Security

Introduccin a la criptografa 1
Seguridad en I nt ernet
Tema 1: Introduccin
Tema 1. Introduccin
Seguridad en Internet B. Alarcos, E. de la Hoz
Mot ivaciones
Cript oanlisis Quebrado de la mquina enigma en
la segunda guerra mundial
Seguridad de sist emas Gusanos de propagacin
masiva: Sasser
Cript ografa At ent ados del 11-S
Aut ent icacin I nt ent o de fraude a usuarios de
banca por I nt ernet . DNI Elect rnico
Varios: Vot o t elemt ico.
ht t p: / / www.vot obit .org/ archivos/ PruebaVot oI nt ernet
2005.pdf
Tema 1. Introduccin
Un poco de t erminologa
Es necesario una forma sist emt ica de definir los requisit os
de seguridad y caract erizar los enfoques para cumplir dichos
requisit os: Arquit ect ura de seguridad X.800 de I TU-T de OSI .
Amenaza a la seguridad: peligro posible que podra
explot ar una vulnerabilidad.
Ataque a la Seguridad: cualquier accin que compromet a
la seguridad de la informacin de una organizacin.
Mecanismo de seguridad: mecanismo diseado para
det ect ar un at aque a la seguridad, prevenirlo o rest ablecerse
de l.
Servicio de seguridad: servicio que mej ora la seguridad de
los sist emas de procesamient o de dat os y la t ransferencia de
informacin de una organizacin. Los servicios est s
diseados para cont rarrest ar los at aques a la seguridad, y
hacen uso de uno o ms mecanismos para proporcionar el
servicio.
Tema 1. Introduccin
Modelo de Seguridad en redes
El int ruso puede realizar
varios t ipos de at aques:
Disponibilidad del sist ema.
Averiguar informacin
confidencial.
Falsificar el cont enido o la
ident idad de origen de un
mensaj e.
Cambiar de orden.
Ret ener un mensaj e.
Analizar fluj o de t rfico.
Tema 1. Introduccin
Modelo de seguridad en el acceso a redes
Podemos dist inguir dos t ipos de amenazas
Amenzazas al acceso a la informacin
Amenazas al servicio: explot ar fallos para impedir el acceso a los usuarios
legt imos.
Mecanismos de defensa:
Funcin de vigilancia.
Sist emas de det eccin de int rusos.
Tema 1. Introduccin
Unicidad
Generacin de trfico
De destino
De origen
No repudio
Anlisis de trfico
Contenido secreto
Confidencialidad
Retraso
Secuencia, Repeticin
Modificacin
Integridad
Mensaje
Interlocutor
Autenticacin
Integridad de datos
Cifrado
Autenticacin de mensajes
Protocolos de autenticacin
Servicios de Seguridad
Tema 1. Introduccin
Servicios vs At aques
Tema 1. Introduccin
Servicios vs Mecanismos
Tema 1. Introduccin
Cript ografa
criptografa.
(Del gr. , oculto, y -grafa).
1. f. Art e de escribir con clave secret a o de un modo
enigmt ico.
El obj et o de la cript ografa es el siguient e:
Ocult ar el cont enido de un mensaj e.
El dest inat ario de un mensaj e verifica su aut ent icidad.
Crea la base de las soluciones t ecnolgicas de problemas de
seguridad en ordenadores y comunicaciones.
La Criptologa abarca dos campos:
Criptografa:
Art e o ciencia que engloba los principios y mt odos de t ransformacin de
un mensaj e int eligible en uno no int eligible y su post erior t ransformacin
en int eligible. Hace uso de un dat o secret o denominado clave.
Criptoanlisis:
El est udio de los principios y mt odos para t ransformar un mensaj e no
int eligible en uno int eligible, sin conocer la clave.
Tema 1. Introduccin
Evolucin hist rica
Jeroglficos: hace 4000 aos, en el ant iguo Egipt o.
Ant iguos Hebreos cifraron algunas palabras en sus escrit uras.
Esct alo: cilindro para cifrar ut ilizado en la guerra ent re Espart a a At enas.
Cifrado de Julio Cesar hace 2000 aos.
Roger Bacon describi varios mt odos en 1200.
Leon Albert i invent una rueda de cifrar en 1460.
Blaise de Vigenre publico un libro de cript ologa en 1585: describiendo el
cifrado de sust it ucin polialfabt ica.
Su uso creci en los campos diplomt icos (espionaj e) y de guerras.
Algunas mquinas:
Cilindro de Jefferson (1790): 36 discos con un alfabet o en orden aleat orio, se
selecciona un t ext o en claro y ot ra fila genera el t ext o cifrado.
Disco de Wheat st one (1817): dos ruedas concnt ricas ut ilizadas generar un
cifrado polialfabt ico.
Maquina de rot ores Enigma (ut ilizada en la segunda guerra mundial): conj unt o de
rot ores con conexiones cruzadas int ernas produciendo una sust it ucin alfabt ica.
Segunda mit ad del siglo XX: Aparece el ordenador. Mtodos modernos
basados en complej idad comput acional: mt odo pblico y clave secret a.
Tema 1. Introduccin
Terminologa
Texto en claro (plaint ext ): mensaj e int eligible.
Texto cifrado o criptograma: mensaj e t ransformado en int eligible.
Algoritmos de cifrado: conviert en el t ext o en claro en t ext o cifrado.
Clave: informacin crit ica ut ilizada por los algorit mos de cifrado, slo
conocida por el emisor y el recept or.
Cifrar: proceso de convert ir el t ext o en claro en cifrado ut ilizando un
algorit mo de cifrado y la clave.
Descifrar: proceso de convert ir el t ext o cifrado en t ext o en claro
ut ilizando un algorit mo de cifrado y la clave.
Cifrado del t ext o en claro m con clave k se expresa: c = C
K
[ m]
El descifrado de cript ograma c ut ilizando la clave k se expresa: m = D
K
[ c]
Clasificacin de grado de seguridad de los sist emas:
Sist ema incondicionalment e seguro: la seguridad no puede ser rot a.
Sist ema comput acionalment e seguro: no se puede romper con mt odos
comput acionales en un t iempo y con unos medios razonables.
Tema 1. Introduccin
Tipos de cifradores
Cifrador de flujo:
Procesa el mensaj e bit a bit .
Ej emplo: cifrador de Vernam:
XOR bit a bit del t ext o en claro con una clave aleat oria.
Sist ema incondicionalment e seguro si la clave es aleat oria.
Problema: necesit a una clave t an larga como como el mensaj e.
Texto en claro
k
k
Texto en claro
Texto cifrado
Ot ra propuest a ms fact ible consist e en un generador
seudoaleat orio a part ir de una clave.
Texto en claro
k
k
Texto en claro
Texto cifrado
G G
Problema: dificult ades t cnicas para encont rar un generador
con verdadera aleat oriedad.
Tema 1. Introduccin
Cifrador de Bloque:
El mensaj e se fragment a en bloques.
Se cifra cada uno de los bloques.
Ut ilizado por los cifradores ms modernos.
Ms seguros.
Ms ut ilizado en la prct ica que el cifrado de fluj o.
m
m
1
m
2
m
k
m
3
m
4
.......
C k C k C k C k C k
c
1
c
2
c
k
c
3
c
4
.......
Tipos de cifradores
Tema 1. Introduccin
Sist emas de cifrado simt rico
Tambin denominados de clave secret a. Se aplica a la
confidencialidad.
Una clave secret a que compart en los usuarios que quieren mant ener
un canal seguro.
El emisor cifra con la clave y el recept or descifra con la clave.
Servicios: confidencialidad, aut ent icacin, int egridad.
Problemas:
Dist ribucin de claves: cmo se dist ribuye un secret o de forma
segura?.
Gest in de claves: si t engo 100 personas con las que quiero comunicar
necesit o 100 claves compart idas.
Soluciones
Cent ro de dist ribucin de claves (KDC)
Ut ilizar cript osist emas de clave asimt rica
Algorit mos: DES, 3-DES, AES, I DEA, RC5, Blowfish, CAST-128, RC2,
Skipj ack (Clipper)...
C
m
Ks
D
Ks
m c
Tema 1. Introduccin
Sist emas de cifrado asimt rico
Tambin denominado de clave pblica. Se aplica a la aut ent icacin.
Dos claves:
Privada: slo la conoce su propiet ario.
Pblica: asociada a la privada la puede conocer cualquiera.
Proceso: si se cifra con una clave se puede descifrar slo con la ot ra.
Dos posibilidades:
Cifrado con la privada y descifrado con la pblica: aut ent icacin
Cifrado con la pblica y descifrado con la privada: confidencialidad
m
C
Kpblica (Confidencialidad)
Kprivada (Autenticacin)
D
Kprivada
Kpblica
m c
Problema:
Cifrado lent o
Dist ribucin de clave pblica: Cert ificados
Algorit mos: RSA, ECC, El gamal...
Tema 1. Introduccin
Ot ros mecanismos:
I nt ercambio de clave:
Diffie-Hellman
Prot ocolos de aut ent icacin:
Permit en aut ent icarse a dos usuarios que est ablecen una conexin.
Funciones HASH:
Genera un resumen de un mensaj e.
Proceso de un nico sent ido.
Ut ilizado en mecanismos de aut ent icacin de mensaj es.
Algunos algorit mos: MD4, MD5, SHA-1, RI PEMD-160
Funciones MAC:
Genera un cdigo de aut ent icacin a part ir de un mensaj e y una clave.
Ut ilizado en mecanismos de aut ent icacin de mensaj es.
Algorit mo HMAC
Firma Digit al:
Ut iliza cript ografa asimt rica y hash.
Ofrece servicios de aut ent icacin y de no repudio.
Algorit mos: esquema con RSA, DSS
Firma a Ciegas u Opaca
Permit e firmar sin que el firmant e sepa lo que est firmando
Teora de la informacin 1
Cifrado Simtrico:
Teora de la informacin
Tema 2. Teora de la Informacin
Seguridad en Internet
B. Alarcos, E. de la Hoz
Conceptos
Cantidad de informacin y entropa
Criptosistema ideal
Redundancia
Claves falsas
Desinformacin
Mtodos aplicados en la criptografia
Distancia de unicidad
Sistemas seguros prcticos
Criptoanlisis
Canal de cifrado-descifrado
En el canal clsico de Shannon los cdigos se han diseado para evitar
que un mensaje con errores sea mal interpretado en el receptor.
Para esto se aade redundancia al mensaje.
El comportamiento aleatorio del canal puede convertirse en un
comportamiento determinista con malas intenciones por accin de un
intruso:
Obtener y determinar el mensaje M.
Alterar M haciendo que este sea aceptado por el receptor.
Suplantar al emisor enviando M falso.
En respuesta a esto la criptografa debe cifrar el mensaje para ofrecer
confidencialidad e integridad de los datos y autenticacin del emisor.
Un cifrador perfecto debe distribuir los mensajes en claro para que les
pueda corresponder cualquier mensaje cifrado con igual probabilidad,
independientemente de la clave utilizada.
Un cifrador perfecto es un buen generador de nmeros aleatorios (lo
contrario no es necesariamente cierto).
Criterios para un sistema seguro
Criterios de Shannon actualizados a sistemas con
computador:
La cantidad de seguridad deseada determina la cantidad de trabajo y
tiempo de clculo necesario para vulnerar el mensaje cifrado.
Las claves utilizadas deben ser de fcil construccin, lo ms cortas
posibles, fciles de alimentar y modificar y consecuentemente que
ocupen poca memoria.
Las operaciones de cifrado y descifrado conocida la clave, deben
implicar la menor cantidad de clculo posible.
Las claves y el sistema de cifrado deben ser tales que destruyan los
parmetros estadsticos del lenguaje, o bien su estructura natural.
Los errores de transmisin en los criptogramas no deben originar
ambigedades o prdida del sentido de la informacin original,
hacindola intil.
La necesidad de almacenamiento para los criptogramas no debe ser
mayor que la necesaria para los mensajes en claro equivalentes.
El anlisis de un criptograma tratando de vulnerarlo debe necesitar
una cantidad de clculo tal, que sea considerado como un problema
intratable, incluso con ordenador como apoyo.
Cantidad de informacin
Definicin:
Disminucin del grado de incertidumbre de un suceso
Si hay un hecho que ocurre siempre con total certeza conocerlo no nos aporta
ninguna informacin. Ej. Maana saldr el sol.
Aporta mayor informacin si ocurre un suceso menos probable.
Adivinar un nmero entre 1 y 100 (p=1%). Si lo adivino disminuye la
incertidumbre en 99%.
Adivinar un nmero entre 1 y 2 (p=50%). Si lo adivino disminuye la incertidumbre
en 50%.
Formalizacin:
Sea una variable aleatoria V, el suceso i-simo x
i
, su probabilidad P(x
i
) y n el
nmero de sucesos posibles.
I
i
=-log
2
(P(x
i
))=log
2
(1/P(x
i
))
Si P(x
i
) = 1 I
i
=0; un suceso seguro no aporta informacin.
Si P(x
i
) 0 I
i
+
La unidad es el bit.
Se define para el caso ms simple: dos sucesos X
1
y X
2
con P(X
1
)=P(X
2
)=0.5.
I
1
=I
2
=-log
2
(1/2)=log
2
(2)=1 bit.
Entropa
Definicin: suma ponderada de la cantidad de informacin de todos los
posibles estados de una variable aleatoria V.
Propiedades:
0 H(V) log
2
N; log
2
N se da cuando P(x
j
) = 1/N i
Si P(X
1
)=0,5 y P(X
2
)=0,5; H = 1 b/s.
Si P(X
1
)=0,4 y P(X
2
)=0,6; H = 0,97 b/s.
H(V) = 0 i / P(x
i
) = 1 y P(x
j
) = 0 i j
H(x
1
,x
2
.x
n
) = H(x
1
,x
2
.x
n
,

x
n+1
) si P(x
n+1
)=0
La Entropa es proporcional a la longitud media de los mensajes (bits/smbolo)
necesaria para codificar de forma ptima los valores de V.
Los valores ms probables (I menor) se codificarn con menor longitud.
Los valores menos probables (I mayor) se codificarn con mayor longitud.
Con esto conseguimos optimizar la longitud de la codificacin generada.
]
) (
1
[ log ) ( )] ( [ log ) ( ) (
2
1
2
1
i
n
i
i i
n
i
i
x P
X P x P X P V H
! !
= =
= " =
Interpretacin de Entropa
N medio de bits necesarios para codificar cada uno de los
estados posibles de la variable aleatoria.
Si en un sistema de transmisin cada estado representa un
smbolo a codificar para transmitir, la entropa nos da los
bits/smbolo necesarios para codificar.
Ejemplo:
10 smbolos equiprobables: 0..9
H=-0.1log
2
(0.1)=-log
2
(0.1)=3.32 bits
Este valor es el lmite terico que se puede llegar a conseguir.
Utilizando codificacin BCD utilizamos 4 bits por smbolo.
{0 0000, 1 0001, 2 0010, 3 0011, 4 0100, 5 0101, 6 0101, 7 0111, 8 1000, 9
1001}
Aplicando mtodos como Huffman podemos acercarnos a este valor
terico:
{0 000, 1 001, 2 010, 3 011, 4 100, 5 101, 6 1100, 7 1101, 8 1110, 9 1111}
(3*6+4*4)/10 = 3.4 bits por smbolo
Distribuciones de probabilidad
Supongamos una variable aleatoria bidimensional (X, Y).
n posibles eventos para X y m para Y.
Distribucin conjunta de (X,Y): P(x
i
,y
j
)
Distribuciones marginales de X e Y:
Distribuciones condicionales X sobre Y y viceversa:
!
=
=
m
j
j i i
y x P x P
1
) , ( ) (
!
=
=
n
i
j i j
y x P y P
1
) , ( ) (
) (
) , (
) / (
j
j i
j i
y P
y x P
y x P =
) (
) , (
) / (
i
j i
i j
x P
y x P
x y P =
Entropa condicionada
Entropa condicionada de X sobre Y: suma ponderada de los H(X/Y=y
j
).
!! !!
= = = =
" = " =
n
i
m
j
j i j i j i
n
i
j i
m
j
j
y x P y x P y x P y x P y P Y X H
1 1
2 2
1 1
)) / ( ( log ) , ( )) / ( ( log ) / ( ) ( ) / (
Ley de Entropas Totales: H(X,Y) = H(X) + H(Y/X)
Si X e Y son variables independientes: H(Y/X) = H(Y). Por tanto,
H(X,Y) = H(X) + H(Y)
Teorema de Disminucin de la entropa: H(X/Y) H(X);
La igualdad se alcanza si y slo si X e Y son independientes.
Conocer algo acerca de Y puede que nos ayude a conocer X pero nunca nos
ayuda a aumentar la incertidumbre.
Entropa de las distribuciones conjunta y condicionada:
)) , ( ( log ) , ( ) , (
2
1 1
j i
n
i
m
j
j i
y x P y x P Y X H
!!
= =
" =
)) / ( ( log ) / ( ) / (
2
1
j i
n
i
j i j
y x P y x P y Y X H
!
=
" = =
Cantidad de informacin entre dos variables
Cantidad de informacin de Shannon que la variable X
contiene sobre Y.
I(X,Y)=H(Y)-H(Y/X)
La cantidad de informacin que nos aporta el hecho de
conocer X al medir la incertidumbre de Y es igual a la
disminucin de la entropa que produce dicho conocimiento.
Propiedades:
I(X,Y) = I(Y,X)
I(X,Y) 0 (igualdad si X e Y son independientes, es decir,
H(Y/X)=H(Y))
Criptosistemas ideales
Un criptosistema es seguro de shannon si la cantidad de informacin
que nos aporta conocer el mensaje cifrado c sobre la entropa del texto en
claro es 0.
I(C,M)=0
H(M)=H(M/C)
Si el criptosistema no es ideal, al conocer criptogramas c
i
variamos la
distribucin de probabilidad de M y K, siendo unos m ms probables que
otros y unas claves de cifrado ms probables que otras. Si se conocen
muchos criptogramas podemos llegar a romper el criptosistema.
Para que un criptosistema sea seguro se debe cumplir que la cardinalidad
del espacio de claves debe ser como mnimo igual a la del espacio de
mensajes. Esto los hace impracticables (clave tan larga como mensaje).
En la prctica a partir de claves K se generan seudoclaves ms largas k.
Un sistema de clave aleatoria y continua de un solo uso es un criptosistema
perfecto (One-time pad)
Si se reutilizan las claves o no son aleatorias el criptosistema no es perfecto
cifrador c m
k
Ejemplo de criptosistema no ideal
M {A, B}; P
A
= 1/4, P
B
=3/4
C {V,X,Y,Z};
K {K
1
, K
2
, K
3
}; P
K1
=1/2, P
K2
=1/4,
P
K3
=1/4
P
V
=P
K1
*P
A
=1/8
P
X
=P
K2
*P
A
+P
K1
*P
B
=1/16+3/8=7/16
P
Y
=3/16+1/16=1/4
P
Z
=3/16
P(A/V)=1
P(A/X)=P
K2
*P
A
/P
X
=(1/16)/(7/16)=1/7
P(A/Y)=1/4=P
A
*P
K3
/P
Y
=(1/16)/(1/4)=1/4
P(A/Z)=0
P(B/V)=0
P(B/X)=6/7
P(B/Y)=3/4
P(B/Z)=1
Z Y X B
Y X V A
K
3
K
2
k
1
Si observo V la clave es K
1
Si observo X la clave puede ser K
2
K
1
Si observo X e Y la clave es K
2
Espacio de mensajes en claro
Ejemplo Criptosistemas ideales
Como se ha dicho el criptosistema perfecto requiere que el nmero
de claves sea por lo menos tan grande como el nmero de
mensajes, y debe distribuir el espacio de mensajes aleatoriamente
sobre l mismo, de tal forma que el oponente deba considerar todos
los mensajes en claro como candidatos igualmente probables a la
correspondencia con el criptograma recibido.
Mensaje 1
Mensaje 2
Mensaje 3
Mensaje 4
Espacio de criptogramas
Criptograma 1
Criptograma 2
Criptograma 3
Criptograma 4
Espacio de Claves: 1, 2, 3, 4
1
1
1
1
2
2
2
4
2
3
3
3
3
4
4
4
Redundancia: definiciones
En los lenguajes naturales algunas letras son mucho ms frecuentes
que otras y, en algunos casos, la aparicin de una letra disminuye
mucho la aparicin de otras: digramas, trigramas.
Este tipo de dependencias son utilizadas por los criptoanalistas para
descifrar mensajes.
ndice absoluto de un lenguaje: cantidad mxima de informacin
(entropa mxima terica) que puede ser codificada por cada carcter
(m caracteres):
R = log
2
(m)
Espaol: m=27 caracteres; todas las combinaciones equiprobables:
R=log
2
(26) = 4.8 bits/letra.
Dado que los lenguajes naturales son redundantes la entropa de un
mensaje de longitud N se aleja mucho de la mxima terica (smbolos
equiprobables).
Se define ndice de un lenguaje como la entropa real de un
mensaje.
Redundancia: definiciones
ndice de un lenguaje para mensajes de longitud k:
r
k
=H
k
(M)/k
H
k
(M) es la entropa de todos los posibles mensajes de longitud k.
Mide la cantidad de informacin por cada carcter del lenguaje.
El lenguaje ingles con k pequeo r
k
=1.3-1.5 bits/letra.
Lenguaje espaol: 1.2-1.5
Indice para cualquier longitud r: haciendo el lmite k .
Redundancia de un mensaje: D = R- r
Si se utilizan cdigos redundantes en s mismos como el ASCII (8 bits por
carcter) tenemos que la redundancia para el espaol estara entre 6.5
bits/letra y 6.8 bits/letra, informacin innecesaria que facilita la tarea del
criptoanalista
ndice de Redundancia: I=D/R. (Para ingles 69% I 79%) Nos da
idea del exceso de caracteres del lenguaje (ideal si R=r e I=0).
Cuanto menor es la entropa, r, de un mensaje, mayor es la redundancia
y ms fcil es la tarea del criptoanalista.
Desinformacin
Desinformacin de un sistema criptogrfico: entropa
condicionada del conjunto de posibles mensajes M sobre el
conjunto de posibles criptogramas C.
! !
" "
# =
M m C c
c m P c m P c P C M H )) / ( ( log ) / ( ) ( ) / (
2
Permite conocer la incertidumbre que queda sobre cul ha sido el mensaje
enviado m si conocemos su criptograma c.
Relaciones entre H(M/C) y H(M)
H(M/C) = H(M): criptosistema seguro de Shannon.
La incertidumbre es la misma que desconociendo c.
M y C son variables independientes.
H(M/C) < H(M): M y C relacionadas a travs del espacio de claves K.
Normal.
H(M/C) << H(M): conocer c aporta mucha informacin sobre m.
Inseguro.
H(M/C) = 0: dado c conocemos m con certeza.
Ocultacin de redundancia
Mtodos aplicados a criptografa: confusin y difusin.
Confusin:
Trata de ocultar la relacin existente entre m y c a travs de k
(aumentar la desinformacin).
El mecanismo ms simple es la substitucin: cambiar cada
ocurrencia del texto en claro por otra en el cifrado.
Difusin:
Diluye la redundancia del texto en claro repartindola a lo largo
de todo el texto cifrado.
El mecanismo ms simple es la transposicin: cambiar de posicin
elementos individuales del texto en claro.
Distancia de Unicidad
Tambin se puede medir la incertidumbre sobre el valor de k conocido c:
! !
" "
# =
K k C c
c k P c k P c P C K H )) / ( ( log ) / ( ) ( ) / (
2
Distancia de unicidad de un criptosistema: longitud mnima del
mensaje cifrado que aproxima H(K/C) a cero.
La distania de unicidad se puede ver como la cantidad de texto cifrado
necesaria para que slo haya una nica solucin al problema del
criptoanlisis:
Slo un texto en plano correspondiente para esa longitud de texto cifrado
Si tenemos un texto cifrado de menos longitud, habr varios textos en claro
candidatos y necesitaremos ms texto cifrado para saber la clave.
Los criptosistemas seguros de Shannon tienen distancia de unicidad
infinita.
Si llamamos: K cardinalidad del espacio de claves, y D a la redundancia del
lenguaje empleado tenemos que:
La distancia de unicidad N se puede expresar como: Nlog
2
K / D
DES con texto ASCII ingls: 8,2 bits
Sistemas seguros prcticos
En la prctica no existen sistemas seguros:
Los sistemas tendrn una distancia de unicidad.
Limitaciones fsicas para el criptoanalisis: precio, tiempo de cmputo,
espacio de almacenamiento, consumo de energa....
Se busca que cumplan:
El precio para romperlo sea ms caro que el valor de la informacin.
El tiempo necesario para romperlo sea ms largo que el tiempo de
vida de la informacin.
La dificultad del criptoanlisis depende de la informacin disponible:
Un criptograma.
Un criptograma y su correspondiente texto en claro.
Un texto en claro elegido y su correspondiente criptograma.
Un criptograma elegido y su correspondiente texto en claro.
Criptoanlisis: mtodos.
5.4 10
18
aos
5.4 10
24
aos K=128
bits
10 horas 1142 aos K=56
bits
2.15 ms 35.8 min K=32
bits
10
6
cifrados/s 1 cifrado/s
Otros mtodos.
Descubrir debilidades en el diseo.
Pruebas de aproximacin matemtica.
Sistemas de fuerza bruta: probar con todas las claves posibles:
Bsqueda lgica (buscar en diccionarios, aplicado a password) o aleatoria.
Si la bsqueda es aleatoria se calcula una probabilidad de acierto del 50%.
Ejemplos de coste temporal de fuerza bruta.
1
Cifrado Simtrico
Tema 3. Cifrado Simtrico
Elemento bsico de cifrado: bloque cifrador
Un bloque cifrador opera sobre n bits para producir n bits a
la salida. El bloque realiza una transformacin.
Efecto avalancha: el cambio de un bit de entrada
produce un cambio de aproximadamente la mitad de los
bits a la salida.
Efecto de integridad: cada bit de salida es una funcin
compleja de todos los bits de entrada.
Tipo de transformaciones:
Reversibles
Irreversibles
n

b
i
t
s
n

b
i
t
s
01
01 10
10 11
11 00
00 01
01 11
10 11
11 00
00
Transformacin
reversible
Transformacin
irreversible
Si realizamos transformaciones reversibles, para n bits de entrada
hay 2
n
! posibles transformaciones diferentes
Operaciones tpicas
Sustitucin.
Una palabra binaria es reemplazada por otra.
Puede considerarse como una tabla, a cada entrada
corresponde un valor de salida.
La funcin de sustitucin forma la clave.
El campo de claves posibles es 2
n
!.
Tambin se le denomina cajas-S (S-boxes).
Puede ser de:
Expansin: ms bits a la salida.
Compresin: menos bits a la salida.
.
.
.
.
.
.
Permutacin.
Se cambia el orden de los bits de una palabra
binaria.
La reordenacin de bits forma la clave.
El campo de claves posibles es n!, crece ms
lentamente.
Tambin se le denomina cajas-P (P-boxes).
n

