-
Ciclo Formativo de Grado
Superior de Administracin de
Sistemas Informticos en Red
Mdulo Profesional: SADU.T.6.- Criptografa en comunicaciones y
proteccin de la informacin
Departamento de Informtica y ComunicacinIES San Juan Bosco (Lorca-Murcia)Profesor: Juan Antonio Lpez Quesada
http://www.carm.es/neweb2/servlet/integra.servlets.ControlPublico?IDCONTENIDO=816&IDTIPO=140&RASTRO=c77$mhttp://www.iessanjuanbosco.es/
-
3
Recurso Multimedia Adicional
Principios de la Criptografa
Resolucin del problema de seguridad del secreto
Criptografa Simtrica y Asimtrica
Algoritmos
Funcin resumen: Resolucin del control de integridad
Resolucin del repudio: Firmas digitales
Certificados Digitales
PKI
Referencias WEB
Enlaces a Herramientas SW
Prcticas/Actividades
-
4
Profundizar en aspectos de criptografa asociada a laconfidencialidad de la informacin y de las comunicaciones.
Garantizar la confidencialidad de la informacin.
Garantizar la privacidad de las comunicaciones.
Diferenciar ventajas e inconvenientes de la criptografa simtrica y asimtrica.
Analizar nuevos procesos de identificacin digital seguros mediante firma digital, certificado digital y DNI electrnico.
-
5
La palabra "Criptografa" viene del griego"Kryptos", escondido, y "Graphos", escritura. Esdecir, cuando hablamos de Criptografa estamoshablando de "Escritura escondida". Se trata deescribir algo de manera que otra persona quequiera leer lo que hemos escrito no puedaentenderlo a no ser que conozca cmo se haescondido.
Los sistemas criptogrficos estn teniendo ungran auge ltimamente ante el miedo de queuna transmisin en Internet pueda serinterceptada y algn desaprensivo puedaenterarse de alguna informacin que nodebera. Y no estamos hablando de un correoelectrnico en el que organizamos lasvacaciones con los amigos, nos referimos a, porejemplo, una transaccin comercial de cientosde miles de euros o una informacin sobredeterminados temas empresariales que podrahacer las delicias de un competidor.
-
6
La importancia de los nmeros primos
Una de las tareas que ms tiempo ocupa a los grandes sistemas de ordenadores es elclculo de nmeros primos cada vez mayores. Su objetivo es poder obtener un nmeroque sirva para cifrar mensajes y que luego sea muy complicado descifrarlos.
Vamos a ver cmo se podra cifrar un mensaje en funcin de un nmero primo. Cadaletra en un mensaje tiene un nmero asociado que nunca vara. El nmero estestablecido por el cdigo denominado "American Standard Code for InformationInterchange" (ASCII). El conjunto de caracteres ASCII define cada carcter con unnmero que va desde el 0 al 255. Por ejemplo, la letra "A" mayscula tiene el cdigo 65,la "z" minscula tiene el cdigo 122, etc. Cualquier texto escrito en un ordenador sepuede trasladar a notacin ASCII. Por ejemplo, en cdigo ASCII la palabra "antivirus" es:
97 110 116 105 118 105 114 117 115
As tenemos una cadena de nmeros (que es como realmente se transmite lainformacin digitalmente) que podramos multiplicar por un nmero que sea lamultiplicacin de dos nmeros primos. Si elegimos, por ejemplo, 14 (multiplicando 2 y7), la cadena de nmeros nos quedara as:
1358 1540 1624 1470 1652 1470 1596 1638 1610
-
7
La persona que quiera leer lo que pone primero deber averiguar cul es el nmero quehemos utilizado para cifrar la informacin. Y para ello deber adivinar cules son los dosfactores que hemos utilizado para cifrar la informacin. Evidentemente, en este ejemploes muy fcil, 14 es 7 por 2, no hace falta ninguna titulacin en Matemticas ms all dela obtenida cuando estbamos en primaria.
Sin embargo, si utilizamos nmeros muy grandes, el problema se complica. Por ejemplo,si utilizamos el nmero 2.591.372.723, su descomposicin en dos factores primos ya noes tan inmediata. A pesar de eso, en muy poco tiempo veramos que es el producto de97.453 y 26.591.
La longitud de estos nmeros (lo que se llama el"tamao de la clave") es primordial para que uncifrado sea ms o menos efectivo. En el primerejemplo, si pasamos a notacin binaria el nmero14 veramos que se escribe 1110, un nmero de4 bits. El segundo ejemplo, 2.591.372.723, seescribe en binario como10011010011101010011010110110011, 32 bits.Y en los sistemas de cifrado actuales una clave demenos de 400 500 bits se considera ridcula.
Lo ms normal es utilizar, como poco, 1.024bits de longitud de clave!!!
-
8
Leccin 1. Historia de la criptografa y su desarrollo en
Europa
Leccin 2. Sistemas de cifra con clave secreta
Leccin 3. Sistemas de cifra con clave pblica
Leccin 7. Seguridad en aplicaciones web
Leccin 8. Protocolo de reparto de secretos
Leccin 9. Introduccin al protocolo SSL
Leccin 10. Ataques al protocolo SSL
http://www.criptored.upm.es/intypedia/video.php?id=historia-criptografia&lang=eshttp://www.criptored.upm.es/intypedia/video.php?id=criptografia-simetrica&lang=eshttp://www.criptored.upm.es/intypedia/video.php?id=seguridad-web&lang=eshttp://www.criptored.upm.es/intypedia/video.php?id=reparto-secretos&lang=eshttp://www.criptored.upm.es/intypedia/video.php?id=introduccion-ssl&lang=eshttp://www.criptored.upm.es/intypedia/video.php?id=ataques-ssl&lang=eshttp://www.criptored.upm.es/intypedia/video.php?id=criptografia-asimetrica&lang=es
-
9
dis.um.es/~lopezquesada/documentos/IES_1213/SAD/curso/UT6/SCEJAVA.pdf
-
10
Desde que el hombre es capaz de comunicarse por escrito, ha tenido lanecesidad de preservar la privacidad de la informacin en la transmisin demensajes confidenciales entre el emisor y el receptor.
Esta necesidad en algunos casos se ha convertido en crucial, como porejemplo en las guerras, la interpretacin de un mensaje de las tropasenemigas podra suponer la victoria. Hoy en da, esas guerras se desatanentre las empresas del mismo sector, que luchan por expandir su mercado.Estas suelen ser grandes multinacionales, con distintas sedes, que precisanintercambiar gran cantidad de informacin confidencial entre sustrabajadores. La interpretacin de estos datos por compaas de lacompetencia les puede hacer perder cantidades ingentes de dinero y detiempo.
Desde el principio de la historia del hombre surge la necesidad degarantizar la confidencialidad de la informacin, por eso se handesarrollado diversas tcnicas de enmascaramiento u ocultacin de lainformacin, siendo en la actualidad uno de los principales objetivosque persigue la seguridad informtica.
-
11
Las redes de ordenadores (en suconcepcin inicial y en sus primerosusos) fueron usadas generalmentepara el envo de correo electrnico ypara compartir recursos,generalmente impresoras, enempresas de mediano/gran tamao.
En estas condiciones la seguridad dela informacin que circulaba por esasredes careca prcticamente deimportancia y no fue objeto deatencin. Sin embargo, en laactualidad millones de personas usanlas redes informticas paratransacciones bancarias, compras,etc., con lo que la seguridad aparececomo una necesidad a cubrir.
-
12
Los problemas de seguridad de lasredes pueden dividirse de forma generalen cuatro reas interrelacionadas:
El secreto, encargado de mantener la informacin fuera de las manos deusuarios no autorizados.
La validacin de identificacin, encargada de determinar la identidad de lapersona u ordenador con el que se establece una comunicacin.
El control de integridad, encargado de asegurar que un mensaje recibido esrecibido con el contenido enviado por la otra parte, y no un mensajemanipulado por un tercero.
El no repudio, encargado de asegurar la firma de los mensajes, de igualforma que se firma en papel cualquier operacin realizada por las personas,como pueden ser una operacin de compra/venta, la firma de las notas de unexamen.
-
13
Aunque muchos de estos problemas tratan de resolverse encapas de la red que se encuentran por debajo de la capa deaplicacin, por ejemplo en la capa de red pueden instalarsemuros de seguridad para mantener adentro (o afuera) lospaquetes, en la capa de transporte pueden cifrarse conexionesenteras terminal a terminal, ninguna de ellas resuelvecompletamente los problemas de seguridad antesenumerados.
La resolucin de estos problemas de seguridad serealiza como una parte previa o de apoyo de la capade aplicacin. A continuacin se exponen distintassoluciones a los problemas planteados conanterioridad, esto es, el secreto, la validacin deidentificacin, el control de integridad y el no repudio.
-
14
La resolucin del problema del secreto en la red (y del secreto de losmensajes en cualquier sistema de comunicacin), ha estado siempreunido al cifrado (codificacin) de los mensajes.
Hasta la llegada de las computadoras, la principal restriccin del cifradoconsista en la capacidad del empleado encargado de la codificacin pararealizar las transformaciones necesarias y en la dificultad de cambiarrpidamente el mtodo de cifrado, pues esto implicaba entrenar a unagran cantidad de personas.
Los mensajes a cifrar, conocidos como texto normal, se transformanmediante una funcin parametrizada por una clave. La salida del cifrado,conocida como texto cifrado, es transmitida despus. Si un intrusoescucha y copia el texto cifrado, a diferencia del destinatario original, noconoce la clave de cifrado y no puede descifrar fcilmente el texto cifrado.
El arte de descifrar se llama criptoanlisis y la persona que desciframensajes cifrados se conoce como criptoanalista. El arte de disearcifradores se conoce como criptografa y a la unin de ambos se la conocecomo criptologa.
-
15
A partir de aqu usaremos C=Ek(P) para indicar que el cifrado del textonormal P usando la clave K da el texto cifrado C. Del mismo modoP=Dk(C) representa el descifrado de C para obtener el texto normalnuevamente, por lo que Dk(Ek(P))=P. Esta notacin sugiere que E y D sonslo funciones matemticas de dos parmetros, de los cuales hemosescrito uno (la clave) como subndice, en lugar de como argumento, paradistinguirlo del mensaje.
