Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
La criptografía es una herramienta muy útil cuando se desea tener seguridad informática, ya que se
Con la criptografía se pueden garantizar las propiedades de integridad y confidencialidad, pero hay
que saber cómo utilizarla. Para ello, es importante tener claros los conceptos básicos que están
detrás de los sistemas criptográficos modernos. Estos conceptos van desde entender qué es la
EM
cifrado y conocer cómo se conforman los documentos digitales, como firmas y sobres digitales.
ES
IN
INESEM
1 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Objetivos
criptografía.
EM
ES
IN
INESEM
2 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Mapa Conceptual
EM
ES
IN
INESEM
3 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
EM
ES
IN
INESEM
4 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
EM
ES
IN
INESEM
5 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Presentación
[[[Elemento Multimedia]]]
EM
ES
IN
INESEM
6 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
La palabra criptología proviene de las palabras griegas Kryto y logos y significa estudio de lo
oculto. Una rama de la criptología es la criptografía, que se ocupa del cifrado de mensajes. Esta se
basa en que el emisor emite un mensaje en claro, que es tratado mediante un cifrador con la ayuda
Este texto cifrado, por medio del canal de comunicación establecido, llega al descifrador que
convierte el texto cifrado, apoyándose en otra clave, para obtener el texto en claro original. Las dos
EM
sistema de cifrado utilizado.
Sistemas de cifrado
claves entre el emisor y el receptor ya que ambos deben usar la misma clave. Por lo tanto se
tiene que buscar también un canal de comunicación que sea seguro para el intercambio de la
IN
clave. Es importante que dicha clave sea muy difícil de adivinar, ya que hoy en día los
ordenadores pueden adivinar claves muy rápidamente. Por ejemplo, el algoritmo de cifrado
"DES" usa una clave de 56 bits, lo que significa que hay 72 mil billones de claves posibles.
Actualmente ya existen ordenadores especializados que son capaces de probar todas ellas en
cuestión de horas. Hoy por hoy se están utilizando ya claves de 128 bits que aumentan el
espectro de claves posibles (2 elevado a 128), de forma que aunque se uniesen todos los
También son llamados sistemas de cifrado de clave pública. Este sistema de cifrado usa
dos claves diferentes. Una es la clave pública, que se puede enviar a cualquier persona, y
otra que se llama clave privada, que debe guardarse para que nadie tenga acceso a ella. Para
INESEM
7 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
enviar un mensaje, el remitente usa la clave pública del destinatario para cifrar el mensaje.
Una vez que lo ha cifrado, solamente con la clave privada del destinatario se puede descifrar,
ni siquiera el que ha cifrado el mensaje puede volver a descifrarlo. Por ello, se puede dar a
conocer perfectamente la clave pública para que todo aquel que se quiera comunicar con el
compuesto de dos números primos muy grandes. Para cifrar un mensaje, el algoritmo de
cifrado usa ese compuesto para cifrar el mensaje. Para descifrar el mensaje, el algoritmo de
descifrado requiere conocer los factores primos, y la clave privada tiene uno de esos factores,
EM
con lo que puede fácilmente descifrar el mensaje.
Es fácil, con los ordenadores de hoy en día, multiplicar dos números grandes para conseguir
un número compuesto, pero es muy difícil la operación inversa. Dado ese número compuesto,
se debe factorizar para conocer cada uno de los dos números. Mientras que 128 bits se
consideran suficiente en las claves de cifrado simétrico, y dado que la tecnología de hoy en
ES
día se encuentra muy avanzada, se recomienda en este caso que la clave pública tenga un
mínimo de 1024 bits. Para un ataque de fuerza bruta, por ejemplo, sobre una clave publica
de 512 bits, se debe factorizar un número compuesto de hasta 155 cifras decimales.
Es el sistema de cifrado que usa tanto los sistemas de clave simétrica como el de clave
asimétrica. Funciona mediante el cifrado de clave pública para compartir una clave para el
cifrado simétrico. En cada mensaje, la clave simétrica utilizada es diferente, por lo que, si un
atacante pudiera descubrir la clave simétrica, solo le valdría para ese mensaje y no para los
restantes. Tanto PGP como GnuPG usan sistemas de cifrado híbridos. La clave simétrica es
cifrada con la clave pública, y el mensaje saliente es cifrado con la clave simétrica, lo cual
descifrar la clave simétrica y acto seguido usa la clave simétrica para descifrar el mensaje.
INESEM
8 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
2. Teoría de la información
La teoría de la información surgió a finales de la segunda guerra mundial, en los años cuarenta.
En esta época se buscaba utilizar los canales de comunicación de manera más eficiente, mandando
así una cantidad de información por un determinado canal, así como medir su capacidad. Esta teoría
Esta teoría es el resultado de trabajos comenzados en la década 1910 por Andrei A. Markovi, a
quien le siguió Ralp V. L. Hartley en 1927, quien fue el precursor del lenguaje binario. A su vez, Alan
Turing en 1936, realizó el esquema de una máquina capaz de tratar información con emisión de
EM
símbolos y, finalmente, Shanon crea un modelo simple y lineal.
El modelo propuesto por Shannon es un sistema general de la comunicación que parte de una
fuente de información. Esto es, a través de un transmisor se emite una señal, la cual viaja por un
canal, pero a lo largo de su viaje puede ser interferida por algún ruido. La señal sale del canal, la
Elementos de la teoría
INESEM
9 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Fuente
Una fuente es todo aquello que emite mensajes. Por ejemplo, una fuente puede ser una
misma un conjunto finito de mensajes: todos los posibles mensajes que puede emitir dicha
Por la naturaleza generativa de sus mensajes una fuente puede ser aleatoria o determinística.
EM
Por la relación entre los mensajes emitidos una fuente puede ser estructurada o no
estructurada (o caótica).
