Criptografía para principiantes
Criptografía Para Principiantes
(Versión 1.0)
José de Jesús Angel Angel
[email protected]
Objetivo: Este artículo tiene como propósito explicar algunas
herramientas de seguridad informática, tratando de enfatizar la
importancia de la criptografía; se busca dar una explicación lo más
sencilla posible. Para un estudio más completo se recomienda ver la
bibliografía.
Jose de Jesús Ángel Ángel
1
Criptografía para principiantes
Índice
0 Prefacio....................................................................... 3
1 Introducción................................................................ 8
2 Criptografía simétrica.................................................. 12
DES....................................................................... 13
TDES .................................................................... 13
AES........................................................................ 15
Funiones de Flujo................................................. 15
Funiones Hash...................................................... 15
3 Criptografía asimétrica................................................. 21
RSA....................................................................... 22
Esquema de cifrado............................................... 24
Esquema de firma digital....................................... 24
Aspectos importantes............................................ 26
CCE....................................................................... 27
4 Otras herramientas criptográficas................................ 31
A) Compartición de Secretos................................ 31
B) Criptografía Visual............................................ 32
C) Dinero Electrónico............................................ 35
5 Certificados Digitales................................................... 37
6 Infraestructura de claves públicas............................... 39
7 Comercio Electrónico................................................... 43
8 Protocolos de seguridad.............................................. 45
SSL........................................................................ 46
SET........................................................................ 47
9 Vocabulario sobre criptografía..................................... 50
10 Vocabulario matemático usado
frecuentemente en criptografía.................................. 52
11 Bibliografía................................................................. 55
Seguridad en cómputo........................................... 55
Criptografía y Teoría de los Números................... 55
Protocolos (SSL, SET)........................................... 58
Infraestructura de claves públicas y certificados
digitales.................................................................. 58
Criptografía Visual................................................. 59
Compartición de Secretos................................. 59
Jose de Jesús Ángel Ángel
2
Criptografía para principiantes
0 Prefacio
El uso de técnicas criptográficas tiene como propósito prevenir algunas faltas de
seguridad en un sistema computarizado. La seguridad en general debe de ser
considerada como un aspecto de gran importancia en cualquier corporación que
trabaje con sistemas computarizado. El hecho que gran parte de actividades
humanas sea cada vez más dependiente de los sistemas computarizados hace
que la seguridad juegue un papel importante [6].
Quizá antes sea importante mencionar algunos datos relacionados con la
seguridad antes de comenzar con el desarrollo del tema
En el reporte “Computer Crime Survey” del FBI, proporcionado por Secure Site
E-News del 22 de mayo de 1999, de la compañía VeriSign, se dieron los
siguientes datos:
Se estudiaron 521 compañías de varias ramas de la industria y de diferentes
tamaños. Estas están actualmente trabajando para que su sistema computarizado
sea seguro.
El 61% de estas compañías ha tenido experiencias de perdida debido al uso de
no autorizado de su sistema computarizado.
El 32 % de estas organizaciones están usando ahora métodos de identificación
segura en su sitio de Internet.
El promedio de perdida de robo o perdida de información esta sobre $1.2 M de
dólares.
El promedio de perdida por sabotaje esta sobre $1.1 M dólares.
El 50% de todas las compañías reportaron abuso de del uso de la red
El 94% de las organizaciones tiene actualmente un sitio en la web.
Jose de Jesús Ángel Ángel
3
Criptografía para principiantes
A la pregunta ¿qué tipo de tecnología de seguridad usa? Se contesto con lo
siguiente:
Se cuenta con un control en el acceso
Cuenta con archivos cifrados
Cuanta con sistema de passwords
Usa Firewalls
Una sistema de log-in cifrados
Usa smart-cards
Detención de intrusos
Certificados digitales para la autenticación
89%.
59%.
59%.
88%.
44%.
37%.
40%.
32%.
A la pregunta ¿Cuál es más frecuente origen de un ataque?
Un “hacker” independiente
Un competidor
Un empleado disgustado
74%.
53%.
86%.
¿Su organización provee servicio de comercio electrónico?
Sí, el 29%.
¿Su web-site ha tenido un acceso no autorizado en los últimos 12 meses?
Sí
No
No sabe
18%.
44%.
38%.
Enseguida presentamos un reporte dado a conocer, en unos cursos de criptografía
industrial en Bélgica, en junio de 1997, en donde se mide la frecuencia de
incidentes de seguridad de la información relacionada con sus causas [7][8].