Actualmente, las reglas fundamentales de la criptografa consiste ensuponer que el criptoanalista conoce el mtodo general de cifradousado, esto es, el criptoanalista conoce E, pues la cantidad deesfuerzo necesario para inventar, probar e instalar un mtodo nuevocada vez que el viejo es conocido hace impracticable mantenerlo ensecreto, y que no conoce la clave, que consiste en una cadenarelativamente corta que selecciona uno de los muchos cifradospotenciales y que puede ser cambiada de forma sencilla con lafrecuencia deseada.
Un ejemplo sencillo es una cerradura de combinacin. Todo el mundo conoce como funciona,
pero la clave es secreta. Una longitud de clave de tres dgitos significa que existen 1000
posibilidades, una longitud de clave de seis dgitos implica un milln de posibilidades.
-
16
La construccin de un cifrado inviolable es bastante sencilla. La tcnica seconoce desde hace dcadas y consiste en escoger una cadena de bits alazar como clave. Luego se convierte el texto normal en una cadena debits, por ejemplo usando su representacin ASCII. Por ltimo, se calculael or exclusivo (XOR) y cuya tabla de valores lgicos puede verse en lasiguiente figura, de estas dos cadenas, bit por bit.
El texto cifrado resultante no puededescifrarse porque cada texto normal posiblees un candidato igualmente probable. Eltexto cifrado no proporciona al criptoanalistaninguna informacin en absoluto. En unamuestra suficientemente grande de textocifrado, cada letra ocurrir con la mismafrecuencia, al igual que cada digrama(combinacin de dos letras) y cada trigrama(combinacin de tres letras). Como ejemplo,cifremos el mensaje "texto cifrado" con lacadena "En un lugar de la Mancha de cuyonombre"
-
17
Si procedemos ahora a descifrarlo con la clavede codificacin, obtenemos el mensaje original:
Sin embargo, este mtodo tiene varias desventajas prcticas. En primer lugar, la clave nopuede memorizarse, por lo que tanto el transmisor como el receptor deben llevar unacopia por escrito consigo. Adems, la cantidad total de datos que pueden transmitirse estlimitada a la cantidad de clave disponible. Otro problema es la sensibilidad del mtodo a laprdida o insercin de caracteres. Si el transmisor y el receptor pierden la sincrona, todoslos datos a partir de ah aparecern alterados.
-
18
Etimolgicamente, criptografa proviene de dos palabras del griego:
Cripto escondidoGrafa escritura
Es la ciencia que estudia el diseo de cdigos secretos y lainterpretacin de mensajes cifrados.Podemos definir la criptografa como la ciencia que estudia la
escritura oculta, es decir, aquella que ensea a disear cdigossecretos y la operacin inversa, a interpretar los mensajes cifrados.La criptografa se basa en que un emisor emite un mensaje en claro,
que es tratado mediante un cifrador con la ayuda de una clave, paracrear un texto cifrado. Este texto cifrado, por medio de un canal decomunicacin establecido, llega al descifrador que apoyndose endiversos mtodos como veremos ms adelante, extrae el textooriginal.
Cifrador Descifrador
Medio deTransmisor Transmisin Receptor
M C
Mensaje cifrado
T RMT
C M
-
19
Son muchos los algoritmos utilizados para encriptar textos a lo largo de la historia, vamos a ver los ms importantes:
La Escitala
El primer caso claro de uso de mtodos criptogrficos se diodurante la guerra entre Atenas y Esparta.
El mtodo consista en enrollar una cinta sobre un bastn orodillo, llamado escitala, y posteriormente escribir elmensaje en forma longitudinal. Despus la cinta sedesenrollaba del bastn y era enviado mediante unmensajero.
Si el mensajero era atrapado por los enemigos, sloobtendran un conjunto de caracteres sin sentido. El receptorslo podra interpretar el mensaje siempre y cuando tuvieseun bastn similar al que se utiliz para ocultar el mensaje, esdecir, una vara con el mismo dimetro.
-
20
Como podemos ver en la imagen, el mensaje es es elprimer mtodo de encriptacin conocido, pero en la cinta loque se podra leer es:
EMCCSEROETINLOPOPDTCROAIIDCDMEIOEEOR NN.
-
21
El cifrador de Polybios
A mediados del siglo II antes de Cristo, los griegos desarrollaronotro mtodo conocido con el nombre de quien se cree que lodesarroll, el historiador Polybios.
El cifrado consista en sustituir cada letra del mensaje original por elpar de letras o nmeros que indicaban la fila y columna en la cual seencontraba.
La siguiente tabla muestra la correspondencia de letras para utilizarel cifrador de Polybios:
Veamos un ejemplo: El mensaje que queremos enviar es El cifrador de
Polybios, y el mensaje cifrado que enviaremos es AECA
ACBDBADBAAADCDDB ADAE CECDCAEDAB.
-
22
Cifrado de Cesar
En el siglo I antes de Cristo los romanos desarrollan el cifrador del Csar, cuyomtodo consista en sustituir cada carcter por otro, resultado de desplazartres posiciones hacia la derecha el carcter original del alfabeto utilizado.
En la siguiente tabla podemos ver la correspondencia entre el alfabeto quehemos cogido como original y el alfabeto cifrado:
Este alfabeto original es similar al del castellano excepto en las letras: H, J, y W.
Veamos un ejemplo: El mensaje que queremos enviar es sic amote ut sin eteiam viverem non posit (de tal manera te amo que sin ti no podra vivir), y elmensaje cifrado que enviaremos es VMF DPRXI YX VMQ IXI MDP ZMZIUIPQRQ SRVMX.
Una de las vulnerabilidades que presenta el cifrador del Csar es lacorrespondencia existente entre el alfabeto original y el del cifrado. No esdifcil descifrar los secretos de los mensajes si analizamos la frecuencia de lasletras. La letra ms utilizada en los mensajes originales es la e, as la letrams utilizada en el mensaje cifrado debe corresponderse con la letra e delalfabeto original.
-
23
Vigenre
En el siglo XV Len Battista Alberti escribi un ensayo dondepropona utilizar dos o ms alfabetos cifrados, alternandoentre ellos durante la codificacin. Sin embargo, Alberti nologr desarrollar ninguna mquina que pusiera en prctica suidea, y ser Blaise de Vigenre quien en el siglo XVIdesarrolle la idea de Alberti.
El cifrador de Vigenre utiliza veintisis alfabetos cifrados,obtenindose cada uno de ellos comenzando con la siguienteletra del anterior, es decir, el primer alfabeto cifrado secorresponde con el cifrador del Csar con un cambio de unaposicin, de la misma manera para el segundo alfabeto,cifrado con el cifrador del Csar de dos posiciones.
La siguiente tabla muestra el cuadro de Vigenre:
-
24
-
25
http://ddlr.servepics.com/rd.php?go=http://img707.imageshack.us/img707/3447/ejemploddlr3.jpghttp://ddlr.servepics.com/rd.php?go=http://img709.imageshack.us/img709/4029/tablavigenereexplicacio.jpghttp://ddlr.servepics.com/rd.php?go=http://img709.imageshack.us/img709/9109/ejemploddlr1.jpg
-
26
http://ddlr.servepics.com/rd.php?go=http://img13.imageshack.us/img13/4029/tablavigenereexplicacio.jpghttp://ddlr.servepics.com/rd.php?go=http://img64.imageshack.us/img64/1675/ejemploddlr2.jpghttp://ddlr.servepics.com/rd.php?go=http://img19.imageshack.us/img19/742/ejemploddlr.jpg
-
27
De esta manera el emisor podra cifrar la primera letra con el quintoalfabeto, la segunda con el dcimo alfabeto, la tercera con eldecimoquinto alfabeto, y as sucesivamente. Para descifrar elmensaje, el receptor debe saber qu lnea de la tabla de Vigenre hasido utilizada para codificar cada letra, por lo que previamente sehan tenido que poner de acuerdo. Esto se logra utilizando unapalabra clave.
La ventaja de este sistema es que no se puede descifrar elmensaje oculto analizando las frecuencias de las letras yaque una misma letra se corresponde con variascombinaciones distintas. Otra de las ventajas de estemtodo es que se pueden utilizar innumerables claves
-
28
Todos estos mtodos criptogrficos se fueron perfeccionando ymejorando segn avanzaba el tiempo. Es en la Segunda GuerraMundial cuando se hace imprescindible el uso de mquinas quecifren los mensajes para as evitar que el enemigo interceptaseinformacin sensible para el desarrollo de las operaciones.
Segn los ejemplos vistos anteriormente podemos hacer unaclasificacin de los mtodos de criptografa:
-
29
Sistemas de transposicin: como indica su nombre consiste endescolocar el orden de las letras, slabas o conjunto de letras. En funcindel nmero de transposiciones podemos clasificar los sistemas detransposicin en:
Sistemas de transposicin simple: cuando un texto en clarosolo es sometido a una transposicin.Sistemas de transposicin doble o mltiple: cuando se
realiza una segunda transposicin sobre texto que ya haba sidocifrado mediante transposicin simple. Con este mtodo seconsigue una mayor seguridad.
Sistemas de sustitucin: como su nombre indica se reemplazan algunasletras del alfabeto por otras o por un conjunto de ellas segn el mtodo.Segn el tipo de sustitucin se clasifica en:
Literal, se sustituyen letras por letras. Numricas, se sustituyen por nmeros. Esteganogrficas, se sustituyen por signos o se oculta el
mensaje tras una imagen, sonido, etc.
-
30
Hoy en da se utilizan fundamentalmente dos mtodos de cifrado, elprimero de ellos conocido como cifrado simtrico o de clave privada, elcual utiliza la misma clave para el cifrado y para el descifrado. Elsegundo, conocido como cifrado asimtrico o de clave pblica, utiliza unapareja de claves para el proceso de cifrado y descifrado.