Existen varios tipos de fuentes. Para la teoría de la información interesan las fuentes
próximo mensaje a emitir por la misma. Una fuente es estructurada cuando posee un cierto
ES
nivel de redundancia. Una fuente no estructurada o de información pura es aquella en que
todos los mensajes son absolutamente aleatorios sin relación alguna ni sentido aparente. Este
tipo de fuente emite mensajes que no se pueden comprimir. Un mensaje para poder ser
comprimido debe poseer un cierto nivel de redundancia, la información pura no puede ser
Mensaje
Un mensaje es un conjunto de ceros y unos. Un archivo, un paquete de datos que viaja por
una red y cualquier cosa que tenga una representación binaria puede considerarse un
mensaje. El concepto de mensaje se aplica también a alfabetos de más de dos símbolos, pero
debido a que tratamos con información digital nos referiremos casi siempre a mensajes
binarios.
Código
Un código es un conjunto de unos y ceros que se usan para representar a un cierto mensaje
representar con el código 1101 usando para codificar la función (NOT). La forma en la cual
INESEM
10 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
menor longitud que el mensaje original. Supongamos que a cualquier mensaje S lo codificamos
usando un cierto algoritmo de forma tal que cada S es codificado en L(S) bits, definimos
Información
EM
entenderse más fácilmente si consideramos el siguiente ejemplo. Supongamos que estamos
leyendo un mensaje y hemos leído "string of ch", la probabilidad de que el mensaje continúe
con "aracters" es muy alta, por lo tanto, cuando realmente leemos "aracters" del archivo la
predecir que era lo que iba a ocurrir. La ocurrencia de mensajes de alta probabilidad de
ES
aparición aporta menos información que la ocurrencia de mensajes menos probables. Si luego
de "string of ch" leemos "imichurri" la cantidad de información que recibimos es mucho mayor.
IN
INESEM
11 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
La criptografía es una herramienta muy útil cuando se desea tener seguridad informática. Puede
ser también entendida como un medio para garantizar las propiedades de confidencialidad,
Con la criptografía se pueden garantizar las propiedades de integridad y confidencialidad, pero hay
que saber cómo usarla. Para ello, es importante tener claros los conceptos básicos que están detrás
EM
de los sistemas criptográficos modernos.
Estos conceptos van desde entender qué es la criptografía, cómo está clasificada, entender el
funcionamiento básico de algunos sistemas de cifrado y conocer cómo se forman los documentos
información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no
autorizados.
[[[Elemento Multimedia]]]
Gracias a la propiedad de no repudio o irrefutabilidad se garantiza la participación de las partes en
una comunicación. Se puede comprobar que los mensajes han sido enviados, garantiza que la
persona que envía el mensaje no puede negar que es el emisor del mismo y, al mismo tiempo, el
INESEM
12 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
El sellado de tiempo confiable es el proceso de llevar, de manera segura, la cuenta del tiempo
significa que nadie—ni siquiera el dueño del documento—debiese ser capaz de cambiarlo una vez
que ha sido guardado debido a que la integridad de aquel que realizó el sellado de tiempo nunca
La criptografía 1
EM
Comenzar Actividad
INESEM
13 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Como se adelantó en puntos anteriores, la criptografía simétrica solo utiliza una clave para cifrar
y descifrar el mensaje, que tiene que conocer el emisor y el receptor previamente. Y, precisamente,
este es su punto débil, ya que la comunicación de las claves entre ambos sujetos es más fácil de
EM
ES
Para que un algoritmo de clave simétrica sea fiable debe cumplir con lo siguiente:
IN
Si conocemos el texto en claro y el cifrado, se debe tardar más y gastar más recursos en
obtener la clave, que el posible valor derivado de la información sustraída (texto en claro).
Se debe tener en cuenta, que los algoritmos criptográficos son públicos, por lo que su fortaleza debe
depender de su complejidad interna y de la longitud de la clave empleada para evitar los ataques de
fuerza bruta. Es decir, la seguridad del mensaje cifrado debe recaer sobre la clave y nunca sobre el
algoritmo, por tanto, el principal problema que se presenta es la distribución de esta clave a los
distintos usuarios para cifrar y descifrar la información. La misión del emisor y el receptor es
INESEM
14 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Por poner un ejemplo, la máquina Enigma (máquina de cifrado electromecánico que generaba
abecedarios según la posición de unos rodillos que podían tener distintas órdenes y posiciones),
usaba un método simétrico con un algoritmo que dependía de una clave formada por: los rotores o
rodillos que usaba, su orden y la posición de cada anillo, siendo esto lo más básico. Además, existía
un libro de claves que contenía la clave del día y hacía un poco más difícil encontrar la clave.
Otro problema de este tipo de criptografía reside en que las claves secretas a guardar son
administrar bien las claves para evitar equivocaciones. Este problema no se presenta en los
EM
algoritmos asimétricos porque cada usuario tiene una pareja de claves, una pública y otra privada,
independientemente del número de canales seguros que queramos estableces. Únicamente debe
La principal ventaja de los algoritmos simétricos es su velocidad, y, por ello, son muy usados para
el cifrado de grandes cantidades de datos, además de que la seguridad depende solo del secreto de
la clave y los sistemas con un gran espacio de claves son muy seguros. Por el contrario, es
ES
complicado establecer un sistema de distribución y gestión de claves eficiente entre emisor y
Su administración.
Su velocidad.
Se trata de un sistema de cifrado simétrico por bloques de 64 bits, de los que 8 bits se utilizan como
control de paridad (para verificar la seguridad de la clave). Cada uno de los bits de la clave de
paridad (1 cada 8 bits), se utilizan para controlar uno de los bytes de la clave por paridad impar, es
decir, que cada uno de los bits de paridad se ajusta para que tenga un número impar de “1” dentro
del byte al que pertenece. Por lo tanto, la clave tiene una longitud “útil” de 56 bits, es decir, el
INESEM
15 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
algoritmo solo utiliza realmente 56 de los 64 bits, por lo que es posible 256 combinaciones, lo que
64 bits se somete a una permutación inicial, y a continuación se somete a una permutación con
entrada de 8 bits, y otra de sustitución de entrada de 5 bits, todo ello constituido a través de un
EM
Fraccionamiento del texto en bloques de 8 bytes.
respectivamente.
