PDF de programación - Mecanismos de protección

Mecanismos de
protección

Xavier Perramon

Índice

Mecanismos de protección

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

6

1.1

1.2

1.3

1.1.1
1.1.2
1.1.3
1.1.4

1. Conceptos básicos de criptografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criptograía de clave simétrica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7
9
Algoritmos de cifrado en flujo . . . . . . . . . . . . . . . . . . . . . . . . . 11
Algoritmos de cifrado en bloque . . . . . . . . . . . . . . . . . . . . . . . 13
Uso de los algoritmos de clave simétrica . . . . . . . . . . . . . . . 16
Funciones hash seguras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Criptografía de clave pública . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Algoritmos de clave pública . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Uso de la criptografía de clave pública . . . . . . . . . . . . . . . . . 24
Infraestructura de clave pública (PKI) . . . . . . . . . . . . . . . . . . . . . . . . 26
Certificados de clave pública . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Cadenas de certificados y jerarquías de certificación . . . . 29
Listas de revocación de certificados (CRL) . . . . . . . . . . . . . 30

1.3.1
1.3.2
1.3.3

1.2.1
1.2.2

2.1

2.1.1
2.1.2

2. Sistemas de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Autenticación de mensaje. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Códigos de autenticación de mensaje (MAC) . . . . . . . . . . . 33
Firmas digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Autenticación de entidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Contraseñas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Protocolos de reto-respuesta . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

2.2.1
2.2.2

2.2

3. Protección del nivel de red: IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
La arquitectura IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.1
El protocolo AH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.2
3.3
El protocolo ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.4 Modos de uso de los protocolos IPsec . . . . . . . . . . . . . . . . . . . . . . . . 55

4.1
4.2

4. Protección del nivel de transporte: SSL/TLS/WTLS . . . . . . . . . . . . 58
Características del protocolo SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . 59
El transporte seguro SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
El protocolo de registros SSL/TLS. . . . . . . . . . . . . . . . . . . . . 62
El protocolo de negociación SSL/TLS . . . . . . . . . . . . . . . . . 63
Ataques contra el protocolo SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . 68
Aplicaciones que utilizan SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . 70

4.2.1
4.2.2

4.3
4.4

5. Redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

© FUOC • P06/M2107/01771 Mecanismos de protección

5.1
5.2

Definición y tipos de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Configuraciones y protocolos utilizados en VPN . . . . . . . . . . . . . . 72

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Ejercicios de autoevaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Soluciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

© FUOC • P06/M2107/01771 Introducción

5

Mecanismos de protección

Para proteger las redes de comunicaciones, la criptografía es la herramienta
que nos permite evitar que alguien intercepte, manipule o falsifique los datos
transmitidos. Dedicaremos la primera parte de este módulo a introducir los
conceptos de criptografía necesarios para entender cómo se aplica a la protec-
ción de las comunicaciones.

La finalidad básica de la criptografía es el envío de información secreta. Si
aplicamos una transformación, conocida como cifrado, a la información que
queremos mantener en secreto, aunque un adversario consiga ver qué datos
estamos enviando le serán completamente ininteligibles. Sólo el destinatario
legítimo será capaz de realizar la transformación inversa y recuperar los datos
originales.

Pero más allá de mantener la información en secreto, existen otros servicios
que pueden ser igualmente necesarios, como, por ejemplo, la autenticación.
Debemos evitar, de esta forma, que después de tomar todas las medidas nece-
sarias para que sólo el destinatario final pueda leer la información, resulte que
este destinatario sea un impostor que haya conseguido hacerse pasar por el
auténtico destinatario. En la segunda parte del módulo veremos algunos sis-
temas para garantizar la autenticidad en las comunicaciones, la mayoría de
ellas basadas en técnicas criptográficas.

En el resto de este módulo didáctico estudiaremos ejemplos de protocolos de
comunicación que, aplicado los mecanismos anteriores, permiten proteger la
información que se transmite entre ordenadores. Esta protección se puede
obtener en distintos niveles de la arquitectura de comunicaciones. A nivel
red, el mecanismo principal en un entorno de interconexión basado en IP es
el conjunto de protocolos conocido como IPsec.