b
i
t
s
n

b
i
t
s
En la prctica se utilizan redes de bloques de
sustitucin y permutacin.
Esquema general de un bloque de sustitucin
Tres fases:
Decodificacin
Permutacin
Codificacin
D
e
c
o
d
i
f
i
c
a
d
o
r
4
X
1
6
C
o
d
i
f
i
c
a
d
o
r
1
6
X
4
Para que sea seguro el nmero de bits de entrada debe ser grande.
Por otro lado un nmero de bits de entrada elevado no es prctico desde el punto de
vista del rendimiento computacional e implementacin.
La clave indica qu permutacin de las posibles se realiza.
En el ejemplo de la figura la clave es (en hexadecimal):
4536790CAD1E8F2B
En general para n bits la clave tiene n2
n
bits: cada una de las 2
n
lneas necesita n bits
para codificar su posicin a la salida de la permutacin.
Ejemplos: n = 4 / clave 64 bits; n = 64 / clave 2
70
bits.
Advertencia: salida de la permutacin es funcin de la entrada se corre el riesgo de
reducir la longitud de la clave.
Ejemplo con n = 4 bits.
Cifrador de Feistel
Utiliza como base un cifrador sencillo.
Se crea un cifrador producto aplicando varias veces
secuencialmente el bloque de cifrado sencillo.
Feistel propuso el usar bloques alternos de sustitucin y permutacin
alternando de esta forma confusin y difusin (basado en
Shannon)
Confusin:
Trata de hacer la relacin estadstica entre el texto en claro y cifrado lo ms
compleja posible para evitar averiguar la clave o parte de ella.
Se consigue con bloques de sustitucin que utilizan algoritmos complejos.
Difusin:
El texto en claro tiene unos caracteres ms frecuentes que otros
(redundancia).
Si aplicamos varias veces permutaciones a un bloque de bits seguidas de una
sustitucin se consigue difusin.
As la estructura estadstica del texto en claro es disipada en el texto cifrado
(se igualan las frecuencias).
Estructura del cifrador de Feistel
Esquema general (figura):
: OR EXCLUSIVA
F funcin de sustitucin dependiente de una
clave K
i
Se realiza una permutacin intercambiando
las dos mitades de la salida L
i
y R
i
.
El proceso se repite n veces: producto.
Parmetros que aumentan la seguridad:
Tamao del bloque: 64 bits
Tamao de la clave: 128 bits
Nmero de iteraciones: 16
Complejidad del algoritmo de generacin de
claves.
Complejidad de funciones F.
Aumento de la seguridad produce reduccin de
velocidad.
Descifrado: invirtiendo el orden de las K
i.
Texto en claro (2w bits)
F
K
1
w bits w bits
F
K
2
F
K
n
Texto cifrado (2w bits)
1
2
n
L
0
L
1
L
n-1
L
n
L
n+1
R
0
R
1
R
n-1
R
n
R
n+1
DES: orgenes
IBM trabaj desde 1960 en un proyecto criptogrfico Horst Feistel.
El proyecto concluyo en 1971 con el algoritmo Lucifer (esquema
Feistel, clave de 128 bits bloques de 64 bits).
Walter Tuchman y Carl Meyer realizaron un esfuerzo por sacar un
producto ms comercial de acuerdo a las recomendaciones de NSA
(National Security Agency), el resultado fue una versin refinada de
Lucifer (clave de 56 bits, ms fuerte frente a criptoanlisis).
En 1973 NBS (National Bureau of Standars) lanza una propuesta de
algoritmo para utilizar como estndar.
Gana la propuesta de Tuchman-Meyer y se adopta como Data
Encryption Standard DES.
Sufri fuertes crticas en dos sentidos:
La longitud de la clave se ha reducido de 128 a 56 bits (ataque fuerza
bruta).
Los criterios de diseo de la estructura interna de las cajas S.
Se hizo cambios en las cajas S a propuesta de NSA.
Recientes estudios de criptoanlisis demuestran que tiene una
estructura fuerte.
DES: Esquema general
Texto claro
64
Permutacin inicial: IP
Iteracin 1
Iteracin 2
Iteracin 16
Intercambia palabras de 32 bits
IP
-1
Texto cifrado
64
Clave
64
Permutacin PC1
Rotacin Izquierda Permutacin PC2
K
1
K
2
K
16
56
48
DES: Detalle de cada iteracin
R
i-1
Permutacin/Expansor
E
Sustitucin /eleccin
Cajas S
Permutacin
P
XOR
L
i-1
Li Ri
32 32
48
48
32
48 Ki
Di-1 Ci-1
28 28
Rotacin. Izq
XOR
Rotacin Izq
Permutacin/Reduccin
PC2
Di-1 Ci-1
L
i
= R
i-1
R
i
=L
i-1
F(R
i-1
,K
i
)
F
La rotacin a la izquierda es
distinta en cada iteracin
Detalle de la funcin F
R 32
E
48
+
Ki 48
S2 S3 S4 S5 S6 S7 S8 S1
P
32
Caractersticas
Ventajas:
Tiene un fuerte efecto avalancha.
Ataques:
Ataque de la fuerza bruta: la longitud de la clave (56 bits) hoy da se
considera insuficiente para protegerse frente a este tipo de ataque.
En julio de 1998 una empresa sin animo de lucro llamada EFF construy una
mquina que descifr un mensaje DES en menos de tres das por menos de
240.000 euros.
Pese a todo se sigue utilizando (transacciones de los cajeros automticos por
ejemplo) por su robustez (no se han encontrado defectos de diseo)
Mucha gente ha preferido mantener el algoritmo y aumentar de una u otra
forma el tamao de la clave.
Criptoanlisis:
Se sospecha de defectos en el diseo de las cajas S, aunque no se ha conseguido
encontrar tales defectos.
Tcnicas de criptoanlisis aplicadas a DES:
Criptoanlisis diferencial.
Criptoanlisis lineal.
Ataque distribuido
La aparicin de Internet ha cambiado mucho la percepcin
acerca de la fortaleza de los algoritmos de cifrado
Es posible llevar a cabo operaciones distribuidas de cmputo
para los ataques de fuerza bruta.
Ejemplo: Proyecto distributed.net
DES Project
The attack was accomplished using EFF's 'Deep Crack', a purpose built
DES cracking machine, and the idle CPU time of around 100,000
computers around the world. These computers ranged from lowly
early 1990's PCs up to powerful multi-processor machines. These
machines ran a small software program that sits quietly in the
background and uses CPU time that would otherwise be wasted.
(Tomado de la nota de prensa publicada por el colectivo al
romper DES, US GOVERNMENT'S ENCRYPTION STANDARD
BROKEN IN LESS THAN A DAY )
Tambin existen proyectos a pequea escala:
http://crackdes.tk/
Ataque distribuido (II)
Hi Enrique!
Thank you. It was a really nice and fun project that we did,
I hope you can learn something from the source code.
Nice to hear from some spanish computer science
students. I am studying in Valencia at the moment, trying
to learn spanish and computer science at the same time :)
You can download it from:
http://albin.abo.fi/~ernylund/des/distributed_des.zip The
server is written in Java, the client in C. To compile it you
need to download the libdes source as well. You can find
it here:
http://www.mirrors.wiretapped.net/security/cryptography/
libraries/libdes/libdes-4.04b.tar.gz
Have fun! Un saludo, Erik
Triple DES
Clave DES muy corta, vulnerable con la tecnologa actual.
Variante DES que aumenta la seguridad frente ataque por fuerza bruta.
Compatible con DES, una sola clave (K
1
=K
2
=K
3
).
Puede usar 2 (K
1
=K
3
) o 3 claves.
No hay ataques conocidos. La fuerza bruta es imposible.
Con dos claves: c=E
K1
[D
K2
[E
K1
[m]]]
Clave de 112 bits (56*2).
DES
Cifrado
DES
Descifrado
DES
Cifrado
m
K
1 K
2
K
3
c
DES: modos de uso
Modos ms utiliados:
Electronic CodeBook (ECB)
Cipher Block Chaining (CBC)
Cipher Feedback (CFB)
Output Feedback (OFB)
Electronic CodeBook (ECB)
Cifrado de bloque
m bloques de 64 bits.
Un mensaje largo se divide en varios
bloques.
Bloques de 64 bits independientes unos
de otros.
Repeticiones en bloques pueden ser
reflejados en el texto cifrado: imgenes,
mensajes que cambian poco.
Solucin: hacer que los mensajes
dependan de los anteriores con
realimentacin.
Es vlido para mensajes cortos (un
bloque).
m
c
K Cifrado
m
K Descifrado
c
c=E
K
[m]
m=D
K
[c]=D
K
[E
K
[m]]
Cipher Block Chaining (CBC)
Cifrado de bloque
Realimentacin del bloque cifrado
de la iteracin anterior.
Cada cifrado depende del cifrado del
bloque anterior.
Un error en un bloque se propaga al
siguiente bloque.
Necesita un vector de inicializacin
IV (valor inicial de mem) conocido
slo por emisor y receptor.
El ltimo bloque puede tener un
tamao menor de 64 bits.
Apropiado para mensajes con
longitud mayor de 64 bits.
m
c
K Cifrado
m
K
Descifrado
c
+
mem
64
+
mem
64
m
i
c
i-1
c
i
c
i-1
] c [m E c 1 - i i K i ! =
i 1 - i 1 - i i 1 - i K m c c m c ] [c D i = = ! ! !
Cipher Feedback (CFB)
Se cifran bloques de j bits.
Cifrado de flujo si j es 1
8.
Necesita vector de
inicializacin.
Propaga errores mientras
los j bits que contienen
errores permanezcan en el
registro de desplazamiento.
No es sensible a ataques
contra la sincronizacin.
Vlido para trfico de flujo.
K Cifrado
+
Reg desp j bits
64
j
j
64
Selec. j bits izq
m
K Cifrado
m
+
Reg desp j bits
64
j
j
64
Selec. j bits izq
j
j
c
IV[i]
Sj
IV[i]
Sj
c
i
=m
i
+S
j
(E
k
[IV[i]]])
m
i
=c
i
+S
j
(E
k
[IV[i]]])
Output Feedback (OFB)
Cifrado de flujo.
Genera secuencia
seudoaleatoria funcin slo de
la clave.
Requiere vector de
inicializacin.
Requiere sincronizacin entre
emisor y receptor y mtodo
de recuperacin de prdida de
sincronismo.
No propaga errores.
En la prctica slo debe
utilizarse j = 64 bits (tamao
de bloque).
K
DES
Cifrado
+
Reg desp j bits
64
j
j
64
Selec. j bits izq
m
K
DES
Cifrado
+
Reg desp j bits
64
j
j
64
Selec. j bits izq
j
j
c
K Cifrado
+
Reg desp j bits
64
j
j
64
Selec. j bits izq
m
K Cifrado
m
+
Reg desp j bits
64
j
j
64
Selec. j bits izq
j
j
c
IV[i]
IV[i]
c
i
=m
i
S
j
(E
k
[IV[i]]])
m
i
=c
i
S
j
(E
k
[IV[i]]])
Otros algoritmos
IDEA
Desarrollado en Zurich 1990.
Datos de 64 bits.
Clave de 128 bits.
Operaciones XOR, +, *, mod 2
16
.
Requiere licencia.
Skipjack:
Usado por el gobierno norteamericano en Clipper.
Desclasificado en 1998. Cifrado de bloque.
Implementacin hardware (Con puertas traseras)
Datos de 64 bits.
Clave de 80 bits.
32 iteraciones.
Blowfish: bloques 64 bits, clave 448 bits.
RC2: bloques 64 bits, clave 8..1024 bits. (cdigo liberado)
RC5: bloques 64 bits, clave 0..2048 bits.
CAST-128: bloques 64 bits, clave 128 bits.
AES: Advanced Encryption Standard.
AES
En 1997 el Instituto Nacional (USA) de estndares y tecnologa (NIST) convoca
un concurso para definir un nuevo estndar avanzado que sustituya a DES.
Tras un largo proceso, en octubre de 2000 se selecciono Rijndael, creado por
los belgas Vincent Rijmen y Joan Daemen.
AES (Advanced Encryption Standard) es un algoritmo pblico y no necesita ser
licenciado.
Se pretende que sea seguro al menos hasta el ao 2060.
Opera con bloques y claves de longitud variable: 128, 192, 256 bits.
Hoy se considera 128 bits seguro con los computadores tradicionales digitales.
Porqu 256 bits de clave?
Si se consigue desarrollar tecnologa basada en computacin cuntica, los
problemas actuales podrn ser resueltos en un tiempo menor (raiz cuadrada).
Una clave de 128 bits con tecnologa digital equivale a una clave de 256 bits con
tecnologa cuntica.
AES
El proceso de cifrado consiste en n+1 rondas de cifrado (n = 10, 12
14 para claves de 128, 192 y 256 bits respectivamente):
Una ronda inicial: suma inicial de subclave.
n-1 rondas de cifrado estndar similares.
Una ronda final diferente a las n-1 anteriores (no tiene la fase de mezcla).
Estado es el resultado de cada ronda de cifrado, se almacena en array
de 4 filas de 4, 6 u 8 bytes cada una (para bloques de 128, 192 o 256
bits respectivamente).
En cada ronda estndar se realizan cuatro transformaciones:
Sustitucin no lineal de los bits de Estado.
Desplazamiento de las filas del Estado cclicamente con offsets diferentes.
Mezcla de columnas: multiplica las columnas del Estado mdulo x
4
+1 (
consideradas como polinomios en GF(2
8
)) por un polinomio fijo c(x).
Suma de subclave haciendo un XOR con el Estado.
Las subclaves se derivan de la clave de cifrado mediante:
Expansin de clave.
Seleccin de la clave aplicada a cada ronda de cifrado.
Criptgrafa cuntica: Ya estn aqu
Servicio de confidencialidad
Dos tipos de ataques:
Averiguar el contenido de la informacin Cifrado
Detectar un volumen de trfico Generador de ruido
El cifrado se puede aplicar:
Extremo a extremo: en los niveles superiores de los
sistemas finales.
Confidencialidad de datos slo.
Ms eficiente.
En el enlace: cifrado en los elementos de conmutacin
(niveles 2 3).
Proteccin de las cabeceras de los protocolos.
Ms carga en la red.
Distribucin de claves
Problema de la distribucin de claves entre A y B
(situaciones):
A selecciona una clave y se la entrega fsicamente a B.
Una tercera parte de confianza selecciona una clave y se la entrega
fsicamente a A y B.
Si A y B comparten un canal seguro (clave antigua) uno de ellos
puede generar una clave y envirsela al otro por este canal.
Si A y B tienen abierto un canal seguro con una tercera parte C. C
puede generar una clave y envirsela a A y B.
Algoritmo de intercambio de clave (Diffie-Hellman).
Problema de gestin de claves:
Si en un dominio hay N usuarios se necesitan N(N-1)/2 claves para
comunicar entre ellos.
Centro de distribucin de claves
Gestiona las claves dentro de un dominio.
Sistema de claves jerrquico de dos niveles como mnimo
Claves maestras: cada usuario con el KDC.
Claves de sesin: comunicacin entre usuarios.
Cada usuario slo necesita tener una clave con el KDC.
El KDC genera claves de sesin temporales para cada
peticin de sesin.
Si hay N usuarios el KDC tiene N claves maestras.
En redes grandes puede haber varios KDCs organizados de
forma jerrquica.
La clave de sesin debe cambiar cada cierto tiempo: cantidad
de transacciones, nueva conexin (CO), periodo de tiempo
Esquema de KDC
Iniciador
A
Receptor
B
KDC
request|N
1
C
Ka
[Ks|Request|N
1
|C
Kb
[Ks, ID
A
]]
C
Kb
[Ks, ID
A
]
C
Ks
[N
2
]
C
Ks
[f(N
2
)]
Mensajes 1, 2, y 3 peticin y distribucin de clave
Mensajes 3, 4 y 5 autenticacin
f es una funcin que realiza algn tipo de transformacin sobre N
2
, por ejemplo sumar 1
N
1
y N
2
son dos retos
Ka
Kb
Ka, Kb
Otros esquemas de KDC.
Esquema transparente.
Propuesta para ser usada en protocolos orientados a conexin (X.25,
TCP..)
Un procesador front-end situado entre la red y el sistema final
gestiona la solicitud de claves desde el KDC y el cifrado de la
informacin.
Evita que el impacto de aadir seguridad caiga sobre los sistemas
finales.
Esquema descentralizado.
La gestin de claves se hace distribuida entre todos los sistemas
finales.
Evita tener que utilizar un KDC de confianza.
Si hay N sistemas finales requiere que cada sistema final tenga (N-1)
claves maestras.
Al usar la clave maestra para mensajes cortos (envo de claves) esta
clave es ms fuerte frente a ataques que una clave de sesin que se
utiliza con una gran cantidad de informacin y requiere por lo tanto
su renovacin con frecuencia.
Referencias
`Cracking DES, Secrets of Encryption Research, Wiretap
Politics & Chip Design', Electronic Frontier Foundation,
O'Reilly & Associates, Sebastopol, 1998.
Cdigo fuente del DES Cracker de la EFF:
https://www.cosic.esat.kuleuven.ac.be/des/
Bruce Schneier, Applied Cryptography, Second Edition,
Ed. John Wiley and Sons, Inc.
1
Teora de los nmeros
Tema 4. Teora de los Nmeros
Nota histrica
"Cuius rei demonstrationem mirabilem sane detexi
hanc marginis exiguitas non caperet."
(Pierre de Fermat en un margen de una traduccin
francesa de Arimtica de Diofanto, 1637
ndice
Aritmtica Modular:
Operador Mdulo.
Congruencia, Clases de Equivalencia.
Algoritmo de Euclides: clculo de mcd(a,b).
Clculo de Inversa aplicando aritmtica modular:
Condicin de existencia de inversa.
Funcin de Euler: n de residuos de un nmero.
Funcin de Euclides: clculo de inversa conociendo F. Euler.
Algoritmo extendido de Euclides: clculo de inversa sin conocer F.
Euler.
Teorema de Resto Chino: operar con nmeros grandes.
Exponenciacin y logaritmos discretos.
Factorizacin y nmeros primos.
Aritmtica modular
Operador mdulo
Congruencia
Algoritmo de Euclides
Operador mdulo
Resto:
Dados dos enteros m y n, donde n > 0.
Resto R de dividir m entre n es el menor entero no negativo que
difiere de m y un mltiplo de n. R=m-kn
Resto = m mod n (mod significa mdulo)
La aritmtica modular facilita los clculos en aplicaciones de cifrado
ya que se pueden operar con nmeros grandes con resultados
intermedios de las operaciones limitados (mod n)
Operaciones:
Con la suma y producto se puede aplicar la operacin ordinaria y
despus aplicar mod n al resultado
Suma: a+b mod n = (a+b) mod n = (a mod n + b mod n) mod n
Producto: a*b mod n = (a*b) mod n = (a mod n * b mod n) mod n
Con la exponenciacin el exponente no es mod n
a
b
mod n = (a
b
) mod n = (a mod n)
b
mod n
Congruencia
Dos nmeros a y b son congruentes mdulo n cuando difieren un mltiplo de
n: a, b, n N; a b mod n si a = b + kn; k Z
a mod n = r a r mod n. Lo contrario no es cierto.
Dos nmeros congruentes mod n tienen el mismo residuo (0..n-1).
Ejemplos: -7 3 mod 10 y -7 13 mod 10.
Tanto -7 como 3 y 13 tienen R = 3.
0
K=0
10
K=1
-10
K=-1
13 3 -7
R R R
Un nmero n induce n clases de equivalencia: n congruentes con 0, 1...n-1 mod n. A
este conjunto se le denomina Z
n
y tiene estructura de anillo conmutativo
Ejem: para n=3 hay clases de 0 (0, 3, 6) de 1 (1, 4, 7) y de 2 (2,5,8 )
Operaciones suma y producto en el conjunto de clases de equivalencia:
a + b c mod n a + b = c + kn k Z
a * b c mod n a * b = c + kn k Z
Algoritmo de Euclides (I)
Permite calcular el mximo comn divisor (mcd) m de dos nmeros a y n.
Utilizaremos n|a para indicar que n divide a a, es decir a es mltiplo de n.
Se aplica la propiedad:
m|a m|n m|(a-kn) con k Z m|(a mod n)
Donde m es un divisor comn
Si llamamos c a a mod n podemos aplicar la propiedad de nuevo:
m|n m|c m|(n mod c)
Aplicando sucesivamente la propiedad, m divide a todos los restos.
Dado que el resto siempre es menor que el divisor llegar un momento en
que valga 0 y paremos
El mcd entre a y n es el penltimo valor obtenido.
Algoritmo de Euclides (II)
Invariante: m
i+1
=m
i-1
mod m
i
. Valores iniciales:
m
0
=a; m
1
=n
int mcd(int a, int n)
{
int i=1; m[0]=a; m[1]=n;
while(m[i]!=0) {
m[i+1]=m[i-1]%m[i];
i++;}
return(m[i-1]);}
Ejemplos:
mcd(55,22) = mcd(22,55mod22)=
mcd(22,11)=mcd(11, 22mod11)=mcd(11,0)=11
mcd(18,12) = mcd(12,18mod12)=
mcd(12,6)=mcd(6, 12mod6)=mcd(6,0)=6
Clculo de inversas en aritmtica modular
La aritmtica modular permite, al contrario que la
aritmtica entera convencional, calcular el inverso
multiplicativo:
Dado un entero a en el rango (0, n-1)
Es posible encontrar un entero x en el rango (0, n-1) que
cumpla:
a*x mod n = 1
Analizaremos el problema en los siguientes
apartados:
Primero veremos la condicin de existencia de inversa
Calculo de inversa mediante la funcin de Euler
Algoritmo extendido de Euclides para calculo de inversa
Condicin de existencia de inversa
Elemento simtrico del producto: inversa en un conjunto finito.
Lema:
Dados a, n N; mcd(a,n) = 1 a*i a*j (mod n) i j 0 < i, j < n
Conclusin: si a*i a*j (mod n) i j; si multiplicamos a (mod n) por
todos los elementos del grupo finito modulo n (0,1,2n-1), obtenemos una
permutacin de los elementos del grupo (excepto 0), por lo que debe existir
un elemento (inversa) que al multiplicarlo por a nos de 1.
Teorema: Si mcd(a,n) = 1, a tiene inversa mdulo n.
Ejemplo: a=9, n=7.
mcd(9,7) = mcd(7,2)=mcd(2,1)=mcd(1,0)=1 existe inversa.
9*1 mod 7 = 2 9*2 mod 7 = 4 9*3 mod 7 = 6
9*4 mod 7 = 1 9*5 mod 7 = 3 9*6 mod 7 = 5
La inversa de 9 es 4.
Corolario: si n es primo, el grupo finito que genera (0..n-1) tiene
estructura de Cuerpo. Es decir, todos los elementos (excepto el 0) tienen
inversa para el producto. (Cuerpos o Campos de Galois GF(n))
Funcin de Euler
Conjunto reducido de residuos mdulo n es el conjunto
de nmeros primos relativos con n (todos los nmeros
que tienen inversa mod n: mcd(a,n)=1).
Ejemplos:
Residuos de 10 (no primo) son {1, 3, 7, 9}.
Residuos de 7 (primo) son {1,2,3,4,5,6}
El cardinal del conjunto de residuos viene dado:
Donde p
i
son los factores primos de n y e
i
su multiplicidad
(n) es la funcin de Euler sobre n
Ejemplos: (10)=(2-1)(5-1)=4; (7)=(7-1)=6
Si n es producto de dos nmeros primos n=p*q
entonces: (n)=(p-1)(q-1)
) 1 ( ) (
1
1
! = "
#
=
!
i
n
i
e
i
p p n
i
Teoremas de Euler y Fermat
Teorema de Euler:
si mcd(a,n)=1 a
(n)
1(mod n) a
(n)
mod n=1
Teorema de Fermat:
Aplicando el teorema anterior, si p es primo
(p)=p-1; a
p-1
1(mod p) a
p-1
mod p = 1
Corolario de T. Euler:
Dados dos primos p y q
Un entero n = pq, y m con 0 < m < n
Se cumple: m
k(n)+1

= m
k(p-1)(q-1)+1
m mod n
Clculo de inversa aplicando Euler
Podemos emplear el teorema de Euler para el clculo de
inversa mod n resolviendo la siguiente ecuacin:
a
(n)
mod n = 1
aa
(n)-1
mod n=1
Llamemos x a la inversa = a
-1
mod n
x = a
(n)-1
mod n
Si n es primo (n)=n-1 y queda:
x = a
n-2
mod n
Ejemplo: n = 7 y a = 11 (primo)
La inversa de 11 ser x = 11
7-2
mod 7= 11
5
mod 7 = 2
Comprobacin: 2*11 mod 7 = 1
Algoritmo extendido de Euclides (I)
Utilizado para calcular inversas cuando desconocemos
(n).
Es una ampliacin del algoritmo de Euclides que se
obtiene simplemente al tener en cuenta los cocientes
adems de los restos en cada paso:
m
i
=n*u
i
+ a*v
i
El ltimo valor de m
i
ser el mcd de n y a de modo que si a y n son
relativamente primos ser 1, con lo que tenemos:
u,v / n*u + a*v = 1 a*v = 1 mod n
Aplicamos algoritmo de Euclides para resolver la
ecuacin mcd(a,n)=1
Cuando encontremos mcd, el valor de v es la inversa de
a (inversa nica porque a y n son primos entre s).
Algoritmo extendido de Euclides (II)
Algoritmo:
Invariante: m
i
=nu
i
+av
i.
Valores iniciales: m
0
=n, m
1
=a; v
0
=0, v
1
=1;
u
0
=1, u
1
=0; (los cuatro ltimos se derivan de los valores de los dos
primeros)
Cuando m
i
=0, m
i-1
=mcd(a,n)=1 y v
i-1
es entonces la inversa de a.
int inversa(int a, int n) {
int i=1; int cociente;
m[0]=n; m[1]=a;
u[0]=1; u[1]=0; v[0]=0; v[1]=1;
while(m[i]!=0) {
cociente=m[i-1]/m[i];
m[i+1]=m[i-1]%m[i]; // mcd
u[i+1]=u[i-1]-cociente*u[i];
v[i+1]=v[i-1]-cociente*v[i];
i++;}
return(v[i-1]%n);}
Ejemplo
Inversa de 797 mod
1047
Ecuacin de la ltima
lnea:
1047*373 + 797*(-490)
= 1
Por lo tanto:
797
-1
= -490 mod 1047 =
557
- - 0 - -
6 7 1 -490 373
5 3 125 67 -51
4 5 15 -21 16
3 3 47 4 -3
2 1 250 -1 1
1 797
a
1 0
0 1047
n
0 1
i cociente m
i
v
i
u
i
m
i
= v
i
*a + u
i
* n
0 1047
-1047 -490
557
Teorema del resto chino
Este teorema bsicamente dice que es posible reconstruir un entero
en un cierto rango a partir de los residuos de una pareja de factores
del entero relativamente primos.
De esta forma se obtiene una representacin distinta del nmero en
forma de nmeros ms cortos.
Aporta una forma sencilla de manipular nmero mdulo M muy largos
(M > 150 dgitos) en forma de tuplas de nmeros menores.
Ejemplo: dado el nmero 10, podemos reconstruir cualquier elemento
de Z
10
(0..9) a partir de los residuos de 2 y 5 (factores de 10
relativamente primos dado que mcd(2,5) = 1).
1 mod 2 = 1; 1 mod 5 = 1; 2 mod 2 = 0, 2 mod 5 = 2; 3 mod 2 = 1, 3
mod 5 = 3
1 (1,1) 2 (0,2)
3 (1,3) 4 (0,4)
5 (1,0) 6 (0,1)
7 (1,2) 8 (0,3)
9 (1,4)
Formalizacin
Si m
i
son parejas de nmeros relativamente primos:
mcd(m
i
,m
j
) = 1 para 1i,jk e i j
Podemos representar cualquier entero en Z
M
por una k-tupla en Zm
i
, usando la
siguiente correspondencia:
A(a
1
, a
2
, , a
k
)
Donde:
A Z
M
(0 A < M); a
i
Zm
i
(0 a
i
< m
i
)

