Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 Criptografia
Introduccion
A veces solo quieres que alguien
o solo tu conozca te mensaje
3
El esquema de cesar consistía en desplazar cada
letra del alfabeto un numero determinado de
posiciones por ejemplo la letra “A” podía ser
codificada como “M ” , la “B” como “N” , la “C”
como “O". Así sucesivamente.
4
CONCEPTOS PREVIOS
⊳ Para hablar de sistemas criptográficos debemos tener una noción del
vocabulario que utilizaremos
LLAMAREMOS:
TEXTO PLANO : Al texto que queremos proteger , pero que aun no esta cifrado.
6
SISTEMAS CRIPTOGRAFICOS
⊳ MONOALFABETICO CASA
PRIMER : A = M
Para un símbolo tienen un mismo SEGUNDO : A = M
valor.
⊳ POLIALFABETICOS CASA
PRIMER : A = X
Para un símbolo tienen un varios SEGUNDO : A = Y
valores.
7
8
RAMAS DE LA CRIPTOGRAFIA
⊳ CRIPTOGRAFIA DE CLAVE
PRIVADA O SIMETRICA
⊳ CRIPTOGRAFIA DE CLAVE
ASIMETRICA O PUBLICA
9
GESTION DE CLAVES
⊳ TODAS LA TECNICAS CRIPTOGRAFICAS AL FINAL DEPENDEN DE LA GESTION
QUE MANEJAN . ESTA TAREA INCLUYE BASICAMENTE:
11
Criptología Simétrica
Concepto
13
Ejemplo
14
Ventajas Vs. Desventajas
15
Modos de cifrado y
descifrado
16
ECB
⊳ (Electronic Code Book): En este modo de datos se divide en bloques de 64 bits y cada
bloque se cifra uno a la vez. Cifrados separados con diferentes bloques son totalmente
independientes entre sí. Esto significa que si los datos se transmiten a través de una red o
línea telefónica, los errores de transmisión sólo afectarán al bloque que contiene el error.
También significa, sin embargo, que los bloques pueden ser reorganizados, luchando así un
archivo de más allá del reconocimiento, y esta acción sería pasar desapercibido. ECB es el
más débil de los distintos modos porque no hay medidas de seguridad adicionales se
aplican además del algoritmo básico DES. Sin embargo, ECB es la más rápida y fácil de
implementar, por lo que es el modo más común de DES visto en aplicaciones comerciales.
17
CBC
⊳ (Cipher Block Chaining): En este modo de operación, cada bloque de texto cifrado con ECB se le aplica una
operación XOR con el previo bloque ya cifrado. De este modo, cada bloque cifrado depende de todos los bloques de
texto claros usados hasta ese punto. Esto significa que, a fin de encontrar el texto completo de un bloque
determinado, lo que necesita saber el texto cifrado, la clave y el texto cifrado para el bloque anterior. El primer
bloque a cifrar no tiene texto cifrado anterior, por lo que el texto plano es XOR con un número de 64 bits llamado
vector de inicialización, o IV, para abreviar. Así que si los datos se transmiten a través de una red o línea de teléfono
y no es un error de transmisión (adición o eliminación de bits), el error se arrastrará a todos los bloques posteriores
ya que cada bloque depende de la última. Si los bits se acaba de modificar en tránsito (como es el caso más común)
el error sólo afectará a todos los bits en el bloque modificado, y los bits correspondientes en el bloque siguiente. El
error no se propaga más allá
18
CFB
⊳ (Cipher Feedback): En este modo, los bloques de texto plano menores de 64 bits de longitud se pueden cifrar.