Alternativamente, se puede implementar la protección a nivel de transporte,
aprovechando así la infraestructura IP existente, principalmente los encami-
nadores o routers. Como ejemplo de protección a nivel de transporte veremos
la familia de protocolos SSL/TLS/WTLS.

Para finalizar el módulo, introduciremos la tecnología de redes privadas vir-
tuales o VPN, que permite utilizar una red pública ampliamente extendida
como es Internet para comunicaciones seguras, como si fuera una red privada
dedicada.

© FUOC • P06/M2107/01771 Objetivos

6

Mecanismos de protección

Los conceptos presentados en el presente módulo didáctico deben permitir al
estudiante alcanzar los siguientes objetivos:

1. Saber qué funciones nos ofrece la criptografía, tanto las técnicas de clave

simétrica como las de clave pública.

2. Conocer los distintos algoritmos de cifrado, integridad y autenticación

disponibles y sus posibles usos.

3. Conocer el uso de los certificados X.509 y las listas de revocación, su

estructura y la utilidad de los distintos campos.

4. Reconocer la necesidad de los sistemas de autentificación, qué técnicas
concretas utilizan, y cómo estas técnicas permiten contrarrestar los inten-
tos de suplantación.

5. Comprender las posibilidades de protección de los protocolos de comuni-
cación a distintos niveles, y en particular, el nivel de red y el de transporte.

6. Conocer los protocolos que forman la arquitectura IPsec, y qué protec-

ciones ofrece cada uno de ellos.

7. Entender el mecanismo general de funcionamiento de los protocolos de
transporte seguro SSL/TLS, y cómo estos protocolos pueden ser utiliza-
dos por otros niveles superiores, como HTTP o TELNET.

8.

Introducir la tecnología de las redes privadas virtuales, y cómo se pueden
usar para conectar intranets de forma segura mediante una red de acceso
público, como es el caso de Internet.

© FUOC • P06/M2107/01771 1. Conceptos básicos de criptografía

.

7

Mecanismos de protección

A lo largo de la historia se han diseñado distintas técnicas para ocultar el
significado de la información que no interesa que sea conocida por extraños.
Algunas de ellas ya se usaban en tiempos de la antigua Grecia o del Imperio
romano: por ejemplo, se atribuye a Julio César la invención de un cifrado para
enviar mensajes cifrados que no pudieran ser interpretados por el enemigo.

Criptografía

Los términos
criptografía, criptología,
etc. provienen de la raíz
griega kryptós, que
significa “escondido”.

.

La criptografía estudia, desde un punto de vista matemático, los méto-
dos de protección de la información. Por otro lado, el criptoanálisis
estudia las posibles técnicas utilizadas para contrarrestar los métodos
criptográficos, y es de gran utilidad para ayudar a que estos sean más
robustos y difíciles de atacar. El conjunto formado por estas dos disci-
plinas, criptografía y criptoanálisis, se conoce como criptología.

Cuando la protección que queremos obtener consiste en garantizar el secreto
de la información, es decir, la confidencialidad, utilizamos el método crip-
tográfico conocido como cifrado.

Si M es el mensaje que queremos proteger o texto en claro, cifrarlo consiste
en aplicarle un algoritmo de cifrado f , que lo transforma en otro mensaje que
llamaremos texto cifrado, C. Esto lo podemos expresar como:

C = f (M)

Uso de cifrado

El hecho de usar técnicas
de cifrado parte de la idea
que es muy costoso
intentar evitar que un
intruso intercepte la
información. Enviar
mensajes cifrados es más
fácil, ya que no podrá
interpretar la información
que contienen.

Para que este cifrado sea útil, debe existir otra transformación o algoritmo de
−1, que permita recuperar el mensaje original a partir del texto
descifrado f
cifrado:

M = f

−1(C)

El ci