PDF de programación - Criptografía para Principiantes

Criptografía Para Principiantes

(Primera Versión)



José de Jesús Angel Angel

[email protected]



Objetivo: Este artículo tiene como propósito explicar las herramientas de
seguridad informática más comunes, tratando de enfatizar la importancia de
la criptografía, y dando una explicación lo más sencillo posible. Para un
estudio más completo se recomienda ver la bibliografía.



Indice:

0 Prefacio
1 Introducción
2 Criptografía simétrica
3 Criptografía asimétrica
4 Otras herramientas criptográficas
5 Certificados Digitales
6 Infraestructura de claves públicas
7 Protocolos de seguridad
8 Bibliografía



0 Prefacio



El uso de técnicas criptográficas tiene como propósito prevenir algunas faltas de seguridad
en un sistema computarizado. La seguridad en general debe de ser considerada como un
aspecto de gran importancia en cualquier corporación que trabaje con sistemas
computarizado. El hecho que gran parte de actividades humanas sea cada vez más
dependiente de los sistemas computarizados hace que la seguridad juegue un papel
importante [6].

Quizá antes sea importante mencionar algunos datos relacionados con la seguridad antes
de comenzar con el desarrollo del tema

En el reporte reciente “Computer Crime Survey” del FBI, proporcionado por Secure Site
E-News del 22 de mayo de 1999, de la compañía VeriSign, se dieron los siguientes datos:

Se estudiaron 521 compañías de varias ramas de la industria y de diferentes tamaños. Estas
están actualmente trabajando para que su sistema computarizado sea seguro.

El 61% de estas compañías ha tenido experiencias de perdida debido al uso de no
autorizado de su sistema computarizado.
El 32 % de estas organizaciones están usando ahora métodos de identificación segura en
su sitio de internet.
El promedio de perdida de robo o perdida de información esta sobre $1.2 M de dólares.
El promedio de perdida por sabotaje esta sobre $1.1 M dólares.
El 50% de todas las compañías reportaron abuso de del uso de la red
El 94% de las organizaciones tiene actualmente un sitio en la web.

A la pregunta ¿qué tipo de tecnología de seguridad usa? Se contesto con lo siguiente:

Se cuenta con un control en el acceso, el 89%.
Cuenta con archivos cifrados, el 59%.
Cuanta con sistema de passwords, el 59%.
Usa Firewalls, el 88%.
Una sistema de log-in cifrados, el 44%.
Usa smart-cards, 37%.
Detención de intrusos, 40%.
Certificados digitales para la autenticación, 32%.

A la pregunta ¿ Cuál es más frecuente origen de un ataque?

Un “hacker” independiente, un 74%.
Un competidor, un 53%.
Un empleado disgustado, un 86%.
¿Su organización provee servicio de comercio electrónico?


Si, el 29%.

¿Su web-site ha tenido un acceso no autorizado en los últimos 12 meses?

Si, un 18%.
No, un 44%.
No sabe un 38%.



Enseguida damos un reporte que se tiene del tema en Europa, dado a conocer en unos
cursos de criptografía industrial en Bélgica en junio de 1997. En donde se mide la
frecuencia de incidentes de seguridad de la información relacionada con sus causas [7][8].



Frecuencia

Razón

50-60%
15-20%
10-15%
3-5%

Errores debido a la inexperiencia, reacciones de pánico, mal uso,…
Empleados disgustados, accidentes de mantenimiento,…
Desastres naturales como inundaciones, incendios,…
Causas externas: “hackers”



Otro aspecto importante a considerar es el crecimiento enorme que ha tenido la red internet,
algunos datos importantes son los siguientes, proporcionados por Paul Van Oorschot de
Entrust Technologies en una conferencia del ciclo The Mathematics of Public Key
Cryptography en junio de 1999:

Se duplica el trafico de internet cada 100 días.
En enero de 1999 hubo 150 millones de personas en línea, 75 de ellas en USA.
El comercio sobre internet se duplica cada año.
Podría llegar a $1 trillón de dólares lo comercializado en internet en el año 2002.
A la radio le tomo 40 años, a la televisión 10 años para alcanzar 50 millones de usuarios a
la red le ha tomado menos de 5.

Estos datos sólo son algunos de los que frecuentemente son dados a conocer por algún
medio, y aunque algunos obedecen a intereses comerciales, lo que sí es verdadero es el
enorme cambio que han tenido gran cantidad de actividades a raíz del uso de internet que
incluso se ha considerado como el invento más importante de fin de siglo y de ahí lo
primordial de todo lo relacionado con su seguridad.

