http://computacion.cs.cinvestav.

mx/~jjangel/

Criptografa

http://computacion.cs.cinvestav.mx/~jjangel/

1.- Motivacin 2.- Seguridad de la informacin 3.- Criptografa

http://computacion.cs.cinvestav.mx/~jjangel/

1.- BBC News, 29 Octubre 2002 http://news.bbc.co.uk/2/hi/technology/2372209.stm En Octubre de 2002 se estimaron 16 559 ataques informticos de grupos islmicos a entidades occidentales.

2.- BBC News, 18 Febrero 2003 http://news.bbc.co.uk/2/hi/business/2774477.stm Un hacker tubo acceso a ms de 5 millones de tarjetas de crdito visa y mastercard en USA.

http://computacion.cs.cinvestav.mx/~jjangel/

3.- CNET News Marzo 1999 http://news.com.com/2100-1023-222630.html?legacy=cnet Clinton pidi 1.5 billones de dlares para prevenir ataques a sistemas computarizados de los Estados Unidos.

4.- Las ms grandes compaas (DELL, RSAsecurity, MS,...) y algunos gobiernos (USA, Israel,...) has sido atacados por diferentes medios. Lo que muestra una gran vulnerabilidad de los sistemas de informacin, y la necesidad de mejorar su uso.

http://computacion.cs.cinvestav.mx/~jjangel/ Seguridad de la informacin

Es un conjunto de medidas para reducir los riesgos que tiene la informacin en cualquiera de sus formas.

Las medidas anteriores se aplican tanto en aspectos del comportamiento (administrativos, organizacionales, reglamentos, leyes), cmo a los dispositivos que manejan la informacin (redes, lneas de transmisin, conexiones, discos, pcs), y a los lugares fsicos donde se mantiene o procesa la informacin (edificios, laboratorios). Las medidas pueden ser preventivas, detectivas, correctivas.

http://computacion.cs.cinvestav.mx/~jjangel/

Ejemplo:

El caso de la informacin en una compra por Internet medida 1.- usar SSL, es una medida preventiva, aplicada a la transmisin de la informacin entre el browser del cliente y el servidor de la tienda. medida 2.-usar ssh y un firewall en el servidor de la tienda, es una medida preventiva, aplicada en la red que administra al servidor de la tienda.

http://computacion.cs.cinvestav.mx/~jjangel/ Por el momento hay algunas preguntas que hacer: Cmo se eligen esas medidas? Hay un momento en que puedo decir que mis medidas son suficientes? Las preguntas son intencionales para dar las siguientes respuestas 1.- La medida se elige de acuerdo al problema de seguridad que haya que resolver. 2.- Hasta cierto punto si son suficientes las medidas, s se toman de acuerdo a los estndares establecidos.

http://computacion.cs.cinvestav.mx/~jjangel/ El mtodo entonces es:

1.2.3.4.5.6.-

Conocer el flujo que nuestra informacin tiene Definir una poltica de seguridad Reconocer que riesgos puede tener nuestra informacin Encontrar la medida que reduzca ese riesgo Evaluar nuestro sistema de seguridad Replantear las medidas finalmente

http://computacion.cs.cinvestav.mx/~jjangel/ Servicios de seguridad Un servicio de seguridad es un objetivo que se debe de cumplir para lograr la poltica de seguridad que pretende reducir al mnimo el riesgo que tiene la informacin. a.- Confidencialidad: preservar restricciones en el acceso de informacin, que slo personas autorizadas pueden accesar a la informacin. b.- Integridad: se refiere a que la informacin no debe ser modificada, alterada, o borrada. c.- Autenticacin: se refiere a poder verificar la identidad de una entidad. d.- No-repudio: se refiere a no poder negar la autora de una accin.

http://computacion.cs.cinvestav.mx/~jjangel/

En la prctica los servicios de seguridad estan relacionados con las acciones de la informacin, es decir, pueden ser ms explicitos en cada caso. 1.- Autenticacin de cada una de las partes en una comunicacin. 2.- Autenticacin del origen de los mensajes, se refiere a conocer el origen de un simple mensaje. 3.- Integridad de datos con recuperacin: se refiere a detectar alguna modificacin, alteracin etc., en la informacin, y consecuentemente recuperar la informacin daada. 4.- Integridad sin recuperacin: se refiere a solo detectar alguna alteracin en la informacin sin poder reparar el dao.

http://computacion.cs.cinvestav.mx/~jjangel/ Criptografa Terminologa estndar en criptografa Criptografa: Ciencia que se dedica a resolver algunos problemas de seguridad, como la confidencialidad, la integridad, la autenticidad, el no repudio, etc. Criptografa simtrica: parte de la criptografa que usa algoritmos que dependen de una clave, y esta clave debe de estar en ambos lados de la comunicacin. Criptografa asimtrica: parte de la criptografa que usa algoritmos que depende de dos claves diferentes, una en cada lado de la comunicacin, la clave pblica y la clave privada.