INESEM
16 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
EM
ES
IN
Ventajas
Es uno de los sistemas más empleados y extendidos, por tanto está muy probado.
Inconvenientes
No se permite una clave de longitud variable, por lo que no se puede aumentar la seguridad.
INESEM
17 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
DES ya no es un estándar en la actualidad puesto que en 1999 fue roto por un ordenador.
Este algoritmo fue emitido por el NIST (National Institute of Standards and Technology) en 1999
como una versión mejorada de DES. Se basa en aplicar el algoritmo DES tres veces (de ahí su
EM
nombre), y la clave tiene una longitud de 128 bits. Si se cifra el mismo bloque de datos dos veces con
El 3DES parte de una llave de 128 bits, que es dividida en dos llaves de 64 bits cada una, A y B. Al
recibir los datos, se aplica el algoritmo DES con la llave A, y a continuación se repite el proceso con
la llave B y por último otra vez con la llave A. Este algoritmo aumenta la seguridad del sistema
ES
DES, pero requiere más recursos para el cifrado y el descifrado.
DES-EEE
IN
DES-EDE3
Una clave diferente para cada una de las operaciones de triple DES (cifrado, descifrado,
cifrado).
DES-EEE2 y DES-EDE2
INESEM
18 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Es un algoritmo de cifrado diseñado por Ronald Rivest en 1994. Salió como sustitución del
esquema RC4, que había sido publicado anónimamente en Internet. Al igual que los algoritmos
simétricos anteriores, RC5 opera por bloques, pero a diferencia de otros, en su esquema RC5 tiene
un tamaño variable de bloques (32, 64 o 128 bits), con tamaño de clave (entre 0 y 2040 bits) y
número de vueltas (entre 0 y 255). La combinación sugerida originalmente era: bloques de 64 bits,
Una característica importante es el uso de rotaciones dependientes de los datos; uno de los objetivos
EM
de RC5 era promover el estudio y evaluación de dichas operaciones como primitivas de criptografía.
Las rutinas de cifrado y descifrado pueden ser especificadas en pocas líneas de código, pero la
programación de claves es más complicada. La simplicidad del algoritmo, junto con la novedad de
las rotaciones dependientes de los datos, han hecho de RC5 un objeto de estudio atractivo para los
ES
criptoanalistas.
IN
INESEM
19 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
EM
ES
IN
Ventajas
Rápido.
INESEM
20 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Además, para elevar la efectividad de RC5 en las implementaciones, RFC 2040 define cuatro modos
RC5-cifrador en bloque.
EM
RC5-CBC.
RC5-CBC-relleno+.
RC5-CTS.
Escuela Politécnica Federal de Zúrich, y descrito por primera vez en 1991. Fue propuesto para
reemplazar a DES, y para muchos constituye el mejor y más seguro algoritmo simétrico disponible
en la actualidad.
IN
Estamos ante un algoritmo bastante seguro, y hasta ahora se ha mostrado resistente al criptoanálisis
ataque por la fuerza bruta (2128 combinaciones posibles). Como ocurre con todos los algoritmos
simétricos de cifrado por bloques, IDEA se basa en los conceptos de confusión y difusión, haciendo
XOR.
Aplica una clave de 128 bits sin paridad a bloques de datos de 64 bits, y se usa tanto para cifrar
como para descifrar. Se alternan los datos de entrada en una secuencia de iteraciones
INESEM
21 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
EM
ES
IN
Advanced Encryption Standard (AES) es uno de los algoritmos de cifrado más utilizados y seguros
actualmente disponibles. Es de acceso público, y es el cifrado que la NSA utiliza para asegurar
documentos con la clasificación "top secret". Su historia de éxito se inició en 1997, cuando el NIST
(Instituto Nacional de Estándares y Tecnología) comenzó oficialmente a buscar un sucesor al
envejecimiento del cifrado estándar DES. Un algoritmo llamado "Rijndael", desarrollado por los
criptografistas belgas Daemen y Rijmen, sobresalía tanto en seguridad como en rendimiento y
flexibilidad.
INESEM
22 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
AES-256 finalmente es la longitud de la clave: 128, 192 o 256 bits, todas las mejoras drásticas en
comparación con la clave de 56 bits de DES. A modo de ilustración: El agrietamiento de una clave
AES de 128 bits con un superordenador de última generación tomaría más tiempo que la presunta
edad del universo. Y Boxcryptor incluso utiliza claves de 256 bits. Hasta el día de hoy, no existe un
ataque factible contra AES. Por lo tanto, AES sigue siendo el estándar de cifrado preferido para los
EM
en bloques de datos de 16 bytes. Estas operaciones se repiten varias veces, en cada ronda se calcula
la clave de encriptación y se incorpora a los cálculos. Basado en esta estructura de bloque, el cambio
de un solo bit en la clave o en los bloques de texto, da como resultado un bloque de texto cifrado
completamente diferente.
ES
IN
Ventajas
Inconvenientes
INESEM
23 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Es necesaria una gran cantidad de textos encriptados y gran procesamiento para su análisis.
A cada bloque de texto plano se le aplica la operación XOR con el bloque de cifrado anterior
antes de ser cifrado. De esta forma, cada bloque de texto cifrado depende de todo el texto en
claro procesado hasta este punto. Como no se dispone de un texto cifrado con el que
EM
combinar el primer bloque, se usa un vector de inicialización IV. La desventaja es que el
Se generan bloques de flujo de claves, que son operados con XOR y texto en claro para
obtener el texto cifrado. Al igual que con otras unidades de flujo de cifrado, al intercambiar
ES
un bit en el texto cifrado produce texto cifrado con un bit intercambiado en el texto plano en
Se hace igual que en OFB, pero para producir el keystream cifra el último bloque de cifrado,
en lugar del último bloque del keystream como hace OFB. Un bit erróneo en el texto cifrado
genera 1+64/m bloques de texto incorrectos (siendo m la longitud del flujo en el que se
divide el bloque). El cifrado no puede ser paralelizado, sin embargo el descifrado sí.
