HABILITACION PROFESIONAL

MONOGRAFIA FINAL

ENCRIPTACION

Prof. Ing. Wilo Carpio Jos Daniel Muccela Legajo: 11-20196-1

Universidad Tecnolgica Nacional Facultad Regional Tucumn

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

ENCRIPTACION
Introduccin Uno de los puntos que siempre estuvo en discusin sobre el almacenamiento de informacin en computadoras digitales, fue la seguridad de los mismos frente a posibles miradas indiscretas, desde que la primera computadora hizo su aparicin en alguna organizacin militar o gubernamental la necesidad de resguardar la informacin all almacenada se hizo evidente. Para proteger la informacin almacenada se suele recurrir a las denominadas tcnicas de encriptacin, la encriptacin consiste bsicamente en convertir un mensaje en otro de forma tal que el mensaje original solo pueda ser recuperado por un determinado grupo de personas que saben como "desencriptar" (descifrar) el mensaje codificado. El esquema bsico de encriptacin implica la utilizacin de un password (contrasea) para encriptar (cifrar) de forma tal que solo puedan desencriptar el mensaje aquellos que conocen el password utilizado, esto trae varios problemas como veremos ms adelante. Con el advenimiento de Internet y la masificacin absoluta de las comunicaciones la privacidad de los datos se ha vuelto un tema muy en boga en los ltimos tiempos, originando todo tipo de problemas que involucran desde el ms simple e inocente usuario de Internet hasta las ms altas organizaciones gubernamentales del planeta. Sobre seguridad Los tipos de seguridad se dividen en: o fsica: contra daos materiales (descomposturas, fallas de energa, incendios, robo, etc.) y o lgica: control de datos a fin de reducir el riesgo de transferencia, modificacin, prdida o divulgacin de los datos. Entre las formas mas conocidas de mantener la seguridad tanto fsica como lgica cabe mencionar las siguientes: Clasificacin del personal, Sistema de control de acceso, Sistemas de proteccin de acceso de usuarios (contraseas), Sistemas de proteccin de tiempo de espera en la terminal, Encriptacin, Autenticacin (firmas), Restriccin del tiempo de acceso, Deteccin y expulsin de intrusos, Asignacin de propiedades, Mtodos de respaldo, Control de virus, Control de calidad del software, Monitoreo y auditoria de sistemas.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

En el presente trabajo tratamos el tema de la Encriptacin como medio de seguridad. Qu es la encriptacin? La encriptacin es el proceso en el cual los datos a proteger son traducidos a algo que parece aleatorio y que no tiene ningn significado (los datos encriptados o cifrados). El proceso inverso se llama desencriptacin en el cual los datos encriptados son convertidos nuevamente a su forma original. La base sobre la que se sustenta la encriptacin es la criptografa. La palabra criptografa deriva del griego kryptos (ocultar) y grafos (escribir) Criptologa es el arte de transformar un mensaje claro en otro sin sentido alguno. Este mensaje debe ser reversible en el otro extremo igual que si no hubiera sucedido nada. Criptografa significa literalmente escritura secreta, es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo sea en absoluto, para despus devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo. Esta es la definicin ms correcta de la criptografa. Resea Histrica Desde tiempos inmemorables siempre se busco, la forma de cifrar o ocultar un mensaje mediante tcnicas reversibles, pero que a su vez volvan los textos ininteligibles. Cifrar un texto o mensaje, conlleva a que si este es interceptado por alguien, el texto no pueda ser descifrado sin la clave correcta. Los sistemas criptogrficos se han extendido como la plvora en la Red, buenos y malos emplean la criptografa para esconder sus mensajes. Los Crackers ms hbiles, por otro lado, tratan de demostrar que tambin los sistemas criptogrficos ms modernos caen ante ellos. Ya en el antiguo Egipto se emplearon sistemas criptogrficos y prueba de ello son los jeroglficos no estndar escritos en las paredes de las pirmides y algunas tumbas. Esto, data de 4.000 aos atrs y el sistema se basaba en figuras geomtricas y dibujos, que conformaban un mensaje no descifrable. Este sistema, podra ser realmente complejo ya que una forma geomtrica indefinida podra decir muchas cosas y no decir nada. Por otro lado los griegos ya empleaban sistemas criptogrficos, aproximadamente en el ao 500 a.C. Estos empleaban un curioso artilugio llamado scytale que consista en un cilindro alrededor del cual, se enrollaba una tira de cuero. Se escriba un mensaje sobre la tira, y al desenrollarla, se poda ver una ristra de letras, aparentemente sin sentido alguno. Ntese que ya desde esa temprana edad, los sistemas de cifrado se sostenan sobre la base de intercambiar las palabras de los textos, y por tanto se trataban de sistemas de cifrado clsicos, ya que nicamente se necesitaban encriptar mensajes escritos. Julio Cesar tambin empleo un sistema de cifrado durante su reinado. Su sistema se basaba en sustituir la letra a encriptar por otra letra distanciada a 3 posiciones mas adelante. De esta forma se obtenan mensajes ininteligibles y durante su reinado y posterior el sistema nunca fue desencriptado por aquel entonces.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

