Protecci on y Seguridad de la Informaci on

Laura M. Castro Souto Segundo Cuatrimestre Curso 2000/2001

3o de Ingenier a Inform atica

 Indice general
1. Introducci on y Fundamentos 1.1. Conceptos Generales . . . . . . . . . . . . . . 1.1.1. Tipos de ataques. Defensa. . . . . . . . 1.2. Antecedentes Hist oricos y Evoluci on . . . . . . 1.2.1. La Criptograf a en nuestros d as . . . . 1.3. Aspectos Administrativos y Legales . . . . . . 1.3.1. Algunas deniciones . . . . . . . . . . 1.3.2. Legislaci on vigente . . . . . . . . . . . 1.4. Vulnerabilidades de los Sistemas Inform aticos 1.4.1. Medidas generales a nivel hardware . . 1.4.2. Medidas generales a nivel software . . . 1.4.3. Medidas generales a nivel de datos . . 1.5. Criterios de Evaluaci on de la Seguridad . . . . 1.6. Medidas de Seguridad. Niveles . . . . . . . . . 1.7. Fundamentos de Criptolog a . . . . . . . . . . 1.8. M etodos Criptogr acos . . . . . . . . . . . . . 1.8.1. Cl asicos . . . . . . . . . . . . . . . . . 1.8.2. Modernos . . . . . . . . . . . . . . . . 7 7 8 10 17 17 20 20 25 25 25 25 26 26 28 30 30 37

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

3o de Ingenier a Inform atica

Cap tulo 1 Introducci on y Fundamentos

1.1. Conceptos Generales: Fundamentos b asicos de la Seguridad de la Informaci on

Los objetivos fundamentales de la Seguridad de la Informaci on son dos: Mantener el secreto de cara a los accesos a la informaci on. Mantener la autenticidad evitando modicaciones no autorizadas de la informaci on. Normalmente un ujo de informaci on une una fuente y un destino:

Partiendo de este sencillo esquema, podemos clasicar o hablar de 4 categor as de ataques : Interrupci on. Intercepci on. Modicaci on. Fabricaci on. Veremos en qu e consiste cada uno de ellos. 7

Laura M. Castro Souto

1.1.1.

Tipos de ataques. Defensa.

Interrupci on Las consecuencias de este tipo de ataque son t picamente la destrucci on y/o inutilizaci on de la informaci on. Es un ataque, pues, sobre la disponibilidad.

Ejemplos: destrucci on de un elemento hardware (ataques f sicos), corte de una l nea de comunicaciones (deliberada o accidentalmente), borrado de cheros, registros, bases de datos, programas. . . En caso de un fallo de este tipo, es necesario detectarlo convenientemente, evaluarlo y sobre todo actuar r apidamente, momento en el cual intervendr an diversos factores, entre ellos el econ omico. Intercepci on

La intercepci on consiste en la participaci on sin autorizaci on realizada por personas, computadoras o en general cualquier tipo de entidad, en la comunicaci on entre la fuente y el destino de la informaci on. Es el ataque m as dif cil de detectar, ya que todo funciona bien, no como en el caso anterior; aqu se est a atentando contra la condencialidad. Ejemplos: sniers, copia de software, etc. El tipo de red usado est a ntimamente relacionado con la seguridad en este sentido. En una red de medio compartido (Ethernet), todos los ordenadores lanzan sus paquetes al medio f sico, de modo que un snier conectado a la misma podr a verlos sin restricci on alguna. Existen t ecnicas software de cifrado (SSH, SSL, PGP,. . . ) para estos casos, aunque actualmente se est a evolucionando hacia un m etodo m as eciente como es el cifrado a nivel IP (un u nico cifrado para todo tipo de aplicaciones, con IPv6). Por contra, en una red de medio conmutado o switcheado (switching Ethernet), se establecen conexiones a nivel de enlace, de modo que ya no tenemos ese problema.

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION Modicaci on

En un ataque de modicaci on se captura la informaci on, que es tratada y posteriormente reenviada al destino. Tambi en se da, como en el caso anterior, una participaci on sin autorizaci on: se accede a la informaci on pero adem as se modica, se altera.

Es un ataque contra la integridad de los datos, por lo que resulta muy peligroso. Ejemplos: cambios en valores de BD, programas, modicaci on de mensajes, troyanos. . . Fabricaci on

En ocasiones como esta, el intruso o elemento subversivo intenta hacerse pasar por la fuente, siendo, pues, un ataque sobre la autenticidad. Se introducen en el sistema objetos o entidades fabricadas. Ejemplos: introducci on de mensajes en una red, inclusi on de campos o tablas en una BD, inclusi on de virus1 ,. . .

Otra clasicaci on para los tipos de ataques puede ser: Activos. Pasivos. Ataques Activos Los ataques activos suelen modicar la informaci on, los datos o los mensajes. Pueden consistir, por ejemplo, en el cambio de la identidad de un emisor/receptor, la manipulaci on de datos, denegaci on de servicios, encaminamiento incorrecto o incluso la repetici on:
1 Este ataque concreto ha ido evolucionando: en principio se transmit a por medio de los dispositivos de almacenamiento, y ahora tiene en Internet, y sobre todo en el correo electr onico, su principal aliado.

10

Laura M. Castro Souto

Seg un la Teor a de la Informaci on : Se adquiere informaci on cuando se conoce algo que antes no se sab a. Es el cambio que se produce entre el desconocimiento o incertidumbre de un hecho y el conocimiento o la certidumbre del mismo. Ataques Pasivos Pueden consistir, b asicamente en: a) Observaci on de mensajes (simple acceso a la informaci on), o bien b) An alisis de tr aco (no se accede a la informaci on, que suele ir cifrada, sino que se roba informaci on sobre el tr aco: tipo de frecuencias de env o, identicaci on de usuarios, y en general, caracter sticas del intercambio entre sistemas que pueden usarse despu es en acciones como el reemplazo de IPs en cach es de servidores DNS).

1.2.

Antecedentes Hist oricos y Evoluci on

La informaci on siempre ha signicado dinero y/o poder. Por ello, la demanda de la seguridad de la informaci on ha provenido hist oricamente de aqu ellos que han tenido informaci on que proteger o bien intereses en conseguirla, como han sido el clero, los militares, banqueros, gobiernos y sistemas pol ticos.

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

11

Haremos a continuaci on una revisi on r apida de los acontecimientos y nombres m as destacados en este ambito hasta la actualidad. Seg un el Diccionario de la Real Academia, la palabra Criptograf a proviene del griego kriptos, que signica oculto, y graphos, que signica escritura, y su denici on es: Arte de escribir con clave secreta o de un modo enigm atico. Es la inclusi on de la rese na clave secreta la que marca la diferencia entre codicado y cifrado. Obviamente la Criptograf a hace a nos que dej o de ser un arte para convertirse en una t ecnica, o m as bien un conglomerado de t ecnicas, que tratan sobre la protecci on ocultamiento frente a observadores no autorizados de la informaci on. Entre las disciplinas que engloba cabe destacar la Teor a de la Informaci on, la Teor a de N umeros o Matem atica Discreta, que estudia las propiedades de los n umeros enteros, la Estad stica y la Complejidad Algor tmica o Teor a de la Complejidad Computacional. Hoy en d a se considera una ciencia aplicada en toda regla, debido a dicha relaci on con otras ciencias. Otras deniciones que se han dado han sido, por ejemplo: Escritura secreta relacionada mediante una clave, indispensable para descifrarla. Existen dos documentos fundamentales, uno escrito por Claude Shannon en 1948 (A Mathematical Theory of Communication ), en el que se sientan las bases de la Teor a de la Informaci on, y que junto con otro art culo posterior del mismo autor (Teor a de las 2 comunicaciones secretas , 1949) sirvi o de base para la Criptograf a moderna. El segundo trabajo fundamental, publicado por Whiteld Die y Martin Hellman en 1976, se titulaba New directions in Cryptography, e introduc a el concepto de Criptograf a de Clave P ublica, abriendo enormemente el abanico de aplicaci on de esta disciplina (a el debemos, pues, los or genes de los m etodos asim etricos ). Conviene hacer notar que la palabra Criptograf a s olo se reere al uso de c odigos, por lo que no engloba a las t ecnicas que se usan para romper dichos c odigos (Criptoan alisis ciencia dedicada a quebrantar el cifrado). El t ermino Criptolog a, aunque no est a recogido a un en el Diccionario, se emplea habitualmente para agrupar estas dos disciplinas. Sin olvidar las excavaciones en Egipto y los hallazgos que han producido (Piedra Rosetta . . . ), que datan de 1900 a nos a.C., el primer uso de la escritura secreta de que se tiene constancia data del s.V a.C., durante la guerra entre Atenas y Esparta. En aquel caso, el cifrado se basaba u nicamente en la alteraci on del mensaje mediante la inclusi on de s mbolos innecesarios que desaparec an al enrollar la lista en un rodillo, de manera que se mostraban s olo los s mbolos del mensaje, pudi endose as leer f acilmente. Otra de las primeras noticias sobre criptograf a proviene de la epoca de los romanos. El cifrado en ese caso consist a en una sustituci on de determinados s mbolos por otros seg un una regla ja (m etodo denominado m etodo C esar, en honor a Julio C esar), un m etodo de sustituci on no demasiado seguro, pues como todos los de este tipo es f acil de descifrar desde utilizando tablas de frecuencias (ver tabla 1.2 en p agina 12) hasta por fuerza bruta (con cualquier m etodo que explore exhaustivamente el espacio de claves, esto es, en este caso, con todos los posibles desplazamientos; para evitar esto, la evoluci on m as natural a lo largo de la historia fue aumentar el espacio de claves de manera que fuese siendo cada vez m as dif cil m as caro, computacionalmente hablando romperlas).
2 Esta teor a fue aplicada por el NBS National Bureau of Standards de EE.UU. para desarrollar el sistema criptogr aco DES Data Encryption Standard.

