Professional Documents
Culture Documents
Contenido
Introduccin .............................................................................................................................................. 3
Seguridad informtica ............................................................................................................................ 4
Seguridad fsica .................................................................................................................................... 4
Seguridad lgica .................................................................................................................................. 6
Controles de Acceso ....................................................................................................................... 7
Niveles de Seguridad Informtica................................................................................................ 9
Tcnicas de cifrado ........................................................................................................................... 12
Criptografa ...................................................................................................................................... 12
Criptosistemas ................................................................................................................................ 13
Cifrado de flujo: .............................................................................................................................. 13
Cifrado asimtricos: ...................................................................................................................... 14
RSA: ................................................................................................................................................... 15
Esteganografia: .............................................................................................................................. 15
Funciones de autenticacin ........................................................................................................ 16
Conclusin ............................................................................................................................................... 24
Bibliografa............................................................................................................................................... 25
2
Pgina
Introduccin
Solo basta reconocer que los medios informticos son los canales de acceso,
almacenamiento y distribucin de todo tipo de informacin, desde una gran empresa
hasta informacin personal viajan todos los das en todo momento por la red.
3
Pgina
Seguridad informtica
Seguridad fsica
Es muy importante ser consciente que por ms que una empresa se la ms segura
desde el punto de vista de ataques externos, hackers, virus, etc. La seguridad de la
misma ser nula si no se ha previsto el cmo combatir un incendio.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un
sistema informtico. Si bien algunos de los aspectos concernientes a este tema se
prevn, otros, como la deteccin de un atacante interno a la empresa que intenta acceder
fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para
un atacante sea ms fcil lograr tomar y copiar una cinta de la sala que intentar acceder
va lgica a la misma.
hombre como por la naturaleza del medio fsico en que se encuentra ubicado el centro.
Las principales amenazas que se prevn en la seguridad informtica son:
elctrica.
Pgina
Seguridad lgica
Luego de ver como el sistema puede verse afectado por la falta de seguridad
fsica, es importante recalcar que la mayora de los daos que puede sufrir un centro de
cmputo no ser sobre los medios fsicos sino contra informacin almacenada y
procesada.
As, la Seguridad Fsica, slo es una parte del amplio espectro que se debe cubrir
para no vivir con una sensacin ficticia de seguridad. Como ya se ha mencionado, el
activo ms importante que se posee es la informacin, y por lo tanto deben existir
tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la
Seguridad Lgica.
Es decir que la Seguridad Lgica consiste en la "aplicacin de barreras y
procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos
a las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no
est permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lgica.
(Villaln, 2012)
enviada y no a otro.
Pgina
Controles de Acceso
no autorizados.
Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la
seguridad lgica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo
para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un
determinado recurso. Al respecto, el National Institute for Standars and Technology
(NIST)(1) ha resumido los siguientes estndares de seguridad que se refieren a los
requisitos mnimos de seguridad en cualquier sistema:
Identificacin y Autentificacin.
Roles: El acceso a la informacin tambin puede controlarse a travs de la
funcin o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles
seran los siguientes: programador, lder de proyecto, gerente de un rea usuaria,
administrador del sistema, etc. En este caso los derechos de acceso pueden
agruparse de acuerdo con el rol de los usuarios.
Transacciones: Tambin pueden implementarse controles a travs de las
transacciones, por ejemplo, solicitando una clave al requerir el procesamiento de
una transaccin determinada.
Limitaciones a los Servicios Estos controles se refieren a las restricciones que
dependen de parmetros propios de la utilizacin de la aplicacin o
preestablecidos por el administrador del sistema. Un ejemplo podra ser que en la
organizacin se disponga de licencias para la utilizacin simultnea de un
determinado producto de software para cinco personas, en donde exista un control
a nivel sistema que no permita la utilizacin del producto a un sexto usuario.
Modalidad de Acceso.
Ubicacin y Horario: El acceso a determinados recursos del sistema puede estar
basado en la ubicacin fsica o lgica de los datos o personas. En cuanto a los
horarios, este tipo de controles permite limitar el acceso de los usuarios a
determinadas horas de da o a determinados das de la semana. De esta forma
se mantiene un control ms restringido de los usuarios y zonas de ingreso. Se
debe mencionar que estos dos tipos de controles siempre deben ir acompaados
8
Nivel D: Este nivel contiene slo una divisin y est reservada para sistemas que
han sido evaluados y no cumplen con ninguna especificacin de seguridad.
Sin sistemas no confiables, no hay proteccin para el hardware, el sistema
operativo es inestable y no hay autentificacin con respecto a los usuarios y sus
derechos en el acceso a la informacin. Los sistemas operativos que responden
a este nivel son MS-DOS y System 7.0 de Macintosh.