Siempre podremos encontrar razones para reafirmar la trascendencia que tiene la
seguridad en los sistemas computarizados, enseguida nos dedicamos a dar una introducción
de cómo podemos atacar este problema.

El diseñar una estrategia de seguridad depende en general mucho de la actividad que se
este desarrollando, sin embargo se pueden considerar los siguientes tres pasos generales: el
primero crear una politica global de seguridad, el segundo realizar un análisis de riesgos y
el tercero aplicar las medidas correspondientes [3][9][10].

Política global de seguridad: se debe de establecer el estatus de la información para la
empresa o la organización, debe de contener un objetivo general, la importancia de la
tecnología de la información para la empresa, el periodo de tiempo de validez de la
política, los recursos con que se cuenta, objetivos especificos de la empresa.
Debe de establecerse la calidad de la información que se maneja según su objetivo, la
calidad que debe tener la información quiere decir que se establezca cuando o para quien la
información debe ser confidencial, cuando debe verificarse su integridad y cuando debe de
verificarse su autenticidad tanto de la información como de los usuarios.

Análisis de riesgos: consiste en enumerar todo tipo de riesgos a los cuales esta expuesta la
información y cuales son las consecuencias, los posibles atacantes entre persona empresas y
dependencias de inteligencia, las posibles amenazas etc., enumerar todo tipo de posible
perdida desde perdidas directas como dinero, clientes, tiempo etc., así como indirectas:
créditos, perdida de imagen, implicación en un litigio, perdida de imagen, perdida de
confianza etcétera.
El riesgo se puede calcular por la formula riesgo = probabilidad perdida, por ejemplo el
riesgo de perder un contrato por robo de información confidencial es igual a la probabilidad
de que ocurra el robo multiplicado por la perdida total en pesos de no hacer el contrato. El
riesgo de fraude en transacciones financieras es igual a la probabilidad de que ocurra el
fraude por la perdida en pesos de que llegara ocurrir ese fraude. Si la probabilidad es muy
pequeña el riesgo es menor, pero si la probabilidad es casi uno, el riesgo puede ser casi
igual a la perdida total. Si por otro lado la perdida es menor aunque la probabilidad de que
ocurra el evento sea muy grande tenemos un riesgo menor. Por ejemplo la perdida de una
transacción de 300 pesos con una probabilidad muy grande de que ocurra al usar
criptografía débil, el riesgo llega a ser menor.
En el análisis de riesgo debe también incluirse los posibles ataques que puedan existir y su
posible efectos.

Medidas de seguridad: esta parte la podemos plantear como la terminación de la toda la
estructura de seguridad de la información. Una vez planteada una política de seguridad,
decir cuanto vale la información, un análisis de riesgo, decir que tanto pierdo si le ocurre
algo a mi información o que tanto se gana si se protege, debemos de establecer las medidas
para que cumpliendo con la política de seguridad, las perdidas sean las menores posibles y
que esto se transforme en ganancias ya sean materiales o de imagen.

Las posibles medidas que se pueden establecer se pueden dividir según la siguiente tabla:



tipos

Protección Física Medidas Técnicas Medidas de Organización

Preventivas
Detectivas
Correctiva

PF
DF
CF

PT
DT
CT

PO
DO
CO




PF: guardias a la entrada del edificio, control en el acceso de entrada, protección al hardware, respaldo de
datos, …
DF: monitor de vigilancia, detector de metales, detector de movimiento, …
CF: respaldo de fuente de poder, …
PT: firewalls, criptografía, bitácora, …
DT: control de acceso lógico, sesión de autenticación, …
CT: programa antivirus, …
PO: cursos de actualización, organización de las claves, …
DO: monitoreo de auditoria, …
CO: respaldos automáticos, plan de incidentes (sanciones), …



En resumen debemos de mencionar que no existe un sistema computarizado que
garantice al 100% la seguridad de la información debido a la inmensa mayoría de formas
diferentes con que se puede romper la seguridad de un sistema [2]. Sin embargo una buena
planeación de la estrategia para dar seguridad a la información puede resultar desde la
salvación de una empresa hasta la obtención de grandes ganancias directas en pesos, o
como ganancias indirectas mejorando la imagen y la seguridad de la empresa. Uno de los
objetivos principales de estableces una política de seguridad es de reducir al mínimo los
riegos posibles, implementando adecuadamente las diferentes medidas de seguridad
[1][4][5].

Enseguida repasamos algunas de las técnicas de seguridad que pertenecen a la criptografía,
se pretende exponer de una forma simple algunas de las partes mas conocidas de este
amplio campo, para un estudio más profundo se puede recurrir a la amplia bibliografía.



1 Introducción



La palabra cripto