encriptación de datos y seguridad de los mismos
TRANSCRIPT
ENCRIPTACIÓN DE DATOS Y
SEGURIDAD DE LOS MISMOS
2
AutenticaciónCriptografíaCertificaciónFirma electrónicaSeguridad en la WebSeguridad computacional
CONTENIDO
Seguridad
¿Qué proteger? ¿De qué proteger?
¿Qué conseguir? ¿Cómo
proteger?
Hardware
Software
Datos
Personas
Amenazas Lógicas
Problemas físicos
Prevención
Detección
Recuperación
Autenticación
Disponibilidad
Confidencialidad
Integridad
No repudio
Catástrofes
Autorización
Auditoría
Es el acto de establecimiento o confirmación de algo (o alguien) como autént ico. La autenticación de un objeto puede signi f icar (pensar) la conf irmación de su procedencia, mientras que la autenticación de una persona a menudo consiste en veri f icar su ident idad.
4
AUTENTICACIÓN
En términos de seguridad de redes de datos, se puede considerar uno de los tres pasos fundamentales (AAA). Cada uno de ellos es, de forma ordenada:
Autenticación. En la seguridad de ordenador, la autenticación es el proceso de intento de verificar la identidad digital del remitente de una comunicación como una petición para conectarse. El remitente siendo autenticado puede ser una persona que usa un ordenador, un ordenador por sí mismo o un programa del ordenador.
Autorización. Proceso por el cual la red de datos autoriza al usuario identif icado a acceder a determinados recursos de la misma.
Auditoría . Mediante la cual la red o sistemas asociados registran todos y cada uno de los accesos a los recursos que realiza el usuario autorizados o no.
El uso más exacto describe la autenticación como el proceso de verificar la identidad de una persona, mientras la autorización es el proceso de verificación que una persona conocida tiene la autoridad para realizar una cierta operación.
7
Identif icar al usuario que desea tener acceso a los servicios de cómputo (Web server, etc.)
Monitoreo del f lujo de paquetes y verif icar que pertenecen a un usuario y servicio autorizado
Identif icar Software intruso y verif icar que su funcionalidad esté autorizada, l ibres de virus
AUTENTICACIÓN
8
Contraseña Funciones compendio Firma digital
Biométricas Reconocimiento de voz Reconocimiento de la mano Huella digital Reconocimiento del ir is (muy confiable)
AUTENTICACIÓN – TÉCNICAS
9
CRIPTOGRAFIA
10
· Criptografía: procedimientos para cifrar, o enmascarar información de carácter confidencial .
· Criptoanálisis: Es la ciencia que se estudia las herramientas y técnicas que permitan conocer los códigos y sistemas de protección definidos por la criptografía.
CRIPTOLOGÍA
Criptografía
Criptoanálisis
Criptología
11
La criptografía es una necesidad, ya que el desarrollo de las comunicaciones electrónicas hace posible la transmisión y almacenamiento de información confidencial que es necesario proteger.
CRIPTOGRAFÍA
Características de los algoritmos de encriptación
• El algoritmo de cifrado debe ser público. Para poder ser estudiado y determinar su nivel de seguridad.
• La robustez de un sistema depende de la clave utilizada.• La clave actúa como modificador del algoritmo, de esta manera el algoritmo
puede ser reutilizado.• Es diferente la clave de la contraseña.• Tipos de algoritmos de encriptación:
• Transposición: Cambiar el orden de los símbolos que forman parte del texto.
• Sustitución: Reemplazan unos símbolos por otros.
Características de los algoritmos de encriptación
Dentro de la técnica de sustitución:• Sustitución monoalfabética: Cada símbolo se reemplaza solo por otro
símbolo.• Sustitución polialfabética: Diversos caracteres del texto cifrado representan
a un mismo carácter del texto original.
Historia de los sistemas criptográficos
La aplicaciones de los sistemas criptográficos tienen aplicación principal en guerras y gobierno.