y a
i
=A mod Zm
i
para 1 i k
Propiedades:
La relacin entre A y (a
1
, a
2
, , a
k
) es uno a uno en ambos sentidos.
La transformacin es por lo tanto nica.
Operaciones implementadas en los elementos de Z
M
son equivalentes a realizarlas
sobre cada elemento de la k-tupla:
Si A(a
1
, a
2
, , a
k
) y B(b
1
, b
2
, , b
k
). Representa el operador +, - *.
(A B) mod M ((a
1
b
1
) mod m
1
, (a
2
b
2
) mod m
2
,, (a
k
b
k
) mod m
k
)
!
=
=
k
i
i
m M
1
Clculos
A (a
1
, a
2
, , a
k
)
a
i
= A mod m
i
1 i k
A (a
1
, a
2
, , a
k
)
Hacemos M
i
=M/m
i
para 1 i k, es decir, M
i
=m
1
*m
2
**m
i-
1
*m
i+1
**m
k
As se cumple que M
i
0 (mod m
j
) j i
Hacemos c
i
= M
i
* (I
i
mod m
i
) para 1 i k, donde I
i
es el inverso de
M
i
Por definicin M
i
es relativamente primo de m
i
y por lo tanto tiene un
nico inverso multiplicativo mod m
i
. Entonces c
i
es nico. mcd(M
i
,
m
i
)=1
Podemos calcular:
Para comprobar que A es correcto podemos calcular a
i
= A mod m
i
1 i k
Note que c
j
M
j
0 (mod m
i
) si j i y que c
i
1 (mod m
i
)
M mi I M a M mi c a A
k
i
i i i
k
i
i i
mod ) mod ( mod ) mod (
1 1
!
"
#
$
%
&
'( ' !
"
#
$
%
&
)
* *
= =
Ejemplo de aplicacin
Representar: A=973 mod 1813, como par de nmeros mod 37 y 49
Tomando los residuos mdulo 37 y 49 la representacin de 973 es (11, 42):
973 mod 37 = 11
973 mod 49 = 42
Hacemos m
1
=37, m
2
=49, M = 1813
Calculamos: M
1
= 49, M
2
=37.
Usando el algoritmo extendido de Euclides calculamos inversas de M
1
y M
2
resultando respectivamente: I
1
= 34 mod 37

e I
2
= 4 mod 49
Operaciones:
Suma: 678 + 973
Calculamos (678 mod 37, 678 mod 49) = (12, 41)
Sumamos: (12 + 11 mod 37, 41 + 42mod 49) = (23, 34)
Verificacin, vemos si coinciden:
(23, 34) a
1
M
1
I
1
+ a
2
M
2
I
2
mod M=[(23)(49)(34)+(34)(37)(4)] mod 1813=1651
(973 + 678) mod 1813 = 1651
Multiplicacin: 73*1651(mod 1813); 73 equivale a (36,24)
Por lo tanto: (23 *36 mod 37, 34*24 mod 49)=(14, 32)
Verificacin, vemos si coinciden:
(14, 32) [(14)(49)(34) + (32)(37)(4)] mod 1813 = 865
1651*73 mod 1813 = 865
Campo de aplicacin de la exponenciacin
Algoritmo de exponenciacin rpida
Problema de los logaritmos discretos
Exponenciacin. Logaritmos discretos
Campo de aplicacin de la exponenciacin
Muchos algoritmos de clave pblica utilizan exponenciacin
dentro de grupos finitos (aritmtica modular) para codificar
mensajes.
Bases y exponentes son nmeros muy grandes (miles de
bits).
Realizar exponenciaciones mediante multiplicacin de la base
por si misma tantas veces como indique el exponente es
inviable para nmeros grandes.
Es necesario buscar algoritmos de exponenciacin eficientes.
El logaritmo discreto es operacin inversa y en ella se
basa la resistencia de los algoritmos de cifrado.
Dados a, b N. Queremos calcular a
b
.
Representacin binaria de b: b= 2
0
b
0
+ 2
1
b
1
+ 2
2
b
2
+ 2
3
b
3
+
2
4
b
4
+.+ 2
n
b
n
Expresamos a
b
como:
b
i
slo puede valer 0 1, slo se consideran los trminos en
los que vale 1
Tambin debemos considerar que: por lo
que partiendo de a podemos ir calculando sucesivamente
los distintos valores elevando el anterior al cuadrado.
!
=
+ + +
= =
n
i
b bn b b b
i
i n
a a a
0
2 2 ... 2 2
1
1
0
0
2 2 2
) (
1 !
=
i i
a a
int expon_rapida(int a, int b)
{
int x, y, resultado;
y=b; // va obteniendo el bit menos significativo de b
x=a; // valores sucesivos de
resultado = 1;
while(y >0) {
if (y%2==1) // bit menos significativo vale 1
resultado= resultado * x; // mod n?
x=x*x; // mod n?
y=y/2; //desplaza a la derecha para buscar siguiente bit
}
return(resultado)}
i
a
2
Problema de los logaritmos discretos
Dados dos nmeros a y b y el mdulo n. Se define logaritmo
discreto de a en base b de mdulo n:
c=log
b
(a)(mod n) a b
c
(mod n)
La resistencia de los algoritmos basados en la
exponenciacin se basa en que no existen actualmente
algoritmos de logaritmos eficaces para realizar estos clculos
en tiempo razonable.
Existe una relacin entre este problema y el de la
factorizacin: si se calcula un logaritmo se puede factorizar
fcilmente (el recproco no se ha demostrado).
Factorizacin.
Nmeros primos
Mtodo de Lehmann
Mtodo de Rabin-Miller
Generacin de nmeros primos.
Primos fuertes
Factorizacin
Problema de factorizacin
Para aumentar la dificultad en el clculo de logaritmos discretos los
algoritmos utilizan operaciones de exponenciacin en grupos finitos.
Propiedades del valor del mdulo n que define el grupo finito:
Valor muy grande.
Pocos factores: normalmente dos.
Se debe hacer pblico n y sus factores se deben mantener secretos.
Problema inverso. Factorizacin:
Dado n descomponer producto de factores.
Para que la solucin sea nica los factores deben ser primos.
Clculo de n:
Obtener dos nmeros primos grandes (p y q).
n=p*q (p y q son los factores secretos)
Son necesarios mecanismos de obtencin de nmeros primos grandes.
No existen algoritmos eficientes para el clculo de factores de n si se
eligen estos adecuadamente.
Clculo de primos grandes: para obtener p y q.
Se puede aplicar un algoritmo de factorizacin: inviable para nmeros
grandes.
Existen algoritmos probabilsticos rpidos que permiten predecir con un
alto grado de certeza si un nmero grande es primo o compuesto.
Existen suficientes nmeros primos grandes para no repetirlos?
El conjunto es suficientemente grande para no repetirlos, se estima
que existen 10
151
primos de hasta 512 bits.
Se podra calcular previamente los 10
151
primos y almacenarlos para
utilizarlos en un algoritmo de factorizacin rpido?
La unidad de almacenamiento sera inviable, tendra un volumen de
10
130

m
3
y masa de 10
135
kg.
Mtodos ms comunes que permiten saber si un nmero es primo:
Mtodo de Lehmann.
Mtodo de Rabin-Miller.
Nmeros primos
Mtodo de Lehmann
Pasos:
C Elige un nmero aleatorio a < p
C Calcula b = a
(p-1)/2
(mod p)
C Si b 1 (mod p) y b -1 (mod p), p no es primo
C Si b 1 (mod p) b -1 (mod p). La probabilidad de que p sea
primo es 50%.
Nivel de confianza:
Repitiendo el algoritmo n veces, la probabilidad de que p
supere el test y no sea primo ser 1/ 2
n
.
Mtodo de Rabin-Miller
Sea p el nmero a comprobar
Se calcula b: nmero de veces que 2 divide a (p-1)
Se calcula m que cumple p = 1 + 2
b
* m
Pasos:
C Elegir un nmero aleatorio a 0 y z = 1, p no es primo
C Sea j = j+1. Si j = b y z p-1, p no es primo
Si j < b y z p-1, z = z
2
(mod p). Volver al paso 4
C Si j < b y z = p-1, p pasa el test y puede ser primo (75%)
p no es primo
Nivel de confianza:
La probabilidad de que un nmero compuesto pase este
algoritmo para un valor de a, es del 25%.
Generacin de nmeros primos
El algoritmo generalmente empleado en la prctica es:
C Generar un nmero aleatorio p de n bits.
C Poner a 1 los bits:
De mayor peso para hacer que sea de n bits.
De menor peso para hacerlo impar (los primos son impares).
C Intentar dividir p por una tabla de primos precalculados
(normalmente los primeros 2000 primos). El 99.8 % de los nmeros
impares no primos es divisible por algn primo menor de 2000.
C Ejecutar el test de Rabin-Miller como mnimo 5 veces.
Primos fuertes
Aunque p y q sean primos grandes, hay casos en los que es
sencillo factorizar n = p*q.
Los primos fuertes cumplen condiciones que hacen difcil
factorizar n:
mcd((p-1),(q-1)) debe ser pequeo.
p-1 y q-1 deben tener algn factor primo grande p y q.
Tanto p-1 como q-1 deben tener factores primos grandes.
Tanto p+1 como q+1 deben tener factores primos grandes.
Las dos primeras condiciones se cumplen si tanto (p-1)/2 como (q-
1)/2 son primos.
En 1998 Rivest y Silverman demuestran que no es necesario
emplear primos fuertes en algoritmos criptogrficos
Se debe a que con el empleo de tcnicas modernas de factorizacin
se gana poco o nada con el empleo de este tipo de primos
Curvas elpticas
Una curva elptica sobre R es el conjunto de puntos
del plano (x,y) que cumplen:
y
2
= x
3
+ ax + b
Si x
3
+ ax + b no tiene races mltiples, la curva
junto con un punto especial O, llamado punto en el
infinito es un grupo: E( R )
El punto O es un punto situado encima del eje de
abscisas a una distancia infinita y que, por tanto, no
tiene valor concreto
Operaciones en E( R )
Para sumar dos puntos r y s (si r es distinto de s y -s), el resultado t se obtiene
como el simtrico con respecto al eje x del punto de interseccin de la curva con
la recta que une r y s
Para sumar un punto consigo mismo se emplea la tangente a la curva en ese
punto.
Si el punto est en el eje y al sumar un punto consigo mismo obtenemos O
Definimos la multiplicacin a partir de la suma de la forma usual.
!
r " s
!
r " s
Curvas elpticas en GF(n)
SI consideramos qu puntos cumplen la ecuacin: y
2
= x
3
+
ax + b(mod n) estaremos definiendo el conjunto E(GF(n))
Habr un conjunto finito de puntos que cumplen dicha
ecuacin.
Dentro de ese conjunto definimos la operacin suma del
mismo modo que la definamos anteriormente, si bien, no
grficamente sino mediante la expresin algebraica
equivalente:
t = r + s
x
R
= (
2
-x
P
-x
Q
) mod n
y
R
= ((x
P
-x
R
)- y
P
) mod n
Si r s; = ((y
Q
-y
P
)/(x
Q
-x
P
) )mod n
Si r = s = ((3x
P
2
+a)/2y
P
) mod n
Curvas elpticas en GF(2
n
)
Los elementos de p
n
con p primo tienen propiedades
anlogas a los de GF(p) con la particularidad de que cuando
p=2 la implementacin de los algoritmos correspondientes es
ms sencilla y rpida.
Podemos definir, por tanto, E(GF(2
n
))
Debido a la estructura de este campo, la ecuacin de curva
elptica til para nuestros propsitos ser ligeramente
diferente a la vista quedando como:
y
2
+ xy = x
3
+ ax + b (b distinta de 0
En este caso los puntos de la curva se podrn representar
como cadenas de bits.
Logaritmos discretos en E
Sea un punto p cualquiera de una curva elptica.
Sea el conjunto {0, p, 2p, 3p, 4p, }
En E(GF(n)) y E(GF(2
n
)) el conjunto p deber ser
finito ya que el nmero de puntos de la curva es
finito.
Teniendo en cuenta esto, si tenemos un punto q
 deber existir un nmero entero k tal qe kp=q
El problema de los logaritmos discretos en curvas
elpticas consiste en encontrar un nmero k a partir
de p y q
No hay ningn algoritmo eficiente (subexponencial)
para calcular el valor de k.
Referencias
Manuel Jos de Lucena. Criptografa y Seguridad en
Computadores. Captulo 5
Para los curiosos:
Simon Singh. El enigma de Fermat. Booket. Planeta
Espaa. ISBN - 84-08-04679-9
1
Criptografa de Clave Pblica
Tema 5. Criptografa asimtrica
Principios
Cada usuario utiliza una pareja de claves, una pblica y otra privada.
Si se cifra con una slo se puede descifrar con la otra.
Hay un algoritmo de cifrado y otro de descifrado.
Seguridad: debe ser inviable averiguar la clave secreta conociendo el algoritmo
de cifrado y descifrado, la clave pblica y criptogramas.
Se puede ofrecer servicios de:
Confidencialidad: cifra con clave pblica del receptor.
Autenticacin: cifra con privada de emisor.
En ambos casos el receptor descifra con la clave asociada a la de cifrado.
Se puede aplicar ambos servicios: se cifra primero con la clave pblica del
receptor y el resultado con la privada del emisor.
En la prctica para ofrecer autenticacin se suele cifrar un resumen del
mensaje, al resultado se le denomina autenticador.
Categoras de uso de criptosistemas de clave publica y algoritmos:
Cifrado/descifrado: servicio de confidencialidad (RSA)
Firma digital: servicio de autenticacin (RSA, DSS)
Intercambio de clave: clave de sesin entre dos comunicantes (Diffie-Hellman)
Requisitos de un sistema clave pblica
Diffie y Hellman postularon los requisitos que deba cumplir sin proponer
un algoritmo:
Computacionalmente fcil de generar un par de claves pblica y privada.
Computacionalmente fcil para el emisor generar el texto cifrado a partir del
texto en claro y la clave pblica del receptor.
Computacionalmente fcil para el receptor de recuperar el texto en claro a
partir del texto cifrado y la clave privada.
Computacionalmente difcil para un oponente determinar la clave privada a
partir de la pblica.
Computacionalmente difcil para un oponente recuperar el texto en claro a
partir de la clave pblica y el texto cifrado.
Podemos aadir un nuevo requerimiento vlido para algunas
aplicaciones:
La funcin de cifrado y descifrado pueden ser aplicadas en cualquier orden.
Se utilizan funciones trampa o de un solo sentido:
Es fcil calcular la funcin.
Es difcil calcular la inversa de la funcin, a no ser que se conozca un dato
denominado clave.
Criptoanalisis
Tres posibles mtodos:
Fuerza bruta sobre la clave:
Probar con todas las posibles claves.
Se puede evitar haciendo la clave suficientemente larga.
Clculo de clave privada:
Calcular la clave privada a partir de la pblica.
Hasta la fecha no se ha demostrado que no se pueda hacer.
Todos los algoritmos actuales son sospechosos, incluso RSA.
Fuerza bruta sobre el mensaje:
Aplicable a mensajes cortos confidenciales (pe. una clave DES de 56 bits).
Se puede averiguar el mensaje en claro cifrando con la clave pblica
todos las posibles valores del mensaje y comparando con el texto cifrado.
En este caso la longitud de la clave pblica de cifrado no hace ms seguro
el sistema.
Algoritmo RSA
Desarrollado por Ron Rivest, Adi Shamir y Len Adleman en el MIT 1977.
Consiste en un cifrador de bloque en el que el texto en claro y cifrado se
consideran un entero entre 0 y n-1 (longitud de bloque log
2
(n) bits).
Procedimiento:
Siendo M el bloque en claro, el bloque cifrado es: C = M
e
mod n
Para recuperar el bloque en claro se hace: M = C
d
mod n = M
ed
mod n
El emisor conoce la clave pblica: {n, e}
El receptor conoce la clave privada: {n, d}
Debe cumplir los siguientes requisitos:
Es posible encontrar e, d y n tal que M
ed
= M mod n para todo M < n.
Es relativamente fcil calcular M
e
y C
d

