Proceso de encriptación simétrica

Los algoritmos simétricos utilizan la misma clave

precompartida para cifrar y descifrar datos, un método
también conocido como encriptación de clave privada.
Por ejemplo, Alice y Bob viven en diferentes ubicaciones y
desean intercambiar mensajes secretos entre sí a través
del sistema de correo. Alice desea enviar un mensaje
secreto a Bob.
El cifrado de clave privada utiliza un algoritmo simétrico.
Como se ilustra por las claves en la figura, Alice y Bob
tienen claves idénticas para un único candado. El
intercambio de claves sucedió antes de enviar un mensaje
privado. Alice escribe un mensaje privado y lo coloca en
una caja pequeña que cierra con el candado. Le envía la
caja a Bob. El mensaje está seguro dentro de la caja
mientras esta se abre camino a través del sistema de
oficina postal. Cuando Bob recibe la caja, usa la clave
para abrir el candado y recuperar el mensaje. Bob puede
utilizar la misma caja y el mismo candado para enviar una
respuesta secreta a Alice.
Si Bob desea hablar con Carol, necesita una nueva clave
precompartida para que esa comunicación sea secreta
para Alice. Con cuantas más personas Bob desee
comunicarse de manera segura, más claves deberá
manejar.
Tipos de criptografía

Los tipos más comunes de criptografía son cifrados por

bloques y cifrados de flujo. Cada método se diferencia en
la forma de agrupar bits de datos para cifrarlo.
Cifrado por bloques
Los cifrados por bloques transforman un bloque de texto
simple, de longitud fija en un bloque común de texto
cifrado de 64 o 128 bits. El tamaño del bloque es la
cantidad de datos cifrados en cualquier momento. Para
descifrar este texto cifrado, aplique la transformación
inversa al bloque de texto cifrado, utilizando la misma
clave secreta.
Los cifrados por bloques producen generalmente los
datos de salida que son mayores que los datos de
entrada, porque el texto cifrado debe ser un múltiplo del
tamaño del bloque. Por ejemplo, el Estándar de cifrado de
datos (DES) es un algoritmo simétrico que cifra los
bloques en fragmentos de 64 bits mediante una clave de
56 bits. Para lograr esto, el algoritmo de bloque toma un
fragmento de datos por vez, por ejemplo, 8 bytes por
fragmento, hasta que todo el bloque está completo. Si hay
menos datos de entrada que uno bloque completo, el
algoritmo agrega datos artificiales o espacios en blanco,
hasta que utiliza los 64 bits completos, como se muestra
en la Figura 1 para los 64 bits de la izquierda.
Cifrado de flujo
A diferencia de los cifrados por bloque, los cifrados de
flujo cifran el texto simple un byte o un bit por vez, como
se muestra en la Figura 2. Piense en los cifrados de flujo
como el cifrado de bloques con el tamaño de bloque de un
bit. Con un cifrado de flujo, la transformación de estas
unidades más pequeñas de texto simple varía, según
cuándo se las encuentra durante el proceso de
encriptación. Los cifrados de flujo pueden ser mucho más
rápidos que los cifrados en bloque, y no aumentan
generalmente el tamaño del mensaje, ya que pueden
cifrar un número arbitrario de bits.
El A5 es un cifrado de flujo que proporciona privacidad de
voz y cifra las comunicaciones de telefonía celular.
También es posible utilizar el DES en el modo de cifrado
de flujo.
Los sistemas criptográficos complejos pueden combinar el
bloque y el flujo en el mismo proceso.

