Funcin hash

Una funcin de hash en funcionamiento.

A las funciones hash (adopcin ms o menos directa del trmino ingls hash function) tambin se les llama funciones picadillo, funciones resumen o funciones de digest (adopcin ms o menos directa del trmino ingls equivalentedigest function)1 2 3 Una funcin hash H es una funcin computable mediante un algoritmo, H: U M x h(x), que tiene como entrada un conjunto de elementos, que suelen ser cadenas, y los convierte (mapea) en un rango de salida finito, normalmente cadenas de longitud fija. Es decir, la funcin acta como una proyeccin del conjunto U sobre el conjunto M. Observar que M puede ser un conjunto definido de enteros. En este caso podemos considerar que la longitud es fija si el conjunto es un rango de nmeros de enteros ya que podemos considerar que la longitud fija es la del nmero con mayor nmero de cifras. Todos los nmeros se pueden convertir al nmero especificado de cifras simplemente anteponiendo ceros. Normalmente el conjunto U tiene un nmero elevado de elementos y M es un conjunto de cadenas con un nmero ms o menos pequeo de smbolos. Por esto se dice que estas funciones resumen datos del conjunto dominio. La idea bsica de un valor hash es que sirva como una representacin compacta de la cadena de entrada. Por esta razn decimos que estas funciones resumen datos del conjunto dominio.
ndice
[ocultar]

1 Orgenes del trmino 2 Terminologa asociada 3 Parmetros adicionales

3.1 Funciones hash con clave

4 Propiedades

o o o o o o o

4.1 Bajo costo 4.2 Compresin 4.3 Uniforme 4.4 De rango variable 4.5 Inyectividad. Funcin hash perfecta 4.6 Determinista 4.7 Propiedades para analizar la resistencia frente a colisiones

o o o

4.7.1 Resistencia a la primera imagen 4.7.2 Resistencia a la segunda preimagen 4.7.3 Resistencia a colisiones (CRHF) 4.7.4 Funcin hash de un solo sentido (OWHF) 4.7.5 Resistencia a la casi colisin 4.7.6 Resistencia a las preimgenes parciales

4.8 Con normalizacin de datos 4.9 Continuidad. Efecto avalancha 4.10 Resistencia a la computacin de nuevos valores hash

5 Familias de funciones hash y propiedades asociadas

o o o

5.1 Motivacin 5.2 Concepto

[17]

5.3 Familia de funciones hash resistente a colisiones

5.3.1 Definicin formal

5.4 Funcin hash universal

5.4.1 Definicin formal

[23]

5.5 Familia de funciones hash universal de un solo sentido

5.5.1 Definicin formal

[27]

5.6 Comparacin UOWHF y CRHF

6 Funciones hash iterativas. Construccin de Merkle-Damgrd 7 Aplicaciones

8 Vase tambin 9 Referencias 10 Enlaces externos

Orgenes del trmino[editar editar cdigo]

El trmino hash proviene, aparentemente, de la analoga con el significado estndar (en ingls) de dicha palabra en el mundo real: picar y mezclar. Donald Knuth cree que H. P. Luhn, empleado de IBM, fue el primero en utilizar el concepto en un memorndum fechado en enero de 1953. Su utilizacin masiva no fue hasta despus de 10 aos.

Terminologa asociada[editar editar cdigo]

Al conjunto U se le llama dominio de la funcin hash. A un elemento de U se le llama preimagen o dependiendo del contexto clave o mensaje. Al conjunto M se le llama imagen de la funcin hash. A un elemento de M se le llama valor hash, cdigo hash o simplemente hash. Se dice que se produce una colisin cuando dos entradas distintas de la funcin de hash producen la misma salida. De la definicin de funcin hash podemos decir que U, el dominio de la funcin, puede tener infinitos elementos. Sin embargo M, el rango de la funcin, tiene un nmero finito de elementos debido a que el tamao de sus cadenas es fijo. Por tanto la posibilidad de existencia de colisiones es intrnseca a la definicin de funcin hash. Una buena funcin de hash es una que tiene pocas colisiones en el conjunto esperado de entrada. Es decir, se desea que la probabilidad de colisin sea muy baja.

Parmetros adicionales[editar editar cdigo]

La definicin formal dada, a veces se generaliza para poder aprovechar las funciones hash en otros mbitos. Para ello a la funcin hash se le aaden nuevos parmetros de forma que el valor hash no es slo funcin del contenido en s, sino adems de otros nuevos factores. Para hallar valores hash de ficheros a veces se usan, adems del contenido en s, diversos parmetros como el nombre del archivo, su longitud, hora de creacin, etc. Otras veces se aaden parmetros que permiten configurar el comportamiento de la funcin. Por ejemplo, la funcin hash puede recibir como parmetro una funcin de generacin de valores pseudoaleatorios que es usada dentro del algoritmo de la funcin hash. Otros ejemplos de parmetros son el uso de valores sal, el uso de claves secretas, el uso de parmetros que especifican el rango de la funcin (funciones hash de rango variable), el uso de

parmetros que especifican el nivel de seguridad que se quiere en el valor hash de salida (funciones hash dinmicas),....

Funciones hash con clave[editar editar cdigo]

Una funcin hash con clave HK (en ingls keyed hash function) es una funcin hash H que tiene un parmetro secreto K que pertenece al conjunto posible de claves y en la que para

una entrada x, hK(x) es el valor hash de x. Al resto de funciones hash se dice que son sin clave (en ingls unkeyed hash function).

Propiedades[editar editar cdigo]

La calidad de una funcin hash viene definida con base en la satisfaccin de ciertas propiedades deseables en el contexto en el que se va a usar.

Bajo costo[editar editar cdigo]

Calcular el valor hash necesita poco costo (computacional, de memoria,...).

Compresin[editar editar cdigo]

Una funcin hash comprime datos si puede mapear un dominio con datos de longitud muy grande a datos con longitud ms pequea

Uniforme[editar editar cdigo]

Se dice que una funcin hash es uniforme cuando para una clave elegida aleatoriamente es igualmente probable tener un valor hash determinado, independientemente de cualquier otro elemento. Para una funcin hash H uniforme del tipo H:{0,1}m{0,1}n, es decir:

Las cadenas estn construidas sobre un alfabeto de 2 smbolos (Alfabeto binario) El dominio es el conjunto de las cadenas de longitud m El rango es el conjunto de las cadenas de longitud n podemos decir que a cada resumen le corresponde 2 m-n mensajes y que la probabilidad de que dos mensajes den como resultado la misma salida es 2-n Para algoritmos de bsqueda, si todas las entradas son igualmente probables, se busca esta propiedad para minimizar el nmero de colisiones ya que cuantas ms colisiones haya, ser mayor el tiempo de ejecucin de las bsquedas.

De rango variable[editar editar cdigo]

En algunas funciones hash el rango de valores hash puede ser diferente a lo largo del tiempo. Ejemplo: Funciones hash usadas para tablas hash que necesitan expandirse. En estos caso a la funcin hash se le debe pasar un parmetro que le permita saber en qu rango se mueve la ejecucin para hallar el valor hash.

Inyectividad. Funcin hash perfecta[editar editar cdigo]

Se dice que la funcin hash es inyectiva cuando cada dato de entrada se mapea a un valor hash diferente. En este caso se dice que la funcin hash es perfecta. Para que se d, es necesario que la cardinalidad del conjunto dominio sea inferior o igual a la cardinalidad del conjunto imagen. Normalmente slo se dan funciones hash perfectas cuando las entradas estn preestablecidas. Ejemplo:Mapear los das del ao en nmeros del 1 al 366 segn el orden de aparicin. Formalizacin: implica Cuando no se cumple la propiedad de inyectividad se dice que hay colisiones. Hay una colisin cuando y

Determinista[editar editar cdigo]

Una funcin hash se dice que es determinista cuando dada una cadena de entrada siempre devuelve el mismo valor hash. Es decir, el valor hash es el resultado de aplicar un algoritmo que opera slo sobre la cadena de entrada. Ejemplos de funciones hash nodeterministas son aquellas funciones hash que dependen de parmetros externos, tales como generadores de nmeros pseudoaleatorios o la fecha. Tampoco son deterministas aquellas funciones hash que dependen de la direccin de memoria en la que est almacenada la cadena de entrada. Esa direccin es accidental y no se considera un cambio de la cadena entrada en s. De hecho puede cambiar dinmicamente durante la propia ejecucin del algoritmo de la funcin hash.

Propiedades para analizar la resistencia frente a colisiones[editar editar cdigo]

El estudio de este tipo de propiedades es muy til en el campo de la criptografa para los llamados 'cdigos de deteccin de modificaciones'.

Resistencia a la primera imagen[editar editar cdigo]

Se dice que una funcin hash tiene resistencia a la primera preimagen o simplemente

que tiene resistencia a preimagen (del ingls preimage-resistant) si dado un valor hash y, es computacionalmente intratable encontrar un x, tal que h(x)=y.

Resistencia a la segunda preimagen[editar editar cdigo]

5

Se dice que una funcin hash tiene resistencia a la segunda preimagen (en

ingls second preimage-resistant) si dado un mensaje x, es computacionalmente intratable encontrar un x', , tal que h(x)=h(x').

Resistencia a colisiones (CRHF)[editar editar cdigo]

6

Se dice que una funcin hash tiene resistencia a colisiones o que es resistente a

colisiones o CRHF (del ingls Collision Resistant Hash Function) si encontrar un par con tal que es computacionalmente intratable. Es

decir, es difcil encontrar dos entradas que tengan el mismo valor hash. Como encontrar una segunda preimagen no puede ser ms fcil que encontrar una colisin, entonces la resistencia a colisiones incluye la propiedad de resitencia a la segunda preimagen.7 8 Por otro lado se puede decir que la mayora de las funciones hash CRHFs son resistentes a preimagen.9 La resistencia a colisisiones implica resistencia a preimagen para funciones hash con salida aleatoria uniforme.10 En algunos trabajos a estas funciones se les llama funciones hash de un slo sentido fuertes (del ingls strong one way hash function) para resaltar que es fuerte debido a que hay libre eleccin de los dos valores x e y.

