PDF de programación - La Criptografía como elemento de la seguridad informática

ACIMED

ISSN 1024-9435 versión impresa



ACIMED v.11 n.6 Ciudad de La Habana nov.-dic. 2003



Como citar este
artículo

La Criptografía como elemento de la seguridad informática
Ing. Yran Marrero Travieso1

Resumen

El surgimiento de redes de comunicación, en particular de Internet, ha abierto nuevas posibilidades para el
intercambio de información. Al mismo tiempo, son cada vez mayores las amenazas a la seguridad de la
información que se transmite. Es necesario entonces, crear diferentes mecanismos, dirigidos a garantizar la
confidencialidad y autenticidad de los documentos electrónicos, todo ello es parte de una nueva tecnología
denominada Criptografía. Se aborda el tema de la seguridad informática, en específico las diversas variantes
criptográficas: simétrica y asimétrica. Se explican algunos esquemas de manejo de llaves privadas y
públicas: RSA y PGP. Finalmente, se tratan algunas de las limitaciones de las soluciones que ofrece esta
nueva disciplina.


Descriptores (DeCS): SEGURIDAD COMPUTACIONAL; CONFIDENCIALIDAD
Descriptores (DeCI): SEGURIDAD COMPUTACIONAL; PROTECCION DE DATOS;
CRIPTOGRAFIA; CONFIDENCIALIDAD


Abstract

The arise of communication networks, particularly Internet, has paved the way for new chances in
information interchange. There are also greater menaces to information security. In this case the creation of
several mechanisms to guard the confidentiality and authenticity of electronic documents is necessary. All
of this is part of a new technology called cryptography. Information security topics are discussed with
emphasis in the cryptographic variants: symetrical and asymetrical. Some schemes for the management of
public and private keys: RSA and PSP are exposed. Finally the limitations of some solutions offered by this
new discipline are provided.

Subject headings (DeCS): COMPUTER SECURITY; CONFIDENTIALITY
Subject headings (DeCI): COMPUTER SECURITY; DATA PROTECTION; CRYPTOGRAPHY;
CONFIDENTIALITY


Si se parte del criterio de que la seguridad se ocupa de la protección de los bienes, parece natural establecer
cuáles son los bienes informáticos a proteger. A primera vista, puede decirse que estos son: el hardware; el
software y los datos. Entre ellos, los más expuestos a riesgos, son los datos. Se devalúan rápidamente, su
tiempo de vida útil suele ser corto y pierden su valor antes que el hardware, cuyo tiempo de vida se estima
en 2 ó 3 años, y el software, que en ocasiones, con los mantenimientos oportunos, pueden operar durante
más de 5 años.

Las amenazas sobre los sistemas informáticos presentan orígenes diversos. Así, el hardware puede ser

físicamente dañado por la acción del agua, el fuego, los sabotajes, etcétera. Ellos también pueden dañar los
medios magnéticos de almacenamiento externo. Pero, además, la información almacenada en estos últimos,
también puede afectarse como resultado de la influencia de campos magnéticos intensos y, frecuentemente,
por errores de operación. Las líneas de comunicación pueden interferirse o "pincharse". Otra clase de
amenaza es la que representan usuarios o empleados infieles, que pueden usurpar la personalidad de
usuarios autorizados para acceder y manipular indebidamente los datos de una o más organizaciones.

Amenazas más sutiles provienen de los controles inadecuados de la programación, como es el problema de
los residuos, es decir, de la permanencia de información en memoria principal cuando un usuario la libera o,
en el caso de dispositivos externos, cuando se borra incorrectamente. Una técnica fraudulenta muy utilizada
consiste en transferir información de un programa a otro mediante canales ilícitos, no convencionales
(canales ocultos). El análisis del comportamiento de las amenazas a la seguridad de la información revela
que la mayoría de los hechos se cometen por intrusos individuales. Un por ciento menor corresponde a
incidentes protagonizados por grupos organizados, y en la punta de la pirámide, se ubican los casos de
espionaje (industrial, económico, militar...).

Según la Oficina de Ciencia y Tecnología de la Casa Blanca, las pérdidas anuales estimadas en Estados
Unidos, debido al espionaje económico ascienden a 100 mil millones de dólares.1

En Internet, las principales amenazas para la protección de la información provienen de:

Anexos a mensajes enviados por correo electrónico infectados con virus.
El intercambio de códigos de virus.
Firewalls o cortafuegos mal configurados.
Ataques a la disponibilidad de los recursos de información existentes en la red (bancos de datos o

software disponibles para descargar por los usuarios).