Normalmente, este proceso especial tiene que ser usado para manejar los archivos cuyo tamaño no es un múltiplo de
8 bytes perfecto, pero este modo elimina esa necesidad. El texto plano en sí no se pasa realmente a través del
algoritmo DES, sino simplemente se le aplica XOR con un bloque de salida de ella, de la siguiente manera: Un
bloque de 64 bits llamada el registro de desplazamiento se utiliza como entrada para el texto plano DES. Esto se
ajusta inicialmente a un valor arbitrario, y encriptado con el algoritmo DES. El texto cifrado se pasa luego a través
de un componente adicional denominado la caja M, que simplemente selecciona el más a la izquierda M bits del
texto cifrado, donde M es el número de bits en el bloque deseamos cifrar. Este valor se XOR con el verdadero texto
plano, y la salida de ese es el texto cifrado final. Por último, el texto cifrado se alimenta de nuevo en el registro de
desplazamiento, y se utiliza como la semilla de texto plano para el siguiente bloque a cifrar. Al igual que con el
modo CBC, un error en un bloque afecta a todos los bloques posteriores durante la transmisión de datos. Este modo
de funcionamiento es similar al CBC y es muy seguro, pero es más lento que el ECB debido a la complejidad
añadida.
19
OFB
⊳ (Output Feedback): Es similar al modo CFB, excepto que la salida de texto cifrado de DES se alimenta de nuevo en
el registro de desplazamiento, más que el texto cifrado final real. El registro de desplazamiento se establece en un
valor inicial arbitrario, y se pasa por el algoritmo DES. La salida del DES se pasa a través de la caja M y luego
vuelve a entrar al registro de desplazamiento para prepararse para el siguiente bloque. Tenga en cuenta que a
diferencia de CFB y CBC, un error de transmisión en un bloque no afectará bloques posteriores debido a que una
vez que el destinatario tiene el valor inicial Registro de desplazamiento; que continuará generando nuevas Registro
de desplazamiento entradas de texto plano sin ninguna entrada de datos adicional. Sin embargo, este modo de
operación es menos seguro que el modo CFB porque sólo se necesita la salida de texto cifrado real y DES texto
cifrado para encontrar el texto plano del bloque más reciente.
20
Cifrado por bloques
21
Es es una unidad de cifrado de clave
simétrica que opera en grupos de bits
de longitud fija, llamados bloques,
aplicándoles una transformación
invariante. Cuando realiza cifrado, una
unidad de cifrado por bloques toma un
bloque de texto plano o claro como
entrada y produce un bloque de igual
tamaño de texto cifrado. La
transformación exacta es controlada
utilizando una segunda entrada — la
clave secreta. El descifrado es similar:
se ingresan bloques de texto cifrado y
se producen bloques de texto plano.
cifrados en bloque se componen
de cuatro elementos:
• Transformación lineal: la cual puede constar de una o dos funciones y éstas pueden o no
depender de la clave.
• Transformación intermedia mediante iteraciones o vueltas: las cuales se repiten n veces
mediante alguna función no lineal pero sí complicada, de manera que los datos sean
transformados aplicando dicha función sobre ellos haciendo uso de la clave.
• Transformación final: su objetivo es que las operaciones de cifrado y descifrado sean
simétricas, esto es, si por ejemplo las vueltas de cifrado son de una operación separadas por
sumas módulo 2 bit a bit, entonces la transformación final consiste en realizar únicamente la
operación inversa de la transformación inicial; pero si la transformación intermedia concluye
con una operación que afecta a todo el bloque, entonces la transformación final debe
considerar la función inversa de esa operación y la inversa de la transformación inicial.
• Algoritmo de expansión de clave: tiene la función de convertir la clave de usuario en un
conjunto de subclaves y que el descubrimiento de alguna o algunas claves intermedias no
permita deducir las subclaves anteriores ni las siguientes.
23
DES
24
AES
25
3DES
26
IDEA: International Data Encryptation
Algorithm
⊳ El algoritmo IDEA fue diseñado en 1992 para reemplazar el DES. Actualmente es
de uso libre para fines no comerciales, aunque no está libre de patentes. Es un
algoritmo de cifrado simétrico de bloques de 64 bits que emplea una clave de
longitud fija de 128 bits. Divide cada bloque en cuatro palabras de 16 bits que se
combinan intercalando diferentes operaciones, como XOR, adicción y
multiplicación modular, no existiendo operaciones a nivel de bit. Estas tres
operaciones provocan confusión y no cumplen las leyes distributiva ni asociativa.