En el siglo XII, el sabio ingles Roger Bacon, describi diversos mtodos criptogrficos al igual que Gabriel di Lavinde quien invent el sistema Nomemclator, quien public en 1379 una compilacin de sistemas a peticin del Papa Clemente VII. Es bien curioso saber que hasta la propia iglesia tena que echar mano a sistemas criptogrficos. Los sistemas empleados por esas fechas indudablemente se basaban en mtodos clsicos por sustitucin. En 1467 Len Battista Alberti invento el primer sistema criptogrfico polialfabetico y no fue hasta el siglo XVIII, cuando fue descifrado. En 1790 Thomas Jefferson invento su cilindro de transposiciones, que fue ampliamente utilizado durante la segunda guerra mundial por la armada de los Estados Unidos. Pero el sistema no durara mucho, ya que se basaba en un sistema polialfabetico y en 1861 se public la primera solucin generalizada para resolver cifrados polialfabeticos, poniendo fin a 400 aos de silencio. Sin embargo los sistemas criptogrficos no experimentaron ni parada alguna ni mucho menos demora en sus sistemas de cifrado. Las grandes guerras impulsaron la creacin de nuevos sistemas criptogrficos ms potentes y difciles de entender. La maquina Enigma desarrollada por los alemanes a mediados de los 70 fue un duro golpe para el criptoanlisis y sobre todo para los expertos en sistemas criptogrficos. Poco despus de los 70 aparecieron los sistemas criptogrficos denominados modernos. As en 1976 el cdigo DES hizo su aparicin gracias al desarrollo de computadores digitales. A partir de hay los algoritmos y sistemas de criptografa experimentaran un inters ineludible. El sistema DES fue el primero de los sistemas complejos, pero introdujo la clave secreta, que deba, esta, ser muy guardada si se quera mantener la fuerza del sistema, pero ese mismo ao hacan la aparicin estelar Diffie y Hellman, creadores del primer sistema de cifrado basado en claves publicas. Sistemas altamente seguros. Un ao despus Rivert, Shamir y Adelman se sacaban de la manga el sistema criptogrfico de actualidad, el RSA. Un sistema basado en buscar nmeros primos, nada fcil de solucionar. Hasta la fecha el sistema esta siendo empleado por computadores y sistemas de codificacin de canales de televisin. Finalmente, el sistema criptogrfico ms conocido en la red de Internet para todos los cibernautas, es el sistema PGP (Pretty Good Privacy -privacidad bastante buena- aplicacin que permite la encriptacin de datos y mensajes) de Phil Zimmerman, creado en 1991. Sin embargo hay que decir que este sistema criptogrfico, ms que eso, es un programa que rene los sistemas criptogrficos ms fuertes del mercado como el DSS o el de Diffie-Hellman. Pero lo que hace es jugar con ellos y as se obtienen brillantes encriptaciones realmente seguras. Hoy por hoy el sistema objetivo por un gran nmero de Hackers es el mencionado PGP, ya que es el mas ampliamente utilizado por los navegantes. De momento no se ha conocido apertura ninguna de este sistema, sin embargo los nuevos ordenadores del futuro, ponen en manos de Hackers herramientas verdaderamente potentes que acabaran con todos estos sistemas criptogrficos de gran seguridad.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