Algoritmos de encriptación simétrica

Los numerosos sistemas de encriptación usan la

encriptación simétrica. Algunos de los estándares de
encriptación comunes que usan la encriptación simétrica
incluyen los siguientes:
3DES (DES triple): el Estándar de encriptación digital
(DES) es un cifrado de bloques simétrico con un tamaño
de bloque de 64 bits que utiliza una clave de 56 bits. Se
necesita un bloque de texto simple de 64 bits de entrada y
genera un bloque de 64 bits de texto cifrado. Opera
siempre en bloques de igual tamaño y utiliza las
permutaciones y las sustituciones en el algoritmo. Una
permutación es una manera de organizar todos los
elementos de un conjunto.
El DES triple cifra los datos tres veces y utiliza una clave
diferente para al menos una de las tres veces,
proporcionando un tamaño de clave acumulativo de 112 a
168 bits. El 3DES es resistente a ataques, pero es más
lento que DES.
El ciclo de encriptación 3DES es el siguiente:
1. Datos cifrados por el primer DES
2. Datos descifrados por el segundo DES
3. Datos vueltos a cifrar por el tercer DES
El proceso inverso descifra el texto cifrado.
IDEA: el Algoritmo internacional de cifrado de datos
(IDEA) utiliza bloques de 64 bits y claves de 128 bits.
IDEA realiza ocho rondas de las transformaciones en
cada uno de los 16 bloques que se producen al dividir
cada bloque de 64 bits. IDEA fue el reemplazo de DES y
ahora la PGP (Pretty Good Privacy) la utiliza. El PGP es
un programa que proporciona privacidad y autenticación
para la comunicación de datos. La protección de
privacidad GNU (GPG) es una versión de PGP gratuita y
con licencia.
AES: el Estándar de encriptación avanzada (AES) tiene
un tamaño de bloque fijo de 128 bits con un tamaño de
clave de 128, 192 o 256 bits. El Instituto Nacional de
Normas y Tecnología (NIST) aprobó el algoritmo AES en
diciembre de 2001. El gobierno de los EE. UU. utiliza el
AES para proteger la información clasificada.
El AES es un algoritmo sólido que utiliza claves de mayor
longitud. El AES es más rápido que DES y 3DES, lo que
brinda una solución para las aplicaciones de software así
como también el uso de hardware en los firewalls y los
routers.
Otros cifrados por bloque incluyen Skipjack (desarrollados
por la NSA), Blowfish y Twofish.
El proceso de encriptación asimétrica

La encriptación asimétrica, también denominada cifrado

de clave pública, utiliza una clave para la encriptación que
es diferente de la clave utilizada para el descifrado. Un
delincuente no puede calcular la clave de descifrado
según el conocimiento de la clave de cifrado, y viceversa,
en una cantidad de tiempo razonable.
Si Alice y Bob intercambian un mensaje secreto mediante
la encriptación de clave pública, utilizan un algoritmo
asimétrico. Esta vez, Bob y Alice no intercambian claves
antes de enviar los mensajes secretos. En cambio, Bob y
Alice poseen un candado separado con las claves
correspondientes separadas. Para que Alice envíe un
mensaje privado de Bob, primero debía ponerse en
contacto con él y solicitarle que le envíe su candado
abierto. Bob envía el candado pero mantiene la clave.
Cuando Alice recibe el candado, escribe su mensaje
secreto y lo coloca en una caja pequeña. También coloca
su candado abierto en la caja pero mantiene la clave.
Luego cierra la caja con el candado de Bob. Cuando Alice
cierra la caja, ya no puede ingresar ya que no tiene una
clave para ese candado. Le envía la caja a Bob y, como
esta viaja a través del sistema de correo, nadie puede
abrirlo. Cuando Bob recibe la caja, puede usar su clave
para abrir la caja y recuperar el mensaje de Alice. Para
enviar una respuesta segura, Bob pone su mensaje
secreto en la caja, junto con su candado abierto y cierra la
caja con el candado de Alice. Bob envía por correo la caja
asegurada a Alice.
Por ejemplo, en la Figura 1, Alice solicita y obtiene la
clave pública de Bob. En la Figura 2, Alice utiliza la clave
pública de Bob para cifrar un mensaje con un algoritmo
acordado. Alice envía el mensaje cifrado a Bob y este
luego usa su clave privada para descifrar el mensaje,
como se muestra en la Figura 3.

Algoritmo de encriptación asimétrica

Los algoritmos asimétricos utilizan fórmulas que cualquier

persona puede buscar. El par de claves no relacionadas
es lo que hace que estos algoritmos sean seguros. Los
algoritmos asimétricos incluyen los siguientes:
RSA (Rivest-Shamir-Adleman): utiliza el producto de dos
números primos muy grandes con una longitud igual de
entre 100 y 200 dígitos. Los navegadores utilizan RSA
para establecer una conexión segura.
Diffie-Hellman: proporciona un método de intercambio
electrónico para compartir la clave secreta. Los protocolos
seguros, como Secure Sockets Layer (SSL), Transport
Layer Security (TLS), Shell seguro (SSH) y Protocolo de
seguridad de Internet (IPsec), utilizan Diffie-Hellman.
ElGamal: utiliza el estándar del gobierno de EE. UU. para
las firmas digitales. Este algoritmo es gratuito ya que
nadie posee la patente.
Criptografía de curva elíptica (ECC): usa curvas
elípticas como parte del algoritmo. En EE. UU., la Agencia
de Seguridad Nacional utiliza la ECC para la generación
de firma digital y el intercambio de claves.

