1

Problemas de seguridad en la herramienta

PKI OpenCA y soluciones
Jhon edinson valderrama guardia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera, UNAD
Quibd, Colombia
ing.jhonvalderrama@gmail.com
I. INTRODUCCIN
Resumen Este documento pretende demostrar algunas
soluciones a los problemas de funcionamiento de las firmas
digitales generadas con la herramienta PKI y los ataques
que se presentan en la actualidad, esto con el propsito de
evitar futuros problemas de seguridad en dicho proceso.
Los procedimientos que se plantean pretenden adems ser
una gua en el manejo e implementacin de diferentes
rutinas criptogrficas, as que los pasos a seguir permitirn
dar solucin a los inconvenientes que se vayan generando
durante el proceso.
Palabras claveEncriptacin, Ataque por Diccionario,
Ataque de fuerza Bruta, Firma Digital,

en construccion

II. DESARROLLO DEL ARTCULO

PROBLEMAS DE SEGURIDAD Y SOUCIONES QUE
TIENE LA HERRAMIENTA PKI
1. FIRMAS DIGITALES: las firmas digitales son un medio
para que los usuarios que crean un mensaje, archivo o
cualquier tipo de informacin codificada, relacionen de
manera digital su identidad a esa informacin.
Las firmas digitales son utilizadas cuando los datos son
distribuidos como texto no cifrado.
1.1 Propsitos del uso de las firmas digitales:
El receptor podr verificar la identidad del usuario
que ha transmitido el mensaje.
El transmisor del mensaje no podr rechazar o
repudiar el contenido del mensaje despus de
enviarlo.
Ninguna parte del mensaje que ha sido recibido ha
sido modificada o alterada.
Para crear una firma digital se debe transformar la informacin
y los datos confidenciales del remitente en una etiqueta o
firma que contendr dicha informacin. El proceso de creacin
de las firmas se realiza mediante la combinacin de la
tecnologa de llaves pblicas con algoritmos hash.
1.2 Pasos para la creacin, envo y comprobacin de
Firmas Digitales
1. El remitente emplea un algoritmo hash a la informacin o
datos para generar un valor resumen.

2. El remitente transforma el valor generado en una firma

digital utilizando el cifrado de clave privada.

2
3. El remitente enva los datos originales al destinatario junto
con la firma y su certificado de autenticidad correspondiente.

Los ataques de diccionario tienen menos probabilidades de

xito cuando se emplean contraseas fuertes.

4. El destinatario emplea un algoritmo hash a los datos o

informacin recibida, para generar su propio valor resumen.

A continuacin algunas de las buenas prcticas en la

construccin de contraseas para minimizar el xito de estos
ataques.

5. El destinatario compara la firma digital utilizando la clave

pblica del remitente y el valor generado en el paso anterior y
si no coinciden, el valor del remitente es distinto al valor del
destinatario, esto indica que el mensaje enviado ha sido
alterado o modificado y por tanto la firma no es correcta.
2. ATAQUE POR DICCIONARIO
Este ataque es un mtodo de cracking consiste bsicamente en
formar una lista de posibles contraseas (diccionario) con las
cuales comparamos el texto hash y verificar su coincidencia.
En este ataque el xito depende del buen desempeo en una
auditoria y sobre todo en la fase inicial (Recoleccin de
informacin) en donde con ella podemos crear un perfil de las
posibles claves que existan y de esta forma generar un
diccionario acorde con lo que auditamos.
Cabe agregar que este tipo de ataque se hace por medio de un
cdigo con la estructura FOR que se incluye en el fichero de
nombres de usuarios y contraseas simples, que permite la
adivinacin de de contraseas en sesiones NetBios. Esto es
posible prevenir la adivinacin de usuarios y contraseas,
siempre y cuando obligue el uso contraseas complejas,
registrar los intentos fallidos de inicio de sesin y bloqueando
el acceso a los puertos TCP y UDP.

1. Se deben utilizar al menos 8 caracteres para crear la clave.

2. Se recomienda utilizar en una misma contrasea dgitos,
letras y caracteres especiales.
3. Es recomendable que las letras alternen aleatoriamente
maysculas y minsculas.
4. Elegir una contrasea que pueda recordarse fcilmente y
escribirse rpidamente, es preferible que no sea necesario
mirar el teclado.
5. Las contraseas se deben cambiar regularmente.
6. Utilizar signos de puntuacin si el sistema lo permite.
7. Existen algunos trucos para crear una contrasea que no sea
dbil y se pueda recordar fcilmente. Por ejemplo se pueden
elegir palabras sin sentido pero que sean pronunciables, etc.
Tambin, combinando esta seleccin con nmeros o letras y
agregar alguna letra en mayscula. Otro mtodo sencillo de
creacin de contraseas consiste en elegir la primera letra de
cada una de las palabras que componen una frase conocida, de
una cancin, pelcula, etc. Con esto, mediante esta sencilla
mnemotecnia resulta sencillo recordar la contrasea.