Donde se aplica? En el mundo de las computadoras la criptografa puede ser utilizada para varias cosas, algunas reas importantes en donde se utiliza la criptografa son: o La encriptacin de informacin 'critica' que debe ser almacenada en computadoras, actos gubernamentales, informaciones secretas, informacin de tarjetas de crdito, nmeros de la seguridad social, correspondencia privada, datos personales, informacin sensitiva de una compaa o empresa, informacin de datos bancarios, etc. o La encriptacin de mensajes enviados a travs de redes, redes locales, redes pblicas e Internet. o La certificacin de identidad de quienes envan mensajes importantes a travs de Internet. o Proteccin de informacin 'delicada' que deba enviarse a travs de Internet como, por ejemplo, nmeros de tarjetas de crdito. o Encriptacin de comunicaciones telefnicas, radiales o televisivas que pueden ser interceptadas. o En la actualidad las industrias manufactureras de dispositivos electrnicos estn implementando en gran medida el uso de llaves de acceso a dichos dispositivos. Tipos de Criptosistemas. Clasificacin de los mtodos Criptosistemas

Mtodos Clsicos

Mtodos Modernos

Mtodos por Sustitucin

Mtodos por Transposicin

Sistemas Simtricos

Sistemas Asimtricos

Mtodos Clsicos Los mtodos clsicos son aquellos que existieron desde siempre y son mtodos desarrollados para cifrar mensajes escritos a mano o en maquinas de impresin. Los mtodos clsicos se basan en la sustitucin de letras por otra y en la transposicin, que juegan con la alteracin del orden lgico de los caracteres del mensaje. As a los mtodos clsicos les han salidos dos formas de cifrado, denominados grupos, que son mtodos por sustitucin y mtodos por transposicin. Los mtodos por sustitucin son aquellos que cambian palabras por otras, esta simple forma de cifrar siempre ha obtenido buenos resultados. Los mtodos por transposicin son aquellos que alteran el orden de las palabras del mismo mensaje.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

Dentro de los mtodos por sustitucin podemos mencionar los siguientes: - Cifrado CESAR (Caesar) o monoalfabtico simple El algoritmo de Cesar, llamado as porque es el que empleaba Julio Cesar para enviar mensajes secretos, es uno de los algoritmos criptogrficos ms simples. Consiste en sumar 3 al nmero de orden de cada letra. De esta forma a la A le corresponde la D, a la B la E, y as sucesivamente. Sustituir A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Por D E F G H I J K LMN O P Q R ST U VW X Y Z C BA De esta manera si por ejemplo usamos el mensaje Habilitacin Profesional, el mensaje resultante quedara de la siguiente manera: KDELLWDFLRP SURIHVLRPD Notar que este algoritmo ni siquiera posee clave, puesto que la transformacin siempre es la misma. Obviamente, para descifrar basta con restar 3 al nmero de orden de las letras del criptograma. Fue el primero que se utiliz del cual se tienen registros. El sistema es monoalfabtico y es realmente muy malo, su nico valor es el valor histrico de haber sido el primero. - Cifrado monoalfabtico general Es un sistema que se basa en sustituir cada letra por otra de forma aleatoria. Esto supone un grado ms de complejidad en el mtodo de cifrado anterior. Un ejemplo seria el siguiente: Sustituir A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Por Z CQ V A J G WNF B U M R H I O D Y X T P E S L K Si usamos el mensaje Habilitacin Profesional, el mensaje resultante quedara de la siguiente forma: ZCWBWXZQWHM IDHJAYWHMZB. - Cifrado por sustitucin polialfabtica Es un mtodo que emplea mas de un alfabeto de sustitucin. Esto es, se emplean varias cadenas de palabras aleatorias y diferentes entre si, para despus elegir una palabra distinta segn una secuencia establecida. Aqu nacen las claves secretas basadas en nmeros. Este sistema es algo ms complejo que los anteriores y a veces resulta difcil descifrar mensajes cuando empleamos ms de diez columnas de palabras aleatorias. Sigamos un ejemplo: Sustituir Por 1/ 2/ 3/ A B FQ GA C C R W O D E A L H V GD F K M Q G H I J K L Z S J MY UY FQ L B HA R PY T M T R X N Y C E O V D J N WV P Q B E D S BM R W K V S T VN T LY U O P F V C Z S W X O N X H Y Z Y Z PG X E K J

