Overblog Seguir este blog
Edit post Administration Create my blog

Javier Enrique Padilla Hernandez

Javier Enrique Padilla Hernandez

Ingeniero de Sistemas

Criptografía y Seguridad

Publicado por Ing. Javier Padilla. activado 9 Diciembre 2014, 16:59pm

Javier Enrique Padilla Hernández

Universidad Nacional Abierta Y A Distancia - UNAD

Sincelejo - Sucre, Colombia

jaenpaher@ingenieros.com

Resumen La criptografía, es una técnica que se implementa cada día más, y permite garantizar la confidencialidad, e integridad de la información que se maneja en el día a día, y que es de mucha importancia para las personas o empresas.

Palabras clave—Firma digital, Cifrado, infraestructura de clave pública.

Abstract— Cryptography is a technique that is implemented every day, and ensures the confidentiality and integrity of the information used in day to day, and that is very important for individuals or companies.

Keywords— Digital Signature, Encryption, Public Key Infrastructure.

I. INTRODUCCIÓN

Con el pasar de los tiempos, la seguridad se hace muy importante, y cada día hay personas que tienen mucho conocimiento sobre los diferentes mecanismos que se utiliza para proteger la información de las personas y empresas y los software utilizados para cifrar y descifrar la información, garantizando la manipulación adecuada de este activo que es uno de los más importantes, para lograr suplir los inconvenientes se debe contar con muchos conocimientos como los de Criptografía, cifrado, firmas digitales y las diferentes herramientas a utilizar para alcanzar lo deseado.

II. MARCO TEORICO

Con el pasar del tiempo, se escucha con mucha fuerza la palabra criptografía y los diferentes conceptos que se deriva de esta, aunque no se aplica como debe ser.

CRIPTOGRAFÍA.

La Criptografía es una tecnica muy usada que permite salvaguardar una información, utilizando un metodo de cifrado y haciendo intendible el mensaje a personas que logren intersectar el mensaje sin ser autorizado.

La criptografía utiliza un mecanimos de autentificación por medio de llaves, como la es la llave simétrica y la llave Asimétrica.

LLAVE SIMÉTRICA

La llave simétrica consiste en utilizar una sola llave para cifrar información y se utiliza la misma llave para decifrar dicha información, aunque mucha gente no tiene encuenta las medidas necesarias para distribuir este tipo de llaves, ya que el canal que utilizan para distribuir la llave, en mucha ocaciones no es seguro.

Ilustración 1. Criptografía simétrica[1]

LLAVE ASIMÉTRICA

La llave Asimétrica utiliza una llave privada para cifrar información, y otra llave que es llamabada publica para descifrar la información.

Ilustración 2. criptografía asimétrica[2]

FIRMA DIGITALES.

Las firmas digitales es un mecanismo muy usado en la actualidad, y que permite al receptor establecer el origen de dicho mensaje y el no repudio del mismo, garantizando que proviene de una funte confiable y legítima.

La firma digital es utilizada en ciertas áreas que es importante el verificar la autenticidad y la integridad de la información que se está emitiendo.

Las personas con funden lo que son las firmas digitales con claves o firmas digitalizadas, como por ejemplo:

Ilustración 3. Firmas Digitalizadas[3]

CERTIFICADO DIGITAL

Un certificado digital, también conocido como certificado electrónico, es un fichero informático generado por una empresa que brinda los servicios de certificación digital, asociando los datos de identidad de una persona o empresa, creando una identificación digital que podrá ser utilizado en Internet.

En Colombia exite CERTICAMARA, es una entidad de certificación autorizada por la superintendencia de industria y comercio del pais.

MD5 - MESSAGE DIGEST ALGORITHM 5

Es uno de los algoritmo mas usados en la actualidad, y trabaja con una reducción criptográfico de 128 bits.

Si se utiliza un programa, se puede crear un código MD5 propio, para que la persona que lo utilice, pueda comprobar la integridad del archivo. Otra utilidad que se puede aplicar el MD5, es para identificar, si un archivo ha sido modificado.

Muchas personas piensan que MD5 es bueno, pero no es 100% bueno, ya que se ha demostrado que es inseguro, porque han descubrierto que hay la posiblilidad de realizar colisiones, y recomiendan usar hash, ya que el MD5 no es conveniente para realizar aplicaciones como SSL certificados o firmas digitales.

