Actividad Evaluativa Eje 4 “Criptosistemas Seguros”

1Criptosistemas Seguros

Fundación Universitaria del Area Andina.

Facultad de Ingeniería.
Criptografía y Mecanismos de Seguridad.

Luis Fernando Páez Jiménez

Alejandro Velásquez Lozano
Jeisson Alexander Pérez Estrada
Marzo 2021
Actividad Evaluativa Eje 4 “Criptosistemas Seguros”

Tabla de Contenidos

Introducción e información general.................................................................................................4

Objetivos generales......................................................................................................................4
Objetivos específicos...................................................................................................................4
Descripción de la actividad evaluativa............................................................................................5
Desarrollo de la actividad evaluativa...............................................................................................7
Autenticación del usuario..........................................................................................................11
Comprobación de Firma digital.................................................................................................11
Cifrado de extremo a extremo...................................................................................................12
Dominio de autenticación HTTP...............................................................................................14
Conclusion.....................................................................................................................................15
Lista de referencias........................................................................................................................16
Actividad Evaluativa Eje 4 “Criptosistemas Seguros”

Lista de figuras

Imagen 1. Mensaje oculto en el criptograma...................................................................................7

Imagen 2. Mensaje oculto en el criptograma...................................................................................8
Imagen 3. Informacion de la imagen...............................................................................................8
Imagen 4. Analisis de metadatos.....................................................................................................9
Imagen 5. Implementacion de AD Servers. Fuente: https://docs.microsoft.com/.........................10
Imagen 6. Comprobacion de firma digital. Fuente: https://www.wikipedia.org/..........................12
Imagen 7. Dominio de autenticacion HTTP. Fuente: https://www.ibm.com................................14
 4

Introducción e información general

En el mundo real, si una universidad quiere proteger los expedientes de sus alumnos los
guardará en un armario ignífugo, bajo llave y vigilado por guardias, para que sólo las
personas autorizadas puedan acceder a ellos para leerlos o modificarlos; si queremos
proteger nuestra correspondencia de curiosos, simplemente usamos un sobre; si no
queremos que nos roben dinero, lo guardamos en una caja fuerte... Lamentablemente, en
una red no disponemos de todas estas medidas que nos parecen habituales: la principal
(podríamos decir única) forma de protección va a venir de la mano de la criptografía. El
cifrado de los datos nos va a permitir desde proteger nuestro correo personal para que
ningún curioso lo pueda leer, hasta controlar el acceso a nuestros archivos de forma que
sólo personas autorizadas puedan examinar (o lo que quizás es más importante,
modificar) su contenido, pasando por proteger nuestras claves cuando conectamos a un
sistema remoto o nuestros datos bancarios cuando realizamos una compra a través de
Internet. En este trabajo intentaremos dar unas bases teóricas mínimas sobre términos,
algoritmos, funciones... usados en el tema de la criptografía.

Objetivos generales

 Plantear y proponer las condiciones que debe tener un criptosistema para asegurar
de forma máxima la seguridad de la información que se administre bajo sus
criterios. 
 Plantear un sistema de cifrado para asegurar un grupo de archivos y las
comunicaciones de una organización. 

Objetivos específicos

 Identificar los principales conceptos dentro del marco teórico de la criptografía y

aplicarlos en la actividad evaluativa propuesta en el eje 4.
 5

Descripción de la actividad evaluativa

Nombre del Taller: Criptosistemas seguros 

 
Objetivo de Aprendizaje 
 Plantear y proponer las condiciones que debe tener un criptosistema para asegurar
de forma máxima la seguridad de la información que se administre bajo sus
criterios. 
 Plantear un sistema de cifrado para asegurar un grupo de archivos y las
comunicaciones de una organización. 
 
Descripción del Taller 
El desarrollo de este taller recurre a la información que ustedes como estudiantes han
desarrollado a lo largo del curso y les implica proponer una estructura de cifrado de
comunicaciones y archivos segura a partir de los diferentes protocolos y técnicas 
de cifrado que se trabajan en el marco de las actividades. 
 
Requisitos para el taller 
1. Hacer la lectura del referente y proponer un esquema de cifrado seguro para una
organización. 
2. Desarrollar las lecturas complementarias que se proponen en busca de las
debilidades que pueda enfrentar un sistema de cifrado y las condiciones de
velocidad y confiabilidad. 
3. Revise el video httrs://www.youtube.com/watch?v=eZzCuGzwrdg 
4. Consulte las rúbricas de valoración de la actividad. 
 