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

Con una clave 2-3-1, por ejemplo el mensaje Habilitacin Profesional quedara as: YCQFTJCRFVY DVDMDVFVYGT

Dentro de los mtodos por transposicin podemos mencionar los siguientes: - Cifrado inverso Es quizs una de las formas ms simples de cifrar una imagen y es probablemente reconocida por todos nosotros. Es normal escribir del revs cuando estamos aburridos, pero lo cierto es que este es un sistema de cifrado. La forma de hacerlo es simplemente escribiendo el mensaje al revs. Sigamos con el ejemplo de Habilitacin Profesional. El mensaje resultante queda: LANOISEFORP NOICATILIBAH

- Cifrado en figura geomtrica El mensaje se empieza por escribir siguiendo un patrn preestablecido y se encripta siguiendo una estructura geomtrica basado en otro patrn. Este ltimo patrn puede ser verdaderamente complejo segn la extensin del mensaje escrito y la forma de seguimiento de la lnea. Un ejemplo simple seria el que sigue: Consideremos la frase EL HACKER ESTA AL ACECHO El AL CHO Patrn de cifrado; Mensaje cifrado: HAC KER ESTA ACE

ECALHKAHOACRECEATSE

- Cifrado por filas Consiste en escribir el mensaje en columnas y luego utilizar una regla para reordenarlas. Esta regla elegida al azar ser la clave para cifrar el mensaje. Tambin aqu es importante saber la clave secreta para poder descifrar el mensaje. En esta ocasin el mensaje puede estar fuertemente encriptado si se emplean textos relativamente largos. Un buen ejemplo sencillo es el que sigue: Consideremos nuevamente la frase EL HACKER ESTA AL ACECHO ELHACK ERESTA ALACEC CHO Si la clave es 6 3 1 5 4 2, el mensaje queda: KHECAL AEETSR CAAECL OCH

Notar que los nmeros corresponden a las columnas de la palabra original, as K est en la sexta columna y de ah que la letra E tenga que ser reemplazada por la letra K y as sucesivamente.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

Mtodos Modernos Los mtodos modernos se basan en combinar secuencias de dgitos creados de forma aleatoria con los dgitos del mensaje, mediante puertas lgicas, en el caso de los mdulos PRG sencillos. Otros emplean algoritmos matemticos de gran complejidad para permutar mensajes de cierta longitud de bits. Dentro de los mtodos modernos encontramos dos grandes grupos: Sistemas (o algoritmos) Simtricos y Asimtricos: Los sistemas simtricos, son sistemas de cifrado basados en claves secretas (o tambin llamadas claves privadas), estos, emplean la misma clave para encriptar y desencriptar el mensaje o los datos de control del descodificador. Los algoritmos simtricos se clasifican en algoritmos para bloques de texto o flujo de datos. Los primeros trabajan sobre un grupo o bloque de bytes, en tamaos definidos; los segundos encriptan byte a byte toda la informacin. Los algoritmos ms utilizados son los siguientes: - DES: Adoptado como estndar ANSI en 1977. En una tcnica de cifrado sobre bloques de texto que usa claves de 56 bits. - DESX: variacin del DES; introduce un proceso de encriptado en dos fases que hace prcticamente imposible encontrar la clave. - Triple-DES: Algoritmo DES pero utilizando tres claves distintas. Este algoritmo es el ms utilizado en transacciones en instituciones financieras. - RC2: Sistema de cifrado en bloques adoptado inicialmente por la agencia RSA; admite claves con longitudes entre 1 y 2048 bits. La versin de exportacin limita su uso a claves de 40 bits. Desarrollado por Ronald Rivest. - RC4: Sistema de cifrado de flujo, tambin adoptado por por la agencia RSA; admite claves con longitudes entre 1 y 2048 bits. La versin de exportacin limita su uso a claves de 40 bits. Desarrollado por Ronald Rivest en 1994. - RC5: Sistema de cifrado en bloques adoptado inicialmente por la agencia RSA; admite claves con longitudes entre 1 y 2048 bits. Permite que el usuario vare el tamao del bloque que se encripta en cada paso. Desarrollado por Ronald Rivest. - IDEA (International Data Encription Algorithm): Desarrollado por Xuejia Lay y James Massey. A pesar de que solamente lleva unos aos en uso, es probablemente el mejor algoritmo de bloques existente. Utiliza clave de 128 bits y se cree que es resistente al criptoanlisis. Se encuentra bajo patente de Ascom-Tech, aunque se permite su uso gratuito para aplicaciones no comerciales. - SAFER: Algoritmo diseado por Robert Massey (uno de los creadores de IDEA). Tiene claves de hasta 128 bits y, a pesar de algunas debilidades en la primera versin y de ciertos ataques, parece un algoritmo seguro. Este programa fue desarrollado para la empresa Cylink, que algunos ligan a la no muy querida Agencia de Seguridad Nacional norteamericana (NSA); por ello, hay quien no se fa.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

