Servicios Seguros

Terminología

• Ataque a la seguridad: Cualquier acción que compromete

la seguridad de la información.
• Mecanismo o medida de seguridad: Mecanismo
diseñado para detectar, prevenir o recuperarse de un
ataque a la seguridad
• Servicio de Seguridad: Un servicio que mejora la
seguridad de los sistemas que procesan los datos y de las
transferencias de información entre dichos sistemas
– Un servicio de seguridad utiliza uno o más mecanismos de
seguridad
 Objetivos de la Seguridad

• Confidencialidad: La información está protegida y no

puede accederla un sujeto no autorizado
– Algunos mecanismos: control de acceso, cifrado,
ocultación de recursos
• Integridad: Protección de la modificación no autorizada
de los datos
– Mecanismos de prevención: bloquean el acceso no
autorizado
– Mecanismos de detección: indican cuando la
información no es fiable
 Objetivos de la Seguridad

• Disponibilidad: Los recursos pueden usarse y están

operativos durante el tiempo necesario a pesar de
ataques o fallos.

• Autenticidad: Seguridad con respecto a quien creó ó

envió el mensaje
Ataques a la seguridad
 Ataques a la seguridad

• Interrupción: Afecta a a la disponibilidad.

• Interceptación: Afecta a la confidencialidad de los

datos.

• Modificación: Afecta a la integridad de los datos.

• Fabricación: Afecta a la autenticidad de los datos.

 Tipos de Ataques - Ataques pasivos

• Interceptación del mensaje

• Difíciles de detectar: no alteran los datos. Se deben
prevenir
• Se previenen mediante cifrado de los datos
• Tipos:
– Divulgación del contenido de un mensaje
– Análisis de tráfico
 Tipos de Ataques - Ataques Activos
• Modificación de los datos transmitidos o creación de
transmisiones falsas
• Fáciles de detectar, difíciles de prevenir
• Se previenen mediante técnicas de autenticación
• Tipos:
• Enmascaramiento: Suplantación de una entidad
• Repetición de los mensajes: Retransmisión de
mensajes para efectos no autorizados
• Modificación de los mensajes
• Denegación de un servicio: Impide el uso normal de las
facilidades de comunicación.
 Cifrado

• Método básico de encriptación

• Antecedentes
– Sustitución: Cada letra o grupo de letras se
reemplaza por otra letra o grupo de letras para
disfrazarla.

– Transposición: Se reordenan las letras pero no se

disfrazan
 Tipos de Cifrado

• Cifrado de clave única ó simétrico

– Cifrado convencional donde el emisor y el receptor comparten
la clave de cifrado / descifrado
– Inconveniente: Distribución y protección de las claves

• Cifrado de clave pública o asimétrico

– Maneja dos claves, una para el cifrado y otra para el
descifrado. Una de las claves es privada de la parte que
genera el par de claves y la otra es pública
 Cifrado Simétrico
• El modelo de cifrado

C=Ek(P): Texto Cifrado P=Dk(C): Descifrado de C

Dk(Ek(P))=P
 Algoritmos de Cifrado Simétrico

• Cifrado en bloque

– Procesan una entrada de texto nativo en bloques

de tamaño fijo

– Producen un bloque de texto cifrado de igual

tamaño para cada bloque de texto nativo

– Ejemplos de algoritmos: DES, TDEA, AES, IDEA,

etc
 Data Encryption Standard
(DES)
La clave es codificada en 64 bits y se
compone de 16 bloques de 4 bits,
generalmente anotadas de k1 a k16.

Fuente:http://es.ccm.net/contents/130-
introduccion-al-cifrado-mediante-des

F = Feistel Function
 Algoritmos de Clave Pública
(Cifrado Asimetrico)

BOB ALICE
 Algoritmos de Clave Pública
(Cifrado Asimetrico)
RSA (Rivest, Shamir y Adleman)
• Los mensajes enviados usando el algoritmo RSA se
representan mediante números

• Su funcionamiento se basa en la generacion de claves que

son el producto de dos números primos grandes (mayores
que 10100) elegidos al azar para conformar la clave de
descifrado.

• La seguridad de este algoritmo radica en que no hay maneras

rápidas conocidas de factorizar un número grande en sus
factores primos utilizando computadoras tradicionales.
 Algoritmos de Clave Pública
(Cifrado Asimetrico)
El sistema RSA crea sus claves de la siguiente forma:
• Se buscan dos números primos lo suficientemente grandes: p y q
(de entre 100 y 300 dígitos).
• Se obtienen los números n = p * q y Ø = (p-1) * (q-1). Se busca
un número e tal que no tenga múltiplos comunes con Ø.
• Se calcula d = e-1 mod Ø, con mod = resto de la división de
números enteros.
• Ya con estos números obtenidos, n es la clave pública y d es la
clave privada. Los números p, q y Ø se destruyen. También se
hace público el número e, necesario para alimentar el algoritmo.
• Mas detalle en:
http://neo.lcc.uma.es/evirtual/cdd/tutorial/presentacion/rsa.html
 Autenticación