Instrucciones 
A partir de la lectura del referente de pensamiento y haciendo uso del servicio de
encriptación en línea httrs://8gwifi.org/RSAFunctionality?keysize=512 
 
1. Encuentre el mensaje oculto en el siguiente criptograma: 
 
”QTU89GxL3ZU/eZvx5poSKlGYd/CZHL9nQSeYgMVXylJtzZ0gpoSrfdoPlXHoWZ7O
ii8bVUfLtxTDflTvLlez0A==” 
 
La llave pública es: 
 
" MFwwDQYJKoZlhvcNAQEBBQADSwAwSAJBAJ5OX38/dexg wx4H7FPgExLLQR
/zE4zfOOR7UCvXdRkxluGugX3X8Aqxm3s
bnDOJmO8/R6We1ANhJwG2ZI5O278CAwEAAQ==” 
 
 
 6

La llave privada es: 
 
" MIIBOgIBAAJBAJ5OX38/dexgwx4H7FPgExLLQR/zE4zfOOR7
UCvXdRkxluGugX3X8Aqxm3sbnDOJmO8/R6We1ANhJwG2Zl
5O278CAwEAAQJAepjzeBZres5NDTrRmPtVih6Cpv2WzGgrJT
cilXFcrE6acDZv7JFYG1s0dbv+ODzR/nXaAwLe+/pSVxGEtZJL UQlhANrg4afkPHmb
1xikm4mUrOvF5f/97EkvlHS9++uygzdD AiEAuSealNiZgyPk30xyB9h1Yq+1vjQTaosra
MmdiowWC9UCI QCTCj4uJuM Fo07WDEc9HvcoETOZTQF+jL1WEAd8aNlDtwIg
XJweiYy9XAa8F6SY9KukKzRP508M1yG9GLCfiAkBjfEClGyuMl
yaKgcWx4AvBld7MsMpNqgHMD+TsmlydQUfxUAB” 
 
 
2. Analice los siguientes fragmentos de un mismo texto cifrado con dos algoritmos
clásicos, ¿qué nota? ¿qué puede decir de cada uno? Luego de un pequeño análisis,
pruebe descifrarlos con la herramienta jcryptool. 
 
"Jxyj jx zs yjcyt ij qf rfyjwnf xjlzwnifi ij qf nsktwrfhnts.
Qt afrtx f hnkwfw hts itx fqltwnyrtx inxynsytx,
d afrtx f ajw htrt xj inkjwjshnfs frgtx wjxzqyfitx." 
 
"Wwzm rx mr zmkyg hk tn rsxkzvf kimcenvej Ir qs mtnbweeiqbs. Ds biztk e iqswsv iwa 
igw gtttjmzubx vmybvslsy, g ifesy i ijj guub xw honrwwriqns sqhwf wwwatgfvsy." 
 
3. Se tienen sospechas de que en la imagen wargames.jpg alojada
en https://drive.google.com/open?id=1mH4enc2k4GFQLuFEVVznzWK-
3LP1nnE está escondida, de alguna manera, una contraseña, ¿cuál es dicha
clave? 
 
4. Ustedes son los responsables de administrar un sistema de información de una
compañía que tiene como finalidad, compartir en línea información de clientes y
proveedores para ofrecer servicios de aseguramiento de archivos. Las empresas
que contratan con usted deben tener la posibilidad de acceder de forma remota a
los archivos confidenciales que su empresa resguarda a través de modernas
técnicas de protección y cifrado. Proponga un esquema de cifrado y
comunicaciones que permita a sus clientes disponer de la seguridad a partir de los
elementos propuestos en la triada de la información y en combinación con los
elementos de un sistema criptográfico. 
 7

Desarrollo de la actividad evaluativa

Encuentre el mensaje oculto en el siguiente criptograma:

"QTU89GxL3ZU/eZvx5poSKIGYd/CZHL9nQSeYgMVXylJtzzogpoSrfdoPIXHoWZ7O
ii8bVUfLtxTDfITvLlez0A=="

Imagen 1. Mensaje oculto en el criptograma

Haciendo uso de la utilidad de la herramienta de desencriptación RSA de

https://8gwifi.org/ se pudo descifrar con éxito el mensaje: Estamos por terminar

2. Analice los siguientes fragmentos de un mismo texto cifrado con dos algoritmos
clásicos, ¿qué nota? ¿qué puede decir de cada uno? Luego de un pequeño análisis, pruebe
descifrarlos con la herramienta jcryptool
 8

Imagen 2. Mensaje oculto en el criptograma

3. Se tienen sospechas de que en la imagen wargames.jpg alojada

en https://drive.google.com/open?id=1mH4enc2k4GFQLuFEVVznzWK-
3LP1nnE está escondida, de alguna manera, una contraseña, ¿cuál es dicha
clave? 

Imagen 3. Informacion de la imagen

 9

Inicialmente esta foto se pasó por varios filtros para detectar inicialmente si es
encontraba algo escondido, abriéndola con Office se jugó con el brillo, la
saturación, también en mapa de bits con aplicaciones básicas como Paint guardar
la imagen con menos bits y no se encontró resultados.