Criptografa simtrica
VIDEO: Sistemas de cifrado con clave secreta
( http://www.youtube.com/watch?v=46Pwz2V-t8Q&feature=channel )
Criptografa asimtrica.-
VIDEO: Sistemas de cifrado con clave publica
( http://www.youtube.com/watch?v=On1clzor4x4&feature=channel )
http://www.youtube.com/watch?v=46Pwz2V-t8Q&feature=channelhttp://www.youtube.com/watch?v=46Pwz2V-t8Q&feature=channelhttp://www.youtube.com/watch?v=46Pwz2V-t8Q&feature=channelhttp://www.youtube.com/watch?v=On1clzor4x4&feature=channelhttp://www.criptored.upm.es/intypedia/video.php?id=criptografia-simetrica&lang=eshttp://www.criptored.upm.es/intypedia/video.php?id=criptografia-asimetrica&lang=es
-
31
Este mtodo se basa en un secreto compartido entre la entidadque cifra el mensaje y la que lo quiere descifrar, es decir, utilizala misma clave en el proceso de cifrado que en el descifrado.
Si analizamos los mtodos utilizados para salvaguardar laconfidencialidad de los mensajes desde los primeros tiempos dela criptografa hasta mediados de los setenta (prcticamentehasta nuestros das), veremos que slo se haca uso de mtodossimtricos, que exigan necesariamente que el emisor y elreceptor se pusieran previamente de acuerdo en la clave queiban a utilizar. El mtodo de Vigenre es un claro ejemplo de lodicho.
Supongamos que Virginia y Macarena quieren intercambiarinformacin confidencial. Antes de hacerlo, han de ponersede acuerdo sobre la clave a utilizar, pues si la receptora no laconociera, le sera imposible leer el mensaje.
-
32
-
33
Este mtodo tiene dos desventajas:
Como podemos deducir de lo explicado, es la que conlleva el intercambiode claves, ya que si las personas se conocen y estn fsicamente encontacto es ms o menos fcil comunicarse la clave a utilizar (Virginia yMacarena pueden quedar e intercambiarse las claves que utilizan, pero siVirginia y Macarena se encuentran separadas por miles de kilmetros, oincluso no se conocen, cmo se intercambiaran la clave?). Paraintercambiar la clave puede utilizarse el correo electrnico, el correoordinario, una llamada telefnica, pero todos ellos son medios decomunicacin inseguros. Cualquier intruso podra capturar la claveelegida, e incluso podra suceder que Virginia comunicase por error a otrapersona que no fuese Macarena, sino que se hiciera pasar por ella.
La cantidad de claves que una persona debe memorizar, supongamosque Macarena intercambia informacin confidencial con cincuentapersonas diferentes, con cada una de ellas utiliza una clave distinta ycada cierto tiempo modifica dichas claves por seguridad. Cuntas clavesdebera memorizar Macarena? Innumerables.
-
34
Vamos a ver cuntas claves son necesarias cuando cuatropersonas intercambian informacin confidencial entre ellasutilizando cifrado simtrico. Como vemos en la siguiente figura,son necesarias 6 claves diferentes. Cada una de las lneasrepresenta la clave intercambiada entre las parejas.
Gustavo
Virginia
Macarena
Fernando
-
35
En 1976, dos criptgrafos, Whitfield Diffie y Martin Hellman, publicaronun nuevo mtodo criptogrfico que solucionaba las desventajas de lacriptografa simtrica (la difcil distribucin de claves y el elevado nmerode claves necesarias).
La genial idea de estos investigadores estadounidenses consiste en quecada una de las partes involucradas en una comunicacin segura tienenuna pareja de claves. Una de ellas, pblica, que deber intercambiar concada una de las entidades con las que quiera comunicarse mensajessecretos, y otra de ellas privada, y que por tanto, jams debe comunicara nadie. S, has ledo bien, una de las claves, la pblica, se la comunicara todo el mundo sin que cree ninguna vulnerabilidad en lascomunicaciones, porque con ella nunca podra un intruso descifrar elmensaje.
Para cifrar un mensaje, el emisor utilizar la clave pblicadel receptor, y a su vez, el receptor descifrar estemensaje haciendo uso de su clave privada.
-
36
Veamos el proceso mediante el siguiente ejemplo: Supongamos queFernando y Macarena quieren intercambiarse informacin confidencialhaciendo uso de la criptografa de clave pblica. El primer paso es quecada uno de ellos obtenga una pareja de claves, es decir, Fernandotendr dos claves y Macarena otras dos (una de ellas pblica y otraprivada). Cada uno de ellos comunica la clave pblica al otro utilizando elmtodo que ms sencillo le sea, pues como hemos dicho anteriormente,no pasara absolutamente nada si algn intruso la obtuviese. CuandoFernando quiera transmitir un mensaje a Macarena, utilizar la clavepblica de esta para cifrarlo y cuando macarena lo reciba, deberdescifrarlo utilizando su propia clave privada.
Como se puede ver, se han solventado las desventajas de la criptografa de clave privada.
Como es lgico pensar, estas claves se generan a la vez y seencuentran relacionadas matemticamente entre s mediantefunciones de un solo sentido. Resulta prcticamenteimposible descubrir la clave privada a partir de la clavepblica.
-
37
Veamos un ejemplo: enviamos un mensaje cifrado con una clave pblicabasada en el producto de dos nmeros primos grandes. Cuando elreceptor recibe el mensaje debe descifrarlo, y para ello deber hacer usode la clave privada, basada en uno de los nmeros primos que forman elproducto que recoge la clave pblica. En caso de no conocer alguno delos nmeros primos que conforman la clave pblica seraextremadamente difcil descifrar el mensaje.
-
38
La desventaja de la criptografa de clave pblica es la lentitud del proceso decifrado y descifrado, que obedece tanto a la complejidad de los mtodos utilizadoscomo a la longitud de las claves.
Pensemos que una longitud tpica de una clave utilizada en criptografa simtrica esde 128 bits frente a los clsicos 2048 bits que se suelen utilizar para el tamao delas claves en criptografa de claves asimtricas.
Otra de las desventajas es el mayor tamao de la informacin cifrada con clavepblica frente al tamao de la misma cuando se cifra con clave privada.
Todo esto nos hace pensar que lo ideal sera utilizar criptografa de clave privada(simtrica) para intercambiar mensajes, pues estos son ms pequeos y adems elproceso es rpido, y utilizar criptografa de clave pblica (asimtrica) para elintercambio de las claves privadas.
Veamos el siguiente ejemplo: Gustavo quiere intercambiar informacin con Virginiautilizando como clave privada CIFRADO. Para ello, antes de nada, Gustavomandar un mensaje cifrado con la clave pblica de Virginia, en el que informa dela clave que utilizar (CIFRADO), as solo Virginia podr descifrar el mensaje yconocer la clave que utilizarn para la posterior comunicacin.
-
39
Los algoritmos son los mtodos que se utilizan para transformar el texto claroen el texto cifrado.
Para aclarar esta definicin, vamos a analizar el cifrado por sustitucin delCsar. El algoritmo consiste en sustituir cada letra del texto sin cifrar por otraletra del mismo alfabeto que se encuentra situada en el orden del diccionarioN puestos por delante. N es el valor de la clave, que como podemos ver, juntocon el algoritmo, determinar exactamente la letra que sustituir a la original.
El principio de Kerckhoff establece que la fortaleza de un sistema decifrado debe recaer en la clave y no en el algoritmo, lo cual quieredecir que aunque el algoritmo sea de dominio pblico (y este es elcaso de la mayora de ellos en la actualidad), si no conocemos laclave, no seremos capaces de descifrar los mensajes.
Como podemos imaginar, hoy en da se utilizan diferentes algoritmos, algunosvlidos para criptografa de clave privada y otros para criptografa de clavepblica.
Algunos algoritmos que se utilizan para la clave privada son DES,3DES, RC4, IDEA y AES.
Algunos algoritmos que se utilizan para la clave pblica son: DH,ElGamal y RSA.
-
40
Los algoritmos de cifrado se clasifican en dos tipos:
De bloque: llamados as porque dividen el documento enbloques de bits, que por lo general son del mismo tamao, ycifran cada uno de estos de manera independiente, paraposteriormente construir el documento cifrado. Cuando seenva un documento cifrado utilizando un algoritmo enbloque, primero se cifra completamente el archivo a enviar yluego se realiza su transmisin.
De flujo: se diferencian de los anteriores en que se cifra bita bit, byte a byte o carcter a carcter, en vez de gruposcompletos de bits. Son muy tiles cuando tenemos quetransmitir informacin cifrada segn se va creando, es decir,se cifra sobre la marcha. El algoritmo de nombre A5 que seutiliza en la telefona mvil es de este tipo, pues segn sevan generando los bits que hay que transmitir, se vancifrando uno a uno y poniendo inmediatamente en el aire.
-
41
Tambin se conocen por su nombre ingls hash o funciones de un solosentido. Son funciones que asocian a cada documento un nmero y quesirven para comprobar que la informacin recibida se correspondeexactamente con la informacin enviada.
La funcin hash (algoritmo) consiste en obtener un nmero comoresultado de un clculo matemtico realizado sobre un mensaje. Lafuncin hash se describe como una firma en el paquete.
Las funciones HASH sirven para garantizar la integridad de los textos.Los textos enviados electrnicamente pueden deformarse, bien por laintervencin de terceras personas, o bien por errores en la transmisin.
-
42
El tamao de un documento en bits podra ser una funcin resumen,tambin podra serlo, una funcin que asocie a cada documento su fechade creacin. Y aunque es verdad que estas dos funciones son funcionesresumen, seran muy poco tiles en el mundo de la criptografa, porqueno cumplen los dos requisitos fundamentales:
Debe ser muy difcil que dos documentos distintos tengan el mismo resumen.
Debe ser muy difcil, por no decir imposible, crear un documento a partir del valor de su
resumen.
-
43
Como vemos, si nos fijamos en el primer ejemplo de la funcin tamao enbits de un documento, no cumple ninguno de estos requisitos, pues es fcilque dos documentos tengan el mismo tamao.
Esto nos hace pensar que la manera de obtener el valor resumen de undocumento emplear algoritmos complejos matemticamente, para que aspueda cumplir las dos especificaciones de la funcin resumen. Algunos deestos algoritmos son el MD5 y el SHA.
El aspecto que tiene el valor hash o funcin resumen de un documentoutilizando el algoritmo MD5 es, por ejemplo,1DE928978E2BF219F76E1C5C2A9CCB1A, como podemos ver, es un nmeroescrito en hexadecimal de 32 dgitos, o lo que es lo mismo, una cadena de128 bits.
El resultado de aplicar el algoritmo MD5 a un documento siempre genera unnmero de 128 bits.
