Professional Documents
Culture Documents
1
- Triple DES:
En 1979 se dise el mtodo 3DES, que desde entonces se ha incorporado en el Estndar
Internacional 8732. Se basa en aplicar DES tres veces, el mtodo utiliza EDE encriptar, desencriptar
y encriptar. Se consigue una longitud de clave de 168bit aunque su eficacia sea una clave de 112 bits
(56 +56) pero triplica el nmero de operaciones de cifrado. Se continua cifrando en bloques de 64
bits. Esta siendo reemplazado por el algoritmo AES.
- AES o Rijndael: Estndar de encriptacin avanzada:
Tiene un sistema de cifrado por bloques. WPA utiliza AES. Rinjndael longitudes de claves variables
mltiplo de 32 bits. Aunque AES especfica que el tamao de bloque debe ser 128 y la longitud de la
clave debe 128, 192 o 256 bits.
- FEAL
- SEAL
- IDEA
- RC4, RC5
- SAFER
- SKIPJACK
- BLOWFISH
- CAST 128 CAST5
2
- RSA:
Este mtodo fue descubierto por (Revier, Shamir y Adleman). Este mtodo lleva ms de 30 aos y se
considera muy slido. La desventaja es que requiere claves de al menos 1024 bits para una buena seguridad.
En comparacin con los 128 bist de la clave simtrica por lo que es muy lento.
Pu
- Diffie Hellman
- DSA
- ElGamal
- Criptografia de curva elptica
-
21.2.4: Firmas digitales:
Proporciona autenticacin e integridad. En esencia, lo que se requiere es un sistema mediante el cual una
parte pueda enviar un mensaje firmado a otra parte de modo que se cumplan las siguientes condiciones:
1. Que el receptor pueda verificar la identidad del transmisor.
2. Que el emisor no pueda repudiar ms tarde el contenido del mensaje. No repudio
3. Que el receptor no haya podido elaborar el mensaje l mismo.
- Las firmas digitales aseguran autenticacin y no repudio.
-
Firmas digitales de clave simtrica.
Una metodologa para las firmas digitales es tener una autoridad central que sepa todo y en quien todos
confen;
Firmas digitales de clave asimtrica o pblica.
- SH0-SH1-SH2:
3
SH2: nuevas versiones de SHA-1 que producen hashes de 224, 256, 384 y 512 bits.
- MD5
Resumen hash popular.
21.3.1: Certificados:
Las firmas digitales proporcionan autenticacin e integridad. Los certificados son documentos electrnicos
firmados digitalmente por una autoridad certificadora AC para hacerlo infalsificable.
Los certificados proporcionan confidencialidad (Envan datos cifrados al propietario) y autenticacin
verifica la firma digital del propietario.
- Entidades de certificacin:
Aseguran que una clave pblica est asociada a una clave en concreto. Son 3 de confianza y generan
claves digitales.
1. PAA: (Policy Approving Authority) Crea y aprueba polticas generales para las PCA
2. PCA (Policy Certification Authority) Establecen polticas que siguen sus CA,
3. CA: Autoridad Certificadora Certifican usuarios segn norma PCA.
4. ORA: (Organizational Registration Authority) Identifican usuario y los registran en CA
5. Usuarios:
- x.509
Estructura certificado segn ITU x.509, En criptografa x.509 es un estndar IUT-T para infraestructuras de
clave pblica (PKI). X509 especifica formatos estndar para certificados de clave pblica y un algoritmo de
validacin de la ruta de certificacin. Se define utilizando un lenguaje ASN.1 (Abstract Syntax Notation
One) y los formatos ms comunes son DER (Distinguish Encoding Rules) o PEM (Privacy Enhanced Mail).
4
Informacin de la clave pblica del sujeto: Algoritmo y clave publica
Identificador nico del emisor
Identificador nico del sujeto
Extensiones: Informacin adicional
Firma del emisor: Firma digital con la clave secreta del AC
- Extensiones de archivo de certificados
- CER: Certificado codificado en CER, algunas veces es una secuencia de certificados
- DER: Certificado codificado en DER
- PEM: Certificado codificado en Base64, encerrado entre "-----BEGIN CERTIFICATE-----" y "---
--END CERTIFICATE-----"
- P7b o P7C: Estructura PKCS#7 SignedData sin datos, solo certificado(s) o CRL(s)
- PFX o P12: PKCS#12, puede contener certificado(s) (pblico) y claves privadas (protegido con
clave)
Pki es una combinacin HW y SW, polticas y procedimiento de seguridad que permiten la ejecucin con
garantas de operaciones criptogrficas como el cifrado, la firma digital o el no repudio de las transacciones
electrnicas.