Las primeras prácticas en los griegos y romanos: Uso del cilindro scytala era empleado por los griegos. Método Transposición. Componentes: correa de cuero, cilindro, mensaje sobre el cuero enrollado. La clave: el diámetro del cilindro.
El Cifrado César, usada por romanos. Consiste en una simple sustitución de cada letra del mensaje por otra distanciada tres posiciones del alfabeto latino. Método Sustitución.
En los califatos islámicos, en el siglo IX d.C., en Bagdad nace el moderno criptoanálisis. Cada lengua tiene una frecuencia característica de aparición de sus letras. Esto constituyó en la decadencia de los métodos de sustitución monoalfabéticos.En el renacimiento León Batista Alberti, creo el cifrados en disco. Método de sustitución polialfabético.Otro método de este tipo es el del diplomático francés Vigenere en 1586. Usado 200 años después y “roto” a mediados del siglo XIX.
En Europa se inicio a dar importancia al cifrado y se usó como herramientas para los gobiernos en las guerras y en las políticas en el exterior como mecanismo de poder.Aparecen los Secretarios (Ministros) de cifra. Felipe II en España nombra a Luis Valle de la Cerda, quien establece la cifra general (se usa para la comunicación entre él con sus secretarios, embajadores y altos militares) y la cifra particular (para un entorno más reducido) .En Inglaterra, Walsingham con Isabel IEn Francia, Viete con Enrique III y IV
Isabel I
En el siglo XX aparecen las máquinas de cifrado: ENIGMA.
Usados por el ejército alemán en la Segunda Guerra Mundial.
Otras máquinas similares fueron el TYPEX en Reino Unido y la Converter M-209 en los Estados Unidos
TypexConverter M-209
Los inventores de Enigma creían que era infalible. Sin embargo cometieron numerosos errores:1. Cadenas de texto predecibles: Mein
Furher2. Utilización de la misma clave por periodos
prolongados de tiempo.3. Cifrado del mismo texto con claves
nuevas y antiguas.Hasta que un día se apoderaron de una máquina Enigma:
20
PROCESO CRIPTOGRÁFICO
CIFRADO DESCIFRADO
DESCRIPTADO
Mensaje cifrado
Mensaje de origen
Mensaje de origen
¿Mensaje de origen?
Interceptado
BA
21
ROT13, a cada letra se asigna a un número y se le suma 13, después se reemplaza el número por otra letra. Si es mayor de 26 se le resta 26 y se convierte.
“HELLO” 8,5,12,12,15 + 13 = 21,18,25,25,28-26 =“URYYB”
Entre más bits se usen, es más difíci l de descrifrar. El algoritmo PGP soporta claves de hasta 4,096 bits
Se requieren 3 días para descifrar una llave de 56 bits, 6 días para 57 bits, 768 días para 64 bits, etc. Las l laves de 128 bits hoy son seguras
ALGORITMOS DE ENCRIPTACIÓN
22
Un buen sistema criptográfico será aquel que ofrezca un descrifrado imposible pero un encriptado sencillo.
La finalidad es doble:
· Mantener la confidencialidad del mensaje.
· Garantizar la autenticidad tanto del mensaje como del par remitente/destinatario..
FINALIDAD DE LA CRIPTOGRAFÍA
23
CIFRADODefinición
Es el mecanismo para proporcionar confidencialidad a través de funciones matemáticas
Tipos• Simétricos o de Llave Privada (DES).
• Asimétricos o de Llave Pública (RSA).
• Híbrido (SSL).