Sabemos que en Linux las contraseas de los usuarios se encuentran en elfichero /etc/passwd, o en versiones ms actuales en el fichero /etc/shadow.Como imaginamos, estas contraseas no se encuentran en texto plano, sinoque se almacenan en estos ficheros utilizando funciones resumen, losalgoritmos que ms se utilizan son el MD5 y el SHA-512. Se recomiendautilizar este ltimo pues se considera el algoritmo MD5 mucho ms inseguro.
-
44
En criptografa, MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen
del Mensaje 5) es un algoritmo de reduccin criptogrfico de 128 bits ampliamente usado.
MD5 es uno de los algoritmos de reduccin criptogrficos diseados por el profesor Ronald
Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnolgico de
Massachusetts). Fue desarrollado en 1991 como reemplazo del algoritmo MD4 despus de
que Hans Dobbertin descubriese su debilidad.
A pesar de su amplia difusin actual, la sucesin de problemas de seguridad detectados
desde que, en 1996, Hans Dobbertin anunciase una colisin de hash, plantea una serie de
dudas acerca de su uso futuro.
La codificacin del MD5 de 128 bits es representada tpicamente como un nmero de 32
dgitos hexadecimal. El siguiente cdigo de 28 bytes ASCII ser tratado con MD5 y veremos
su correspondiente hash de salida:
MD5("Esto s es una prueba de MD5") = 02306f485f385f6ed9ab6626052a633d
Un simple cambio en el mensaje nos da un cambio total en la codificacin hash, en este
caso cambiamos dos letras, el s por un no.
MD5("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034
Otro ejemplo sera la codificacin de un campo vaco:
MD5("") = d41d8cd98f00b204e9800998ecf8427e
-
45
La familia SHA (Secure Hash Algorithm, Algoritmo de Hash Seguro) es
un sistema de funciones hash criptogrficas relacionadas de laAgencia de
Seguridad Nacional de los Estados Unidos y publicadas por el National
Institute of Standards and Technology (NIST). El primer miembro de la
familia fue publicado en 1993 es oficialmente llamado SHA. Sin
embargo, hoy da, no oficialmente se le llama SHA-0 para evitar
confusiones con sus sucesores. Dos aos ms tarde el primer sucesor de
SHA fue publicado con el nombre de SHA-1. Existen cuatro variantes
ms que se han publicado desde entonces cuyas diferencias se basan en
un diseo algo modificado y rangos de salida incrementados: SHA-
224, SHA-256, SHA-384, y SHA-512 (llamndose SHA-2 a todos ellos).
En 1998, un ataque a SHA-0 fue encontrado pero no fue reconocido para
SHA-1, se desconoce si fue la NSA quien lo descubri pero aument la
seguridad del SHA-1.
-
46
SHA-1
SHA-1 ha sido examinado muy de cerca por la comunidad criptogrfica
pblica, y no se ha encontrado ningn ataque efectivo. No obstante, en el
ao 2004, un nmero de ataques significativos fueron divulgados sobre
funciones criptogrficas de hash con una estructura similar a SHA-1; lo
que ha planteado dudas sobre la seguridad a largo plazo de SHA-1.
SHA-0 y SHA-1 producen una salida resumen de 160 bits (20 bytes) de
un mensaje que puede tener un tamao mximo de 264 bits, y se basa en
principios similares a los usados por el profesor Ronald L.
Rivest del MIT en el diseo de los algoritmos de resumen de mensaje
MD4 y MD5.
La codificacin hash vaca para SHA-1 corresponde a:
SHA1("") = da39a3ee5e6b4b0d3255bfef95601890afd80709
-
47
-
48
La validacin de identificacin y autenticidad de muchos documentos
legales, financieros y de otros tipos se determina por la presencia o
ausencia de una firma manuscrita autorizada. Para que los sistemas
computerizados de mensajes reemplacen el transporte fsico de papel y
tinta, debe encontrarse una solucin a estos problemas.
El problema de inventar un reemplazo para las firmas manuscritas es
difcil. Bsicamente, lo que se requiere es un sistema mediante el cual una
parte pueda enviar un mensaje firmado a otra parte de modo que:
1. El receptor pueda verificar la identidad proclamada del transmisor.
2. El transmisor no pueda repudiar despus el contenido del mensaje.
3. El receptor no haya podido confeccionar el mensaje l mismo.
-
49
El primer requisito es necesario, por ejemplo, en los sistemas financieros.
Cuando la computadora de un cliente ordena a la computadora de un banco
que compre una tonelada de oro, la computadora del banco necesita
asegurarse de que la computadora que da la orden realmente pertenece a la
compaa a la que se le aplicar el dbito.
El segundo requisito es necesario para proteger al banco contra fraudes.
Supongamos que el banco compra una tonelada de oro, e inmediatamente
despus cae el precio del oro. Un cliente deshonesto podra demandar al
banco, alegando que nunca emiti una orden para comprar el oro. Cuando
el banco presenta el mensaje ante el juez, el cliente niega haberlo enviado.
El tercer requisito es necesario para proteger al cliente en el caso de que el
precio del oro suba y que el banco trate de falsificar un mensaje firmado en
el que el cliente solicit un lingote de oro en lugar de una tonelada.
-
50
La firma digital viene a sustituir a la manuscrita en el mundo de la informtica. Es
decir, si firmamos de forma digital un documento, le estaremos dando veracidad y
como sucede con la firma manuscrita, no podremos decir que no lo hemos firmado
nosotros, por lo tanto, seremos responsables de lo que en l se diga.
La descripcin del mecanismo de firma electrnica es el siguiente:
Se calcula un valor resumen del documento, utilizando algn algoritmo como
el SHA.
Este valor resumen se cifra utilizando la clave privada de nuestra pareja de
claves pblica privada (hay que indicar que no slo se puede cifrar con la
clave pblica, tambin algunos algoritmos de cifrado asimtrico permiten
cifrar con la clave privada, en especial los que se utilizan para firma digital.
Esto permite asegurar que la nica persona que ha podido firmar el
documento soy yo, el nico que conoce la clave privada).
El resultado de este valor es el que se conoce como firma digital del
documento. Como se deriva del proceso recin explicado, la firma digital nada
tiene que ver con el cifrado del documento en s.
-
51
En ningn momento hemos cifrado el
archivo, y es que si pensamos en el
proceso de la firma manuscrita sucede
que nunca cuando firmamos un papel lo
estamos cifrando. Esto no quiere decir
que no se pueda, tambin, cifrar y adems
firmar el documento.
-
52
Tambin podemos deducir que dos documentos distintos firmados digitalmente por
una misma persona tendrn firmas digitales distintas, pues los valores resumen del
documento nunca sern iguales, y por tanto esto diferencia a este tipo de firma
electrnica de la firma clsica, pues esta ltima siempre es la misma para la misma
persona firmante.
Describamos ahora el proceso de comprobacin de una firma digital., que a
diferencia de la comprobacin visual de la firma manuscrita, se tendr que realizar
mediante algn mtodo informtico. El que se utiliza es el siguiente:
La firma se descifra utilizando la clave pblica del firmante (algunos algoritmos de cifrado
asimtrico y en particular los que se emplean para la firma digital descifran con la clave
pblica lo que se ha cifrado con la clave privada), y con ello, como se deduce del mtodo de
firmado, se obtiene el valor resumen del documento.
Se obtiene el valor resumen del documento utilizando el mismo algoritmo que en el proceso de
cifrado, por ejemplo el SHA.
Por ltimo se comparan los dos valores resmenes obtenidos en los dos procesos anteriores y
si estos coinciden entonces la firma es vlida, si estos son distintos, la firma ser nula.
Como puedes observar, dado el proceso de comprobacin de la firma, cualquier
persona que quisiera comprobar la firma de mi documento necesitara tener mi clave
pblica.
-
53
Un certificado digital (tambin conocido como certificado de clave
pblica o certificado de identidad) es un documento digital mediante el cual un
tercero confiable (una autoridad de certificacin) garantiza la vinculacin entre la
identidad de un sujeto o entidad (por ejemplo: nombre, direccin y otros
aspectos de identificacin) y una clave pblica.
Este tipo de certificados se emplea para comprobar que una clave pblica pertenece
a un individuo o entidad. La existencia de firmas en los certificados aseguran por
parte del firmante del certificado (una autoridad de certificacin, por ejemplo) que
la informacin de identidad y la clave pblica perteneciente al usuario o entidad
referida en el certificado digital estn vinculadas.
Un aspecto fundamental que hay que entender es que el certificado para cumplir la
funcin de identificacin y autenticacin necesita del uso de la clave privada (que
slo el titular conoce). El certificado y la clave pblica se consideran informacin
no sensible que puede distribuirse perfectamente a terceros. Por tanto el certificado
sin ms no puede ser utilizado como medio de identificacin, pero es pieza
imprescindible en los protocolos usados para autenticar a las partes de una
comunicacin digital, al garantizar la relacin entre una clave pblica y una
identidad.
-
54
El ejemplo por excelencia es la firma electrnica: aqu el titular tiene que utilizar su
clave privada para crear una firma electrnica. A esta firma se le adjuntar el
certificado. El receptor del documento que quiera comprobar la autenticidad de la
identidad del firmante necesitar la clave pblica que acompaa al certificado para
que a travs de una serie de operaciones criptogrfica se comprueba que es la pareja
de la clave privada utilizada en la firma. Es esta operacin de asociacin al dato
secreto del firmante lo que har la funcin de comprobar su identidad.
Si bien existen variados formatos para certificados digitales, los ms comnmente
empleados se rigen por el estndar UIT-T X.509. El certificado debe contener al
menos lo siguiente: La identidad del propietario del certificado (identidad a certificar),
La clave pblica asociada a esa identidad,
La identidad de la entidad que expide y firma el certificado,
El algoritmo criptogrfico usado para firmar el certificado.
Los dos primeros apartados son el contenido fundamental del certificado
(identidad y clave pblica asociada), en tanto que los otros dos son datos
imprescindibles para poder validar el certificado.
Esta informacin se firma de forma digital por la autoridad emisora del
certificado. De esa forma, el receptor puede verificar que esta ltima ha
establecido realmente la asociacin.
-
55
Un certificado emitido por una entidad de certificacin autorizada, adems
de estar firmado digitalmente por sta, debe contener por lo menos lo
siguiente:
Nombre, direccin y domicilio del suscriptor.