Frecuencia
Razón
50-60%
15-20%
10-15%
3-5%
Errores debido a la inexperiencia, reacciones de pánico, mal
uso,…
Empleados disgustados, accidentes de mantenimiento,…
Desastres naturales como inundaciones, incendios,…
Causas externas: “hackers”
Jose de Jesús Ángel Ángel
4
Criptografía para principiantes
Otro aspecto importante a considerar es el crecimiento enorme que ha tenido la
red Internet, algunos datos importantes son los proporcionados por Paul Van
Oorschot de Entrust Technologies en una conferencia del ciclo The Mathematics
of Public Key Cryptography en junio de 1999:
! Se duplica él trafico de Internet cada 100 días.
! En enero de 1999 hubo 150 millones de personas en línea, 75 de ellas en
! El comercio sobre Internet se duplica cada año.
! Podría llegar a $1 trillón de dólares lo comercializado en Internet en el año
USA.
2002.
! A la radio le tomo 40 años, a la televisión 10 años para alcanzar 50 millones de
usuarios a la red le ha tomado menos de 5.
Estos datos sólo son algunos de los que frecuentemente son dados a conocer por
algún medio, y aunque algunos obedecen a intereses comerciales, lo que sí es
cierto es el enorme cambio que han tenido gran cantidad de actividades a raíz del
uso de Internet que incluso se ha considerado como el invento más importante de
fin de siglo y de ahí lo primordial de todo lo relacionado con su seguridad.
Siempre podremos encontrar razones para reafirmar la trascendencia que tiene la
seguridad en los sistemas computarizados, enseguida nos dedicamos a dar una
introducción de cómo podemos atacar este problema.
El diseñar una estrategia de seguridad depende en general de la actividad que se
desarrolle, sin embargo, se pueden considerar los siguientes tres pasos generales:
el primero crear una política global de seguridad, el segundo realizar un análisis
de riesgos y el tercero aplicar las medidas correspondientes [3][9][10].
Política global de seguridad: aquí se establece el estatus de la información para
la empresa o la organización, debe de contener un objetivo general, la importancia
de la tecnología de la información para la empresa, el periodo de tiempo de
validez de la política, los recursos con que se cuenta, objetivos específicos de la
empresa.
Debe de establecerse la calidad de la información que se maneja según su
objetivo, esto quiere decir que se determine cuándo o para quién la información
debe ser confidencial, cuándo debe verificarse su integridad y cuándo debe de
verificarse la autenticidad tanto de la información como de los usuarios.
Análisis de riesgos: consiste en listar todo tipo de riesgos a los cuales esta
expuesta la información y cuáles son las consecuencias, los posibles atacantes
entre persona, empresas y dependencias de inteligencia, las posibles amenazas
etc., enumerar todo tipo de posible pérdida, desde pérdidas directas como dinero,
clientes, tiempo etc., así como indirectas, créditos no obtenidos, pérdida de
imagen, implicación en un litigio, pérdida de imagen, pérdida de confianza
etcétera.
Jose de Jesús Ángel Ángel
5
Criptografía para principiantes
El riesgo se puede calcular por la formula riesgo = probabilidad ×pérdida, por
ejemplo el riesgo de perder un contrato por robo de información confidencial es
igual a la probabilidad de que ocurra el robo multiplicado por la pérdida total en
pesos de no hacer el contrato. El riesgo de fraude en transacciones financieras es
igual a la probabilidad de que ocurra el fraude por la pérdida en pesos de que
llegara ocurrir ese fraude. Si la probabilidad es muy pequeña el riesgo es menor,
pero si la probabilidad es casi uno, el riesgo puede ser casi igual a la perdida total.
Si por otro lado la pérdida es menor aunque la probabilidad de que ocurra el
evento sea muy grande tenemos un riesgo menor. Por ejemplo la pérdida de una
transacción de 300 pesos con una probabilidad muy grande de que ocurra al usar
criptografía débil, el riesgo llega a ser menor por lo que depende de la política de
seguridad para que este riesgo se asuma.
Medidas de seguridad: esta parte la podemos plantear como la terminación de la
toda la estructura de seguridad de la información. Una vez planteada una política
de seguridad, o sea decir cuanto vale la información (en un análisis de riesgo),
decir que tanto pierdo si le ocurre algo a mi información o que tanto se gana si
está protegida, debemos de establecer las medidas para que cumpliendo con la
política de seguridad las pérdidas sean las menores posibles y que esto se
transform
Crear cuenta
Comentarios de: Criptografía Para Principiantes (0)
No hay comentarios