Nivel C1: Proteccin Discrecional: Se requiere identificacin de usuarios que
permite el acceso a distinta informacin. Cada usuario puede manejar su
informacin privada y se hace la distincin entre los usuarios y el administrador
del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo pueden ser
realizadas por este "sper usuario" quien tiene gran responsabilidad en la
seguridad del mismo. Con la actual descentralizacin de los sistemas de
cmputos, no es raro que en una organizacin encontremos dos o tres personas
cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre
los cambios que hizo cada usuario.
9
Pgina
A continuacin, se enumeran los requerimientos mnimos que debe cumplir la
clase C1:
Permite llevar mejor cuenta de las tareas relacionadas con la administracin del
Pgina
sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del
sistema.
Nivel B1: Seguridad Etiquetada: Este subnivel, es el primero de los tres con que
cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultra secreta. Se
establece que el dueo del archivo no puede modificar los permisos de un objeto
que est bajo control de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un
nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas
categoras (contabilidad, nminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para
hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
Tambin se establecen controles para limitar la propagacin de derecho de
accesos a los distintos objetos.
recibe las peticiones de acceso de cada usuario y las permite o las deniega segn
Pgina
las polticas de acceso que se hayan definido. Todas las estructuras de seguridad
deben ser lo suficientemente pequeas como para permitir anlisis y testeos ante
posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al
sistema por medio de una conexin segura. Adems, cada usuario tiene asignado
los lugares y objetos a los que puede acceder.
Nivel A: Proteccin Verificada: Es el nivel ms elevado, incluye un proceso de
diseo, control y verificacin, mediante mtodos formales (matemticos) para
asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles
inferiores deben incluirse. El diseo requiere ser verificado de forma matemtica
y tambin se deben realizar anlisis de canales encubiertos y de distribucin
confiable. El software y el hardware son protegidos para evitar infiltraciones ante
traslados o movimientos del equipamiento.
Tcnicas de cifrado
Criptografa
Tipo de Criptosistemas:
Criptosistemas Simtricos: Existe una nica clave (secreta) que deben
compartir emisor y receptor. La seguridad del sistema reside en mantener en
secreto dicha clave.
Cifrado de flujo:
El cifrado Vernam verifica las condiciones de secreto perfecto (Shannon), este es el
13
Cifrado asimtricos:
Cada usuario crea un par de claves, una privada y otra pblica. La seguridad del
sistema reside en la dificultad computacional de descubrir la clave privada a partir de la
pblica, salvo que se conozca una trampa. Usan funciones matemticas con trampa.
separadas, a diferencia del cifrado simtrico convencional, que emplea slo una
clave.
El uso de dos claves tiene importantes consecuencias en el terreno de la
confidencialidad, la distribucin de las claves y la autentificacin.
No debe ser posible deducir la clave privada a partir de la clave pblica.
Transformacin one way para generar la clave pblica (RSA, DH).
El concepto del cifrado de clave pblica evolucion para intentar atacar dos de los
problemas ms difciles asociados al cifrado simtrico, ellos son: la distribucin de
la clave y la firma digital.
RSA:
Esteganografia:
Aunque son muchas las formas de representar una imagen en un ordenador, todas tienen
un denominador comn: tienen que representar colores mediante bits, bien sea cada punto,
vectores o tablas. La principal arma es la calidad de la imagen, por lo que segn la profundidad
de color ser ms o menos sencillo la realizacin de esteganografa. Con 4 y 8 bits (16 y 256
colores respectivamente) la variedad no es muy alta, por lo que la diferencia entre colores
contiguos es poca.
Funciones de autenticacin
autgrafa en orden a la identificacin del autor del que procede el mensaje. Desde un
punto de vista material, la firma digital es una simple cadena o secuencia de caracteres
que se adjunta al final del cuerpo del mensaje firmado digitalmente.
Es una funcin matemtica que toma una entrada de longitud variable y produce
una salida de longitud fija.
Junto a la criptografa asimtrica se utilizan en la firma digital las llamadas
funciones hash o funciones resumen. Los mensajes que se intercambian pueden tener
un gran tamao, hecho ste que dificulta el proceso de cifrado. Por ello, no se cifra el
mensaje entero sino un resumen del mismo obtenido aplicando al mensaje una funcin
hash.
Partiendo de un mensaje determinado que puede tener cualquier tamao, dicho
mensaje se convierte mediante la funcin hash en un mensaje con una dimensin fija
(generalmente de 160 bits). Para ello, el mensaje originario se divide en varias partes
cada una de las cuales tendr ese tamao de 160 bits, y una vez dividido se combinan
elementos tomados de cada una de las partes resultantes de la divisin para formar el
mensaje resumen o hash, que tambin tendr una dimensin fija y constante de 160 bits.