Criptografia Asimtrica Simtrica

DigitalSignature

Key Establishment BlockCiphers Key Transport Hash Key Agreement DES-TDES RC4 SHA-1 SHA-256.... Whirpool StreamCiphrs MAC

PFI PLD-PDH PLDE-PDHE PVC PBDH

RSA DSA-DH

AES Camellia

DSAE-DHE NTRU IBE

Ejemplo:

Cajero automtico Confidencialidad

ATM Control de acceso Autenticacin de la persona Integridad con recuperacin Si hay repudio de la transaccin

Bank Autenticacin de la persona Integridad con recuperacin Si hay repudio de la transaccin

Ejemplo:

Telfono Confidencialidad

Alice

Bob Autenticacin de la persona Integridad con recuperacin Si hay repudio de la transaccin Autenticacin del origen de los mensajes

Autenticacin de la persona Integridad con recuperacin Si hay repudio de la transaccin Autenticacin del origen de los mensajes

Ejemplo: B2B Confidencialidad

Bank

Gov.

Control de acceso Autenticacin de la entidad Integridad con recuperacin no repudio de la transaccin Autenticacin del origen de los mensajes

Control de acceso Autenticacin de la entidad Integridad con recuperacin no repudio de la transaccin Autenticacin del origen de los mensajes

Ejemplo: C2B Confidencialidad

Costumer Control de acceso Integridad con recuperacin Autenticacin del origen de los mensajes

Web

Control de acceso Autenticacin de la entidad Integridad con recuperacin Autenticacin del origen de los mensajes

Ejemplo: Comunicacin espacial Confidencialidad

Earth Control de acceso Autenticacin de la entidad Integridad sin recuperacin Autenticacin del origen de los mensajes

Antenna

Control de acceso Autenticacin de la entidad Integridad sin recuperacin Autenticacin del origen de los mensajes

Ejemplo: VoIP Confidencialidad

Alice Integridad con recuperacin Autenticacin del origen de los mensajes

Bob

Integridad con recuperacin Autenticacin del origen de los mensajes

Ejemplo: VoIP Criptografa simtrica Confidencialidad Block Cipher

Alice Integridad con recuperacin Autenticacin del origen de los mensajes MAC

Bob

Integridad con recuperacin Autenticacin del origen de los mensajes MAC

Ejemplo: VoIP Criptografa simtrica Confidencialidad Block Cipher, DES,AES

Alice Integridad con recuperacin Autenticacin del origen de los mensajes HMAC, MD5, SHA-1

Bob

Integridad con recuperacin Autenticacin del origen de los mensajes HMAC, MD5, SHA-1

Ejemplo: VoIP Confidencialidad Block Cipher, DES,AES Criptografa simtrica Criptografa asimtrica

Alice Integridad con recuperacin Autenticacin del origen de los mensajes HMAC, MD5, SHA-1 DH

Bob

Integridad con recuperacin Autenticacin del origen de los mensajes HMAC, MD5, SHA-1 DH

Ejemplo: VoIP Criptografa simtrica Criptografa asimtrica Confidencialidad Block Cipher, DES,AES,SRTP

Alice Integridad con recuperacin Autenticacin del origen de los mensajes HMAC, MD5, SHA-1 DH IKE, MIKEY

Bob

Integridad con recuperacin Autenticacin del origen de los mensajes HMAC, MD5, SHA-1 DH IKE, MIKEY

Algoritmo Simtrico Elementos que toman parte en un cifrado simtrico:

1.- Algoritmo de cifrado. 2.- Algoritmo de descifrado. 3.- Clave simtrica, o clave secreta, o clave privada, o clave de sesin. 4.- La longitud de la clave simtrica. 5.- Modo de operacin del cifrado. 6.- Mensaje a cifrar, o mensaje original. 7.- Mensaje cifrado.

Criptografa simtrica: algoritmo simtrico (confidencialidad) Mensaje original Clave Simtrica Mensaje Cifrado

-----------------

Mensaje Descifrado

Algoritmo de cifrado

-----------------

Algoritmo de descifrado

Caractersticas ms comn de un cifrado simtrico 1.- Cifra por bloques de bits, del mismo tamao que la clave. 2.- La clave simtrica se elige aleatoriamente. 3.- Se supone resuelto el problema del intercambio de la clave simtrica.

00101100100101 01000100100011 00010100001111

Inicia el cifrado

10100011010101 11010101010011 11101000001111 00101100100101

El algoritmo simtrico contiene el modo de operacin integrado.