para todo M < n.
Es imposible determinar d dados e y n.
Ejemplo:
Clave privada {77, 119}; clave pblica {5, 119}, M = 19.
Ciframos M: C = 19
5
mod 119 = 66
Recuperamos M: M = 66
77
mod 119 = 19
Obtencin de la clave
Base terica:
Corolario del teorema de Euler: dados dos nmeros primos p y q y
dos nmeros enteros n y m de forma que n = pq y 0 < m < n y dado
un valor arbitrario k:
m
k(n)+1
= m
k(p-1)(q-1)+1
m mod n
(n) es la funcin de Euler: nmero de enteros positivos menores que n y
relativamente primos a n.
Podemos obtener la relacin deseada si ed = k(n)+1 que equivale a:
ed 1 mod (n)
d e
-1
mod (n)
e y d son inversas multiplicativas, ambos valores son por lo tanto
relativamente primos con (n): mcd((n), d)=1; mcd((n), e)=1
Esquema de generacin de clave:
Seleccionar los primos p y q (secreto): p= 7, q = 17.
Calcular n = pq (pblico): n = 7*17 = 119
Calcular (n) = (p-1)(q-1) (privado): (n) = 6*16 = 96
Seleccionar e tal que mcd((n), e)=1, 1 < e < (n) (pblico): e = 5
Calcular d tal que de = 1 mod (n) y d < (n) (privado): d = 77
Consideraciones computacionales
Cifrado/descifrado:
Recordemos que (a mod n) * (b mod n) mod n = a*b mod n
Para las exponenciaciones aplicar el algoritmo de exponenciacin rpida
realizando los producto con aritmtica modular.
Generacin de clave:
Buscar dos nmeros primos grandes (puede ser un trabajo costoso):
Procedimiento habitual que determinar si un nmeros aleatorio es primos:
Buscar nmero aleatorio impar n.
Buscar un entero aleatorio a < n.
Aplicar un test de primalidad como Miller-Rabin. Si n falla el
test rechazarlo.
Si n pasa el test con un nmero suficiente de valores aleatorios
a, se acepta como primo. Si no, hay que buscar otro valor de n.
El procedimiento puede llegar a ser largo cuando n es grande (los primos
cerca de N estn espaciados una media de logN (conjetura de Gauss)).
Seleccionar e o d y calcular el otro:
Buscar un nmeros aleatorio (e) relativamente primo con (n). La
probabilidad de que un nmero aleatorio sea relativamente primo con (n)
es 0.6. Probamos que mcd((n), e)=1.
Calculamos d a partir de e con el clculo de la inversa: d = e
-1
mod (n).
El algoritmo extendido de Euclides realiza ambas operaciones.
Debemos tener ciertas precauciones al elegir e y d (Ataques de Wiener y
Boneh-Durfee)
Seguridad de RSA
No est demostrado que la seguridad de RSA equivalga a factorizar n en p y q.
RSA no es seguro para valores del exponente d menores que un determinado
umbral (Boneh-Durfee d < n ^ 0.292)
Tipos de ataque a RSA:
Fuerza bruta:se soluciona haciendo claves ms largas aunque en ese caso el
cifrado/descifrado es ms lento.
Ataque matemtico: tres aproximaciones
Factorizar n en sus dos factores primos: conocidos p y q se calcula (n) y d.
Determinar (n) directamente a partir de n: Cuntos residuos tiene n?
Determinar d directamente a partir de e y n: logaritmos discretos.
Ataque de temporizacin:
Se basa en la observacin de distintos tiempos de ejecucin para determinados valores
aplicados a operaciones de los algoritmos (exponenciacin rpida).
Sabiendo el tiempo de ejecucin se puede intuir el valor.
Se puede evitar este ataque con varios tipos de medidas:
Forzar al algoritmo a dar resultados en un tiempo constante. Pierde
rendimiento.
Dar un retardo aleatorio al algoritmo para confundir al atacante.
Blindar el valor a proteger (texto cifrado) multiplicndolo por un
nmero aleatorio R antes de pasarlo por el algoritmo. El receptor
multiplica por la inversa R
-1
mod A. Utilizado por RSA. (penalizacin de
un 10 a un 20%)
Ejemplo
p=5 q=11 n = 55 (55) = (5-1)*(11-1)=40
Clave pblica: e=7
Clave privada d=e
-1
mod 40 = 23
taer. Alfabeto espaol 27 letras.
Valores: t=20, a=0, =14, e=4, r=18
Tamao de bloque RSA:
N=55, vemos si con dos letras es posible codificar:
m = 20*57+0 = 140 > 55 1 bloque por letra
Cifrado:
T c=20
7
mod 55 = 15
Descifrado:
m = 15
23
mod 55 = 20
Otros algoritmos
ECC (Elliptic Curve Criptography)
Algoritmos basados ecuaciones cbicas de curvas elpticas.
Ofrece igual seguridad con clave de menor longitud y menor carga.
RSA 1024 bits = ECC 230 bits y 10 veces ms eficiente.
Estandarizacin: IEEE P1363
XTR:
Un nuevo mtodo para representar elementos de un subgrupo de un grupo multiplicativo en un
campo finito.
Usado en criptografa reduce tiempo de cmputo y de comunicaciones sin comprometer la
seguridad.
Basado en el problema de los logaritmos discretos en un campo finito.
Es 80 veces ms rpido que RSA.
sencillo costoso El ms
sencillo
Seleccin clave
larga corta corta Long, clave
lento rpido El ms
rpido
Velocidad de
operacin
RSA ECC XTR
ECC
Surge como un intento de proponer un sistema de
criptografa asimtrica con claves ms cortas y ms eficiente.
Ecuaciones del tipo: y
2
= x
3
+ ax +b donde x e y toman
valores enteros dentro de un grupo finito
Operacin: suma.
No propone nuevos algoritmos sino nuevos elementos para
constituir grupos finitos en los cuales definir los algoritmos
de clave pblica existentes
Todava no tiene el nivel de confianza del que goza RSA
Estandarizado por el IEEE: P1363
Existen versiones de curvas elpticas de muchos de los
algoritmos asimtricos ms populares
ECC: Aplicaciones
Diffie Hellman ECC:
P
A
= n
A
G; G pblico, n
A
secreto
P
B
= n
B
G; n
B
secreto
K = P
A
n
B
= P
B
n
A
= n
A
n
B
G
Cifrado/descifrado usando E
p
(a,b) y un punto p
Sea el conjunto = {0, p, 2p,} de cardinal n.
Elegimos x valor comprendido entre 0 y n-1 y calculamos y=xp
Clave privada de A/B: x
A
/ x
B
Clave pblica de A/B: (p, y
A/B
, n)
Cifrado de m
A genera k, primo relativo con n,y calcula
c = {a,b}
a=kp, b=m + ky
B
Descifrado:
m = (-x
B
a) +b = + m +
Gestin de claves
Dos aspectos:
Tcnicas de distribucin de clave pblica
Anuncio pblico de clave pblica
Directorio disponible de publicidad
Autoridad de clave pblica
Certificado de clave pblica
Distribucin de clave secreta mediante clave pblica
Esquema sencillo
Con confidencialidad y autenticacin
Esquema hbrido
Anuncio pblico de clave pblica
Si se dispone de un algoritmo de clave pblica como RSA, se
puede difundir la clave pblica de un usuario a un gran
nmero de participante.
Por ejemplo, los usuarios de PGP difunden su clave pblica
en mensajes que envan a foros pblicos (grupos de noticias
de USENET y listas de distribucin de correo de Internet).
Plantea el inconveniente de que alguien puede falsificar un
anuncio pblico hacindose pasar por otro usuario.
Directorio disponible de publicidad
Si se crea un directorio dinmico con claves pblicas se consigue mayor
grado de seguridad.
El mantenimiento y distribucin del directorio esta a cargo de una
organizacin de confianza.
Consta de los siguientes elementos:
Autoridad que mantiene el directorio con nombre y clave de cada
participante.
Cada usuario debe registrar su clave pblica en el directorio de forma
segura.
Un participante puede cambiar su clave pblica cuando quiera por estar
comprometida la antigua o por haber realizado un gran uso de ella.
Peridicamente la autoridad publica (pginas blancas, prensa...) el contenido
del directorio o los ltimos cambios.
Los participantes puede acceder al directorio electrnicamente si se dispone
de mtodos de autenticacin seguros.
Es ms seguro que el anterior pero tiene problemas:
Si un oponente averigua la clave privada de la autoridad del directorio o
consigue acceder a los registros de la autoridad se compromete la seguridad
de las claves pblicas mantenidas y puede suplantar a los participantes.
Autoridad de clave pblica
Hay una autoridad que mantiene un directorio de claves pblicas.
Los participantes conocen la clave pblica de la Autoridad.
Pasos a realizar con dos usuarios A y B y una Autoridad:
A enva un mensaje con marca de tiempo a la Autoridad solicitando la clave pblica
de B.
La Autoridad responde con el siguiente mensaje cifrado con su clave privada:
Clave pblica de B.
Peticin original de B. As A comprueba que no hubo alteracin.
La marca de tiempo original. As A identifica la respuesta con la peticin.
A enva el siguiente mensaje a B cifrado con la clave pblica de B:
Identidad de A.
Nmero aleatorio denominado Reto utilizado para identificar la transaccin.
B solicita a la Autoridad la clave Pblica de A y la recibe (igual que hizo A).
B enva un mensaje a A cifrado con la clave pblica de A que contiene el reto de A y
uno nuevo generado por B.
A responde a B con el reto de B cifrado con la clave pblica de B.
Una vez obtenida una clave pblica de A o B se guarda y se puede utilizar en posteriores
comunicaciones sin tener que solicitarla a la autoridad, aunque requiere un refresco
peridico para actualizar posibles cambios de clave.
Certificado de clave pblica
Problemas del esquema anterior:
Se pueden crear cuellos de botellas en la Autoridad.
El directorio de nombres y claves pblicas es vulnerable a falsificaciones.
Un certificado contiene la clave pblica de un usuario y otra informacin
como tiempo de expiracin e identidad del usuario.
El certificado es generado y gestionado por una autoridad de
certificacin.
El certificado est cifrado con la clave privada de la autoridad de
certificacin, por lo tanto tenemos garantas de su autenticidad e
integridad.
Requisitos de este esquema:
El certificado es pblico.
Cualquiera puede comprobar que el certificado es autentico.
Slo la autoridad de certificacin puede generar y actualizar certificados.
Cualquier participante puede verificar la validez del certificado: dentro de
fecha de validez (se comprueba su tiempo de validez).
Intercambio de clave Diffie-Hellman
Permite a dos usuarios intercambiar una clave segura.
Se basa en la dificultad de calcular logaritmos discretos:
Si a es raz primitiva de un nmero primo p: a
i
mod
p; 1 i p-1 son distintos y generan los nmeros desde
1 hasta p-1.
Para un entero b y una raiz primitiva a de un primo p, se
puede encontrar el exponente i que cumpla: b = a
i
mod
p;
i es el logaritmo discreto (o ndice) de b para la base a
mod p: i = ind
a,p
(b)
Intercmbio de clave Diffie-Hellman
Procedimiento para intercambio de clave entre A y B:
Valores pblicos conocidos por A y B:
nmero primo q grande
nmero a < q y raz primitiva de q.
A selecciona X
A
< q y calcula y enva a B Y
A
(pblico):
B selecciona X
B
< q y calcula y enva a A Y
B
(pblico):
A calcula la clave:
B calcula la clave:
q a Y
A
X
A
mod =
q a Y
B
X
B
mod =
q Y K
A
X
B
mod ) ( =
q Y K
B
X
A
mod ) ( =
B A
a,q, Y
A
X
A
X
B
Y
B
K
K
Intercambio de clave Diffie-Hellman
Criptanlisis:
El oponente conoce: q, a, Y
A
, Y
B.
Para calcular la clave K debe calcular previamente x
B
= ind
a,q
(Y
B
) o x
A
=
ind
a,q
(Y
A
) y este es un problema difcil si q es grande (logaritmos discretos).
Puede sufrir un ataque del intermediario:
Un atacante se pone en medio de A y B.
Se hace pasar por B ante A: intercambia una clave K
ac
.
Se hace pasar por A ante B: intercambia una clave K
bc
.
A B
C
A
B
Kac Kbc
Distribucin de clave secreta
Una vez distribuida de forma segura la clave pblica, puede
ser utilizada para ofrecer confidencialidad y autenticacin.
Su uso con grandes volmenes de datos plantea el problema
de la lentitud de sus algoritmos con respecto a los de clave
simtrica.
Por este motivo se suele utilizar como medio de distribucin
de claves secretas de forma segura.
A continuacin veremos varios esquema:
Esquema simple.
Esquema con confidencialidad y autenticacin.
Esquema hibrido.
Esquema simple: A y B quieren comunicar.
A genera pareja de claves {K
pra
, K
pua
} y transmite a B el mensaje [ID
a
, K
pua
].
B genera clave secreta K
s
y la transmite a A cifrada C
Kpua
[K
s
]
A recupera K
s
= C
kpra
[K
s
]. Slo A y B conocen K
s
.
A y B comunican utilizando K
s
con un algoritmo simtrico.
A B
IDa, Kpua
Kpua[Ks]
Ks
Ks[M]
Puede sufrir el ataque del intermediario: un intruso E
puede meterse en medio de A y B y hacer creer a B que
es A envindole su clave pblica [ID
a
, K
pue
]
Esquema con confidencialidad y autenticacin:
A y B han intercambiado sus claves pblicas de forma segura.
A enva a B reto e identidad de A cifrados con clave pblica de B:
C
Kpub
[N
1
|IDa]
B responde al reto N
1
y genera uno nuevo N
2
cifrando con la clave
pblica de A: C
Kpua
[N
1
|N
2
]
A responde al reto N
2
cifrado con la clave pblica de B: C
Kpub
[N
2
]
A selecciona una clave secreta K
s
y se la enva a B con confidencialidad y
autenticacin: C
Kpub
[C
kpra
[K
s
]]
B recibe el mensaje y obtiene la clave K
s
= C
kpua
[C
kprb
[K
s
]]
A B
C
Kpub
[N1|IDa]
CKpua[N1|N2]
Ks
C
Kpub
[N2]
Kpub Kpua
C
Kpub
[C
Kpra
[Ks]]
Esquema hbrido:
Centro de distribucin de claves KDC:
Comparte una clave maestra con cada usuario: K
A
, K
B
Distribuye claves secretas de sesin utilizando las claves maestras
La clave maestra se distribuye utilizando un esquema de clave pblica.
Este esquema es fcil de implementar si ya existe un esquema con KDC y til
cuando las aplicaciones requieren cambios frecuentes de clave de sesin cargando
en este caso menos el sistema (criptografa simtrica).
A B
K
puKDC
K
puKDC
C
Ks
[M]
KDC
K
A
, K
B
C
KA
[Ks]
C
KB
[Ks]
C
puA
[C
prKDC
[K
A
]]
C
puB
[C
prKDC
[KA]]
K
puA,
K
puB
1
Autenticacin
Tema 6. Autenticacin
Ataques a la informacin
Confidencialidad de la informacin:
Revelacin: una persona no autorizada se entera del contenido del
mensaje.
Anlisis del trfico: descubrir el patrn de trfico entre partes.
Autenticacin de la informacin:
Suplantacin: enviar un mensaje de una fuente distinta de la que dice
ser.
Modificacin del contenido del mensaje. Esta modificacin puede
consistir en insercin, borrado, modificando o transposicin.
Modificacin de secuencia cualquier modificacin de secuencia de los
mensajes entre partes incluyendo insercin, borrado o reordenacin.
Modificacin de tiempo en una aplicacin no orientada a conexin se
puede retrasar o repetir un mensaje. Esto mismo puede suceder para una
secuencia de mensajes de una sesin en una aplicacin orientada a
conexin.
Repudio de origen (niega haber enviado un mensaje) o destino
(niega haber recibido un mensaje).
Autenticacin de mensajes
Autenticacin de mensajes: procedimiento para verificar que un
mensaje recibido procede de la fuente alegada y no ha sido
alterado.
Autenticador: el valor usado para autenticar un mensaje en un
procedimiento de autenticacin.
Procedimientos que se pueden utilizar para generar un autenticador:
Mensaje cifrado: un mensaje cifrado con sistema simtrico o
asimtrico sirve como autenticador de dicho mensaje
Cdigo de autenticacin de mensaje (MAC): un valor de longitud
fija producido a partir de una funcin pblica y una clave secreta
Funcin Hash: funcin pblica que genera un valor de longitud fija y
nico a partir de un mensaje de entrada de cualquier longitud
Firma digital: utiliza funcin hash y cifrado asimtrico, ofrece
autenticacin, integridad y no repudio
Mensaje cifrado con sistema simtrico
Si A y B comparten una clave privada, los mensajes que se envan
cifrados estn autenticados, slo el otro lo puede haber cifrado.
El problema que se plantea es saber si un mensaje recibidos es
correcto una vez descifrado.
Si el mensaje en claro es texto podemos analizar si tiene sentido.
Si el mensaje es una secuencia de bits sin sentido no podemos saberlo.
Una solucin al problema consiste en forzar al mensaje a tener una
estructura fcil de reconocer pero que no pueda ser replicada sin la
clave.
Ejemplo:
A aade al mensaje M una secuencia de chequeo de error F(M) antes de
cifrar. Cifra todo y enva a B el mensaje E
K
[M||F(M)].
B descifra D
K
[M||F(M)], genera F(M) y lo compara con el F(M) recibido.
Si el chequeo de error fuese externo, es decir se enviase E
K
[M]||F(E
K
[M]), un oponente podra encontrar otra secuencia de bits que diese la
misma funcin de error, cambiarla por E
K
[M] y crear de esta forma
confusin.
Mensaje cifrado con sistema asimtrico
Autenticacin
Cifrar con la clave privada del origen y descifrar con la clave pblica de
origen.
As el destino tiene la seguridad de que slo el origen pudo haber cifrado.
El mensaje en claro debe tener una estructura que permita al receptor distinguir
entre un mensaje correcto y bits aleatorios.
Se pueden utilizar los mismos ejemplos de estructura del mensaje que hemos
visto en sistemas simtricos.
No es eficiente si el mensaje es largo.
Aade el matiz del no repudio (al ser la clave secreta no compartida, el receptor
no puede falsificar un mensaje para hacer creer que otro usuario se lo haba
enviado).
Este mecanismo no ofrece confidencialidad, para ofrecer debemos cifrar con la
clave privada de origen (autenticacin) y despus con la clave pblica de destino
(confidencialidad).
El problema de la confidencialidad y autenticacin con clave pblica es que hay
que aplicar el algoritmo de cifrado y descifrado 4 veces en cada comunicacin.
Los algoritmos asimtricos son ms lentos que los simtricos.
Cdigo de autenticacin de mensaje MAC
Tcnica alternativa de autenticacin consistente en:
Dos usuarios A y B comparten una clave secreta k.
Dado el mensaje de longitud variable m y la clave k, A genera un cdigo de
autenticacin de tamao fijo y pequeo denominado autenticador MAC=f(k, m).
A partir de MAC y m no se puede obtener k; f no debe ser reversible.
A enva a B el mensaje m y MAC.
El receptor calcula MAC con la clave k y el mensaje m recibido y comprueba que
coincide con el MAC recibido.
Ofrece garantas de:
Origen autntico: slo A conoce k.
Mensaje integro: para modificarlo hay que conocer k.
Si lleva n de secuencia se garantiza no modificacin del orden de secuencia.
Se puede ofrecer autenticacin (F con k
1
) y confidencialidad (C con k
2
):
C
K2
[m|F(k
1
,m)] o bien C
K2
[m]|F(k
1
, C
K2
[m]) menos usual.
MAC no ofrece no repudio (no es firma digital) debido a que ambos
participantes comparten la misma clave (B podra falsificar haciendo creer
que lo ha enviado A).
Aplicaciones de MAC
El cifrado convencional ya ofrece autenticacin. En qu
casos es ms interesante utilizar MAC?.
Distribucin de un mismo mensaje a muchos destinos, si el
mensaje se enva en claro, todos lo utilizan rpidamente y slo
uno verifica autenticacin.
Receptor muy cargado y no se puede permitir descifrar todos los
mensajes. Se enva con MAC y el mensaje en claro, verifica
autenticidad de algunos mensajes de forma aleatoria.
Autenticacin que acompaa a programas informticos. Se
puede ejecutar y comprobar integridad al mismo tiempo.
Aplicaciones en las que no es importante la confidencialidad, slo
la autenticacin. Ejemplo SNMPv3.
Separacin de autenticacin y confidencialidad aporta flexibilidad
a la arquitectura. Puede ser necesario implementar cada servicio
a un nivel distinto.
Aplicaciones en las que interese mantener la proteccin (de
autenticacin) ms all de la recepcin. Con cifrado convencional
se mantiene hasta que se descifra.
Ataques en MAC
El oponente puede realizar ataques en un criptosistema por dos vias:
Debilidades del algoritmo, si son conocidas.
Ataque por fuerza bruta utilizando todas las posibles claves. En este caso se
requiere una media de 2
k-1
intentos para una clave de k bits.
Con MAC tambin podemos encontrar debilidades en el algoritmo.
Las consideraciones de fuerza bruta en el caso de MAC son diferentes:
Si se usa una MAC de n bits hay 2
n
posibles cdigos.
Hay N posibles mensajes con N >> 2
n
.
Hay 2
k
posibles claves de k bits, donde k > n.
Con este escenario un grupo de claves (por termino medio 2
k
/2
n
= 2
k-n
)
producirn el mismo MAC de un mismo mensaje.
Esto crear confusin al oponente que utilice la fuerza bruta y le obligar a
probar con otro mensaje y las 2
k-n
claves obtenidas de la primera vuelta.
Se repetir el proceso y se obtendr la clave cuando se hayan realizado k/n
vueltas.
Conclusin: aplicar ataque de fuerza bruta en MAC requiere mayor esfuerzo
que en un sistema criptogrfico con clave de igual longitud.
Requisitos de MAC
Requisitos que debe cumplir una funcin MAC f:
1. Si un oponente observa el mensaje m y f(k, m), debe ser
computacionalmente irrealizable construir un mensaje m tal que f(k,
m)= f(k, m).
Necesario para que el oponente no pueda falsificar el mensaje.
2. La funcin MAC f(k, m) debe ser uniformemente distribuida, es decir,
para los mensajes elegidos aleatoriamente m y m, Pr[f(k, m) = f(k,
m)]= 2
-n
donde n es el nmero de bits de MAC.
En este caso si se aplica la fuerza bruta sobre el mensaje, habra que
probar con una media de 2
n-1
mensajes para encontrar un m cuya
MAC coincida con la de m.
3. Dada una transformacin cualquiera g, obtenemos m=g(m), en este
caso se cumple Pr[f(k, m) = f(k, m)]= 2
-n
El algoritmo no debe ser ms dbil con unos bits del mensaje que con
otros ante una determinada transformacin, si esto sucede y el
oponente conoce el punto dbil, puede generar fcilmente un m con
el mismo MAC que m realizando una variacin sobre estos bits.
MAC basado de DES
Publicado en ANSI x9.17 y FIPS PUB 113.
El algoritmo usa DES en modo CBC (Cipher Block Chaining).
Se divide el mensaje en bloques de 64 bits, si es necesario (longitud no
mltiplo de 64) el ltimo bloque se rellena con ceros. Los bloques son
D
1
..D
N
La clave k alimenta a la entrada de clave DES en todas las iteraciones.
La salida del cifrador DES en cada iteracin es:
O
1
=C
K
[D
1
]
O
i
=C
K
[D
i
O
i-1
] para i comprendido entre 2 y N
El resultado son los m bits de la izquierda de O
N
donde M puede tomar
valores entre 16 y 64.
D
1 (64 bits)
O
1 (64 bits)
DES k
D
2 (64 bits)
O
2 (64 bits)
DES k
...
D
N (64 bits)
O
N (64 bits)
DES k
O
N-1
16 a 64 bits
Funciones Hash
Una variante de MAC son las funciones HASH de un solo sentido.
Las funciones hash generan un resumen h(m) de tamao constante a partir
de un mensaje de entrada de cualquier tamao.
Formas de uso para enviar un mensaje m de A a B:
Autenticacin con cifrado:
A cifra con K el mensaje junto con su resumen (autenticacin y confidencialidad):
C
K
[m|h(m)]
A enva el mensaje junto con el resumen cifrado con k (autenticacin): m|C
K
[h(m)]
A enva el mensaje junto con el resumen cifrado con clave privada de A (firma digital):
m|C
KprivA
[h(m)]
Autenticacin y confidencialidad con cifrado:
Igual que el anterior pero todo se cifra al final con K (confidencialidad):
C
k
[m|C
KprivA
[h(m)]]
Autenticacin sin cifrado: A y B comparten un secreto s.
A enva un resumen hash del mensaje concatenado con s: m|h(m|s).
Se aporta confidencialidad si se cifra con k el mensaje obtenido: C
k
[m|h(m|s)]
Es interesante evitar cifrado por diversas razones: software de cifrado lento;
hardware de cifrado caro y optimizado para bloques de texto grandes;
algoritmos patentados (coste de licencia) y sujetos a limitaciones de uso.
Requisitos de una funcin hash segura
Los requisitos para poder aplicar las funciones hash a la
autenticacin de mensajes son:
Requisitos para la aplicacin prctica a la autenticacin:
1. El bloque de entrada de la funcin puede ser de cualquier tamao.
2. La funcin produce salida de longitud fija.
3. Funcin fcil de calcular para cualquier mensaje.
Evita que un oponente que conoce m pueda descubrir el secreto s
asociado al resumen h(m|s).
4. Funcin de un sentido: para cualquier resumen r de un mensaje m, es
computacionalmente impracticable encontrar m tal que h(m) = r.
Evita falsificacin cuando se usa un resumen cifrado m|C
K
[h(m)], si el
oponente encuentra un n con h(n) = h(m) puede enviar n|C
K
[h(m)]:
5. Funcin dbil de un sentido: para cualquier mensaje m, es
computacionalmente impracticable encontrar un mensaje nm tal que sus
resmenes coincidan h(n) = h(m).
Evita el ataque del cumpleaos:
6. Funcin fuerte de un sentido: es computacionalmente impracticable
encontrar un par de mensajes m y n tal que sus resmenes coincidan h(n) =
h(m).
Ataque del cumpleaos
La paradoja del cumpleaos se resume en lo siguiente:
Tenemos una funcin hash que genera resmenes de n bits.
Generamos dos conjuntos de resmenes:
Generamos k valores aleatorios x
i
y calculamos sus resmenes h(x
i
).
Generamos k valores aleatorios y
j
y calculamos su resmenes h(y
j
).
El nmero de valores k que debo generar para encontrar al menos un h(x
i
)=h(y
j
)
con probabilidad 0.5 es: k = 2
n/2
Dado un mensaje m con resumen de n bits cifrado, un oponente realizara una media de
2
n-1
pruebas antes de encontrar otro mensaje m con el mismo resumen.
En el ataque del cumpleaos la complejidad se reduce:
A firma un mensaje m con el resumen cifrado con su clave privada: m|C
KprivA
[h(m)]
El oponente genera dos conjuntos de 2
n/2
mensajes cada uno:
Variaciones del mensaje todas con el mismo significado esencialmente.
Variaciones del mensaje original donde cambia el significado maliciosamente.
Se comparan los dos conjuntos de mensajes para encontrar una pareja con el mismo
resumen. La probabilidad de que suceda es de 0.5. Si no hay xito se generan
nuevos mensajes.
Se enva el mensaje fraudulento con la firma del autentico (que coinciden).
Esquema general de una funcin hash
El mensaje m se divide en L bloques Y
i
de longitud fija (b bits).
Se utiliza una funcin f que se aplica L veces.
.
Los parmetros de entrada de f para la iteracin i son Y
i
y CV
i
y genera la
salida CV
i+1
, es decir: CV
i+1
= f(Y
i
, CV
i
) para i comprendido entre 1 y L-1.
Para la primera iteracin (i=0), CV
1
= f(Y
0
, CV
0
), donde CV
0
es el valor
inicial IV.
Normalmente n < b y f se denomina funcin de compresin.
El resumen h(m) es CV
L
.
f
IV=CV
0
Y
0
f
CV
1
Y
1
f
CV
L-1
Y
L-1
CV
L
b
b
b
n n
n n
Seguridad de las funciones HASH y MAC
Dos grupos de ataques:
Ataque de la fuerza bruta
Funciones hash: la resistencia viene impuesta por la longitud del resumen que requiere
con requisitos de hash fuerte (firma falsa) un nivel de esfuerzo de 2
n/2
. (off-line).
Funciones MAC son ms complejas de atacar.
Resistencia computacional: dado un par (m, f(k, m)) debe ser
computacionalmente irrealizable calcular una pareja (m, f(k, m)) con
f(k, m)=f(k, m).
Dos tipos de ataques:
Averiguar la clave (de k bits): esfuerzo aproximado 2
k
(off-line).
Averiguar un MAC (de n bits) vlido para un mensaje dado o viceversa:
requiere un esfuerzo de 2
n
(on-line).
El esfuerzo de ataque de fuerza bruta es min(2
n
,

2
k
). Se requiere por lo
tanto que min(k, n) N donde un valor razonable de N es 128 bits.
Criptoanlisis
Funciones hash: el criptoanlisis se centra en descubrir debilidades de las funciones f
que permitan encontrar colisiones (dos mensajes con el mismo resumen) de forma ms
sencilla.
Funciones MAC: tambin hay ataques contra la estructura interna de los algoritmos MAC
que los hacen ms vulnerables.
Un algoritmo HASH o MAC ideal requiere un esfuerzo de ataque
criptoanaltico mayor o igual que el esfuerzo de ataque por fuerza bruta.
Ejemplos de algoritmos
HASH:
MD5
SHA-1, SHA-2, SHA-256,
RIPEMD
MAC:
HMAC
MD5: esquema general
Pasos:
1. Aade relleno al mensaje dejando hueco para longitud: longitud 448 mod 512
2. Aade longitud: 64 bits que representan la longitud k mod 2
64
Inicializa el buffer MD con IV (buffer que mantiene las entradas a cada funcin
H
MD5
y el resumen final). El buffer de 128 bits esta compuesto por cuatro
registros A, B, C y D. El valor inicial en hexadecimal de estos registro es:
A: 67 45 23 01 B: EF CD AB 89 C: 98 BA DC FE D: 10 32 54 76
4. Procesa el mensaje de los bloques H
MD5.
5. El resultado final (resumen) es la salida de 128 bits del ltimo bloque H
MD5
Y
L-1
mensaje
100...0 K mod 2
64
Relleno 1..512 bits
Y
q
Y
1
Y
0
... ...
Longitud del mensaje: k bits
H
MD5
H
MD5
H
MD5
H
MD5
resumen
128 bits
512 bits 512 bits 512 bits 512 bits
128 bits 128 bits 128 bits 128 bits
IV
CV
1
CV
q
CV
L
Y, T[4964], X[
4
(i)]
16 pasos
A B C D
H, T[3348], X[
3
(i)]
16 pasos
A B C D
G, T[1732], X[
2
(i)]
16 pasos
A B C D
MD5: funciones H
MD5
Se procesan 4 bloques indicados en la figura:
Entradas al bloque: Y
q
y registros ABCD.
Salida queda guardada en registros ABCD.
Cada bloque realiza 16 pasos con:
b b + ((a + g(b, c, d) + X[k] + T[i]) <<< s)
a d; c b; d c
donde:
a, b, c, d: 4 palabras del buffer.
g funciones primitivas F, G, H e Y para los
bloques 1, 2, 3 y 4 respectivamente.
Funcin X[k]: la k-esima palabra de 32 bits
en el bloque q-esimo de 512 bits de Y
q
. K
toma valores entre 0 y 15, indicando cada
uno de los 16 pasos.
T[1..64] se obtiene de la parte entera de
T[i]=2
32
[abs(sen(i))]; i en radianes.
<<< s: operador rotacin izquierda de s bits
+: operador suma mod 2
32
La suma final se hace mod 2
32
F, T[116], X[i]
16 pasos
A B C D
CV
q
CV
q+1
128
128
32
+ + + +
Y
q
512
MD5: funciones H
MD5
Las funciones g son:
Las permutaciones son:
) ( ) , , (
) , , (
) ( ) ( ) , , (
) ( ) ( ) , , (
d b c d c b I
d c b d c b H
d c d b d c b G
d b c b d c b F
! =
! ! =
=
=
o o
o o
! =
=
=
XOR
OR
AND o
16 mod ) 7 ( ) (
16 mod ) 3 5 ( ) (
16 mod ) 5 1 ( ) (
4
3
2
i i
i i
i i
=
+ =
+ =
!
!
!
Debilidad de MD5 y SHA-1
Criptoanlisis: se han publicado ataques contra el algoritmo que permiten
romperlo en 8 horas con un procesador de 1,6 GHz. Se esperan
refinamientos que permitan romperlo en mucho menos tiempo
(http://cryptography.hyperlink.cz/md5/MD5_collisions.pdf)
Otro algoritmo de mayor longitud como SHA-1 de 160 bits y similar a
MD5 tambin ha sido atacado y se ha encontrado que su resistencia en
ataques tipo cumpleaos se reduce del esperable 2
80
a 2
69.
Podemos encontrar un resumen de la situacin actual de las funciones
hash ms conocidas en:
http://paginas.terra.com.br/informatica/paulobarreto/hflo
unge.html
Algoritmos alternativos
Se hace necesario buscar algoritmos de hash de mayor longitud:
Algoritmos propuestos por la NSA NIST:
SHA-2 (200 bits), SHA-224, SHA-256, SHA-384, SHA-512
RIPEMD-160 de 160 bits.
Desarrollado en Europa (proyecto RIPE).
Similar a MD5 y SHA-1
Resistente contra los ataques de criptoanlisis conocidos.
Resistente a ataque de fuerza bruta
Otra opcin es desarrollar algoritmos nuevos.
No existe un concurso similar al que se convoc para sustituir a DES
Existe un proyecto europeo llamado NESSIE (New European Schemes for
Signatures, Integrity and Encryption) para proponer primitivas criptogrficas
para confidencialidad, integridad y autenticacin.
Dentro de este proyecto se ha propuesto una funcin hash llamada Whirlpool
Bloques de 512 bits
Salida de 512 bits
Operaciones internas: cifrado de bloque, xor
Whirlpool
W algoritmo de cifrado de bloque similar a AES.
M
i
: bloque i-simo del mensaje.
M
i
: Hash del bloque anterior.
El hash ser la salida de la ltima iteracin (si el
mensaje tiene n bloques, ser H
n
)
HMAC
Publicada en RFC 2104.
Utilizada en aplicaciones como: SSL e IP security.
Objetivos de diseo:
Usar funciones hash (no criptografa) cuyo cdigo es gratis y altamente
disponible.
Fcil de reemplazar las funciones hash embebidas en funcin de la seguridad o
rapidez requeridas.
Conservar el rendimiento original de la funcin hash.
Uso y gestin sencilla de claves.
Fortaleza del anlisis criptogrfico del mecanismo de autenticacin basado en la
funcin hash embebida.
Para explicar el algoritmo utilizaremos los siguientes trminos:
H Funcin hash embebida.
M Mensaje de entrada de HMAC (incluido
relleno y funcin hash)
Y
i
i-esimo bloque de M, 0 i L-1
L nmero de bloques en M
b nmero de bits por bloque
n Longitud en bits del resumen producido
por la funcin hash
K clave secreta, se recomienda longitud
n, si longitud b se pasa por hash
K
+
relleno con ceros s la derecha; long = b
ipad 00110110 repetido b/8 veces
opad 01011010 repetido b/8 veces
Estructura del algoritmo HMAC
Pasos:
C Aadir ceros a K hasta b bits
(K
+
)
C Calcular S
i
=K
+
ipad
C Concatenar C y M: S
i
|M
C Aplicar H a C: H(S
i
|M)
C Calcular: S
o
=K
+
opad
Concatenar C y C :
S
o
|H(S
i
|M)
C Aplicar H a : H(S
o
|H(S
i
|M))
La fortaleza de la funcin MAC
depende de la fortaleza de la
funcin HASH embebida.
Si el mensaje es grande el tiempo
de ejecucin es
aproximadamente igual al de la
primera hash.
ipad K
+
S
i
IV
Y
0
Y
1
b bits
...
Y
L-1
n bits
Hash
n bits
H(S
i
|M)
Relleno a b bits
HMAC
K
(M)
n bits
n bits
opad K
+
S
o
IV
b bits
Hash
Firma digital
Se basa en el uso de cifrado asimtrico sobre el resumen
hash de un mensaje.
El hash permite aplicar el cifrado sobre una cantidad
reducida de bits independiente de la longitud del mensaje,
reduciendo el tiempo de procesamiento.
Si la funcin hash no es segura, la firma no es segura No
podemos utilizar MD5 o SHA-1 (propuestas para el DNI
electrnico)
Ventajas:
No requiere distribucin de clave simtrica.
Ofrece no repudio de origen
Desventajas
Ocupa ms espacio y es ms lento que hmac.
Algoritmos: RSA y DSS
Ejemplo: firma digital RSA
A
B
K
puA
hash
hash
C
m
m
h(m)
C
KprA
[h(m)]
K
prA
D
m C
KprA
[h(m)]
h(m) h(m)
4Integridad: h(m)=h(m)
4Autenticacin: K
prA
4No repudio origen: K
prA
4No repudio destino:
enviando recibo firmado
comp
Ejemplo: firma digital DSS
DSS (Digital Signature Standard) utiliza:
SHA: Secure Hash Algorithm. Funcin Hash utilizada h(m).
DSA: Digital Signature Algorithm. Basado en la dificultad de
calcular logaritmos discretos.
Componentes de clave pblica:
p n primo 2
L

<p< 2
L-1
donde L entre 512 y 1024 en saltos de 64.
q primo divisor de p-1 donde 2
159