- CAST (Carlisle Adams y Stafford Tavares): tiene estructura similar a la de Blowfish. Parece ser un buen algoritmo, aunque tampoco lleva el tiempo suficiente como para haber sido atacado hasta la saciedad. De momento, sus posibilidades son buenas. Se conocen ataques criptoanalticos contra la versin de clave 64 bits, aunque distan mucho de ser eficaces (requieren 2^17 textos sin cifrar y 2^48 clculos diferentes). No se conocen ataques contra la versin de 128 bits. Ha sido patentado por Entrust Technologies, quienes permiten el uso libre de este algoritmo. - Blowfish: creado por Bruce Schneier, autor del libro Applied Criptography (considerado por muchos como la "biblia" en cuestiones de criptografa). Utiliza claves de hasta 448 bits y, hasta el momento, ha resistido con xito todos los ataques. Por ello y por su estructura se le considera uno de los algoritmos ms seguros, a pesar de lo cual no se utiliza masivamente. Tal vez se deba a su relativa juventud (la del algoritmo, no la de Schneier). Su autor no ha patentado el mtodo para que pueda ser empleado sin limitaciones. Los sistemas asimtricos, sin embargo, operan con dos claves distintas. Emplean una clave pblica para encriptar y otra clave secreta para desencriptar. Este cifrado es ms complejo y por tanto posee un mayor nivel de seguridad. Los algoritmos asimtricos se clasifican en algoritmos para bloques de texto o flujo de datos. Los primeros trabajan sobre un nmero de bytes, en tamaos definidos; los segundos encriptan byte a byte toda la informacin. Los algoritmos ms utilizados son los siguientes: - Diffie-Hellman key exchange: propiamente es un sistema para generar e intercambiar una llave compartida por un canal no seguro. - RSA: Sistema de claves pblicas desarrollodo por Rivest, Shamir y Adleman (MIT). Es utilizado tanto para encriptar informacin como para firma digital. Los sistemas de firma digital se utilizan para garantizar que el autor de la informacin es el firmante (es decir, que la informacin no ha sido modificada por un tercero). La clave puede tener una longitud variable y puede ser tan grande como se desee. - DSS: El sistema de firma digital (digital signature system) fue desarrollado por la Agencia de Seguridad Nacional de los EE. UU. (NSA) y puede utilizar claves entre 512 y 1024 bits de longitud. Los sistemas de cifrado simtricos, como se habr intuido son ms dbiles que los sistemas de cifrado asimtricos, esto es as, porque ambos, emisor y receptor deben de emplear la misma clave, tanto para el proceso de encriptacin como para el proceso de desencriptacin. De esta forma esta clave debe ser enviada a travs de un medio de transmisin. Un Hacker podra leer esta clave y emplearla para desencriptar el mensaje. Si ciframos esta clave con otra clave, siempre estaramos igual, ya que la ultima clave revelara siempre la clave oculta. Sin embargo los sistemas de cifrado asimtricos, al emplear distintas claves, permite el uso de medios de transmisin poco seguros. La seguridad de estos sistemas depende de la longitud de la clave.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