12

Laura M. Castro Souto

K (clave) = 3 A D B E C F D G E H F I G J H K ... ...

Cuadro 1.1: Ejemplo del m etodo C esar. Augusto utilizar a otro m etodo en el que el texto usado como clave era el propio texto a cifrar (este m etodo se recuperar a muchos siglos m as tarde para usos como el famoso tel efono rojo de la Casa Blanca). Claro que esta estrategia no soluciona el problema de las frecuencias, porque la clave tambi en las tiene (la u nica alternativa es usar un texto aleatorio como clave). Letra A B C D E F G H I J K L M N Espa nol Ingl es 11, 970 % 8, 105 % 1, 000 % 1, 477 % 4, 919 % 2, 807 % 5, 190 % 4, 221 % 13, 650 % 12, 676 % 0, 953 % 2, 356 % 1, 093 % 1, 773 % 0, 585 % 5, 869 % 6, 860 % 7, 176 % 0, 272 % 0, 088 % 0, 022 % 0, 667 % 5, 270 % 3, 964 % 2, 925 % 2, 436 % 6, 690 % 7, 036 % Letra N O P Q R S T U V W X Y Z Espa nol 0, 074 % 9, 195 % 3, 445 % 0, 875 % 6, 696 % 7, 983 % 4, 802 % 3, 996 % 0, 693 % 0, 019 % 0, 183 % 0, 523 % 0, 291 % Ingl es 7, 389 % 1, 913 % 0, 105 % 5, 641 % 6, 593 % 9, 634 % 3, 036 % 0, 920 % 2, 330 % 0, 208 % 1, 570 % 0, 069 %

Cuadro 1.2: Tabla de frecuencias del espa nol y el ingl es.

3

Tambi en los hebreos y los griegos hab an experimentado en este campo. Los primeros utilizaban un sistema sin clave, el atbash, consistente simplemente en sustituir cada letra del alfabeto con su sim etrica (AZ, BY,. . . ). Los segundos (203-130 a.C.) emplearon por primera vez un cifrado tambi en sin clave en el que se sustitu an letras por n umeros. Usaban representaciones matriciales (algo que siglos m as tarde repetir a el m etodo DES) similares a: 1 1 A 2 E 3 ...
3

2 B F

3 4 C ... ...

Curiosidad: Qu e ocurrir a si en un idioma todas las letras fuesen equiprobables?

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

13

M as tarde, ya en el s.VIII d.C., los arabes tambi en se especializaron en la aplicaci on de tablas de c odigos en las que un car acter del texto cifrado se correspond a con n del texto original. Eran los primeros sistemas no hom ofonos. Sin embargo, la obra m as antigua que se conserva sobre Criptograf a es del s.XIV. Se titula Liber Zifrorum y su autor, Cicco Simoneta, estudia en ella diversos sistemas basados en simples sustituciones de letras. Durante toda la Edad Media este campo de estudio estar a completamente en manos de frailes y monjes (igual que el resto del saber de la epoca). Se pone especial inter es en el estudio de los diferentes alfabetos y c odigos. El italiano Gabrieli di Lavinde formula la primera nomenclatura de la materia. En el siguiente siglo, Alberti (1404-1472) destaca en el campo del Criptoan alisis, siendo considerado por ello el padre de la Criptolog a. Durante el siglo XVI se generaliza el uso de la Criptograf a en los ambientes diplom aticos y en 1586 Blaise de Vigen` ere publica una obra titulada Traict e des Chires, donde recoge diferentes m etodos utilizados en la epoca. Otros nombres destacados son Leon de Baptista, que estudiando la composici on del lat n argumenta que un texto en el que haya aproximadamente 300 vocales, ha de tener unas 400 consonantes. Hace tambi en los primeros estudios de frecuencias e incluye el car acter nulo en los alfabetos de cifrado, lo que los complica un poco m as.

Figura 1.1: Ruedas de cifrado de Leon Baptista. Johanes Trithemieos estudi o los sistemas de claves distribuidos matricialmente, as como los sistemas polialfabeto. Giuvan Batista acu na el t ermino clave, que se extender a univesalmente, y se da cuenta de que no es sino en ella donde reside la base de todo sistema de cifrado. El siglo XVI es, pues, el siglo de los estudios sistem aticos. Giovani Puerta de Batista es el primero en hacer una clasicaci on exhaustiva de todos los m etodos criptogr acos conocidos hasta entonces, y curiosamente los clasica tal y como lo hacemos hoy en d a: asicos Cl Sim etricos (o de Clave Privada) Modernos Asim etricos (o de Clave P ublica) En sus estudios estuvo a punto de descubrir un algoritmo para desvelar la longitud de las claves utilizadas en sistemas polialfabeto (posibilitando as la descomposici on del texto cifrado en n sistemas monoalfabeto, donde n ser a el tama no de dicha clave). Esta tarea ser a completada 200 a nos despu es por Kasinski. Aconsej o, tal y como hacemos hoy

14

Laura M. Castro Souto

en d a, el uso de claves largas (rese nando que la situaci on ideal ser a tener una clave tan larga como el propio texto a cifrar), el uso de sin onimos en los textos (para evitar que se capturen frecuencias en un texto cuyo tema o contenido se conoce o se intuye) y el cambio frecuente de la clave. La idea de utilizar el propio texto como clave fue recuperada por Giovano Cardano, autor del primer libro de probabilidad. Sin embargo, tambi en se dio cuenta de que esta estrategia no era optima, desarrollando a ra z de esto una variante: utiliza una clave (car acter) para cifrar el primer car acter, el obtenido para cifrar el siguiente, y as sucesivamente. Este m etodo ser a usado y considerado infalible hasta la Primera Guerra Mundial. En el s.XIX se utiliza ampliamente un m etodo basado en la reordenaci on de los s mbolos del mensaje, llamado transposici on, que junto a la sustituci on constituye la base de los cifrados cl asicos. Es este un siglo de grandes avances en Criptograf a, donde destacan varios nombres propios: Charles Babbage (1791), precursor de las computadoras actuales. Dise na en 1823 la M aquina Diferencial 1, y m as tarde la M aquina Diferencial 2, en la que incorpora la revolucionaria idea de una memoria y un procesador por separado. Podemos decir as que la Criptograf a moderna nace al mismo tiempo que las computadoras. Babbage fue tambi en quien consigui o romper la cifra de Vigen` ere. Thomas Jeerson (m as tarde presidente de los Estados Unidos) fue el precursor de muchos m etodos usados posteriormente en las Guerras Mundiales. Bajo su mandato se construy o una m aquina codicadora mec anica con 36 ruedas dentadas cuyo espacio de claves era del orden de 39 37 10 . La mayor contribuci on de Kasinski (1805-1881) fue el m etodo que lleva su nombre, que desvela la longitud de la clave en sistemas polialfabeto. Kerchos (1835-1903) fue el autor de un importante tratado sobre criptograf a militar. Arm o, lleno de raz on: Un sistema ha de mantener ante todo su impenetrabilidad, en referencia no s olo a su clave, sino a la manera que tiene de hacer las cosas (algoritmo). En siglo XIX el medio de comunicaci on por excelencia, el que alcanz o mayor auge, fue sin duda alguna la radio (utilizada por los militares en sus comunicaciones). Pero las ondas, la transmisi on por aire, son tambi en el medio m as propicio al sning, as que es comprensible el renacer que se dio en Criptolog a. No obstante, el siglo m as activo de la historia en este campo iba a ser el siglo XX. Como en muchas otras areas cient cas, el mayor desarrollo de la Criptolog a tuvo lugar, como venimos dejando entrever, durante las dos guerras mundiales. En este caso se debi o a la necesidad de establecer comunicaciones secretas militares y diplom aticas utilizando nuevas tecnolog as, como la telegraf a y la radiotecnia. En sus inicios esta actividad estuvo marcada por el enfrentamiento entre dos potencias: Francia y Alemania. Los franceses crearon dos grupos de trabajo especializados, uno en Criptograf a y otro en Criptoan alisis. Como hitos fundamentales, cabe destacar la intercepci on y descifrado por parte de los ingleses de los t elex alemanes al embajador germano en EE.UU., Tedesco Zimmerman, durante la Primera Guerra Mundial. Ya durante la Segunda Guerra, en un lugar llamado Bletchley Park, un grupo de cient cos entre los que se encontraban Alan Turing y Vonn Neuman, trabajaba en el proyecto ULTRA tratando de descifrar los mensajes enviados por el ej ercito alem an con el m as sosticado ingenio de codicaci on ideado hasta entonces: la m aquina ENIGMA, obra de Scherbius. Esta m aquina (patentada en 1918) contaba con diversos modicadores

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

15

que giraban 1/n de vuelta (donde n era el n umero de caracteres del alfabeto utilizado) cada vez que se codicaba un car acter (de suerte que cada n caracteres codicados volv an a su posici on original). La inclusi on de m as de uno evitaba la repetici on secuencial de una u nica clave, siendo n2 , n3 ,. . . el n umero de posiciones posibles en funci on del n umero de modicadores (2,3,. . . ). Si a nadimos a esto la posibilidad de cambiar el orden de los modicadores, se obtiene un espacio de claves del orden de 1016 . La clave de este sistema era, pues, obviamente, dicha posici on inicial de los modicadores. Las claves se recog an en un Libro de c odigos y cada d a los alemanes empleaban una distinta en sus transmisiones.