2.1 RAINBOW TABLES

Este ataque basado en diccionario es uno de los ms viables
dado de que son tablas pre computadas con todas las posibles
combinaciones y longitudes posibles, estas tablas pueden
tener varios tamaos para su descarga y dependiendo de este
tamao tenemos ms posibilidades de encontrar la contrasea
3. FUERZA BRUTA
Este ataque consiste principalmente en probar todo el espacio
de contraseas y dado un conjunto de caracteres (charset
Alfabeto) que se utiliza para generar las posibles contraseas
con las que se compara el texto cifrado, en este tipo de ataque
a contraseas se tiene la probabilidad de encontrar el texto
equivalente al hash est dado por la longitud de la contrasea
es decir entre ms longitud de contrasea ms tiempo en
conseguirla.
3.1 Soluciones a Problemticas de Ataques a contraseas
La soluciones vienen dadas de buenas prcticas que
implemente tanto el rea de TI como del usuario final en el
manejo de su informacin y ya que es el usuario el menos
educado en estos temas siempre ser el punto ms dbil de una
organizacin y el primero a atacar.

8. Utilizar los "Salt Key" que son textos que se agregan al

archivo o contrasea antes de cifrarlo con el fin de que si un
usuario establece contraseas dbiles, con este "Salt Key" se
hacen ms complejas, generando palabras que no se van a
encontrar en diccionarios
9. Recurrir a los mejores algoritmos para la generacin de los
hash y en lo posible utilizar varios hash en cadena y de
diferente tipo, teniendo en cuenta de no abusar de esta tcnica
para no saturar el servidor. Actualmente el ms fuerte es SHE4
10. Otra solucin para no tener que memorizar un nmero
elevado de contraseas complejas, es utilizar un Gestor de
Contraseas, los cuales ayudan a generar contraseas seguras
3.2 Acciones que deben evitarse en la definicin y
construccin de contraseas seguras:
1. No se debe utilizar la misma contrasea siempre para todos
los sistemas o servicios.
2. No utilizar informacin personal en la contrasea tal como
el nombre del usuario o de sus familiares, ni sus apellidos, ni
su fecha de nacimiento. Tampoco utilizar datos como el
nmero de identificacin o nmero de telfono.

3
3. Evitar utilizar secuencias bsicas de teclado tales
comoqwerty, asdf o las tpicas en numeracin: 1234
98765)

3. Restringir el acceso con rango de IP, de esta forma se

solicita al usuario que registre el equipo con acceso seguro
para evaluar si es un ataque o no.

4. No repetir los mismos caracteres en la misma contrasea.

(ej.: 111222).

4. Polticas de Cambio de contraseas: Establecer una

poltica de cambio de contraseas cada cierto tiempo (32 o 72
das)

5. No escribir la contrasea en un papel o documento donde

quede constancia de la misma. Tampoco se deben guardar en
documentos de texto dentro del equipo de cmputo o
dispositivos mviles.
6. No se deben utilizar palabras que se contengan en
diccionarios en ningn idioma, ya que actualmente existen
programas de ruptura de claves que basan su ataque en probar
una a una las palabras que extraen de diccionarios, estos son
los llamados ataques por diccionario
7. No enviar nunca la contrasea por correo electrnico o en
un mensaje de texto, tampoco se debe mencionar en una
conversacin o comunicacin de cualquier tipo.
8. Si se trata de una contrasea para acceder a un sistema
delicado se debe limitar el nmero de intentos de acceso, por
ejemplo para la tarjeta de crdito y los cajeros que el sistema
se bloquee si se excede el nmero de intentos fallidos
permitidos.
9. No escribir las contraseas en computadoras de los que se
desconozca su nivel de seguridad y puedan estar
monitorizados, o en equipos de uso pblico de sitios tales
como bibliotecas, cibercafs, telecentros, etc.
10. Cambiar las contraseas proporcionadas
desarrolladores/fabricantes que vienen por defecto.

por

5. Monitorear los intentos errneos de sesin

III. CONCLUSIONES
En construccin
IV.

REFERENCIAS

[1] VirtualBox 4.3.22 for Windows hosts x86/amd64

tomado de: https://www.virtualbox.org/wiki/Downloads.
1
[2] Debian 7.8, La ltima actualizacin de esta versin se
public el 10 de enero de 2015 Disponible en:
2
https://www.debian.org/index.es.html
3
[3] Install Debian 7.7.0 amd64. GNOME Desktop.,
Publicado el 22/10/2014, tomado de
https://www.youtube.com/watch?v=pAlp6SNVpZU
4
[4] Pgina Oficial de Debian. Recuperado de:
https://www.debian.org/index.es.html
5
[5] Definicin de ataque por diccionario. Recuperado de:
http://www.alegsa.com.ar/Dic/ataque%20por
%20diccionario.php

11. No utilizar contraseas nulas, es decir que sea igual al

nombre del usuario.

[6] Definicin por Fuerza bruta. Recuperado de:

6 http://www.alegsa.com.ar/Dic/fuerza%20bruta.php

4. PROTECCIN FRENTE A LOS ATAQUES

[7] Sugerencias para crear contraseas seguras. Recuperado

de: http://windows.microsoft.com/es-co/windowsvista/tips-for-creating-a-strong-password

Para evitar ataques, los desarrolladores implementan en las

aplicaciones y/o sistemas de informacin, las medidas
preventivas correspondientes.
1. Uso de Captcha: de esta forma, el usuario que mira una
imagen que le arroja el sistema, la ingrese de forma correcta,
puede contener un conjunto de caracteres o nmeros en forma
distorsionada donde la maquina no sea capaz de comprender e
introducirlos de forma correcta. Posee un mensaje donde
informa que se realiza para descartar que no seas una mquina.
2. Bloqueo por Intentos Fallidos: Prolongacin de tiempo
despus de un nmero mximo de intentos, de esta forma se
bloquea el sistema automticamente para evitar as un ataque.

V.

BIOGRAFAS