<q< 2
160
g=h
(p-1)/q
mod p donde h es un entero que cumple: 1<h<(p-1) y
h
(p-1)/q
mod q>1
Clave privada: x n aleatorio entero; 0<x<q
Clave pblica: y = g
x
mod q
N secreto por mensaje: k n aleatorio entero; 0<k<q
Firma r y s: r=(g
k
mod p) mod q; s=[k
-1
(h(m)+xr] mod q
Verificacin: recibe r, s y m; comprueba que v=r donde:
v = [(g
u1
y
u2
) mod p] mod q
u
1
= [h(m)w] mod q
u
2
= (r)w mod q
w = (s)
-1
mod q
DSS
A
hash
Firma
m
m
h(m)
s|r
p, q
g
x
k
B
hash
m s|r
h(m)
comp
Calcula
p, q
y
g
r
v
1
Infraestructuras de clave pblica (PKI):
Certificados X.509
Tema 7. Infraestructuras de Clave Pblica
Introduccin
El principal problema de los criptosistemas de clave
pblica reside en que si se engaa alguien con el
valor de la clave pblica de otro usuario el sistema
se viene abajo
Es necesario garantizar la propiedad y la validez de
las claves pblicas
Una solucin para ello es mediante la generacin de
un certificado de clave pblica firmado digitalmente
por una Autoridad de Certificacin (CA).
Certificados y CAs
Una CA es una tercera parte de confianza(TTP) en la
que confan los participantes en la comunicacin
miembros de un determinado dominio
Un certificado asocia el nombre de una entidad con
su clave pblica durante un periodo de validez
Es seguro en s mismo proveniendo esta seguridad
de la firma de la CA y de la confianza que el
receptor tiene en la CA
Puede, por tanto, almacenarse y distribuirse de
cualquier forma
Seguridad de los certificados
La confianza en los certificados proviene de dos
causas:
La confianza en la CA:
Las entidades de un dominio se fan de que cuando expide un
certificado a A, ha comprobado la identidad de A y su clave
pblica
Adems, confan en que no les engaa
Los miembros del dominio conocen la clave pblica de la
CA y estn seguro de que es vlida.
As al verificar la firma de la CA estn seguros de la validez de la
clave pblica certificada
Seguridad de la CA
Hemos visto que la seguridad del certificado
depende de la seguridad de la CA
De modo que, si la infraestructura de la CA no es
segura tampoco sern seguros los certificados.
En entornos complejos, ser necesaria la
intervencin de varias Cas para garantizar la
provisin de certificados y de otras entidades como:
Autoridades de Registro (RA)
Agentes autorizados para revocar certificados
Repositorios de certificados
A todo este conjunto se le denomina infraestructura
de certificacin o PKI
Componentes de una PKI
Podemos distinguir los siguientes componentes:
Autoridad de certificacin (CA): para generar los certificados
Autoridades de registro (RA): para la identificacin y el registro previo
de identidades antes de ser emitidos los certficados
Autoridades de repositorio, para el almacenamiento y recuperacin de
certificados y CRLs
Autoridades para la generacin y distribucinde CRLs
Todas la comunicaciones y relaciones que se lleven a cabo en
un entorno estn gobernados por una poltica de
seguridad
Ejemplo: poltica de la PKI de rediris:
http://www.rediris.es/pki/docs/politica.pdf
X.509
Forma parte del servicio de directorios X.500 (UIT-T).
El directorio X.500 almacena certificados de los usuarios.
Cada certificado contiene la clave pblica de un usuario.
Certificados firmados por una autoridad de certificacin de confianza.
Entorno de trabajo para provisin de servicio de
autenticacin.
X.509 define un entorno de trabajo para provisin de servicio
de autenticacin:
Formato de certificado.
Protocolo de autenticacin basado en clave pblica.
Versin inicial (88), varias revisiones, versin 3 (95).
Se utiliza en varias aplicaciones: IPSec, S/MIME, SSL...
Certificados
Firma
Extensiones (v3)
Id. nico sujeto (v2)
Id. nico emisor (v2)
Clave pblica+param.
Nombre del sujeto
Periodo de validez
Emisor
Datos firma
N serie
Versin
versin: 1, 2 ( identificadores) o 3 (extensiones).
N serie: valor nico asignado por CA.
Datos firma: algoritmo usado y posibles parmetros.
Emisor: nombre X.500 de CA que lo crea y firma.
Periodo de validez: dos fechas entre las cuales es vlido.
Nombre del sujeto al que pertenece la clave pblica
certificada.
Clave publica del usuario junto con un identificador del
algoritmo con el que se usa y posibles parmetros.
Id. nico emisor: identifica la CA de forma nica si su nombre
X.500 ha sido reutilizado por otras entidades (poco utilizado).
Id. nico sujeto: identifica al sujeto de forma nica si su
nombre X.500 ha sido reutilizado por otras entidades (poco
utilizado).
Extensin:conjunto de una o varias extensiones.
Firma:
Identificador del algoritmo de firma utilizado.
Posibles parmetros.
Firma: hash de los campos anteriores cifrado con la clave privada de
CA.
Formato:
Obtencin de certificado.
Con K
pubCA
se puede verificar K
pub
del sujeto que se certifica.
Slo CA puede modificar el contenido del certificado.
Es un documento pblico, no necesita guardarlo con
proteccin.
Posibilidades de distribucin de CA:
En una comunidad reducida de usuarios:
Un nico CA.
Todos confan en el CA y obtienen su clave pblica de forma segura.
En una comunidad grande:
Hay varias CAs que sirven a grupos de usuarios.
Cada usuario confa en su CA.
Es necesaria una cadena de certificados para verificar la clave de otro
usuario de un CA distinto.
Cadenas de certificados 1.
Certificados: CA
1
<> y CA
2
<>
El usuario U
1
obtiene el certificado de U
2
:
CA
2
<>.
No puede verificarlo porque no confa en CA
2
.
CA
1
U
1
CA
2
U
2
U
1
slo confa en CA
1
.
CA
1
conoce de forma segura la K
pubCA2
.
El usuario U
1
obtiene un certificado de CA
2
: CA
2
<>.
No puede verificarlo porque no confa en CA
2
.
El U
1
obtiene el certificado de CA
1
: CA
1
<<CA
2
>>.
Ahora U
1
puede verificar la firma de CA
2
y confiar en K
pubU2
.
Cadena de certificados obtenida por U
1
: CA
1
<<CA
2
>> CA
2
<>
Cadena de certificados obtenida por U
2
: CA
2
<<CA
1
>> CA
1
<>
Esquema extensible a una organizacin jerrquica de CAs.
CA
1
U
1
CA
2
U
2
Se establece una relacin de confianza entre CA
1
y CA
2
.
CA
4
U
41
CA
5
U
42
U
51
CA
2
CA
3
CA
1
Ejemplo de cadena:U
41
recibe cadena de certificados de certificado
de

U
51.
CA
5
<> CA
3
<<CA
5
>> CA
1
<<CA
3
>> CA
2
<<CA
1
>> CA
4
<<CA
2
>>
CAs con relaciones de confianza organizada de forma
jerrquica.
Firma:
Id algoritmo
Parmetros
Hash cifrada
....................
Entrada en la lista 2:
N , fecha revocacin
Entrada en la lista 1:
N , fecha revocacin
Prxima actualizacin
Fecha de actualizacin
Nombre del emisor
Datos de firma:
algoritmo, parmetros
Cada certificado tiene un periodo de validez.
Se genera un nuevo certificado antes de que expire en anterior.
Es conveniente revocar el certificado antes de que expire si:
La clave secreta del sujeto ha sido comprometida.
El usuario no va a ser certificado por CA ms.
El certificado de CA ha sido comprometido.
CA mantiene listas de certificados no expirados y revocados:
Certificados emitidos por CA sobre usuarios.
Certificados emitidos por CA sobre otras CAs.
Contenido de las listas de revocacin de certificados (CRL):
Firma del emisor
Nombre del emisor (CA).
Entradas:
Nmero de serie del certificado.
Fecha de revocacin.
Un usuario debera consultar la lista CRL cada vez que recibe un
certificado en un mensaje.
Para evitar retardos, puede mantener una cache local de CRL.
Formato de CRL
Revocacin de Certificados.
Versin 3: extensiones
La versin 2 no se adapta a todos los requisitos que solicitan las
aplicaciones actuales:
El campo de identificacin de sujeto y emisor es demasiado corto y no se
adapta a algunas aplicaciones que se identifican con URL o e-mail.
Es necesario aadir informacin de polticas de seguridad para poder ser
utilizado por aplicaciones como IPSec.
Es necesario acotar el dao producido por un CA defectuoso o malicioso.
Es necesario distinguir diferentes claves usadas por un mismo usuario en
instantes de tiempo distintos (gestin del ciclo de vida de la clave).
En la versin 3 se propone introducir estas nuevas capacidades en forma
de extensiones opcionales en vez de campos fijos:
Tres categoras de extensiones:
Informacin de polticas y claves.
Atributos de emisor y sujeto.
Restricciones del certificado.
Formato de las extensiones
Tres campos:
Identificador: identifica el tipo de extensin.
Indicador crtico: indica si la extensin puede ser
ignorada de forma segura en caso de no ser soportada. Si
no es as (valor TRUE) el certificado se trata como
invlido.
Valor: en funcin de la extensin.
Informacin de polticas y claves.
Polticas de certificado: conjunto de reglas que indican la aplicabilidad del
certificado a una comunidad particular y/o clase de aplicacin.
Campos de la extensin:
Identificador de clave de la autoridad: identifica una clave pblica del CA
que certifica. Distingue ente varias claves.
Identificador de clave del sujeto: identifica la clave pblica certificada.
Distingue entre varias claves que pueda tener el mismo sujeto.
Uso de clave: restricciones, propsito y polticas de uso del certificado. Una
o ms de las siguientes:firma digital, no repudio, cifrado de clave, cifrado de
datos, acuerdo de clave, verificacin de firma de CA en certificado,
verificacin de firma de CA en CRLs.
Periodo de uso de clave privada del sujeto, suele ser ms corto que el
periodo de validez de la clave pblica para validar.
Polticas de certificado: lista de polticas que reconoce el certificado junto
con informacin opcional.
Mapa de polticas: en certificados de otras CAs, indica que ciertas polticas
pueden ser mapeadas sobre otras en el dominio local de CA.
Atributos de emisor y sujeto.
Esta extensin soporta nombres y formatos alternativos en el
certificado del sujeto o del emisor.
Puede llevar informacin adicional en el certificado del
sujeto: correo, cargo en la organizacin, foto...
Campos de la extensin:
Nombre alternativo del sujeto: puede tener uno a ms nombres
alternativos, necesario para algunas aplicaciones que utilizan sus
propios nombres (IPSec, EDI, e-mail...).
Nombre alterativo del emisor: contiene uno o ms nombres
alternativos.
Atributos del directorio sobre el sujeto: puede llevar cualquier valor de
atributo del directorio x.500 sobre el sujeto.
Restricciones del certificado.
Especificacin de restricciones de un certificado emitido por
un CA sobre otro CA.
Puede restringir el tipo de certificado que puede ser enviado
por el CA sujeto. Restricciones referentes a qu puede ocurrir
en una subsecuencia de la cadena de certificados.
Campos:
Restriccin bsica: indica si el sujeto puede actuar como CA, si es
as se puede especificar una restriccin de la longitud del camino del
certificado.
Restriccin de nombre: indica el espacio de nombres dentro del
cual se encuentra la subsecuencia de nombres de sujetos CAs.
Restriccin de poltica: (dos posibles contenidos)
Restricciones especficas que puede requerir identificacin de poltica de
certificado explcita.
Mapa de polticas para el resto del camino de certificacin.
1
Secure Socket Layer
Secure Socket Layer
Propuesta de Netscape.
SSL v3 fue adoptado como estndar de Internet.
Implementado en conexiones seguras Web (https).
El IETF creo el grupo de trabajo TLS (Transport
Layer Security) para definir un estndar comn.
La primera versin de TLS puede verse como un SSL
v3.1.
SSL v3.1 es similar a v3.0 y compatible con sta.
TLS est definido en la RFC 2246.
Arquitectura SSL
IP
TCP
SSL Record Protocol
SSL Handsake
Protocol
SSL Change Cipher Spec
Protocol
SSL Alert
Protocol
HTTP
FTP...
Dos niveles de protocolos:
En el inferior SSL Record: provee servicios bsicos de seguridad a
aplicaciones http, ftp, telnet..
En el superior tres protocolos de gestin de intercambios SSL.
Handshake
Change Cipher Spec.
Alert
Conexin/Sesin
Conexin:
Relacin de comunicacin extremo a extremo.
Conexin de transporte que ofrece un tipo de servicio apropiado.
Cada conexin tiene asociada una sesin.
Sesin:
Asociacin entre un cliente y un servidor.
Creada por el protocolo Handsake.
Define un conjunto de parmetros criptogrficos que pueden ser
compartidos por varias conexiones.
Evita tener que negociar nuevos parmetros en cada conexin.
En una relacin cliente servidor puede haber varias
conexiones y varias sesiones, aunque lo ltimo no se suele
implementar en la prctica.
Parmetros de Estados de una sesin.
Session identifier: compuesto por una secuencia de
octetos.
Peer certificate: certificado X.509.v3.
Compression method: utilizado para comprimir antes de
cifrar.
Cipher-Spec: algoritmos de cifrado (null, DES...), funcin
hash (MD5, SHA-1...), y parmetros (hash_size.).
Master secret: secreto compartido entre cliente y servidor
(48 bytes).
Is resumible (Es reanudable): flag que indica si la sesin
puede ser utilizada para iniciar otras conexiones.
Parmetros de Estados de una
conexin.
Server and client random: secuencia de bytes elegida por
cliente y servidor en cada conexin.
Server write MAC secret: clave secreta usada en MAC
sobre datos enviados por el servidor.
Client write MAC secret: clave secreta usada en MAC
sobre datos enviados por el cliente.
Server write secret: clave secreta de cifrado para datos
cifrados por el servidor y descifrados por el cliente.
Client write secret: clave secreta de cifrado para datos
cifrados por el cliente y descifrados por el servidor.
Initialization vector: usado en modo CBC la primera vez.
Sequence number: uno para cada sentido de
comunicacin. Cuando una parte enva o recibe un mensaje
de change cipher spec, se inicia el n de secuencia (0). No
puede exceder de 64 bits (2
64
-1).
SSL Record Protocol
Proporciona dos servicios a las conexiones:
Confidencialidad: el protocolo handshake define una clave
secreta compartida usada para cifrado convencional de los datos.
Integridad: el protocolo handshake define una clave secreta
compartida usada para generar un MAC.
Operaciones realizadas:
Coge los datos de la aplicacin a enviar y los procesa:
Fragmenta en bloques manejables (max 16384 bytes).
Comprime los bloques (opcional), sin prdidas, no debe
incrementar en ms de 1024 bytes (esto puede suceder con bloques
pequeos). Actualmente no se utiliza.
Aade un MAC utilizando un algoritmo similar a HMAC.
Cifrar todo (bloque comprimido y MAC).
Aade una cabecera.
Introduce bloque resultante en un segmento TCP y lo enva.
El receptor descifra, verifica, descomprime y ensambla los
bloques.
Algoritmo generador de MAC
Utiliza un algoritmo hash que puede ser MD5 o SHA-1.
MAC=hash(m), donde m es la concatenacin de:
MAC_write_secret: nmero secreto compartido.
pad_2: 36h repetido 48/40 veces para MD5/SHA-1.
hash(l) donde l es la concatenacin de:
MAC_write_secret: nmero secreto compartido.
pad_1: 5Ch repetido 48/40 veces para MD5/SHA-1.
seq_num: n de secuencia para este mensaje.
SSLcompressed.type:protocolo de alto nivel que procesa el bloque.
SSLcompressed.length: longitud del bloque comprimido.
SSLcompressed.fragmen: fragmento comprimido (o sin comprimir).
Cifrado de bloque
No debe incrementar la longitud ms de 1024 bytes.
Longitud total mxima=2
14
max_bloque
+1024
compresin
+1024
cifrado
Algoritmos permitidos:
IDEA

con clave de 128 bits.
RC2 con clave de 40 bits.
DES con clave de 40 y 56 bits.
3DES

con clave de 168 bits (tres claves de 56 bits).
Fortezza con clave de 80 bits (tarjeta).
RC4 con clave de 40 y 128 bits.
Antes de cifrar puede ser necesario aadir relleno.
Condicin: L
total
debe ser mltiplo de longitud del bloque de cifrado.
Relleno
n+1 bytes
= bytes relleno
n bytes
+ long_relleno
1 byte
L
total
=L
datos
+ L
MAC
+ L
relleno_min
Cabecera de Record protocol
Se aade delante del bloque.
Contiene los siguientes campos:
Content type (8 bits): protocolo de alto nivel usado para
procesar el bloque. Puede tomar los valores:
change_cipher_spec: protocolo SSL.
alert: protocolo SSL.
handshake: protocolo SSL.
application_data: HTTP, FTP.
Major version (8 bits): indica la mayor versin de SSL en uso,
para SSL v3 el valor es 3.
Minor version (8 bits): indica la menor versin de SSL en uso,
para SSL v3 el valor es 0.
Compressed Length (16 bits): longitud del bloque
(comprimidos o sin comprimir).
Mximo valor 2
14
max_bloque
+1024
max_compresin
+1024
max_cifrado
Formato de SSL Record
Content
Type
1
Mayor
version
1
Minor
version
1
Compressed
Length
2
Datos (opcionalmente comprimidos):
Aplicacin: HTTP, FTP...
Change Cipher Spec Protocol
Alert Protocol
Handshake Protocol
MAC
0, 16 o 20 bytes
C
i
f
r
a
d
o
Change Cipher Spec Protocol
Uno de los tres protocolos especficos SSL usados
por Record protocol.
Consiste en transmitir un byte con valor 1.
El efecto que produce en el receptor es copiar el
valor pendiente de CipherSpec al valor actual,
actualizando esta.
Se enva en la fase final del protocolo handshake.
1
Alert protocol
Comunica mensajes de alerta a la entidad par.
Los mensajes de alerta se componen de dos bytes:
Nivel de gravedad, puede tomar los valores:1 (Warning) 2
(Fatal).
Tipo de alerta:
unexpected_message (F):recibe mensaje incorrecto.
bad_record_mac (F): recibe MAC incorrecto.
descompression failure (F): demasiado largo, error al descomprimir...
handshake_failure (F): no hay acuerdo en la negociacin de parmetros.
illegal_parameter (F): campo handshake fuera de rango o inconsistente.
close_notify (W): el transmisor notifica que no enviar ms mensajes. Se
utiliza para cerrar la conexin en los dos sentidos (lo envan las dos partes).
no_certificate (W): no est disponible un certificado apropiado.
bad_certificate (W): certificado recibido est corrupto.
unsuported_certificate (W): tipo de certificado recibido no soportado.
certificate_revoked (W): certificado ha sido revocado por el firmante.
certificate expired (W): certificado ha expirado.
certificate_unknown (W): otros errores relativos a certificados.
Level type
Protocolo handshake
Objetivo: permite al cliente y servidor:
Autenticacin mutua.
Negociar:
Algoritmos utilizados para MAC y cifrado.
Claves criptogrficas utilizadas.
Parmetros.
Consiste en una serie de mensajes enviados entre cliente y
servidor en un dilogo de 4 fases.
Formato de los mensajes (tres campos):
Type
1 byte
: tipo de mensaje (10 tipos).
Length
3 bytes
: longitud del mensaje en bytes.
Content
1 byte
:

Parmetros asociados al mensaje.
type Length Content
Tipos de mensajes
hello_request(null)
client_hello(version,random,session id, cipher suite, commpression
method)
server_hello(version,random,session id, cipher suite, commpression
method)
certificate(chain of X.509v3 certificates)
server_key_exchange(parameters, signature)
certificate_request(type, authorities)
server_done(parameters, signature)
certificate_verify(signature)
client_key_exchange(parameters, signature)
finished(hash value)
Fases de Dilogo
Client
Establecimiento de capacidades de seguridad
Autenticacin e intercambio de clave del Servidor
Autenticacin e intercambio de clave del Cliente
Finalizacin
Server
Establecimiento de capacidades.
Client Server
Client_hello
Server_hello
Primera fase
Parmetros de client_hello
version: la mayor versin SSL soportada por el cliente.
random: genera un nmero aleatorio ( reto) para proteger de ataques
de repeticin.
Random = timestamp
4bytes
|n aleatorio
28 bytes
session ID: valor de longitud variable.
valor 0: el cliente desea actualizar los parmetros de una conexin
existente o crear una nueva conexin en la sesin.
valor = 0: el cliente desea establecer una nueva conexin sobre una
nueva sesin.
CipherSuite: lista de combinaciones de algoritmos criptogrficos
soportados por el cliente en orden decreciente de preferencia. Cada
elemento de la lista contiene:
Algoritmo de intercambio de clave.
CipherSpec: Algoritmos de cifrado, MAC y parmetros de los algoritmos.
Compression Method: lista de los mtodos de compresin que soporta
el cliente. No hay definidos mtodos en la versin 3.
Parmetros de server_hello
version: la menor de las versiones entre la sugerida por el
cliente y la mayor soportada por el servidor.
random: reto nuevo independiente del generado por el
cliente.
session ID: valor de longitud variable.
Si valor del cliente 0; tiene el mismo valor.
Si valor = 0; genera un nuevo valor para la nueva sesin.
CipherSuite: elemento seleccionado por el servidor de los
propuestos por el cliente.
Compression Method: mtodo de compresin seleccionado
por el servidor de los propuestos por el cliente.
CipherSuite: mtodos de intercambio de clave
Clente y servidor acuerdan un secreto
(pre_master_secret) a partir del cual generan un
secreto (master_secret), a partir del cual generan las
claves MAC y de cifrado, y los IVs.
Formas de intercambiar el secreto
pre_master_secret:
RSA: valor secreto cifrado con la clave pblica del receptor, utilizado
para calcular la clave. Requiere certificado del receptor.
Diffie-Hellman fijo: los parmetros pblicos de DH se envan en un
certificado (generado por CA). Requiere certificado con estos
parmetros.
Diffie-Hellman efmero: los clave pblica DH se enva firmada con
la clave privada del emisor (RSA o DSS). Permite intercambiar claves
privadas efmeras (un solo uso). Es el ms seguro de los mtodos DH.
Requiere certificado.
Diffie_Hellman annimo: se enva los parmetros DH sin
autenticar. Es vulnerable al ataque de hombre en medio.
Fortezza: esquema Fortezza.
Mtodos de intercambio de pre_master_secret
(pms)
Client Server
RSA
Certificate[KpuS]
pms Kpu
C
S[pms] pms
Client Server
DH Annimo
A, n, A
X
mod n
pms
A
Y
mod n
pms
A
XY
mod n
X
Y
Client Server
DH Efmero
Sig(A, n, A
X
mod n)
Sig(A
Y
mod n)
Cert[KpuS]
Cert[KpuC]
Client Server
DH Fijo
Cert[A, n, A
X
mod n]
Cert[A
Y
mod n]
NOTA: pms = pre_master_secret; Cert = certificado; Sig = firma digital, opc = opcional
opc[Sig[Kpu
C
S]]
CipherSuite: campos de CipherSpec
Cipher Algorithm: RC2, RC4, DES, 3DES, DES40,
IDEA, Fortezza.
MAC Algorithm: MD5, SHA-1.
Cipher Type: Stream, Block.
Is Exportable: se puede utilizar en otras sesiones
(True, False).
Hash Size: 0, 16 (MD5), 20 (SHA-1).
Key Material: secuencia de bytes que contiene
informacin usada para generar la clave.
IV Size: tamao del valor del IV usado en el
mtodo de cifrado CBC.
Autenticacin del servidor e intercambio
de clave.
Client
Server
certificate_request
Segunda fase
certificate
server_key_exchange
server_hello_done
Los tres primeros mensajes son opcionales.
Mensaje: certificate.
El servidor enva su certificado si es necesario.
Es necesario para los mtodos de intercambios de
clave excepto el DH annimo.
Parmetros: un certificado X.509v3 o una cadena de
ellos.
Si se utiliza el mtodo de intercambio de clave DH
fijo, el certificado contiene los parmetros DH.
Mensaje: server_key_exchange
Parmetros del mensaje: parmetros, firma.
No se necesita enviar este mensaje en los siguientes casos:
DH fijo: el servidor ha enviado los parmetros en el certificado.
Se va a usar intercambio de clave RSA y el servidor no tiene clave
asimtrica vlida para cifrar.
Se enva cuando se usan los mtodos de intercambio de
clave:
DH annimo:
Los dos parmetros pblicos de DH (a,n).
La clave pblica DH del servidor (a
x
mod n).
DH efmero: parmetros y clave pblicos de DH firmados.
RSA si el servidor tiene una clave de uso exclusivo para
firmar:
El servidor crea un par de claves pblica/privada temporales para cifrar.
Enva la clave pblica temporal (exponente y mdulo) firmada.
Fortezza.
Cmo se firma?
Se hace una hash de:
ClientHello.Random: reto cliente
ServerHello.Random: reto servidor.
ServerParams: parmetros DH o RSA.
Protegida contra ataque de repeticin (retos).
Se pueden utilizar las siguientes tcnicas de firma:
Firma DSS: utiliza hash