Figura 1.2: Esquema de la M aquina Enigma.

As pues, los alemanes, pese a ser derrotados, manejaban el sistema de codicaci on m as seguro del mundo en aquellos d as. El mencionado grupo de cient cos empleaba el que hoy se considera el primer computador aunque esta informaci on permaneci o en secreto hasta mediados de los 70. Su uso y la llegada del polaco Marian Rejewski tras la invasi on de su pa s natal cambiar an para siempre el curso de la historia. Los polacos se emplearon a fondo en la tarea de romper la codicaci on de la Enigma ; con ayuda de la informaci on vendida (planos, claves) a ingleses y franceses por un traidor teut on, Thilo Schmidt, pudieron construir una r eplica de la m aquina militar (hasta entonces hab an trabajado sobre una versi on comercial), d andose cuenta entonces de una gran Verdad de la Criptograf a: que la seguridad depende exclusivamente de la clave, no de conocer el algoritmo. No obstante, no cejaron en su esfuerzo, y Marian Rejewski llev o a cabo estudios sobre cadenas y periodicidad teniendo en sus manos los libros de claves y conociendo que al principio de cada mensaje los alemanes enviaban la propia clave. Sus trabajos de Criptoan alisis para romper la Enigma dieron al n su fruto: consigui o tabular el espacio de claves hasta reducirlo a la cifra de 105,456. Acto seguido, se desarroll o una m aquina que exploraba dicho espacio, cuantitativamente mucho m as reducido, por fuerza bruta. Este sistema, que denitivamente romp a con el mito de la Enigma, se denomin o Bomba. Desde entonces hasta hoy ha habido un crecimiento espectacular de la tecnolog a criptogr aca, si bien la mayor parte de estos avances se manten an y se siguen manteniendo, seg un algunos en secreto. Financiadas fundamentalmente por la NSA (National Security Agency, Agencia Nacional de Seguridad de los EE.UU.), la mayor parte de las investigaciones hasta hace relativamente poco tiempo han sido tratadas como secretos militares. Sin embargo en los u ltimos a nos, investigaciones serias llevadas a cabo en universidades de todo el mundo han logrado que la criptograf a sea una ciencia al alcance de todos, y

16

Laura M. Castro Souto

que se convierta en la piedra angular de asuntos tan importantes como el comercio en Internet. Con el desarrollo de la cultura inform atica, han surgido nuevas aplicaciones de la Criptolog a, debido fundamentalmente al manejo de gran cantidad de informaci on. En algunos casos, como en las redes inform aticas, dicha informaci on est a a disposici on de muchos usuarios, lo cual plantea la necesidad de que los datos est en protegidos durante su transmisi on y durante su almacenamiento. Al mismo tiempo, este desarrollo de la inform atica ha producido un cambio radical en el concepto de seguridad de los sistemas criptogr acos, pues aquellos que eran supuestamente seguros frente a procedimientos manuales sucumbieron ante la ecacia de los ordenadores. De esta forma, la supuesta seguridad de los sistemas antiguos o cl asicos ha tenido que ser sustituida por una seguridad matem atica y computacionalmente demostrable en los sistemas modernos. Adem as, cuanta mayor protecci on y seguridad se le quiere dar a la informaci on, mayor es la profesionalizaci on que este campo requiere. Tambi en, como se ha podido ver, la evoluci on se hace m as r apida seg un las necesidades del momento hist orico en que nos hallemos. Se incrementan paralelamente los niveles a los que se necesita denir e implementar un mecanismo que garantice dicha seguridad: f sico (hardware), l ogico (relacionado con el software) y administrativo-legal (leyes penales, leyes administrativas,. . . ). Muchas son las voces que claman por la disponibilidad p ublica de la Criptograf a. La experiencia ha demostrado que la u nica manera de tener buenos algoritmos es que estos sean p ublicos, para que puedan ser sometidos al escrutinio de toda la comunidad cient ca. Casos claros de oscurantismo y de sus nefastas consecuencias han sido la ca da del algoritmo que emplean los tel efonos GSM en menos de cuarenta y ocho horas desde que su c odigo fue descubierto o los graves problemas de seguridad que presentaba el protocolo de comunicaciones seguras punto a punto que Microsoft inclu a en Windows NT. La seguridad no debe basarse en mantener los algoritmos ocultos, puesto que estos, tarde o temprano, acaban siendo analizados y descritos, sino en su resistencia demostrada tanto te orica como pr acticamente, y la u nica manera de demostrar la fortaleza de un algoritmo es someti endolo a todo tipo de ataques. El u ltimo cap tulo de esta historia ocurri o en el verano de 1999, cuando un programador denunci o una supuesta puerta trasera en el c odigo criptogr aco de todas las versiones de Windows. Como este c odigo permanece en secreto, y se considera delito su an alisis qu e pensar a usted si se compra un coche y se le proh be desarmarlo para ver c omo funciona?, es desgraciadamente imposible que Microsoft pueda despejar cualquier sombra de duda sobre la seguridad de sus sistemas operativos. Es imposible desligar la Criptograf a moderna de todas las consideraciones pol ticas, los ocas y morales que suscita. Recordemos, por ejemplo, que el software criptogr aco est a sujeto en EE.UU. a las mismas leyes que el armamento nuclear, y que en Europa se pretende elaborar legislaciones parecidas. Algunos gobiernos tienen intenci on de almacenar todas las claves privadas de sus ciudadanos y considerar ilegales aquellas que no est en registradas. Es como pedirnos a todos que le demos a la polic a una copia de las llaves de nuestra casa con el pretexto, por supuesto, de luchar contra el terrorismo y el narcotr aco. Existe un falaz argumento que algunos esgrimen contra el uso privado de la Criptograf a, proclamando que ellos nada tienen que ocultar. Estas personas insin uan que

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

17

cualquiera que abogue por el uso libre de la Criptograf a es poco menos que un delincuente, y que la necesita para encubrir sus cr menes. En ese caso, por qu e esas personas que no tienen nada que ocultar no env an todas sus cartas en tarjetas postales, para que todos leamos su contenido? o por qu e se molestan si alguien escucha sus conversaciones telef onicas? Defender el ambito de lo privado es un derecho inalienable de la persona, que debe prevalecer sobre la obligaci on que tienen los estados de perseguir a los delincuentes.

1.2.1.

La Criptograf a en nuestros d as

La Criptograf a moderna clasica sus m etodos de la siguiente manera: etricos (o de Clave Privada) Sim Asim etricos (o de Clave P ublica)

Ejemplos de los primeros (que estudiaremos en cap tulos sucesivos) son los algoritmos DES, IDEA, etc. as como los usados en PGP. Entre los segundos, cabe destacar el RSA. La historia del algoritmo DES, uno de los m as famosos, comienza en 1973 con la organizaci on del primer concurso de Criptograf a en EE.UU. Aunque no tiene demasiado exito, en la convocatoria del a no siguiente, en 1974, un empleado de IBM, Feistel, presenta su m etodo Lucifer, cuyas ideas se aplican desde entonces a una familia de m etodos de cifrado que ha dado en llamarse m etodos de Feistel ( o basados en). Poco m as tarde, la NSA aprueba el m etodo Lucifer modicado, el origen denitivo del DES, aunque reduce el n umero de bits de la clave de 128 a 56 (k= 256 = 7 2 1016 claves posibles). En 1981 adoptar a su variante DEA. Otras variantes han sido el crypt, utilizado en el cifrado de los passwords en las m aquinas Unix, o el TDES (por triple DES), que simplemente hace 3 pasadas del algoritmo, con lo que es m as potente y robusto. El algoritmo RSA, basado como todos los m etodos asim etricos en el coste computacional de la ruptura del cifrado (tienen un coste aproximado al de una factorizaci on), recibi o su nombre de las iniciales de sus creadores: Ronal Rivest, Adi Shamir y Adlemann. En cuanto a la evoluci on inmediata de la Criptograf a, simplemente indicaremos un nombre que es probable que empiece a o rse cada vez m as: el de los m etodos asim etricos.

1.3.

Aspectos Administrativos y Legales

En Espa na, lo referente a la protecci on y seguridad de la informaci on est a regulado por diversas leyes, que mencionamos a continuaci on: Constituci on espa nola, el Derecho a la Privacidad. Directiva de la Uni on Europea 95/46 del 24 de octubre, Protecci on de Datos de las Personas F sicas, haciendo especial hincapi e en el tratamiento de dichos datos. Real Decreto 428/1993 del 26 de marzo, aprueba los Estatutos de la Agencia de Protecci on de Datos (APD).

