Módulo 16: Integridad básica

y autenticidad

Materiales del instructor

Seguridad de red v1.0

(NETSEC)
Materiales del instructor: guía de planificación del módulo 16

Esta plataforma de PowerPoint se divide en dos partes:

• Guía de planificación del instructor
• Información para ayudarle a familiarizarse con el módulo
• Material didáctico
• Presentación de la clase del instructor
• Diapositivas opcionales que puede usar en el salón de clases
• Comienza en la diapositiva # 11.
Nota : elimine la Guía de planificación de esta presentación antes de compartirla con
nadie.
Para obtener ayuda y recursos adicionales, vaya a la página de inicio del instructor
y los recursos del curso para este curso. También puede visitar el sitio de
desarrollo profesional en netacad.com, la página oficial de Facebook de Cisco
Networking Academy o el grupo de FB solo para instructores.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
Módulo 16: Actividades

¿Qué actividades están asociadas con este módulo?

Página # Tipo de actividad Nombre de la actividad ¿Opcional?

16.1.6 Laboratorio Resolviendo las cosas Recomendado

16.2.6 Verifica tu entendimiento Características de la gestión de claves Recomendado

16.3.8 Video Criptografía Recomendado

16.3.9 Verifica tu entendimiento Clasificar los algoritmos de cifrado Recomendado

16.3.10 Laboratorio Cifrado y descifrado de datos mediante OpenSSL Recomendado

Cifrado y descifrado de datos usando una herramienta de

16.3.11 Laboratorio Recomendado
piratas informáticos

16.3.12 Laboratorio Examinando Telnet y SSH en Wireshark Recomendado

16.4.2 Cuestionario del módulo Prueba básica de integridad y autenticidad Recomendado

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Módulo 16: Integridad
básica y autenticidad

Seguridad de red v1.0

(NETSEC)
Objetivos del módulo
Título del módulo: Integridad y autenticidad básicas

Objetivo del módulo : Explicar cómo se usa la criptografía para garantizar la integridad y autenticidad de
los datos.
Título del tema Objetivo del tema
Explicar el papel de la criptografía para garantizar la integridad y autenticidad de
Integridad y Autenticidad
los datos.
Gestión de claves Describir los componentes de la gestión de claves.
Explicar cómo los enfoques criptográficos mejoran la confidencialidad de los
Confidencialidad
datos.

© 2021 Cisco y/o sus filiales. Reservados todos los derechos. Información
confidencial de Cisco 12
16.1 Integridad y Autenticidad

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Integridad y Autenticidad
Comunicaciones seguras
Estos son los cuatro elementos de las comunicaciones seguras:

• Integridad de datos - Garantiza que el mensaje no fue alterado. Se detectará cualquier cambio en los
datos en tránsito. La integridad se garantiza mediante la implementación de cualquiera de los
algoritmos hash seguros (SHA-2 o SHA-3). El algoritmo de resumen de mensajes MD5 todavía se usa
ampliamente. Sin embargo, es inherentemente inseguro y crea vulnerabilidades en una red. Tenga en
cuenta que debe evitarse MD5.

• Autenticación de origen : garantiza que el mensaje no es una falsificación y que en realidad proviene
de quien lo declara. Muchas redes modernas garantizan la autenticación con algoritmos como el código
de autenticación de mensajes basado en hash (HMAC).

• Confidencialidad de los datos - Garantiza que solo los usuarios autorizados puedan leer el mensaje.
Si el mensaje es interceptado, no se puede descifrar en un tiempo razonable. La confidencialidad de
los datos se implementa mediante algoritmos de cifrado simétricos y asimétricos.

• No repudio de datos - Garantiza que el remitente no puede repudiar o refutar la validez de un mensaje
enviado. El no repudio se basa en el hecho de que solo el remitente tiene las características únicas o la
firma de cómo se trata ese mensaje. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Integridad y Autenticidad
Funciones hash criptográficas

Los hashes se utilizan para verificar y garantizar la integridad

de los datos. Hashing se basa en una función matemática
unidireccional que es relativamente fácil de calcular, pero
significativamente más difícil de revertir.

Como se muestra en la figura, una función hash toma un

bloque variable de datos binarios, llamado mensaje, y produce
una representación condensada de longitud fija, llamada hash.
El hash resultante también se denomina a veces resumen del
mensaje, resumen o huella digital.