El algoritmo serpent es un algoritmo de cifrado simétrico por bloques que quedó finalista en el
concurso Advanced Encryption Standard del NIST, tras Rijndael. Fue diseñado por Ross Anderson,
Eli Biham y Lasr Knudsen, y usa un tamaño de bloque de 128 bits con soporte para claves de
INESEM
24 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
bits. Cada ronda usa 32 copias de la misma S-Box de 4-bit a 4-bit, y se diseñó para que las
operaciones se realizasen en paralelo, usando 32 desplazamientos de 1 bit. Debido a que los S-boxes
tienen que hacer conversiones a una fórmula booleana para la CPU es un algoritmo difícil de
implementar eficientemente.
Seguramente, lo que provocó que no se eligiera este algoritmo en lugar de Rijndael (AES) puede ser
que debido a que el modelo de diseño conservativo empleado lo hace notablemente más lento que el
EM
El algoritmo twofish es un algoritmo de cifrado simétrico por bloques desarrollado por
Counterpane Labs y presentado al concurso del NIST en el que finalmente fue elegido Rijndael
(actual AES), quedando Twofish en tercer lugar detrás de Serpent. Fue diseñado por Bruce
Schneier, John Kelsey, Doug Withing, David Wagner, Chris Hall y Niels Ferguson.
El tamaño de bloque en Towfish es de 128 bits y el tamaño de la clave puede llegar hasta los 256
ES
bits, pudiendo ser estas de 128, 192 y 256 bits. El diseño del algoritmo se basó en el del algoritmo
“Blowfish”, el cual usa tablas internas de datos variables que dependen de la clave, la intención de
Hace uso de operaciones eficientes en procesadores de 32 bits, como en el caso del operador XOR y
IN
se produce una encriptación de los datos en menos de 500 ciclos de reloj por bloque.
Su ejecución se divide en dos partes: una primera parte donde ser prepara la clave (un precálculo
inicial que se puede almacenar en memoria para una mayor velocidad de ejecución) y una segunda
tablas hasta un total de 4168 bytes. La encriptación de los datos transcurre en un bucle de 16
iteraciones, cada una de las cuales consiste en la permutación de una clave y en la sustitución clave-
datos. Todas las operaciones son XOR y sumas de palabras de 64 bits. La única operación extra es la
lectura de datos de cuatro tablas por cada iteración. Hay cuatro S-Box de 4 bits por entrada y 256
Es uno de los algoritmos más rápidos que utiliza bloques fijos, actualmente disponibles, y aunque
INESEM
25 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
EM
diseñadores era la de crear un algoritmo rápido y robusto.
ES
IN
INESEM
26 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
emplea dos llaves diferentes en cada uno de los extremos de la comunicación entre el emisor y el
receptor. Es decir, que usa una clave para cifrar (clave pública) y otra para descifrar (clave privada).
EM
ES
Cada usuario tendrá una clave pública y otra privada. La clave privada tendrá que ser protegida y
IN
guardada por el propio usuario, será secreta y no la debe conocer nadie más. La clave pública será
accesible a todos los usuarios del sistema de comunicación. A partir del conocimiento de la clave
pública o del texto cifrado, no se puede obtener la clave privada. Lo que se cifra con una clave, solo
Cualquiera puede cifrar un mensaje con la clave pública, pero solo el propietario de la clave
Si el propietario de la clave privada cifra con ella un mensaje, cualquiera puede descifrarlo con
Ventajas
INESEM
27 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
un número grande en sus factores primos), logaritmo discreto (obtener el exponente al que
ha sido elevado una base para dar resultado) y mochila tramposa (obtener los sumandos que
Inconveniente
Es la lentitud en la operación del algoritmo, por lo que para solventar dicho inconveniente, suele
EM
hacerse uso del cifrado híbrido.
Requisito 1
ES
Si se conoce el texto cifrado, debe resultar muy difícil o imposible extraer el texto en claro y
la clave privada.
Requisito 2
IN
Si se conoce el texto en claro y el cifrado, debe resultar más costoso obtener la clave privada
Requisito 3
Si los datos han sido cifrados con la clave pública, solo debe existir una clave privada capaz
de descifrarlo, y viceversa.
INESEM
28 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Un certificado digital con las características de seguridad necesarias, debe utilizar las más
EM
modernas y estables metodologías que la criptografía pueda ofrecer. Es por ello por lo que
La posee únicamente su dueño. También se le llama porción privada y junto con la Clave
Pública (o porción pública) conforma un par de claves único.
Clave Pública
IN
La eficacia de las operaciones de cifrado y firma digital basadas en criptografía de clave pública solo
está garantizada si se tiene la certeza de que la clave privada de los usuarios solo es conocida por
dichos usuarios y que la pública puede ser dada a conocer a todos los demás usuarios con la
seguridad de que no exista confusión entre las claves públicas de los distintos usuarios.