En una operacin PKI intervienen las siguientes partes:
1. Un usuario iniciador de la comunicacin
2. Unos sistemas servidores que dan fe de la ocurrencia de la opcin (no repudio) y garantizan la
validez de los certificados implicados en la operacin.(CA, RA, y sistema de sellado de tiempo)
3. Un destinatario de los datos cifrados, firmados y enviados. Puede ser el mismo que el iniciador.
Componentes de PKI:
- CA: Autoridad certificadora. Emite y revoca certificados.
- RA: Autoridades Regionales: Es la responsable de identificar titulares que solicitan cerificados.
Pasa las peticiones a CA.
- Los repositorios: Son las estructuras encargadas de almacenar la informacin de la PKI.
- Autoridad de validacion VA Comprueba la validez de los Certificados.
- La autoridad de sellado de tiempo TSA
- Los usuarios y las entidades finales
- Polticas de certificacin o de seguridad
5
- Caducado
- Sistema de distribucin de certificados CDS:
Los certificados digitales emitidos por las Autoridades de Certificacin tienen que ponerse a
disposicin de otros usuarios de la red o de otras entidades de la plataforma. Un CDS se implementa
normalmente como una base de datos de directorio X.500 del UIT-T o un Protocolo ligero de acceso
a directorios (LDAP) o implementado en una Base de Datos Relacional.
El TLS es la siguiente generacin del Certificado SSL : permite y garantiza el intercambio de datos en
un entorno securizado y privado entre dos entes, el usuario y el servidor, mediante aplicaciones como
HTTP, POP3, IMAP, SSH, SMTP o NNTP. Nos referimos al TLS como la evolucin del SSL dado que
est basado en ste ltimo certificado y funciona de manera muy similar, bsicamente: encripta la
informacin compartida.
Cmo la encripta? Mediante dos protocolos en capas diferentes: el protocolo de autenticacin (llamado
TLS Record Protocol) y el de mtuo acuerdo (tambin conocido como TLS Handshake Protocol)
a) Record: se lleva a cabo la autenticacin para que la transmisin de datos sea mediante una conexin
privada y fiable (se negocia la encriptacin y la integridad del emisor-receptor)
Por lo tanto, en el protocolo TLS, se lleva a cabo un canal seguro y cifrado entre cliente y servidor en
donde se negocia la criptografa del mensaje, se autentifican las claves del cifrado y se realiza una
transmisin segura.
El protocolo TLS se distingue por la seguridad con la interoperabilidad (las transmisiones de datos
encriptados de diferentes aplicaciones como HTTP, que pasa a ser HTTPS).
TLS 1.2 Handshake:
FUNCIONAMIENTO:
El protocolo SSL intercambia registros; opcionalmente, cada registro puede ser comprimido, cifrado y
empaquetado con un cdigo de autenticacin del mensaje (MAC). Cada registro tiene un campo de
content_type que especifica el protocolo de nivel superior que se est usando.
Cuando se inicia la conexin, el nivel de registro encapsula otro protocolo, el protocolo handshake (o
protocolo de acuerdo), que tiene el content_type 22.
El cliente enva y recibe varias estructuras handshake:
Enva un mensaje ClientHello especificando una lista de conjunto de cifrados, mtodos de compresin
y la versin del protocolo SSL ms alta permitida. ste tambin enva bytes aleatorios que sern usados
ms tarde (llamados Challenge de Cliente o Reto). Adems puede incluir el identificador de la sesin.
Despus, recibe un registro ServerHello, en el que el servidor elige los parmetros de conexin a partir
de las opciones ofertadas con anterioridad por el cliente.
6
Cuando los parmetros de la conexin son conocidos, cliente y servidor intercambian certificados
(dependiendo de las claves pblicas de cifrado seleccionadas). Estos certificados son actualmente X.509,
pero hay tambin un borrador especificando el uso de certificados basados en OpenPGP.11
Cliente y servidor negocian una clave secreta (simtrica) comn llamada master secret, posiblemente
usando el resultado de un intercambio Diffie-Hellman, o simplemente cifrando una clave secreta con
una clave pblica que es descifrada con la clave privada de cada uno. Todos los datos de claves restantes
son derivados a partir de este master secret (y los valores aleatorios generados en el cliente y el servidor),
que son pasados a travs una funcin pseudoaleatoria cuidadosamente elegida.