Con las funciones hash, es computacionalmente inviable que

dos conjuntos de datos diferentes generen la misma salida
hash. Los valores hash criptográficos a menudo se denominan
"huellas digitales".
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Integridad y Autenticidad
Operación de hash criptográfico

Matemáticamente, la ecuación h= H(x) se utiliza para explicar cómo funciona un

algoritmo hash. Como se muestra en la figura, una función hash H toma una entrada x y
devuelve un valor hash de cadena de tamaño fijo h.

El ejemplo de la figura resume el proceso matemático. Una función hash criptográfica

debe tener las siguientes propiedades:
• La entrada puede tener cualquier longitud.
• La salida es siempre una longitud fija.
• H(x) es relativamente fácil de calcular para
cualquier x dado.
• H(x) es unidireccional y no reversible.
• H(x) no tiene colisiones, lo que significa que
dos valores de entrada diferentes darán como
resultado valores hash diferentes.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Integridad y Autenticidad
MD5 y SHA

Las funciones hash se utilizan para garantizar la integridad de un mensaje. Ayudan a

garantizar que los datos no hayan cambiado accidentalmente y que lo que se envió sea
realmente lo que se recibió.

Hay cuatro funciones hash bien conocidas:

• MD5 con resumen de 128 bits
• SHA-1
• SHA-2
• SHA-3
Si bien el hashing se puede usar para detectar cambios accidentales, no se puede usar para
protegerse contra cambios deliberados realizados por un actor de amenazas. Por lo tanto, el
hashing es vulnerable a los ataques de intermediarios y no brinda seguridad a los datos
transmitidos. Para proporcionar integridad contra los ataques de intermediarios, también se
requiere la autenticación de origen.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Integridad y Autenticidad
Autenticación de origen
Para agregar autenticación de origen y garantía de
integridad, use un código de autenticación de
mensajes hash con clave (HMAC). HMAC usa una
clave secreta adicional como entrada para la función
hash.

Como se muestra en la figura, un HMAC se calcula

utilizando cualquier algoritmo criptográfico que
combine una función hash criptográfica con una
clave secreta. Las funciones hash son la base del
mecanismo de protección de los HMAC.
Solo el remitente y el receptor conocen la clave
secreta, y la salida de la función hash ahora
depende de los datos de entrada y la clave secreta.
Solo las partes que tienen acceso a esa clave
secreta pueden calcular el resumen de una función
HMAC. Esto derrota los ataques de intermediarios y
proporciona autenticación del origen de los datos. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Integridad y Autenticidad
Autenticación de origen (continuación)

Como se muestra en la figura, el

dispositivo de envío ingresa datos
(como el pago de $100 de Terry Smith y
la clave secreta) en el algoritmo hash y
calcula el resumen HMAC de longitud
fija. Este resumen autenticado se
adjunta al mensaje y se envía al
receptor.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Integridad y Autenticidad
Autenticación de origen (continuación)

En la figura, el dispositivo receptor

elimina el resumen del mensaje y usa el
mensaje de texto sin formato con su
clave secreta como entrada en la
misma función hash. Si el resumen que
calcula el dispositivo receptor es igual al
resumen que se envió, el mensaje no
ha sido alterado. Además, el origen del
mensaje se autentica porque solo el
remitente posee una copia de la clave
secreta compartida. La función HMAC
ha asegurado la autenticidad del
mensaje.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Integridad y Autenticidad
Autenticación de origen (continuación)
La figura muestra cómo los enrutadores Cisco
que están configurados para usar la
autenticación de enrutamiento Open Shortest
Path First (OSPF) utilizan los HMAC.
R1 está enviando una actualización de estado
de enlace (LSU) con respecto a una ruta a la
red 10.2.0.0/16:

1. R1 calcula el valor hash utilizando el

mensaje LSU y la clave secreta.
2. El valor hash resultante se envía con la LSU
a R2.
3. R2 calcula el valor hash utilizando la LSU y
su clave secreta. R2 acepta la actualización
si los valores hash coinciden. Si no
coinciden, R2 descarta la actualización. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Integridad y Autenticidad
Laboratorio - Hashing Things Out

En esta práctica de laboratorio, completará los siguientes objetivos:

• Creación de hashes con OpenSSL

• Verificación de hashes

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
16.2 Gestión de claves

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Gestión de claves
Características de la gestión de claves
La gestión de claves a menudo se considera la parte más difícil del diseño de un criptosistema. Como se
muestra en la tabla, hay varias características esenciales de la gestión de claves a tener en cuenta .
Característica Descripción
Generación de Dependía de César elegir la clave de su cifrado. La clave de cifrado Vigenère también es elegida por el remitente y el
claves receptor. En un sistema criptográfico moderno, la generación de claves suele estar automatizada y no se deja al usuario
final. Se necesita el uso de buenos generadores de números aleatorios para garantizar que todas las claves se generen por
igual, de modo que el atacante no pueda predecir qué claves es más probable que se utilicen.

Verificación de Algunas teclas son mejores que otras. Casi todos los algoritmos criptográficos tienen algunas claves débiles que no deben
clave usarse. Con la ayuda de los procedimientos de verificación de claves, las claves débiles se pueden identificar y regenerar
para proporcionar un cifrado más seguro. Con el cifrado César, usar una clave de 0 o 25 no cifra el mensaje, por lo que no
debe usarse.

Intercambio de Los procedimientos de gestión de claves deben proporcionar un mecanismo seguro de intercambio de claves que permita
llaves un acuerdo seguro sobre el material de claves con la otra parte, probablemente a través de un medio que no sea de
confianza.

Almacenamiento En un sistema operativo multiusuario moderno que utiliza criptografía, se puede almacenar una clave en la memoria. Esto
de claves presenta un posible problema cuando esa memoria se intercambia en el disco, porque un programa de caballo de Troya
instalado en la PC de un usuario podría tener acceso a las claves privadas de ese usuario.

Clave de por vida El uso de claves de duración corta mejora la seguridad de los cifrados heredados que se utilizan en conexiones de alta
velocidad. En IPsec, lo habitual es una vida útil de 24 horas. Sin embargo, cambiar© 2021
el tiempo de vida a 30 minutos mejora
Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
la seguridad de los algoritmos.
Gestión de claves
Longitud de clave y espacio de clave
Dos términos que se utilizan para describir las teclas son:
• Longitud de clave : también llamada tamaño de clave, esta es la medida en bits. En
este curso, utilizaremos el término longitud de clave.
• Keyspace : este es el número de posibilidades que puede generar una longitud de clave
específica.
A medida que aumenta la longitud de la clave, el espacio de claves aumenta exponencialmente.
La tabla muestra las características del algoritmo de cifrado AES.
AES Características Descripción Estándar de cifrado avanzado
Cronología Estándar oficial desde 2001
Tipo de algoritmo Simétrico
Tamaño de clave (en bits) 128, 192 y 256
Velocidad Alto
Time to Crack (suponiendo que una 149 billones de años
computadora pueda probar 255
teclas por segundo)

Consumo de recursos Bajo © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Gestión de claves
El espacio de claves
El espacio de claves de un algoritmo es el conjunto de todos los valores clave posibles. Una clave
que tiene n bits produce un espacio de claves que tiene 2 n valores de clave posibles. Al agregar
un bit a la clave, el espacio de claves se duplica efectivamente.

Casi todos los algoritmos tienen algunas claves débiles en su espacio de claves que permiten a
un atacante romper el cifrado a través de un atajo. Las claves débiles muestran las regularidades
en el cifrado. Por ejemplo, DES tiene cuatro claves para las cuales el cifrado es lo mismo que el
descifrado. Esto significa que si una de estas claves débiles se usa para cifrar texto sin formato,
un atacante puede usar la clave débil para descifrar el texto cifrado y revelar el texto sin formato.

Las claves débiles DES son aquellas que producen 16 subclaves idénticas. Esto ocurre cuando
los bits clave son:
• Unos y ceros alternados (0101010101010101)
• F y E alternadas (FEFEFEFEFEFEFEFE)
• E0E0E0E0F1F1F1F1
• 1F1F1F1F0E0E0E0E
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
Gestión de claves
Tipos de claves criptográficas
Las longitudes de clave actuales pueden fácilmente hacer que cualquier intento de ataque sea
insignificante porque lleva millones o miles de millones de años completar la búsqueda cuando se
usa una clave suficientemente larga.