18

Laura M. Castro Souto

Ley General de Telecomunicaciones 11/998 del 24 de abril, se publica en el BOE del 25 de abril de 1998. Real Decreto 994/1999 del 11 de junio, medidas de seguridad de los cheros que contengan datos de car acter personal. Real Decreto 14/1999 del 17 de septiembre, sobre la rma electr onica digital (funci on md5 ) para garantizar la proveniencia de los documentos electr onicos y dar validez legal a los mismos en dicho formato. Ley Org anica 15/1999 del 13 de diciembre, sobre la Protecci on de Datos de Car acter Personal (LOPD). Sustituye a la Ley Org anica 5/1992 del 29 de octubre, conocida como LORTAD. Ambas regulan derechos sobre el honor, la intimidad, c omo garantizar el secreto. . . Real Decreto 195/2000 del 11 de febrero, tiempo l mite para que las empresas en territorio espa nol cumplan lo anterior. C odigo Penal: se tipican delitos contra la propiedad intelectual, indelidad en la custodia de documentos, ataques intencionados a la integridad o condencialidad, pirateo de software, etc. Se considera informaci on de car acter personal4 cualquier informaci on concerniente a personas f sicas identicadas o identicables mediante el procesado. Cuando se solicitan datos de car acter personal han de cumplirse una serie de requisitos: Debe indicarse la existencia de un chero o tratamiento, sea f sico o electr onico. Debe explicarse la nalidad de la recogida de los datos. Debe informarse del destinatario de la informaci on. Debe introducirse la identicaci on y direcci on del tratamiento de la informaci on. Debe especicarse el car acter de los datos (algunos obligatorios, otros no). Debe noticarse la consecuencia de la negaci on de la suministraci on de los datos. Debe anunciarse la posibilidad de ejercer el derecho a acceder, recticar y cancelar los datos. Todo ello es necesario salvo que exista una ley que diga lo contrario, que las fuentes de obtenci on de los datos sean p ublicas (gu as telef onicas, por ejemplo) o si los nes son considerados hist oricos, estad sticos o cient cos. Tambi en es necesario el consentimiento del afectado si se piensa llevar a cabo un tratamiento de los datos en cuesti on, salvo, de nuevo, si una ley lo except ua, si la informaci on es recogida por medio de las funciones denidas por las administraciones p ublicas (siempre que el tratamiento se ci na estrictamente a su ambito), o bien si se reere a relaciones laborales o de negocios.
4

Por tanto, no incluye empresas salvo que sean sociedades privadas, por ejemplo.

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION Se consideran datos especialmente protegidos todos los referentes a: Ideolog a, religi on o creencias. Aliaci on sindical. Origen racial. Salud. Vida sexual. Infracciones penales y administrativas (multas,. . . ).

19

S olo entidades especializadas (Iglesia, sindicatos,. . . ), estrictamente relacionadas con estos temas pueden contener informaci on al respecto en sus bases de datos. Todo profesional inform atico debe, adem as, mantener el secreto, esto es, no difundir a terceros informaci on relativa a los datos que maneja o a los que tiene acceso. La Agencia de Protecci on de Datos Espa nola exige, adem as, que se denan: Responsable del chero Es la cabeza visible, el m aximo responsable de la seguridad a todos los niveles, fundamentalmente l ogico y f sico, contra quien penar an las sanciones en pago a cualquier infracci on que pueda cometerse. Debe ser una persona estable (no alguien que cambie cada cierto tiempo. . . ), aunque puede asociarse con un cargo. Tambi en debe ser una persona de cierto rango. Responsable de seguridad Responsable de tratamiento En general, lo m nimo exigible es: Responsable del chero. Finalidad de la recogida de los datos. Ubicaci on de los mismos. Tipo de datos a recoger. Medidas de seguridad adoptadas. En cuanto a la comunicaci on de datos entre administraciones p ublicas, siempre ha de ser noticada, salvo cuando el tratamiento tenga car acter hist orico o estad stico o bien cuando el destinatario sea la Agencia Tributaria.

20

Laura M. Castro Souto

1.3.1.

Algunas deniciones

Entre otros, la APD dene los siguientes t erminos: Seguridad inform atica Conjunto de recursos de todo tipo (humano, sistemas, procedimientos, normas. . . ) que garantizan la condencialidad, integridad y disponibilidad de la informaci on. Incidente de seguridad Hace referencia a cualquier evento que produzca un incidente que afecte a la integridad, disponibilidad o condencialidad de datos y/o sistemas f sicos (ver gura 1.3, p agina 20). Se habla, respectivamente, de p erdidas l ogicas y f sicas.

Figura 1.3: Causas de incidentes de seguridad. An alisis de riesgos Toda organizaci on debe llevar a cabo un an alisis de los incidentes que es susceptible de padecer, y denir acciones con vistas a evitarlos (ellos o sus consecuencias) en la medida de lo posible, esto es, de cara a minimizar el riesgo de que ocurran. El an alisis de riesgos depende mucho del tipo de organizaci on, y tambi en de otros factores m as dispares, como su ubicaci on geogr aca, etc. Asimismo, es importante examinar las causas de los factores de riesgo. De acuerdo con ello, se establecer an normas y procedimientos, o bien se designar an responsables que se hagan cargo de ello, es decir, se acordar a una pol tica de seguridad.

1.3.2.

Legislaci on vigente

La principal ley a la que debemos prestar atenci on es al RD 994/1999 del 11 de junio. Este Real Decreto establece medidas organizativas y de ndole t ecnico para garantizar la seguridad de cheros automatizados, tratando la seguridad en centros, la seguridad de equipos, de sistemas e incluso del software.

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION Se denen tres niveles de seguridad seg un el tipo de datos que se recojan: 1) Nivel b asico. 2) Nivel medio. 3) Nivel alto.

21

El nivel b asico hace referencia a los cheros que contengan datos de car acter personal que no constituyan un perl de las personas f sicas, como por ejemplo: datos de tipo identicativos (nombre, apellidos, DNI. . . ) caracter sticas personales (altura, color de ojos. . . ) circunstancias sociales (estado civil. . . ) informaci on acad emica y profesional (expediente, posici on. . . ) empleo

El nivel medio afecta a informaci on del tipo: servicios nancieros solvencia patrimonial y cr edito (poder adquisitivo. . . ) infracciones

Por u ltimo, el nivel alto se reere a: datos recabados en relaci on con temas policiales ideolog a, creencias, religi on, origen racial, salud. . .

En funci on del nivel de seguridad en que se encuentre un documento, base de datos, etc., deben adoptarse una serie de medidas t ecnicas concretas. En la pr actica, una empresa puede encontrarse con un marem agnum de bases de datos y cheros en sus sistemas, clasicables en diferentes niveles. En casos as , lo mejor, claro est a, es aplicar el nivel m as alto a todos ellos. Medidas de seguridad a establecer Comprobaci on de la seguridad en los accesos por red. Se busca que la seguridad del entorno en red garantice la misma seguridad que si todos los accesos se hiciesen de forma local. Garantizar la seguridad de los datos fuera de su ubicaci on f sica. Garantizar la seguridad de los cheros temporales y el borrado de los mismos. Nombrar un responsable (fundamental).

22

Laura M. Castro Souto

Actuar en el establecimiento de un registro de incidentes o incidencias (que puede a su vez ser registrable en la APD). Adem as, seg un el nivel, deben acatarse una serie de medidas de seguridad concretas: Nivel b asico : Mantener un listado actualizado de usuarios con acceso a la informaci on. Establecer mecanismos de identicaci on y autenticaci on para el acceso a los datos. Denir un esquema de usuarios y claves (cifrado), estrategias de renovaci on peri odica (esquemas de caducidad), etc. Establecer m etodos de inventariado, clasicaci on de soportes de almacenamiento. A este respecto, tener en cuenta la gran problem atica de las copias de seguridad (muy importante!). Denir un calendario de backups. Nivel medio : Denir un calendario de controles peri odicos de chequeo del cumplimiento de las normativas de seguridad. Denir las medidas que se utilizar an a la hora de desechar todo tipo de dispositivos. Realizar una auditor a de seguridad cada 2 a nos. Mecanismos de identicaci on y autenticaci on para el acceso a datos restringidos. Mecanismos para limitar accesos reiterados y no autorizados (evitando as en cierta medida los ataques por fuerza bruta). Control de acceso f sico a los locales. Procedimientos bien denidos de recuperaci on de datos, a dos niveles: c omo pueden los usuarios autorizados acceder y recuperar informaci on, y c omo se recupera informaci on ante desastres de todo tipo (terremotos, incendios, errores de dipositivos. . . ). Nivel alto : Usar cifrado antes de la distribuci on de cualquier tipo de soporte que contenga datos de la base en cuesti on (es decir, en el env o, ya por red o por mensajer a, los soportes han de ir codicados). Mantener un registro de acceso a la informaci on donde conste al menos el identicador de usuario, fecha, hora, chero accedido, si el acceso ha sido o no permitido, etc. Conservar un hist orico de un per odo de 2 a nos. Realizar un informe de todo el registro de incidencias una vez al mes. Las copias de seguridad han de residir en lugares diferentes a los del sistema de informaci on. Cada nivel, por supuesto, incluye todas las medidas del anterior.

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION Plan de adaptaci on El plan de adaptaci on establecido legalmente consta de 5 fases: (1) An alisis. (2) Elaboraci on. (3) Desarrollo o Implementaci on. (4) Formaci on. (5) Auditor a. que describimos a continuaci on: Fase de An alisis :

23

Determinar los cheros, bases de datos. . . afectados (que se deben proteger). Las medidas que se redactan a continuaci on se tomar an para cada uno de ellos. Comprobar en la APD que dichos archivos no guran y qu e nivel de seguridad se tiene para cada uno. Comprobar la seguridad de los cheros a trav es de la red. Comprobar la seguridad de los cheros en su lugar de ubicaci on f sica. Comprobar la existencia (y en su defecto denirlo) de un responsable por chero (y comunicarlo pertinentemente). Comprobar la existencia de un registro de incidencias. Comprobar la existencia de un registro de usuarios, de mecanismos de identicaci on, de una pol tica de renovaci on de claves. . . Comprobar el inventario y clasicaci on de soportes. Documentar el inventario y comprobar y documentar la existencia de copias de seguridad (pol tica de los backups: incremental. . . ?). Denir un calendario de controles peri odicos encaminados a comprobar y vericar que se cumple la normativa. Denir las medidas a tomar al desechar o reutilizar un dispositivo. Comprobar la realizaci on de auditor as cada dos a nos. Comprobar los mecanismos de identicaci on de usuarios. Comprobar que existen mecanismos de control de intentos de acceso infructuosos reiterados. Comprobar las medidas de seguridad f sicas (control de acceso a los edicios). Comprobar la E/S de soportes inform aticos. Comprobar la existencia de procedimientos de recuperaci on de datos (por ejemplo ante desastres, ataques. . . ) Comprobar los procedimientos de cifrado de los datos. Comprobar la existencia de registros de acceso.