Cliente

Servidor

00101100100101 01000100100011

Cifra el 1er bloque

00010100001111 10100011010101 11010101010011 11101000001111

Cliente

Servidor

00101100100101 01000100100011

Enva el 1er bloque

00010100001111 10100011010101 11010101010011 11101000001111

Cliente

Servidor

00101100100101 01000100100011

Descifra el 1er bloque

00010100001111 10100011010101 11010101010011 11101000001111 00101100100101

Cliente

Servidor

00101100100101

Cifra el 2o bloque

01000100100011 00010100001111 10100011010101 11010101010011 00101100100101

Cliente

Servidor

00101100100101

Enva el 2o bloque

01000100100011 00010100001111 10100011010101 11010101010011 00101100100101

Cliente

Servidor

00101100100101

Descifra el 2o bloque

01000100100011 00010100001111 10100011010101 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Cifra el 3er bloque

00101100100101 01000100100011 00010100001111 10100011010101 11101000001111 00101100100101

Cliente

Servidor

Enva el 3er bloque

00101100100101 01000100100011 00010100001111 10100011010101 11101000001111 00101100100101

Cliente

Servidor

Descifra el 3er bloque

00101100100101 01000100100011 00010100001111 10100011010101 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Cifra el 4o bloque

00101100100101 01000100100011 00010100001111 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Enva el 4o bloque

00101100100101 01000100100011 00010100001111 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Descifra el 4o bloque

00101100100101 01000100100011 00010100001111 10100011010101 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Cifra el 5o bloque

00101100100101 01000100100011 10100011010101 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Enva el 5o bloque

00101100100101 01000100100011 10100011010101 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Descifra el 5o bloque

00101100100101 01000100100011 00010100001111 10100011010101 11010101010011 11101000001111

00101100100101

Cliente

Servidor

Cifra el 6o bloque

00101100100101

00010100001111 10100011010101 11010101010011 11101000001111

00101100100101

Cliente

Servidor

Enva el 6o bloque

00101100100101

00010100001111 10100011010101 11010101010011 11101000001111

00101100100101

Cliente

Servidor

Descifra el 6o bloque

00101100100101

01000100100011 00010100001111 10100011010101 11010101010011

11101000001111 00101100100101

Cliente

Servidor

Cifra el 7o bloque

01000100100011 00010100001111 10100011010101 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Enva el 7o bloque

01000100100011 00010100001111 10100011010101 11010101010011

11101000001111 00101100100101

Cliente

Servidor

Descifra el 7o bloque

00101100100101 01000100100011 00010100001111 10100011010101 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Termina transmisin confidencial

00101100100101 01000100100011 00010100001111 10100011010101 11010101010011 11101000001111 00101100100101

Cliente

Servidor

Esquemas de intercambio de claves simtricas

1.- Envo de clave simtrica (Key Transport) 2.- Generacin compartida de clave simtrica (Key Agreement)

Elementos con que cuenta un esquema de clave pblica.

1.- Para cada usuario un par de claves: una privada , y otra pblica . 2.- El mensaje a cifrar es generalmente corto, como una clave simtrica , un password, un IV, un mesaje secreto. 3.- La clave pblica se usa para cifrar mensajes. 4.- La clave secreta se usa para descifrar mensajes.

Criptografa asimtrica: algoritmo de clave pblica Mensaje original Clave Pblica Mensaje Cifrado

-----------------

Mensaje Descifrado

Clave Privada Algoritmo de cifrado Algoritmo de descifrado

-----------------

Sesin Key Transport Inicia la comunicacin

Cliente

Servidor

Sesin Key Transport Inicia la comunicacin Enva la clave pblica

Cliente

Servidor

Sesin Key Transport Inicia la comunicacin Enva la clave pblica

PRGN

Genera la simtrica

Cliente

Servidor

Sesin Key Transport Inicia la comunicacin Enva la clave pblica

PRGN

Cifra la simtrica con la pblica

Cliente

Servidor

Sesin Key Transport Inicia la comunicacin Enva la clave pblica

PRGN

Cliente

Enva la clave cifrada

Servidor

Sesin Key Transport Inicia la comunicacin Enva la clave pblica

PRGN

Cliente Descifra la simtrica con la privada

Servidor

Sesin Key Transport

Cliente Ambos lados de la comunicacin comparten la misma clave simtrica

Servidor

Sesin Key Agreement Inicia la comunicacin

Cliente

Servidor

Sesin Key Agreement Inicia la comunicacin

PRGN PRGN

Ambos lados de la comunicacin generan parte de la clave simtrica.

Cliente

Servidor

Sesin Key Agreement Inicia la comunicacin

PRGN PRGN

El cliente enva su parte de la clave

Cliente

Servidor

Sesin Key Agreement Inicia la comunicacin

PRGN PRGN

Cliente

El servidor enva su parte de la clave

Servidor

Sesin Key Agreement Inicia la comunicacin

PRGN PRGN

Cliente

Ambos lados de la comunicacin unen sus partes de la clave simtrica.