Con algoritmos modernos en los que se confía, la fuerza de la protección depende únicamente del
tamaño de la clave. Elija la longitud de la clave para que proteja la confidencialidad o integridad de
los datos durante un período de tiempo adecuado. Los datos que son más confidenciales y deben
mantenerse en secreto
Duraciónpor
de lamás tiempo deben
Clave simétrica usar
Clave clavesFirma
asimétrica más largas. Picadillo
digital
protección
3 años 80 1248 160 160
10 años 96 1776 192 192
20 años 112 2432 224 224
30 años 128 3248 256 256
Protección contra 256 15424 512 512
computadoras
cuánticas
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Gestión de claves
Elección de claves criptográficas

El rendimiento es otro problema que puede influir en la elección de la longitud de la clave. Un

administrador debe encontrar un buen equilibrio entre la velocidad y la fuerza de protección de
un algoritmo, porque algunos algoritmos, como el algoritmo Rivest, Shamir y Adleman (RSA),
se ejecutan lentamente debido a la gran longitud de las claves.

La financiación estimada del atacante también debería afectar la elección de la longitud de la

clave.

La regla “cuanto más larga sea la clave, mejor” es válida, excepto por posibles razones de
rendimiento. Las claves más cortas equivalen a un procesamiento más rápido, pero son menos
seguras. Las claves más largas equivalen a un procesamiento más lento, pero son más
seguras.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
16.3 Confidencialidad

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
Confidencialidad
Confidencialidad de datos
Los algoritmos de cifrado simétrico como el Estándar de cifrado de datos (DES), 3DES y el
Estándar de cifrado avanzado (AES) se basan en la premisa de que cada parte que se comunica
conoce la clave previamente compartida.

La confidencialidad de los datos también se puede garantizar mediante algoritmos asimétricos,

incluidos Rivest, Shamir y Adleman (RSA) y la infraestructura de clave pública (PKI).

La figura destaca algunas diferencias entre el cifrado simétrico y asimétrico.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Confidencialidad
Cifrado simétrico
Los algoritmos simétricos utilizan la misma clave precompartida para cifrar y descifrar datos. El remitente y el
receptor conocen una clave precompartida, también llamada clave secreta, antes de que pueda tener lugar
cualquier comunicación cifrada.

En la figura, Alice y Bob tienen llaves idénticas para un solo candado. Estas claves se intercambiaron antes
de enviar cualquier mensaje secreto. Alice escribe un mensaje secreto y lo pone en una pequeña caja que
cierra usando el candado con su llave. Ella le envía la caja a Bob. El mensaje se bloquea de forma segura
dentro de la caja a medida que la caja se abre camino a través del sistema de la oficina de correos. Cuando
Bob recibe la caja, usa su llave para abrir el candado y recuperar el mensaje. Bob puede usar la misma caja
y candado para enviar una respuesta secreta a Alice.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Confidencialidad
Cifrado simétrico (continuación)
Los algoritmos de cifrado simétrico a veces se clasifican como cifrado de bloque o cifrado de flujo.

Los cifrados de bloque transforman un bloque de texto sin formato de longitud fija en un bloque común de texto
cifrado de 64 o 128 bits. Los cifrados de bloque comunes incluyen DES con un tamaño de bloque de 64 bits y
AES con un tamaño de bloque de 128 bits.

Los cifrados de flujo cifran el texto sin formato un byte o un bit a la vez. Los cifrados de flujo son
básicamente un cifrado de bloque con un tamaño de bloque de un byte o bit. Los cifrados de flujo suelen ser
más rápidos que los cifrados de bloque porque los datos se cifran continuamente.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Confidencialidad
Cifrado simétrico (continuación)
Los algoritmos de cifrado simétrico bien conocidos se describen en la tabla.
Algoritmos de cifrado simétrico Descripción
Estándar de cifrado de datos (DES) Este es un algoritmo de cifrado simétrico heredado. Utiliza una longitud de clave corta
que lo hace inseguro para la mayoría de los usos actuales.
3DES (Triple DES) El es el reemplazo de DES y repite el proceso del algoritmo DES tres veces. Debe evitarse
si es posible, ya que está programado para retirarse en 2023. Si se implementa, use una
vida útil de clave muy corta.

