SEGURIDAD INFORMATICA (IS-444) 1 UNSCH

LABORATORIO Nº 5

“INTEGRIDAD DE DATOS - ESTEGANOGRAFÍA - CERTIFICADOS DIGITALES”

1. OBJETIVO

1.1. Comprender y verificar la integridad de datos.

1.2. Comprender y verificar los certificados digitales.
1.3. Instalar un certificado raíz de una autoridad certificadora.
1.4. Utilizar técnicas de Esteganografía y comprender su uso.

2. INFORME PREVIO

3. DESARROLLO TEÓRICO

3.1. INTEGRIDAD DE DATOS:

La función de integridad se encarga de garantizar que un mensaje o fichero no

ha sido modificado desde su creación o durante su transmisión a través de una
red informática. De este modo, es posible detectar si se ha añadido o eliminado
algún dato del mensaje o fichero almacenado, procesado o transmitido por un
sistema o red informática.

La Función Hash MD5:

MD5 toma como entrada un mensaje de longitud arbitraria y regresa como salida
una “huella digital” de 128 bits del mensaje (llamado message digest o resumen
del mensaje). Se estima que es imposible obtener dos mensajes que produzcan
la misma huella digital. Tiene un uso intensivo en Internet (por ejemplo,
verificación de la integridad de archivos descargados). El aplicativo que lo
implementa es el MD5SUM.EXE

Otros algoritmos Hash:

• MD2
• MD4
• SHA-1 (Secure Hash Algoritm)
Para garantizar la integridad de textos. Para generar la huella digital de un
mensaje. Sin importar el tamaño de los datos la salida tiene una longitud fija:

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 2 UNSCH

Modo de trabajo de una función hash:

El código ASCII asigna un número a cada letra o signo de puntuación

Es una clave simétrica estándar internacional. La utilizan, por ejemplo, Todas las
computadoras.
Podemos substituir cada letra de un texto por su código ASCII.

Podemos utilizar los códigos ASCII de un texto para hacer cualquier cálculo.

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 3 UNSCH

Aquí, cada tres caracteres, con sus códigos ASCII, se opera (1º-2º)*3º

La suma de los resultados es una función HASH que identifica perfectamente el

texto.

Cualquier modificación en el texto provoca un cambio en el valor de la función

HASH

Por ejemplo, al substituir “rincón” por “rincon” sin tilde, el valor HASH ha pasado
de -11.399 a 3.121

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 4 UNSCH

Aplicación HASH: firma electrónica

3.2. ESTEGANOGRAFÍA:

EL origen de esta palabra deriva de la composición de los vocablos griegos

steganos, que significa cubierto u oculto, y graphos, que significa escritura.
La Esteganografía es la disciplina en la que se estudian y aplican técnicas que
permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados
portadores, de modo que no se perciba su existencia.
Es una mezcla de artes y técnicas que se combinan para conformar la práctica de
ocultar y enviar información sensible en un portador que pueda pasar
desapercibido.
Si bien la Esteganografía suele confundirse con la criptografía, por ser ambas
parte de los procesos de protección de la información, son disciplinas bastante
distintas, tanto en su forma de implementar como en su objetivo mismo.
Mientras que la criptografía es utilizada para cifrar o codificar información de
manera que ella sea ininteligible para un probable intruso, a pesar del
conocimiento de su existencia, la Esteganografía oculta la información en un
portador de manera que no sea advertido el hecho mismo de su existencia y
envío. De esta última manera un probable intruso ni siquiera sabrá que se está
transmitiendo información sensible.

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 5 UNSCH

3.3. CERTIFICADOS DIGITALES:

Los Certificados Digitales o certs simplifican la tarea de verificar que la llave

pertenece a la persona deseada. Es un archivo o estructura de datos que
funciona como una identificación para el propietario, amarra la llave pública del
usuario a su identidad. Un cert es información no incluida en la clave pública que
ayuda a otros a verificar que la llave es genuina o válida.