24
Protege la información almacenada en la computadora contra accesos no autorizados
Protege la información mientras transita de un sistema de cómputo a otro
Puede detectar y evitar alteraciones accidentales o intencionales a los datos
Puede verif icar si el autor de un documento es realmente quien se cree que es
VENTAJAS DEL CIFRADO
25
No puede prevenir que un agresor borre intencionalmente todos los datos
Encontrar la forma de que no se tuviera conocimiento previamente
Acceder al archivo antes de que sea cifrado o después de descifrar
DESVENTAJAS DEL CIFRADO
26
Algoritmo cifrador (cifra y descifra datos)
Claves de cifrado
Longitud de clave (claves largas)
Texto en claro (información a cifrar)
Texto cifrado (información después de cifrar)
ELEMENTOS COMUNES DEL CIFRADO
27
Criptografía de clave privada - simétrica Ambos participantes comparten una clave (Ej. DES, IDEA)
Criptografía de clave pública Cada participante tiene una clave privada no compartida y
una clave pública que todos conocen
El mensaje se encripta usando la llave pública y el participante descifra el mensaje con su clave privada (Ej. RSA de Rivest, Shamir y Adleman)
ALGORITMOS CRIPTOGRÁFICOS
28
Función Hash o de Digestión del mensaje: No involucran el uso de claves
Determina una suma de verificación única (checksum) criptográfica sobre el mensaje
El algoritmo más usado es el MD5 (Message Digest versión 5)
ALGORITMOS CRIPTOGRÁFICOS
Datos
Hash
Algoritmos Hash de una dirección con clave
• MAC
Clave Privada
Algoritmo Hash
Algoritmos de clave simétrica
• También se le denomina critografía privada o cifrado por bloques.• Se caracteriza por usar la misma clave para encriptar y
desencriptar.• Toda la seguridad está basada en la privacidad de esta clave
Se apoyan en dos conceptos: Confusión: tratar de ocultar la relación que existe entre el texto
normal, el texto cifrado y la clave, es decir, realizar sustituciones simples
Difusión: trata de repartir la influencia de cada bit del mensaje original lo más posible en el mensaje cifrado, es decir, realizar permutaciones
Estas técnicas consisten en trocear el mensaje en bloques de tamaño f i jo, y aplicar la función de cifrado a cada uno de ellos.
Destacar que la confusión por sí sola sería suficiente, pero ocuparía mucha memoria, por lo que sería inviable.
CIFRADO DE PRODUCTO
32
IDEA – International Data Encryption AlgorithmUsa una clave de 128 bits, utilizado por el programa PGP ( Pretty Good Privacy ) uno de los más extendidos y usados en mensajería de correo electrónico
RC2 Cifrador de bloque permite de 1 a 2048 bitsSKIPJACK
Utilizado por el circuito integrado de cifrado CLIPPER, utiliza 80 bits
SISTEMAS DE CLAVES PRIVADAS
Codifica bloques de 64 bits empleando una clave de 128 bits.
Como en el caso de DES, se usa el mismo algoritmo tanto para cifrar como para descifrar.
Es un algoritmo bastante seguro, y hasta ahora se ha mostrado resistente a los ataques.
Su longitud de clave hace imposible en la práctica un ataque por la fuerza bruta como se podía hacer en el DES.
IDEA (INTERNATIONAL DATA ENCRYPTION ALGORITHM)
Consta de ocho rondas. Dividiremos el bloque X a
codif icar, de 64 bits, en cuatro partes X1, X2, X3 y X4 de 16 bits.
Denominaremos Zi a cada una de las 52 subclaves de 16 bits que vamos a necesitar.
Las operaciones que l levaremos a cabo en cada ronda, se pueden apreciar en la f igura:
X1 X2 X3 X4
X1 X2 X3 X4
Es considerado el sucesor de DES. Este algoritmo se adoptó oficialmente en octubre del 2000
como nuevo Estándar Avanzado de Cifrado (AES) por el NIST (National Institute for Standards and Technology) para su empleo en aplicaciones criptográficas.
Su nombre se debe a dos autores belgas Joan Daemen y Vincent Rijmen.
ALGORITMO DE RIJNDAEL (AES)
Como peculiaridad tiene que todo el proceso de selección, revisión y estudio tanto de este algoritmo como de los restantes candidatos, se efectuó de forma pública y abierta, por lo que, toda la comunidad criptográfica mundial ha participado en su análisis, lo cual convierte a Rijndael en un algoritmo perfectamente digno de la confianza de todos.