• Protección contra ataques activos

• Un mensaje es auténtico si es el original y proviene de
la fuente que dice ser
• La autenticación de mensajes permite al receptor
verificar que el mensaje es auténtico:
– El contenido del mensaje no ha sido alterado
– Proviene del origen auténtico
– El mensaje no ha sido artificialmente retrasado
 Autenticacion - Firma digital
(Con Cifrado Asimetrico)
• El cifrado de clave pública (Cifrado asimétrico) se puede utilizar
para autenticación de mensajes
• Si A quiere enviar un mensaje a B y necesita que B esté seguro
que es A quien lo envía
– A cifra el mensaje con su clave privada
– Cuando B recibe el texto cifrado lo descifra con la clave pública de A
demostrando así que el mensaje fue cifrado por A
• Así, el mensaje cifrado completo sirve como firma digital
– Nadie más tiene la clave privada de A y por lo tanto nadie más ha
podido crear el texto cifrado
– Es imposible alterar el mensaje sin acceder a la clave privada de A
 Autenticacion - Firma digital
(Con Cifrado Asimetrico)

ALICE
BOB
Autenticacion + Cifrado
Autenticacion / Firma Digital sin Cifrado
(Función Hash)
• Autenticación sin cifrado
• Acepta mensajes de tamaño variable y
produce etiquetas de tamaño fijo
(message Digest o hashes)
• Propiedades
– Es deterministico (mismo resultado
siempre)
– Es rapido
– Imposible recuperar mensajes desde
su valor hash
• Ejemplos: SHA-1, MD5, RIPEMD-160
Ejemplo SHA-1
 Certificados Digitales
• Un certificado digital es un documento digital mediante el cual un
tercero confiable (una autoridad de certificación) garantiza la
vinculación entre la identidad de un sujeto o entidad y una clave
pública.

• La existencia de firmas en los certificados aseguran por parte del

firmante del certificado (una autoridad de certificación, por
ejemplo) que la información de identidad y la clave pública
perteneciente al usuario o entidad referida en el certificado digital
están vinculadas.
 Certificados Digitales
• Los formatos de certificados más comúnmente empleados se
rigen por el estándar UIT-T X.509.
• El certificado debe contener al menos lo siguiente:
– La identidad del propietario del certificado (identidad a certificar),
– La clave pública asociada a esa identidad,
– La identidad de la entidad que expide y firma el certificado,
– El algoritmo criptográfico usado para firmar el certificado.
• Los dos primeros apartados son el contenido fundamental del
certificado
• Los otros dos son datos imprescindibles para poder validar el
certificado.
• Esta información se firma de forma digital por la autoridad
emisora del certificado. De esa forma, el receptor puede verificar
que esta última ha establecido realmente la asociación.
Autoridades de Certificación

IdentTrust es usado por el 41% de todos los websites y tiene

El 46,3% de todo el mercado de autoridades de certificados de
SSL

Fuente:
https://w3techs.com/technologies/overview/ssl_certificate
Marzo 2022
 SSL (Secure Sockets Layer )
• Desarrollado por Netscape para permitir
confidencialidad y autenticación en Internet.

• SSL opera como una capa adicional entre Internet y

las aplicaciones, esto permite que el protocolo sea
independiente de la aplicación, siendo posible utilizar
FTP, Telnet y otras aplicaciones además de HTTP.
 Pasos para establecer una
comunicación segura SSL
1. Primero se debe hacer una solicitud de seguridad.
Después de haberla hecho, se deben establecer los
parámetros que se utilizarán para SSL.→ SSL
Handshake.

2. Una vez se haya establecido una comunicación segura,

se deben hacer verificaciones periódicas para
garantizar que la comunicación sigue siendo segura a
medida que se transmiten datos.

3. Luego que la transacción ha sido completada, se

termina SSL.
Pasos - Establecer Comunicación Segura SSL
Ej: Versión
SSL o TLS,
CipherSuite
soportada

Secret key
usada luego
para cifrado
simétrico

Clave
distribuida
usando
cifrado
asimétrico

Fuente: https://www.ibm.com/support/knowledgecenter/en/SSFKSJ_7.1.0/com.ibm.mq.doc/sy10660_.htm
 Configuración de SSL
• El paquete que usaremos para trabajar SSL es
OpenSSL

• Primero se debe verificar si esta instalado

rpm -q openssl

• Si no se encuentra instalado, se procede a hacerlo:

yum install openssl
 Creación de los certificados y las
claves
1.Generación de la clave privada
openssl genrsa -out ca.key 2048

2.Generación de la petición de certificado (Certificate

Signing Request = CSR)
openssl req -new -key ca.key -out ca.csr

3.Generación del certificado

openssl x509 -req -days 365 -in ca.csr -signkey
ca.key -out ca.crt
 Ubicación de los archivos generados
Los archivos generados (ca.key, ca.csr, ca.crt) se deben
copiar en las siguientes ubicaciones:

ca.crt en /etc/pki/tls/certs/
ca.key y ca.csr en /etc/pki/tls/private/

IMPORTANTE: Asegurese de darle permisos de lectura

y escritura de estos archivos solo a root
chmod 600 /etc/pki/tls/certs/ca.crt
chmod 600 /etc/pki/tls/private/ca.key
chmod 600 /etc/pki/tls/private/ca.csr
 Referencias

Andrew S. Tanenbaum. Redes de

Computadoras. 2003