Identificacin del suscriptor nombrado en el certificado.
El nombre, la direccin y el lugar donde realiza actividades la entidad
de certificacin.
La clave pblica del usuario.
La metodologa para verificar la firma digital del suscriptor impuesta
en el mensaje de datos.
El nmero de serie del certificado.
Fecha de emisin y expiracin del certificado.
-
56
Emisores de certificados: Cualquier individuo o institucin puede generar
un certificado digital, pero si ste emisor no es reconocido por quienes interacten
con el propietario del certificado, el valor del mismo es prcticamente nulo. Por ello
los emisores deben acreditarse: as se denomina al proceso por el cul entidades
reconocidas, generalmente pblicas, otorgan validez a la institucin certificadora,
de forma que su firma pueda ser reconocida como fiable, transmitiendo esa
fiabilidad a los certificados emitidos por la citada institucin.
La gran mayora de los emisores tiene fines comerciales, y otros, gracias al sistema
de anillo de confianza otorgan certificados gratuitamente en todo el mundo,
como CAcert.org, emisor administrado por la comunidad con base legal
en Australia.
Pero para que un certificado digital tenga validez legal, el prestador de Servicios de
Certificacin debe acreditarse en cada pas de acuerdo a la normativa que cada uno
defina.
Encargados de autorizar la creacin de una autoridad de certificacin o prestador de
servicios de certificacin de algunos pases hispanos son:
En Espaa, la Fbrica Nacional de Moneda y Timbre, el Ministerio de
Industria, Turismo y Comercio, la Agencia Catalana de Certificacin, la
Autoritat de Certificaci de la Comunitat Valenciana, etc.
http://es.wikipedia.org/wiki/CAcert.orghttp://es.wikipedia.org/wiki/CAcert.orghttp://es.wikipedia.org/wiki/CAcert.orghttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/F%C3%A1brica_Nacional_de_Moneda_y_Timbrehttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/Ministerio_de_Industria,_Turismo_y_Comerciohttp://es.wikipedia.org/wiki/CATCerthttp://es.wikipedia.org/wiki/CATCerthttp://es.wikipedia.org/wiki/CATCerthttp://es.wikipedia.org/wiki/CATCerthttp://es.wikipedia.org/wiki/CATCerthttp://es.wikipedia.org/wiki/CATCerthttp://es.wikipedia.org/wiki/CATCert
-
57
Ciclo de un Certificado
-
58
PKI son las siglas de Public Key
Infrastructure (Infraestructura de
clave pblica), o lo que es lo
mismo, todo lo necesario, tanto de
hardware como de software, para
las comunicaciones seguras
mediante el uso de certificados
digitales y firmas digitales.
De esta manera se alcanzan los
cuatro objetivos de la seguridad
informtica que estudiamos en la
primera unidad: autenticidad,
confidencialidad, integridad y no
repudio
-
59
Las PKI estn compuestas de:
La autoridad de certificacin, tambin conocida por sus siglas CA
(Certificate Authority), es la entidad de confianza encargada de emitir y
revocar los certificados digitales.
La autoridad de registro, tambin conocida por sus siglas RA (Registration
Authority), es la encargada de controlar la generacin de certificados.
Primero procesa las peticiones que hacen los usuarios, posteriormente
comprueba la identidad de los usuarios exigindoles que les presenten la
documentacin oportuna que permita verificar la identidad de los mismos y
por ltimo solicita a la autoridad de certificacin la expedicin del
certificado digital.
Las autoridades de los repositorios donde se almacenan los certificados
emitidos y aquellos que han sido revocados por cualquier motivo (haber
sido comprometidas las firmas) y han dejado de ser vlidos.
Todo el software necesario para poder utilizar los certificados digitales.
Poltica de seguridad definida para las comunicaciones.
-
Web especializada en aplicaciones de seguridad y criptografa: http://www.kriptopolis.org/
Taller de criptografa: http://www.cripto.es/
Libro electrnico sobre criptografa avanzada: http://www.criptored.upm.es/guiateoria/gt_m001a.htm
Web de la Fbrica Nacional de Moneda y Timbre, Autoridad de Certificacin y expedicin de certificados digitales: http://www.cert.fnmt.es/
Camerfirma. Web de las cmaras de comercio con informacin sobre certificados digitales. http://www.camerfirma.com/
Web del DNI electrnico. Ministerio del interior: http://www.dnielectronico.es/
Informacin prctica sobre el DNI electrnico. http://www.dnielectronico.eu/
Anlisis de checksum MD5 con ficheros: md5sum http://lubrin.org/dani/ch05s04.html
http://www.kriptopolis.org/http://www.kriptopolis.org/http://www.cripto.es/http://www.cripto.es/http://www.criptored.upm.es/guiateoria/gt_m001a.htmhttp://www.criptored.upm.es/guiateoria/gt_m001a.htmhttp://www.cert.fnmt.es/http://www.cert.fnmt.es/http://www.inteco.es/Seguridad/Observatorio/BlogSeguridadhttp://www.camerfirma.com/http://www.camerfirma.com/http://www.dnielectronico.es/http://www.dnielectronico.es/http://www.dnielectronico.eu/http://www.dnielectronico.eu/http://lubrin.org/dani/ch05s04.htmlhttp://lubrin.org/dani/ch05s04.htmlhttp://www.inteco.es/Seguridad/Observatorio/BlogSeguridadhttp://www.microsoft.com/spain/protect/
-
SOFTWARE
GPG: completo software de cifrado. http://www.gnupg.org/index.es.html
TrueCrypt: software de cifrado de volmenes, particiones, etc. http://www.truecrypt.org/
Generador de funciones hash-resumen: Cifrado de texto plano mediante diversos algoritmos como MD5 o SHA. http://www.hashgenerator.de/
Simulador de mquina de cifrado Enigma: http://enigmaco.de/enigma/enigma.swf
Cifrado de texto on-line: http://www.dnsqueries.com/es/criptografia.php
SteganG: software de esteganografa. http://www.gaijin.at/en/dlsteg.php
OpenSSL: libreras de criptografa, proporciona entre otras aplicaciones soporte SSL para entornos web. http://www.openssl.org/
http://www.gnupg.org/index.es.htmlhttp://www.gnupg.org/index.es.htmlhttp://www.truecrypt.org/http://www.hashgenerator.de/http://www.hashgenerator.de/http://enigmaco.de/enigma/enigma.swfhttp://enigmaco.de/enigma/enigma.swfhttp://www.dnsqueries.com/es/criptografia.phphttp://www.gaijin.at/en/dlsteg.phphttp://www.gaijin.at/en/dlsteg.phphttp://www.openssl.org/http://www.openssl.org/http://cert.inteco.es/software/Proteccion/utiles_gratuitos/http://fferrer.dsic.upv.es/cursos/Linux/Avanzado/HTML/ch11.html
-
62
a) Se ha valorado la importancia de asegurar la privacidad, coherencia y disponibilidad de la informacin
en los sistemas informticos.
b) Se han aplicado tcnicas criptogrficas en el
almacenamiento y transmisin de la informacin.
c) Se han utilizado tcnicas de cifrado, firmas y certificados
digitales en un entorno de trabajo basado en el uso de redes
pblicas.
-
63
Actividad 1.- Criptografa clsica
1. Cifra mediante el algoritmo de Polybios el siguiente mensaje: el cifrador de
Polybios es el primer cifrador por sustitucin de caracteres. Utilizando la
tabla cifrador de Polybios. Tambin obtn el mensaje cifrado utilizando
nmero del 1 al 5 en lugar de los caracteres de la A a la E.
2. Cifra mediante el algoritmo del Csar el siguiente mensaje: el cifrado del
Csar tiene muchas vulnerabilidades. El mensaje est escrito en castellano.
3. Cifra mediante el algoritmo del Csar el siguiente mensaje: En el cifrado del
Csar el criptoanlisis es muy elemental. Utilizando el alfabeto castellano y
b= 3 (desplazamiento). Tambin utilizando b=5.
4. Cifra mediante el algoritmo del Csar el siguiente mensaje: El gran avance
de la criptografa tuvo lugar durante el siglo XX utilizando el alfabeto
castellano. Realiza el cifrado de la frase anterior utilizando el mismo
algoritmo con el alfabeto ingls. Has observado alguna diferencia o por el
contrario el alfabeto no influye?
5. Descubre el resultado de cifrar mediante Vigenre la siguiente frase: La
mquina Enigma fue utilizada por los alemanes utilizando como palabra
clave secreta.
-
64
Actividad 1.- Criptografa clsica
6. En un sistema de cifrado de Vigenre la clave a usar puede ser CERO o
bien COMPADRE, cul de las dos usaras y por qu?
7. Clasifica todos lo mtodos de cifrado, Un poco de historia de la
criptografa, segn la Clasificacin de los mtodos de criptografa.
8. Durante la Segunda Guerra Mundial se desarrollaron numerosos mtodos
de cifrado para ocultar la informacin al ejrcito enemigo. Realiza una
investigacin que recoja los mtodos de cifrado utilizados durante dicha
poca.
9. Calcula cuntas claves necesitan intercambiar un grupo de cinco personas
que se quieran mandar entre ellas correos electrnicos cifrados.
Cuntas claves son necesarias si el grupo lo conforman diez
personas?
Qu sucedera si en vez de diez fuesen cien?
-
65
Actividad 1.- Criptografa clsica
10. Relaciona correctamente los siguientes trminos:
MD5 Sistema de sustitucin
Esctala Algoritmo clave privada
Csar Funcin resumen
Esteganografa Polialfabtico
Vigenre Sistemas de sustitucin
IDEA Sistemas de trasposicin
A5 Algoritmo clave pblica
ElGamal Algoritmo de flujo
11. Indica el mtodo que se utiliza en el cifrado de la palabra computacin:
Palabra Tipo de cifrado
nicatupmoc
ocpmtucain
0315131621200103091514
-
66
Actividad 1.- Criptografa clsica
11.Descubre la rima de Gustavo Adolfo Bcquer que se encuentra
oculta en el siguiente prrafo:
ehvd ho dxud txh jlph eodqgdphqwh
odv ohyhv rqgdv txh mxjdqgr ulcd;
ho vro ehvd d od qxeh hq rfflghqwh
b gh sxusxud b rur od pdwlcd;
od oodpd hq ghuuhgru gho wurqfr duglhqwh
sru ehvdu d rwud oodpd vh ghvolcd;
b kdvwd ho vdxfh, lqfolqdqgrvh d vx shvr,
do ulr txh oh ehvd, yxhoyh xq ehvr.