Para garantizar la unicidad de las claves privadas se suele recurrir a soportes físicos tales como
claves. Además, las tarjetas criptográficas suelen estar protegidas por un número personal solo
INESEM
29 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
conocido por su propietario que garantiza que, aunque se extravíe la tarjeta, nadie que no conozca
Por otra parte, para asegurar que una determinada clave pública pertenece a un usuario en concreto
se utilizan los certificados digitales. Un certificado digital es un documento electrónico que asocia
puede contener otros atributos para, por ejemplo, concretar el ámbito de utilización de la clave
pública, las fechas de inicio y fin de la validez del certificado, etc. El usuario que haga uso del
EM
certificado podrá, gracias a los distintos atributos que posee, conocer más detalles sobre las
Existen diversos formatos de certificados, pero el más extendido es el X.509, definido por la norma
del ITU-T X.509 (versión 3), parte del servicio de directorio diseñado por ISO (International
Elemento objetivo-soporte
En un sentido negativo, el soporte no es escrito y no hay una elaboración manual del autor. En un
sentido positivo, la firma es cualquier símbolo o procedimiento de seguridad usado por una persona
INESEM
30 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
que incluye medios electrónicos, digitales, magnéticos, ópticos o similares. Puede advertirse,
entonces, que la firma electrónica no necesariamente debe ir anexa a un documento, como ocurre en
Elemento subjetivo
Los símbolos asentados en medios electrónicos tienen un propósito específico: se hacen para
identificar a la persona e indicar su aprobación del contenido de un mensaje electrónico. Con estos
dos elementos hay firma electrónica pero no firma digital, pues para que se le asigne los efectos de
EM
Esfera de control del titular
Siendo un elemento de imputación de autoría, es lógico que se requiera que esté bajo el control del
titular, ya que solo él es quien decide que declaraciones de voluntad son suyas. Por ello, es necesario
autoría. La firma digital permite al receptor de un mensaje comprobar que el origen es auténtico, así
como si el mensaje ha sido modificado. Falsificar una firma digital es casi imposible a no ser que se
Proceso de firma: el emisor cifra los datos con la clave privada y lo manda al receptor.
Verificar la firma: el receptor descifra los datos usando la clave pública de el emisor y
Entre los algoritmos de cifrado asimétrico para firma digital tenemos el DSA (Digital Signature
Algorithm), que permite verificar la autenticidad de un mensaje, dada una clave pública y la firma
del mensaje. También permite generar claves pública y privada, así como generar firmas de datos
Fue propuesto por Instituto Nacional de Normas y Tecnología de los Estados Unidos para su uso
INESEM
31 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Estándar de Firma Digital (DSS), y se hizo público el 30 de agosto de 1991. Este algoritmo sirve para
firmar y no para cifrar información. Otro algoritmo basado en la pareja de claves pública, privada y
RSA es uno de los sistemas de cifrado (encriptación) asimétricos más exitosos en la actualidad. Fue
descubierto en 1973 por la agencia de inteligencia británica y recibió la clasificación de alto secreto.
El algoritmo fue descrito en 1977 y es propiedad de los criptólogos Ron Rivest, Así Shamir y Leonard
Adleman, del MIT (Instituto tecnológico de Massachusetts), de hecho RSA son las iniciales de sus
apellidos. El algoritmo fue patentado por MIT en 1983 y fue revelado en 1997.
EM
La seguridad de RSA en sí, se basa principalmente en el problema matemático de factorización de
enteros. Un mensaje que está a punto de ser cifrado es tratado como un número grande. Al encriptar
el mensaje, este se eleva a la potencia de la clave y lo que queda es dividido por un producto fijo de
dos números primos, que actualmente son del orden de 10200. Al repetir el proceso con la clave en
el receptor, el texto simple o claro puede volver a ser recuperado. El mejor método conocido
problemas. Por el contrario, RSA es mucho más lento que DES y otros algoritmos criptográficos.
IN
Comenzar Actividad
INESEM
32 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Proceso de firma: el emisor cifra los datos con la clave privada y lo manda al
receptor.
EM
5.3. Protocolos de intercambio de claves
como protocolos de intercambio de claves (key exchange protocols) son protocolos criptográficos en
los que se establece una secuencia de pasos entre dos o más participantes a través de la cual los
ES
participantes se ponen de acuerdo en el valor de una información secreta compartida. A la
información secreta compartida se le suele llamar clave debido a que esa información se suele usar
Protocolo de Diffie-Hellman
IN
Es un protocolo de establecimiento de claves entre partes que no han tenido contacto previo,
como medio para acordar claves simétricas que serán empleadas para el cifrado de una sesión
(establecer clave de sesión). Siendo no autenticado, sin embargo, provee las bases para varios
protocolos autenticados.
Provee negociación en un solo paso y autenticación unilateral (del receptor hacia el emisor) si
INESEM
33 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Protocolo MTI/A0
Empleando dos mensajes y sin requerir firmas, proporciona claves de sesión variables en el
Protocolo STS
Es una variante de tres pasos de la versión básica que permite el establecimiento de una clave
secreta compartida entre dos partes con mutua autenticación de entidades y mutua
EM
identidades de A y B pueden protegerse contra el adversario E. El método emplea firmas
digitales.
Tanto PGP como GnuPG usan sistemas de cifrado híbridos. La clave de sesión es cifrada con
la clave pública, y el mensaje saliente es cifrado con la clave simétrica, todo combinado
IN
clave de sesión y, acto seguido, usa la clave de sesión para descifrar el mensaje.
Creado por Philip R. Zimmerman fue, por así decirlo, el primer programa que utilizó este
sistema, el cual resultó muy popular. No solo cifra, descifra y firma, sino que también
mantiene y gestiona las claves públicas de nuestros contactos y lo hace todo mucho más
fácil.
Como curiosidad, al tratarse de un sistema de cifrado tan potente que incluso los servicios
criptografía era considerado como munición de arma. De esta manera querían evitar que
INESEM
34 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
pudiera ser exportado fuera del país y se extendiera por el mundo. Obviamente al final todo
se acabó filtrando y ahora todo el mundo puede hacer servir este tipo de cifrado.
Es el homólogo de PGP. Pero tiene una diferencia fundamental: es libre, de código abierto y
libre de patentes. Cuando se trata de seguridad es muy importante conocer que ocurre
detrás de nuestras narices. Al ser PGP un programa de código cerrado muchos temen que
pueda tener alguna puerta trasera o que inyecte algún tipo de código para que los servicios
secretos como la NSA puedan acabar descifrando lo que ciframos con ese programa. Nadie lo
EM
sabe y, en principio, los dos programas son igual de seguros.