La implementacin de encriptacin y autentificacin afecta la velocidad de transmisin de los paquetes, por lo que se debe utilizar solamente para informacin muy importante. Actualidad de la encriptacin En la actualidad, la criptografa no slo se utiliza para comunicar informacin de forma segura ocultando su contenido a posibles fisgones. Una de las ramas de la criptografa que ms ha revolucionado el panorama actual de las tecnologas informticas es el de la firma digital: tecnologa que busca asociar al emisor de un mensaje con su contenido de forma que aquel no pueda posteriormente repudiarlo. Es segura la encriptacin que existe hoy en da? El punto ms importante en este asunto es que depende de quien intente observar la informacin!, aunque la informacin sea enviada encriptada (cifrada), cualquier persona en Internet con entrenamiento mnimo puede interceptar esta informacin encriptada, sin embargo, para observarla requiere de su "llave privada" que se explic anteriormente. Consideremos que una computadora personal (PC) puede realizar millones de operaciones por segundo, debido a esto, no est tan lejos de la razn generar una "llave privada" a partir de cierta informacin interceptada; las "llaves privadas" generalmente constan de 40-bits, en una PC es posible (aunque lleva tiempo) procesar estas 2^40 alternativas, La situacin cambia si se tienen varios servidores en paralelo realizando trillones de operaciones por segundo ya que probablemente sea posible procesar estas 2^40 alternativas en cuestin de minutos. Lo anterior es una de la razones por las por ejemplo Estados Unidos cuida (o mejor dicho cuidaba!) con tanto recelo la exportacin de encriptacin de 128-bits, la cual es 3 veces ms poderosa (2^128 alternativas) que la de 40-bits. Pblicamente se conoce que en los servidores ms poderosos del mercado es posible descubrir una "llave privada" en cuestin de das de procesamiento. Esto obviamente detiene a aquellas personas ("hackers") con servidores "comunes" y en este caso hasta oficinas de seguridad gubernamentales en "desencriptar" informacin con este tipo de encriptacin. En definitiva, la efectividad, o nivel de seguridad, de la encriptacin se mide en trminos del tamao de la clave (mientras ms larga es la clave, mayor sera el tiempo que le tomara a una persona sin el decodificador correcto para decodificar el mensaje. Seguridad es igual a encriptacin? Los Problemas de Seguridad se presentan por diversos motivos. Falta de proteccin o tal vez porque no hay una proteccin adecuada. Si hablamos especficamente de la encriptacin como mecanismo de seguridad cabe hacer la pregunta: Es segura la encriptacin que estamos utilizando para proteger la informacin almacenada o la que desea transmitir? A esto