Funcin hash de un solo sentido (OWHF)[editar editar cdigo]

11

Una funcin hash se dice que es una funcin hash de un solo sentido o que

es OWHF (del ingls One-Way Hash Function) si tiene las propiedades de resistencia a preimagen y de resistencia a segunda preimagen. Es decir, es difcil encontrar una entrada cuya hash sea un valor hash preespecificado. Observar que es diferente a la definicin general que se hace de funciones de un solo sentido:
12

Una funcin se dice que es una funcin de un solo sentido o que es OWF si para cada x

del dominio de la funcin, es fcil computar f(x), pero para todo y del rango de f, es computacionalmente intratable encontrar cualquier x tal que y=f(x). La diferencia entre OWHF y OWF es que OWF no requiere que sea funcin hash ni que sea resistente a segunda preimagen.

En algunos trabajos a estas funciones se les llama funciones hash de un slo sentido dbiles (del ingls strong one way hash function) para resaltar que es dbil en contraste conCRHF (que es fuerte) debido a que al cumplir la propiedad de resistencia a segunda preimagen no hay libre eleccin en la seleccin del valor x, y por tanto del valor h(x), en el que se tiene que producir la colisin.

Resistencia a la casi colisin[editar editar cdigo]

13

H es resistente a la casi colisin (en ingls near-colission resistance) si es difcil y con para las cuales sus

encontrar dos mensajes imgenes

14

difieran solamente en unos pocos bits.

Por ejemplo podemos tener una funcin resistente a colisiones de 256 bits que

no es resistente a la casi colisin porque se pueden encontrar casi-colisiones para los 224 bits de ms a la izquierda.

Resistencia a las preimgenes parciales[editar editar cdigo]

15

Una funcin hash tiene resistencia a preimgenes parciales (en ingls Partial-

preimage resistance) si es difcil encontrar una parte de la preimagen de un valor hash incluso conociendo el resto de la preimagen. Es decir, se debe recurrir a la fuerza bruta: si se desconocen t bits de la preimagen, se deben realizar en promedio 2n-t operaciones de hash encontrarlo. A una funcin hash resistente a preimgenes parciales tambin se le dice que es localmente de un slo sentido (del ingls local one-wayness).

Con normalizacin de datos[editar editar cdigo]

En algunas aplicaciones, las cadenas de entrada pueden contener caractersticas que son irrelevantes cuando comparamos las cadenas. Por ejemplo en algunas aplicaciones las maysculas pueden ser irrelevantes. Por tanto para hallar el valor hash es interesante ignorar las distinciones no relevantes entre las cadenas de entrada. De esta forma cadenas distintas con diferencias no relevantes, tienen asociados valores hash iguales.

Continuidad. Efecto avalancha[editar editar cdigo]

Se dice que una funcin es continua cuando una modificacin minscula (ej un bit) en la cadena de entrada ocasiona pequeos cambios en el valor hash. En una funcin hash se dice que no hay correlacin cuando los bits de las cadenas de entrada y los bits de las cadenas de salida no estn relacionados, es

decir cuando una modificacin minscula (ej un bit) en la cadena de entrada ocasiona cambios en el valor hash comparables a un cambio de cualquier otro tipo. Por tanto cualquier cambio en el mensaje original idealmente hace que cada uno de cualquier bit del valor hash resultante cambie con probabilidad 0.5. Cuando esto sucede (o casi) se dice que se produce un efecto avalancha En funciones hash usadas para bsqueda normalmente se buscan funciones tan continuas como sea posible; de forma que entradas que difieran un poco deberan tener valores hash similares o iguales. Sin embargo la continuidad no es deseable para funciones hash usadas para sumas de verificacin o funciones criptogrficas por evidentes razones.

Resistencia a la computacin de nuevos valores hash[editar editar cdigo]

16

Una funcin hash con clave K,

se dice que tiene resistencia a la

computacin de nuevos valores hash (en ingls Computation-resistance) si a partir de un rango de pares conocidos para un nuevo dato x conocida. Observar que la propiedad anterior implica que no debera ser posible calcular K a partir de un rango de pares conocidos . A esta propiedad se la con no puede ser computado para cualquier i, sin que K sea

llama propiedad de no recuperacin de clave (en ingls key non-recovery). El estudio de este tipo de propiedades son muy tiles en el campo de la criptografa para los llamados 'cdigos de autenticacin de mensajes'

Familias de funciones hash y propiedades asociadas[editar editar cdigo]

Motivacin17 [editar editar cdigo]
Podramos imaginarnos un algoritmo probabilstico de tiempo polinomial con dos mensajes codificados en el algoritmo que dan lugar a una colisin para una especfica funcin hash. El algoritmo simplemente devolvera los dos mensajes que causan la colisin. Crear tal algoritmo puede ser extremadamente difcil, pero una vez construido podra ser ejecutado en tiempo polinomial. Sin embargo, definiendo una familia de funciones hash como una familia infinita de funciones hash nos impide que la bsqueda de este algoritmo tenga xito para todas las funciones hash de la familia, porque hay infinitas. Por tanto las familias hash nos

proporcionan un mecanismo interesante para el estudio y categorizacin de las funciones hash respecto a su fortaleza frente a la bsqueda de colisiones por parte de un adversario. Este tipo de estudios es muy til en el campo de la criptografa para los llamados 'cdigos de deteccin de modificaciones'.

Concepto[editar editar cdigo]

Sea funcin. Sea , el dominio de la funcin, sea el rango de la el conjunto de todas las posibles claves (tericamente es infinito

aunque en la prctica es finito), Una familia de funciones hash la forma es un conjunto infinito de funciones hash de (notacin equivalente que ,

donde cada funcin de la familia es indexada por una clave cumple las siguientes propiedades:

es accesible, es decir hay un algoritmo probabilstico de tiempo polinomial, que sobre una entrada devuelve una instancia

es muestreable, es decir, hay un algoritmo probabilstico de tiempo polinomial, que selecciona uniformemente elementos de .

es computable en tiempo polinomial, es decir, hay un algoritmo de tiempo polinomial (en l) que sobre una entrada computa .

Ejemplo: SHA-1 es una sola instancia de funcin hash, no una familia. Sin embargo SHA-1 puede ser modificado para construir una familia finita de funciones. M. Bellare y P. Rogaway18 modificaron SHA-1 de tal forma que la claves especifica las constantes usadas en la cuarta ronda de las funciones. En este caso el tamao de la clave es de 128 bits y por tanto , y .

Observar que en la definicin de una funcin hash el dominio se puede formalizar como , sin embargo en una funcin hash definida como instancia de un . Esto es debido a

elemento de una familia de funciones hash el dominio es

que para que se cumplan las propiedades de seguridad es necesario que el dominio sea muestreado uniformemente en tiempo polinomial. Una familia de funciones puede siempre ser definida con aquel tamao apropiado para

acomodar cualquier mensaje que sea necesario.

Familia de funciones hash resistente a colisiones[editar editar cdigo]

De forma informal una familia de funciones es familia de funciones hash resistente a colisiones, tambin llamadas CRHF por sus siglas en ingls (Collision Resistant Hash Function), dada una funcin escogida aleatoriamente de la familia, un adversario es incapaz de obtener una colisin para ella.19

Definicin formal[editar editar cdigo]

20

Se dice que una familia de funciones hash es una (t,)-familia hash resistente con la forma con n,l y k enteros un buscador de

a colisiones

positivos y n>=l, que satisfacen la siguiente condicin: Sea

colisiones de cadenas que para un entrada K en el espacio de claves usa tiempo que . Observar que la probabilidad es tomada sobre las elecciones aleatorias de . y obtiene como salida , un par , tal

. Para cada

Mirando esta definicin se ve que son interesantes aquellas familias que tienen un t/ suficientemente grande. Estrictamente hablando hablamos de familias CRHF pero por simplicidad se suele hablar simplemente de CRHF. La definicin no se mete en cmo se eligen las funciones hash de la familia. Este punto es crucial.21 En realidad, en cualquier aplicacin de funciones hash resistentes a colisiones, alguna parte P tienen que elegir una funcin de la familia de forma aleatoria para producir la descripcin de la funcin. Es importante distinguir entre dos casos:

La eleccin aleatoria se puede hacer pblica (o 'public-coin'). La eleccin aleatoria puede ser revelada como parte de la descripcin de la funcin.

La eleccin aleatoria se tiene que mantener secreta (o 'secret-coin'). La revelacin la eleccin aleatoria realizada puede que permita encontrar colisiones. Por tanto P tiene que mantener secreta la eleccin despus de producir la descripcin de la funcin.

Evidentemente una familia CRHF elegible de forma pblica (public-coin) tambin puede trabajar si uno elige o mantiene la eleccin de forma privada (secret-coin).

Funcin hash universal[editar editar cdigo]

Una funcin hash universal es un familia de funciones donde la probabilidad de colisin entre dos textos escogidos es despreciable.22

Definicin formal23 [editar editar cdigo]

Una k-familia de funciones hash universal es un conjunto H de funciones elemento distintos) . tal que para cada y todos los (no necesariamente

24

Una familia de funciones hash

es -casi universal o -AU (del ingls -

almost universal) si es menor que la probabilidad de que dos entradas distintas m,n tengan el mismo valor hash asociado, estando la funcin hash elegida aleatoriamente entre los miembros de . De la definicin se percibe

que son interesantes aquellas familias que tienen un valor pequeo de indicando que el adversario no puede encontrar un par de entradas que producen el mismo valor hash, para una funcin hash elegida aleatoriamente de entre los elementos la familia.