Como curiosidad, PGP viene instalado por defecto en probablemente todas las distribuciones
populares de Gnu/Linux. Por lo que si estáis utilizando una de estas lo más probable es que
en Aplicaciones > Accesorios > Contraseñas y claves de Cifrado, que permite utilizar GPG de
INESEM
35 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
desencriptación. Trabaja en combinación con una llave (un número, palabra, frase, o contraseña)
DES
El algoritmo de encriptación DES trabaja con claves simétrica, fue desarrollado en 1977 por
EM
la empresa IBM, se basa en un sistema monoalfabético, con un algoritmo de cifrado
el texto a cifrar se somete a una permutación, con bloque de entrada de 64 bits (o múltiplo
de 64), para posteriormente ser sometido a la acción de dos funciones principales, una
función de permutación con entrada de 8 bits y otra de sustitución con entrada de 5 bits, en
encriptación, mientras que los 8 restantes son de paridad, y se usan para la detección de
errores en el proceso.
IN
DES ya no es estándar y fue crackeado en Enero de 1999 con un poder de cómputo que
Actualmente se utiliza el Triple DES con una clave de 128 bits y que es compatible con el
DES visto anteriormente. Este nuevo algoritmo toma una clave de 128 bits y la divide en dos
C2. Y al resultado se le vuelve a aplicar un tercer cifrado con la primera clave, C1.
RC5
Este sistema es el sucesor de RC4, que consistía en hacer un XOR al mensaje con un vector
INESEM
36 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
que se supone aleatorio y, que se desprende de la clave, mientras que RC5 usa otra
operación, llamada dependencia de datos, que aplica shifts a los datos para obtener así el
mensaje cifrado.
IDEA
Trabaja con bloques de texto de 64 bits, operando siempre con números de 16 bits usando
EM
fácil y rápido de programar. Hasta ahora no ha sido roto nunca, aportando su longitud de
clave una seguridad fuerte ante los ataques por fuerza bruta (prueba y ensayo o
diccionarios).
Diffie-Hellman
IN
Este algoritmo de encriptación de Whitfield Diffie y Martin Hellman fue el punto de partida
Su importancia se debe sobre todo al hecho de ser el inicio de los sistemas asimétricos, ya
que en la práctica solo es válido para el intercambio de claves simétricas. Debido a esta
Internet, como SSL (Secure Socket Layer) y VPN (Virtual Private Network).
discreto). Uniendo estos dos conceptos se define la potencia discreta de un número como Y =
inversa, el logaritmo discreto, no tiene una solución analítica para números grandes.
INESEM
37 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
RSA
RSA es el más conocido y usado de los sistemas de clave pública, y también el más rápido de
ellos. Presenta todas las ventajas de los sistemas asimétricos, incluyendo la firma digital,
simétricos, por ser más rápidos. Se suele usar también en los sistemas mixtos para encriptar
grandes. Para factorizar un número el sistema más lógico consiste en empezar a dividir
EM
sucesivamente este entre 2, entre 3, entre 4,..., y así sucesivamente, buscando que el
resultado de la división sea exacto, es decir, de resto 0, con lo que ya tendremos un divisor
del número.
clave privada, y una vez generada esta conviene protegerla mediante un algoritmo
ES
criptográfico simétrico.
IN
INESEM
38 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
También conocidas como funciones hash, huellas de mensaje o huella digital, son utilizadas
para generar una cadena de longitud fija o resumen de mensaje a partir de una cadena de entrada
de longitud variable o mensaje de longitud variable. Es decir, una función hash toma como entrada
una cadena de bits (o bytes) arbitrariamente larga, produciendo un resultado de tamaño fijo.
Las propiedades que deben tener estas funciones o algoritmos para ser considerados
EM
No debe ser posible averiguar el mensaje de entrada basándose solo en su resumen, es decir, el
Debe ser computacionalmente imposible encontrar dos mensajes que generen el mismo
resumen.
ES
Un uso típico de las funciones hash es la firma digital. Dado un mensaje m, se podría firmar el
mensaje en sí mismo. Sin embargo, las operaciones de clave pública de la mayoría de los esquemas
de firmas digitales, son bastantes caros en términos de computación. Así que, n lugar de calcular la
firma en sí del mensaje m, a m se le aplica una función hash para calcular su hash h y se firma dicho
IN
h (en lugar de m). El resultado de h es típicamente entre 128 y 1024 bits, en comparación con varios
miles o millones de bits propios para el mensaje m. Firmar h por lo tanto es mucho más rápido que
firmar m directamente.
Como mencionamos anteriormente, una función hash mapea una entrada m a una salida h de
tamaño fijo. Los tamaños típicos de salida van de 128 a 1024 bits, y aunque puede haber un límite de
longitud para la entrada, a fines prácticos la entrada puede ser arbitrariamente larga. Hay varios
INESEM
39 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Requisito 1
El más simple es que debe ser una función de un solo sentido. Es decir, es una función que se
Requisito 2
El requisito del que se hace más mención es la resistencia a la colisión. Una colisión se
produce entre dos entradas diferentes m1 y m2 cuando h(m1) = h(m2). Por supuesto, cada
función hash tiene un número infinito de este tipo de colisiones, puesto que hay un número
EM
infinito de posibles valores de entrada y solo un número finito de posibles valores de salida.
De esta manera, una función hash nunca está libre de colisiones. El requisito de resistencia a
la colisión, meramente señala que, si bien existen colisiones, no pueden ser encontrados, y
esto es lo que permite el uso de estas funciones en los esquemas de firma digital. Sin
embargo, hay funciones hash resistentes a colisiones que son totalmente inadecuados para
muchas otras aplicaciones, tales como la obtención de claves, funciones unidireccionales, etc.