-
67
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
El programa GnuPG es una implementacin del estndar OpenPGP,
que deriva del software criptogrfico PGP desarrollado por Phil
Zimmermann. El objetivo de esta sesin de laboratorio es aprender a
realizar las tareas ms sencillas de manejo de PGP/GnuPG, a saber:
Invocar el programa
Usarlo para cifrar y descifrar un documento (de texto o binario) por medio de
Criptografa simtrica.
Intercambiar correo cifrado con un compaero
Generar un par clave pblica/privada
Distribuir nuestra clave pblica
Emplear el mecanismo de clave pblica para intercambiar correo de forma segura
A travs de un canal inseguro
Firmar digitalmente un documento y comprobar la firma
-
68
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
EJECUTAR gpg
Para poder utilizar este programa, escribiremos gpg en la consola. Podemos
obtener ayuda con el comando:
$ man gpg
En la ayuda podemos obtener todas las
opciones que debemos utilizar para
realizar las diferentes tareas con gpg.
Las opciones que utilizaremos en esta
prctica sern las siguientes:
-
69
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
CIFRADO SIMTRICO
Para cifrar simtricamente un documento utilizamos la opcin -c. Su invocacin
es como sigue:
$ gpg -c documento_a_cifrar
El programa gpg nos solicitar una contrasea con la que l cifrar el
documento. Hecho esto, nos crear un documento cifrado con extensin .gpg
que podemos enviar a un destinatario, ste podr descifrarlo simplemente
invocando:
$ gpg documento_cifrado.gpg
-
70
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Si abre con un editor de texto el archivo cifrado, observars que el documento
est en un texto totalmente ilegible, con caracteres que no se corresponden con
los de ASCII. Para que el documento cifrado est en ASCII debes aadir a la
orden el parmetro -a. Hecho esto nos crear un documento cifrado con
extensin .asc.
$ gpg c -a documento_a_cifrar
-
71
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Caso Prctico 1.- Cifrado simtrico de un documento.
1. Crea un documento de texto con cualquier editor o utiliza un documento del que
dispongas.
2. Cifra este documento con alguna contrasea acordada con el compaero de al lado.
Observa el contenido del archivo generado con un editor de textos o con la orden
cat.
3. Haz llegar por algn medio al compaero de al lado el documento que acabas de
cifrar.
4. Descifra el documento que te ha hecho llegar tu compaero de al lado.
5. Repite el proceso anterior, pero aadiendo a la orden la opcin -a. Observa el
contenido del archivo generado con un editor de textos (gedit) o con la orden cat.
6. Copia y pega el contenido del archivo cifrado anteriormente y envalo por e-mail a tu
compaero para que lo descifre.
7. Una vez has recibido el mensaje de tu compaero en tu e-mail, cpialo en un archivo
de texto para con la orden gpg obtener el mensaje original.
-
72
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
CIFRADO ASIMTRICO: CREACIN DE LA PAREJA DE CLAVES
PBLICA-PRIVADA
Los algoritmos de cifrado asimtrico utilizan dos claves para el cifrado y
descifrado de mensajes. Cada persona involucrada (receptor y emisor) debe
disponer, por tanto, de una pareja de claves pblica y privada.
Para generar nuestra pareja de claves con gpg utilizamos la opcin --gen-key:
$ gpg --gen-key
Tras ejecutar gpg con esta opcin, empieza un proceso interactivo que va
preguntando al usuario, el cual debe decidir entre una serie de opciones. Iremos
explicando este proceso paso a paso.
-
73
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Esto es lo que nos aparecer tras ejecutar el comando:
gpg (GnuPG) 1.4.9; Copyright (C) 2008 Free Software Foundation, Inc.
This is fre software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Por favor seleccione tipo de clave deseado:
(1) RSA y RSA (predeterminado)
(2) DSA y ElGamal
(3) DSA (slo firmar)
(5) RSA (slo firmar)
Su eleccin?:
-
74
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Nos pide que seleccionemos el tipo de clave que queremos crear. Vamos a elegir el
tipo de clave por defecto, opcin 1.
Una vez seleccionado el tipo de clave a generar nos pide que indiquemos la longitud
o el tamao de las claves. Cuanto mayor sea la clave, ms segura ser contra ataques
de fuerza bruta, pero ms lento ser el proceso de cifrado y descifrado.
El par de claves DSA tendr 1024 bits.
las claves ELG-E pueden tener entre 1024 y 4096 bits de longitud.
De qu tamao quiere la clave? (2048)
La herramienta nos permite seleccionar entre 1024 y 4096 bits. Elegimos el tamao
que nos indica por defecto escribiendo 2048.
-
75
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
El siguiente paso es indicar el periodo de validez de la clave. Esto es necesario para
que pasado un cierto tiempo, la clave que vamos a crear deje de ser vlida. El motivo
para hacer esto es que, pasado un cierto tiempo, la seguridad de nuestras claves se ve
comprometida puesto que alguien ha podido intentar descubrirlas. Por ello, es
recomendable, establecer una fecha de caducidad a nuestras claves.
Por favor, especifique el perodo de validez de la clave.
0 = la clave nunca caduca
= la clave caduca en n das
w = la clave caduca en n semanas
m = la clave caduca en n meses
y = la clave caduca en n aos
Validez de la clave (0)?
En este caso vamos a generar una clave con un periodo de duracin de un mes, para
ellos escribimos 1m.
-
76
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
A continuacin crearemos el identificador de nuestra clave, que ser lo que
tengamos que indicar cuando queramos utilizar nuestra clave. GPG crea el
identificador de la clave utilizando los datos personales introducidos: nombre,
apellidos, email y algn comentario
Necesita un identificador de usuario para identificar su clave.
El programa construye el identificador a partir del Nombre Real, Direccin
de Correo Electrnico y Comentario, de esta forma:
"Heinrich Heine (Der Dichter) "
Nombre y apellidos: Pepito Grillo
Direccin de correo electrnico: [email protected]
Comentario: estoy creando una clave para pepito
Ha seleccionado este ID de usuario:
"Pepito Grillo "
Cambia (N)ombre, (C)omentario, (D)ireccin o (V)ale/(S)alir? V
-
77
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Como podis ver, nos muestra el ID para identificar nuestra clave.
Ahora necesitamos proteger nuestra clave con una contrasea para que nadie pueda
utilizar nuestra clave, en caso de que compartamos el equipo o alguien pueda obtener
nuestras claves. Gpg nos solicita que introduzcamos una frase.
Nos solicita que introduzcamos una frase para hacer hincapi en la importancia de la
eleccin de una buena clave. Debemos tener especial cuidado a la hora de
seleccionar la contrasea, ya que si algn intruso consigue la clave privada, podra
mediante algn mtodo descubrir la contrasea y tener acceso a todos nuestros
documentos y mensajes cifrados. En las contraseas no debemos utilizar palabras ni
en castellano ni en ningn otro idioma, debemos mezclar tanto nmeros como leras
maysculas y minsculas, debemos intercalar smbolos, como parntesis, dlar, etc.
Una buena contrasea es crucial para el uso de gpg.
Tras esto, se inicia el proceso de creacin de claves:
-
78
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Es necesario generar muchos bytes aleatorios. Es una buena idea realizar alguna otra tarea (trabajar
en otra ventana/consola, mover el ratn, usar la red y los discos) durante la generacin de nmeros
primos. Esto da al generador de nmeros aleatorios mayor oportunidad de recoger suficiente
entropa.
.+++++.+++++.++++++++++....++++++++++.++++++++++.++++++
+++++++++..+++++..+++++++++++++++..++++++++++.+++++.+++
++.+++++.++++++++++++++++++++++++++++++.++++++++++++
+++>+++++.+++++>..+++++........>++++++++++
-
79
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Por ltimo, podemos listar las claves que hemos creado mediante la instruccin:
$ gpg -k
/home/pepito/.gnupg/pubring.gpg
-------------------------------
pub 1024D/15D9228E 2011-01-20
iud Pepito Grillo (Tcnico de seguridad informtica)
sub 2048g/C1555A7B 2011-01-20
Caso Prctico 2.- Creacin de nuestro par de claves pblica-privada.
1. Siguiendo las indicaciones de este epgrafe, crea tu par de claves pblica y privada.
La clave que vas a crear tendr una validez de 1 mes.
2. Recuerda el ID de usuario de tu clave y la contrasea de paso utilizada. Antala en un
lugar seguro si lo consideras necesario.
-
80
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
CIFRADO ASIMTRICO: GENERAR UN CERTIFICADO DE
REVOCACIN PARA INFORMAR A LOS USUARIOS QUE LA CLAVE
PBLICA NO DEBE SER USADA NUNCA MS
Se recomienda que inmediatamente despus de generar las claves, el usuario
cree un certificado de revocacin para la clave pblica.
De esta manera si el usuario olvidara la contrasea o perdiese o viese vulnerada
su clave privada por algn intruso podra publicar en algn servidor de Internet
como el http://PGPkeys.mit.edu el certificado de revocacin para informar al
resto de usuarios que no debe ser usada nunca ms.
Una clave pblica revocada puede ser usada para verificar firmas hechas por el
usuario en un pasado, pero nunca podr ser usada para cifrar datos.
-
81
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Los pasos a seguir para crear un certificado de revocacin son los siguientes:
1.- Antes de revocar la clave, debemos conocer su identificador, para ello listamos las
claves existentes con la orden:
$ gpg -k
/home/pepito/.gnupg/pubring.gpg
-------------------------------
pub 1024D/15D9228E 2011-01-20
iud Pepito Grillo (Tcnico de seguridad informtica)
sub 2048g/C1555A7B 2011-01-20
-
82
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
2.- Generamos el certificado de revocacin con la instruccin -gen-revoke. En nuestro
caso utilizaremos el nmero que identifica la clave para crear un certificado de
revocacin para la misma.
$ gpg --gen-revoke C1555A7B
3.- Respondemos afirmativamente a la pregunta.