Estándar de cifrado avanzado (AES) AES es un algoritmo de cifrado simétrico popular y recomendado. Ofrece combinaciones
de claves de 128, 192 o 256 bits para cifrar bloques de datos de 128, 192 o 256 bits.
Algoritmo de cifrado optimizado por software SEAL es un algoritmo de cifrado simétrico alternativo más rápido que AES. SEAL es un
(SEAL) cifrado de flujo que utiliza una clave de cifrado de 160 bits y tiene un menor impacto en
la CPU en comparación con otros algoritmos basados en software.

Algoritmos de la serie Rivest ciphers (RC) Este algoritmo fue desarrollado por Ron Rivest. Se han desarrollado varias variaciones,
pero RC4 fue la más frecuente en uso. RC4 es un cifrado de flujo que se utilizó para
proteger el tráfico web. Se ha descubierto que tiene múltiples vulnerabilidades que lo
han vuelto inseguro. RC4 no debe utilizarse.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
Confidencialidad
Cifrado asimétrico
Los algoritmos asimétricos, también llamados algoritmos de clave pública, están diseñados para que la clave
que se usa para el cifrado sea diferente de la clave que se usa para el descifrado, como se muestra en la figura.
La clave de descifrado no puede, en un período de tiempo razonable, calcularse a partir de la clave de cifrado y
viceversa.

Los ejemplos de protocolos que utilizan algoritmos de clave asimétrica incluyen:

• Intercambio de claves de Internet (IKE): este es un componente fundamental de las VPN IPsec.
• Capa de conexión segura (SSL): ahora se implementa como seguridad de la capa de transporte
(TLS) estándar de IETF.
• Secure Shell (SSH): este protocolo proporciona una conexión de acceso remoto seguro a los
dispositivos de red.
• Pretty Good Privacy (PGP): este programa informático proporciona autenticación y privacidad
criptográfica. A menudo se utiliza para aumentar la seguridad de las comunicaciones por correo
electrónico.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
Confidencialidad
Cifrado asimétrico (continuación)
Algoritmo de cifrado asimétrico Longitud de Descripción
clave
Diffie Hellman (DH) 512, 1024, El algoritmo Diffie-Hellman permite que dos partes acuerden una clave que pueden usar para cifrar los
2048, 3072, mensajes que desean enviarse entre sí. La seguridad de este algoritmo depende de la suposición de que es
4096 fácil elevar un número a una determinada potencia, pero es difícil calcular qué potencia se utilizó dado el
número y el resultado.
Estándar de firma digital (DSS) y 512 - 1024 DSS especifica DSA como el algoritmo para firmas digitales. DSA es un algoritmo de clave pública basado
Algoritmo de firma digital (DSA) en el esquema de firma ElGamal. La velocidad de creación de firmas es similar a RSA, pero es de 10 a 40
veces más lenta para la verificación.
Algoritmos de cifrado Rivest, 512 a 2048 RSA es para criptografía de clave pública que se basa en la dificultad actual de factorizar números muy
Shamir y Adleman (RSA) grandes. Es el primer algoritmo que se sabe que es adecuado para la firma, así como para el cifrado. Se usa
ampliamente en los protocolos de comercio electrónico y se cree que es seguro dadas las claves
suficientemente largas y el uso de implementaciones actualizadas.
EIGamal 512 - 1024 Un algoritmo de cifrado de clave asimétrica para criptografía de clave pública que se basa en el acuerdo de
clave Diffie-Hellman. Una desventaja del sistema ElGamal es que el mensaje encriptado se vuelve muy
grande, aproximadamente el doble del tamaño del mensaje original y por esta razón solo se usa para
mensajes pequeños como claves secretas.
Técnicas de curva elíptica 224 o La criptografía de curva elíptica se puede utilizar para adaptar muchos algoritmos criptográficos, como
superior Diffie-Hellman o ElGamal. La principal ventaja de la criptografía de curva elíptica es que las claves pueden
ser mucho más pequeñas.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Confidencialidad
Cifrado asimétrico - Confidencialidad
El proceso se puede resumir mediante la fórmula:

Clave pública (Cifrar) + Clave privada (Descifrar) = Confidencialidad

Cuando la clave pública se usa para cifrar los datos, la clave privada debe usarse para descifrar
los datos. Solo un host tiene la clave privada; por lo tanto, se logra la confidencialidad.
Alice solicita y obtiene la clave pública de Bob. Alice usa la clave pública de Bob para cifrar un Bob luego usa su clave privada para descifrar el
mensaje usando un algoritmo acordado. Alice envía el mensaje. Dado que Bob es el único que tiene la
mensaje encriptado a Bob. clave privada, el mensaje de Alice solo puede
ser descifrado por Bob y, por lo tanto, se logra la
confidencialidad.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
Confidencialidad
Cifrado asimétrico: autenticación
El objetivo de autenticación de los algoritmos asimétricos se inicia cuando se inicia el proceso de
cifrado con la clave privada.