3.4. CACERT:

CAcert es una Entidad Certificadora conducida por la comunidad, que emite

certificados al público en general de forma gratuita.
La razón de ser de CAcertes promover la conciencia y la educación en la
seguridad computacional a través del uso de la encriptación, especificamente con
la familia de standards X.509. Hemos compilado un documento base que
contiene ayudas y trucos para utilizar encriptación con programas de uso común,
e información general acerca de la Infraestructura de Claves Públicas (Public Key
Infrastructures, PKI).
Para los entusiastas que quieran probar el agua, tenemos una manera fácil de
obtener certificados que puede usar con su programa de correo. Puede usarlo no
solo para encriptar, pero también para probar a sus amigos y familia que el
mensaje proviene de Usted realmente .
Para los administradores que están buscando como proteger los servicios que
entregan, proveemos de certificados para sus equipos individuales y múltiples

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 6 UNSCH

(wildcard), que pueden ser entregados casi inmediatamente. No solo puede

proteger sus páginas web, pero también las conecciones POP3, SMTP y IMAP,
por nombrar solo algunas. A diferencia de otros certificadores, nosotros no
limitamos la clase de los certificados, o el uso de certificados múltiples
(wildcard). Cada uno tiene el derecho a la seguridad y a proteger su privacidad,
no solo aquellos que manejan los sitios de comercio electrónico.
Si usted es extremadamente interesado en encriptación, puede unirse al
programa de Certificación y Circulo de Confianza de CAcert. Esto le permite
verificar su identidad y obtener otros beneficios, como certificados válidos por
mayores períodos, y la posibilidad de incluir su nombre en los certificados de
correo.

4. DESARROLLO DE LA PRÁCTICA

4.1. INTEGRIDAD DE ARCHIVOS

Demostraremos lo sencillo que es realizar la verificación de integridad de un

archivo descargado de Internet.

4.1.1. Ingrese a la siguiente página de Apache:

http://httpd.apache.org/download.cgi
4.1.2. Ubique el archivo Win32 Source: httpd-2.0.63-win32-src.zip [PGP] [MD5]
4.1.3. Presione el vínculo MD5 para visualizar la suma de comprobación

4.1.4. Descargue el archivo Win32 Source: httpd-2.0.63-win32-src.zip

4.1.5. Debe tener en la PC el archivo md5sum.exe. Coloque ambos archivos en
el mismo directorio.
4.1.6. Ejecute el md5sum.exe y obtenga la función hash del archivo antes
descargado.
4.1.7. ¿La huella digital generada es la misma que la que observó en la figura
anterior?

…………………………………………………………………………………………………………
…………………………………………………………………………………………………………

4.1.8. ¿Qué puede concluir al respecto?

……………………………………………………………………………………………………………
………………………………………………………………………………………………………

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 7 UNSCH

4.2. ESTEGANOGRAFÍA

Mostraremos lo sencillo que es ocultar información dentro de imágenes.

4.2.1. Ejecute el programa S-Tools.

4.2.2. Ubique un archivo con extensión gif, bmp o wav.
4.2.3. Arrastre el archivo hacia la ventana de S-Tools.
4.2.4. En el bloc de notas cree un archivo con el nombre Secreto.Txt, luego
escriba el texto siguiente: “Siempre es demasiado pronto para
renunciar.”
4.2.5. Arrastre el archivo Secreto.Txt sobre el gráfico que se encuentra en S-
Tools. Ingrese una frase de paso (passphrase), confírmela y elija el
algoritmo de cifrado.

4.2.6. Tenga presente que el archivo que desea ocultar debe tener un peso
menor al archivo portador.
4.2.7. Guarde la nueva imagen generada con alguna como “zebraAgente.bmp”

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 8 UNSCH

4.2.8. Para ver el archivo “Secreto.txt” que ocultó, invierta el proceso.

Arrastre el archivo zebraAgente.bmp a S-Tool, clic derecho sobre el
gráfico y elija Reveal. Verá el nombre del archivo oculto, luego clic
derecho y elija Save As, grabe el archivo como SecretoRevelado.Txt.
Nuevamente no olvide poner la extensión al archivo que graba.

4.2.9. Qué información oculta la imagen “qeuOculto.bmp”.

…………………………………………………………………………………………………………
…………………………………………………………………………………………………………

4.3. CERTIFICADOS DIGITALES

Exploraremos la implementación de certificados digitales en el navegador

de internet de su preferencia.