Familia de funciones hash universal de un solo sentido[editar editar cdigo]

Una familia de funciones hash universal de un solo sentido, tambin llamadas UOWHF por sus siglas en ingls (Universal One-Way Hash Function), es una familia de funciones hash universales donde, elegida una clave K aleatoriamente en el espacio de claves, dada una cadena x con valor hash hK(x) es difcil encontrar un x' distinta de x tal que hK(x)=hK(x'). Al par (x,x') se le llama par de colisin

Definicin formal[editar editar cdigo]

25 26

Se dice que una familia de funciones hash

es (t,)-funcin hash

universal de un slo sentido (UOWHF) si no existe ningn adversario que en tiempo menor que t pueda ganar el siguiente juego con probabilidad mayor o igual que : El adversario escoge un valor x del Rango, entonces

recibe una clave K del espacio de claves escogida de forma aleatoria. El juego se gana si encuentra un x' tal que hK(x)= hK(x'). El adversario est compuesto por dos algoritmos .

slo tiene como parmetro de entrada el conjunto de la familia de funciones hash. Produce como salida x y State. x es el valor hash objetivo y State es alguna informacin extra que puede ayudar a A2 a encontrar la colisin.

tiene como parmetros de entrada K,x y State y produce como salida x'

por tanto . siendo un par con tal que hK(x)= hK(x')

Observar que, al igual que en la definicin de (t,)-CRHF la probabilidad es tomada sobre las elecciones aleatorias de que aqu la entrada x se fija primero. Mirando esta definicin se ve que son interesantes aquellas familias que tienen un t/ suficientemente grande. . La gran diferencia es

Comparacin UOWHF y CRHF27 [editar editar

cdigo]
Una familia UOWHF es una nocin ms dbil que una familia CRHF. En una CRHF, a el oponente primero se le da la clave y despus ella o l tiene que producir la pareja de entradas que colisiona. Encontrar colisiones para un parmetro fijo de una UOWHF, puede que sea bastante ms fcil, pero esto no ayudar a un oponente a violar la seguridad. Simon28 ha demostrado que existe un orculo relativo a el cual UOWHF existe, pero no CRHF.

Funciones hash iterativas. Construccin de Merkle-Damgrd[editar editar cdigo]

29 30 31

Muchas funciones hash se construyen mediante el proceso

iterativo siguiente hasta conseguir el valor hash de la entrada X, h(X):

El nmero de bits de la entrada X (en principio de longitud arbitraria) tiene que ser mltiplo de la longitud de bloque. Para conseguirlo se tiene una regla de padding que alarga la entrada a una longitud aceptable. Normalmente esta regla consiste en aadir al final de la entrada unos smbolos adicionales a los que se llama relleno o padding.

Se divide la entrada en bloques de longitud fija. Obteniendo un conjunto de bloques x1,...,xt.

H0=IV Hi=f(xi,Hi-1), i=1,2,...,t y h(X)=g(Ht).

Se realiza un proceso iterativo de la siguiente forma:

Al valor IV se le llama valor inicial y se representa por esas siglas por el trmino ingls Initial Value. A la funcin f se la llama funcin de ronda o funcin de compresin. A la funcin g se la llama transformacin de salida. Lo que hace la funcin g es derivar a partir de Ht tantos bits como se quieran en la salida de la funcin. Frecuentemente g es la funcin identidad o un truncamiento de Ht. En este tipo de descripcin de funciones hash hay dos elecciones importantes que afectarn a las propiedades que tendr la funcin:

La eleccin de la regla de padding. Si lo que se quiere es evitar colisiones es recomendable que la regla de padding no permita que existan dos mensajes que sean rellenados a el mismo mensaje.

La eleccin de valor inicial (IV). Debera ser definido como parte de la descripcin de la funcin hash.

A las funciones que se construyen mediante el anterior sistema se dice que son son funciones hash iterativas. A esta forma de construccin recursiva se la conoce tambin como de Merkle-Damgrd debido a que fue usado por primera vea por R. Merkle y I. Damgrd independientemente en 1989.

Aplicaciones[editar editar cdigo]

Las funciones hash son usadas en mltiples campos. Ejemplos:

Herramienta bsica para la construccin de utilidades ms complejas:

Construccin de estructuras de datos: Su uso en distintas estructuras de datos hacen ms eficientes las bsquedas. Ej. tablas hash.

Construccin de esquemas de compromiso. Los esquemas de compromiso permiten que una entidad elija una valor entre un conjunto finito de posibilidades de tal forma que no pueda cambiarla. Esa entidad no tiene que revelar su eleccin hasta si acaso el momento final (la eleccin puede permanecer oculta).

Construccin de algoritmos de cifrado/descifrado. Por ejemplo se usa en la construccin de cifradores de flujo y de cifradores de bloque.

Construccin de algoritmos generadores de nmeros pseudoaleatorios.

Construccin de cadenas pseudoaleatorias. Por ejemplo el llamado modelo de orculo aleatorio se basa en considerar que funciones hash con ciertas propiedades se comportan como funciones que escogen cadenas al azar, se usa para el estudio de la seguridad los esquemas criptogrficos.

Construccin de algoritmos de testeo de pertenencia o no a un conjunto.- Se han usado funciones hash para la construccin de acumuladores criptogrficos y filtros de Bloom. Estas tecnologas permiten establecer mecanismos que permiten pronunciarse, a veces con cierto grado de error, sobre la pertenencia o no a cierto conjunto.

Construccin de mtodos de generacin de sellos de tiempo confiables.

Herramienta para proteger la integridad

En la firma digital

Como dato que se firma:En los algoritmos de firma convencionales normalmente en lugar de firmar todo

el contenido se suele ser firmar slo el valor hash del mismo. Algunas de las motivaciones para hacer esto son:32

Cuando se usa para firmar algoritmos de firma por bloques donde los mensajes son ms largos que el bloque, no es seguro firmar mensajes bloque a bloque ya que un enemigo podra borrar bloques del mensaje firmado o insertar bloques de su eleccin en el mensaje antes de que sea firmado. Al usar una funcin hash hacemos una transformacin que hace a la firma dependiente de todas las partes del mensaje.

Normalmente los valores hash son mucho ms cortos que los datos originales de entrada. Se puede mejorar mucho la velocidad de firma firmando el valor hash en lugar de firmar el dato original.

Si los mensajes a firmar pueden tener cierta estructura algebraica y el algoritmo de firma se comporta de forma que el sistema resultante puede ser vulnerable acriptoanlisis con ataques de texto escogido, podemos usar funciones hash para destruir esta estructura algebraica.

Como parte del algoritmo de firma: Se han desarrollado algoritmos de firma que usan funciones hash en el propio algoritmo de firma como una herramienta interna del mismo. Ejemplo de este tipo algoritmos son el esquema de firma de Merkle.

Suma de verificacin (del ingls checksum): Cuando queremos almacenar o transmitir informacin, para protegernos frente a errores fortuitos en el almacenamiento o transmisin, es til acompaar a los datos de valores hash obtenidos a partir de ellos aplicando funciones hash con ciertas propiedades de forma que puedan ser usados para verificar hasta cierto punto el

propio dato. A el valor hash se le llama Suma de verificacin.

Prueba de la integridad de contenidos.- Por ejemplo cuando se distribuye un contenido por la red, y se quiere estar seguro de que lo que le llega al receptor es lo que se est emitiendo, se proporciona un valor hash del contenido de forma que ese valor tiene que obtenerse al aplicar la funcin hash sobre el contenido distribuido asegurando as la integridad. A esto se le suele llamar checksum criptogrfico debido a que es un checksum que requiere el uso de funciones hash criptogrficas para que sea difcil generar otros ficheros falso que tengan el mismo valor hash. Otro ejemplo de uso esta tecnologa para verificar la integridad es calcular y guardar el valor hash de archivos para poder verificar posteriormente que nadie (Ej un virus) los ha modificado. Si en lugar de verificar la integridad de un solo contenido lo que se quiere es verificar la integridad de un conjunto de elementos, se pueden usar algoritmos basados en funciones hash como los rboles de Merkle que se basan en aplicar reiteradamente las funciones hash sobre los elementos del conjunto y sobre los valores hash resultantes.

Herramientas vinculadas a la autenticacin y control de acceso

Autenticacin de entidades: Por ejemplo es frecuente el uso para este propsito de funciones hash deterministas con clave secreta que tienen ciertas propiedades (Cdigos de autenticacin de mensajes). En estos esquemas tanto el servicio de autenticacin, o verificador, como la entidad que se quiere autenticar mantienen en secreto la clave de la funcin hash. El esquema funciona de la siguiente forma: El que se quiere autenticar genera un mensaje y calcula su valor hash. Estos dos datos se mandan al verificador. El verificador comprueba que el valor hash se corresponde con el mensaje enviado y de esta forma verifica que la entidad tiene la clave secreta y

por otra parte puede asegurar que el mensaje es ntegro (no ha sido modificado desde que se calcul el valor hash). Observar que el esquema no tiene la propiedad del norepudio por parte del que se quiere autenticar ya que el verificador, al disponer de la clave secreta, puede generar tambin los valores hash.

Proteccin de claves: Para comprobar la correccin de una clave no es necesario tener la clave almacenada, lo que puede ser aprovechado para que alguien no autorizado acceda a ella, sino almacenar el valor hash resultante de aplicar una funcin hash determinista. De esta forma para verificar si una clave es correcta basta con aplicar la funcin hash y verificar si el resultado coincide con el que tenemos almacenado.

Derivacin de claves: Por ejemplo en algunas aplicaciones usan funciones hash para derivar una clave de sesin a partir de un nmero de transaccin y una clave maestra. Otro ejemplo de aplicacin sera el uso de funciones hash para conseguir sistemas de autenticacin con claves de un solo uso o OTP (del ingls One Time Password). En este tipo de sistemas la clave es vlida para un solo uso. Estos sistemas se basan en tener un semilla inicial y luego ir generando claves (mediante un algoritmo que puede usar funciones hash) que pueden tener un solo uso y as evitar ataques de REPLAY.