SHA-1.
Firma RSA: utiliza C
Kprivate_server
[hash
MD5
|hash
SHA-1
]
Mensaje: certificate_request
Si el servidor no usa el mtodo DH annimo, puede pedir el
certificado del cliente.
Parmetros del mensaje:
certificate_type: indica el algoritmo de clave pblica y su uso.
RSA:
Para Firma.
Para intercambio DH fijo (usado slo para autenticacin).
Para intercambio DH efmero.
DSS:
Para Firma.
Para intercambio DH fijo (usado slo para autenticacin).
Para intercambio DH efmero.
Fortezza.
certificate_authorities: lista de autoridades de certificacin aceptadas.
Mensaje: server_hello_done
Obligatorio.
No tiene parmetros.
Indica el final de la 2 fase (server hello).
Despus de enviarlo queda a la espera de respuesta
del cliente.
Client Server
certificate_verify
Tercera fase
client_key_exchange
certificate y certificate_verify opcionales.
certificate
Autenticacin del cliente e intercambio de clave
Mensaje certificate
El cliente comprueba que:
El certificado del servidor es vlido.
Los parmetros enviados por el servidor son aceptables.
Si pasa la fase anterior y el servidor pidi un
certificado genera un mensaje certificate.
Si no tienen un certificado disponible, enva el
mensaje de alerta no_certificate.
Mensaje client_key_exchange
Es el nico mensaje obligatorio de esta fase.
El contenido depende del tipo de intercambio de
clave:
RSA:genera un pre_master secret de 384 bits y lo cifra
con la clave pblica del servidor (certificado) o con la
clave RSA temporal recibida en server_key_exchange.
Este valor se utilizar para generar un master secret
compartido.
DH efmero o annimo: se envan los parmetros
(clave) pblicos DH del cliente.
DH fijo: NULL (los parmetros pblicos DH fueron
enviados en el certificado, as que en este caso no hay
parmetros en este mensaje).
Fortezza: se envan los parmetros Fortezza del cliente.
Mensaje certificate_verify
Proporciona verificacin explcita de un certificado de cliente con
capacidad de firma (no los que tienen parmetros DH fijo).
Se enva despus de un certificado de cliente.
Firma un resumen hash basado en mensajes anteriores.
Dos posibles hash:
MD5=h
MD5
[master_secret|pad_2|h
MD5
[handshake_mes|master_secret|pad_1]]
SHA=h
SHA
SHA
[handshake_mes|master_secret|pad_1]]
Donde:
pad_1 y pad_2: rellenos de MAC.
handshake_mes: todos los mensajes enviados o recibidos desde client_hello sin
incluir este.
Master_secret: un secreto calculado previamente.
Dos posibles firmas:
DSS: C
Kprivate
[SHA]
RSA: C
Kprivate
[MD5|SHA]
La finalidad del mismo es verificar que el cliente es el propietario de
la clave privada en concordancia con su certificado. Incluso en el
caso en que alguien estuviera usando fraudulentamente el
certificado del cliente sera incapaz de enviar este mensaje.
Clculo de Master Secret.
Valor secreto compartido de un slo uso de 384 bits generado para intercambio
de informacin en esta sesin.
Dos fases:
Se intercambia un pre_master_secret: (dos posibilidades)
RSA. generada por el cliente y enviada al servidor cifrada con su clave pblica:
E
KpublicServer
(pre_master_secret).
Diffie-Hellman. Cliente y servidor generan una clave pblica DH, despus de
intercambiarla ambos realizan los clculos DH para generar el pre_master_secret.
Ambas partes calculan master_secret (128*3 = 384) y borran
pre_master_secret:
master_secret=
h
MD5
(pre_master_secret|h
SHA
(A|pre_master_secret|ClientHello.random|ServerHello.random))|
h
MD5
SHA
(BB|pre_master_secret|ClientHello.random|ServerHello.random))|
h
MD5
SHA
(CCC|pre_master_secret|ClientHello.random|ServerHello.random))
ClientHello.random y ServerHello.random son los retos creados e
intercambiados en el mensaje inicial hello.
Client
Server
change_cipher_spec
Cuarta fase
change_cipher_spec
finished
finished
Finalizacin
Mensajes
El cliente enva dos mensajes al servidor.
change_cipher_spec: enva este mensaje y copia cipher_spec
pendiente en cipher_spec actual.
No pertenece a Handshake, sino a Change Chipher Spec.
finished: utiliza el nuevo algoritmo, claves y protocolos para enviar la
concatenacin de los siguientes resmenes:
h
MD5
MD5
[handshake_mes|sender|master_secret|pad_1]]
h
SHA
SHA
[handshake_mes|sender|master_secret|pad_1]]
Donde:
sender: cdigo que identifica el cliente.
handshake_mes: todos los datos de mensajes handshake previos.
Este mensaje vale para comprobar que el intercambio de clave y
proceso de autenticacin se realizaron con xito.
El servidor repite el proceso del cliente.
A partir de este momento se puede comenzar a intercambiar
informacin del nivel de aplicacin.
Generacin de parmetros criptogrficos.
Parmetros CipherSpec: client write MAC, server write MAC, client write key,
server write key, client write IV, server write IV.
(su longitud depende de los algoritmos, puede ser por ejemplo 64*6 = 384 bits)
Generados en este orden a partir del valor de master secret.
Algoritmo para la generacin de los parmetros:
key_block=
h
MD5
(master_secret|h
SHA
(A|master_secret| ServerHello.random |ClientHello.random))|
h
MD5
(master_secret|h
SHA
(BB|master_secret|ServerHello.random|ClientHello.random))|
h
MD5
(master_secret|h
SHA
(CCC|master_secret|ServerHello.random|ClientHello.random))
Si la longitud es mayor se realizan ms iteraciones.
Redundancia de algoritmos: se utiliza MD5 y SHA para asegurar que si se
rompe un algoritmo en un futuro, el conjunto siga siendo seguro.
El resultado es la funcin seudoaleatoria cuya semilla es master_secret.
Los valores aleatorios de cliente y servidor se ven como valores sal que
complican el criptoanlisis. Son distintos en otras conexiones de la misma
sesin.
Diferencias con Transport Layer Security
TLS es similar a SSLv3, slo se aprecian algunas diferencias.
Los nmeros de versin utilizados en TLS son distintos.
Los algotirmos MAC utilizados en TLS tiene pequeas diferencias.
Funcin seudoaleatoria utilizada en TLS es distinta.
TLS soporta los cdigos de alerta de SSL excepto no_certificate y
aade otros nuevos.
Cipher Suites:
TLS no soporta tcnica de intercambio de clave basada Fortezza.
TLS no soporta algoritmo de clave simtrica con Fortezza.
TLS soporta menos tipos de certificados de cliente que SSLv3.
El formato de los mensajes Certificate_Verify y Finished es
distinto en TLS.
TLS calcula el master-secret de forma distinta.
La longitud de relleno es variable (en SSL mnima).
TLS 1.1
En Abril de 2006 se ha publicado una nueva versin
del protocolo TLS (TLS 1.1) en la RFC 4346
Es muy similar a TLS 1.0
La principal diferencia es que se ha modificado el
formato para el pre-master-secret (parte del
mensaje client_key_exchange) cuando se emplea el
mtodo de intercambio RSA
El objetivo es evitar un ataque contra servidores TLS
basado en un error del formato empleado
anteriormente
1
Proyecto Fin de Carrera
Memoria y Present acin
Si l v i a Gi l Gut i r r ez
Vct or Fer nndez Par r i l l a
NDICE
{ Cmo escribir un document o t cnico
{ Libro del PFC
{ Present acin y Defensa
2
Cmo escribir un
documento tcnico
Est ruct ura
Format o
Cont enidos
Facilidad de lect ur a
Edicin y difusin elect rnicas
Estructura del Documento
{ I nt roduccin
{ Problemas
{ Tcnicas de resolucin
{ Experiment os
{ Result ados
{ Conclusiones
{ Referencias
3
Formato
{ Ser consist ent e.
z Secciones:
{ Tt ulo ms grande.
{ No acabarlas en .
{ I niciar cada palabra con maysculas
{ Numerarlas
z No dej ar prrafos ni lneas hurfanas.
z Si se usan abreviat uras, que sea siempre
z Let ra courier para soft ware
z Referenciar las ecuaciones
z Figura, Tabla, except o el plural
Contenidos
{ No repet ir palabras a menudo
{ Referenciar:
z El t rabaj o original
z Tablas, grficos
{ Definir los acrnimos la 1 vez
{ Bsqueda de subsecciones
{ Repasar nombres de las secciones
{ No hablar de algo que no se ha
explicado ant es
4
Facilidad de Lectura
{ Ut ilizar frases cort as
{ I nt ercalar act iva y pasiva
{ I ncluir grficas, dibuj os
z En lugar adecuado:
{ Cerca del t ext o referenciado
{ Dent ro de la seccin correspondient e
z Tamao legible
z Tt ulo cort o y significat ivo
Edicin y Difusin Electrnicas
{ No ligar el document o a un
programa o S. O.
{ .pdf
z Ocupa menos
z Calidad
{ Volcar el cont enido en pginas web
( comprobar format o ht ml)
5
Libro del PFC
Port ada
Resumen
Memoria
Tablas y grficos
Planos y pliego de condiciones
Presupuest o
Bibliografa
Partes obligatorias
{ Hoj a de port ada
{ Resumen
{ Abst ract
{ MEMORI A
{ Planos
{ Pliego de condiciones
{ Presupuest o
Alrededor de 150 pginas
Mant ener al margen cdigos de programas
6
Portada en la UAH
{ UNE A- 4
{ Color
PANTONE n 1
( marrn)
7
ndice y Resumen
{ ndice numerado
{ Resumen ( Abst ract )
z 100 palabras
z 5 Palabras Clave
z Evit ar:
{ Que sea una list a de cont enidos
{ Referencias
{ Jerga o acrnimos
Memoria
{ Part es Obligat orias:
z I nt roduccin
z Obj et ivos
z Est ado del art e
z Desarrollo del t rabaj o
z Conclusiones y recomendaciones
z Fut uro t rabaj o
8
Memoria. Se pueden aadir
{ Pruebas del product o
{ Cont rol de calidad
{ Hist oria del proyect o
{ Ot ros:
z Agradecimient os
z List a de cont enidos, figuras
z Bibliografa ( referencias)
z Apndices ( planificacin, pr opuest a
inicial)
Escritura de la Memoria
{ Quin va a leerlo?
{ Qu conocimient os previos se
asumen, en quien vaya a leerlo?
{ Qu deseo most rar?
{ Qu va a aport arle al dest inat ario?
{ Qu mensaj e o influencia se desea
ej ercer sobre el lect or?
{ Qu ext ensin debe t ener?
9
Escritura de la Memoria (II).
Maneras de escribir
{ Tcnica DESCENDENTE
z Dividir en capt ulos y subapart ados
z Facilit a la gest in del t iempo
z Evit a salirse del t ema
z Se escribe t odo al final
{ Tcnica EVOLUTI VA
z Escribir y despus modificar
z Durant e un periodo largo de t iempo
{ Consej o Descendent e + Evolut iva
z Debe ser UNI FORME
z Hablar en pasado de nuest ro t rabaj o,
pero en present e del de ot ros
z Frases cort as
z Est ruct urarla en capt ulos, adems de
una est ruct ura global:
{ I nt roduccin
{ Cuerpo principal
{ Final
z Revisarlo un par de das despus
Escritura de la Memoria (III).
Estilo
10
Escritura de la Memoria (IV).
Estilo (2)
{ Evit ar:
z Pronombres personales
z Frases y palabras complicadas
z Abusar de abreviat uras o j erga
z Chist es u ocurrencias personales
z Hacer referencia a marcas
z Errores ort ogrficos
Escritura de la Memoria (V).
Proceso de redaccin
{ Est ablecer fechas lmit e
{ Escribir con regularidad
{ Crearse un rit mo de t rabaj o
{ Escribir las secciones cuando est n
list as
{ Det enerse en el punt o adecuado
{ Reunir t odo el mat erial ant es de
empezar
11
Tablas y grficos
{ Aclaran informacin ant erior
{ Errores comunes:
z Ut ilizarlas porque queden
bien Deben aadir informacin
z Mala eleccin del t ipo de grfico
z Mala eleccin de la escala
{ Deben ser claras ( unidades,
abreviat uras, ej es) y siguiendo
una secuencia lgica
Planos
{ Represent acin grfica de los
element os del proyect o
{ Complet os, suficient es y concisos
{ Tipos:
z de Sit uacin
z Generales
z de Det alle
z Esquemas
z Cuadros de inst alacin ( p. e. , esquemas
de cableado) , et c.
12
Planos. Formato
{ Tamaos, plegado
y diseo
normalizados
{ No siempre son
necesarios
{ 2 decimales
{ Mismas unidades
{ Aut ocad
Planos. Escala
{ Ampliaciones 2: 1, 5: 1, 10: 1
{ Reducciones 1: 1, 1: 2, 1: 5, 1: 10
13
Ejemplo: Escala
{ Relacin ent re A y B escala 2: 1
Ejemplo: Plano de Cableado
Estructurado
Proyect o del dist rit o escolar de Washingt on
w w w . uf ps. edu. co/ ci sco/ docs/ w ashi ngt on/ i ndex . ht m
14
Ejemplo: Esquema
Pliego de Condiciones
{ Cont ienen condiciones:
z Generales
z de Mat eriales y Equipos
z de Ej ecucin
z Econmicas
{ Carct er cont ract ual
{ Para int erpret ar los planos
{ Compromiso ent re calidad y beneficios
{ Proyect os soft ware:
z Requisit os de usuario y sist ema
z Manual de usuario e inst alacin
15
Presupuesto
{ Cuant ifica el esfuerzo realizado
{ Durant e el proyect o:
z I dent ificar t areas significat ivas
z Cont rolar el t iempo dedicado a ellas
{ Se agrupan al final ( das- hombre)
20 das por mes
8h diarias de t rabaj o
Dedicacin al 100%
Esf uer zo
Administ rat ivo
I ngeniero t cnico
Junior
Senior
Cual i f i caci n pr of esi onal
Bibliografa, Referencias y Citas
{ Mat eriales de consult a:
z Libros, pginas web, cat logos
{ Por cada uno:
z Aut or/ es
z Tt ulo del art culo, libro, monografa
z Edit orial o nombre de la revist a y edit orial
z Nmero de la revist a, volumen y pginas
consult adas
z Ao de publicacin
{ Debe quedar claro qu mat erial es y
dnde encont rarlo
16
Ejemplos
{ Benj amin, T. ( 1956) Comput er Science Made Easy,
Arnold, Leeds.
{ Brown, A. and Wesley, C. W. ( 1995a) An
invest igat ion of t he Hawt horne effect ,
Management Sciences Journal, 42( 1) , 47- 66.
{ Gaynor, L. ( 1993) I nt roduct ion t o art ificial
int elligence, disponible en I nt ernet
( ht t p: / / www. cai. com/ ai/ 1086) ( 25 j ulio 1999) .
{ I AEA ( 1983) Guidebook on Comput er Techniques
in Nuclear Plant s, Technical Report Series No. 27,
I nt ernat ional At omic Energy Agency, Rusia.
Presentacin y Defensa
Present acin
Defensa
Tramit acin y solicit ud de la defensa del
PFC en la UAH
17
Presentacin
{ Problema I nicial
z Tribunal no mot ivado
z Tiempo
{ Preparar la exposicin con cuidado
y dedicacin
{ Tener t odo preparado
Presentacin
{ Aspect os a cuidar
z Preparacin
z Cont enido
z Apoyos visuales y didct icos
z Present acin
z Turno de pregunt as
18
Presentacin
{ Preparacin
z Tipo de audiencia
z Obj et ivos
z Tiempo del que se dispone
{ Cent rarnos en lo import ant e
{ Adapt ar cont enidos y mat eriales de apoyo
z Pract icar ant es
Presentacin
{ Cont enido
z Transparencias o Power Point
z Nmero reducido
z Est ruct ura
{ Tt ulo y aut or
{ Ncleo del proyect o Unos 3 punt os
{ Plan de pruebas
{ Valoracin
{ Tareas y cuant ificacin das- hombre
{ Conclusiones
19
Presentacin
{ Apoyos visuales y didct icos
z Se recuerda ms lo que se ve
z No usar parrafadas ( palabras clave)
z Desarrollo verbal del int erlocut or
z Tamao adecuado de let ra
z Colores que permit an lect ur a sin
esfuerzo
z Est ilo homogneo
z Pasar obj et os
Presentacin
{ Present acin
z Ensayar y familiarizarnos con el
mat erial
z Tener un ndice en la cabeza
z Comunicar con el cuerpo
{ Voz
{ Movimient os
{ I magen
{ La mirada
{ Vest iment a
20
Presentacin
{ Voz
z Lenguaj e fluido
z Cuidar los espacios ent re frases
z Evit ar mulet illas y ruidos
z Jugar con el t ono
z Cuidar la respiracin
{ Movimient os
z Acordes con la charla
z Evit ar manosear obj et os
Presentacin
{ I magen
z Comport amient o nat ural
z La post ura es det erminant e
z Taparse la boca I ndica desacuerdo
z Tocarse la nariz I nseguridad
z Moverse demasiado
z Quedarse est t ico
z Dar la espalda
z Apoyarse en la pared
z Sent arse en la mesa
21
Presentacin
{ Mirada
z Mirar a los oj os
z Mirada ascendent e denot a seguridad
{ Vest iment a
z En sint ona con la sit uacin
z Tener en cuent a el lugar, clima, poca del
ao, solemnidad
z Traj e? No es necesario pero se puede usar
t eniendo cuidado con el est ilo
{ Mat erial de apoyo
z Not as
z Punt ero lser
Presentacin
{ Turno de pregunt as
z Serenidad y confianza
z Repaso general del proyect o
z Tener cerca t odo el t rabaj o clasificado
z Consej os
{ Proponer pregunt as
{ Preparacin
{ Respuest as breves
{ Considerar diferencias de opinin
{ Tener claro qu se pregunt a
{ Dirigirnos a t oda la audiencia
22
Defensa
{ Puede no bast ar slo con present ar
{ Examen de nuest ro t rabaj o
{ Se comprueba que es nuest ro
{ Poder hacer referencia a cualquier
part e de nuest ro proyect o
{ Duracin dependient e de cada
universidad
Defensa
{ Consideraciones
z Conocer punt os dbiles del proyect o
z Recordar dat os o sucesos suscept ibles
de ser pregunt ados
z Hablar del fut uro del proyect o
z Saber enmarcarlo en el cont ext o act ual
z Cuidado con las pregunt as generales!
Hblame de t u proyect o
23
Defensa
z Defender el proyect o posit ivament e y
nunca crit icar el t rabaj o de ot ros
z Tener claras pregunt as t picas
Qu t rabaj os de invest igacin relacionados con el
proyect o se han est udiado?
Qu part e del proyect o se ha considerado la ms
difcil de desarrollar?
Qu part e es la ms int eresant e?
Cul se cree que es la principal cont ribucin del
proyect o?
Defensa
z Y sobre t odo:
SER RESPETUOSO CON EL TRI BUNAL
24
Tramitacin y solicitud de la defensa
del PFC en la UAH
{ Requisit os
z Mat ricularse del proyect o
z 3 meses desde la acept acin del
ant eproyect o por el Depart ament o
z Ent regar en la secr et ara del
Depart ament o:
{ Resguardo de mat rcula
{ Cert ificado del vist o bueno del t ut or
{ 3 t omos encuadernados
del PFC en la UAH
z Una vez solicit ada la defensa- > envo de
los 3 t omos a miembros del t ribunal
z Desde la solicit ud hast a la defensa
mnimo 5 das lect ivos
z A part ir de est e moment o se puede
examinar en cualquier moment o del
curso
z Fecha y hora acordados ent re t ribunal y
alumno
25
del PFC en la UAH
z Tras el examen
{ Tribunal firma el act a y la primera hoj a de
cada ej emplar
{ Fecha y calificacin
{ Las 3 memorias y el act a se ent regan en
secret ara del Depart ament o
z Un ej emplar al alumno
z Un ej emplar en secret ara del Depart ament o
z Un ej emplar y el act a en la Secret ara de
Alumnos para gest ionar el t t ulo
1
Redes Privadas Virtuales
(VPN)
Tema 8. Redes Privadas Virtuales
Introduccin
Situado por debajo de TCP/UDP.
Ofrece servicios de seguridad transparente al usuario e
independiente de la aplicacin.
Implementado en router o Firewall ofrece seguridad en el
acceso a la red que delimita dicho dispositivo.
Puede ofrecer seguridad para un flujo concreto de un
determinado usuario.
Introduccin
Una Red Privada Virual (VPN - Virtual Private
Network) es una red IP privada y segura que pasa a
travs de otra red IP pblica y no segura
(normalmente Internet).
Antes de la irrupcin de las VPNs las empresas
contrataban caros circuitos dedicados entre sus
sedes.
Al ser los circuitos dedicados se garantizaba la privacidad
y la seguridad.
Con el crecimiento de Internet (en cuanto a BW y
QoS) se plante realizar esas comunicaciones
empleando dicha red.
Redes Privadas Virtuales
Si creamos una red privada sobre Internet:
Nuestro trfico emplear los mismos recursos que el resto
de los usuarios as que no ser una red privada en el
sentido de enlaces dedicados.
Se consigue el efecto de red privada mediante el
encapsulamiento y el cifrado.
Por ello, se dice que son redes privadas pero VIRTUALES.
Caractersticas de las VPN
Una red privada virtual debe proporcionar:
Confidencialidad
Autenticidad
Integridad
Para proporcionar las caractersticas anteriores los
paquetes se encapsulan y se cifran y autentican
(firma digital, MAC).
Tipos de VPNS
VPN Seguras:
Emplean protocolos para la creacin de tneles
criptogrficos para proporcionar confidencialidad,
autenticacin e integridad de mensajes
Implementacin compleja que lleva a que algunas de las
tecnologas de VPN sean inseguras.
Tecnologas:
IPSec
PPTP (Microsoft)
L2TP (Microsoft y CISCO)
L2TPv3
Tipos de VPNs
VPNs de confianza:
No emplean protocolos criptogrficos
Confan en la capacidad que tiene la red un proveedor
para protoger nuestro trfico.
Protocolos:
MPLS
L2F (Layer 2 Forwarding) desarrollado por Cisco.
Tipos de VPN
En funcin de las arquitecturas de conexin
podemos distinguir:
Acceso remoto:
Punto a punto
Interna
VPN de acceso remoto
Es, quiz, el modelo ms usado actualmente
Usuarios o proveedores que se conectan con la
empresa desde sitios remotos (domicilios, hotel,
aviones, etc.) utilizando Internet como vnculo de
acceso
Se autentican y consiguen un nivel de acceso similar
al que tienen en la red local de la empresa.
Permite reemplazar la infraestructura de acceso por
marcado (mdem y lneas telefnicas)
Ejemplo: Acceso remoto seguro a la Universidad de
Cantabria:
http://www.unican.es/WebUC/Unidades/SdeI/servicios/so
porte/guias/acceso_remoto/acceso_vpn.htm
Ejemplo: VPN Acceso Remoto
VPN punto a punto
Sirve para conectar oficinas remotas con la sede de
la organizacin
El servidor VPN (en la sede principal) acepta las
conexiones va Internet provenientes de los sitios y
establece el tnel VPN
Los servidores de las sucursales se conectan a
Internet utilizando los servicios de su ISP
Permite eliminar el coste de los enlaces punto a
punto tradicionales
A los clientes a veces se les denomina Road
Warriors
VPN interna
El menos difundido de los tres.
Es una variante del tipo acceso remoto pero en vez
de utilizar Internet como medio de conexin emplea
la propia LAN
Permite aislar zonas y servicios de la red interna
Es muy empleado para mejorar las prestaciones de
seguridad de las redes WiFi
Wifi en la UCLM: http://alumnos.uclm.es/wifi/config.htm
Ejemplo VPN interna
Protocolo PPTP
Definido en el RFC 2637 pero no reconocido como
estndar por el IETF
Es una extensin de PPP.
Encapsula paquetes PPP en datagramas IP para su
transmisin bajo redes basadas en TCP/IP
Suele involucrar tres actores:
Un cliente PPTP
Un servidor de acceso de red (NAS)
Un servidor PPTP
Funcionamiento PPTP
Un cliente quiere acceder a una red privada
El cliente se conecta va PPP a su ISP.
Empleando esta conexin encapsula paquetes PPP
en datagramas IP y los enva al servidor PPTP que
da acceso a la red privada de la compaa.
sta ltima es la fase de tnel
Gracias al tnel podemos acceder desde fuera a la
red privada puesto que el cliente PPTP enruta esos
paquetes hacia el tnel y el servidor PPTP lo enruta
hacia su destinatario final
Funcionamiento PPTP(II)
El servidor PPTP procesa el paquete PPTP para
obtener la direccin del destino que est
encapsulada en el paquete PPP
El paquete PP puede contener datos TCP/IP
El protocolo PPTP encapsula el paquete PPP
comprimido y cifrado en datagramas IP para la
transmisin por Internet
Son descifrados antes de entregarlo a la red destino
Seguridad PPTP
La autenticacin inicial puede ser la requerida por un ISP de
acceso a la red.
Adems los clientes tendrn que autenticarse ante el servidor
PPTP
Para ello emplean los mtodos de autentificacin PPP de
Microsoft: MS-CHAP y MS-CHAPv2
El cifrado emplea un mecanismo de derivacin de claves a
partir de secretos compartidos
Con esta clave ciframos todos los datos intercambiados entre
el servidor PPTP y el cliente
El protocolo para cifrar los paquetes se llama MPPE y emplea
el algoritmo RC4 de hasta 128 bits de clave.
Seguridad PPTP
La seguridad de PPTP ha sido completamente rota
Se recomienda retirar o actualizar a otra tecnologa
de VPN
Podemos encontrar un anlisis de los problemas de
seguridad en:
http://www.schneier.com/pptp.html
L2TP
Protocolo desarrollado por el IETF combinando PPTP
y L2F (protocolo de tneles a nivel 2 desarrollado
por Cisco) (RFC 2661)
Permite crear tneles de nivel 2 sobre UDP
Podemos encapsular PPP ethernet
Los clientes pueden recibir fcilmente una IP interna
No proporciona carctersticas de seguridad por lo
que se suele utilizar para crear VPNs sobre tneles
IPSec (L2TP/IPSec 3193)
Se establece una asociacin de seguridad con ESP en
modo transporte
Se tuneliza el trfico empleando L2TP
Tneles basados en SSL
Aunque se emplea SSL para crear tneles no existe
un estndar especfico sino que hay distintas
implementaciones que funcionan bastante bien
Muy sencilla de configurar e implantar:
Evitamos problemas con cortafuegos
Una de las implementaciones ms extendidas es
OpenVPN
Para windows, Linux y Mac Os
OpenVPN
Permite establecer tneles de nivel 2 o 3 sobre UDP
(recomendado) o TCP
Permite realizar balanceo de carga entre servidores
Confidencialidad, autenticidad e integridad usando
SSL (en concreto, la implementacin OpenSSL)
Emplea interfaces tun o tap
Son conexiones punto a punto para el SO
Un programa puede abrir la interfaz tun y leer y escribir
paquetes IP en la interfaz
La interfaz tap es similar pero a nivel Ethernet.
Introduccin
Componentes de la arquitectura general:
IPSEC (RFC 2401): Arquitectura.
AH (RFC 2402): Authentication Header.
ESP (RFC2406): Encapsulating Security Payload.
IKE (RFC2409): Negociacin de parmetros y claves.
ISAKMP (RFC2408): gestiona la negociacin de conexiones y define sus
propiedades mediante asociaciones de seguridad (SA).
IPSEC DOI for ISAKMP (RFC2407): especfiica detalles de implementacin para
aplicar ISAKMP.
IKE (RFC2409): protocolo de intercambio de clave basado en Diffie-Hellman.
Servicios:
Control de acceso.
Integridad no orientada a conexin.
Autenticacin de origen.
Proteccin contra repeticin de paquetes.
Confidencialidad.
Confidencialidad de flujo de trfico (limitada).
Componentes de la documentacin
Arquitectura
Protocolo AH Protocolo ESP
Key Management
DOI
Algoritmos
de
cifrado
Algoritmos
de
autenticacin
Asociacin
A c r o b a t D o c u m e n t
Asociacin de seguridad (SA): relacin de seguridad entre un emisor y
receptor que aporta servicios de seguridad en el trfico.
Un SA para cada sentido de la comunicacin.
SA puede soportar AH o ESP.
AH: Control de acceso, integridad no orientada a conexin, autenticacin, anti-
repeticin. Algunos autores (Scheneier) discuten la utilidad de este protocolo y de
hecho la implementacin de IPSec en Linux no lo soporta.
ESP:
Slo cifrado: control de acceso, anti-repeticin, confidencialidad, confidencialidad de
flujo de trfico. No recomendado por seguridad.
Con autenticacin: aade integridad y autenticacin.
Parmetros que identifican una SA de forma nica:
Security parameter Index (SPI): secuencia de bits con significado local que va
en la cabecera ESP o AH y permite seleccionar al SA en el receptor.
Direccin IP destino: unicast, sistema final (host, router. firewall) o red.
Security Protocol Identifier: indica si la asociacin es AH o ESP.
SPI IPdest Protocol Identifier
Parmetros asociados a los SAs
Contenido de la base de datos de SAs (SPD) de cada
implementacin IPsec.
Nmero de secuencia (32 bits)
Indicador de rebose del contador de nmero de secuencia.
Ventana anti-repeticin: para saber si un paquete que llega es
repetido.
Informacin AH: algoritmo de autenticacin, clave, tiempo de
vida.
Informacin ESP: algoritmos de cifrado y autenticacin, claves,
valores de inicializacin, tiempo de vida de las claves..
Tiempo de vida asignado al SA en segundos o bytes transmitidos.
Modo del protocolo IPSec: tnel, transporte
MTU del camino.
Security Policy Database SPD
Define la polticas de seguridad del trfico saliente.
Tabla con varias filas; cada una contiene:
Selector: direcciones IP y valores de protocolos de niveles superiores.
SA
Comportamiento ante la llegada de un paquete (saliente):
Se comprueba si cumple selectores de las filas y los SA a los que hace
referencia.
Determina el SA y su SPI (Security Parameters Index) asociado.
Realiza el proceso requerido (AH, ESP...).
Campos que puede llevar el selector
Dir IP de destino o rango
Dir IP de fuente o rango
UserID del sistema operativo en el que est corriendo IPSec
(disponible si el usuario se encuentra en el sistema con
IPsec)
Nivel de sensibilidad del dato (secret, unclassified)
Protocolo de transporte
Protocolo IPSec: AH o ESP o AH/ESP
Puertos (TCP/UDP) fuente y destino
IPv6 Class