Algunas aplicaciones en la red se instalaron, pero sin resultados positivos, algunas

aparecían como visor de Windows, pero no cargaban.

Se encontró una aplicación en línea llamada Visor de Metadatos de imagen de

Jeffrey y en esta ocurrió que la foto original analizada nos dio paso a otra foto con
el nombre “Shall we play a game” y al analizarla nos dio como resultado otros
metadatos y al volver a guardar dicha foto y volverla analizarla nos dio una última
figura en forma de juego, que al volverse analizar nos arrojó otros resultados de
metadatos.

Imagen 4. Analisis de metadatos

Ahora al realizar un clic derecho sobre la foto, se le dio guardar como… y se volvió a
analizar con la aplicación:
 10

4. Ustedes son los responsables de administrar un sistema de información de una

compañía que tiene como finalidad, compartir en línea información de clientes y
proveedores para ofrecer servicios de aseguramiento de archivos. Las empresas que
contratan con usted deben tener la posibilidad de acceder de forma remota a los archivos
confidenciales que su empresa resguarda a través de modernas técnicas de protección y
cifrado. Proponga un esquema de cifrado y comunicaciones que permita a sus clientes
disponer de la seguridad a partir de los elementos propuestos en la triada de la
información y en combinación con los elementos de un sistema criptográfico. 

La empresa Z para acceder de manera remota a la información a los archivos

confidenciales de manera segura de acuerdo con la triada de la información seria
mediante la aplicación de las siguientes técnicas de protección y cifrado de la
información:

Inicialmente cada empresa se identificará con un CA y una clave única con la cual podrá
desencriptar la información que le envíen sus contratitas, quienes a su vez tendrán que
realizar aprobación de documentos mediante uso de firma digital.

La empresa Z tendrá un dominio para configurar los roles de seguridad, deberá crear un
dominio de autenticación llamado HTTP, cuyo sistema operativo de todos los aliados
sería Windows, en el cual la identidad de un usuario puede ser verificada en la base de
datos de usuarios local o remota (pero en un servidor Windows)

Imagen 5. Implementacion de AD Servers. Fuente: https://docs.microsoft.com/

 11

Autenticación del usuario

Cliente se realiza cifrado de la contraseña del usuario mediante algoritmo hash de

resumen y la contraseña va encriptada, de esta manera se verifica la integridad y para
enviar información de archivos de manera cifrada. La contraseña se calcula el algoritmo y
se compara con el algoritmo Hash entrante con el resultado del hash que venía si son
iguales se presume íntegro el mensaje, de esta manera se hace la validación se crea el
usuario y se encriptada la contraseña, la cual se registra en una base de datos de
contraseñas encriptadas. Entonces el mensaje enviado por el usuario una vez llega al
servidor se valida si la contraseña es igual a la guardada en el servidor, si es igual se
permite el acceso de lo contrario el acceso es denegado.

Comprobación de Firma digital

La firma digital es una tecnología que permite integrar la identidad del firmante con un
documento electrónico, acreditando que este asume como propia la información que está
firmando. La firma digital tiene la misma validez legal que la firma manuscrita según lo
estipulado en la ley 527 de 1999, por lo tanto, es importante tener en cuenta que para
seguridad de la información esta debe ser certificada ante un ente acreditado. Teniendo en
cuenta que el certificado de firma digital contiene datos que acreditan la identidad del
titular del certificado ante terceros, tiene asociado un par de llaves (llave pública y llave
privada), posee un periodo de vigencia implícito, es emitido y firmado por una Autoridad
Certificadora reconocida como tal que garantiza que el titular del certificado es quien
dice ser.

El Certificado de Firma Digital contiene la siguiente información:

- Código identificador único del certificado.

- Identificación de la Autoridad Certificadora que lo emitió.
- Firma digital de la Autoridad Certificadora
- Identidad del titular del certificado.
- Dirección de correo electrónico del titular.
- La llave pública del titular del certificado.
- Periodo de validez del certificado.

Por lo tanto, no es solo escanear la firma, sino que debe estar certificada; de esta manera
se asegura que todo documento que entre compañías se transfiera y este firmado cumplen
con los mecanismos de cifrado y autenticidad, teniendo en cuenta que la firma digital se
obtiene a partir de la llave privada que identifica de manera univoca al firmante, esta
llave privada corresponde a la llave publica vinculada a un certificado digital. El
certificado digital avala que la llave privada es válida al momento de firmar y acredita
que el firmante es quien dice ser; cuando se firma digitalmente un documento se crea un
resumen cifrado que se adhiere al documento original, este resumen es la firma digital y
 12

permanece adjunto al documento hasta tanto no se efectúe ningún cambio. De esta

manera las empresas podrán aprobar documentos mediante firma digital, teniendo en
cuenta que no puede ser copiada ni falsificada, ni trasladada a otro documento.