Herramienta para la identificacin y la rpida comparacin de datos: Se pueden usar funciones hash para proporcionar una identificacin de objetos o situaciones. Una buena funcin hash para este propsito debera ser rpida y asegurarse de que dos objetos o situaciones que se considerar iguales den lugar al mismo valor hash. Observar que dos objetos o situaciones pueden ser considerados iguales sin ser idnticos. Por ejemplo podemos considerar iguales a dos ficheros que son distintos bit a bit porque realmente son la digitalizacin de la misma pelcula. Es labor del diseo de la funcin hash capturar la

esencia del criterio de igualdad. Por otra parte la evaluacin de la funcin hash debera ser poco costosa para facilitar la rpida comparacin de elementos candidatos a ser iguales y de esta forma poder implementar algoritmos de bsqueda rpidos.

Huellas digitales.- El uso de funciones hash aplicados a cadenas permiten obtener valores hash que pueden usarse detectar fcilmente la aparicin de esos datos en distintos sitios. Pueden ser usados para distintos usos como bsqueda de virus, autenticacin con datos biomtricos, deteccin de copias,...La idea puede usarse ms all de textos y ser aplicado a cualquier tipo de contenido multimedia:33 34 Las funciones hash especficamente diseadas para este propsito obtienen valores hash que permiten detectar caractersticas intrnsecas del contenido multimedia, de forma que se pueda identificar si dos archivos diferentes se corresponden con el mismo contenido multimedia. Como aplicacin prctica de este tipo de algoritmo tenemos los programas que se ejecutan en dispositivos mviles y que son capaces de adivinar el ttulo de la cancin que est sonando en la habitacin solamente capturando el sonido y comparndolo con estos valores hash. Este tipo de algoritmos tambin se puede utilizar para proteccin de contenidos multimedia ya que permite validar automticamente si cierto fichero multimedia est protegido o no por derechos de autor.

Identificacin de contenidos: En algunas aplicaciones se usa el valor hash de un contenido multimedia para identificar ese contenido independientemente de su nombre o ubicacin. Esto es ampliamente usado en redes Peer-to-peer que intercambian de archivos, tales como Kazaa, Ares Galaxy, Overnet, BitTorrent.

Identificar un registro en una base de datos y permitir con ello un acceso ms rpido a los registros (incluso ms rpido que teniendo ndices).

Algortmos de bsqueda de subcadenas: Los algoritmos de bsqueda de subcadenas tratan el problema de buscar subcadenas, a la que llaman patrn, dentro de otra cadena a la que llaman texto. Hay algoritmos de este tipo que usan funciones hash en su implementacin. Ejemplo: algoritmo Karp-Rabin.

Deteccin de virus: Para detectar los virus muchos antivirus definen funciones hash que capturan la esencia del virus y que permiten distinguirlos de otros programas o virus. Es lo que se llama firma del virus. Estas firmas son usadas por los antivirus para poder detectarlos.

Muchas de las aplicaciones de las funciones hash son relativas al campo de la criptografa ( Cifradores, acumuladores criptogrficos, firma digital, protocolos criptogrficos de autenticacin,...). La Criptografa es una rama de las matemticas que proporciona herramientas para conseguir seguridad en los sistemas de informacin. Las funciones hash interesantes en el rea de la criptografa se caracterizan por cumplir una serie de propiedades que permiten a las utilidades criptogrficas que las utilizan ser resistente frente ataques que intentan vulnerar la seguridad del sistema. A las funciones hash que cumplen estas propiedades se las llama funciones hash criptogrficas.

Vase tambin

FUNCIONES HASH
Edit 0 10

Ver //Funciones Hash// encontraras un concepto mas claro acerca de Hash.

FUNCIN HASH (HISTORIA)

Fue creada en 1990, Ron Rivest (la R de RSA) invent la funcin hash MD4. En 1992, mejor el MD4 y desarroll otra funcin hash: MD5. En 1993, la National Security Agency (organismo dependiente del gobierno de EE.UU.) public una funcin hash muy similar al MD5, llamada SHA (Secure Hash Algorithm). Cuando, en 1995, se descubrieron debilidades, la NSA hizo cambios al SHA. El nuevo algoritmo fue llamado SHA-1. Hoy la funcin ms popular de hash es SHA-1. Existen funiciones hash de una va (one-way) que son una construccin criptogrfica empleada en muchas aplicaciones. Son usadas junto con los algoritmos de clave pblica para cifrado y firma digital. Son usadas en la verificacin de integridad, en autenticacin. Conforman aplicaciones de muchos protocolos diferentes. Mucho ms que los algoritmos de cifrado, las funciones de hashing de una va son los verdaderos caballos de trabajo de la criptografa

moderna. Estas tienen dos propiedades:

1. Ser de una sola va. Esto significa que es fcil tomar un mensaje y computarlo en el valor del hash, pero es imposible (o dificultar mucho) tomar el valor del hash y recrear el mensaje original. 2. Estar libres de colisiones. Quiere decir que es imposible encontrar dos mensajes que generen un digesto del mismo valor.

Quebrar una funcin hash significa mostrar que cada una o ambas de estas propiedades no son ciertas. En febrero del 2005, tres criptgrafos chinos mostraron que el SHA-1 no est libre de colisiones. Esto es: desarrollaron un algoritmo para encontrar las colisiones ms rpido que la fuerza bruta. SHA-1 produce un digesto de 160-bit. Cada mensaje hasheado genera un nmero de 160-bit. Teniendo que hay infinito nmero de mensajes que se resumen en cada valor posible, hay infinito nmero de posibles colisiones. Pero debido a que el nmero de posibles digestos es tambin muy grande, la posibilidad de encontrar uno por azar es increblemente pequea (uno en 280, para ser exactos). Si se hace hashing de 280 mensajes aleatorios, podr encontrar un par cuyo digesto es el mismo valor. Esta es la forma en que por fuerza bruta se encuentran las colisiones, y dependen nicamente de la longitud del valor del hash. "Quebrar" la funcin hash significa contar con la posibilidad de encontrar colisiones ms rpido que eso. Ellos encontraron colisiones en el SHA-1 en 269 clculos, cerca de 2.000 veces ms rpido que la fuerza bruta. Ahora, esto es justo en el lejano borde de las facilidades de la actual teccnologa. Dos clculos masivos comprables ilustrarn este punto.
EN INFORMATICA HASH: En //informtica//, Hash se refiere a una //funcin// o mtodo para generar //claves// o llaves que representen de manera casi unvoca

a un//documento//, //registro//, //archivo//, etc., resumir o identificar un //dato// a travs de la //probabilidad//, utilizando una funcin hash o algoritmo hash. Un hash es el resultado de dicha //funcin// o //algoritmo//. Una funcin de hash es una //funcin// para resumir o identificar probabilsticamente un gran //conjunto// de informacin, dando como resultado un conjunto imagen finito generalmente menor (un //subconjunto// de los //nmeros naturales// por ejemplo). Varan en los conjuntos de partida y de llegada y en cmo afectan a la salida similitudes o patrones de la entrada. Una propiedad fundamental del hashing es que si dos resultados de una misma funcin son diferentes, entonces las dos entradas que generaron dichos resultados tambin lo son. Es posible que existan claves resultantes iguales para objetos diferentes, ya que el rango de posibles claves es mucho menor que el de posibles objetos a resumir (las claves suelen tener en torno al centenar de bits, pero los ficheros no tienen un tamao lmite). Son usadas en mltiples aplicaciones, como los //arrays asociativos//, //criptografa//, procesamiento de datos y //firmas digitales//, entre otros. Una buena funcin de hash es una que experimenta pocas //colisiones// en el conjunto esperado de entrada; es decir que se podrn identificar unvocamente las entradas (ver //funcin inyectiva//). Muchos sistemas relacionados con la seguridad informtica usan funciones o tablas hash.

FUNCIONES DE LA FUNCION HASH Una herramienta fundamental en la cripotografa, son las funciones hash, son usadas principalmente para resolver el problema de la integridad de los mensajes, as como la autenticidad de mensajes y de su origen. Una funcin hash es tambin ampliamente usada para la firma digital, ya que los documentos a firmar son en general demasiado grandes, la funcin hash les asocia una cadena de longitud 160 bits que los hace ms manejables para el propsito de firma digital. De forma grfica la funcin hash efecta lo siguiente: un mensaje de longitud arbitraria lo transforma de forma "nica" a un mensaje de longitud constante.

Cmo hace esto? La idea general es la siguiente: La funcin hash toma como entrada una cadena de longitud arbitraria, digamos 5259 bits, luego divide ste mensaje en pedazos iguales, digamos de 160 bits, como en este caso y en general el mensaje original no ser un mltiplo

de 160, entonces para completar un nmero entero de pedazos de 160 bits al ltimo se le agrega un relleno, digamos de puros ceros. En nuestro caso en 5259 caben 32 pedazos de 160 bits y sobran 139, entonces se agregarn 21 ceros ms. El mensaje toma la forma X = X1, X2, X3,,Xt donde cada Xi tiene igual longitud (160 bits por ejemplo).

Posteriormente se asocia un valor constante a un vector inicial IV y H0=IV Ahora se obtiene H1 que es el resultado de combinar H0 con X1 usando una funcin de compresin f H1 = f(H0,X1) Posteriormente se obtiene H2, combinando H1 y X2 con f H2 = f(H1,X2) Se hace lo mismo para obtener H3 H3 = f(H2,X3) Hasta llegar a Ht Ht = f(Ht-1, Xt) Entonces el valor hash ser h(M) = Ht De alguna forma lo que se hace es tomar el mensaje partirlo en pedazos de longitud constante y combinar de alguna forma pedazo por pedazo hasta obtener un mensaje nico de longitud fija como muestra la figura siguiente:

Las funciones hash (o primitivas hash) pueden operar como: MDC (Modification Detection Codes) MAC (Massage Authentication Codes). Los MDC sirven para resolver el problema de la integridad de la informacin, al mensaje se le aplica un MDC (una funcin hash) y se manda junto con el propio mensaje, al recibirlo el receptor aplica la funcin hash al mensaje y comprueba que sea igual al hash que se envi

antes. Es decir, se aplica un hash al mensaje M y se enva con el mensaje (M, h(M)), cuando se recibe se le aplica una vez ms el hash (ya que M es pblico) obteniendo h'(M), si h(M)=h'(M), entonces se acepta que el mensaje sea transmitido sin alteracin.

