CRIPTOGRAFÍA5º CURSO DE INGENIERÍA INFORMÁTICA
E.T.S.I. Informática
Universidad de Sevilla
Curso 2007/2008
Introducción
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
NECESIDAD DE LA SEGURIDAD
Siempre hay oponentes.
Un remedio : no tener secretos, pero
¿y si no es posible?
◦ Existencia de datos sensibles.
◦ Privacidad.
◦ Necesidad de autenticación.
◦ Etc.
Necesidad de la seguridad
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
NO SÓLO SECRETO
o Privacidad
◦ Un adversario no debe poder acceder al contenido de la información.
o Integridad
◦ El usuario de la información debe poder verificar que ésta no ha sido alterada por agentes no autorizados.
o Autenticación
◦ El usuario de la información debe convencerse a sí mismo de que ésta ha sido originada por agentes autorizados.
o Firma
◦ El usuario de la información debe poder convencer a otros de que ésta ha sido originada por agentes autorizados.
o No repudio
◦ El autor de la información no puede negar que él la ha originado. El
receptor de una información no puede negar que lo ha recibido.
o Control de acceso
◦ El acceso a la información está controlado por el sistema, que sólo lo
permita a agentes autorizados.
o Disponibilidad
◦ La información está disponible para los agentes autorizados cuando éstos
la solicitan.
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
ATAQUES Y DEFENSAS
o Ataques de seguridad◦ Acciones que comprometen la seguridad de la
información.
◦ Pueden ser activos o pasivos.
o Mecanismos de seguridad◦ Procedimientos para:
Prevenir un ataque.
Detectar un ataque.
Recuperar la información tras los daños causados por un
ataque.
o Servicios de seguridad◦ Servicios que hacen uso de varios mecanismos de
seguridad para proteger la información de los ataques.
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
ATAQUES PASIVOS
• El oponente intenta sólo obtener la información sin
intención de modificarla.
• Difíciles de detectar.
• Defensa: mecanismos de prevención, más que de detección.
Obtención de la
información
Análisis del
tráfico
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
ATAQUES ACTIVOS
• El oponente no sólo pretende obtener la
información sino también modificarla.
• Difíciles de prevenir.
• Fáciles de detectar.
• Defensa: mecanismos de detección y recuperación.
Suplantación
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
ATAQUES ACTIVOS
Repetición
Modificación
Interrupción
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
SERVICIOS DE SEGURIDAD
EspecíficosPueden incorporarse alguna capa de protocolo.
• Cifrado.
• Firma digital.
• Control de acceso.
• Integridad de los datos.
• Intercambio de autentificación.
• Relleno del tráfico.
• Control de enrutamiento.
• Notarización.
GeneralesNo están incorporados en ninguna capa de protocolo.
• Funcionalidad fiable.
• Etiquetas de seguridad.
• Detección de acciones.
• Integridad de los datos.
• Informes para auditorías de
seguridad.
• Relleno del tráfico.
• Recuperación de la seguridad.
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
¿QUÉ ES LA CRIPTOGRAFÍA?
Qué es y qué hace:
◦ Herramienta básica para todos los servicios de seguridad.
◦ Se ocupa de la seguridad de las comunicaciones en
presencia de adversarios.
Una definición:
◦ Estudio de las técnicas matemáticas relacionadas con la
seguridad de la información, confidencialidad, integridad de
datos, autentificación y reconocimiento del origen de los
datos.
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
• Proceso de cifrar y descifrar:
• Cifrado:
◦ Proceso de obtención del texto cifrado a partir del texto en claro
◦ Incorrecto: encriptar, criptografiar, …
◦ No es lo mismo que codificar.
• Descifrado:
◦ Proceso de recuperación del texto en claro a partir del texto cifrado por parte de un agente autorizado.
◦ Incorrecto: desencriptar, decodificar, …
◦ No es lo mismo que descodificar.
CIFRAR Y DESCIFRAR
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
CRIPTOANÁLISIS
Criptoanálisis:
◦ Recuperación del texto en claro y/o las claves por parte de
un agente no autorizado.
◦ En función de los elementos que conozca el oponente
hablaremos de distintos tipos de criptoanálisis.
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
CRIPTOANÁLISIS
Tipos de criptoanálisis:
Tipo Denominación Información que posee el criptoanalista
1 Sólo texto cifrado • Algoritmo de cifrado.
• Texto cifrado a romper.
2 Texto claro conocido • Algoritmo de cifrado.
• Texto cifrado a romper.
• Una o más parejas de texto claro/texto cifrado.
3 Texto claro elegido • Algoritmo de cifrado.
• Texto cifrado a romper.
• Texto en claro elegido por el criptoanalista y el
correspondiente texto cifrado.
4 Texto cifrado elegido • Algoritmo de cifrado.
• Texto cifrado a romper.
• Texto cifrado elegido por el criptoanalista y el correspondiente
texto claro.
5 Texto elegido • Algoritmo de cifrado.
• Texto cifrado a romper.
• El criptoanalista tiene acceso a la maquinaria de cifrado y puede
generar todas las parejas que desee de texto claro/texto cifrado
con la misma clave que el que quiere romper.
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
SEGURIDAD COMPUTACIONAL
Un sistema es computacionalmente seguro si cumple alguna de las condiciones siguientes:◦ El coste del criptoanálisis excede el valor de la información
obtenida.
◦ El tiempo necesario para el criptoanálisis excede el tiempo de vida útil de la información.
Son necesarias suficientes pruebas.
En las pruebas debemos suponer que el oponente es muy capaz:◦ Conoce el criptosistema utilizado.
◦ Conoce la naturaleza del texto en claro (sabe qué busca).
◦ Si encuentra el texto en claro, sabe que lo ha encontrado.
◦ Tiene capacidad suficiente.
◦ Tiene suficientes recursos.
Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos
Criptografía – 5º Curso de Ingeniería Informática – Universidad de Sevilla
ATACANTES Y SUS RECURSOS
Recurso Adolescente Académico Crimen Gobierno
Tiempo Limitado Moderado Mucho Mucho
Presupuesto <1.000€ <100.000€ >100.000€ ¿ ?
Creatividad Variable Alta Variable Variable
Detectabilidad Alta Alta Baja Baja
Objetivo Reto Publicidad Dinero Variable
Número Muchos Moderado Pocos ¿ ?
Organizado No No Sí Sí
Fuente: Cryptography Research, Inc. “Crypto Due Diligence”
Según un estudio realizado, en la siguiente tabla se agrupan los tipos de
atacantes según los recursos de que disponen:Necesidad de la
seguridad
No sólo secreto
Ataques y
defensas
Ataques pasivos
Ataques activos
Servicios de
seguridad
¿Qué es la
Criptografía?
Cifrar y descifrar
Criptoanálisis
Seguridad
computacional
Atacantes y sus
recursos