24 Comprobar la realizaci on de informes mensuales.

Laura M. Castro Souto

Comprobar la realizaci on de copias de seguridad y su ubicaci on en diferentes lugares f sicos. Fase de Elaboraci on Debe recogerse en un documento de seguridad : Ambito de aplicaci on y especicaci on del mismo. Recursos protegidos. Medidas, normas, procedimientos y reglas adoptadas para garantizar la seguridad. Funciones y obligaciones del personal. Denici on de la estructura de los cheros. Descripci on de los sistemas de informaci on donde residen los datos. Procedimiento de gesti on de incidentes (de la forma: suceso acciones. . . ). Copias de seguridad. Informaci on sobre responsables (identicaci on. . . ). Fase de Implementaci on Han de llevarse a cabo las normas de seguridad documentadas en la fase anterior. Se incide en la conguraci on de aplicaciones, sistemas operativos, rewalls, arquitecturas de red. . . Ello puede signicar la modicaci on de las t ecnicas que se ven an usando habitualmente, incluida la propia estructura de la organizaci on, en el peor de los casos. Fase de Formaci on Se recomienda dar al personal inform atico formaci on orientada a: conocimiento de mecanismos orientados al control de acceso a dispositivos, a la informaci on. . . gesti on de soportes registro de incidencias (c omo se notican, c omo se tratan. . . ) identicaci on y autenticaci on copias de seguridad, respaldo. . . Fase de Auditor a Su realizaci on es necesaria en los niveles medio y alto. Consiste en llevar a cabo un an alisis de: la red de comunicaciones. los sistemas operativos (mejor homogeneizar). los cheros automatizados, bases de datos. . . los mecanismos de acceso remoto a nivel f sico (UPS, alimentaci on, sistemas contraincendios, sistemas de acceso a edicios. . . ) Tras ello se realiza una identicaci on de puntos d ebiles y en funci on de estos se dan recomendaciones para asegurarlos. Por u ltimo, puede crearse un manual para 5 navegantes .
5

Hay herramientas de metodolog a para todo esto.

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

25

1.4.

Vulnerabilidades de los Sistemas Inform aticos

Los puntos d ebiles de los sistemas inform aticos se clasican en tres areas fundamentales: Nivel hardware. Nivel software. Nivel de datos. En cada una de ellas se recomiendan una serie de medidas de seguridad particulares y adecuadas, que vemos a continuaci on.

1.4.1.

Medidas generales a nivel hardware

A n de mantener la seguridad del hardware, es fundamental actuar en las siguientes l neas: Aislamiento de CPDs. Sistemas contra incendios. Sistemas de alimentaci on de corriente ininterrumpida (UPS, generadores,. . . ). Hardware redundante (RAID por hardware, por software, mirror de datos, dobles controladoras,. . . ). Mantenimiento.

1.4.2.

Medidas generales a nivel software

Con respecto a la seguridad relacionada con el software, es clave: La selecci on del sistema operativo (se recomienda la mayor homogeneizaci on de sistemas posible). Parcheado de sistemas operativos. Parcheado de programas.

1.4.3.

Medidas generales a nivel de datos

En general, toda la presente asignatura se ocupa mayoritariamente de este punto, pues este aspecto gira fundamentalmente en torno a la criptograf a. El conjunto de medidas adoptado por una organizaci on en cada uno de los mencionados niveles dene su pol tica de seguridad. Pese a todo, debemos tener muy claro que el sistema seguro no existe, no existe un sistema de informaci on sobre el que no se conozcan tipos de ataques que puedan vulnerarlo, ya sea mediante el tipo de ataques que hemos visto, o mediante otro tipo de

26

Laura M. Castro Souto

agresiones que comentaremos tambi en en su momento, como bombas l ogicas, troyanos, gusanos, virus,. . . S.I. = f ($, eciencia) De todos modos, normalmente el incremento de las medidas de seguridad va ligado con una disminuci on de la exibilidad de movimientos del usuario, algo que tambi en debemos tener en cuenta.

1.5.

Criterios de Evaluaci on de la Seguridad

Existen una serie de criterios para evaluar la seguridad de un sistema o conjunto de sistemas: TCSEC (Trusted Computer System Evaluation Criteria ), m as conocido como el libro naranja de los EE.UU. ITSEC (Information Tecnology Security Evaluation Criteria ). Otros criterios europeos. Todos ellos denen la necesidad de garantizar la condencialidad y el secreto (la informaci on debe estar disponible s olo para los usuarios autorizados6 a manejarla), la integridad (asegurar que la informaci on no se ha falseado; se usan herramientas como la rma digital) y la accesibilidad (garant a de qui en, c omo y cu ando accede a la informaci on). Tambi en se a naden la autenticidad (vericaci on del origen y el destino de la informaci on) y la imposibilidad de rechazo o no repudio (que cualquier entidad que env e o reciba informaci on no pueda negar el hecho de haberla enviado o recibido).

1.6.

Medidas de Seguridad. Niveles

Existen una serie de niveles sobre los que son susceptibles de aplicarse medidas de seguridad:

No existe un mecanismo que atienda a todos ellos, pero s un conjunto de mecanismos. Casi todos ellos hacen uso de la criptograf a. Algunos son:
6

Un usuario no es s olo una persona, puede ser un programa threads, un entorno,. . .

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

27

Intercambio de autenticaci on (garantiza que las entidades origen y destino son las que deben ser). Cifrado. Dos mundos: sim etrico (cifradores de bloques, cifradores de ujo) y asim etri-

co. Integridad de datos, ICV (integrity check value ): se incluye un valor de comprobaci on de identidad (el caso m as simple son los checksums ). Firma digital. Control de acceso (sistemas de contrase nas, listas de acceso o ACLs, rewalls en hosts y routers. . . ). Inclusi on de tr aco de relleno. Control de encaminamiento, empleo de rutas redundantes. Unicidad: inclusi on de n umero de secuencia, fecha, hora, etc. en los paquetes, para evitar reactuaci on y resecuenciaci on. Gesti on de red. Gesti on de seguridad, tanto su generaci on, localizaci on, distribuci on y control de acceso a la informaci on secreta, como la pol tica de servicios, mecanismos de seguridad, detecci on de infracciones y acciones a realizar en caso de detecci on de anomal as. Pol tica de gesti on de claves: generaci on (no d ebiles, largas, aleatorias), distribuci on, almacenamiento, tiempo de vida, destrucci on, aplicaci on. Hay que tener en cuenta que: La elecci on de un espacio de claves reducido facilitar a la penetraci on del sistema por fuerza bruta; cualquier elecci on pobre lo har a vulnerable a herramientas de chequeo de claves, pruebas con diccionarios7 , etc. Lo m as seguro son siempre claves aleatorias, aunque el problema sigue existiendo: c omo memorizarlas? almacenarlas? Para ello hay soluciones que utilizan una frase de paso que genera la clave del usuario (estrategia que usa PGP). En la distribuci on de claves puede optarse por un intercambio directo o por utilizar un Centro de Distribuci on de Claves, que en ocasiones incluso las asig8 nan
Del estilo de John the ripper, Satan,. . . Debido a la necesidad del intercambio de claves para comunicaciones cifradas o intercambios de documentos encriptados, cuando hay redes involucradas siempre es mejor utilizar m etodos asim etricos, m etodos de clave p ublica, de los que ya hablaremos.
8 7

28

Laura M. Castro Souto

Alternativas muy seguras para el almacenamiento de claves son las tarjetas de banda magn etica o tarjetas inteligentes. Otro factor muy importante en la seguridad es el tiempo de vida: cuanto mayor sea, m as inseguro es el esquema. Algunos protocolos orientados a conexi on utilizan una clave distinta en cada conexi on; los no orientados a conexi on suelen hacer uso de claves temporales, v alidas por un per odo limitado de tiempo.

1.7.

Fundamentos de Criptolog a

Como ya hemos mencionado alguna vez, la Criptolog a es la ciencia que se encarga de todo la relacionado con la Criptograf a y la Criptograf a es la t ecnica o ciencia que permite proteger la informaci on por medio del uso del cifrado de forma que solo pueda ser descifrado por el remitente. El cifrado es la t ecnica que permite, a partir de un mensaje en claro aplicando un algoritmo y una clave que tenga inversa, encriptarlo de forma que sea muy dif cil su descifrado careciendo del conocimiento tanto la clave como del algoritmo empleados.

Figura 1.4: Componentes de un Criptosistema. Los Criptosistemas pueden implementarse tanto en hardware como en software. La diferencia es que los primeros son, evidentemente, m as r apidos. Los ataques, como ya hemos visto, pueden producirse: 1. A partir de texto cifrado (obteniendo la clave; cuanto m as texto se tenga, m as f acil es). 2. A partir de alg un mensaje conocido. 3. Elecci on de mensajes (ver gura 1.5).

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

29

Figura 1.5: Criptoan alisis. Todo sistema criptogr aco o criptosistema consta de: Espacio de mensajes M = {m1 , m2 , . . .}. Espacio de textos cifrados C = {c1 , c2 , . . .}. Espacio de claves K = {k1 , k2 , . . .}. Una familia de transformaciones de cifrado Ek : M C k K . Una familia de transformaciones de descifrado Dk : C M k K .