ES
Algunas funciones hash
MD5. Message-Digest Algorithm 5, es un algoritmo de 128 bits. Fue diseñado por el profesor Ronald
Rivest del MIT y desarrollado en 1991 como reemplazo del algoritmo MD4. A pesar de su amplia
IN
difusión actual, la sucesión de problemas de seguridad detectados desde que, en 1996, Hans
Dobbertin anunciase una colisión hash, plantea una serie de dudas acerca de su uso futuro.
La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos
hexadecimal.
Debido al descubrimiento de métodos sencillos para generar colisiones hash en este algoritmo,
muchos investigadores recomiendan sustituirlo por otras alternativas como SHA-1 o RIPEMD-160.
Un ejemplo de codificación de un mensaje (la cadena Future Space) con función hash MD5 sería:
e80e75b6a5ff8baa3f8552db74bebb73
SHA. Secure Hash Algorithm, es una familia de funciones hash de cifrado publicado por NIST. La
primera versión data de 1993, y su segunda versión llamada SHA-1 fue publicada dos años más
INESEM
40 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
tarde. Posteriormente se ha publicado SHA-2 en 2001 (formada por diversas funciones: SHA-224,
SHA-256, SHA-384 y SHA-512), y la más reciente, SHA-3, que fue seleccionada en una competición
El algoritmo toma como entrada mensajes de longitud máxima de 264 Bytes que son procesados en
SHA-1. Es parecido al MD5, pero tiene un bloque de 160 bits en lugar de 128 como el MD5. La
función de compresión es más compleja lo que hace a SHA-1 más lento que MD5, puesto que el
número de pasos son 80 frente a los 64 en MD5. SHA-1 es, sin embargo, más robusto y seguro lo que
EM
hace totalmente apto para VPNs, por ejemplo.
Un ejemplo de codificación de un mensaje (la cadena Future Space) con función hash SHA-1 sería:
21e0cab9aff583b5e1f1be974632fc170b3f729
SHA-2. Las principales diferencias con SHA-1 radican en su diseño y en que los rangos de salida
ES
han sido incrementados. El más seguro de todos estos algoritmos, es el que mayor salida tiene, el
SHA-512, que tiene 80 rondas, como SHA-1 pero se diferencia de este en:
Tamaño del bloque, tamaño de la palabra y tamaño interno que es el doble que SHA-1.
IN
Como ocurre con todos los cifrados hash, cuanto más seguro, más lento su procesamiento y uso,
SHA es una familia de funciones hash de cifrado publicado por NIST. La primera
versión data de 1993, y su segunda versión llamada SHA-1 fue publicada dos años más
INESEM
41 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
EM
ES
IN
INESEM
42 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
gestión de claves de IPsec (Internet protocol security). IKE (intercambio de claves de Internet)
sustituye la asignación y renovación manual de claves en una red IPv4. IKE permite al administrador
Los administradores del sistema usan IPsec para configurar redes IPv4 seguras. El Daemon
momento del arranque. El Daemon se puede configurar. El administrador configura los parámetros
EM
en un archivo de configuración. Después de configurar los parámetros, no se requiere ninguna
Puede haber muchos protocolos diferentes de intercambio de claves, cada uno con propiedades de
seguridad diferentes. Sin embargo, un marco común que es necesario para acordar el formato de
ISAKMP puede aplicarse sobre cualquier protocolo de transporte. Todas las implementaciones de
ISAKMP deben incluir la capacidad de enviar y recibir en el puerto UDP 500. Además, se debe
IN
permitir en el destino el puerto UDP 4500, si el origen de la conexión atraviesa un NAT (Network
INESEM
43 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
9. Herramientas de cifrado
PGP
Actualmente, PGP es la herramienta más popular y fiable para mantener la seguridad y privacidad
en las comunicaciones, tanto para pequeños usuarios como para grandes empresas.
Funcionamiento de PGP
EM
Anillos de Claves
Un anillo es una colección de claves almacenadas en un archivo. Cada usuario tiene dos
anillos, uno para las claves públicas y otro para las claves privadas.
Cada una de las claves, además, posee un identificador de usuario, fecha de expiración,
versión de PGP y una huella digital única hexadecimal suficientemente corta que permita
ES
verificar la autenticidad de la clave.
Codificación de Mensajes
Como ya se sabe, los algoritmos simétricos de cifrado son más rápidos que los asimétricos.
IN
Por esta razón PGP cifra primero el mensaje empleando un algoritmo simétrico con una clave
la llave pública del destinatario. Dicha clave es extraída convenientemente del anillo de claves
Nótese que para que el mensaje pueda ser leído por múltiples destinatarios basta con que se
Decodificación de Mensajes
Cuando se trata de decodificar el mensaje, PGP simplemente busca en la cabecera las claves
públicas con las que está codificado, pide una contraseña para abrir el anillo de claves
INESEM
44 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Nótese que siempre que se quiere hacer uso de una clave privada, habrá que suministrar la
tendría que averiguar dicha contraseña para descifrar los mensajes. No obstante, si el anillo
Compresión de Archivos
EM
manera fortalecer la seguridad del cifrado ante el criptoanálisis que explotan las redundancias
del texto plano. PGP utiliza rutinas de compresión de dominio público creadas por Gaily-Adler-
signatura y cifrado eligiendo entre los estudiados. Las signaturas se realizan mediante MD5,
SHA-1 y/o RIPE-MD6. Los algoritmos simétricos utilizados pueden ser IDEA, CAST y TDES y
GPG
GPG significa Gnu Private Guard. Es una herramienta utilizada comúnmente para el cifrado y
Introducción
nuestro mail o mensaje, quien va a leer nuestro correo y que no va a ser leído por nadie más en el
INESEM
45 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Como ya hemos visto, existen dos grandes programas para firmar y encriptar mails: GPG y PGP.