AES es un sistema de cifrado por bloques, diseñado para manejar longitudes de clave y de bloque variables, ambas comprendidas entre los 128 y los 256 bits.
Se basa en aplicar un número determinado de rondas a un valor intermedio que se denomina estado y que se representará en una matriz rectangular, que posee cuatro f i las, y Nb columnas. A[4,Nb]
La clave t iene una estructura análoga a la del estado, y se representará mediante una tabla con cuatro f i las y Nk columnas. K[4,Nk]
El bloque que se pretende cifrar o descifrar se traslada a la matriz de estado y análogamente, la clave se copia sobre la matriz de clave
MODOS DE OPERACIÓN PARAALGORITMOS DE CIFRADO POR
BLOQUES
Se ha de añadir información al final para que sí lo sea.
Mecanismo: Rellenar con 0’s el bloque que se
codifica hasta completar. Problema: ¿cuándo se descifra por
donde hay que cortar?. Añadir como último byte del último
bloque el número de bytes que se han añadido.
Independientemente del método empleado ¿qué ocurre cuando la longitud del mensaje no es un múltiplo exacto del tamaño de bloque?
Los algoritmos simétricos encriptan bloques de texto aplicando cifrados de bloques.
El tamaño de los bloques puede ser constante o variable según el t ipo de algoritmo.
Tienen 4 formas de funcionamiento: ECB CBC
POR OTRO LADO
• CFB• OFB
MODO ECB (ELECTRONIC CODE BOOK)
Es el método más sencillo de aplicar Subdivide la cadena a codificar en bloques del tamaño fijo y
se cifran todos ellos empleando la misma clave.
Ventajas: – Permite codificar
bloques independientemente de su orden.
– Es resistente a errores.
Desventajas: – Si el mensaje presenta
patrones que se repiten, el texto cifrado también los presentará.
– Puede sufrir una sustitución de bloques
MODO CBC (CIPHER BOOK CHAINING)
Es un mecanismo de retroalimentación de bloques mediante una codif icación XOR entre el mensaje a codif icar y el criptograma cifrado anterior.
No comienza a codif icar hasta que no tenga un bloque entero
Ventajas: – Nos protege respecto
a la sustitución de bloques.
– Es resistente a errores.
Desventajas: – Si dos textos tienen el
mismo patrón obtendrán el mismo resultado usar Vector de Inicio
- MODO CFB (CIPHER FEEDBACK MODE)
Permite codificar la información en unidades inferiores al tamaño del bloque
Realiza una XOR entre caracteres o bits aislados del texto y las salidas del algoritmo.
Ventajas: - Permite aprovechar totalmente la capacidad de
transmisión del canal de comunicaciones con mayor seguridad.
MODO OFB (OUTPUT FEEDBACK MODE)
Como el CFB, realiza una XOR entre caracteres o bits aislados del texto y las salidas del algoritmo.
Pero uti l iza como entradas sus propias salidas, por lo tanto no depende del texto.
Ventajas: – Ya no depende del
texto
44
• Usa las técnicas de confusión y difusión
• Cifra por bloques de 64 bits con una llave secreta de 64 bits (56 úti les y 8 de paridad)
• Realiza 16 iteraciones y en cada una hace una sustitución y una permutación con la l lave
• En Hardware es más rápido hasta 1Gb/seg.