El proceso de cifrado consiste en ocho rondas completas de cifrado idéntico y una
transformación final, también denominada media ronda. Se generan 52 subclaves
de 16 bits a partir de la clave maestra de 128 bits. En cada una de las rondas se
utilizan 6 subclaves diferentes, que se combinan con los bloques de cifrado
mediante diferentes operaciones matemáticas ya mencionadas (XORs, sumas y
multiplicaciones módulo 16). La estructura que crea la difusión es un bloque
básico denominado Estructura MA Multiplication/Addiction. Usa solo dos claves
por cada vuelta, y tanto sus entradas como sus salidas están conectadas por XOR.
Cuando ya se han realizado las ocho rondas idénticas, hay una transformación
final que utiliza las últimas 4 subclaves para invertir la operación de cifrado
inicial. Se denomina media ronda porque no atraviesa el bloque MA. 27
Cifrado por Flujo
28
concepto
⊳ Este tipo de criptografía se basa en cifrar bit a bit, o byte a byte, por lo que
están diseñados idealmente para aquellas comunicaciones que se estén
generando en tiempo real, como por ejemplo en telefonía móvil digital. Los
algoritmos RC4, A5 y Seal son ejemplos de este tipo de cifradores. Al cifrar
unidades mínimas de contenido, sin que éstas dependan de algo más (no existe
retroalimentación), obliga a que no pueda usarse la misma clave, ya que sería
fácil encontrar un patrón y descifrar el contenido del mensaje. Por este motivo
se utiliza un generador de flujo de clave, de longitud igual o superior al
mensaje.
los elementos de un cifrador de flujo son
(Lucena López 2011):
32
SEAL: Software Optimized Encryption
Algorithm
⊳ Seal es un generador de secuencia diseñado en 1993 para IBM, por lo que está sujeto a patentes (U.S.
Patent 5.454.039 y U.S. Patent 5.675.652). A diferencia de algoritmos basados en sistemas lineales,
presenta la posibilidad de acceso aleatorio, ya que define una familia de funciones pseudoaleatorias que
calculan cualquier fragmento de la secuencia o únicamente a través de un número entero de 32 bits. Emplea
ocho registros de 32 bits y unos cuantos KBytes de memoria. Mediante un precálculo relativamente lento,
genera un conjunto de tablas que permiten acelerar el algoritmo posteriormente. Para la generación de estas
tablas se utilizan unas 200 llamadas a la función hash SHA, por lo que no es apropiado en situaciones en
las que cambie la clave a menudo o no se disponga de espacio en memoria para las tablas.
33
Criptología Simétrica
La criptografía asimétrica se desarrollo en lo años 70’ y utiliza algoritmos matemáticos
relacionados con números primos y curvas elípticas. En este caso cada usuario del sistema
criptográfico ha de poseer una pareja de claves:
• Sera custodiada por su propietario y no se dará a
Clave privada conocer a ningún otro.
BENEFICIO INCONVENIENTE
Algunos algoritmos de encriptación
• El beneficio obtenido • El inconveniente es la asimétrica son:
consiste en la supresión de lentitud de la operación. RSD (RIVEST-Shamir-Aldelman)
la necesidad del envío de la Para solventar dicho
clave, siendo por lo tanto un inconveniente, el DSA(Digital Signature Algorithm) //
sistema más seguro. procedimiento que suele
seguirse para realizar el algoritmo de firma digital
cifrado de un mensaje es
utilizar un algoritmo de clave
pública junto a uno de clave 35
simétrica.
RSA
Para este algoritmo lo primero que debemos hacer es definir dos numero primos los cuales serán
nuestra llave privada.
Es este caso usamos números pequeños pero en la vida real se usa números primos grandes, extremadamente
grandes, números los cuales comprenden de 100 – 200 dígitos. Es allí donde reside la seguridad de este
algoritmo, pues factorizar números enormes es algo que las computadoras actuales les toma mucho poder de
computo y tiempo. 37
Digital Signature Algorihm (DSA)
Algoritmo de firma digital.: es un algoritmo que sirve para firma, no cifrar información dado que no es
reversible. Se basa en la dificultad de calcular logaritmos discretos en campos finitos métodos de Schnorr y
ElGamal.
Esta definido en el Digital Signature Standard (DSS)(estándar de firma digital). Fue propuesto por el U.S.
National Institute of Standards and Tegnology (NIST).