IPv6 etiqueta de flujo
IPv4 TOS
Modos de uso
Modo Transporte:
Provee proteccin de los niveles superiores (payload de
IP).
Se utiliza en comunicaciones extremo a extremo entre
hosts.
ESP cifra y opcionalmente autentica el campo de datos de
IP.
AH autentica campo de datos de IP y parte de la
cabecera.
Modos de uso
Modo Tnel:
Provee proteccin del paquete IP completo.
Se trata criptogrficamente un paquete entero con cabecera IP y de
seguridad.
Se aade un cabecera IP exterior.
Los routers no tienen acceso a la cabecera interior.
La cabecera exterior puede tener direcciones fuente y destino
diferentes a la interior (encapsulada).
Se utiliza entre extremos SA que son routers o firewalls con IPSec.
Los hosts detrs del firewall pueden implementar comunicaciones
seguras sin tener IPSec (su firewall implementa el tnel seguro con el
firewall de la red de destino).
ESP cifra y opcionalmente autentica el paquete IP interno.
AH autentica el paquete IP interno y parte de la cabecera IP externa.
Authentication Data
variable
AH - Cabecera de autenticacin
Tiene los siguientes campos:
Next header (8 bits): identifica tipo de cabecera que sigue.
Payload Length (8 bits): Long de AH menos 2, en palabras de 32
bits.
Reservado (16 bits): para usos futuros.
Security Parameter Index SPI (32 bits): identifica una SA.
Sequence Number (32 bits): valor de un contador
monotnicamente creciente.
Datos de Autenticacin: un campo con longitud variable mltiplo
de 32 bits (96 bits por defecto) que contiene el valor de chequeo de
integridad ICV.
NH
8
PL
8
Reservado
16
SPI
32
SN
32
AH - Proteccin contra rplica de
mensajes
Se utiliza un contador de 32 bits que se incrementa antes de
enviar un mensaje y pone su valor en Sequence Number.
Si alcanza el valor final 2
32
, hay que negociar un nuevo SA y
clave.
IP no garantiza llegada en orden ni ausencia de prdidas.
El procedimiento usado por AH es:
El receptor implementa una ventana deslizante W=64 (por defecto),
tamao fijo.
Se comprueba la autenticacin de todos los paquetes recibidos.
Paquetes a la izquierda de la ventana se descartan, evento auditable.
Paquetes dentro de ventana o a la derecha se aceptan y se marca
como recibido el bit correspondiente.
Avance de la ventana: paquetes a la derecha hacen deslizar el
borde derecho de la ventana hasta ese nmero.
AH - Integrity Check Value ICV
Es un MAC.
Se utiliza el algoritmo HMAC con MD5 o SHA.
HMAC-MD5-96
HMAC-SHA-1-96
Del valor resultante se cogen los primeros 96 bits (long por
defecto del campo de autenticacin).
El MAC se calcula sobre:
Cabecera IP con los campos que no cambian de valor en el
recorrido o cuyo valor de llegada es predecible (dir Ip destino), el
resto de campos se pone a cero (TTL, Checksum o etiqueta de flujo
en IPv6).
Cabecera AH con el campo de autenticacin puesto a cero.
El resto de cabeceras de alto nivel y datos.
AH - Ejemplos de implementacin
Ejemplo con protocolo TCP
Modo transporte. Orden de las cabeceras.
IPv4: IP+AH+TCP+datos
IPv6: IP+ext1+AH+ext2+TCP+datos
ext1: salto-a-salto, destino, routing, fragment
ext2: destino (esta extensin puede ir despus de AH)
Modo tnel. Orden de las cabeceras.
IPv4: IP
nueva
+AH+IP
original
+TCP+datos
IPv6:IP
nuevo
+ext+AH+IP
original
+ext+TCP+datos
ESP- Encapsulating Security Payload
Formato.
Security Parameters Index SPI (32 bits): identifica SA.
Sequence number (32 bits): para funcin anti-repeticin.
Payload data: datos protegidos nivel de transporte o IP ( modo
tnel).
Padding (0-255 bytes): requerido por varios motivos:
Requisitos del algoritmo de cifrado sobre longitud de datos.
ESP requiere alineacin a 32 bits de los campos: datos, pad length y next
header.
Puede ser requerido para aportar confidencialidad de flujo de trfico
(basura de relleno).
Pad length (8 bits): longitud del campo relleno.
Next Header (8 bits): tipo de cabecera a continuacin.
Authentication data (variable): nmero de palabras de 32 bits que
contiene ICV calculado sobre el paquete ESP menos el campo de
autenticacin de datos (este mismo).
ESP - Algoritmos
Cifra los campos en el rango [Payload Data-Next Header].
Utiliza DES en modo CBC (cipher block chaining)
Otros algoritmos soportados.
Triple DES con tres claves.
RC5.
Triple IDEA con tres claves.
CAST
Blowfish.
Autentica campos en el rango [SPI - Next Header].
Utiliza el algoritmo HMAC con MD5 o SHA.
HMAC-MD5-96
HMAC-SHA-1-96
New IP hdr ext ESP hdrc
New IP hdr
ESP - Ejemplos de implementacin
Modo transporte: entre hosts finales.
Modo tnel: estableciendo una red privada virtual con
tneles entre redes corporativas.
orig IP hdr ESP hdr TCP Data ESP trlr ESP auth
IPv4
cifrado
autenticado
orig IP hdr
IPv6
cifrado
autenticado
ext ESP hdrc Dest TCP Data ESP trlr ESP auth
ESP hdr
IPv4
cifrado
autenticado
orig IP hdr
IPv6
cifrado
autenticado
ext TCP Data ESP trlr ESP auth
orig IP hdr TCP Data ESP trlr ESP auth
ESP - Ejemplos de implementacin
red interna red externa
sesin TCP cifrada
Modo transporte
Modo tnel: Red Privada Virtual
Internet
red corporativa
red corporativa
red corporativa
red corporativa
tnel transportando trfico IP cifrado
Gestin de claves
Distribucin de claves secretas.
Normalmente son necesarias 4 claves para comunicacin
entre dos aplicaciones: transmite y recibe en modos ESP y
AH.
Tipos de gestin:
Manual: ambientes pequeos y estticos.
Automtica: generacin de claves bajo demanda y distribucin.
Protocolo de gestin automtica de claves: ISAKMP/IKE:
IKE: protocolo de intercambio de clave.
ISAKMP: Internet Security Association and Key Management
Protocol. Proporciona un entorno para gestin de clave Internet,
define el formato de mensajes para intercambio de clave, pero no
define el algoritmo de intercambio de claves aunque s dice los
requisitos que debe cumplir. IKE es un algoritmo de intercambio de
clave que satisface dichos requisitos.
ISAKMP
Define procedimientos y formatos de paquete para
operar sobre SA (operaciones para establecer,
negociar, modificar o borrar SAs).
Debe soportar el uso de UDP como protocolo de
transporte.
La PDU puede estar formada por:
Una cabecera.
Uno o ms campos de datos (payload). Hay 12 tipos de
campos:
Todos los campos tienen una cabecera genrica de 32 bits:
Next payload (8): 0 (ltima); otro valor (tipo de siguiente).
Reserved (8): reservado.
Payload Length (16): en octetos, incluye la cabecera.
Cabecera ISAKMP
Initiator Cookie (64): cookie de la entidad que inicia
establecimiento, borrado o modificacin de SA.
Responder Cookie (64): cookie de entidad que responde.
Nulo en el primer mensaje.
Next payload(8): tipo del primer campo de datos.
Major version (4): mayor versin de ISAKMP en uso.
Minor version (4): menor versin de ISAKMP en uso.
Exchange type (8): tipo de intercambio.
Flags (8): hay definidos dos bits.
Encryption: si todo el campo de datos es cifrado.
Commit: asegura que no se enva cosas cifradas antes de completar
el establecimiento.
Authetication: informacin con integridad pero no cifrado.
Message ID (32): identificador nico para este mensaje.
Length(32): longitud del mensaje completo en octetos.
ISAKMP: tipos de payload
SA: negocia atributos de seguridad, indica DOI y ambiente.
Proposal: fase de negociacin, protocolo y n de transformaciones.
Transform: fase de negociacin, transformacin y atributos usados.
Key Exchange: soporta varias de tcnicas de intercambio de clave.
Identification: intercambio de informacin de identificacin.
Certificate: transporte de certificados y otra informacin relativa.
Certificate Request: pide certificado, tipo de certificado y CA aceptadas.
Hash: contenedor de datos generados por una funcin hash.
Signature: contenedor de datos generados por una funcin de firma.
Nonce: contenedor de un reto (n aleatorio de un slo uso).
Notification: datos de notificacin como:
errores (hay una lista definida).
notificaciones especficas DOI (mensajes de estado).
Delete: indica que un SA ya no es vlida.
ISAKMP: tipos de intercambios
Intercambio Base: intercambio de autenticacin con
intercambio de clave. Minimiza mensajes (4) pero no provee
proteccin de identidad.
Intercambio de proteccin de identificacin: expande
el anterior (6 mensajes) aportando proteccin de identidad.
Intercambio de slo autorizacin: intercambio de
autenticacin mutua sin intercambio de clave. Tres mensajes.
Intercambio agresivo: minimiza n de mensajes, no
provee proteccin de identidad.
Intercambio de informacin: usado para transmitir
informacin en un sentido.
IKE
Como hemos dicho ISAKMP estableca los requisitos que deba cumplir un
protocolo de intercambio de claves en IPSec y defina el formato de
paquetes que deba utilizar pero no especificaba ninguno en concreto.
IKE es un protocolo de intercambio de claves que cumple los requisitos
establecidos por ISAKMP.
IKE funciona en dos fases.
En la primera los dos interlocutores IKE establecen un canal seguro (que
se llama ISAKMP SA) por donde realizarn el resto de la negociacin.
En la segunda fase negocian y establecen el SA para la conexin,
utilizando el ISAKMP SA.
Un interlocutor IKE es cualquier ordenador con IPSec instalado, capaz de
establecer canales IKE y negociar SAs. Puede ser cualquier ordenador de
sobremesa, porttil, etc.., o puede ser un nodo especial de acceso IPSec,
que se llaman Security Gateways o IPSec Gateways.
IKE: Modos de funcionamiento
El IKE proporciona dos modos (en realidad tres) para
intercambiar informacin de claves y establecer SAs:
Main Mode: para realizar una primera fase donde se establecer una
asociacin de seguridad BIDIRECCIONAL denominada ISAKMP SA
mediante la cual llevar a cabo el resto de la negociacin.
Quick Mode: para, utilizando la ISAKMP SA negociada en la primera
fase, negociar una SA de propsito general que ser utilizada durante
la conexin.
El tercer modo llamado Agressive Mode sirve para realizar tambin el
establecimiento de una ISAKMP SA pero utilizando menos mensajes
(slo 3 frente a los 5 de Main Mode)
El proceso general de una conexin IPSec es el siguiente:
Se arranca una conexin ISAKMP SA usando el Main Mode (o el
Agressive Mode)
Se utiliza el Quick Mode para negociar una SA utilizando el IKESA
establecido
Se utilizan los mtodos, algoritmos y claves establecidos en el SA para
la transmisin de datos entre los dos puntos, hasta que el SA expira.
Main mode. Inicio de una conexin
En 1 y 2
intercambian
(acuerdan) un SA
para la conexin.
En 3 y 4
intercambian los
datos para la
generacin de una
clave secreta
compartida por el
mtodo de Diffie
Hellman.
En 5 y 6 verifican
sus identidades
mediante
certificados
firmados por CAs
reconocidas
(Autentican el
intercambio de
DiffieHellmann
anterior)
Quick mode.
Es menos estricto que Main mode, ya que todos los datos viajan encriptados por el tnel del Main Mode.
Cada paquete viene precedido de un hash firmado del resto del contenido, para asegurar la integridad.
El iniciador propone un SA y el interlocutor lo acepta o propone otro ms genrico. Tambin se puede
negociar opcionalmente una nueva clave utilizando Diffie-Hellmann (key).
El iniciador enva una semilla (nonce) para el intercambio, el interlocutor le enva a su vez la suya y le
devuelve la primera hasheada y firmada en el hash de cabecera como prueba de aceptacin.
El iniciador devuelve un hash firmado de las dos semillas y finaliza el intercambio.
A continuacin los dos calculan el SPI aplicando un hash a la concatenacin de las dos semillas, y la
clave de intercambio aplicando el hash al SPI seguido de los parmetros de la SA acordada.
Configuracin de un modo tnel entre dos
redes (Kernel 2.6)
#!setkey -f
# Flush the SAD and SPD flush;
spdflush;
# ESP SAs doing encryption using 192 bit long keys (168 + 24 parity)
# and authentication using 128 bit long keys
add 192.168.1.100 192.168.2.100 esp 0x201 -m tunnel -E 3des-cbc
0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831 -A hmac-md5
0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.2.100 192.168.1.100 esp 0x301 -m tunnel -E 3des-cbc \
0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df \ -A hmac-md5
0x96358c90783bbfa3d7b196ceabe0536b;
# Security policies
spdadd 172.16.1.0/24 172.16.2.0/24 any -P out ipsec esp/tunnel/192.168.1.100-
192.168.2.100/require;
spdadd 172.16.2.0/24 172.16.1.0/24 any -P in ipsec esp/tunnel/192.168.2.100-
192.168.1.100/require;
Bibliografa
S.Kent, R.Atkinson. Security Architecture for the
Internet Protocol. RFC 2401
S.Kent, R.Atkinson. IP Authentication Header. RFC
2402
S.Kent, R.Atkinson. IP Encapsulating Security
Payload (ESP). RFC 2406
D. Maughan, M. Schertler, M. Schneider, J. Turner
Internet Security Association and Key Management
Protocol (ISAKMP) . RFC 2408
D. Harkins, D. Carrel. The Internet Key Exchange
(IKE). RFC 2409
Seguridad de sistemas: Introduccin
Tema 10. Introduccin a la Seguridad de
Sistemas
Introduccin
No exista una preocupacin real por la seguridad de las
redes hasta finales de 1988
Crecimiento de Internet con la incorporacin de nuevas redes a la
misma.
Aumento del nmero de incidentes debido a distintos factores.
El 22 de Noviembre de 1988 se produce el primer incidente
de seguridad a gran escala:
Robert T. Morris crea el primer gusano (worm) de Internet
Miles de mquinas infectadas, prdidas de millones de dlares
http://snowplow.org/tom/worm/worm.html
A partir de ese punto comienza a tenerse en cuenta con la
creacin por parte del DARPA del primer CERT:
Computer Emergency Response Team
Sistemas
Evolucin
En la dcada de los aos 90 proliferan los ataques a
sistemas informticos, aparecen los virus y se toma
conciencia del peligro que nos acecha como usuarios
de PCs y equipos conectados a Internet.
Las amenazas se generalizan a finales de los 90.
Gusanos de propagacin masiva
Equipos de usuarios normales de Internet comprometidos
A partir del 2000 los acontecimientos fuerzan a que
se tome en serio la seguridad informtica.
Uso masivo de Internet
Los usuarios comienzan a familiarizarse con la
problemtica de la seguridad
Sistemas
Evolucin
Evolucin en volumen, carcter e importancia de las
intrusiones:
Sistemas
Evolucin (II)
Sistemas
Sistemas seguros
La seguridad es un proceso
Nivel de seguridad aceptable
Es imposible conseguir plena seguridad ante
cualquier atacante
Conseguir romper la seguridad de un sistema de
forma no autorizada no denota ni inteligencia ni
excesivos conocimientos
Basta con conocer los fallos (bugs) de ese sistema y
aprovecharlos utilizando las herramientas adecuadas
(exploits)
Seguridad informtica es construir sistemas fiables y
baratos o desarrollar herramientas para ellos.
Sistemas
Seguridad fsica y seguridad lgica
La Seguridad Fsica: puede asociarse a la proteccin del
sistema ante las amenazas fsicas, incendios,
inundaciones, edificios, cables, control de accesos de
personas, etc.
La Seguridad Lgica: proteccin de la informacin en
su propio medio, mediante el enmascaramiento de la
misma usando tcnicas de criptografa.
La gestin de la seguridad est en medio de la dos: los
planes de contingencia, polticas de seguridad,
normativas, etc
Sistemas
Sistemas seguros (II)
Entendemos como seguridad a una caracterstica que indique
que un sistema est libre de peligro, dao o riesgo.
Es muy difcil de conseguir en el caso de sistemas
informticos
En estos sistemas se habla de fiabilidad: probabilidad de que
un sistema se comporte como se espera de l:
Tres aspectos importantes:
Confidencialidad
Integridad
Disponibilidad
Los elementos susceptibles de ser atacados son:
Hardware
Software
Datos
Sistemas
Amenazas de un sistema
Personas:
Segn la actitud del atacante:
Atacantes activos
Atacantes pasivos
Segn la situacin del atacante:
Personal
Ex-Empleados
Curiosos
Crackers
Terroristas
Intrusos Remunerados
Sistemas
Amenazas (II)
Amenazas lgicas:
Software incorrecto
Herramientas de seguridad
Puertas traseras
Bombas lgicas
Canales cubiertos
Virus
Gusanos
Caballos de troya
Programas conejo o bacterias
Tcnicas salami
Cross-Site Scripting (XSS)
Ataques de denegacin de servicio
Catstrofes:
Poco probables
Previsibles
Sistemas
Ataques en la Internet Actual
Tomado de la encuesta sobre delito electrnico
(http://www.cert.org/archive/pdf/ecrimesurvey05.pd
f):
Virus: 86 %
Spyware: 61 %
Phishing: 57 %
Spam no autorizado: 48 %
Accesos no autorizados: 43 %
DoS: 32 %
Captura de informacin secreta: 19 %
Fraude 19 %
Falseamiento de identidad (varios): en torno a 35 %
Sistemas
Ataques en la Internet actual
Las veinte vulnerabilidades ms tipicas:
http://www.sans.org/top20
Consultar informacin en sitios como:
CERT
Bugtraq
Listas de seguridad como securityfocus
Sistemas
Mecanismos de seguridad
Mecanismos de prevencin
Mecanismos de deteccin
Mecanismos de recuperacin
Poltica de copias de seguridad
Mecanismos de anlisis forense
Mecanismos de respuesta a incidentes.
Sistemas
Mecanismos de prevencin
Mecanismos de autenticacin e identificacin
Mecanismos de control de acceso
Complementarios a los mtodos tradicionales
Smartcards, tokens, autenticacin biomtrica
Mecanismos de separacin
Mecanismos de seguridad en las comunicaciones
El mecanismo de prevencin ms importante debe
ser la concienciacin de usuarios y administradores
en las ventajas de estos mecanismos.
Sistemas
Polticas de seguridad
Una poltica es un documento de alto nivel en el cual
se planifica las cuestiones relativas a la seguridad
que afectan a una organizacin
Constituye una marco en el cual puedan ser
tomadas decisiones especficas como mecanismos
de defensa a emplear, cmo configurar servicios y
procedimientos para usuarios y administradores.
Es un documento de validez a largo plazo por lo que
su contenido debera evitar aspectos relativos a una
tecnologa concreta
Sistemas
Polticas de Seguridad: aspectos
Descripcin de alto nivel del entorno tcnico del sitio, el
entorno legal, la autoridad de la poltica y la filosofa bsica
que debe ser usada para interpretarla.
Anlisis de riesgos que identifique los activos de la compaa,
las amenazas existentes contra esos activos y el coste de su
prdida
Guas para los administradores sobre como gestionar los
sistemas
Definicin de lo que se entiende por uso normal del sistema
Guas sobre como reaccionar ante un incidente de seguridad
Cmo manejar las consecuencias mediticas y legales
Perseguir o no al intruso
Sistemas
Polticas de seguridad: factores
Son factores que contribuyen al xito de una poltica
los siguientes:
Compromiso con la misma por parte de la direccin
Apoyo tcnico para forzar el cumplimiento de la misma
Difusin adecuada
Concienciacin de los usuarios
Sistemas
Polticas de seguridad ms apreciadas
Polticas de gestin de cuentas y claves
Poltica de definicin de usos no apropiados
Concienciacin de empleados y usuarios
Monitorizar conexiones a Internet
Poltica de seguridad corporativa
Obligar a empleados y empresas a firmar nuestras
polticas
Auditoras de seguridad
Equipos de respuesta ante incidentes
Tema 10. Introduccin a la Seg. de Sistemas
Red con medidas de proteccin
NIDS
Firewall
Instalacin
Mantenimiento
HIDS
Antivirus
Control de acceso
Filtrado, Ingress filtering
Tnel cifrado:
IPsec
Elementos
Como ya hemos dicho antes la seguridad es un proceso
La seguridad de nuestro sistema vendr determinado por la
seguridad de la parte ms dbil del mismo
Seguridad en las comunicaciones
Utilizacin de protocolos como SSL/TLS.
Creacin de redes privadas virtuales (VPN) con IPSec.
Control de acceso
Firewalls
Sistemas de deteccin de intrusiones
Gestin adecuada de usuarios: passwords
Programas antivirus
Control de acceso
Ejemplo
En el ao 1999 se realiz el siguiente experimento
Se instala una mquina (Red Hat) sin ningn parche (out-
of-the-box) y se deja sin administrar
Se observa qu sucede:
Tras 8 horas se comprueba que el host ha sido escaneado
En 21 das se comprueba que se han intentado explotar 21 bugs
Intentos fracasados debido a que los atacantes utilizaban exploits
para versiones posteriores del SO
En 40 das se explota una vulnerabilidad del servidor POP3
Se observa que se eliminan datos del log del sistema
Se instala un rootkit y un sniffer
Problemas
La seguridad informtica es un fenmeno complejo:
En 2002 hubo 5500 avisos por parte del CERT
Si leemos los 550 avisos: 5500 x 20mins = 229 das
Si suponemos que slo nos afecta el 10% de los avisos y
que necesitamos 1 hora para aplicar cada parche:
550 x 1h = 69 das
nicamente para proteger un sistema:
229 + 69 = 298 das
An suponiendo que podemos leer cada aviso en un
minuto y que slo nos afecta el 1% de los avisos
vemos que tiene un coste de 65 das!!!
Y Ms problemas
No puedo desconectar de la red la mquina para
recuperarla
Es condicin indispensable para poder recuperarse de un
incidente desconectar la mquina de la red.
Esto obliga a mantener suficientes recursos de back-up
Problemas (II)
No tengo forma de verificar la integridad de la
mquina
Tras sufrir un ataque se debe verificar la integridad de
todos los elementos de la mquina
Herramientas de verificacin de integridad: tripwire
Si no tenemos forma de verificarlo
Debemos reinstalar el sistema
Instalar las posible actualizaciones y parches necesarios
Problemas (III)
Cmo monitorizo mi red?
Es necesario tener suficiente capacidad de monitorizacin
de hosts y red
Si no, ser difcil determinar qu ha sucedido exactamente
si somos atacados
Muchos sitios no recaban la suficiente informacin sobre
estos temas
Problema: podemos fiarnos de los logs?
Problemas (IV)
Qu es un parche?
Muchos administradores no aplican los parches por:
NO saben cmo
No disponen de los recursos adecuados
No mantienen todos los equipos
Encuentran problemas con los usuarios
Problemas (V)
Cmo puedo saber qu parches estn disponibles
para mi sistema?
La mayor parte de los fabricantes distribuyen los parches
a travs de Internet (incluso aunque no tengas un
contrato de soporte)
Herramientas automatizadas de gestin
Poltica?
Problemas (VI)
Voy a intentar cazar al intruso
Es necesario tener un asesoramiento legal previo
Merece la pena?
Problemas (VII)
Cuando el usuario entr en mi sistema, intent
entrar en el suyo para averiguar quin era
Aspectos legales
Poco recomendable
Puede empeorar el ataque
Puede que ataquemos a un sitio inocente que es una
mera vctima como nosotros
Problemas (VII)
Yo antes era
Fillogo
Bilogo
Ebanista
Diseador
Muchos administradores de sistema no disponen de
los conocimientos adecuados.
Problemas (VIII)
No tenamos copias de seguridad
Bsico para poder garantizar la recuperacin de datos y
programas
Poltica de backup adecuada Recursos suficientes
Cundo ha sido comprometido el sistema?
Problemas (IX)
Pero Yo no estoy ejecutando un servidor IMAP!
Realmente s que lo ests haciendo
Hay muchos servicios activos por defecto al instalar un SO
Puede que los administradores ni siquiera sean consciente
de ello
Los servicios innecesarios provocan:
Aumento de la posibilidad de compromiso
Aumento de la dificultad del administrador de manejo de
problemas
Problemas (X)
No s dnde est esa mquina
Es necesario mantener un seguimiento adecuado de la
situacin de las mquinas en un determinado dominio
De este modo ser ms fcil detectar apariciones de
mquinas no autorizadas en la red de la organizacin
Problemas (XI)
Nadie conoce el nmero de nuestro servicio de
acceso remoto
Una manifestacin ms de la poltica de security through
obscurity
Los intrusos pueden descubrirlos mediante tcnicas de
bsqueda masiva (war dialing)
Problemas (XII)
Pero, tengo un firewall ..
Esto no elimina la necesidad de seguridad en los hosts
Los intrusos pueden comprometer una mquina y utilizarla
como punto de partida para su ataque
No proporcionan proteccin contra atacantes internos
Si permitimos conexiones de los empleados desde sus
casas, Podemos asegurar el estado de esas mquinas?
Problemas (XI)
No saba que la mquina haba sido
comprometida
En muchas ocasiones la noticia de que alguno de nuestros
equipos ha sido comprometido viene de otro sitios
Herramientas del administrador
Anlisis de seguridad:
NESSUS
SAINT
SARA
SATAN
Comprobacin de integridad de ficheros:
Tripwire
Anlisis forense
tct
Analizadores de red
Referencias
CERT/CC Incident and Vulnerability Trends
http://www.cert.org/present/cert-overview-trends
1
Ataques de Denegacin de Servicio
Tema 10. Ataques de denegacin de servicio
Definicin
Un ataque de denegacin de servicio (Denial of
Service) se caracteriza por intentar evitar el uso
legtimo de un bien, servicio o recurso.
DDoS (Distributed DoS): utilizacin de muchos
atacantes para lograr un DoS.
Por qu?
Las tcnicas de diseo de la Internet actual se
centra en ser eficiente en el transporte de paquetes
de fuente a destino.
Modelo extremo a extremo: la red proporciona un
servicio best-effort
Es responsabilidad de los extremos la
responsabilidad de utilizar los protocolos
convenientes para garantizar calidad de servicio,
transporte robusto y fiable o seguridad.
Si uno de los extremos se comporta de manera
malintencionada puede provocar daos al otro
extremo
Causas
Dado el diseo de la red intermedia (Internet) no se
actuar contra el host malicioso.
Consecuencias de estos ataques:
Suplantacin de direcciones IP: IP Spoofing
Ataques de denegacin de servicio distribuido (DDoS).
Internet y DDoS
La seguridad en Internet es altamente
interdependiente
Los recursos en Internet son limitados
La inteligencia y los recursos no son gestionados de
manera coordinada
No es obligatorio la contabilidad
El control es distribuido
Fases de un ataque DDoS
Reclutamiento de los agentes que realizarn el
ataque:
Bsqueda de vulnerabilidades.
Utilizacin de la vulnerabilidad para acceder a la
mquina
Infeccin de la mquina con el cdigo del ataque.
Utilizacin de la mquina comprometida para
ejecutar el ataque.
Fases de un ataque DDoS
Motivacin de los ataques DDoS
Provocar un dao en la vctima.
Razones personales
Ganar prestigio.
Motivos econmicos.
Razones polticas
Ataques DoS Clsicos
Ataques lgicos o software: consiste en enviar al equipo remoto
una serie de datagramas mal construidos para aprovechar alguna
error conocido en dicho sistema. Son fciles de evitar actualizando el
SW a versiones que corrijan dichos fallos o aadiendo reglas al FW
para filtrar paquetes mal construidos.
Ping of Death
Teardrop
Land
Ataques de inundacin (flood): consisten en bombardear un
sistema con un flujo continuo de trfico que acaba por consumir todos
los recursos del mismo y el BW de la red del sistema atacado.
TCP SYN
Smurf IP
UDP Flood
ICMP Flood
Clasificacin de los ataques DDoS
Criterios de clasificacin:
Grado de automatizacin.
Mtodo de comunicacin.
Estrategia de anlisis de host y vulnerabilidades.
Mecanismo de propagacin.
Vulnerabilidad explotada para la denegacin de servicio
Semntica
Fuerza bruta
Validacin de la direccin fuente
Tasa de ataque
Posibilidad de caracterizacin
Persistencia del conjunto de agentes.
Tipo de vctima
Impacto en la vctima
Grado de Automatizacin
Manual:
Muy pesado.
los ataques DoS ms antiguos.
Automticos:
Se automatizan todas las fases
No es necesaria la fase de comunicacin entre los agentes
que llevarn a cabo el ataque
Caractersticas preprogramadas.
Suelen dejar abierta la puerta para posibilitar futuros