• La llave privada se puede enviar con cada mensaje
SISTEMAS DE CLAVE PRIVADA – DES (DATA
ENCRIPTION STD. IBM-1980)
45
ALGORITMOS DE LLAVE PRIVADA -VENTAJAS
• El descifrado utiliza el mismo algoritmo pero con las llaves en orden inverso
• Se requieren 1500 años para hallar la clave o 6 meses si se usan 300 PCs en paralelo
• Estándar ampliamente utilizado en la industria, donde para mayor seguridad se encripta 3 veces (3DES), usando tres claves diferentes
46
ALGORITMOS DE LLAVE PRIVADA -DESVENTAJAS
• Quedan algunas incógnitas por resolver
• Ya cumplió con su ciclo de vida
• Puede romperse por fuerza bruta
• Como todo algoritmo simétrico, tiene el problema de la distribución de la llave
Datos
Algoritmo de clave simétrica ( ó privada)
asE4Bhl
Datos cifrados
Clave Privada
Algoritmo de clave simétrica
Datos
Clave Privada
Algoritmo de clave simétrica
• DES y triple DES• IDEA• RC2 y RC4• SkipJack
Se caracteriza por usar una clave para encriptar y otra para desencriptar. Una clave no se derivará de la otra.
Emplean longitudes de clave mucho mayores que los simétricos.
Además, la complejidad de cálculo que comportan los hace más lentos que los algoritmos de cifrado simétricos.
Por ello, los métodos asimétricos se emplean para intercambiar la clave de sesión mientras que los simétricos para el intercambio de información dentro de una sesión.
ALGORITMOS DE CLAVE ASIMÉTRICA
Cifrado de la información sin tener que transmitir la clave de decodif icación, lo cual permite su uso en canales inseguros. La clave que se hace pública es aquella que permite codificar los
mensajes, mientras que la clave privada es aquella que permite descifrarlos.
Autentificación de mensajes que nos permiten obtener una f irma digital a part ir de un mensaje. Dicha f irma es mucho más pequeña que el mensaje original, y es muy difíci l encontrar otro mensaje de lugar a la misma. La clave de descifrado se hará pública previamente, y la clave que
se emplea para cifrar es la clave privada.
APLICACIONES
50
ALGORITMOS DE LLAVE PÚBLICA
• Todos los usuarios tienen una llave pública y una privada
• Si alguien envía un mensaje, lo cifra con tu llave pública y sólo se descifra con la clave secreta
• La seguridad depende de la confidencialidad de la llave secreta
• Se basan en funciones matemáticas complejas como los logaritmos discretos y curvas elípticasA
Datos
asE4Bhl
Datos cifrados
Datos
Clave Privada
Algoritmo de clave pública
Algoritmo de clave pública
Clave Pública
• RSA• Diffie-Hellman
Algoritmo de clave asimétrica ( ó pública)
Datos
Cifrado privado
Cifrado público
52
ALGORITMOS DE LLAVE PÚBLICA
Esquema de cifrado.
Digamos que existen un par de llaves que pertenecen al usuario A:• PK A : Llave pública de A• SK A : Llave secreta de A
Entonces:• B -> A: PK A {mensaje} : Mensaje Cifrado• A : SK A {PKA {mensaje} } : Descifrado
• El mensaje solamente lo puede entender el usuario A
53
EL GAMAL· Basado en aritmética exponencial y modular, puede usarse
para cifrado y firmas digitales.
DSA· Algoritmo de firmas digitales, puede ser de cualquier longitud,
solamente se permiten claves entre 512 y 1024 bits bajo FIPS
Sistemas de clave pública
54
Pohlig-Hellman· Sistema para el intercambio de claves criptográficas entre
partes activas. La clave puede ser de cualquier longitud, dependiendo de la implementación de que se trate.
RSA – Data Security Inc.· Puede usarse tanto para cifrar información como para ser la
base de un sistema digital de firmas.
Sistemas de clave pública
55
ALGORITMO DE LLAVE PÚBLICA - RSA
• Surge en 1978 gracias a Ron Rivest, Adi Shamir y Leonard Adleman fundadores de RSA Data Security
• Su seguridad radica en la dificultad de factorizar números muy grandes (esp. números primos)- De 100-200 dígitos (512 bits). Hoy se usan llaves de 1024 bits
• Proporciona mayor flexibilidad– Se puede utilizar tanto para encriptar como para firmar mensajes
• La firma se hace con la llave privada y se verifica usando la llave pública
- Claves Demasiado CortasDeberemos escoger la longitud de la clave en función del t iempo que queramos que nuestra información permanezca en secreto.