Este resumen de dimensin fija es el que se cifrar utilizando la clave privada del emisor
del mensaje.
establecerse con certeza la fecha exacta en la que los mensajes han sido enviados. Esta
caracterstica se consigue mediante los llamados sellos temporales o time stamping,
que es aquella funcin atribuida generalmente a los Prestadores de Servicios de
Certificacin mediante la cual se fija la fecha de los mensajes electrnicos firmados
digitalmente.
cuente con los dispositivos necesarios para generar el par de claves y solicitar la creacin
Pgina
de dicho par de claves. Posteriormente, con el par de claves creado para una persona
determinada, sta se dirigira a un Prestador de Servicios de Certificacin para obtener
el certificado digital correspondiente a ese par de claves.
Sin embargo, en la prctica los Prestadores de Servicios de Certificacin cumplen
ambas funciones: crean el par de claves para una persona y expiden el certificado digital
correspondiente a ese par de claves.
Certificados Digitales:
La utilizacin del par de claves (privada y pblica) para cifrar y descifrar los
mensajes permite tener la certeza de que el mensaje que B recibe de A y que descifra
con la clave pblica de A, no ha sido alterado y proviene necesariamente de A. Pero
Quin es A?. Para responder de la identidad de A (emisor) es necesario la intervencin
de un tercero, que son los llamados Prestadores de Servicios de Certificacin, cuya
misin es la de emitir los llamados certificados digitales o certificados de clave pblica.
Un certificado digital es un archivo electrnico que tiene un tamao mximo de 2
Kilobytes y que contiene los datos de identificacin personal de A (emisor de los
mensajes), la clave pblica de A y la firma privada del propio
Prestador de Servicios de Certificacin. Ese archivo electrnico es cifrado por la
entidad Prestadora de Servicios de Certificacin con la clave privada de sta.
Los certificados digitales tienen una duracin determinada, transcurrido un tiempo deben
ser renovados, y pueden ser revocados anticipadamente en ciertos supuestos (por
ejemplo, en el caso de que la clave privada, que debe permanecer secreta, haya pasado
a ser conocida por terceras personas no autorizadas para usarla).
Gracias al certificado digital, el par de claves obtenido por una persona estar
siempre vinculado a una determinada identidad personal, y si se sabe que el mensaje ha
20
sido cifrado con la clave privada de esa persona, tambin se sabe quin es la persona
Pgina
grabada en la tarjeta para firmar digitalmente los mensajes electrnicos que se enven a
Pgina
otras personas.
Funcionamiento de la Firma Digital:
1. El receptor recibe el correo electrnico que contiene todos los elementos mencionados
anteriormente.
2. El receptor en primer lugar descifra el certificado digital del emisor, incluido en el correo
22
Certificacin que ha expedido dicho certificado. Esa clave pblica la tomar el receptor,
por ejemplo, de la pgina web del Prestador de Servicios de Certificacin en la que
existir depositada dicha clave pblica a disposicin de todos los interesados.
3. Una vez descifrado el certificado, el receptor podr acceder a la clave pblica del
emisor, que es uno de los elementos contenidos en dicho certificado. Adems podr
saber a quin corresponde dicha clave pblica, dado que los datos personales del titular
de la clave (emisor) constan tambin en el certificado.
4. El receptor utilizar la clave pblica del emisor obtenida del certificado digital para
descifrar el hash o mensaje resumen creado por el emisor.
5. El receptor aplicar al cuerpo del mensaje, que aparece en claro o no cifrado, que
tambin figura en el correo electrnico recibido, la misma funcin hash que utiliz el
emisor con anterioridad, obteniendo igualmente el receptor un mensaje resumen. Si el
cuerpo del mensaje tambin ha sido cifrado para garantizar la confidencialidad del
mismo, previamente el receptor deber descifrarlo utilizando para ello su propia clave
privada.
6. El receptor comparar el mensaje resumen o hash recibido del emisor con el mensaje
resumen o hash obtenido por ella misma. Si ambos mensajes resumen o hash coinciden
totalmente significa lo siguiente:
(a) El mensaje no ha sufrido alteracin durante su transmisin, es decir, es ntegro o
autntico.
(b) El mensaje resumen descifrado por el receptor con la clave pblica del emisor ha sido
necesariamente cifrado con la clave privada del emisor y, por tanto, proviene
necesariamente del emisor.
(c) Como el certificado digital nos dice quin es el emisor, se puede concluir que el mensaje
ha sido firmado digitalmente por el emisor, siendo ste una persona con identidad
determinada y conocida.
(d) Por el contrario, si los mensajes resumen no coinciden quiere decir que el mensaje ha sido
alterado por un tercero durante el proceso de transmisin, y si el mensaje resumen descifrado
por el receptor es ininteligible quiere decir que no ha sido cifrado con la clave privada del emisor.
En resumen, que el mensaje no es autntico o que el mensaje no ha sido firmado por el emisor
23
Conclusin
25
Pgina