Los MAC sirven para autenticar el origen de los mensajes (junto con la integridad), un MAC. Es decir, se combina el mensaje M con una clave privada K y se les aplica un hash h(M,K), si al llegar a su destino h(M, K) se comprueba de integridad de la clave privada K, entonces se demuestra que el origen es solo el que tiene la misma clave K, probando as la autenticidad del origen del mensaje. De forma simple se muestra en la siguiente figura el funcionamiento de un MAC

Las propiedades que deben de tener las primitivas hash son: 1. Resistencia a la preimagen significa que dada cualquier imagen, es computacionalmente imposible encontrar un mensaje x tal que h(x)=y. Otra forma como se conoce esta propiedad es que h sea de un solo sentido. 2. Resistencia a una segunda preimagen significa que dado x, es computacionalmente imposible encontrar una x' tal que h(x)=h(x'). Otra forma de conocer esta propiedad es que h sea resistente a una colisin suave. 3. Resistencia a colisin significa que es computacionalmente imposible encontrar dos mensajes diferentes x, x' tal que h(x)=h(x'). Esta propiedad tambin se conoce como resistencia a colisin fuerte. Para ilustrar la necesidad de estas propiedades veamos los siguientes ejemplos: Consideremos un esquema de firma digital con apndice, entonces la firma se aplica a h(x), en este caso h debe ser un MDC con resistencia a una 2 preimagen, ya que de lo contrario un atacante C que conozca la firma sobre h(x), puede encontrar otro mensaje x' tal que h(x) = h(x') y reclamar que la firma es del documento x'.

Si el atacante C puede hacer que el usuario firme un mensaje, entonces el atacante puede encontrar una colisin (x, x') (en lugar de lo ms difcil que es encontrar una segunda preimagen de x) y hacer firmar al usuario a x diciendo que firmo x'. En este caso es necesaria la propiedad de resistenhttp:www.google.es/search?q=biography +%22John+Mccarthy%22&hl=es&lr=&ie=UTF8&start=20&sa=Ncia a colisin. Por ltimo si (e,n) es la clave pblica RSA de A, C puede elegir aleatoriamente un y y calcular z = ye mod n, y reclamar que y es la firma de z, si C puede encontrar una preimagen x tal que z = h(x), donde x es importante para A. Esto es evitable si h es resistente a preimagen. Las funciones hash ms conocidas son las siguientes: las que se crean a partir de un block cipher como DES, MD5 ], SHA-1 y RIPEMD 160. Actualmente se ha podido encontrar debilidades en las funciones hash que tienen como salida una cadena de 128 bits, por lo que se ha recomendado usar salidas de 160 bits. As mismo se han encontrado ataques a MD5 y SHA-0 (antecesora de SHA-1), esto ha dado lugar que se dirija la atencin sobre la funcin has RIPEMD-160. El ataque ms conocido (a fuerza bruta) a una funcin hash es conocido como "birthday attack" y se basa en la siguiente paradoja, si hay 23 personas en un local existe una probabilidad de al menos 1/2, de que existan dos personas con el mismo cumpleaos. Aunque parezca muy difcil esa posibilidad se puede mostrar que en general al recorre la raz cuadrada del nmero de un conjunto de datos, se tiene la probabilidad de al menos de encontrar dos iguales. Al aplicar esto a una funcin hash, es necesario recorrer entonces la raz cuadrada de 2160 mensajes para poder encontrar dos con el mismo hash, o sea encontrar una colisin. Por lo tanto una funcin hash son salida 2160 tiene una complejidad de 280, y una funcin de 128 bits de salida tiene una complejidad de 264, por lo que es recomendable usar actualmente salida de 160 bits (48 dgitos). La criptografa simtrica, es claramente insuficiente para llevar a cabo comunicaciones seguras a travs de canales inseguros -lase internet-, debido a que los dos interlocutores

necesitan compartir una clave secreta -llamada "clave de sesin"-. Dicha clave debe ser transmitida en algn momento desde un extremo a otro del canal de comunicacin de forma segura, ya que de ella depende la proteccin de toda la informacin que se transmita a lo largo de esa sesin en particular.Se necesita, pues, un canal seguro para poder crear otro canal seguro. Es la pescadilla que se muerde la cola. La criptografa asimtrica ofrece una salida al problema, proporcionando ese canal seguro de comunicacin que va a permitir a los participantes intercambiar las claves de sesin. Y sa no es la nica ventaja, ya que los algoritmos asimtricos ofrecen mecanismos fiables para que ambos interlocutores se puedan identificar frente al otro de manera segura. La razn por la que no se emplean algoritmos asimtricos todo el tiempo es porque, entre otras ventajas, los criptosistemas simtricos resultan mucho ms eficaces y rpidos. Suponga que hemos creado una funcin HASHde forma tal que el resumen es slo de 4 bits, independientemente del tamao de dicho mensaje de entrada y nos //surge// la pregunta: Cul es la //probabilidad// de que dos mensajes distintos tengan igual funcin HASH? Si esta probabilidad fuese muy baja (en este caso 1/16: HASH desde 0000 hasta 1111) y podra darse el siguiente caso: Alguien modifica nuestro mensaje firmado y enva ese mensaje falso con la firma del primero ya que en ambos casos son los mismos 4 bits. Mensaje 1: "Rechazamos el //contrato// por no interesarnos nada" HASH: 1101. Mensaje 2: "Firma todo lo que te pongan porque nos interesa" HASH: 1101. Observe que ambos mensajes tienen 47 caracteres, as podramos crear una gran cantidad de mensajes diferentes que digan cosas distintas incluso con igual nmero de caracteres, Hasta que los dos HASH coincidan!, y por este motivo para que las funciones HASHsean interesantes en criptografa deben cumplir un conjunto de propiedades, ellas son: h(M) ser segura si tiene las siguientes caractersticas: Unidireccionalidad

: Conocido un resumen h(M), debe ser computacionalmente imposible encontrar M a partir de dicho resumen. Compresin : A partir de un mensaje de cualquier longitud, el resumen h(M) debe tener una longitud fija, lo normal es que la longitud de h(M) sea menor que el mensaje M. Facilidad de clculo : Debe ser fcil calcular h(M) a partir de un mensaje M. Difusin : El resumen h(M) debe ser una funcin compleja de todos los bits del mensaje Msi se modifica un solo bits del mensaje M y entonces elHASH h(M) debera cambiar la mitad de sus bits aproximadamente

o TABLAS HASH Una tabla hash o mapa hash es una //estructura de datos// que asocia llaves o claves con valores. La operacin principal que soporta de manera eficiente es la bsqueda: permite el acceso a los elementos (telfono y direccin, por ejemplo) almacenados a partir de una clave generada (usando el nombre o nmero de cuenta, por ejemplo). Funciona transformando la clave con una //funcin hash// en un //hash//, un nmero que la tabla hash utiliza para localizar el valor deseado. Las tablas hash se suelen implementar sobre //arrays// de una dimensin, aunque se pueden hacer implementaciones multidimensionales basadas en varias claves. Como en el caso de los arrays, las tablas hash proveen tiempo constante de bsqueda promedio //O(1)//,//[1//] sin importar el nmero de elementos en la tabla. Sin embargo, en casos particularmente malos el tiempo de bsqueda puede llegar a O(n), es decir, en funcin del nmero de elementos. Comparada con otras estructuras de arrays asociadas, las tablas hash son ms tiles cuando se almacenan grandes cantidades de informacin. Las tablas hash almacenan la informacin en posiciones pseudo-aleatorias, as que el acceso ordenado a su contenido es bastante lento. Otras estructuras como //rboles binarios autobalanceables// son ms rpidos en promedio (tiempo de bsqueda O(log n)) pero la informacin est ordenada en todo momento.

Archivo:Tabla hash1.png

ventajas de la tabla hash Una tabla hash tiene como principal ventaja que el acceso a los datos suele ser muy rpido si se cumplen las siguientes condiciones:// o Una razn de ocupacin no muy elevada (a partir del 75% de ocupacin se producen demasiadas colisiones y la tabla se vuelve ineficiente). Una //funcin resumen// que distribuya uniformemente las claves. Si la funcin est mal diseada, se producirn muchas colisiones

desventajas de la tabla hash o o o Necesidad de ampliar el espacio de la tabla si el volumen de datos almacenados crece. Se trata de una operacin costosa. Dificultad para recorrer todos los elementos. Se suelen emplear //**listas**// para procesar la totalidad de los elementos. Desaprovechamiento de la memoria. Si se reserva espacio para todos los posibles elementos, se consume ms memoria de la necesaria; se suele resolver reservando espacio nicamente para //punteros// a los elementos. A finales del ao 2004 cientficos chinos de la Shandong University presentan trabajos en los que se analizan las debilidades reales de las

funciones Funciones Hash ms usadas: 1. Hash de Divisin: Dado un diccionario D, se fija un nmero m >= |D| (m mayor o igual al tamao del diccionario) y que sea primo no cercano a potencia de 2 o de 10. Siendo k la clave a buscar y h(k) la funcin hash, se tiene h(k)=k%m (Resto de la divisin k/m). 2. Hash de Multiplicacin Si por alguna razn, se necesita una tabla hash con tantos elementos o punteros como una potencia de 2 o de 10, ser mejor usar una funcin hash de multiplicacin, independiente del tamao de la tabla. Se escoge un tamao de tabla m >= |D| (m mayor o igual al tamao del diccionario) y un cierto nmero irracional (normalmente se usa 1+5^(1/2)/2 o 1-5^(1/2)/2). De este modo se define h(k)= Suelo(m*Parte fraccionaria(k*)). CONCLUSIONES Despues de haber analizado las funciones HASH, su integridad y autenticidad de mensajes y el origen en si. podemos ver que generalmete es el resultado un algoritmo matematico que permite calcular un valor resumen de los datos al ser firmados digitalmete, en si funcionan en una misma direccion. o o Las funciones HASH como son MD5, SHA-1, y otras, pueden usarse adems para autenticar a dos usuarios. Estas funciones como carecen de una clave privada no pueden usarse de forma directa para estos propsitos, no obstante existen algoritmos que permiten aadirles esta funcin. usando los HASH vistos anteriormente est la funcion HMAC y una clave secreta autentica a dos usuarios mediante sistemas de clave secreta, las funciones MAC (Message Authentication Code) y HMAC se dedican a la autenticacin y firma digital. Dentro de la funcion HASH, HMAC se usa en plataformasseguras ip como por ejemplo en Secure Socket Layer, SSL.