Ataques de IntermediarioPuede darse con cualquier algori tmo asimétrico. Manera de evi tar: Cert i f icados de confianza, que cert i f ican la autent ic idad de la clave.
Ataques de Texto en Claro EscogidoExplota la posibi l idad de que un usuario codif ique y f i rme un único mensaje empleando el mismo par de claves.
Firmar y CodificarNunca se debe f i rmar un mensaje después de codif icarlo ya que existen ataques que aprovechan este hecho.
VULNERABILIDADES:
Se emplea fundamentalmente para acordar una clave común entre dos interlocutores, a través de un canal de comunicación inseguro.
Algoritmo: A escoge un número aleatorio x, y envía a B el valor α x(mod p) B escoge un número aleatorio y envía a A el valor α y(mod p) B recoge α x y calcula K = (α x)y (mod p). A recoge α y y calcula K = (α y)x (mod p).
Ventaja: no son necesarias claves públicas en el sentido estricto, sino una información compartida por los dos comunicantes.
ALGORITMO DE DIFFIE-HELLMAN
Fue diseñado en un principio para producir f irmas digitales, pero posteriormente se extendió también para codif icar mensajes.
Se basa en el problema de los logaritmos discretos Algoritmo:
Se escoge un número primo n y dos números aleatorios p y x menores que n. Se calcula entonces la expresión:
y = px (mod n) La clave pública es (p, y, n), mientras que la clave
privada es x.
ALGORITMO ELGAMAL
Firmas Digitales de ElGamalEscoger un número k aleatorio, tal que mcd(k,n-1) =1, y calcular:
a = pk(mod n)b = (m-xa)k - 1 (mod (n-1))
La f irma la constituye el par (a, b). En cuanto al valor k, debe mantenerse en secreto y ser diferente cada vez. La f irma se verif ica comprobando que yaab = pm (mod n)
Codificación de ElGamal
Para codif icar el mensaje m se escoge primero un número aleatorio k primo relativo con (n-1), que también será mantenido en secreto. Calculamos:
a = pk (mod n)b = ykm (mod n)
El par (a, b) es el texto cifrado, de doble longitud que el texto original.
Para decodif icar se calculam = b * a - x (mod n)
ALGORITMO ELGAMAL
Se basa en el problema de calcular raíces cuadradas modulo un número compuesto. Este problema se ha demostrado que es equivalente al de la factorización de dicho número.
En primer lugar escogemos dos números primos, p y q, ambos congruentes con 3 módulo 4 (los dos últ imos bits a 1). Estos primos son la clave privada. La clave pública es su producto, n = pq.
Para codif icar un mensaje m, se calcula:
c = m2 (mod n)
ALGORITMO DE RABIN
Es una parte el estándar de f irma digital DSS (Digital Signature Standard).
Propuesto por el NIST, data de 1991, es una variante del método asimétrico de ElGamal.
Pasos:
Por un lado se generará la clave pública compuesta por (p, q, α, y). Y por otro la clave privada a.
Se generá la firma con la cual podrá operar el emisor.
El destinatario efectuará las operaciones oportunas, suponiendo que conoce la clave pública (p, q, α , y), para verificar la autenticidad de la firma.