Figura 1.6: Sistema criptogr aco. En la actualidad se distinguen dos tipos de criptosistemas: sim etricos o de clave privada (DES, IDEA, RC2, RC4, etc) y asim etricos o de clave p ublica (RSA, DSS, Die & Hellman,. . . ). Shanon midi o el secreto de un cifrador en funci on de la incertidumbre sobre el texto en claro. Estudi o a fondo los sistemas sim etricos, y formul o la fundamentaci on de la Teor a

30

Laura M. Castro Souto

de la Comunicaci on sobre la Teor a de la Informaci on, la Teor a de N umeros y la Teor a de la Complejidad Algor tmica. Utiliz o la noci on de entrop a (grado de inestabilidad), la de redundancia de un lenguaje (cantidad de informaci on, de cosas sin sentido que se pueden escribir en el), algo que emplear a despu es Hellman para esbozar su m etodo (el m etodo de Hellman : funci on(redundancia)=lenguaje; se han propuesto t ecnicas de difusi on y confusi on que intentan romper la frecuencia de los criptogramas).

1.8.

M etodos Criptogr acos

Esta secci on expone a grandes rasgos los m as importantes de los m etodos criptogr acos conocidos.

1.8.1.

Cl asicos

Estudiaremos en primer lugar los m etodos que dieron lugar al origen de la Criptograf a, los llamados m etodos cl asicos, que se basan principalmente en la sustituci on y transposici on de caracteres. Sustituci on Simple Monoalfabeto Este m etodo de cifrado consiste en sustituir cada letra o car acter del mensaje (texto en claro) por otra letra que forma parte del cifrado (texto cifrado). Para efectuar esta sustituci on existen varios m etodos, los cuales en general se pueden expresar mediante la transformaci on: E (m) = (a m b) donde m es el valor num erico asociado a cada letra del mensaje E es la funci on de cifrado E(m) es el valor num erico asociado a la letra correspondiente del mensaje cifrado a es una constante que determina el intervalo de separaci on entre dos letras del cifrado cuando estas son consecutivas en el alfabeto del mensaje original. Para que el alfabeto de letras equivalentes sea completo, es decir, que no se repita ninguna letra (que no ocurra que dos letras sin codicar den lugar a la misma al codicarlas), es preciso que sea primo con n b es una constante que determina el desplazamiento entre la correspondencia de las letras del cifrado y del mensaje n es el n umero de letras del alfabeto La transformaci on mencionada es conocida como m etodo de sustituci on simple con el nombre de m etodo C esar. mod n

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

31

Determinada la equivalencia entre una letra del mensaje y del cifrado, queda determinada la clave, por lo que el sistema no ofrece una gran seguridad. En el criptoan alisis de la sustituci on monoalfabeto tipo Cesar se ha de tener en cuenta que el alfabeto equivalente empleado es uno desplazado con respecto al original un n umero entero b, algo que, como decimos, lo hace f acilmente vulnerable. Se descifra utilizando, por ejemplo, un an alisis de frecuencias de las letras en el texto cifrado, compar andolas con las frecuencias caracter sticas en el alfabeto original, hasta encontrar el acoplamiento o correspondencia adecuada. Sustituci on Homof onica Esta sustituci on establece una aplicaci on entre el conjunto de caracteres del alfabeto de mensajes AM y el conjunto potencia (conjunto de los posibles subconjuntos) de los elementos del alfabeto cifrado AC : E : AM 2AC Dado que el conjunto potencia 2AC comprende los posibles subconjuntos que se pueden formar con los elementos de AC , a los elementos de cada subconjunto en que se puede cifrar un solo caracter se les denomina hom ofonos. El m etodo pretende destruir la frecuencia de los caracteres del mensaje. El mensaje M=m1 m2 . . . mn se cifra como C=E(m1 )E(m2 ). . . E(mn ) donde E(mi ) se toma aleatoriamente del subconjunto de hom ofonos de mi , siendo necesario no repetir la sustituci on mientras no se hallan utilizado todos los hom ofonos. Sustituci on Polialfabeto Este m etodo de sustituci on consiste en el uso de varias sustituciones simples en el cifrado de un mensaje. Para ello se utiliza una palabra clave cuyas letras denen los desplazamientos de los diferentes alfabetos equivalentes en sustituciones del tipo C esar, que se aplican a las letras del mensaje original. Esta transformaci on (cifrado de Vigen ere) se puede representar mediante: E = E (mj ) = (mj + ki ) mod n donde ki es el desplazamiento de cada letra de la palabra clave respecto al alfabeto base. El valor m aximo del sub ncide i es la longitud de la palabra clave, que constituye el per odo de la sustituci on polialfabeto denotado por la letra d. Puesto que la sustituci on simple utiliza una aplicaci on biyectiva entre las letras del cifrado y del mensaje, la frecuencia de las letras permanece en el texto cifrado. En la sustituci on polialfab etica al sustituirse una letra del texto en claro por diferentes letras en el texto cifrado se pretende distruir las frecuencias caracter sticas de las letras del texto original. Cifrado de Beaufort.- El cifrado de Beaufort utiliza la funci on de cifrado E = E (mj ) = (ki mj ) mod n

32 siendo la funci on del descifrado D = D(cj ) = (ki cj ) mod n

Laura M. Castro Souto

Con ello, este cifrado invierte las letras del alfabeto equivalente y las desplaza (ki +1) posiciones. Una variante del cifrado de Beaufort es la que cifra seg un la transformaci on E (mj ) = (mj ki ) mod n

que es equivalente al cifrado de Vigen ere con clave (n-ki ). Autoclave.- Una variante del de Vigen ere es el cifrado de autoclave donde el texto en claro se utiliza como clave, emple andose igualmente una clave primaria. En el descifrado, se toma como clave la primaria seguida del texto en claro que se va descifrando con ella y concatenando el resto del texto en claro que se va obteniendo: ENVIASUMINISTROS JUEVESENVIASUMIN NHZDEKYZDVALNDWF JUEVESENVIASUMIN ENVIASUMINISTROS (texto en claro) (clave=JUEVES) (texco cifrado) (clave) (texto en claro)

Cifrados con clave continua.- Son cifrados en los que la longitud de la clave es tan grande como el mensaje, al objeto de evitar que la clave se repita. Para ello, se puede utilizar como clave una secuencia aleatoria no repetitiva. Entre otros, se puede pensar en usar como clave el texto de un libro, y cifrar mediante sustituci on polialfabeto de acuerdo con los desplazamientos de cada palabra del texto. No obstante, pese a ser la sustituci on polialfabeto m as segura que la monoalfabeto, no es inmune al criptoan alisis. El procedimiento consiste en determinar el n umero de alfabetos empleado (o periodo, longitud de la clave), separar el texto en partes que fueron cifradas con el mismo alfabeto equivalente y resolver cada parte por separado como si hubiera sido cifrada con un solo alfabeto. Existen dos maneras de descubrir el periodo, una es el m etodo de Kasiski y otra el estudio del Indice de Coinicidencia: M etodo de Kasiski Este m etodo se basa en la repetici on de grupos de letras y palabras en el lenguaje natural (por ejemplo, en espa nol, -as, -os, -es, -ci on, en -, co -, in -, con, de, y, a, etc.). Si un texto se cifra con n alfabetos de forma c clica (|clave| = n), y si una palabra o grupo de letras aparece k veces en el texto en claro, ser a cifrado aproximadamente f rackn veces con el mismo alfabeto. As , por ejemplo, si se utiliza una palabra clave de 3 letras se podr a disponer en 3 formas diferentes sobre el texto en claro, con lo que, si una palabra o grupo de letras se repite m as de 6 veces debe ser cifrada al menos dos veces con

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION la misma posici on de la clave, y esas ocurrencias ser an grupos de letras cifradas de la misma forma. Veamos un ejemplo: DESCONFIANZA GINGINGINGIN JMFIWZLPNSHN --CON LOS PRISIONEROS GIN GIN GINGINGINGI IWZ QWF VZUYPBSMEAU --k=GIN (3 alfabetos)

33

Se observa que IWZ se repite a partir de las posiciones 4 y 13. Si se calcula la diferencia, se determinan como posibles periodos los factores de esta: 13 4 = 9 1, 3 y 9. Indice de Coincidencia El ndice de coincidencia es una herramienta criptoanal tica que permite evaluar la similitud entre la distribuci on de la frecuencia de las letras de un texto cifrado y la de la frecuencia caracter stica de las letras de un lenguaje natural. As , este mide la varianza de la frecuencia de las letras. La medida de la dispersi on o varianza es:
n

MD =
i=1

1 pi n

=
i=1

pi 2
i=1

1 pi + n

i=1

1 n2

donde pi es la probabilidad de ocurrencia de cada letra en el texto original y n el n umero de letras del alfabeto. Desarrollando, se llega a que MD puede escribirse:
n

MD =
i=1

pi 2

1 = 27

pi 2 0 037 = 0 075 0 037 = 0 038

i=1

(para n = 27, castellano; 0 M D 0 038). El t ermino pi 2 se dene como ndice de coincidencia y puede expresarse como la probabilidad de que dos caracteres en el texto cifrado sean iguales. La siguiente expresi on permite medir este ndice en base a las frecuencias fi observadas de cada letra, en un texto de n letras, simplemente estableciendo la relaci on entre los pares de letras iguales encontrados y los pares de letras posibles en el texto de n letras:
n n

fi (fi 1) pi 2 =
i=1

IC =
i=1

N (N 1)

El ndice de coincidencia para cifrados polialfabeto de per odo p y texto de n letras es: fi (fi 1)/2 fi (fi 1) IC = = n(n 1)/2 n(n 1)

34 De donde M D = IC 0 037

Laura M. Castro Souto

Seg un esta f ormula, para un texto de n = 1000 letras es castellano se obtiene la tabla: P 1 2 3 . 10 grande IC 0 075 0 055 0 049 . 0 040 0 037

Cuadro 1.3: Periodo e Indice de Coincidencia en Sustituciones Polialfabeto.