Servidor

Sesin Key Agreement Inicia la comunicacin

PRGN PRGN

Cliente

Servidor

Ambos lados de la comunicacin tienen la misma clave simtrica.

Sesin Key Agreement Diffie-Hellman Inicia la comunicacin

PRGN PRGN

x, g gx
Cliente

y, g gy
Servidor

Sesin Key Agreement Diffie-Hellman Inicia la comunicacin

PRGN PRGN

x, g gx
Cliente

El cliente enva su parte de clave

gx

y, g gy
Servidor

Sesin Key Agreement Diffie-Hellman Inicia la comunicacin

PRGN PRGN

x, g gx
Cliente

El cliente enva su parte de clave

gx

y, g gy

gy

El servidor enva su parte de clave Servidor

Sesin Key Agreement Diffie-Hellman Inicia la comunicacin

PRGN PRGN

x, g gx
Cliente

y, g gy
Servidor Ambos lados de la comunicacin tienen la misma clave informacin.

x, g

y, g x

Sesin Key Agreement Diffie-Hellman Inicia la comunicacin

PRGN PRGN

x, g gx
Cliente

y, g gy
Servidor

x, g

y, g x
Ambos lados de la comunicacin construyen la misma clave simtrica.

g yx

g xy

Firma Digital

Firma Digital

Proceso de firma
1.- Se requiere el documento a firmar. 2.- Se requiere una funcin hash. 3.- La firma la realiza el propietario de una clave privada.

Proceso de verificacin
1.- Se requiere el documento firmado. 2.- Se requiere la firma. 3.- Se requiere la funcin hash. 4.- La verificacin la efecta cualquier entidad con la clave pblica.

Firma Digital (Procedimiento de Firma) Documento a firmar Se aplica un hash al documento

-----

0100111010001...0100

Cliente

Servidor

Firma Digital (Procedimiento de Firma) Documento a firmar

-----

0100111010001...0100

Se firma el hash con la privada Cliente

1111001011001...0110

Servidor

Firma Digital (Procedimiento de Firma) Documento a firmar

-----

0100111010001...0100

1111001011001...0110

Cliente Documento con su firma digital

1111001011001...0110

Servidor

-----

Firma Digital (Procedimiento de Verificacin) Documento con su firma digital

1111001011001...0110

-----

Cliente

Servidor

Firma Digital (Procedimiento de Verificacin) Documento con su firma digital

1111001011001...0110

-----

1111001011001...0110

0100111010001...0100

Cliente

Se aplica la primitiva de verificacin a la firma digital, con la clave pblica.

Servidor

Firma Digital (Procedimiento de Verificacin) Documento con su firma digital

1111001011001...0110

-----

1111001011001...0110

0100111010001...0100
-----

Cliente Se aplica el hash al documento

Servidor

0100111010001...0100

Firma Digital (Procedimiento de Verificacin) Documento con su firma digital

1111001011001...0110

-----

1111001011001...0110

0100111010001...0100
-----

Cliente

Servidor

0100111010001...0100

La firma se acepta si los dos hash son iguales ?

0100111010001...0100

0100111010001...0100

Comunicacin segura (SSL)

Elementos para efectuar una comunicacin segura

1.- Un cliente (es quin inicia la comunicacin) 2.- Un servidor (es quin responde la comunicacin) 3.- Es comn (pero no necesario) que el servidor tenga su par de claves, una privada y una pblica, la pblica estar en un certficado digital.

Sesin de comunicacin segura

Inicia la comunicacin

Cliente

Servidor

Sesin de comunicacin segura

Inicia la comunicacin Enva la clave pblica

Cliente

Servidor

Sesin de comunicacin segura

Inicia la comunicacin Enva la clave pblica Genera una simtrica(sesin)

Cliente

Servidor

Sesin de comunicacin segura

Inicia la comunicacin Enva la clave pblica Genera una simtrica(sesin) Cifra la simtrica con la pblica Cliente Servidor

Sesin de comunicacin segura

Inicia la comunicacin Enva la clave pblica Genera una simtrica(sesin) Cifra la simtrica con la pblica Cliente Enva la clave cifrada Servidor

Sesin de comunicacin segura

Inicia la comunicacin Enva la clave pblica Genera una simtrica(sesin) Cifra la simtrica con la pblica Cliente Enva la clave cifrada Descifra la simtrica con la privada Servidor

Sesin de comunicacin segura

Inicia la comunicacin Enva la clave pblica Genera una simtrica(sesin) Cifra la simtrica con la pblica Cliente Enva la clave cifrada Descifra la simtrica con la privada Servidor

Da inicio la sesin segura

http://computacion.cs.cinvestav.mx/~jjangel/ http://www.criptored.upm.es/ http://www.virusprot.com/ http://www.iacr.org/ http://csrc.nist.gov/