ADMINISTRACION DE SEGURIDAD.WIKIPEDIA El objetivo de la administracin de seguridad es lograr la exactitud, integridad y proteccin de todos los procesos y recursos de los sistemas de informacin. De este modo la administracin de seguridad minimiza errores, fraudes y prdidas en los sistemas de informacin que interconectan a las empresas actuales, as como a sus clientes, proveedores y

otras partes interesadas. TIPOS DE DEFENSAS DE SEGURIDAD.

* Cifrado .
Implica el uso de algoritmos matemticos especiales, o llaves, para transformar los datos digitales en cdigos cifrados antes de ser transmitidos y para descifrarlos cuando son recibidos. El mtodo ms usado es el llamado, mtodo de llave pblica, que es exclusivamente para el receptor que es conocida por el transmisor.

*Firewalls .
Puede ser un procesador de comunicaciones, por lo comn un ruteador, o un servidor dedicado, junto con software firewall. Sirve como un sistema de portero que protege las intranets de una empresa y otras redes informticas de la intrusin al proporcionar un filtro y punto de transferencia seguro para el acceso a Internet y otras redes.

*Defensas contra la negacin de servicios

Los ataques de negacin de servicios a travs de Internet dependen de 3 niveles de sistemas interconectados: 1) En el sitio Web de la vctima 2) En el proveedor de servicios de Internet 3) En las mquinas zombis

*Monitoreo del correo electrnico *Defensa contra virus ]

Muchas empresas crean defensas contra la diseminacin de virus al centralizar la distribucin y actualizacin de software de antivirus como responsabilidad de sus departamentos de sistemas de informacin.

a seguridad de la informacin es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemastecnolgicos que permiten resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pero la informacin puede encontrarse en diferentes medios o formas, y no solo en medios informticos. Para el hombre como individuo, la seguridad de la informacin tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la seguridad de la informacin ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtindose en una carrera acreditada a nivel mundial. Este campo ofrece muchas reas de especializacin, incluidos la auditora de sistemas de informacin, planificacin de la continuidad del negocio, ciencia forense digital y administracin de sistemas de gestin de seguridad, entre otros.
ndice
[ocultar]

1 Concepcin de la seguridad de la informacin

o o o o

1.1 Confidencialidad 1.2 Integridad 1.3 Disponibilidad 1.4 Autenticacin o autentificacin

2 Servicios de seguridad

o o

2.1 No repudio 2.2 Protocolos de Seguridad de la Informacin

3 Planificacin de la seguridad

o o o

3.1 Creacin de un plan de respuesta a incidentes 3.2 Consideraciones legales 3.3 Planes de accin

4 El manejo de riesgos

o o o

4.1 Medios de transmisin de ataques a los sistemas de seguridad 4.2 Actores que amenazan la seguridad 4.3 Otros conceptos

5 Gobierno de la Seguridad de la Informacin 6 Tecnologas 7 Estndares de seguridad de la informacin

7.1 Otros estndares relacionados

8 Certificaciones

8.1 Certificaciones independientes en seguridad de la informacin

9 Vase tambin 10 Referencias

o o

10.1 Bibliografa 10.2 Enlaces externos

Concepcin de la seguridad de la informacin[editar editar cdigo]

En la seguridad de la informacin es importante sealar que su manejo est basado en la tecnologa y debemos de saber que puede ser confidencial: la informacin est centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La informacin es poder, y segn las posibilidades estratgicas que ofrece tener acceso a cierta informacin, sta se clasifica como: Crtica: Es indispensable para la operacin de la empresa. Valiosa: Es un activo de la empresa y muy valioso. Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad: Riesgo: Es la materializacin de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, as como el impacto negativo que ocasione a las operaciones de negocio. Seguridad: Es una forma de proteccin contra los riesgos. La seguridad de la informacin comprende diversos aspectos entre ellos la disponibilidad, comunicacin, identificacin de problemas, anlisis de riesgos, la integridad, confidencialidad, recuperacin de los riesgos. Precisamente la reduccin o eliminacin de riesgos asociado a una cierta informacin es el objeto de la seguridad de la informacin y la seguridad informtica. Ms concretamente, laseguridad de la informacin tiene como objeto los sistemas el acceso, uso, divulgacin, interrupcin o destruccin no 1 autorizada de informacin. Los trminos seguridad de la informacin, seguridad informtica y garanta de la informacin son usados frecuentemente como sinnimos porque todos ellos persiguen una misma finalidad al proteger laconfidencialidad, integridad y disponibilidad de la informacin. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologas utilizadas, y las zonas de concentracin. Adems, la seguridad de la informacin involucra la implementacin de estrategias que cubran los procesos en donde la informacin es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de polticas, controles de seguridad, tecnologas y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto informacin como los sistemas que la almacenan y administran. La seguridad de la informacin incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con informacin confidencial sobre sus empleados, clientes, productos, investigacin y su situacin financiera. En caso de que la informacin confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva lnea de productos caigan en manos de un competidor; se vuelva pblica de forma no autorizada, podra ser causa de la prdida de credibilidad de los clientes, prdida de negocios, demandas legales o incluso la quiebra de la misma. Por ms de veinte aos la Seguridad de la Informacin ha declarado que la confidencialidad, integridad y disponibilidad (conocida como la Trada CIA, del ingls: "Confidentiality,Integrity, Availability") son los principios bsicos de la seguridad de la informacin. La correcta Gestin de la Seguridad de la Informacin busca establecer y mantener programas, controles y polticas, que tengan como finalidad
[cundo?]

conservar la confidencialidad, integridad y disponibilidad de la informacin, si alguna de estas caractersticas falla no estamos ante nada seguro. Es preciso anotar, adems, que la seguridad no es ningn hito, es ms bien un proceso continuo que hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se cien sobre cualquier informacin, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, as como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes, debern tomarse las medidas de seguridad oportunas.

Confidencialidad[editar editar cdigo]

La confidencialidad es la propiedad que impide la divulgacin de informacin a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la informacin nicamente a aquellas personas que cuenten con la debida autorizacin. Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo alguno, se ha producido una violacin de la confidencialidad. La prdida de la confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene informacin confidencial en la pantalla, cuando se publica informacin privada, cuando un laptop con informacin sensible sobre una empresa es robado, cuando se divulga informacin confidencial a travs del telfono, etc. Todos estos casos pueden constituir una violacin de la confidencialidad.

Integridad[editar editar cdigo]

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la informacin tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados. La violacin de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intencin) modifica o borra los datos importantes que son parte de la informacin, as mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificacin sea registrada, asegurando su precisin y confiabilidad. La integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de comprobacin de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la informacin

Disponibilidad[editar editar cdigo]

La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la informacin y a los sistemas por personas autorizadas en el momento que as lo requieran. En el caso de los sistemas informticos utilizados para almacenar y procesar la informacin, los controles de seguridad utilizados para protegerlo, y los canales de comunicacin protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energa, fallos de hardware, y actualizaciones del sistema. Garantizar la disponibilidad implica tambin la prevencin de ataque de denegacin de servicio. Para poder manejar con mayor facilidad la seguridad de la informacin, las empresas o negocios se pueden ayudar con un sistema de gestin que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la informacin del negocio. La disponibilidad adems de ser importante en el proceso de seguridad de la informacin, es adems variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnolgica, servidores de correo electrnico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicacin de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades depender de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.

Autenticacin o autentificacin[editar editar cdigo]

Es la propiedad que permite identificar el generador de la informacin. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona hacindose pasar por la otra (suplantacin de identidad). En un sistema informtico se suele conseguir este factor con el uso de cuentas de usuario y contraseas de acceso. Esta propiedad se puede considerar como un aspecto de la integridad -si est firmado por alguien, est realmente enviado por el mismo- y as figura en la literatura anglosajona.

Servicios de seguridad[editar editar cdigo]

El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de informacin en las organizaciones. Los servicios de seguridad estn diseados para

contrarrestar los ataques a la seguridad y hacen uso de uno o ms mecanismos de seguridad para proporcionar el servicio.

No repudio[editar editar cdigo]

Proporciona proteccin contra la interrupcin, por parte de alguna de las entidades implicadas en la comunicacin, de haber participado en toda o parte de la comunicacin. El servicio de Seguridad de No repudio o irrenunciabilidad est estandarizado en la ISO-7498-2. No Repudio de origen: El emisor no puede negar que envo porque el destinatario tiene pruebas del envo, el receptor recibe una prueba infalsificable del origen del envo, lo cual evita que el emisor, de negar tal envo, tenga xito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario. Prueba que el mensaje fue enviado por la parte especfica.

No Repudio de destino: El receptor no puede negar que recibi el mensaje porque el emisor tiene pruebas de la recepcin. Este servicio proporciona al emisor la prueba de que el destinatario legtimo de un envo, realmente lo recibi, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor. Prueba que el mensaje fue recibido por la parte especfica.

