Evidencia Funcionamiento:

Genera firma
Verifica firma

modificando archivo

error

datos a firmar modificado

 PRÁCTICA 10
Mecanismos de Seguridad, Firma Digital
Cuestionario Previo

1. ¿Qué son los mecanismos de seguridad?

Un mecanismo de seguridad (también llamado herramienta de seguridad o
control) es una técnica que se utiliza para implementar un servicio, es decir,
es aquel mecanismo que está diseñado para detectar, prevenir o recobrarse
de un ataque de seguridad. Los mecanismos de seguridad implementan
varios servicios básicos de seguridad o combinaciones de estos servicios
básicos – los servicios de seguridad especifican "qué" controles son
requeridos y los mecanismos de seguridad especifican "cómo" deben ser
ejecutados los controles.

2. ¿A qué se refieren los mecanismos de seguridad generalizados? y menciona

2 ejemplos.
Mecanismos de seguridad generalizados: se relacionan directamente con los
niveles de seguridad requeridos y algunos de estos mecanismos están
relacionados al manejo de la seguridad y permiten determinar el grado de
seguridad del sistema ya que se aplican a éste para cumplir la política
general.

❖ Detección de eventos: Incluye la detección de violaciones de la

seguridad y de manera opcional la detección de eventos normales
como el acceso realizado de manera exitosa.
❖ Seguimiento de auditorías de seguridad: Cualquier seguimiento se
refiere a resúmenes independientes y análisis de los registros tanto del
sistema como de las actividades así como los que se adquieren y que
potencialmente facilitan las auditorías sobre seguridad.

3. ¿A qué se refieren los mecanismos de seguridad específicos? y menciona 3

ejemplos.
Mecanismos de seguridad específicos definen la implementación de servicios
concretos. Los más importantes son los siguientes: Confidencialidad, No
repudio, Integridad, Autenticación, Control de acceso y Disponibilidad

4. Investigue en qué consisten las funciones hash y mencione al menos 3

ejemplos.
Una función criptográfica hash- usualmente conocida como “hash”- es un
algoritmo matemático que transforma cualquier bloque arbitrario de datos en
una nueva serie de caracteres con una longitud fija. Independientemente de
la longitud de los datos de entrada, el valor hash de salida tendrá siempre la
misma longitud.
 OFUSCANDO CONTRASEÑAS: Si quiero almacenar contraseñas lo lógico
es no dejarlas visibles, ofuscarse. No guardo el texto de la contraseña, en su
lugar calcular y almacenar el HASH.
GESTIÓN DOCUMENTAL: Los gestores documentales o de contenido
calculan el HASH al comenzar a tratar un fichero, así conocen si ya existe en
su sistema, el tratamiento es distinto si es una nueva entrada o por el
contrario, ya existe en el sistema.
CONTROL DE CAMBIOS: Tengo un documento y quiero asegurarme que no
se ha modificado. A simple vista puede ser difícil cuando es un texto de
varias páginas, o una hoja de cálculo. Puedo calcular el HASH y guardarlo
después de modificar el archivo. Para comprobar si se ha modificado basta
con calcular de nuevo el HASH y compararlo con el guardado previamente,
deben ser iguales, si no lo son, alguien ha modificado el documento.

5. Investigue en qué consisten los algoritmos de clave pública.

El cifrado de clave pública utiliza un par de claves relacionadas
matemáticamente. Un mensaje cifrado con la primera clave debe descifrarse
con la segunda clave y un mensaje cifrado con la segunda clave debe
descifrarse con la primera clave.

Cada participante en un sistema de claves públicas dispone de un par de

claves. Una clave se designa como clave privada y se mantiene secreta. La
otra clave se distribuye a quien lo desee; esta clave es la clave pública.

Cualquier usuario puede cifrar un mensaje utilizando su clave pública, pero

sólo usted puede leerlo. Cuando recibe el mensaje, lo descifra utilizando la
clave privada.

De forma parecida, puede cifrar un mensaje para cualquier otro utilizando su

clave pública y, a continuación, descifrándola utilizando su clave privada.
Entonces podrá enviar el mensaje de forma segura a través de una conexión
no segura.

Este tipo de cifrado tiene características que lo hacen muy adecuado para su
uso general:
- El cifrado de clave pública sólo requiere dos claves por participante.
- La necesidad de mantener el secreto es más fácil de cumplir:
únicamente debe mantenerse secreta la clave privada y puesto que no
necesita compartirse, es menos vulnerable al robo en la transmisión
que la clave compartida en un sistema de claves simétricas.
- Las claves públicas pueden publicarse, lo que elimina la necesidad de
compartir previamente una clave secreta antes de la comunicación.
Cualquiera que conozca la clave pública puede utilizarla para enviar un
mensaje que sólo el usuario implicado puede leer.
 El cifrado de clave pública también se denomina cifrado asimétrico, porque
no puede utilizarse la misma clave para cifrar y descifrar el mensaje. A
cambio, se utiliza una clave de un par de claves para deshacer el trabajo del
otro.