Administración de claves

La administración de claves incluye generación,

intercambio, almacenamiento, uso y reemplazo de claves
utilizadas en un algoritmo de encriptación.
La administración de claves es la parte más difícil del
diseño de un sistema criptográfico. Muchos sistemas
criptográficos han fallado por errores en los
procedimientos de administración de claves. En la
práctica, la mayoría de los ataques a los sistemas
criptográficos se realizan en el nivel de administración de
claves, en lugar del algoritmo criptográfico en sí mismo.
Como se muestra en la figura, existen varias
características esenciales de administración de claves
que deben considerarse.
Dos términos utilizados para describir las claves son:
 Longitud de las claves: también denominado tamaño
de la clave, es la medida en bits.
 Espacio de clave: es la cantidad de intentos que una
longitud de clave específica puede generar.
A medida que aumenta la longitud de la clave, el espacio
aumenta de manera exponencial. El espacio de clave de
un algoritmo es el conjunto de todos los valores posibles
de la clave. Las claves más largas son más seguras; sin
embargo, también requieren más recursos. Casi todos los
algoritmos tienen algunas claves débiles en su espacio de
clave que permiten a un delincuente descifrar las claves a
través de un acceso directo.

Comparación de los tipos de encriptación

Es importante comprender las diferencias entre los
métodos de encriptación simétricos y asimétricos. Los
sistemas de encriptación simétrica son más eficientes y
pueden manejar más datos. Sin embargo, la
administración de claves con sistemas de encriptación
simétrica es más problemática y más difícil de manejar. La
criptografía asimétrica es más eficiente en la protección
de la confidencialidad de pequeñas cantidades de datos y
su tamaño y velocidad permiten que sea más segura para
tareas como el intercambio de claves electrónicas que es
una pequeña cantidad de datos en lugar de cifrar grandes
bloques de datos.
Mantener la confidencialidad es importante para los datos
almacenados y los datos en movimiento. En ambos
casos, la encriptación simétrica resulta favorecida debido
a su velocidad y la simplicidad del algoritmo. Algunos
algoritmos asimétricos pueden aumentar
considerablemente el tamaño del objeto cifrado. Por lo
tanto, en el caso de los datos en movimiento, use la
criptografía de clave pública para intercambiar la clave
secreta y luego la criptografía simétrica para garantizar la
confidencialidad de los datos enviados.

Aplicaciones
Existen numerosas aplicaciones para los algoritmos
simétricos y asimétricos.
El token de generación de contraseñas de única vez es un
dispositivo de hardware que utiliza la criptografía para
generar una contraseña única. Una contraseña de única
vez es una cadena de caracteres numérica o alfanumérica
generada automáticamente que autentica al usuario para
una transacción de solo una sesión. El número cambia
cada 30 segundos aproximadamente. La contraseña de la
sesión aparece en una pantalla y el usuario introduce la
contraseña.
La industria de pago electrónico utiliza 3DES. Los
sistemas operativos utilizan DES para proteger los
archivos de usuarios y los datos del sistema con
contraseñas. La mayoría de los sistemas de archivos de
cifrado, como NTFS, utilizan AES.
Cuatro protocolos utilizan algoritmos de clave asimétrica:
 Intercambio de claves por Internet (IKE), que es un
componente fundamental de las redes privadas
virtuales (VPN) de IPsec.
 Secure Sockets Layer (SSL), un medio para
implementar la criptografía en un navegador web.
 Shell seguro (SSH), un protocolo que proporciona una
conexión de acceso remoto segura a un dispositivo de
red.
 Pretty Good Privacy (PGP), un programa informático
que proporciona privacidad y autenticación
criptográfica para mejorar la seguridad de las
comunicaciones por correo electrónico.
Una VPN es una red privada que utiliza una red pública,
generalmente Internet, para crear un canal de
comunicación seguro. Una VPN conecta dos terminales
como dos oficinas remotas mediante Internet para crear la
conexión.
Las VPN utilizan IPsec. IPsec es un conjunto de
protocolos desarrollado para lograr servicios seguros en
las redes. Los servicios de IPSec permiten la
autenticación, la integridad, el control de acceso y la
confidencialidad. Con IPsec, los sitios remotos pueden
intercambiar información cifrada y verificada.
Los datos en uso son una preocupación cada vez mayor
para muchas organizaciones. Cuando se encuentran en
uso, los datos ya no tienen cualquier protección porque el
usuario necesita abrir y cambiar los datos. La memoria del
sistema contiene los datos en uso y puede contener los
datos confidenciales como la clave de cifrado. Si los
delincuentes comprometen los datos en uso, tendrán
acceso a los datos almacenados y a los datos en
movimiento.