El proceso se puede resumir mediante la fórmula:

Clave privada (Cifrar) + Clave pública (Descifrar) = Autenticación

Alice encripta un mensaje usando su clave privada. Alice Para autenticar el mensaje, Bob solicita Bob usa la clave pública de Alice para descifrar el m
envía el mensaje encriptado a Bob. Bob necesita autenticar la clave pública de Alice.
que el mensaje efectivamente provino de Alice.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Confidencialidad
Cifrado asimétrico - Integridad
La combinación de los dos procesos de cifrado asimétrico proporciona confidencialidad, autenticación e
integridad del mensaje. El siguiente ejemplo se utilizará para ilustrar este proceso. En este ejemplo, un
mensaje se cifrará con la clave pública de Bob y un hash cifrado se cifrará con la clave privada de Alice para
brindar confidencialidad, autenticidad e integridad.

Alice quiere enviar un mensaje a Bob asegurándose de que solo Alice también quiere garantizar la autenticación y la integridad de
Bob pueda leer el documento. En otras palabras, Alice quiere los mensajes. La autenticación garantiza a Bob que el
garantizar la confidencialidad del mensaje. Alice usa la clave documento fue enviado por Alice y la integridad garantiza que no
pública de Bob para cifrar el mensaje. Solo Bob podrá descifrarlo se modificó. Alice utiliza su clave privada para cifrar un hash del
usando su clave privada. mensaje. Alice envía el mensaje cifrado con su hash cifrado a
Bob.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
Confidencialidad
Cifrado asimétrico: integridad (continuación)

Bob usa la clave pública de Alice para verificar que el Bob usa su clave privada para descifrar el
mensaje no haya sido modificado. El hash recibido es mensaje.
igual al hash determinado localmente según la clave
pública de Alice. Además, esto verifica que Alice es
definitivamente el remitente del mensaje porque nadie
más tiene la clave privada de Alice.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
Confidencialidad
Diffie-Hellman
Diffie-Hellman (DH) es un algoritmo matemático
asimétrico que permite que dos computadoras
generen un secreto compartido idéntico sin haberse
comunicado antes. La nueva clave compartida
nunca se intercambia realmente entre el remitente
y el receptor. Sin embargo, debido a que ambas
partes lo saben, la clave puede ser utilizada por un
algoritmo de cifrado para cifrar el tráfico entre los
dos sistemas.
Aquí hay dos ejemplos de instancias en las que DH
se usa comúnmente:

• Los datos se intercambian usando una VPN

IPsec
• Se intercambian datos SSH

Para ayudar a ilustrar cómo funciona DH, consulte

la figura. Los colores de la figura se utilizarán en
lugar de números largos complejos para simplificar © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40

el proceso de acuerdo de clave DH.

Confidencialidad
Diffie-Hellman (continuación)
Diffie-Hellman utiliza diferentes grupos DH para determinar la fuerza de la clave que se utiliza
en el proceso de acuerdo de claves. Los números de grupo más altos son más seguros pero
requieren tiempo adicional para calcular la clave.

A continuación, se identifican los grupos DH admitidos por el software Cisco IOS y su valor de
número primo asociado:

DH Grupo 1: 768 bits

DH Grupo 2: 1024 bits
DH Grupo 5: 1536 bits
DH Grupo 14: 2048 bits
DH Grupo 15: 3072 bits
DH Grupo 16: 4096 bits

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
Confidencialidad
Vídeo - Criptografía

Este video demostrará cómo proteger los datos mediante hash y encriptación.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
Confidencialidad
Práctica de laboratorio: Cifrado y descifrado de datos mediante
OpenSSL
En esta práctica de laboratorio, completará los siguientes objetivos:

• Cifrado de mensajes con OpenSSL

• Descifrar mensajes con OpenSSL

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
Confidencialidad
Práctica de laboratorio: Cifrado y descifrado de datos mediante una
herramienta de piratas informáticos
En esta práctica de laboratorio, completará los siguientes objetivos:

• Escenario de configuración
• Crear y cifrar archivos
• Recuperar contraseñas de archivos zip cifrados

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Confidencialidad
Práctica de laboratorio: examen de Telnet y SSH en Wireshark

En esta práctica de laboratorio, completará los siguientes objetivos:

• Examinar una sesión de Telnet con Wireshark

• Examinar una sesión SSH con Wireshark

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
16.4 Resumen básico de
integridad y autenticidad

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
Resumen básico de integridad y autenticidad
¿Qué aprendí en este módulo?

• Los cuatro elementos de las comunicaciones seguras son la integridad de los datos, la
autenticación del origen, la confidencialidad de los datos y el no repudio de los datos.
• Hashing se basa en una función matemática unidireccional que es relativamente fácil de calcular,
pero significativamente más difícil de revertir.
• Una función hash H toma una entrada x y devuelve un valor hash de cadena de tamaño fijo h.
• Las cuatro funciones hash conocidas son MD5 con resumen de 128 bits, SHA-1, SHA-2 y SHA-3.
• Para agregar autenticación de origen y garantía de integridad, use un código de autenticación de
mensajes hash con clave (HMAC).
• Las características esenciales de la gestión de claves son la generación de claves, la verificación
de claves, el intercambio de claves, el almacenamiento de claves, la vida útil de las claves y la
revocación y destrucción de claves.
• Dos términos que se utilizan para describir las claves son longitud de clave y espacio de clave .
• Una clave que tiene n bits produce un espacio de claves que tiene 2^n valores de clave posibles.
Al agregar un bit a la clave, el espacio de claves se duplica efectivamente.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
Resumen básico de integridad y autenticidad
¿Qué aprendí en este módulo? (Continuación)

• Las claves criptográficas incluyen claves simétricas, claves asimétricas, firmas digitales y claves
hash.
• La fuerza de un algoritmo moderno depende del tamaño de la clave.
• Un administrador debe encontrar un buen equilibrio entre la velocidad y la fuerza de protección
de un algoritmo.
• Las dos clases de cifrado utilizadas para proporcionar confidencialidad de datos son asimétricas
y simétricas.
• Los algoritmos de cifrado simétrico como DES, 3DES y AES se basan en la premisa de que cada
parte que se comunica conoce la clave precompartida.
• Los algoritmos de cifrado asimétrico, como RSA y PKI, están diseñados para que la clave que se
usa para el cifrado sea diferente de la clave que se usa para el descifrado.
• DH se usa comúnmente cuando se intercambian datos usando una VPN IPsec y se intercambian
datos SSH.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
Resumen básico de integridad y autenticidad
Nuevos Términos y Comandos
• Algoritmos hash seguros (SHA) • almacenamiento de llaves
• Algoritmo de resumen de mensajes MD5 • vida útil clave
• autenticación de origen • revocación de clave
• código de autenticación de mensajes basado en • destrucción de llaves
hash (HMAC) • longitud de clave
• no repudio de datos • espacio de teclas
• picadillo • Algoritmo de Rivest, Shamir y Adleman (RSA)
• función hash • Estándar de cifrado de datos (DES) y 3DES
• valor hash • Estándar de cifrado avanzado (AES)
• huella digital • cifrado simétrico
• Abrir primero la ruta más corta (OSPF) • cifrado asimétrico
• actualización del estado del enlace (LSU) • cifrados de flujo
• gestión de claves • Algoritmo de cifrado optimizado por software (SEAL)
• generación de claves • Algoritmos de la serie Rivest ciphers (RC)
• verificación clave • Intercambio de claves de Internet (IKE)
• intercambio de llaves

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
Resumen básico de integridad y autenticidad
Nuevos Términos y Comandos (Cont.)
• Capa de conexión segura (SSL)
• Seguridad de la capa de transporte (TLS)
• Bastante buena privacidad (PGP)
• Diffie Hellman (DH)
• Estándar de firma digital (DSS)
• Algoritmo de firma digital (DSA)
• EIGamal
• Técnicas de curva elíptica
• Llave pública
• llave privada

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50