TLS/SSL poseen una variedad de medidas de seguridad:
- Numerando todos los registros y usando el nmero de secuencia en el MAC.
- Usando un resumen de mensaje mejorado con una clave (de forma que solo con dicha clave se pueda
comprobar el MAC). Esto se especifica en el RFC 2104).
- Proteccin contra varios ataques conocidos (incluyendo ataques man-in-the-middle), como los que
implican un degradado del protocolo a versiones previas (por tanto, menos seguras), o conjuntos de
cifrados ms dbiles.
- El mensaje que finaliza el protocolo handshake (Finished) enva un hash de todos los datos
intercambiados y vistos por ambas partes.
- La funcin pseudo aleatoria divide los datos de entrada en 2 mitades y las procesa con algoritmos
hash diferentes (MD5 y SHA), despus realiza sobre ellos una operacin XOR. De esta forma se
protege a s mismo de la eventualidad de que alguno de estos algoritmos se revelen vulnerables en
el futuro.
Intercambio de claves[editar]
Antes de que un cliente y el servidor pueden empezar a intercambiar informacin protegida por TLS,
deben intercambiar en forma segura o acordar una clave de cifrado y una clave para usar cuando se
cifren los datos (ver Cifrado). Entre los mtodos utilizados para el intercambio/acuerdo de claves son:
las claves pblicas y privadas generadas con RSA (denotado TLS_RSA en el protocolo de handshake
TLS), Diffie-Hellman (llamado TLS_DH), Diffie-Hellman efmero (denotado TLS_DHE), Diffie-
Hellman de Curva Elptica (denotado TLS_ECDH), Diffie-Hellman de Curva Elptica efmero
(TLS_ECDHE), Diffie-Hellman annimo (TLS_DH_anon),2 y PSK (TLS_PSK).12
El mtodo de acuerdo de claves TLS_DH_anon no autentica el servidor o el usuario y por lo tanto rara
vez se utiliza puesto que es vulnerable a un ataque de suplantacin de identidad. Slo TLS_DHE y
TLS_ECDHE proporcionan secreto-perfecto-hacia-adelante.
Los certificados de clave pblica que se utilizan durante el intercambio/acuerdo tambin varan en el
tamao de las claves de cifrado pblicas/privadas utilizadas durante el intercambio y, por tanto, en la
solidez de la seguridad que proveen.
- IPSEC
-
Seguridad IP. Da seguridad a IP, TCP y UDP.
Opcional en IPv4 y de serie en IPV6.
Permite ACI de datagramas IP.
Usa tcnicas de clave simtrica (RSA), asimtricas (Aes,des , 3des..), algoritmos de hash y certificados
digitales x509v3
Utiliza funcin hash HMAC en origen y en destino comparando paquetes (MD5 o SHA) Integridad y
autenticacin.
Tiene 3 componentes:
Dos protocolos de seguridad AH y ESP
Un protocolo de gestin de claves: IKE que permite a los dos nodos negociar la clave y todos los
parmetros necesarios para establecer una conexin AH o ESP.
7
AH es incompatible con NAT en cualquier modo.
- Conexiones remotas:
VPN Redes privadas virtuales:
PPTP:
L2TP:
- Firewalls
8
Preguntas de examen
1-
XDG_2016
2-
9
3-
4-
5-
6-
10
7-
8-
9-
10-
11
11-
12-
13-
14-
15-
12
16-
17-
18-
19-
20-
21-
13
22-
GSI 2014:
23
24-
25-
26-
14
Pregunta Examen Respuesta
1 ZARA 2016 B
2 XDG 2016 C
3 XDG 2016 A
4 XDG 2016 A
5 XDG 2016 B
6 XDG 2016 B
7 XDG 2016 A
8 XDG 2016 B
9 XDG 2016 A
10 XDG 2016 C
11 XDG 2016 B
12 AGE 2016 B
13
14 EXT 2015 A
15 GSI 2015 D
16 GSI 2015 B
15
17 GSI in 2015 B
18 GSI in 2015 C
19 TAI 2015 B
20 TAI 2015 A
21 TAI 2015 A
22 TAI 2015 D
23
24
25
26
27 Ext 2015 C
28 Ext 2015 D
29 Ext 2015 D
16