ALGORITMO DSA (DIGITAL SIGNATURE ALGORITHM)
62
Aceptan como entrada un conjunto de datos y genera un resultado de longitud fija único:
No debe ser posible reconstruir la fuente de datos con el resultado compendiado
El resultado debe parecer un conjunto aleatorio de datos para que al agregarlos a los datos cifrados no se pueda determinar donde terminan y donde inicia la firma digital
FUNCIONES CRIPTOGRÁFICAS HASHN
63
Calculan una suma de verif icación (checksum) criptográfica de longitud f i ja de un mensaje de entrada de longitud arbitraria
Operan en partes de mensaje de 512 bits con transformaciones complejas
Para la f irma se usa RSA sobre el resultado de la Checksum
ALGORITMO HASH MDN (2 O 5)
64
SNERFUN-HASH
MD2, MD4, MD5 – Message Digest AlgorithmSHA – Secure Hash Algorithm
RIPE – MDHAVAL
FUNCIONES CRIPTOGRÁFICAS HASH
65
PGP – Pretty Good Privacy (Phil Zimmerman) opera en la capa de aplicación
Encriptación y autenticación para correo electrónico
Usa una llave pública certificada por alguien
PGP puede utilizar diferentes algoritmos de encriptación
SISTEMAS DE SEGURIDAD COMPLETOS
66
El protocolo IPSEC opera a nivel de capa de red
Seguridad de nivel capa de transporte – HTTPS Usa un puerto seguro de TCP (443)
Otros protocolos de capa de transporte son SSL y TLS, proporcionan privacidad, integridad y autenticación
SISTEMAS DE SEGURIDAD COMPLETOS
67
PROTOCOLO DE CAPA DE RED
SSL – Secure Socket Layer (Netscape) • Cifra los datos con clave privada RC4 o IDEA y la clave de sesión de
RC4 o IDEA mediante RSA de clave pública
• La clave de sesión es la que se utiliza para cifrar los datos que vienen o van al servidor seguro, se genera una clave distinta por transacción
• Además proporciona autenticación de servidores, integridad de mensajes y de conexiones TCP/IP
68
PROTOCOLO DE CAPA DE RED
•¨Cuando el cliente pide una comunicación segura, el servidor abre un puerto cifrado gestionado por SSL:Fase Hola – acuerdo sobre los algoritmos a usar• Fase Intercambio de claves, generando la maestra• Fase de producción de clave de sesión para cifrar• Fase de verificación del servidor al usar RSA• Fase de autenticación del cliente• Fase de fin para iniciar el intercambio de inf.
SSL
https://www.dominio.com
$
VISIO CORPORATION
Certificado servidor
Auténtico ?
Continuar ?No
Si
Si
Clave Pública servidor
Clave Privada servidor
Clave simétrica de sesión
asE4Bhl
Clave simétrica de sesión
Clave simétrica de sesión
No FinCliente
Servidor
Generador de claves
70
Producto de la alianza IBM, Microsoft, Netscape, Visa y Mastercard No es adecuado para micropagos (< US$10) Garantiza la autenticación de todas las partes: cliente, vendedor,
bancos emisor y adquiriente Alta confidencialidad, el vendedor no tiene acceso al número de
tarjeta y el banco no accesa los pedidos Permite la gestión de la actividad comercial, registros,
autorizaciones y liquidaciones
PROTOCOLO SECURE ELECRONIC TRANSACTION – (SET)
71
LimitantesLento desarrollo de software de monedero y POST
(punto de venta)No hay compatibilidad completa de los productos
que maneja SET
Exige rígidas jerarquias de certificación, diferentes para cada tarjeta, lo cual es engorroso
El costo de su implementación es elevada
…PROTOCOLO SECURE ELECRONIC TRANSACTION – (SET)
72
CERTIFICACIÓN
73
CERTIFICADO DIGITAL
La empresa mas importante a nivel mundial para la expedicion de firma o certificado digital es:
http://www.verisign.com/client/enrollment/index.html Costo del certificado:
• 60 Días Gratis.• $14.95 por Año.
74
CERTIFICADO DIGITAL
75
PROCESO DE CERTIFICACIÓN
El proceso de certificación incluye servicios de registro, "naming", autenticación, emisión, revocación y suspensión de los certificados.
VeriSign ofrece tres niveles de servicios de certificación de acuerdo a las necesidades del usuario.
76
CERTIFICADO DIGITAL CLASE 1
Son emitidos y comunicados electrónicamente a personas físicas, y relacionan en forma indubitable el nombre del usuario o su "alias" y su dirección de E-mail con el registro llevado por VeriSign.