Imagen 6. Comprobacion de firma digital. Fuente: https://www.wikipedia.org/

Cifrado de extremo a extremo

El cifrado de extremo a extremo se hace necesario que las claves sólo se encuentren en
los equipos origen y destino, la clave no debe viajar de un extremo a otro. El mensaje que
envié la empresa deberá estar encriptado, por ejemplo; una de las empresas quiere validar
el pago de las facturas solicita el link para acceder cuando la empresa XY envía el MSI lo
envía cifrado y cuando el contratista lo recibe este lo desbloquea usando su clave de
acuerdo con su CAI d. Instalación de software para administración centralizada de todas
las claves y políticas de seguridad de la información La empresa podrá comprar un
software SafeNet ProtectFile que ofrece:
 Protección centrada en datos
 13

 Cifrado granular a nivel de archivos y fólderes a lo largo del ciclo de vida de la

información.
 Algoritmos de cifrado comprobados
 Proporciona un cifrado confiable de todos sus archivos de datos y llaves de
autenticación, usando algoritmos de cifrado comprobados.
 Acceso controlado
 Asegura la conformidad con regulaciones y reduce riesgos estableciendo políticas
para separar deberes administrativos. Instalación remota
 Goce de una activación rápida y costo-eficiente en entornos tanto grandes como
pequeños, utilizando la vía remota y silenciosa para la instalación y la interface de
script.
 14

Dominio de autenticación HTTP

Un dominio de autenticación es un grupo de parámetros relacionados con la autenticación

de usuarios en la interfaz web, estos parámetros pueden modificarse en la página Servidor
> Parámetros del servidor > Seguridad de la consola HTTP. Inicio de sesión de
superusuario: HTTPAdminName "nombre" especifica el inicio de sesión del superusuario
del administrador del Servidor de despliegue de sistema operativo para poder acceder a
todos los parámetros de configuración de sistema operativo del servidor. Sólo hay un
inicio de sesión de superusuario. Contraseña de superusuario: NetPassword "serie"
especifica la contraseña utilizada por el administrador principal del Servidor de
despliegue de sistema operativo; esta contraseña se utiliza para proteger los archivos del
servidor de accesos remotos no autorizados. Nuevo rol de seguridad: HTTPRole
"nombre" {Members "lista_series" AllowPages "lista_series" AllowGroups
"lista_series"} permite que los nuevos miembros accedan a la interfaz web especificando
qué páginas están disponibles para los mismos y qué grupos de administración pueden
gestionar dichos nuevos miembros.

Imagen 7. Dominio de autenticacion HTTP. Fuente: https://www.ibm.com

 15

Conclusion.

Como hemos visto en la historia de la criptografía, los criptógrafos crean nuevos cifrados
que son irrompibles y los criptoanalistas intentan descifrarlos. Cualquier algoritmo que
crea texto cifrado y si contiene una frecuencia de texto sin formato, no se considera
seguro.

La gestión de claves también es un aspecto muy importante de la criptografía que la

mayoría de las organizaciones pasan por alto. La clave debe almacenarse de manera
segura y aún debe ser accesible de manera fácil cuando sea necesario. Además, la
administración centralizada de claves ayuda a aplicar políticas de cifrado comunes en
todos los dispositivos y datos.

“CIFRAR TODO” no es la visión correcta y razonable, además, no se puede considerar el

cifrado como una solución única para todos los problemas de seguridad, sino que debe
basarse en la evaluación de riesgos y la prioridad.
 16

Lista de referencias

1.  Menezes, Van Oorschot, A. P. (1996). «1». Handbook of Applied

Cryptography (en inglés). CRC Press. pp. 4. ISBN 0-8493-8523-7. Consultado el
13 de enero de 2018.
2. ↑ On the NSA. Matthew Green. Asistente de investigación de la Universidad de
Johns Hopkins
3. ↑ Saltar a:a b c d Rolf Oppliger,"Ssl and Tls: Theory and Practice". Artech House 2009
4. ↑ Junju Shikata, "Unconditional security"
5. ↑ Saltar a:a b c d Bart Preenel,"Cryptographic Primitives for Information
Authentication - State of the Art". Katholieke Universiteit Leuven
6. ↑ G. Hanaoka et all,"Unconditionally Secure Anonymous Encryption and Group
Authentication"
7. ↑ Neri Merhav, "The Shannon Cipher System with a Guessing Wiretapper". IEEE
TRANSACTIONS ON INFORMATION THEORY, VOL. 45, NO. 6,
SEPTEMBER 1999
8. ↑ Bart Preneel, "Cryptographic Primitives for Information Authentication -State
of the Art", Katholieke Universiteit Leuven
9. ↑ Stefan Wolf,"Unconditional Security in Cryptography", Swiss Federal Institute
of Technology.Zürich