Otros tipos de cifrado Cifrados tipo Vernam.- En la idea de encontrar cifrados perfectos mediante el uso de claves no repetitivas de tama no igual al del mensaje (cifrados de clave continua ), Gilbert Vernam de AT&T bas o el dise no de un m etodo inmune a la mayor a de los ataques criptoanal ticos. El procedimiento consiste en combinar una larga secuencia aleatoria de n umeros no repetitiva con el mensaje en claro. Si la clave no se repite ni reutiliza, el texto cifrado no muestra la estructura de la clave. Cuando la informaci on que se cifra es binaria, la combinaci on de la clave y texto en claro se hace mediante la operaci on or exclusivo, donde la clave consiste en una ristra no repetitiva de d gitos binarios. El or exclusivo sirve tanto para el cifrado como para el descifrado, ya que: E (mi ) = mi ki E (mi ) ki = mi ki ki Para la operaci on de descifrado en el extremo receptor se precisa, pues, disponer de la misma secuencia de d gitos binarios de la clave. Sustituci on Poligr aca.- En este m etodo de sustituci on, en lugar de sustituir una letra por otra, permite sustituir digramas, trigramas, etc., de letras, al objeto de destruir las frecuencias de los monogramas cifrando un n-grama de una vez, con lo que se consigue una mayor seguridad. Son ejemplos: Cifrado Playfair.- Es un cifrado de sustituci on digr amica en el que la clave viene dada por una matriz 5 5 de caracteres en las que se distribuyen 25 letras del alfabeto. Se recurre al uso de una palabra clave sin letras repetidas, que se sit ua en las primeras las del cuadro. A continuaci on de ella se sit uan el resto de letras del alfabeto que no est an en la palabra clave. Las reglas para cifrar 2 caracteres m1 m2 del texto en claro son:

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION 1. Si m1 y m2 est an en la misma la, c1 y c2 son los situados a su derecha. 2. Si m1 y m2 est an en la misma columna, c1 y c2 son los situados a continuaci on en la columna (de arriba a abajo, circularmente). 3. Si m1 y m2 est an en distinta la y columna, se toman los de la diagonal opuesta: m1 c1 m2 c2 4. Si m1 =m2 se inserta un car acter sin signicado entre ambos. 5. Si hay un n umero impar de letras, se a nade al nal del texto en claro otra sin signicado. Cifrado Hill.- Realiza el cifrado de k caracteres del mensaje en k caracteres del texto cifrado, mediante el uso de una transformaci on lineal. En el caso de sustituci on de digramas, la transformaci on que se realiza es la siguiente: c1 = (a11 m1 + a12 m2 ) c2 = (a21 m2 + a22 m2 ) donde K (a) = a11 a12 a21 a22 mod n mod n

35

ha de tener inversa (AA1 mod n = I ) para deshacer la codicaci on C = (A M ) mod n. Se puede vulnerar este m etodo si se conocen dos digramas cifrados y sus correspondientes textos de mensajes en claro, ya que: M1 = (m1 , m2 ) C 1 = ( c1 , c 2 ) M= C =AM m1 m3 m2 m4 M2 = (m3 , m4 ) C2 = (c3 , c4 ) C= c1 c3 c2 c4 mod n

mod n A = C M 1

Transposici on.- En este m etodo de cifrado no se efect ua ninguna sustituci on de letras en el mensaje (texto en claro), sino que se cambia su posici on dentro del mensaje. Estos m etodos no evitan la aparici on de las letras con su frecuencia caracter stica en el texto cifrado y son f acilmente destruibles mediante anagramaci on o distribuci on en bloques del texto cifrado. Existen diversos procedimientos para reordenar las letras del mensaje y obtener el mensaje cifrado: permutaciones, posicionamiento en zig-zag, distribuci on en guras geom etricas,. . . M etodos aritm eticos.- Existen diferentes tipos: Adici on y sustracci on.- Puesto que las operaciones de suma y resta son transformaciones que poseen una inversa, estas pueden emplearse como m etodos criptogr acos: Ek (m) = m k M = Ek (m) k

36

Laura M. Castro Souto

Multiplicaci on y divisi on.- De la misma forma que con las operaciones de suma y resta, se pueden cifrar mensajes utilizando transformaciones de multiplicaci on y divisi on (si bien estas expanden y reducen la longitud del mensaje). En general, puede usarse cualquier funci on aritm etica que tenga inversa. Conversi on de la base del sistema de numeraci on.- Se puede cifrar la representaci on num erica entera de un mensaje, ya que la conversi on o reconversi on son transformaciones reversibles. Con este m etodo, igual que el anterior, la longitud del mensaje puede reducirse o expandirse en virtud de la base del nuevo sistema de numeraci on. Estos m etodos son sencillos de implementar con computadoras, presentando una gran seguridad, ya que destruyen los par ametros estad sticos del lenguaje, pues a partir del mensaje cifrado o resultado de la operaci on es dif cil determinar los operandos involucrados, es decir, clave y mensaje original. Por otra parte, cualquier error en las operaciones puede ser un error irrecuperable. Transformaciones l ogicas booleanas.- Es posible utilizar operaciones l ogicas booleanas como transformaciones criptogr acas. No obstante, de todas las posibles operaciones l ogicas del algebra de Boole, s olo la negaci on, la equivalencia y el or exclusivo poseen operaciones inversas. Todas ellas son adem as sus propias inversas. El cifrado tipo Vernam es un caso de uso de la transformaci on booleana or exclusivo. Transformaciones matriciales.- El uso de operaciones matriciales proporciona tranformaciones criptogr acas, aunque laboriosas, bastante seguras, pues normalmente destruyen los par ametros estad sticos del lenguaje. En este m etodo, el mensaje original se transforma mediante un c odigo binario en una sucesi on de ceros y unos. A continuaci on, se disponen esos bits en una matriz de r las y s columnas, que se suma o multiplica por otra matriz clave, obteniendo la matriz cifrada C: (C ) = (M ) + (K ) o (C ) = (M ) (K )

La operaci on de descifrado es posible debido a que la suma y multiplicaci on de matrices poseen operaciones inversas bajo ciertas condiciones (la suma precisa equidimensionalidad y el producto, que (K) posea inversa u nica, esto es, que sea cuadrada y no singular). Para reducir el c alculo es conveniente que el n umero de columnas s sea inferior al de las r en la matriz (M), ya que al multiplicar las dos matrices el n umero de 2 multiplicaciones es rs y el de sumas rs(s 1). En el caso m as elemental, la matriz (K) es una matriz ortogonal y su inversa es su traspuesta. Las matrices de Hadamard son u tiles en este sentido, pues al ser sus elementos de valor 1 tienen una inversa que es la traspuesta dividida por el orden de la matriz. Clasicaci on de los M etodos Cl asicos A continuaci on se muestra una gura que resume en un esquema la clasicaci on de los m etodos criptogr acos m as importantes de los citados anteriormente. Aunque no se han

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

37

descrito, se citan los de tipo mixto. Se entiende por sustituci on monoalfab etica o polialfab etica mixta cuando la aplicaci on entre las letras del alfabeto original y el equivalente se establece de una forma aleatoria.

Figura 1.7: Clasicaci on de M etodos Cl asicos

1.8.2.

Modernos

Los M etodos Criptogr acos Modernos est an orientados al cifrado de bases de datos, al soporte de cifrado de binarios, etc. Son m etodos m as seguros y ables gracias a su losof a de publicaci on. Se clasican en dos grandes grupos: Criptosistemas de Clave Privada o Sim etricos Criptosistemas de Clave P ublica o Asim etricos Sim etricos Los criptosistemas de clave privada se caracterizan por utilizar para el cifrado y descifrado la misma clave, que se mantiene secreta. Estos sistemas de clave u nica son denominados de clave privada en contraposici on a los de clave p ublica en los que parte de la clave se da a conocer. Por otra parte, por usar la misma clave secreta se denominan tambi en sim etricos, en contraposici on a los de clave p ublica denominados sim etricos. La autenticidad se consigue al permanecer secreta la clave, y por consiguiente, s olo el emisor leg timo puede producir un cierto mensaje cifrado, que puede a su vez ser descifrado por el receptor haciendo uso de la clave compartida. Estos sistemas presentan, no obstante, una serie de inconvenientes:

38

Laura M. Castro Souto

En cuanto a la distribuci on de las claves, ya que estas deben intercambiarse con seguridad absoluta. En cuanto a la gesti on del n umero de claves, ya que aumenta con el cuadrado del n umero de usuarios que intercambian informaci on secreta en el sistema (si tenemos n(n1) n usuarios y n intercambios, se trata de 2 claves), lo que obliga a limitar el n umero de participantes en el mismo9 . En cuanto a las rmas digitales, puesto que no hay forma de incluirlas en un sistema sim etrico. Por todo ello, suelen utilizarse en aplicaciones sencillas y de ambito local, como pueden ser el login y el password, que se ejecutan en la propia m aquina. Los problemas que se encuentran en los criptosistemas de clave privada son elegantemente solventados por los sistemas de clave p ublica. Los sistemas de cifrado sim etricos se clasican a su vez en dos subgrupos, que ha hemos mencionado alguna vez: cifradores de ujo y cifradores de bloques. Entre los primeros encontramos algunos de los algoritmos de cifrado de clave privada m as conocidos, como el DEA (Data Encryption Algorithm ), su est andar el DES (Data Encryption Standard ), el IDEA (International Data Encryption Algorithm ),. . . Los sistemas sim etricos suelen ser cifradores por bloques, donde M se trocea y se trabaja independientemente con cada uno de los bloques que se obtienen. Suelen aplicar t ecnicas de sustituci on, transposici on, suma, resta, multiplicaci on, divisi on, cambios de base, or exclusivo,. . . mezcladas y aplicadas en varios ciclos, varias veces. Por ello son, obviamente, algor tmicamente m as complejos comparados con los m etodos cl asicos. Esta idea fue desarrollada por Feistel, e implementada por primera vez en el dispositivo Lucifer (1977). Despu es ha seguido utiliz andose, de suerte que los algoritmos de cifrado que se basan en ella se denominan basados en Feistel. El procedimiento es sencillo: el bloque de datos a cifrar se divide a su entrada en trozos. Cada uno de ellos, se subdivide a su vez en dos, de los cuales uno se somete a una transformaci on y el otro no. Posteriormente se intercambian, procediendo as con todos los bloques generados un determinado n umero de veces.