No autentican la identidad del usuario. Son utilizados fundamentalmente para Web Browsing y E-mail, afianzando la seguridad de sus entornos. No son para uso comercial.
77
CERTIFICADO DIGITAL CLASE 2
Son emitidos a personas físicas, y confirman la veracidad de la información aportada en el acto de presentar la aplicación y que ella no difiere de la que surge de alguna base de datos de usuarios reconocida.
Es utilizado para realizar comunicaciones vía E-mail; transacciones comerciales de bajo riesgo, validación de software y suscripciones on-line.
78
CERTIFICADO DIGITAL CLASE 3
Son emitidos a personas físicas y organizaciones públicas y privadas. En el primer caso, asegura la identidad del suscriptor, requiriendo su presencia física ante una LRA o un notario.
79
CERTIFICADO DIGITAL CLASE 3
En el caso de organizaciones asegura la existencia y nombre mediante el cotejo de los registros denunciados con los contenidos en bases de datos independientes.
Son utilizados para determinadas aplicaciones de comercio electrónico como ‘Electronic banking' y Electronic Data Interchange (EDI).
80
FIRM
A
ELECTR
ONIC
A
81
FIRMA ELECTRÓNICA
Por Firma Electrónica se entiende "aquel conjunto de datos en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.”
82
FIRMA ELECTRÓNICA AVANZADA
Permite la identificación del signatario y ha sido creada por medios que este mantiene bajo su exclusivo control, vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de estos. Tiene iguales efectos jurídicos que en la firma manuscrita.
83
SEGURIDAD EN LA WEB
84
SEGURIDAD EN LA WEB
La WWW es un sistema para intercambiar información sobre internet.
Se construye de servidores web que ponen la información disponible en la red.
Los examinadores de la web se usan para tener acceso a información almacenada en los servidores y para desplegarla en la pantalla del usuario.
85
Al construir un servidor web, se debe estar seguro de:· Los usuarios no deben ser capaces de ejecutar comandos
arbitrarios o interactuar con el intérprete de comandos en el servidor.
· Los guiones CGI que se ejecutan deben desempeñarse ya sea haciendo la función esperada o devolviendo un mensaje de error.
· Un agresor no debería ser capaz de usar el servidor para ataques posteriores.
SERVIDOR SEGURO CONT…
86
Los servidores usan tres técnicas principales para controlar el acceso a los archivos y directorios:· Restringir el acceso a las direcciones IP, subredes o dominios
DNS particulares.· Restringir el acceso a usuarios en particular.· Restringir el acceso de usuarios que presenten claves
públicas firmadas por una autoridad de certificación apropiada.
SERVIDOR SEGURO CONT…
87
Auditorias regulares de riesgoDocumentar planes de emergencia
Monitoreo de palabras clave
Manual de crisis accesible en IntranetSitios ocultos completos y actualizados
Simulacros de emergencia Información a los medios y usuarios en caso de
emergencia
ADMINISTRACIÓN DE RIESGO
88
Desarrollar un sitio oculto con información acerca de medidas de seguridad, debe incluir formas de contactar a expertos y debe reemplazar al sitio normal en menos de una hora, con declaraciones de la alta dirección
El sitio debe estar en CD o ZIP para llevarlo a un ISP y publicarlo, avisando por los medios al público
Hay sitios que monitorean la red en caso de problemas, “The informant” y “Mind It” (perro guardian)
PLANEACIÓN ESTRATÉGICA PARA CASOS DE EMERGENCIA
89
SEGURIDAD COMPUTACIO
NAL
90
Seguridad InformáticaDisciplina que busca proteger la información ante eventos
adversos
Se basa en 3 principios básicos:
Confidencialidad
SEGURIDAD COMPUTACIONAL
IntegridadDisponibilidad
91
Confidencialidad– La información sólo es revelada a los individuos o procesos
autorizados
Integridad– La información no debe ser modificada de manera accidental o
maliciosa
• Disponibilidad– Los recursos de información son accesibles en todo momento.
SEGURIDAD COMPUTACIONAL