Nosotros nos vamos a centrar en GPG porque es una herramienta libre, distribuida bajo licencia GPL
GPG vio su primera versión, la 1.0.0, en 1999. Su carácter de herramienta libre hace que sea
frecuentemente incluida en sistemas operativos como Linux, FreeBSD, OpenBSD, etc. En Windows
no viene incluida de serie pero existe una portabilidad a este sistema operativo que nos podemos
bajar desde la página principal del proyecto GPG, o bien desde el mirror, de
EM
https://gnupg.org/download/
Cómo funciona
GPG utiliza pares de claves asimétricas, que son individualmente generadas para cada usuario. Este
par de claves se compone de una clave pública y una clave privada. Para que los usuarios puedan
ES
comprobar nuestra identidad, deberemos subir nuestra clave pública a un servidor de claves al
efecto. La generación de estas claves se puede hacer utilizando frontend gráficos, o desde la línea de
El primer paso sería ubicarnos en el directorio donde tenemos instalado el ejecutable de GPG y
Durante el proceso de generación se nos irán haciendo diversas preguntas, como el tipo de cifrado
naturalmente nuestro nombre y apellidos, así como una dirección de correo, que es lo que va a
constituir el USERID. Nos va a bastar con aceptar las opciones que ya vienen por defecto, ya que en
Al generar la clave se nos va a preguntar por una frase de paso, es decir, una contraseña. Esta
contraseña nos va a asegurar que nadie más que nosotros mismos va a poder usar esta clave GPG,
por lo que es importante elegir una contraseña fuerte y difícil de adivinar, pero que sea lo
suficientemente clara para nosotros como para no olvidarla, puesto que si esto sucede no podremos
volver a utilizar más la clave GPG relacionada. También es importante tener una copia aparte de
nuestra clave privada, para que en caso de desastre informático o pérdida de datos podamos
INESEM
46 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
recuperarla.
Bien, ya tenemos generado nuestro par de claves, pero para que el resto de la gente pueda
comprobar nuestros mensajes firmados, tenemos que darles nuestra clave pública. Esto se puede
EM
Servidores de claves hay muchos, pero todos ellos están interconectados, es decir, subiendo la clave
CryptoLoop
Cryptoloop es una herramienta que puede encriptar y desencriptar una partición del disco entero.
ES
Configura en una vía, Cryptoloop puede cifrar un sistema entero. En cualquier configuración,
Cryptoloop tiene como ventaja que los archivos están ocultos a los usuarios no autorizados.
Comenzar Actividad
Anillos de Claves
arrastra...
Codificación de Mensajes
arrastra...
Decodificación de Mensajes
INESEM
47 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
arrastra...
Comprensión de Archivos
arrastra...
arrastra...
EM
Las signaturas se realizan mediante MD5, SHA-1 y/o RIPE-MD6.
Como ya se sabe, los algoritmos simétricos de cifrado son más rápidos que los asimétricos. Por
esta razón PGP cifra primero el mensaje empleando un algoritmo simétrico con una clave
generada aleatoriamente (clave de sesión) y posteriormente codifica la clave haciendo uso de
la llave pública del destinatario.
Es una colección de claves almacenadas en un archivo. Cada usuario tiene dos anillos, uno
para las claves públicas y otro para las claves privadas. Cada una de las claves, además, posee
un identificador de usuario, fecha de expiración, versión de PGP y una huella digital única
hexadecimal suficientemente corta que permita verificar la autenticidad de la clave.
INESEM
48 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Recuerda
La palabra criptología proviene de las palabras griegas krypto y logos y significa estudio de lo
oculto. Una rama de la criptología es la criptografía, que se ocupa del cifrado de mensajes.
La criptografía es una herramienta muy útil cuando se desea tener seguridad informática. Puede ser
también entendida como un medio para garantizar las propiedades de confidencialidad, integridad y
disponibilidad de los recursos de un sistema.
En el sistema de cifrado se usan los sistemas de clave simétrica como el de clave asimétrica.
Los sistemas de cifrado simétrico son aquellos que utilizan la misma clave para cifrar y descifrar un
documento.
La teoría de la información surgió a finales de la segunda guerra mundial, en los años cuarenta.
El cifrado híbrido es aquel que combina la criptografía de clave pública o asimétrica con la
criptografía simétrica.
EM
Un certificado digital con las características de seguridad necesarias debe utilizar las más modernas
y estables metodologías que la criptografía pueda ofrecer. Es por ello que internacionalmente se
acepta a la criptografía asimétrica como la metodología más adecuada para la generación de un
certificado digital.
Los protocolos de establecimiento de claves también conocidos como protocolos de intercambio de
claves, son protocolos criptográficas en los que se establece una secuencia de pasos entre dos o más
participantes a través de la cual los participantes se ponen de acuerdo en el valor de una
información secreta compartida.
El protocolo de intercambio de claves de internet automatiza la gestión de claves de IPsec. IKE
ES
sustituye la asignación y renovación manual de claves en una red IPv4. IKE permite al administrador
gestionar un mayor número de redes seguras.
IN
INESEM
49 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Preguntas de autoevaluación
Los sistemas de cifrado simétrico son aquellos que utilizan la misma clave para cifrar
y descifrar un documento.
Los sistemas de cifrado simétrico son aquellos que utilizan diferente clave para cifrar
y descifrar un documento.
No tiene definición.
Es el sistema de cifrado que usa tanto los sistemas de clave simétrica como el de clave
asimétrica.
IN
La criptografía es…
INESEM
50 / 51
[AFO022720] Herramientas, Técnicas de Ciberseguridad y Sistemas SIEM
[MOD018744] Herramientas, técnicas de ciberseguridad y sistemas SIEM
[UDI105796] Criptografía
Verdadero.
Falso.
EM
Indica si la siguiente afirmación es verdadera o falsa: “Los algoritmos
criptográficos son una función matemática no usada en los procesos de
encriptación y desencriptación”.
Verdadero.
ES
Falso.
IN
INESEM
51 / 51