Professional Documents
Culture Documents
“Criptografía”
Jaime Henao, Luis Ardila, Fabio Castro, Amaury Gamarra, Jaider Contreras
Palabras clave— Máquina Virtual, Sistema Operativo, Integridad: la cual permite garantizar que los datos no han sido
Hardware, Software, Autenticación, Claves, firmas digitales, modificados por personas ajenas a la entidad.
script, md5, hash, salt, vulnerabilidad Confidencialidad: este principio permite no develar los datos a
usuarios no autorizados, es decir, la privacidad de la
Abstract— This document is intended as a guide for all those información (protección de datos) y el principio de
who use the Linux operating system especially for those Disponibilidad: que garantiza que la información debe estar
working in Information Security Kali using the Linux version. accesible a los usuarios autorizados en el momento que lo
This document pertains to a manual that guides the reader requieran.
about on Cryptography. The document contains some images
and concepts of the encryption process, using digital signatures, II. DESARROLLO DEL ARTÍCULO
md5 private and public keys, pictures of the vulnerability of
passwords are also shown by taking them decipher a script that Cabe destacar que se deberán leer y comprender las
uses openssl and tools that owns Kali Linux Jhon The Ripper. referencias requeridas para identificar el problema presentado
en la actividad referente a firma digital y ataques de
Keywords— Virtual machine, Operating system, Hardware, diccionarios.
Software, Authentication, keys, digital signatures, script, md5, hash,
salt, vulnerability
III. DISEÑO Y CONSTRUCCIÓN
I. INTRODUCCIÓN Archivos descargados, figura 1.
os numerosos riesgos inmersos no solo en la gran red de
L redes, Internet, sino en las mismas redes domésticas y/o Fig. 1 Archivos descargados
empresariales, hacen necesario adoptar mecanismo de
“protección” para garantizar en la medida de lo posible, la
confidencialidad de la información, uno de los tres grandes
pilares de la seguridad de la información.
Fig. 2 archivo_z. ps
Verificamos el contenido del archivo: archivo_y.ps, fig. 3. Ahora generamos la llave pública, figuras 6 y 7.
Fig. 6 Llave Pública
Fig. 3 archivo_y. ps
V. SEGURIDAD DE CONTRASEÑAS
Después procedemos a verificar el resultado por medio de la Descargamos y mostramos el scrip, para poder realizar la
llave pública y la encriptación md5. Verificamos que tanto el decriptación de las contraseñas offline, para ello utilizamos, la
archivo firma_archivo_y.txt como el archivo_z.ps sean los descarga y la revisión del script, figura 14
mismos.
Fig. 27 Cambio de alfabeto Fig. 32 Tabla con: salt, hash, contraseña, tiempo
En este caso se debería encriptar el campo tipo password html III. CONCLUSIONES
del formulario que almacena la contraseña, antes de generarse Si no corrigen MD5, openssl debería cambiar de
la petición HTTP y ser enviada al el servidor, es decir generar función para el cálculo del hash.
encriptación del lado del cliente sin evidenciar el algoritmo de Las firmas electrónicas viene para solucionar un
encriptación que se usa del lado de servidor, pues un hacker problema de autentificación.
podría obtener la contraseña a través de un Rainbow Tables. La utilización de la firma digital asegura que el emisor
y el receptor del mensaje puedan realizar una
transacción fiable.
Las metodologías, herramientas y técnicas que se
¿Cuál sería la solución para solventar este error? aplican en Criptografía son indispensables en la
búsqueda de evidencias en los delitos realizados.
Mejoras en los aplicativos y sitios web en mecanismos de Las vulnerabilidades referentes a las contraseñas, se
destacan actualmente por la poca importancia que el
Encriptación del lado del cliente antes que se realice la petición
usuario le da, esto conlleva a que los delincuentes
HTTP. También es pertinente la implementación de protocolos informáticos puedan descifrar contraseñas de manera
HTTPS en las aplicaciones web para realizar peticiones muy rápida.
seguras.
La similitud en este caso entre los dos es que ambos son capaces [8] Generar y convertir claves y certificados con OpenSSL.
de capturar digitada en las cajas de textos del sitio web, aunque Recuperado de: http://picodotdev.github.io/blog-
el mecanismo sea distinto para los dos. bitix/2014/02/generar-y-convertir-claves-y-certificados-con-
openssl/
La diferencia entre los dos es que el keylogger fue pensado para
el robo de contraseñas y otra información importante que es [9] OpenSSL: Generating an RSA Key From the Command
digitada o tecleada, en cambio el complemento liveHTTP Line. Recuperado de:
headers fue creada y es usada por administradores de sistemas, https://rietta.com/blog/2012/01/27/openssl-generating-rsa-key-
from-command/
desarrolladores web y profesionales de la seguridad informática
[10] P. M. Darbisi, Estudio de factibilidad para actualización
para la detección de errores y vulnerabilidades en sus
de algoritmo de hash en la infraestructura nacional de
aplicaciones y desarrollos web y en los sistemas de navegación
certificación electrónica del estado venezolano, Ministerio del
y transporte de datos.
8
poder popular para la ciencia, tecnología e industrias Jaider Contreras nació en Sincelejo Sucre, Colombia,
intermedias, 2011. el 25 de Septiembre de 1983. Se graduó en 2006 como
Ingeniero de Sistemas en la Corporación Universitaria
del Caribe. Sus experiencias profesionales incluyen la
V. BIOGRAFÍA corporación autónoma regional de Sucre (CARSUCRE),
el SENA, ParqueSof, entre otras, actualmente se
Jaime Henao nació en Bogotá, el 12 de enero de 1958. Se desempeña como ingeniero de sistemas en el cargo de
graduó bachiller en el Colegio Nacional de San Simón, profesional especializado dentro de la Oficina de Tecnologías de la
Licenciado en Matemáticas y Física en la Universidad del Información de la Unidad de Restitución de Tierras.
Tolima, Ingeniero de Sistemas de la Unad, Especialización
en Ingeniería de software en la Universidad Distrital.
Ejerció profesionalmente la dirección docente para la
secretaría de educación del Tolima, Universidad Colegio
Mayor de Cundinamarca, Escuela Nacional de Impuestos
de la Dian. En el área de TI: Director de informática en la
Dian, Director de Informática de Telecom, asesor en informática en Ecopetrol,
asesor en informática en el Seguro Social, asesor en informática en Siesa,
Director de Calidad en desarrollo informático en Sertisoft. Asesor y
desarrollador de soluciones de software. Experiencia acumulada en el área de
TI por más de 25 años. Vinculado como estudiante a la Unad desde 2007, con
periodos de interrupción. Vinculado al CEAD de Barranquilla, aunque por
razones laborales estoy ahora radicado en Bogotá.