de 128 y 256 bits – para cifrado simetrico
Elliptic-Curve Digital Signature Algorithm (ECDSA) -
- para Firma digital
Elliptic-Curve Diffie-Hellman (ECDH) –para acuerdo
de claves
Secure Hash Algorithm (SHA-256 and SHA-384) --
para resumen de mensajes.
122. SUITE B
Por CNSSP-15, la curva elíptica de 256-bits
(especificada en FIPS 186-2), SHA-256, y
AES con claves de 128-bit son suficientes
para proteger información clasificada hasta el
nivel SECRETO .
La curva elíptica de 384-bits (especificada en
FIPS 186-2), SHA-384, y AES con clave de
256-bit keys son necesarias para la
protección de información clasificada
como ALTO SECRETO.
123. TIPOSTIPOSTIPOSTIPOS DEDEDEDE CERTIFICADOSCERTIFICADOSCERTIFICADOSCERTIFICADOS
Existen diferentes tipos de certificado digital, en
función de la información que contiene cada uno
y a nombre de quién se emite el certificado:
Certificado personal, que acredita la identidad
del titular.
Certificado de pertenencia a empresa, que
además de la identidad del titular acredita su
vinculación con la entidad para la que trabaja.
Certificado de representante, que además de
la pertenencia a empresa acredita también los
poderes de representación que el titular tiene
sobre la misma.
124. TIPOSTIPOSTIPOSTIPOS DEDEDEDE CERTIFICADOSCERTIFICADOSCERTIFICADOSCERTIFICADOS
Certificado de persona jurídica, que identifica
una empresa o sociedad como tal a la hora de
realizar trámites ante las administraciones o
instituciones.
Certificado de atributo, el cual permite
identificar una cualidad, estado o situación. Este
tipo de certificado va asociado al certificado
personal. (p.ej. Médico, Director, Casado,
Apoderado de..., etc.).
125. TIPOSTIPOSTIPOSTIPOS DEDEDEDE CERTIFICADOSCERTIFICADOSCERTIFICADOSCERTIFICADOS
Además, existen otros tipos de certificado digital
utilizados en entornos más técnicos:
Certificado de servidor seguro, utilizado en los
servidores web que quieren proteger ante
terceros el intercambio de información con los
usuarios.
Certificado de firma de código, para garantizar
la autoría y la no modificación del código de
aplicaciones informáticas
126. SEGURIDADSEGURIDADSEGURIDADSEGURIDAD DEDEDEDE LOSLOSLOSLOS CERTIFICADOSCERTIFICADOSCERTIFICADOSCERTIFICADOS
La seguridad en la infraestructura PKI depende en
parte de cómo se guarden las claves privadas.
Para guardar la claves privadas existen una serie
de elementos como los
Tokens
SmartCards
TPM
127. TTTTOKOKOKOKEEEENSNSNSNS
Son dispositivos especiales denominados tokens de
seguridad diseñados para facilitar la integridad y
seguridad de la clave privada, así como evitar
que ésta pueda ser exportada.
Estos dispositivos pueden incorporar
medidas biométricas, como la verificación
de huella dactilar, que permiten aumentar la
confiabilidad, dentro de las limitaciones
tecnológicas, en que sólo la persona dueña del
certificado pueda utilizarlo.
128.
129.
130. SMARTCARDSMARTCARDSMARTCARDSMARTCARD
Una tarjeta inteligente (smart card), o
tarjeta con circuito integrado (TCI), es
cualquier tarjeta del tamaño de un bolsillo
con circuitos integrados que permiten la
ejecución de cierta lógica programada.
Aunque existe un diverso rango de
aplicaciones, hay dos categorías principales
de TCI.
131. SSSSMMMMAAAARRRRTTTTCCCCARDARDARDARD
Las Tarjetas de memoria contienen sólo
componentes de memoria no volátil y
posiblemente alguna lógica de seguridad.
Las tarjetas microprocesadoras contienen
memoria y microprocesadores.
132.
133.
134. TPMTPMTPMTPM (TRUSTED PLATFORM MODULE)
A Trusted Platform Module puede ser utilizadas para
autenticar dispositivos hardware. Desde que cada
chip TPM tiene un exclusiva clave RSA quemada
en ella misma cuando es producida, la cual es
capaz ser utilizada como una plataforma de
autenticación.
Por ejemplo esta puede ser utilizada para verificar
que un sistema que solicita acceso es el sistema
esperado.
138. CRIPTOGRAFIA CUANTICA
La Criptografia cuántica utiliza principios de la
mecánica cuántica para garantizar la
absoluta confidencialidad de la información
transmitida.
Las actuales técnicas de la criptografía
cuántica permiten a dos personas crear, de
forma segura, una clave secreta compartida
que puede ser usada como llave para cifrar y
descifrar mensajes usando métodos de
criptografía simétrica.
139.
140. CRIPTOGRAFIA CUANTICA II
Si un tercero intenta hacer eavesdropping
durante la creación de la clave secreta, el
proceso se altera detectándo al intruso antes
de que se trasmita información privada.
Es una consecuencia del principio de
incertidumbre de Heisenberg, que dice que el
proceso de medir en un sistema cuántico
perturba dicho sistema.