VULNERABILIDADES DE MD5

Se pueden dar dos tipos principales de vulnerabilidades en los algoritmos de resumen y su seguridad se mide en base a los resultados de la evaluación de estas vulnerabilidades.

  • Resistencia a la preimagen o resistencia a ataques de fuerza bruta. Numéricamente, estos ataques suponen aplicaciones de la función hash 2n veces, siendo n la longitud del resumen.

  • Resistencia a colisiones o a la localización de dos mensajes de entrada que den lugar a un mismo resumen para un mismo algoritmo de cifrado hash (segunda preimagen). Teóricamente se cumple que para confiar en que podemos encontrar dos mensajes que colisionen, no hay que realizar 2n operaciones, sino sólo 2n/2.”[4]

COLISIONES EN MD5

Cuando se habla de las colosiones en MD5, se quiere decir que “una colisión de hash es una situación que se produce cuando dos entradas distintas a una función de hash producen la misma salida”[5]

Se han publicado MD5 arco iris tablas en línea, donde se puede identificar carios valores que se puede utilizar para revertir algunos valores hash MD5, y estos son normalmente utilizado para el craqueo de contraseña.

“Ahora que es fácil de generar colisiones MD5, es posible que la persona que creó el archivo para crear un segundo archivo con el mismo de suma de comprobación, por lo que esta técnica no puede proteger contra algunas formas de manipulación malicioso.”[6]

Aunque dicen que matematicamente es imposible que la función Hash se produzca colisiones, se ha demostrado que si es posible, y es por causa de los malos algoritmos, y muschos expertos recomiendan utilizar SHA-1,

CONTRASEÑAS INSEGURAS

“El protocolo HTTPS está diseñado para proteger los datos del usuario de interferencias (violacion de confidencialidad) y de modificaciones (violacion de integridad) en la red. Los sitios Web que administran datos privados de usuarios debieran usar HTTPS para protegerlos de los hackers. Sin este protocolo, es bastante fácil robar información del usuario (como las credenciales de inicio de sesión).”[7]

Por más que hay campañas en televisión, internet y demás medios, las personas siguen utilizando contraseñas muy debiles que son de facil acceso para las personas inescrupulosas, por tal motivo las empresas de correo electtrónico están optando por obligar a los usuarios a cambiar en varias ocaciones las contraseñas y realizando preguntas que se usaron cuando se creo la cuenta de usuarios, para asegurar que sea la personas adecuada que está manipulando la cuenta.

SHA-1 - SECURE HASH ALGORITHM 1

SHA-1 Es un algoritmos que es utilizado para realizar verificaciones de integridad de archivos digitales; y es uno de los más usado en la actualidad.

Hace algun tiempo, se dieron a conocer unas fallas en la segurridad del algortimo SHA-1, lo que lleva a decir que exite una debilidad matemática, lo que conlleva a elaborar una función hash más segura y fuerte; por tal motivo se ha dado a conocer el SHA-2, donde se han provado los ataques del SHA-1 y no se han obtenido éxitos, como tampoco se han encontrado colisiones..

INFRAESTRUCTURA DE CLAVE PÚBLICA - (PKI)

Las PKI son una serie de componentes de hardware y software y procedimientos de seguridad. Esta mezcla va a permitir asegurar que se realicen una serie de operaciones criptográficas, que permitirá llevar acabos cifrados.

La utilización de las PKI, van a permitir autenticar el usuario, no repudio y la integridad de la información, permitiendo garantizar que la información es genuina y no posee alteraciones por partes de personas no autorizada.

El implementar las PKI no garantiza la seguridad completa, ya que existen muchas aplicaciones que no son completas, por ejemplo, hay herramientas PKI que solo aplican firmas digitales a documento con formatos PDF, ¿Y los demás archivos?; lo ideal es contar con la herramienta más adecuada, que permita firmar cualquier tipo de documento.

Y si se cuenta con una herramienta muy buena para poder firmar cualquier tipo de documento, existe una debilidad bien grande, y radica en dónde se almacena la clave privada del certificado.