Este algoritmo se basa en la función exponencial discreta en un campo de elementos finito, la cual tiene la
característica de ser difícilmente reversible (logaritmo discreto)
38
Planteamiento de Casos
Primer caso: Cuando un usuario A quiere enviar información a otro usuario, B, utilizando la
clave pública de B (KpuB) para encriptar los datos. El usuario B utilizará su clave privada (que
solo el conoce)(KprB) para obtener el texto en claro a partir de la información (encriptada)
recibida. DE este modo se proporciona el servicio de confidencialidad.
39
Planteamiento de Casos
Segundo caso: es el usuario B quien encripta la información utilizando su clave privada, (KprB)
de forma que cualquiera que conozca (KpuB) podrá descifrar la información transmitida. Este
modo se puede emplear para proporcionar el servicio de autenticidad.
40
Planteamiento de Casos
41
Funciones Hash
El ultimo problema que se suscita en el “viaje” de los datos, es la “integridad”. Si bien alguien no podrá
leer lo que esta viajando, ya que está encriptado, si puede modificarlo, quitándole o agregándole algunos
bits.
⊳ Una firma digital, asegura la autenticidad de quien envía el mensaje, así como la integridad del
mismo, ya que junto con la firme, se envía un código computado por las llamadas funciones Hash.
⊳ Una función Hash “comprime” el mensaje, de modo de produce una especie de “resumen”, el cual
será comprobado , para asegurar que se mantenga la integridad del mismo.
Zorro Función Hash DFCD3454
Función Hash (función de comprobación aleatoria) como aquella que reduce el mensaje a un
conjunto de datos, denominado resumen y que viaja junto con el mensaje original.
Puede existir otros mensajes que producen el mismo hash es extremadamente difícil encontrarlos y
aún más difícil que tengan un significado en nuestra lengua.
Los principales algoritmos son:
43
Firmas Digitales
Permite al receptor de un mensaje verificar la autenticidad del origen de la
información así como verificar que dicha información no ha sido modificada Son una solución
desde su generación. que ofrece la
criptografía para
Cumple la misma función que una manuscrita, sin embargo una manuscrita es verificar:
sencilla de falsificar, mientras que la digital es imposible mientras no se descubra La integridad de
la clave privada del firmante. documentos
La procedencia
Se basa en la propiedad de que un mensaje cifrado utilizando la cave privada de
de documentos
un usuario sólo puede ser descifrado utilizando la clave publica asociada.
44
Ventajas de la firma digital
45
Funcionamiento de las Firmas digitales
Los primeros algoritmos fueron creados por Whitfield Diffie y Martin Hellman en 1976. Los más populares
son el RSA (1977) , DSA y el PGP (1991).
Todos los algoritmos se basan en un mismo método: en vez de usar una misma clave para encriptar y
desencriptar datos, usan dos: una privada y una publica. La primera es la que el usuario guarda y la segunda se
publica en el sitio de una autoridad certificante.
El destinatario recibe el
1 2 3 texto y la firma: primero
Para enviar un mensaje hace su propio hashing
con firma digital, al texto del mensaje y luego con
se le hace un hashing: de Al resultado se lo encripta la clave publica del
un texto se genera un usando la clave privada: emisor, desencripta la
número más chico con un esa es la firma digital, que firma: si ambos mensajes
algoritmo, de tal forma se envía con el mensaje son iguales, significa que
que es casi imposible que original. el remitente es valido y
de otro texto se cree el que el mensaje no sufrió
mismo número. alteraciones ene l
trayecto. (invisible para el
usuario) 46
Seguridad de la firma digital
Proporciona un abanico de servicios de seguridad.
Formas de
En aplicaciones de
E-mail procesamiento
negocios
automático
Transacciones
Contratos realizadas desde En sistemas
electrónicos financieras legislativos
alejadas
Proceso de Transferencia en
aplicaciones sistemas
electrónicas electrónicos
48
Entidades de certificación
Las entidades llamadas Autoridades Certificadoras (CAs, Certification Authorities) garantizan que una determinada clave
publica pertenece a su verdadero poseedor.