Si la autenticidad prueba quin es el autor de un documento y cual es su destinatario, el no repudio prueba que el autor envi la comunicacin (no repudio en origen) y que el destinatario la recibi (no repudio en destino). El no repudio evita que el emisor o el receptor nieguen la transmisin de un mensaje. As, cuando se enva un mensaje, el receptor puede comprobar que, efectivamente, el supuesto emisor envi el mensaje. De forma similar, cuando se recibe un mensaje, el emisor puede verificar que, de hecho, el supuesto receptor recibi el mensaje. Definicin segn la recomendacin X.509 de la UIT-T Servicio que suministra la prueba de la integridad y del origen de los datos- ambos en una relacin infalsificable que pueden ser verificados por un tercero en cualquier momento.

Protocolos de Seguridad de la Informacin[editar editar

cdigo]
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisin de datos entre la comunicacin de dispositivos para ejercer una confidencialidad,integridad, autenticacin y el no repudio de la informacin. Se componen de: Criptografa (Cifrado de datos), se ocupa del cifrado de mensajes un mensaje es enviado por el emisor lo que hace es transposicionar o

ocultar el mensaje hasta que llega a su destino y puede ser descifrado por el receptor. Lgica (Estructura y secuencia). Llevar un orden en el cual se agrupn los datos del mensaje el significado del mensaje y saber cuando se va enviar el mensaje. Identificacin (Autentication). Es una validacin de identificacin es la tcnica mediante la cual un proceso comprueba que el compaero de comunicacin es quien se supone que es y no se trata de un impostor.

Planificacin de la seguridad[editar editar cdigo]

Hoy en da la rpida evolucin del entorno tcnico requiere que las organizaciones adopten un conjunto mnimo de controles de seguridad para proteger su informacin y sistemas de informacin. El propsito del plan de seguridad del sistema es proporcionar una visin general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema tambin delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la informacin, el propietario de la red, y el alto funcionario de la agencia de informacin de seguridad (SAISO). Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organizacin debe entender el sistema de seguridad en el proceso de planificacin. Los responsables de la ejecucin y gestin de sistemas de informacin deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.

Creacin de un plan de respuesta a incidentes[editar editar cdigo]

Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la organizacin y probarlo regularmente. Un buen plan de respuestas a incidentes puede no slo minimizar los efectos de una violacin sino tambin, reducir la publicidad negativa. Desde la perspectiva del equipo de seguridad, no importa si ocurre una violacin o abertura (pues tales eventos son una parte eventual de cuando se hacen negocios usando un mtodo de poca confianza como lo es Internet), sino ms bien cuando ocurre. El aspecto positivo de entender la inevitabilidad de una violacin a los sistemas (cualquier sistema donde se procese informacin confidencial, no esta limitado a servicios informticos) es que permite al equipo de seguridad desarrollar un curso de acciones para minimizar los daos potenciales. Combinando un curso de acciones con la experiencia le permite al equipo responder a condiciones adversas de una manera formal y oportuna.

El plan de respuesta a incidentes puede ser dividido en cuatro fases: Accin inmediata para detener o minimizar el incidente Investigacin del incidente Restauracin de los recursos afectados Reporte del incidente a los canales apropiados

Una respuesta a incidentes debe ser decisiva y ejecutarse rpidamente. Debido a que hay muy poco espacio para errores, es crtico que se efecten prcticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodologa que fomenta la velocidad y la precisin, minimizando el impacto de la indisponibilidad de los recursos y el dao potencial causado por el sistema en peligro. Un plan de respuesta a incidentes tiene un nmero de requerimientos, incluyendo: Un equipo de expertos locales (un Equipo de respuesta a emergencias de computacin) Una estrategia legal revisada y aprobada Soporte financiero de la compaa Soporte ejecutivo de la gerencia superior Un plan de accin factible y probado Recursos fsicos, tal como almacenamiento redundante, sistemas en stand by y servicios de respaldo

Consideraciones legales[editar editar cdigo]

Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberan ser desarrollados con miembros del equipo de asesora jurdica o alguna forma de consultora general. De la misma forma en que cada compaa debera tener su propia poltica de seguridad corporativa, cada compaa tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales estn ms all del mbito de este documento, pero se mencionan debido a que la metodologa para llevar a cabo el anlisis post-mortem, ser dictado, al menos en parte, por la consultora jurdica. La consultora general puede alertar al personal tcnico de las ramificaciones legales de una violacin; los peligros de que se escape informacin personal de un cliente, registros mdicos o financieros; y la importancia de restaurar el servicio en ambientes de misin crtica tales como hospitales y bancos.

Planes de accin[editar editar cdigo]

Una vez creado un plan de accin, este debe ser aceptado e implementado activamente. Cualquier aspecto del plan que sea cuestionado durante la implementacin activa lo ms seguro es que resulte en un tiempo de

respuesta pobre y tiempo fuera de servicio en el evento de una violacin. Aqu es donde los ejercicios prcticos son invalorables. La implementacin del plan debera ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos que se llame la atencin con respecto a algo antes de que el plan sea colocado en produccin. La respuesta a incidentes debe ir acompaada con recoleccin de informacin siempre que esto sea posible. Los procesos en ejecucin, conexiones de red, archivos, directorios y mucho ms debera ser auditado activamente en tiempo real. Puede ser muy til tener una toma instantnea de los recursos de produccin al hacer un seguimiento de servicios o procesos maliciosos. Los miembros de CERT y los expertos internos sern recursos excelentes para seguir tales anomalas en un sistema.

El manejo de riesgos[editar editar cdigo]

Dentro de la seguridad en la informacin se lleva a cabo la clasificacin de las alternativas para manejar los posibles riegos que un activo o bien puede tener dentro de los procesos de organizacin. Esta clasificacin lleva el nombre de manejo de riegos. El manejo de riesgos, conlleva una estructura bien definida, con un control adecuado y su manejo, habindolos identificado, priorizados y analizados, a travs de acciones factibles y efectivas. Para ello se cuenta con las siguientes tcnicas de manejo del riesgo: Evitar. El riesgo es evitado cuando la organizacin rechaza aceptarlo, es decir, no se permite ningn tipo de exposicin. Esto se logra simplemente con no comprometerse a realizar la accin que origine el riesgo. Esta tcnica tiene ms desventajas que ventajas, ya que la empresa podra abstenerse de aprovechar muchas oportunidades. Ejemplo:

No instalar empresas en zonas ssmicas Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reduccin hasta el nivel ms bajo posible. Esta opcin es la ms econmica y sencilla. Se consigue optimizando los procedimientos, la implementacin de controles y su monitoreo constante. Ejemplo:

No fumar en ciertas reas, instalaciones elctricas anti flama, planes de contingencia. Retener, Asumir o Aceptar el riesgo. Es uno de los mtodos ms comunes del manejo de riesgos, es la decisin de aceptar las consecuencias de la ocurrencia del evento. Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumir las perdidas involucradas, esta decisin se da por falta de alternativas. La retencin involuntaria se da cuando el riesgo es retenido inconscientemente. Ejemplo de asumir el riesgo:

Con recursos propios se financian las prdidas. Transferir. Es buscar un respaldo y compartir el riesgo con otros controles o entidades. Esta tcnica se usa ya sea para eliminar un riesgo de un lugar y transferirlo a otro, o para minimizar el mismo, compartindolo con otras entidades. Ejemplo:

Transferir los costos a la compaa aseguradora

Medios de transmisin de ataques a los sistemas de seguridad[editar editar cdigo]

El mejor en soluciones de su clase permite una respuesta rpida a las amenazas emergentes, tales como: Malware y spam propagado por e-mail. La propagacin de malware y botnets. Los ataques de phishing alojados en sitios web. Los ataques contra el aumento de lenguaje de marcado extensible (XML) de trfico, arquitectura orientada a servicios (SOA) y servicios web.

Estas soluciones ofrecen un camino a la migracin y la integracin. Como las amenazas emergentes, cada vez ms generalizada, estos productos se vuelven ms integrados en un enfoque de sistemas. Un enfoque de sistemas de configuracin, la poltica, y el seguimiento se rene cumplimiento de las normativas en curso y permite a los sistemas rentables de gestin. El enfoque de sistemas de gestin de la seguridad, dispone: Configuracin de la poltica comn de todos los productos Amenaza la inteligencia y la colaboracin de eventos Reduccin de la complejidad de configuracin Anlisis de riesgos eficaces y operativos de control

En la actualidad gracias a la gran cantidad posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el mbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informticos son ms latentes. Los delitos cometidos mediante el uso de la computadora han crecido en tamao, forma y variedad. Los principales delitos hechos por computadora o por medio de computadoras son: Fraudes Falsificacin Venta de informacin

Entre los hechos criminales ms famosos en los Estados Unidos estn:

El caso del Banco Wells Fargo donde se evidencio que la proteccin de archivos era inadecuada, cuyo error costo USD 21.3 millones. El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales. El caso de un muchacho de 15 aos que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos. Tambin se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgndose una identificacin como un usuario de alta prioridad, y tomo el control de una embotelladora de Canad. Tambin el caso del empleado que vendi la lista de clientes de una compaa de venta de libros, lo que causo una prdida de USD 3 millones. Tambin el caso de estudiantes de Ingeniera electrnica donde accedieron al sistema de una Universidad de Colombia y cambiaron las notas de sus compaeros generando estragos en esta Universidad y retrasando labores, lo cual dej grandes perdidas econmicas y de 2 tiempo.

Los virus, troyanos, spyware, malware y dems cdigo llamado malicioso (por las funciones que realiza y no por tratarse de un cdigo errneo), tienen como objetivo principal el ejecutar acciones no solicitadas por el usuario, las cuales pueden ser desde, el acceso a una pgina no deseada, el redireccionamiento de algunas pginas de internet, suplantacin de identidad o incluso la destruccin o dao temporal a los registros del sistemas, archivos y/o carpetas propias. El virus informtico es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a travs cualquier medio extrable y transportable o de la misma red en la que se encuentre un equipo infectado, causando diversos tipos de daos a los sistemas. Histricamente los virus informticos fueron descubiertos por la prensa el 12 de octubre de 1985, con una publicacin del New York Times que hablaba de un virus que fue se distribuy desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta grfica EGA, pero al ejecutarlo sala la presentacin pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que deca "Caste". Este dato se considera como el nacimiento de su nombre, ya que los programas con cdigo integrado, diseados para hacer cosas inesperadas han existido desde que existen las propias computadoras. Las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) emple una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco.