4.3.1. Ingrese a su navegador web y busque con sentido común en qué lugar
figuran los certificados digitales, haga impresiones de pantalla para
mostrar los resultados.
…………………………………………………………………………………………………………
…………………………………………………………………………………………………………

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 9 UNSCH

4.3.2. ¿Para qué se necesita los certificados digitales?

…………………………………………………………………………………………………………
…………………………………………………………………………………………………………

4.3.3. Visualice un certificado e indique que información se muestra en los

certificados. ¿Qué campos puede apreciar? Explique qué significa cada
campo.

…………………………………………………………………………………………………………
…………………………………………………………………………………………………………
…………………………………………………………………………………………………………
…………………………………………………………………………………………………………

Instalación de un certificado raíz:

4.3.4. Acceder a la página http://www.cacert.org

4.3.5. Intentar acceder en modo https y aparecerá un error porque el

certificado no es válido
4.3.6. Para poder acceder sin problemas debes instalar el certificado raíz (Root
certifícate en la página principal)
 Utilizar el format PEM
 Establecer la confianza en la entidad (instalar el certificado digital)

Verificación del certificado raíz

Realizar las siguientes operaciones para comprobar el funcionamiento del

certificado raíz

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 10 UNSCH

4.3.7. Acceder a la página https://www.cacert.org

 Comprobar en el candadito que el acceso es seguro

4.3.8. Localizar el certificado dentro de Firefox

 Entrar en Tools/options/Advanced/Encryption/View Certificates
 El certificado debe estar en la sección de Authorities en la
organización Root CA
 Comprobar para qué usos es válido
 Editar las propiedades y anular alguno de los posibles usos del
certificado
 Volver a comprobar para qué usos es válido
 Anular la confianza en esta CA para identificar sitios web
 Intentar recargar la página de cacert en modo https
 Corregir las propiedades del certificado raíz

4.3.9. Acceder a la página https://www.iit.upcomillas.es/

 ¿qué algoritmo simétrico se utiliza para conexión?
 Probar distintos navegadores (Firefox, IE, Safari…)
4.3.10. Acceder a la página https://www.upcomillas.es/
 ¿qué algoritmo simétrico se utiliza para conexión?
 Probar distintos navegadores (Firefox, IE, Safari…)

Anote sus observaciones.

…………………………………………………………………………………………………………
…………………………………………………………………………………………………………
…………………………………………………………………………………………………………
…………………………………………………………………………………………………………

Anote sus conclusiones.

…………………………………………………………………………………………………………
…………………………………………………………………………………………………………

5. CUESTIONARIO

5.1. Implementar un programa que implemente una función hash cuyo algoritmo de
operación sea alguno investigado por su grupo o el que se muestra en el
fundamento teórico. La función hash resultante será del número de bits que
considere necesario.
5.2. ¿Qué requisitos debe tener el objeto portador en la Esteganografía?
5.3. Esteganografía de imágenes es vulnerable a ataques. ¿cómo se pueden realizar
estos ataques? , indique las técnicas y su funcionamiento. ¿de qué maneras se
puede destruir imágenes que ocultan datos?
5.4. ¿En qué circunstancias se utilizan las técnicas esteganográficas o porqué son
utilizadas?
5.5. ¿La Esteganografía estará relacionada con la autentificación?

Mg. Ing. Manuel A. Lagos Barzola

SEGURIDAD INFORMATICA (IS-444) 11 UNSCH

5.6. La criptografía y la Esteganografía se relacionan de alguna manera?

5.7. ¿Qué es un certificado digital raíz? ¿Para qué se utilizan?
5.8. Haga un listado de las autoridades certificadoras internacionales y nacionales.

6. CONCLUSIONES

7. RECOMENDACIONES

8. BIBLIOGRAFÍA

8.1. Libro Electrónico de Seguridad Informática y Criptografía v4.1, Dr. Jorge Ramió
Aguirre.
8.2. La enciclopedia de la Seguridad Informática, Vieites.
8.3. Criptografía y Seguridad en Computadoras, Manuel José Lucena López.

Mg. Ing. Manuel A. Lagos Barzola