Tienen como misión la gestión de los denominados certificados (de clave publica). Un certificado esta compuesto por:
o La identidad de un usuario (subject),
o Su clave publica
o La identidad y la calve publica de la CA emisora (issuer) del certificado en cuestión,
o Su periodo de validez
o La firma digital del propio certificado.
Los usuarios pueden verificar la autenticidad de las claves publicas de otros usuarios verificando la firma de la CA en el
certificado usando la clave publica del CA.
Se comprueba el periodo de validez de cada certificado y que ninguno de los certificados haya sido revocado.
49
Entidades de certificación
Las autoridades de emisión (Issuing Authorities, “IA”) autorizadas por VeriSign funcionan como trusted partie
(o “garantes”), emitiendo, administrando, suspendiendo o revocando certificados de acuerdo con la práctica
publica de la empresa.
Las IA facilitan la confirmación de la relación existente entre una clave pública y una persona o nombre
determinado. Dicha confirmación es representada por un certificado: un mensaje firmado digitalmente y
emitido por una IA. 50
Entidades de certificación
⊳ Esta empresa ofrece tres niveles de servicios de certificación:
51
Software Easy Sign
52
Principales funciones
de la Firma
53
Autenticación del originador del mensaje
RSA permite “firmar” los documentos escritos en formato “Edifact” de
manera tal que el destinatario pueda validar que la información que él
recibe del originador es autentica y no la puede negar, lográndose con esto
la confianza de quien recibe el mensaje.
54
Infraestructura de la
Firma Digital
55
También conocida como de CLAVE PÚBLICA o Public Key
Infrastructure(PKI)
58
Organismo Auditante
59
Es el órgano de control
Organismo Autoridades
Licenciante Certificantes
Licenciadas
Articulo 61 de la
ley N° 25.237 El rol de Organismo Auditante dentro de la
infraestructura de Firma Digital para el Sector Público
Nacional es cumplido por la Sindicatura General de la
Nación (SIGEN).
60
Autoridades Certificantes
Licenciadas
61
Son aquellos organismos o dependencias del Sector Público
Nacional que soliciten y obtengan la autorización
Autoridades
Organismo
Certificantes de sus
Licenciante
propios agentes
63
1. Licenciamiento
Es el procedimiento por el cual el Organismo
Licenciante emite un certificado de clave pública a
favor de un organismo público, quedando este
habilitado para emitir certificados a favor de sus
dependientes
2. Revocación
Es el procedimiento por el cual el Organismo
Licenciante cancela la autorización otorgada a la
Autoridad Certificante Licenciada para emitir
certificados
64
Certificados Digitales
65
Mediante la criptografía podemos establecer comunicaciones
seguras con otras personas.
Para resolver este problema surgen unas entidades, que tienen que ser de
confianza para todo el mundo. Estas entidades "certifican" las claves
públicas de los usuarios que se las remiten emitiendo un certificado.
66
Los certificados los tiene que conceder alguien.
Tiene que haber una tercera parte, de confianza para emisor y receptor,
que certifique a ambos.
"Trusted Third Parties (TTP)”
Su labor, básicamente consiste en identificar a usuarios, empresas
o servicios con una determinada clave pública.
67
Un certificado esta compuesto por varios campos:
68
Al ser los certificados de dominio publico cualquiera puede
comprobarlos lo único que le certifican es quien es el propietario de
una determinada clave pública. Ese propietario es la "única"
persona que conoce la clave privada correspondiente a la pública
certificada.
La persona que conozca una determinada clave privada puede
certificarse utilizando el certificado de la correspondiente clave pública
y de esta forma ofrecer una "falsa" seguridad a la persona que ha
verificado el certificado (suplantación de personalidad).
70
Comprobamos su caducidad.
Comprobamos que CA lo expidió.
Comprobamos el certificado de la CA, así como todos
los certificados de CA's superiores que haya, si se da el
caso, certificado a la CA anterior.
Comprobamos que el certificado no fue manipulado,
comprobando la firma digital de la CA.
Comprobamos CRL de la CA para verificar que no ha
sido revocado.
Después de todo esto podemos establecer una conexión
“segura” y “autenticada”.
71
¡Gracias!
¿Alguna pregunta?
72