Crear un certificado de revocacin para esta clave? s
4.- Posteriormente debemos indicar la razn por la que se crea el certificado de
revocacin. Debido a que lo estamos generando inmediatamente despus de crear la
clave, la razn de la revocacin no es ninguna de las que nos propone, por lo que
seleccionamos la primera opcin (introducimos un cero). Despus escribimos nuestra
decisin: Este certificado se cre inmediatamente despus de crear la clave. Hoy puede
ser que est comprometida o bien no vuelva a ser usada.
-
83
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Por favor elija una razn para la revocacin:
0 = No se dio ninguna razn
1 = La clave ha sido comprometida
2 = La clave ha sido reemplazada
3 = La clave ya no est en uso
Q = Cancelar
(Probablemente quera seleccionar 1 aqu)
Su decisin: 0
Introduzca una descripcin opcional; acbela con una lnea vaca:
> Este certificado se cre inmediatamente despus de crear la clave.
Hoy puede ser que est comprometida o bien no vuelve a ser usada.
5.- Por ltimo introducimos la contrasea de la clave.
6.- El certificado de revocacin ha sido creado y nos lo muestra en pantalla, advirtindonos que lo
podemos imprimir y despus debemos guardarlo en algn lugar seguro, ya que si alguien se
apodera del mismo, podra utilizarlo para inutilizar la clave.
-
84
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
CIFRADO ASIMTRICO: IMPORTAR Y EXPORTAR CLAVES
PBLICA
Para enviar archivos cifrados a otras personas, necesitamos disponer de sus
claves pblicas. De la misma manera, si queremos que cierta persona pueda
enviarnos datos cifrados, sta necesita conocer nuestra clave pblica. Para ello,
podemos hacrsela llegar por email por ejemplo.
Si queremos ver cmo es nuestra clave pblica utilizaremos el siguiente
comando:
$ gpg -a --export key_id
donde key_id es el ID de la clave que queremos visualizar:
-
85
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
gpg -a --export Pepito Grillo-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
mQGiBEYvJykRBADKPmbaNyMZAEuBRmAxzYQZbHVH4Cnt517SJ41CEnWz/U69DoGT
+4N62dTTa40yLSEZrJmCv+s5dsorhRRjjZQcasKAE80V/k32Lvi9CZsAwaqKpOBW86qf64OvbWpYy9TdXdtWow+41qKN2+x13
X3mq3uVhp2iZsZaKGSFVekmqwCgx0Ry
gBSp5WLg0aPyJ/LR4x7W9DsD/3J9hyIYriWfqT/AqvDPuxSjrICijnZiwOEtlp15dSNJ9CKysvK6HG3K+8/T37tgqOpKH+5fM5Zsc
PxqCskkwYg8T1AOMHyGZ0yXLJjL5089mDdlN2ZHqcpBfX/0OSOBypPE5IpUFueIHJMT7JQMiAHt6S485lnlr0xWYPhsMkCS
A/0VuFfhRlmz3m/qAniFufr8/wwjAO8xVZN60OrEJCCx2ri9kE9qTXGOkCGokp3t1UXjgXGZ7WOCPl3Ba4syHqQoakLAqrqwfs
QsXY7ut0lBPFf/UfCrdNfiq43p6bF6rSCd0FNdus1Gg1kynjBJny75V65rIk989xSyROLK+/xPBrQqSm9zZSBMLiBCZXJlbmd1ZW
wgPHByb2Zlc29yam9zZUBnbWFpbC5jb20+iGAEExECACAFAkYvJykCGwMGCwkIBwMCBBUCCAMEFgIDAQIeAQIXgAA
KCRA54q94aZqzjWYfAJ0XIy+4lLI3OYt+l2rlNkORmIc6DQCgv7LbBWuoXtwNPgkVbOjFGWIv7du5Ag0ERi8nMBAIALv95yI
ErQhJPpSb5a/HUXPnZ3Y38O77Kt6qs3hOD9cTSkItxKDYnQs0eoGrvMrgyoS/4I4WIfX81N5enJSEYyyBbYIf8/LS0vMuiWijTIY
YGwWbNblaGVsh6OKhCjDE/95BxjP+0BdUDj73TWNU4+NEF+LOSoiCt8wZPQrRdyovs0ZmMRJ+PlzBBWkuVsXgXIJWd0Iq+
2OjHOZvEhgfsBa5bILGoFv059VBhSZT1Q8soj6o0Sz0JxkiWhcvDUjRiFMw0wb6VZXkVO0alCwUYLZezl4LV87UY/tD+sepbQ
C51/u62yCAUx42qdR8bS3a83FXzXRs0t0E9Elks9jfNeMAAwUH/2pardNrCxPHeZsvOvB45fHZoH7ap57qmRRAWsCEIvoCKtv3
Rn2iceYfUag5YYBFtnoLyfAmiT6IhNdfqdZOWAFEA6e/lRpoA7PTnwh5HbWZTRHRKBZ1O6WM3ZOr45NMAY2VFbRO8Kng/
MrcdGYfNUq459fhIponl4VwByIa
loaYCMvgsShglU4Iq702222ZKBnqTe+00RGBnN/90ZAwqth5YCtoAv02WDaGFKNnc/CBhkzNvaK5o8PzTmOQB5Tr0e2UHynQI
dVmI3UlUtBA2Mn4JJbqh9DYFO4SE+ie4kgI+MPaDCfUQ6vMfGkfl8vWMXar2HMYwzKkkIrYWYoJk7iISQQYEQIACQUCRi8
nMAIbDAAKCRA54q94aZqzjbRyAKCidWun3ccVSxmPj8oRQWEt9VvRTQCgptqpxvO+4XbDcCh0Rp0+xvJdkAE=
=L9iE
-----END PGP PUBLIC KEY BLOCK-----
-
86
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
El comando anterior muestra en pantalla nuestra clave pblica en formato ASCII, si queremos exportar la
clave directamente a un archivo, utilizamos alguno de los comandos siguientes:
$ gpg -a --export -o miclave.asc key_id
$ gpg -a --export --output miclave.asc key_id
$ gpg -a --export key_id > miclave.asc
donde miclave.asc es el nombre del archivo en el que se guardar la clave.
Cuando recibamos una clave pblica de otra persona, sta deberemos incluirla en nuestro keyring o anillo
de claves, que es el lugar donde se almacenan todas las claves pblicas de las que disponemos. Para incluir
estas claves pblicas de otras personas, lo haremos de la siguiente forma:
$ gpg --import clavepublica.asc
donde clavepublica.asc es el nombre del archivo recibido con la clave pblica.
Una vez hemos importada la clave, podemos verificar el contenido de nuestro keyring con la opcin -kv:
$ gpg kv
-
87
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Caso Prctico 3.- Exportar e importar claves pblicas.
1. Exporta tu clave pblica en formato ASCII y gurdalo en un archivo
nombre_apellido.asc y envalo a un compaero y al profesor.
2. Importa las claves pblicas recibidas de vuestros compaeros.
3. Comprueba que las claves se han incluido correctamente en vuestro
keyring.
-
88
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
CIFRADO ASIMTRICO CON CLAVES PBLICAS
Tras realizar el ejercicio anterior, podemos enviar ya documentos cifrados utilizando la
clave pblica de los destinatarios del mensaje. Por ejemplo, si queremos enviar un
archivo cifrado a Paco , escribiramos lo siguiente:
$ gpg -a -r Paco --encrypt documento
La orden anterior creara el archivo document.asc, que es el que enviaramos por correo
a los destinatarios. Posteriormente, estos destinatarios tras recibir el archivo cifrado,
podrn descifrarlo puesto que ha sido cifrado con su clave pblica, y ellos dispondrn de
la clave privada para poder descifrarlo.
Con la orden siguiente podrn descifrar el archivo:
$ gpg documento.asc
-
89
Actividad 2.- CIFRADO SIMTRICO Y ASIMTRICO CON GPG
Caso Prctico 4.- Cifrado y descifrado de un documento.
1. Cifraremos un archivo cualquiera y lo remitiremos por email a uno de
nuestros compaeros que nos proporcion su clave pblica.
2. Nuestro compaero, a su vez, nos remitir un archivo cifrado para que
nosotros lo descifremos.
3. Tanto nosotros como nuestro compaero comprobaremos que hemos
podido descifrar los mensajes recibidos respectivamente.
4. Por ltimo, enviaremos el documento cifrado a alguien que no estaba
en la lista de destinatarios y comprobaremos que este usuario no podr
descifrar este archivo.
-
90
Actividad 3.- FUNCIN HASH y FIRMA DIGITAL
FUNCIN RESUMEN
Bjate de la pgina http://www.winmd5.com la aplicacin WinMD5, que
calcula el valor resumen de un documento utilizando el algoritmo MD5.
1. Crea varios documentos de texto.
2. Calcula mediante la aplicacin sus valores hash.
3. Son muy parecidos los valores resumen de los
documentos?
4. Cmo son los valores hash obtenidos de dos
documentos iguales que difieren exclusivamente
en una letra?
http://www.winmd5.com/http://www.winmd5.com/http://www.winmd5.com/http://www.winmd5.com/http://www.winmd5.com/http://www.winmd5.com/http://www.winmd5.com/http://www.winmd5.com/dis.um.es/~lopezquesada/documentos/IES_1112/SAD/curso/UT6/winmd5free.zip
-
91
Actividad 3.- FUNCIN HASH y FIRMA DIGITAL
FIRMA DIGITAL DE UN DOCUMENTO
Con la firma de un documento, nos aseguramos de que los destinatarios de ste,
no tengan duda de que el autor del mensaje es quien dice ser (autenticidad), y
de que el documento no ha sido modificado por nadie (integridad).
Para realizar la firma digital de un documento vamos a utilizar la herramienta
gpg, con los parmetros:
-clearsign: el contenido del documento a firmar no es cifrado,
por lo que es legible para cualquier usuario sin ningn
software especial. Solo ser necesaria la aplicacin gpg para
verificar la autenticidad de la firma.
-
92
Actividad 3.- FUNCIN HASH y FIRMA DIGITAL
-----BEGIN PGP SIGNED MESSAGE ---------------
Hash: SHA1
Documento secreto que se enviar a Macarena firmado.
De esta manera nos aseguramos la autenticidad y la integridad del mismo.