La alteración de las páginas web.
El "repudio" y las estafas asociadas al comercio electrónico.
Las vulnerabilidades de los sistemas operativos y la desactualización de los "parches" concernientes a

su seguridad.

La rotura de contraseñas.
La suplantación de identidades.
El acceso a páginas pornográficas, terroristas, etc.
El robo y la destrucción de información.
Pérdida de tiempo durante el acceso a sitios ajenos a la razón social de la entidad.
El hecho de que herramientas de hacking y cracking se ofrezcan como freeware.

Por estas y otras razones, el tratamiento de los temas relacionados con la seguridad informática ha tomado
un gran auge.
Muchas organizaciones gubernamentales y no gubernamentales han preparado documentos, dirigidos a
orientar el uso adecuado de las tecnologías existentes y a evitar su uso indebido, que puede ocasionar serios
problemas en los bienes y servicios de las empresas en el mundo.2,3

Las medidas tomadas para enfrentar las amenazas informáticas pueden clasificarse en dos grupos:

Seguridad física y lógica
Seguridad técnica o lógica

El término seguridad física se emplea frecuentemente para referirse a las medidas de protección externas.
Normalmente, se implementan mediante dispositivos eléctricos, electrónicos, etcétera.

Ellas son, probablemente, las primeras que se introducen en todas las instalaciones informáticas. Esto se
debe a dos factores; por un lado, ante la ocurrencia de una catástrofe las pérdidas serían completas, por otro,
estas medidas de protección son generalmente las más fáciles de tomar. Su costo no es excesivo (con la
excepción de los sistemas de continuidad eléctrica) y su mantenimiento no presenta dificultades especiales.

La primera medida de protección para las salas de los centros de procesamiento de datos (CPD), común a
todas las amenazas expuestas, es la correcta selección de su ubicación geográfica. Una segunda

consideración, también de carácter general, es su adecuada construcción y su situación idónea dentro del
edificio.

Por su parte, las medidas de seguridad técnicas y lógicas, pretenden proteger, tanto el software (sea de base
o de aplicación) como los datos. Pueden implementarse en dispositivos hardware o en productos software.

Para el desarrollo de estas medidas, se ha hecho necesaria una investigación académica muy intensa,
principalmente durante los últimos 15 años, que ha generado varios modelos teóricos de interés como: el
control de accesos, el control del flujo de la información; así como el desarrollo de criptosistemas de clave
privada y pública y de sistemas de firma digital y no repudio en la transmisión de datos.1 Cuando se recibe
un mensaje no sólo es necesario poder identificar de forma unívoca al remitente, sino que este asuma todas
las responsabilidades derivadas de la información que envía. En este sentido, es fundamental impedir que el
emisor pueda rechazar o repudiar un mensaje, es decir, negar su autoría sobre la información que envía y
sus posibles consecuencias. A esto se denomina no repudio en el contexto de la transmisión de datos.

La posibilidad de interconectarse mediante las redes ha abierto nuevos horizontes para explorar más allá de
las fronteras nacionales. Pero con ello, surgieron también nuevas amenazas para los sistemas
computarizados y la información que atesoran.

Entre las propiedades más importantes de los documentos electrónicos se encuentran la confidencialidad y
la autenticidad.

La primera se refiere a la posibilidad de mantener un documento electrónico inaccesible a todos, excepto a
una lista de individuos autorizados. La autenticidad, por su parte, es la capacidad de determinar si uno o
varios individuos han reconocido como suyo y se han comprometido con el contenido del documento
electrónico.4 El problema de la autenticidad en un documento tradicional se soluciona mediante la firma
autógrafa. Mediante su firma autógrafa, un individuo, o varios, manifiestan su voluntad de reconocer el
contenido de un documento, y en su caso, a cumplir con los compromisos que el documento establezca para
con el individuo.

Los problemas relacionados con la confidencialidad, integridad y autenticidad en un documento electrónico
se resuelven mediante la tecnología llamada Criptografía.4

Debido a su importancia entre los aspectos tratados actualmente en materia de seguridad informática, los
autores de este trabajo se propusieron realizar una aproximación teórico - práctica al tema con el objetivo de
comprender sus principales aristas y determinar algunas de las tendencias fundamentales que caracterizan el
desarrollo de esta disciplina.

Métodos

Se realizó una revisión bibliográfica selectiva sobre el tema objeto de estudio. La consulta se realizó en dos
niveles: primero, desde la perspectiva de la seguridad informática en general y segundo, dirigida
particularmente al tema de la Criptografía. Así, se obtuvo una gran cantidad de documentos generales y
específicos que permitieron ubicar y comprender mejor al objeto de estudio particular: la Criptografía, en el
contexto de la seguridad informáti