Un ejemplo: M1 = STAR TREK LA MISION CONTINUA

9

(sust. con despl. 1c.) (bloques 4 c.)

En un sistema asim etrico, sin embargo, en la misma situaci on se tendr an solamente 2n claves.

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION S1 = TUBS TREK MBNJ SION DPOU NUA P1 = BUST TREK JNBM SION UOPD NUA M2 = TREK BUST SION JNBM NUA UOPD

39

Puede incorporarse tambi en una clave en la funci on de transformaci on, y seg un c omo se aplique se tienen: Cifradores en cascada, que usan una clave que en realidad son varias m as peque nas, una para cada iteraci on. Cifradores producto, donde se tiene una clave a partir de la cual el propio algoritmo genera varias para aplicar en los diversos ciclos10 . Entre las caracter sticas de este m etodo est an que letras iguales no entregan criptogramas iguales (en el ejemplo anterior, la A puede dar E, I y D), y que en M y C no aparecen los mismos caracteres. Cuadro 1.4: Comparativa entre diferentes sistemas de cifrado sim etricos. M etodo lucifer des loki idea scriptjack
a b

Tama no bloque 128 bits 64 bits 64 bits 64 bits 64 bits

Tama no clave 128 bits 64 bitsa 64 bits 128 bits 80 bits

Vueltas Tipo Feistel 16 S 16 S 16 S 8 S /Nob 32 No se sabe

56 bits de clave + 8 bits de paridad. Puede serlo o no.

Figura 1.8: Funcionamiento de un cifrado tipo Feistel.

10

Un comportamiento de este estilo exhibe el sistema de cifrado DES.

40

Laura M. Castro Souto

El algoritmo DES (Data Encryption Standard ) fue desarrollado en IBM como continuaci on del dispositivo Lucifer (1974), y ha sido tomado como algoritmo est andar de cifrado por la NSA (National Security Agency ) americana (1977)11 . En 1981 el ANSI (American National Standard Institute ) adopta DES como DEA, evitando hacer uso de la palabra standard. En la actualidad, ha sido tambi en considerado como posible norma por ISO bajo esta misma denominaci on. Este algoritmo fue implementado en hardware y se le dio la categor a de armamento estrat egico, prohibi endose su comercializaci on en Europa. En s ntesis, el sistema cifra un bloque de 64 bits de texto en claro en un bloque de 64 bits de texto cifrado. Para ello usa una clave externa de 64 bits (8 bytes, por lo cual cada clave puede asociarse a 8 caracteres ASCII) en los que los bits de las posiciones octavas de cada byte (8, 16, 24, 32, 40, 48, 56, 64) son bits de paridad impar. El algoritmo consta de 16 pasos o iteraciones. En cada una de ellas se usan operaciones de or exclusivo, permutaciones y sustituciones. Las permutaciones son de tres tipos: simples, expandidas (en las que se duplican bits) y restringidas (en las que se eliminan ciertos bits). Las sustituciones son no lineales. A grandes rasgos lo que se hace es: 1. Se aplica una permutaci on conocida como P1 a todo el bloque de 64 bits, simplemente para descolocar un tanto el mensaje en claro. Dado que tampoco aporta demasiado, algunas versiones que han dado lugar a otros algoritmos suprimen este paso. 2. Se aplica el algoritmo DES propiamente dicho: a ) Se parte cada bloque en dos (32 bits + 32 bits). b ) Se aplica un algoritmo tipo Feistel empezando por la derecha 16 veces (16 vueltas/ciclos). 3. Se aplica P11 .

Figura 1.9: Esquema del funcionamiento del sistema DES.

Una importante cualidad de este algoritmo es que el cifrado y el descifrado se hacen igual, esto es, el propio algoritmo cifra y descifra.
11

Con ciertas modicaciones: clave de 56 bits en lugar de 128.

 Y FUNDAMENTOS CAP ITULO 1. INTRODUCCION

41

La funci on de cifrado F(Ri , ki ), en la que se tienen como entradas los 32 bits correspondientes a la mitad derecha de la iteraci on anterior (Ri1 ) y los 48 bits de la clave ki , expande a 48 bits la cadena Ri de 32 bits, permutando y duplicando algunos de ellos para conseguirlo. La salida de 48 bits de la expansi on de Ri y ki se suman en un or exclusivo y la salida se reparte en 8 bloques de 6 bits cada uno. Este resultado sirve como entrada a una caja S (en realidad, cada caja S contiene 8 cajas cuya entrada son cada uno de los grupos de 6 bits que mencionamos), donde mediante una transformaci on no lineal se obtiene la secuencia de 32 bits (4 bits por cada bloque de 6, que se concatenan a la salida) nal. Es en estas cajas S y en su propiedad de no-linealidad donde reside la potencia de este algoritmo y los que derivan de el. La respuesta de las cajas S se realiza de acuerdo con matrices o tablas de conversiones que cada una tiene asociada. Los 6 bits del bloque que reciben Bj =b1 b2 b3 b4 b5 b6 se transforman en 4, Sj (Bj ), correspondientes al valor decimal del elemento de la matriz Sj cuya la viene determinada por el valor decimal de los bits b1 y b6 y cuya columna la dene el decimal correspondiente al binario b2 b3 b4 b5 de los bits centrales de Bj . En cuanto a la funci on generadora de claves (KS), proporciona una clave ki =KS(i,K) para cada iteraci on, donde K es la clave externa de 64 bits, siendo los bits 8, 16, 24,. . . de paridad impar para protecci on de dicha clave ante posibles errores de lectura. Los 64 bits de la clave K se permutan seg un la permutaci on PC-1, que sin tomar los bits de paridad permuta los 56 bits restantes, dejando la salida en los registros C0 y D0 . Los contenidos de estos registros se desplazan a la izquierda una vez para obtener a trav es de la permutaci on PC-2 la clave k1 . Las sucesivas claves internas se obtienen a partir de los registros Ci y Di obtenidos despu es de realizar los sucesivos desplazamientos a la izquierda de los contenidos de los registros Ci1 y Di1 , de forma que: Ci = LSi (Ci1 ) Di = LSi (Di1 ) donde LSi es un desplazamiento circular a la izquierda en un n umero de posiciones que est a tabulado dependiendo de la iteraci on de que se trate. La clave interna ki es, pues, ki =PC-2(Ci Di ). El descifrado se realiza utilizando el mismo algoritmo descrito, como ya hemos dicho, si bien en la primera iteraci on se utiliza la clave interna k16 , en la segunda la k15 y as sucesivamente. As pues, se invierte el orden de las claves, pero el algoritmo en s no se invierte. Como puede intuirse tras su descripci on, la u nica forma de atacar un sistema de cifrado como el DES (y cualquiera de los que se basan en el, como, por ejemplo, IDEA) es mediante fuerza bruta, combinada con la utilizaci on de diccionarios, combinaciones de letras, letras y n umeros, etc. Asim etricos Los criptosistemas de clave p ublica se caracterizan por utilizar dos claves para cada usuario, una sirve en general para la operaci on de cifrado y es p ublica, mientras que la otra clave, la de descifrado, es secreta y es la u nica que puede recuperar la informaci on cifrada.

42 Esquema del RSA (1978) Dado un mensaje M. . .

Laura M. Castro Souto

1. Cada usuario selecciona dos n umeros primos pu y qu tales que nu = pu qu y (n) = (p 1)(q 1). 2. Se elige la clave p ublica eu . Debe cumplir: a) 1 eu n

b ) m.c.d.(eu , (n)) = 1 3. Se aplica el algoritmo extendido de Euclides y se calcula du = m.c.d.(eu , (n)). 4. Se publican nu (= p q ) y eu , y se guardan en secreto du , p, q y (n).

Condiciones de selecci on de p y q 1. La selecci on de p y q , han de diferir en pocos d gitos. 2. La longitud debe estar en torno a los 200 bits. 3. El p 1 y q 1 de (n) deben tener factores primos grandes. Eso se garantiza utilizando primos seguros : r primo muy grande p=2r+1 q =2p+1

Bibliograf a
[1] Caballero, P. Introducci on a la Criptograf a. RA-MA, 1996. [2] Lucena L opez, M. J. Criptograf a y Seguridad en Computadores. Escuela Polit ecnica Superior, Universidad de Ja en. 1999. [3] J.L. Morant Ram on, A. Ribagorda Garnacho, J. Sancho Rodr quez. Seguridad y Protecci on de la Informaci on. Centro de Estudios Ramon Areces, 1994.

43