-----BEGIN PGP SIGNATURA ---------------
Vesin: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkq+jFYAgkqh8sEcxXZIl5uMACgqzKJR1MH6oGOJGTn
DdqXrq/rz/UwAnjuyYYULD8oH3fupxkhO7Kb9a3GK
=SwuE
-----END PGP SIGNATURE---------------
-
93
Actividad 3.- FUNCIN HASH y FIRMA DIGITAL
-s: firma con la clave privada del usuario. El resultado es un
fichero comprimido (binario) ilegible.
-----BEGIN PGP MESSAGE ---------------
Vesin: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkq+jFYAgkqh8sEcxXZIl5uMACgqzKJR1MH6oGOJGTnDdqXrq/r
z/UwAnjuyYYULD8oH3fupxkhO7Kb9a3GKILKJlkjbuyitutr987EYEARECAAYF
Akq+jFYAgkqh8sEcxXZIl5uMACgqzKJR1MH6oGOJGTnDdqXrq/rz/UwAnjuyYYUL
D8oH3fupxkhO7Kb9a3GK
=AgTN
-----END PGP MESSAGE ---------------
-
94
Actividad 3.- FUNCIN HASH y FIRMA DIGITAL
-b: se utiliza cuando se desea que la firma aparezca en un fichero
separado, cuando se quiere firmar un archivo binario, como ficheros
comprimidos, ejecutables,
-----BEGIN PGP SIGNATURE ---------------
Vesin: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkq+ALSKDFqwpeoriuqpwkqh8sEcxXZIl5uMACgqzKJR1MH6o
GOJGTnDdqXrq/rz/UwAnjuyYYULD8oH3fupxkhO7Kb9a3GK
=NH3j
-----END PGP SIGNATURE---------------
-
95
Actividad 3.- FUNCIN HASH y FIRMA DIGITAL
Para firmar un documento lo haremos de las siguientes formas:
$ gpg -s --clearsign documento_a_firmar
$ gpg -s documento_a_firmar
$ gpg -s -a documento_a_firmar
$ gpg -sb -a documento_a_firmar
El programa nos pedir la contrasea de nuestra clave privada puesto que sta es
necesaria para firmar el documento, y el resultado ser un archivo documentoafirmar.asc
que contiene la firma digital.
Para verificar que la firma es correcta, debemos poseer tanto el documento original
como el archivo de firma, y bastar con ejecutar gpg sobre el archivo de firma:
$ gpg documentoafirmar.asc
-
96
Actividad 3.- FUNCIN HASH y FIRMA DIGITAL
Caso Prctico 6.- Firma digital de un documento.
1. Crea la firma digital de un archivo de texto cualquiera y envale ste junto
al documento con la firma a un compaero.
2. Verifica que la firma recibida del documento es correcta.
3. Modifica el archivo ligeramente, insertando un carcter o un espacio en
blanco, y vuelve a comprobar si la firma se verifica.
-
97
Actividad 4.- PKY
Caso Prctico 7.- Instalacin de
una entidad emisora de
certificados
Vamos a instalar un servidor de certificados
en un host, que tiene como sistema anfitrin
un Windows XP. Con esto conseguiremos
que los empleados de nuestra compaa
obtengan certificados digitales, tras
solicitrselos a este host.
Ms tarde los podrn usar para el envo de
correo electrnico seguro y/o para la firma
digital de documentos.
-
98
Actividad 4.- PKY
1.- Instalamos en nuestro host, el
IIS (Internet Information Server),
para ello accedemos al panel de
control, pulsamos Agregar o
quitar programas, y dentro de
ste, hacemos clic sobre Agregar
o quitar componentes de
Windows. En la lista de
componentes marcamos la opcin
que se ve en la figura (Servicios
de Internet Information Server).
-
99
Actividad 4.- PKY
2.- Instalamos el servidor de
certificados. Volvemos a Agregar
o quitar programas, y dentro de
ste, hacemos clic sobre Agregar
o quitar componentes de
Windows. En la lista de
componentes marcamos la opcin
que se ve en la figura (Servicios
de Certificate Server).
-
100
Actividad 4.- PKY
3.- Despus, le indicamos a la
aplicacin que queremos instalar
una entidad emisora de
certificados del tipo Entidad
emisora raz independiente.
-
101
Actividad 4.- PKY
4.- Se abre un nuevo cuadro de
dilogo, en el que debemos
especificar el nombre de la
entidad emisora, la organizacin,
la ubicacin de la misma, etc.
5.- En la siguiente pantalla, se nos
permite modificar los directorios
que se van a utilizar para guardar
los datos referentes a este
servidor de certificados. En
nuestro caso, dejamos lo que
propone, por lo que hacemos clic
en siguiente.
-
102
Actividad 4.- PKY
6.- Por ltimo nos muestra un mensaje en el que nos informa que es necesario detener
el servidor de pginas Web IIS
Hemos creado una entidad emisora de certificados. A partir de este momento, si
entramos en herramientas administrativas vemos una nueva consola llamada Entidad
emisora de Certificados.
-
103
Actividad 4.- PKY
Caso Prctico 8.- Peticin y retirada de
certificados de una entidad emisora.
En esta prctica vamos a aprender cmo
debemos solicitar un certificado digital
desde un ordenador de la empresa a la
entidad emisora de certificados, que
configuramos en el caso prctico anterior.
1.- Abrimos el navegador, en nuestro caso
Internet Explorer. Escribimos la direccin
IP del servidor, seguido de la palabra
certsrv.
Seleccionamos la segunda opcin,
Solicitar un certificado, ya que es lo que
nos hemos propuesto inicialmente.
-
104
Actividad 4.- PKY
2.- En nuestra pantalla debemos seleccionar el tipo de solicitud, seleccionamos Certificado de
proteccin de correo electrnico, ya que lo vamos a utilizar para enviar correo electrnico.
3.- Nos pide la informacin de la persona que solicita el certificado digital, su nombre,
email,.
4.- Nos muestra un mensaje de alerta similar al que vemos en la siguiente figura.
Respondemos afirmativamente a la pregunta que contiene el mensaje de alerta, ya que en otro
caso no solicitaramos el certificado.
-
105
Actividad 4.- PKY
En la ltima pantalla se nos indica que nuestro certificado se encuentra pendiente, deberemos
esperar unos das hasta que un administrador acepte la solicitud despus de comprobar que los
datos enviados son correctos.
Una vez que sea admitido el certificado, el usuario que lo solicit deber recogerlo en el
mismo PC en el que solicit el certificado.
5.- En el mismo equipo, en el que solicitamos el certificado, debemos retirarlo. Escribimos en
el navegador Web la misma direccin que en el punto2, y seleccionamos la tercerea opcin,
Comprobar un certificado pendiente.
6.- Elegimos el certificado, que queremos comprobar si ya ha sido admitido.
7.- Nos dar algunos avisos sobre la instalacin y nos mostrar la opcin de instalar el
certificado.
8.- Instalamos el certificado haciendo clic sobre Instalar este certificado.
9.- Respondemos afirmativamente al permiso que nos solicita para agregar los certificados.
10.- Nos muestra una pantalla en la que nos informa de que el certificado ha sido instalado.
11.- Por ltimo, comprobamos que el certificado ha sido bien instalado. Abrimos Internet
Explorer y hacemos clic en Herramientas, opciones de Internet. Hacemos clic en la pestaa
Contenido y hacemos clic en Certificados.
-
106
Actividad 4.- PKY
-
107
Actividad 4.- PKY
Caso Prctico 9.- Exportar el
certificado.
Vamos a exportar el certificado para poder
disponer de el en un host y poder
certificar nuestros mensajes, correos, etc.
1.- Para exportar el certificado,
accedemos desde nuestro navegador web
a la opcin de certificados (Herramientas
Opciones de Internet Contenido
Certificados). Nos saldr el certificado
que hemos creado, lo seleccionamos y
pulsamos el botn Exportar.
-
108
Actividad 4.- PKY
2.- Exportaremos la clave privada para
luego poder trabajar con el certificado, le
damos a Siguiente.
-
109
Actividad 4.- PKY
3.- Seleccionamos que nos lo proteja de
forma segura, para ello, marcamos el
check de Permitir proteccin segura y le
damos a Siguiente.
-
110
Actividad 4.- PKY
4.- Le ponemos una contrasea, para que
no se lo pueda instalar cualquiera.
-
111
Actividad 4.- PKY
5.- Y le decimos donde lo queremos
guardar.
Finalizamos el proceso. Ahora el
certificado lo tenemos en un fichero, ahora
simplemente instalndolo en los PCs y
utilizando una herramienta de correo, como
por ejemplo, Outlook, podemos firmar y
certificar los emails, como que realmente
somos nosotros.
Caso Prctico 10.- Instalar certificado en un PC y utilizacin para enviar email.
Realiza un manual en el que ilustres la el envo de email certificados, utilizando un
programa de correo electrnico, como por ejemplo Outlook o Thunderbird.
-
112
Actividad 5.- PKY 2008 Server (Active directory CertificateService)
Realiza la instalacin de una
entidad emisora de certificados
en Windows Server 2008
-
113
Actividad 6.- Otras Cuestiones
1. Busca informacin acerca de qu es y para qu sirve la esteganografa. Introduce un
mensaje de texto o una fotografa dentro de un archivo de msica, imagen o vdeo,
mediante algn software especfico bajo Windows como PicCrypt, Xiao
Steganography o SteganG, o bajo GNU/Linux como OpenStego. Comprueba que es
posible recuperar el mensaje o archivo oculto.
2. Investiga acerca de la aplicacin OpenSSL. Qu tipo de algoritmos emplea? Para
qu sistemas operativos se encuentra disponible? Qu utilidades posibilita?
3. Realiza una bsqueda de los servicios de empresas como bancos y de la
administracin pblica (seguridad social,hacienda, etc.) a los que se puede acceder
de forma segura, mediante certificado digital y mediante DNI.http://www.cert.fnmt.es/index.php?o=cert
4. Investiga acerca de los distintos mtodos de cifrado que se emplearon en la 2
Guerra Mundial y concretamente sobre Enigma Cul era su palabra clave?
Prueba el simulador de la mquina Enigma:
http://enigmaco.de/enigma/enigma.swf
http://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=certhttp://www.cert.fnmt.es/index.php?o=cert
-
114