6. Mencione al menos 3 algoritmos de cifrado simétrico o de criptografía

tradicional.
- DES es un algoritmo de cifrado escogido como un estándar FIPS en
los Estados Unidos en 1976, y cuyo uso se ha propagado ampliamente
por todo el mundo. Actualmente DES se considera un algoritmo
inseguro, y no debe utilizarse. DES es un algoritmo de cifrado por
bloques, donde se toma un texto en claro de longitud fija de bits y se
transforma mediante una serie de operaciones en otro texto cifrado de
la misma longitud.
- 3DES (Triple Data Encryption Standard) Se basa en aplicar el
algoritmo DES tres veces, dependiendo de las claves que utilicemos,
puede tener una longitud de clave de 168 bits (útiles) si las tres claves
son diferentes, o de 112 bits si únicamente utilizamos dos claves
diferentes.
- RC5 Este algoritmo también cifra por bloques, tiene un tamaño
variable de bloques, pudiendo ser de 32, 64 o 128 bits. Permite
diferentes longitudes de clave (hasta 2040 bits), y un número variable
de iteraciones de hasta 255 (la seguridad del cifrado aumenta
exponencialmente cuanto mayor número de iteraciones).

7. Investigue el contenido básico del estándar X.509.

El estándar X.509 solo define la sintaxis de los certificados, por lo que no está
atado a ningún algoritmo en particular, y contempla los siguientes campos en
su estructura:
● Versión. Especifica cuál de las tres versiones de x.509 se aplica a este
certificado.
● Número de serie. Es un identificador único para todos los certificados
de una misma CA.
● Identificador del algoritmo empleado para la firma digital. Qué
algoritmo utilizó la CA del certificado para firmar.
● Nombre del certificador. Nombre de la CA.
● Periodo de validez. Por seguridad, los certificados tienen un tiempo de
vida.
● Nombre del sujeto. Nombre del dueño del certificado.
● Clave pública del sujeto. Clave pública del dueño del certificado, y
algoritmo asociado.
● Extensiones. Información adicional permitida por el estándar.
● Firma digital de todo lo anterior generada por el certificador. Firma
digital de la CA.
 8. Investigue el uso de las sentencias try y catch dentro del lenguaje java
BLOQUE TRY
Try en inglés es el verbo intentar, así que todo el código que vaya dentro de
esta sentencia será el código sobre el que se intentará capturar el error si se
produce y una vez capturado hacer algo con él. Lo ideal es que no ocurra un
error, pero en caso de que ocurra un bloque try nos permite estar preparados
para capturarlo y tratarlo. Así un ejemplo sería:
try {
System.out.println(“bloque de código donde pudiera saltar un error es este”);
}

BLOQUE CATCH
En este bloque definimos el conjunto de instrucciones necesarias o de
tratamiento del problema capturado con el bloque try anterior. Es decir,
cuando se produce un error o excepción en el código que se encuentra
dentro de un bloque try, pasamos directamente a ejecutar el conjunto de
sentencias que tengamos en el bloque catch. Esto no es exactamente así,
pero ya explicaremos más adelante todo el funcionamiento. De momento
para una mejor comprensión vamos a considerar que esto es así.

catch (Exception e) {
System.out.println(“bloque de código donde se trata el problema”);
}

9. Investigue el funcionamiento del método getPrivate y getPublic

Son los métodos que nos regresan las referencias a las llaves Privada y
Pública, respectivamente. Son parte de la clase keypair; no toman
argumentos.

Bibliografía:
http://profesores.fi-b.unam.mx/cintia/Mecanismos.pdf
https://tesis.ipn.mx/jspui/bitstream/123456789/8428/1/IF2.52.pdf
https://www.altaruru.com/hash-y-ejemplos-de-uso/
https://www.ibm.com/support/knowledgecenter/es/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ac55940_.
htm
https://www.ibm.com/support/knowledgecenter/es/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ac55940_.
htm
https://www.redeszone.net/2010/11/04/criptografia-algoritmos-de-cifrado-de-clave-simetrica/
https://juncotic.com/x509-certificados-digitales-der-crt-cer/
https://www.aprenderaprogramar.com/index.php?option=com_content&view=article&id=678:gestion-d
e-excepciones-en-java-captura-con-bloques-try-catch-finally-ejemplos-resueltos-sencillos-cu00927c&
catid=58&Itemid=180