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

se le puede agregar todo lo concerniente a los recaudos fsicos necesarios, tanto de equipos como de las salas donde se encuentran los mismos. A partir de aqu es que hay que analizar los mecanismos de seguridad que se estn utilizando (si es que los hay) y tomando como base los resultados de dicho anlisis implementar un nivel de seguridad adecuado para la informacin y transmisin de la misma. Consideraciones sobre los algoritmos de clave privada Los algoritmos de clave privada pueden construirse tan eficientes como se desee utilizando passwords ms y ms largos, sin embargo por ms largo que sea el password estos algoritmos presentan una vulnerabilidad evidente: el password. En un esquema de encriptacin por clave privada todo aquel que conozca el password es capaz de desencriptar un mensaje, de aqu que a veces, es mas importante estudiar como proteger el password que como trabaja el algoritmo elegido. Adems, muchas veces es necesario transmitir, o enviar el password a alguna persona por lo que ser necesario a su vez encriptar el password ingresando en un loop infinito. Muchas veces el password es tan vulnerable que los criptoanalistas no se molestan en descifrar el cdigo interceptado sino que directamente intentan averiguar el password. Uno de los ejemplos ms habituales consiste en averiguar passwords que permiten el acceso a determinados sistemas: cuentas bancarias, computadoras, computadoras donde se guardan otros passwords, etc. A continuacin se mencionan algunas de las tcnicas mas utilizadas para 'robo de passwords'. - Shoulder Surfing Esta tcnica es la ms bsica y consiste en merodear a aquellas personas que conocen el password que se quiere averiguar intentando ver si se consigue visualizar el momento en que el password es tipeado en un teclado o escrito en algn papel, variantes ms modernas de esta tcnica incluyen programas residentes que monitorean las teclas que se oprimen en el teclado, cmaras que registran lo que se tipea desde un punto elevado, etc. La forma mas elemental es como su nombre lo indica observar por encima del hombro de la persona que tipea el password, parece tonto pero se utiliza muchsimo. - Caballos de Troya Los caballos de Troya son programas que se disean con el fin especfico de robar passwords. El programa es introducido en una computadora y lo que hace es simplemente cada vez que es ejecutado pedirle el password al usuario y si este lo tipea (grave error) guardarlo en un archivo. Luego lo nico que hay que hacer es cada tanto consultar el archivo y ver que es lo que nuestro caballo de Troya ha 'pescado'. Una de las reglas de seguridad mas importantes que establecen los administradores de sistemas es adiestrar a los usuarios para que JAMAS ingresen su password una vez que se han logoneado en el sistema, adems suele ser recomendable resetear la terminal antes de logonearse al sistema por si el usuario anterior dejo andando un caballo de Troya que imita al programa de login.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

10

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

- Ingeniera Social Esta disciplina puede parecer ridcula pero es la ms exitosa en cuanto a robo de passwords. La Ingeniera Social consiste en conseguir que una persona, simplemente, le diga su password a otra. Las tcnicas son de lo mas variadas: llamados telefnicos pidiendo el password pues se cay un disco y hay que backupear la informacin de cada usuario, pedidos de password para 'verificaciones rutinarias', encuestas a ver quien tiene el password mas seguro, etc. Aunque parezca mentira hay personas realmente especializadas en este tipo de ataques. Legalidad y encriptacin -Ley 25506 La ley 25506 promulgada el 11 de diciembre de 2001 en Argentina, ... reconoce el empleo de la firma electrnica y de la firma digital y su eficacia jurdica en las condiciones que establece la presente ley. Establece que la firma digital puede ser utilizada en todos los lados que la ley requiera una firma hologrfica, excluyendo a actos jurdicos por causa de muerte, del derecho de familia, actos de personalismo en general. Las llaves utilizadas, deben ser certificadas por la Autoridad Certificante Licenciadas del Gobierno. Adems, la exigencia legal de conservar documentos, registros o datos, tambin queda satisfecha con la conservacin de los correspondientes documentos digitales firmados digitalmente, segn los procedimientos que determine la reglamentacin. La ley, no prev sobre como se administra el uso de las llaves, estas corren por cuenta de los usuarios de que la mantengan en secreto y que los lugares donde se implementan (por ejemplo, ordenadores) sean confiables, pero la ley es una buen camino para acelerar la burocracia, los trmites de ministerios y secretaras.

- Ley de delitos informticos en Argentina En la Repblica Argentina se estudi el tema relacionado con los delitos informticos, resultando entre otros los siguientes artculos relacionados al tema que se ha tratado en este trabajo: Acceso Ilegtimo Informtico: Artculo 1: Ser reprimido con pena de multa de mil quinientos a treinta mil pesos, si no resultare un delito ms severamente penado, el que ilegtimamente y a sabiendas accediere, por cualquier medio, a un sistema o dato informtico de carcter privado o pblico de acceso restringido. La pena ser de un mes a dos aos de prisin si el autor revelare, divulgare o comercializare la informacin accedida ilegtimamente. En el caso de los dos prrafos anteriores, si las conductas se dirigen a sistemas o datos informticos concernientes a la seguridad, defensa nacional, salud pblica o la prestacin de servicios pblicos, la pena de prisin ser de seis meses a seis aos.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