Actores que amenazan la seguridad[editar editar cdigo]

Un hacker es cualquier persona con amplios conocimientos en tecnologa, bien puede ser informtica, electrnica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programacin y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "informacin segura". Su formacin y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de informacin seguros, sin ser descubiertos, y tambin les da la posibilidad de difundir sus conocimientos para que las dems personas se enteren de cmo es que realmente funciona la tecnologa y conozcan las debilidades de sus propios sistemas de informacin. Un cracker, es aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrnicos e informticos. Un cracker es un hbil conocedor de programacin de Software y Hardware; disea y fabrica programas de guerra y hardware para reventar software y comunicaciones como el telfono, el correo electrnico o el control de otros computadores remotos. Un lamer Es una persona que alardea de pirata informtico, cracker o hacker y solo intenta utilizar programas de FCIL manejo realizados por autnticos hackers. Un copyhacker' es una persona dedicada a falsificar y crackear hardware, especficamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los mtodos de ruptura y despus venderlos los bucaneros. Los copyhackers se interesan por poseer conocimientos de tecnologa, son aficionados a las revistas tcnicas y a leer todo lo que hay en la red. Su principal motivacin es el dinero. Un "bucanero" es un comerciante que depende exclusivamente de de la red para su actividad. Los "bucaneros" no poseen ningn tipo de formacin en el rea de los sistemas, si poseen un amplio conocimiento en rea de los negocios. Un phreaker se caracterizan por poseer vastos conocimientos en el rea de telefona terrestre y mvil, incluso ms que los propios tcnicos de las compaas telefnicas; recientemente con el auge de los telfonos mviles, han tenido que entrar tambin en el mundo de la informtica y del procesamiento de datos. Un newbie o "novato de red" es un individuo que sin proponrselo tropieza con una pgina de hacking y descubre que en ella existen reas de descarga de buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos.

Un script kiddie o skid kiddie, es un simple usuario de Internet, sin conocimientos sobre hackeo o crackeo que, aunque aficionado a estos tema, no los conoce en profundidad limitndose a recopilar informacin de la red y a buscar programas que luego ejecuta, infectando en algunos casos de virus a sus propios equipos. Un tonto o descuidado, es un simple usuarios de de la informacin, con o sin conocimientos sobre hackeo o crackeo que accidentalmente borra daa o modifica la informacin, ya sea en un mantenimiento de rutina o supervision.
3

Otros conceptos[editar editar cdigo]

Otros conceptos relacionados son:

Auditabilidad: Permitir la reconstruccin, revisin y anlisis de la secuencia de eventos Identificacin: verificacin de una persona o cosa; reconocimiento. Autenticacin: Proporcionar una prueba de identidad; puede ser algo que se sabe, que se es, se tiene o una combinacin de todas. Autorizacin: Lo que se permite cuando se ha otorgado acceso No repudio: no se puede negar un evento o una transaccin. Seguridad en capas: La defensa a profundidad que contenga la inestabilidad Control de Acceso: limitar el acceso autorizado solo a entidades autenticadas Mtricas de Seguridad, Monitoreo: Medicin de actividades de seguridad Gobierno: proporcionar control y direccin a las actividades Estrategia: los pasos que se requieren para alcanzar un objetivo Arquitectura: el diseo de la estructura y las relaciones de sus elementos Gerencia: Vigilar las actividades para garantizar que se alcancen los objetivos Riesgo: la explotacin de una vulnerabilidad por parte de una amenaza Exposiciones: reas que son vulnerables a un impacto por parte de una amenaza Vulnerabilidades: deficiencias que pueden ser explotadas por amenazas Amenazas: Cualquier accin o evento que puede ocasionar consecuencias adversas Riesgo residual: El riesgo que permanece despus de que se han implementado contra medidas y controles Impacto: los resultados y consecuencias de que se materialice un riesgo Criticidad: La importancia que tiene un recurso para el negocio

Sensibilidad: el nivel de impacto que tendra una divulgacin no autorizada Anlisis de impacto al negocio: evaluar los resultados y las consecuencias de la inestabilidad Controles: Cualquier accin o proceso que se utiliza para mitigar el riesgo Contra medidas: Cualquier accin o proceso que reduce la vulnerabilidad Polticas: declaracin de alto nivel sobre la intencin y la direccin de la gerencia Normas: Establecer los lmites permisibles de acciones y procesos para cumplir con las polticas Ataques: tipos y naturaleza de inestabilidad en la seguridad Clasificacin de datos: El proceso de determinar la sensibilidad y Criticidad de la informacin

Gobierno de la Seguridad de la Informacin[editar editar cdigo]

Un trmino a tomar en cuenta en el rea de la seguridad de la informacin es su Gobierno dentro de alguna organizacin empezando por determinar los riesgos que le ataen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable mediante el establecimiento de un programa amplio y conciso en seguridad de la informacin y el uso efectivo de recursos cuya gua principal sean los objetivos del negocio, es decir, un programa que asegure una direccin estratgica enfocada a los objetivos de una organizacin y la proteccin de su informacin.

Tecnologas[editar editar cdigo]

Las principales tecnologas referentes a la seguridad de la informacin en 4 informtica son: Cortafuegos Administracin de cuentas de usuarios Deteccin y prevencin de intrusos Antivirus Infraestructura de llave publica Capas de Socket Segura (SSL) Conexin nica "Single Sign on- SSO" Biomtria Cifrado Cumplimiento de privacidad Acceso remoto Firma digital

Intercambio electrnico de Datos "EDI" y Transferencia Electrnica de Fondos "EFT" Redes Virtuales Privadas "VPNs" Transferencia Electrnica Segura "SET" Informtica Forense Recuperacin de datos Tecnologas de monitoreo

onceptos de Seguridad
Los conceptos confidencialidad, integridad o disponibilidad son muy comunes en el mbito de la seguridad y aparecen como fundamentales en toda arquitectura de seguridad de la informacin, ya sea en el mbito de la proteccin de datos, normativa vigente relacionada con la proteccin de datos de carcter personal, como de cdigos de buenas prcticas o recomendaciones sobre gestin de la seguridad de la informacin y de prestigiosas certificaciones internacionales, stas ltimas, relacionadas con la auditora de los sistemas de informacin. Suele referirse al grupo de estas caractersticas como CIDAN, nombre sacado de la inicial de cada caracterstica. Por estos motivos es importante tener una idea clara de estos conceptos.

Confidencialidad
Se trata de la cualidad que debe poseer un documento o archivo para que este solo se entienda de manera comprensible o sea ledo por la persona o sistema que este autorizado. De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y solo si puede ser comprendido por la persona o entidad a quien va dirigida o est autorizada. En el caso de un mensaje esto evita que exista una intercepcin de este y que pueda ser ledo por una persona no autorizada. Por ejemplo, si Andrea quiere enviar un mensaje a Bruno y que solo pueda leerlo Bruno, Andrea cifra el mensaje con una clave (simtrica o asimtrica), de tal modo que solo Bruno sepa la manera de descifrarlo, as ambos usuarios estn seguros que solo ellos van a poder leer el mensaje.

Integridad
La integridad es la cualidad que posee un documento o archivo que no ha sido alterado y que adems permite comprobar que no se ha producido manipulacin alguna en el documento original. Aplicado a las bases de datos seria la correspondencia entre los datos y los hechos que refleja.

Teniendo como muestra el ejemplo anterior. Finalmente Bruno compara ambas funciones resumen, que se trata de una funcin que produce un valor alfanumrico que identifica cualquier cambio que se produzca en el mensaje, y si stas funciones son iguales, quiere decir que no ha existido manipulacin del mensaje

Autenticacin
La autenticacin es la situacin en la cual se puede verificar que un documento ha sido elaborado (o pertenece) a quien el documento dice. Aplicado a la verificacin de la identidad de un usuario, la autenticacin se produce cuando el usuario puede aportar algn modo de que se pueda verificar que dicha persona es quien dice ser, a partir de ese momento se considera un usuario autorizado. Otra manera de definirlo seria, la capacidad de determinar si una determinada lista de personas ha establecido su reconocimiento sobre el contenido de un mensaje.

Disponibilidad
Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran.

No repudio
El no repudio o irrenunciabilidad es un servicio de seguridad estrechamente relacionado con la autenticacin y que permite probar la participacin de las partes en una comunicacin. La diferencia esencial con la autenticacin es que la primera se produce entre las partes que establecen la comunicacin y el servicio de no repudio se produce frente a un tercero, de este modo, existirn dos posibilidades:

No repudio en origen: El emisor no puede negar que envo porque el destinatario tiene pruebas del envo, el receptor recibe una prueba infalsificable del origen del envo, lo cual evita que el emisor, de negar tal envo, tenga xito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario No repudio en destino: El receptor no puede negar que recibi el mensaje porque el emisor tiene pruebas de la recepcin. Este servicio proporciona al emisor la prueba de que el destinatario legtimo de un envo, realmente lo recibi, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor. Si la autenticidad prueba quin es el autor de un documento y cual es su destinatario, el no repudio prueba que el autor envi la comunicacin (no repudio en origen) y que el destinatario la recibi (no repudio en destino).

Relacin de los servicios de seguridad

En la imagen superior se ilustra como se relacionan los diferentes servicios de seguridad, unos dependen de otros jerrquicamente, as si no existe el de mas abajo, no puede aplicarse el superior. De esta manera, la disponibilidad se convierte en el primer requisito de seguridad, cuando existe esta, se puede disponer de confidencialidad, que es imprescindible para conseguir integridad, para poder obtener autenticacin es imprescindible la integridad y por ultimo el no repudio solo se obtiene si se produce previamente la autenticacin.