Las smartcards y tokens usb, son un medio de almacenamiento muy seguro, a diferencia que los pendrive, cualquier persona con acceso a un equipo, puede tener acceso a los certificados digitales que se hayan almacenado, ocasionando que se mal utilice dichos certificado, logrando ocasionar daños alguno, pero varias empresas generadoras de estos certificados, cuentan con tokens usb con tecnología PKI, que permiten bloquear el certificado si se realizan varios intentos y son fallidos.

“Los diferentes productos como son las smartcards, tokens usb, etc, permiten la portabilidad de claves, certificados y credenciales digitales, lo que significa que su identidad estará protegida ya que los mismos cumplen con la premisa del “doble factor de autenticación” que es algo que tengo, el “token usb”, y lo que conozco, la “password” o pin del dispositivo.”[8]

IV. REFERENCIAS

Informática Hoy. Que es la Criptografía. Disponible en línea: http://www.informatica-hoy.com.ar/seguridad-informatica/Criptografia.php

CERTICAMARA. Disponible en línea: https://web.certicamara.com/productos-y-servicios/certificados-de-firma-digital/

LANSURF. ¿Qué es SHA1?. Disponible en línea: http://lansurf.com/index.php/es/descargar-modulo-base/124-sha1.html

E-CENTRO. MD5, Historia y criptoanálisis, Seguridad, Aplicaciones, Algoritmo, MD5 hashes, Implementación sencilla. Disponible en línea: http://centrodeartigo.com/articulos-enciclopedicos/article_92665.html

MOZILLA DEVELOPER NETWORK – MDN. Constraseñas Inseguras. Disponible en línea: https://developer.mozilla.org/es/docs/Seguridad/Contrase%C3%B1asInseguras

MACROSEGURIDAD. IDENTIDAD DIGITAL. Disponible en línea: https://www.macroseguridad.net/soluciones/solucion_identidad.htm

GENBETA: dev. Tipos de criptografía: simétrica, asimétrica e hibrida Disponible en línea: http://www.genbetadev.com/seguridad-informatica/tipos-de-criptografia-simetrica-asimetrica-e-hibrida

WIKIPEDIA. Criptografía asimétrica. Disponible en línea: http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica

Javier Padilla nació en Sincelejo - Sucre, el 11 de junio de 1986. Se graduó en el Institución Educativa Técnico Industrial Antonio Prieto, en Sincelejo, y realizo sus estudios universitarios en la Fundación Universitaria San Martí CAT – Sincelejo.

Su experiencia como ingeniero de sistemas, incluye la empresa Ing. Civil Remberto Amell, Constructores JR S.A.S., y su experiencia como docente en la institución técnico laboral, Centro Educativo Regional de Sucre “CERS”, por dos años y medio, como docente en el área de Análisis y Desarrollo de Sistema de Información, y en la Corporación Universitaria Remington como docente en la facultad de Ingeniería de Sistemas.

[1] GENBETA: dev. Tipos de criptografía: simétrica, asimétrica e hibrida Disponible en línea: http://www.genbetadev.com/seguridad-informatica/tipos-de-criptografia-simetrica-asimetrica-e-hibrida

[2] WIKIPEDIA. Criptografía asimétrica. Disponible en línea: http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica

[3] Cámara De Comercio De Bogotá. ¿Qué no es una firma digital?. Disponible en línea: http://www.ccb.org.co/contenido/contenido.aspx?catID=107&conID=5087

[4] ELEVEN PATHS. MD5: vulnerabilidades y evoluciones (y II). Disponible en línea: http://blog.elevenpaths.com/2013/11/md5-vulnerabilidades-y-evoluciones-y-ii.html

[5] WIKIPEDIA. Colisión (hash). Disponible en línea: http://es.wikipedia.org/wiki/Colisi%C3%B3n_(hash)

[6] E-CENTRO. MD5, Historia y criptoanálisis, Seguridad, Aplicaciones, Algoritmo, MD5 hashes, Implementación sencilla. Disponible en línea: http://centrodeartigo.com/articulos-enciclopedicos/article_92665.html

[7] MOZILLA DEVELOPER NETWORK – MDN. Constraseñas Inseguras. Disponible en línea: https://developer.mozilla.org/es/docs/Seguridad/Contrase%C3%B1asInseguras

[8] MACROSEGURIDAD. IDENTIDAD DIGITAL. Disponible en línea: https://www.macroseguridad.net/soluciones/solucion_identidad.htm

Para estar informado de los últimos artículos, suscríbase:

Comentar este post