11

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

Dao Informtico: Artculo 2: Ser reprimido con prisin de un mes a tres aos, siempre que el hecho no constituya un delito ms severamente penado, el que ilegtimamente y a sabiendas, alterare de cualquier forma, destruyere, inutilizare, suprimiere o hiciere inaccesible, o de cualquier modo y por cualquier medio, daare un sistema o dato informtico. Artculo 3: En el caso del artculo 2, la pena ser de dos a ocho aos de prisin, si mediara cualquiera de las circunstancias siguientes: 1) Ejecutarse el hecho con el fin de impedir el libre ejercicio de la autoridad o en venganza de sus determinaciones; 2) Si fuera cometido contra un sistema o dato informtico de valor cientfico, artstico, cultural o financiero de cualquier administracin pblica, establecimiento pblico o de uso pblico de todo gnero; 3) Si fuera cometido contra un sistema o dato informtico concerniente a la seguridad, defensa nacional, salud pblica o la prestacin de servicios pblicos. Si del hecho resultaren, adems, lesiones de las descritas en los artculos 90 o 91 del Cdigo Penal, la pena ser de tres a quince aos de prisin, y si resultare la muerte se elevar hasta veinte aos de prisin.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

12

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

Conclusin Si hay un tema candente en materia de Sistemas de Informacin, es la seguridad. Seguridad en todo sentido, tanto lgica como fsica, ya que siempre hay alguien interesado en conocer parte o toda la informacin que manejamos as como tener (si existe posibilidad) acceso fsico a los equipos. Hay que estar siempre alerta, especialmente si manejamos informacin a travs de la red. Para ello debemos estar informados de las nuevas tecnologas y de las nuevas formas de amenazas y delitos informticos que aparecen. Y en este punto tengo que exponer lo que estoy observando y escuchando de los usuarios ltimamente y es el hecho de que hay un mayor inters por conocer cuales son los mecanismos de seguridad y proteccin disponibles para as poder mantener la informacin y los equipos bien resguardados. El tema de la Encriptacin que se expuso en este trabajo es uno de los temas ligados a la seguridad, especialmente para proteger informacin de clientes y de la propia empresa, entre otras. Como profesionales que seremos en Sistemas de Informacin, tenemos que conocer no slo la forma de manejar la informacin, sino tambin como mantenerla segura de personas indeseables. Con la formacin tcnica-cientfica que recibimos debemos ser capaces de evaluar y seleccionar los mtodos de seguridad apropiados que se han de implementar sin apartarnos de la tica profesional.

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

13

MUCCELA JOSE DANIEL - HABILITACION PROFESIONAL

Bibliografa - Conceptos sobre seguridad de la informacin - Instituto Nacional de Estadsticas e Informtica(INEI) - Hackers, los piratas del Chip y de Internet - Capitulo 6 - Claudio Hernndez Web: http://perso.wanadoo.es/snickers/ - E Mail: snickers@wanadoo.es - Criptografa - Textos Cientficos Web: www.textoscientificos.com/criptografia - Encriptacin de Comunicaciones - Universidad de Cantabria Web: www.unican.es/WebUC/Unidades/SdeI/servicios/soporte/guias/seguridad - Privacidad en la Red: Como encriptar un mensaje? - Revista Consumer n 48 Octubre de 2001 - Web: http://revista.consumer.es/web/es/20011001 - Seguridad en el comercio electrnico - Microsoft TechNet - Microsoft Corporation 1.999 - Web:www.reduy.com/computacion/ms-com-electronico/technet-5.htm - Seguridad y algoritmos de encriptacin - 2.006 Web: www.cryptoforge.com.ar/ - Una Introduccin a la Criptografa - Mario Merino Martinez - El Papel Digital - Juan F. Codagnone - E Mail: juam@arnet.com.ar - Seguridad y Encriptacin - 2000 - Osmosis Latina Web: www.osmosislatina.com/aplicaciones/seguridad.htm - Seguridad y Privacidad - Citibank NA Sucursal Panam - Web: www.latam.citibank.com/panama/lapagl/spanish/accounts/internet/segpriv.htm#a5 - Negocios en Internet - ING. Marcelo Simn - MAG. Mnica R. de Arteche Web: http://www.gestionyestrategia.com/doc/neginternet05.pdf

UNIVERSIDAD TECNOLGICA NACIONAL FACULTAD REGIONAL TUCUMN

14