accesos y modificaciones del cdigo.
Grado de automatizacin (II)
Semiautomticos:
Ataques semiautomticos
Dos tipos de componentes:
Agentes: se ejecutan en los equipos infectados y realizan el ataque
real.
Los equipos controlados se conocen tambin como zombies
EN diciembre de 2005 se estimaba un total de 250.000 ordenadores
infectados AL DA!.
Se aglutinan en botnets
A principios de 2005 se censaron 100 botnets con 226.000 Ips distintas por
canal
SPAM, Phishing, DDoS
Gestor: programa que controla los agentes dicindoles cundo, qu y
cmo atacar.
De manera directa: IP del maestro en los agentes ms fcil descubrimiento.
IRC o un programa de MI
Difcil descubrimiento
Dinamismo
Ya existen ataques de este tipo
Estrategia de escaneo
En funcin de que mquinas se deciden inspeccionar
para determinar si son vulnerables
Si son vulnerables se emplearn como zombies
Aleatorio (Code Red v2) Alto volumen de trfico
Lista previa
Evita colisiones
Es necesario conocer mquinas vulnerables por adelantado
Problema de transmisin de la lista
Recolectando informacin del sistema infectado
Propia subred (Nimda),
Tcnicas mixta
Estrategia de escaneo
En funcin de cmo se busquen las
vulnerabilidades:
Bsqueda de una vulnerabilidad especfica
Bsqueda de mltiples vulnerabilidades en la misma
mquina
Bsqueda coordinada: bsqueda de una vulnerabilidad en
todas las mquinas de una red
El objetivo es no alarmar a los IDS
Estrategia de propagacin del cdigo
del ataque
En funcin de cmo se propagan los agentes
durante la fase de infeccin:
Centralizada:
Conjunto central de servidores
Descarga de cdigo des de esos servidores
Fcilmente detectable. (gusano 1i0n)
Encadenada:
El cdigo del agente se descarga desde la mquina utilizada para
infectar el sistema
Distribuido
Gusano de Morris
Autnomo:
Tpica de los gusanos de email
El cdigo del ataque se inyecta durante la infeccin del sistema
Tcnica de DoS
Es la clasificacin ms clsica
Distinguimos entre si se intenta aprovechar alguna
vulnerabilidad del protocolo, aplicacin o sistema o
si por el contrario simplemente se intenta desbordar
al mismos mediante un uso legtimo pero desmedido
Ataques semnticos o lgicos
Ataques de fuerza bruta o inundacin
Ataques Lgicos
Explotan una caracterstica especfica o un fallo en la
implementacin de algn protocolo o aplicacin
instalada en la vctima.
El objetivo es dejarla sin recursos.
Se basan en un uso malicioso
Ejemplos:
TCP SYN
NAPTHA
Ataques de fragmentacin
TCP SYN
TCP SYN
El esquema del establecimiento de conexin TCP es,
1) C ----------------- NSc, Syn ----------------- >> S
2) C <<------- NSc+1, Ack, Syn, NSs ---------- S
3) C ------------------ NSs+1, Ack --------------->> S
Conexin TCP establecida
C <<-------------------- Datos ------------------->> S
Normalmente los pasos 1,2 y 3 se producen consecutiva y rpidamente. El
servidor suele establecer un timeout de 75 segundos entre el paso 2 y la
respuesta del ciente del paso 3.
El ataque TCP Syn se basa en falsificar (spoof) el IP origen del paso 1,
poniendo el IP de un host legal pero inalcanzable (unreacheable
TCP SYN
Por tanto nadie responder al paso 2, y el servidor deber esperar
75 segundos en un estado muy incmodo, con su socket a medio
abrir, sus bufferes reservados, etc..
Adems TCP suele tener una cola finita y no muy grande ( de 6 a
15 entradas) para estas conexiones en trmite, por lo que si
enviamos varias decenas de estas peticiones de conexin TCP
falsas colapsaremos la cola haciendo que el servidor tenga que
rechazar el resto de peticiones legales que le estn llegando.
Si adems repetimos esa tanda de peticiones cada 80 segundos
(un poco ms de 75s, para que d tiempo de que se desbloqueen
las anteriores), conseguiremos parar el servicio TCP.
Este ataque es difcil de evitar, ya que se basa en una debilidad
intrnseca de TCP.
SYN Cookies
Ms informacin:
CERT Advisory CA-1996-21 TCP SYN Flooding and IP
Spoofing Attacks
Ataques de fuerza bruta o innundacin
Generan una gran cantidad de operaciones
aparentemente legtimas
Dado que la red intermedia puede transportar una
cantidad de trfico mayor que la red vctima, sta
ltima se queda sin recursos
Necesitan mayor volumen de trfico que los ataques
anteriores
Ejemplos:
DNS request
Smurf IP
Smurf IP
Es muy simple pero desgraciadamente muy efectivo.
Aprovecha las direcciones IP de broadcasting y los paquetes ICMP
ECHO Request/Reply (PING)
No existe una proteccin total contra este ataque, por lo que sigue
siendo muy peligroso.
Este ataque necesita al menos tres protagonistas: el atacante, el
atacado y un conjunto de redes intermediarias que se utilizan para
el ataque.
El atacante busca redes (a ser posible grandes, con ms de 30
hosts), que tengan direccin IP de broadcasting (X.Y.Z.255, o
X.Y.255.255, o incluso mejor, X.255.255.255).
Falsifica un paquete IP poniendo como direccin Origen la de la
vctima, y enva un paquete ICMP ECHO Request (PING) a la
direccin de broadcast de las redes intermediarias seleccionadas.
Smurf IP
Los centenares (o miles) de hosts de esas direcciones de broadcasting
respondern a quien ellos creen ser el origen (en realidad la desprevenida
vctima) con un paquete ICMP de respuesta al PING, colapsando la lnea
de ese servidor.
Si este proceso se repite cada pocos segundos el efecto es devastador.
Existe un programa scanner para buscar posibles redes intermediarias
(redes que reenvan directed broadcast)
Problemas de la defensa ante DDoS
Necesidad de un respuesta distribuida en distintos puntos en
Internet
Factores econmicos y sociales:
La respuesta distribuida debe involucrar a partes que no sufren
directamente dao de los ataques
No se dispone informacin detallada sobre los ataques:
Se conocen las herramientas
No se suele proporcionar informacin sobre ataques sufridos
No se dispone de informacin fiable sobre sistemas de
defensa
No hay una red de prueba a gran escala de estos
mecanismos
Firewalls
Seguridad en I nt ernet
1
Tema 11. Cor t af uegos
Segur i dad en I nt ernet B. Alarcos, E. de la Hoz
Tecnologas de Firewalls
Los Firewalls son conj unt os de component es que
fuerzan el cumplimient o de una polt ica de acceso ent re
dos o ms redes
Prot egen de:
Accesos no aut orizados desde redes ext ernas
Cont rolar la forma en que se accede a nuest ra red y en la que
accedemos a la red.
Sirven de punt o de imposicin de una polt ica
No son adecuados para prot eger de:
Cualquier at aque que no lo at raviese: usuarios int ernos
Virus
Tneles
Uso malicioso de servicios permit idos
Tecnologas de firewall
Las dos t cnicas bsicas que ut ilizan los Firewalls para
prot eger sus redes son:
Filt rado de paquet es I P: vigilan los paquet es que pasan
por el punt o de choque y deciden en funcion de reglas
preest ablecidas si los dej an pasar o no los dej an pasar.
Servicios proxy : son servidores int ermediarios que aislan
a los usuarios de la red prot egida de los aut nt icos
servidores de I nt ernet
Proxy procuracy: persona que act a en nombre de ot ro.
Ot ros t nicas a t ener en cuent a
NAT (Net work Address Translat ion):
Permit e forzar la ut ilizacin del proxy o firewall
Ayuda a rest ringir el t rfico ent rant e
Ayuda a ocult ar la configuracin int erna de la red
VPN (Virt ual Privat e Net work)
Permit e asegurar prot ocolos difciles de prot eger como samba
Ut ilizacin de cifrado
El firewall puede ser un buen lugar para sit uar ambos
element os
Element os de un firewall
Host bast in:
Sist ema alt ament e seguro y expuest o a at aques dado que el
principal punt o de cont act o para usuarios ext ernos e int ernos
Red perimet ral:
Red sit uada ent re la red int erna y ext erna (I nt ernet ) para
proporcionar un nivel adicional de prot eccin. Tambin se le
denomina DMZ
DeMilit arized Zone
Disposit ivo de filt rado de paquet es
Filt rado de paquet es
Internet
Enruta o bloquea paquetes IP
segn lo determina la poltica
de seguridad del sitio
Router de proteccin
(Screening Router)
Dat os para el filt rado
Un paquet e I P lleva en su cabecera:
Direccin I P de origen
Direccin I P de dest ino
Tipo de prot ocolo del siguient e nivel (TCP,UDP,I CMP)
Si es TCP o UDP lleva adems
Puert o de origen (servicio)
Puert o de dest ino (servicio)
Si es I CMP
Tipo de mensaj e I CMP
Adems el rout er conoce ms informacin sobre el paquet e que no
aparece en las cabeceras
I nt erface por donde ha ent rado el paquet e
I nt erface por donde, segn sus t ablas de enrut amient o, debe sacar el
paquet e.
Polt ica de filt rado
Un rout er normal lleva a cabo las siguient es acciones:
analiza la direccin I P de cada paquet e
basndose en sus t ablas de enrut amient o, analiza si puede
enrut arlo y por qu int erfaz debe sacarlo.
Si no t iene reglas definidas para una det erminada direccin, t ira
el paquet e y devuelve al origen un paquet e I CMP de dest ino
inalcanzable .
Un enrut ador de prot eccin, realiza las mismas funciones
que un enrut ador normal pero:
adems analiza ms de cerca cada paquet e
no slo det ermina si puede sacarlo, sino que ut ilizando unas
reglas predefinidas det ermina si DEBE sacarlo.
Disposit ivos de filt rado
Ej emplo:
bloquear lo paquet es provenient es de sit ios peligrosos
permit ir servicios de correo y FTP pero impedir el paso a paquet es dirigidos
a servicios inseguros como Xwindows, RPC o servicios r (rlogin, et c..)
bloquear t odos los paquet es de pet iciones de conexin TCP provenient es de
host s ext ernos except o los de SMTP (para poder recibir correo)
Un disposit ivo de filt rado puede t ener en cuent a info adicional:
Si mant iene informacin de est ado se denomina st at eful packet filt er
Pueden t ambin variar las reglas conforme llegan los paquet es
(dinmicos) o modificar el cont enido de los paquet es (int eligent es)
Enrut adores de prot eccin
Un enrut ador de prot eccin es la primera barrera de defensa, pero
no debe ser la nica.
En primer lugar su responsabilidad es muy grande, ya que si
queda compromet ido la red int erna se hace muy vulnerable.
Pero adems un enrut ador slo puede bloquear o dej ar pasar
paquet es, no puede modificar los servicios.
Un enrut ador est demasiado at areado enrut ando paquet es y no
se puede sobrecargar con un anlisis demasiado sofist icado
porque no podra cumplir su t area primordial
Por eso son necesarios ot ros sist emas de prot eccin adicionales y
complement arios al filt rado de paquet es, como los servidores
proxy.
Servidores proxy
Son programas de la capa de aplicacin, que se ej ecut an
en host s, y sirven de int ermediarios ent re los client es de
la red int erna y los servidores de I nt ernet .
Los host s en los que corren los servidores proxy pueden
ser host s con doble int erfaz (uno conect ado a la red
int erna y ot ro a la red ext erna), o host s bast in, es decir
host s especialment e prot egidos, que son visibles t ant o
desde I nt ernet como desde los client es de la red int erna.
Hay servidores proxy para cualquier t ipo de servicio,
incluso hay un servidor proxy genrico que puede ser
ut ilizado para cualquier servicio
Funcionamient o de un proxy
SERVIDOR
Peticin enviada
Proxy + Filtrado
Evala la peticin
Reenva las respuestas
Peticin real
CLIENTE
Funcionamient o de un proxy
Requiere:
Client e proxy
Servidor proxy
El client e puede ser un client e est ndar o una versin modificada
del mismo (SOCKS)
El servidor evala las pet iciones de los client es y decide si son o
no aprobadas
Si son aprobadas, el proxy cont act a con el servidor real en nombre del
client e
Reenva las respuest as del servidor al client e
Debe exist ir un mecanismo que obligue a que t odas las
comunicaciones pasen por el proxy
Sin est o, los client e podran est ablecer comunicacin direct a con el
ext erior salt ndose las rest ricciones del proxy
Servicios proxy con Host de doble acceso
En est e caso el servidor proxy est en el propio host con
doble acceso que asla la red int erna
Arquit ect uras de Firewalls
Son las diferent es formas de combinar y conect ar las
piezas que forman los firewalls, es decir los enrut adores,
los proxies, los host s bast in y las redes perimet rales.
Las diferent es arquit ect uras dependen del grado de
seguridad que deseemos, as como del cost e permit ido
Hay t res arquit ect uras bsicas, aunque con diversas
variant es,
Arquit ect ura de Host de doble acceso
Arquit ect ura de Host de prot eccin
Arquit ect ura de subred de prot eccin
Arquit ect ura de host de doble acceso
El host de doble acceso lleva dos int erfaces, uno con la red int erna
(puede ser Et hernet ) y ot ro con la red ext erna (puede ser frame
relay)
El host de doble acceso debe t ener bloqueado en su t ot alidad el
t rfico desde I nt ernet a la red int erna y viceversa (NO ENRUTA)
Una vent aj a de est a arquit ect ura es que el host t rabaj a hast a
capas ms alt as que los enrut adores y puede realizar un filt rado
de paquet es ms elaborado.
Por ej emplo pueden det ect ar paquet es cuyo cont enido no se corresponde
con su cabecera.
En est e caso el host debe cont ar con los servicios proxy adecuados
para que la red int erna pueda comunicarse con el ext erior
Tambin los servidores de SMTP et c.. Para recibir comunicaciones
ext ernas como el correo. (Peligroso)
Es una arquit ect ura peligrosa ya que si compromet en el host
t ienen ent rada libre a la red. Adems al ser ms complej o el host
puede ser ms vulnerable.
Apropiada para:
Pequea cant idad de t rfico dirigido a I nt ernet
El t rfico dirigido a I nt ernet no es crt ico
No se ofrecen servicios a usuarios de I nt ernet
La red prot egida no cont iene dat os muy import ant es
Arquit ect ura de host de prot eccin
En est e caso el host bast in est conect ado en la red
int erna, siendo accesible t ant o desde el ext erior como
desde la red int erna.
Arquit ect ura de host de prot eccin
La prot eccin en est e caso descansa por complet o en el filt rado de
paquet es que realiza el enrut ador. Las reglas deben ser,
Slo pasarn los paquet es del ext erior dirigidos al Host Bast in y que sean
del t ipo de servicio aut orizado ( por ej emplo HTTP)
Ningn paquet e de la red int erna pasar direct ament e al ext erior. No se
est ablecern conexiones direct as con el ext erior, t odos los accesos se
realizarn va proxy ubicados en el host bast in
Est a arquit ect ura es ms segura que la de host de doble acceso ya
que es ms difcil at acar a un enrut ador, porque es ms simple,
que a un host , que es ms complej o y vulnerable.
Sin embargo, como los paquet es ext ernos llegan hast a la red
int erna, si se compromet e el host bast in se t iene ent rada libre a
la red.
Slo es recomendable:
Red int erna con alt o nivel de seguridad en los host s
Sencillas reglas de filt rado
Cuando es necesario alt a eficiencia y redundancia
Exist en dos enrut adores, uno int erno y ot ro ext erno
En medio est la zona desmilit arizada
Est a es la arquit ect ura ms segura.
En algunos sit ios se llega incluso a colocar varias redes perimet rales una det rs
de ot ra, en cascada, cont eniendo cada una un t ipo de servicios cada vez ms
rest ringidos, y filt rando los paquet es adecuados en cada enrut ador.
Con est a arquit ect ura se pueden efect uar variaciones, por ej emplo ubicando los
proxies en la red int erna o en la red perimet ral, et c..
Puede ut ilizar o no proxy
Si lo ut ilizan podemos sit uarlo en el host bast in
Desde el bast in a la red int erior se debera permit ir:
SMTP
DNS
La mayor part e del filt rado la realiza el rout er int erior
En muchos casos el rout er ext erno es el rout er de acceso y no t enemos acceso a
l
Debe evit ar el I P Spoofing
Mlt iples host bast in
Separados por t ipos de servicios, o incluso redundant es
Mlt iples host bast in
Si se puede es convenient e ubicar un solo servicio por servidor.
Por ej emplo un host como servidor ht t p, ot ro como servidor SMTP
y POP, ot ro como servidor FTP, et c..
Es preferible ut ilizar mquinas menos pot ent es pero dedicadas a
un solo comet ido.
Tambin pueden ponerse servidores redundant es que
redist ribuyan la carga en caso de mucho t rfico, aunque est o slo
es posible hacerlo aut omt icament e en algunos casos.
Por ej emplo SMTP y DNS pueden ser configurados con servidores
secundarios que t omarn cont rol en caso de fallo de los primarios.
En el caso de HTTP pueden configurarse dos mirrors , uno para el
ext erior y ot ro para el int erior.
Un solo enrut ador ext erno e int erno
Un enrut ador con t res int erfaces, uno ext erior, ot ro a la
red perimet ral y ot ro a la red int erna
Un solo enrut ador ext erno e int erno
Est a configuracin no es menos segura que con dos
enrut adores si se disea bien.
El problema es que el enrut ador t endr ms carga y
deber ser suficient ement e pot ent e.
Debern configurarse correct ament e t ant o las t ablas de
enrut amient o como las reglas de filt rado, para evit ar que
puedan pasar paquet es no aut orizados a zonas no
permit idas.
Por ot ra part e en muchos casos el enrut ador ext erior no
est cont rolado por la propia organizacin sino por la
compaa suminist radora del acceso a I nt ernet , con lo
que no es posible est a configuracin.
Host bast in como enrut ador ext erno
Est e caso es t ambin seguro, aunque sobrecarga el host
Host bast in como enrut ador ext erno
Puede ser t il si la conexin ext erna es via PPP, ya que est e
t ipo de conexin no puede ser realizada por un enrut ador.
El propio host bast in debe defenderse mediant e un filt rado
de paquet es previo, si es que puede realizarlo.
Est a configuracin dej a t odava ms expuest o al host bast in
ya que queda en primera lnea de fuego y sin ms defensa
que l mismo.
En cualquier caso la red int erna est t ant o o ms segura que
con un nico enrut ador como en el caso ant erior
No se debe ut ilizar el host bast in como enrut ador int erno!
Con est a configuracin dej a de t ener sent ido la red perimet ral.
Si alguin compromet e al host bast in, que es el ms vulnerable, puede ent rar direct ament e a la
red int erior.
Es peligroso ut ilizar mlt iples enrut adores int eriores!
Es peligroso ut ilizar mlt iples enrut adores
int eriores!
El principal problema es que algn enrut ador de la red int erna
puede decidir (equivocadament e) que el mej or camino hacia ot ro
host int erno es uno de los enrut adores ext eriores.
Si hay suert e el filt rado de paquet es no dej ar pasar ese t rfico,
pero si no la hay esos paquet es de t rfico int erno est arn
pasendose a la vist a del mundo ext erior por la red perimet ral.
Por ot ra part e el mant ener correct ament e configuradas las reglas
de filt rado de varios enrut adores es ms difcil y arriesgado que
hacerlo en uno solo.
El problema es que en algunas organizaciones el t rfico en el
enrut ador int erno pueda ser muy alt o y t ient e al administ rador a
configurar varios para dist ribuir la carga.
Pero si est o ocurre es que algo no est bien plant eado.
Un solo enrut ador int erior y mlt iples redes
int ernas
Solvent a la mayor part e de problemas de la arquit ect ura ant erior
Mej or solucin: Backbone int erno
Mej or solucin: Backbone int erno
Es la filosofa de las capas perimet rales
De t odas formas est a configuracin no elimina el
problema del cuello de bot ella del enrut ador
int erno.
En t odo caso est a arquit ect ura alivia los problemas
del t rfico int erno
Mlt iples enrut adores ext eriores
Est a solucin es correct a y aplicable en algunos casos
Mlt iples enrut adores ext eriores
Es recomendable est a configuracin si:
Tenemos varios proveedores de acceso a I nt ernet , simult neos
o de backup
Si t enemos acceso a I nt ernet y t ambin a ot ras redes privadas.
No es peligroso poner varios enrut adores ext ernos para
acceder a I nt ernet a t ravs de varios proveedores.
nicament e duplica la posibilidad de que sean
compromet idos, pero no es grave.
Pero si un acceso es a I nt ernet y el ot ro a una red
privada de alguna compaa amiga, el t rfico int erno con
ella est ar visible en la red perimet ral.
Mlt iples redes perimet rales
En ese caso
es preferible
t ener varias
redes
perimet rales.
En cualquier
caso la mej or
configuracin
es la de un
solo
enrut ador
ext erior y uno
slo int erior
Dividir la red perimet ral con un host de doble
acceso
Como configuracin ms segura se puede dividir la red
perimet ral con un host de doble acceso, poniendo en un
lado el enrut ador ext erior y en el ot ro lado el enrut ador
int erno.
Un host es mucho ms int eligent e que un enrut ador
(llega hast a la capa de aplicacin) y es capaz de realizar
filt rados int eligent es.
I ncluso es capaz de realizar filt rados dinmicos. Por
ej emplo dej ar pasar paquet es TCP slo si la conexin ha
sido iniciada desde el int erior.
Firewalls int ernos
Aslan zonas peligrosas o inseguras int ernas del rest o de la red
Redes de I + D
Bibliografa
Const ruya Firewalls para I nt ernet . 1 Ed. Brent
Chapman y E. D. Zwicky. Ed. Mc Graw-Hill 1995.
Building I nt ernet Firewalls . 2 Ed. Zwicky, Cooper,
Chapman. Ed. OReilly & Associat es. 2000
Sist emas de det eccin de I nt rusiones
Enrique de la Hoz de la Hoz
Tema 13. Si st emas de det ecci n de I nt r usi ones
Segur i dad en I nt ernet
Sist emas de Det eccin de I nt rusiones
Sist emas hardware o soft ware que aut omat izan el proceso de
monit orizar los event os en un sist ema o en una red
analizndolos en busca de signos de problemas de seguridad.
Se han hecho ms necesarios dent ro de la infraest ruct ura de
seguridad a raz del increment o del nmero de at aques y de
la gravedad de los mismos.
Son int rusiones:
At acant es que acceden a nuest ros sist ema desde I nt ernet .
Usuarios aut orizados que int ent an obt ener privilegios adicionales para
los que no est n aut orizados.
Usuarios que ut ilizan malignament e los privilegios que se les
conceden.
Mot ivacin de los I DS
Prevenir comport amient os problemt icos
increment ando el riesgo percibido por los at acant es
de ser descubiert os y cast igados.
Det ect ar at aques y ot ras violaciones de seguridad
que no est n cubiert os por ot ras medidas.
Det ect ar y manej ar los pasos previos a at aques.
Document ar las amenazas exist ent es para una
organizacin.
Como cont rol de calidad del diseo de seguridad y
de la administ racin.
Aument ar la informacin sobre las int rusiones que
t engan lugar de cara a posibles medidas fut uras.
Mot ivacin de los I DS ( I I )
La pregunt a no debera ser por qu debemos ut ilizar un I DS
sino qu I DS debemos ut ilizar.
Los at acant es, en la mayora de los casos, ut ilizan t cnicas
que hacen uso de vulnerabilidades ampliament e conocidas
(ht t p: / / icat .nist .gov) .
No siempre es posible corregir est as vulnerabilidades:
Sist emas operat ivos que no se pueden parchear
Administ radores sin los recursos necesarios.
Requerimient os operacionales de uso de prot ocolos o sist emas
vulnerables a at aques
Errores en las configuraciones por part e de usuarios y
administ radores.
Problemas con la polt ica de seguridad ut ilizada.
Mot ivacin de los I DS (I I I )
Permit en det ect ar los siguient es t ipos de at aques:
Exploracin de red o de un sist ema (scanning) (LEGAL)
Topologa de la red
Tipo de t rfico permit ido a t ravs de un firewall
Host s act ivos en una red
SO de los host s act ivos
Servidores act ivos
Versiones del soft ware
Bsqueda de vulnerabilidades
At aques de denegacin de servicio
At aques lgicos (Flaw at t acks)
At aques de inundacin (Flood at t acks)
Penet racin en sist emas
Adquisicin no aut orizada de privilegios, recursos o dat os
Tipos de I DS
La mayora de los I DS se pueden describir en
t rminos de t res component es fundament ales:
Fuent es de informacin:
Red
Host
Aplicacin
Anlisis:
Det eccin de anomalas
Det eccin de mala ut ilizacin.
Respuest a:
Medidas act ivas.
Medidas pasivas.
Tipos de I DS: Caract erst icas
Para caract erizar un I DS t enemos que t ener en cuent a los
siguient es element os:
Arquit ect ura: como se organizan los component es del I DS que son el
host , o sist ema en el que se ej ecut a el I DS, y el obj et ivo, o sist ema
que monit oriza el I DS. Los podemos encont rar:
Junt os: era la aproximacin t pica en el pasado por mot ivos de cost e.
Present a problemas desde el punt o de vist a de la seguridad.
Separados: es ms seguro puest o que permit e ocult ar la presencia del
I DS a los posibles at acant es.
Obj et ivos:
Regist ro de los at aques: det erminar quin es el at acant e.
Respuest a a los at aques: poder bloquearlo sin import arnos quin sea.
Est rat egia de cont rol:
Cent ralizado
Parcialment e dist ribuido
Complet ament e dist ribuido.
Tiempo:
Tiempo real
Fluj o discont inuo de informacin.
Clasificacin de I DS
La forma ms comn de clasificar est os sist emas es
agruparlos segn la fuent e de informacin que
ut ilizan:
Basado en red (NI DS):
Son mayora.
Det ect an at aques capt urando y analizando los paquet es de red.
Suelen consist ir en un conj unt o de host s que act an como
sensores cada uno con nico propsit o.
Los dat os de t odos est os equipos se envan una consola de cont rol
cent ral.
Como los equipos slo ej ecut an el I DS pueden ser mej or
prot egidos frent e a at aques.
Net work-based I DS: Vent aj as
Vent aj as:
Con pocos NI DS bien sit uados podemos cont rolar una red
de gran t amao.
El despliegue de la infraest ruct ura de NI DS t iene poco
impact o en el funcionamient o de la red.
Son muy seguros porque se pueden hacer casi invisibles a
los at acant es.
Net wok-based I DS: I nconvenient es
Eficiencia: es difcil analizar t odo el t rfico en una red grande
y con mucho t rfico:
I mplement aciones HW de los NI DS.
Limit ar el abanico de det eccin a slo unos pocos at aques.
Limit ar la capacidad de proceso para det ect ar cada at aque lo que
reduce a su vez la eficiencia de la det eccin.
No son apropiados para redes conmut adas:
Los swit ches dividen la red en segment os.
Es necesario t rabaj ar con swit ches con un puert o que permit a el
acceso a t oda la informacin que at raviese el swit ch.
I ncluso en ese caso es posible que a t ravs de ese puert o no
se t enga acceso a t oda la informacin que manej a el
conmut ador.
No pueden analizar informacin cifrada (VPNs)
No pueden informar de si el at aque ha sido o no exist oso.
Pueden t ener problemas con la fragment acin
Host -Based I DS
Trabaj an con la informacin que obt ienen de un
nico sist ema final.
Pueden analizar act ividades con gran precisin y
fiabilidad det erminando qu procesos y usuarios
est n involucrados en un det erminado at aque.
Pueden, t b, observar el desenlace de un
det erminado at aque.
Fuent es de informacin:
Logs del sist ema: info menos det allada
I nformacin generado por el kernel: info ms det allada
Host -Based I DS: Vent aj as
Pueden det ect ar at aques que no son vist os por un
NI DS
Al operar en los host s pueden t rabaj ar en ent ornos
donde se int ercambie informacin cifrada.
No les afect an las redes conmut adas.
Pueden det ect ar t royanos y ot ros at aques si se
manej a la informacin que proporciona el kernel.
Host -based I DS: I nconvenient es
Hay que configurar y gest ionar la informacin de
cada uno de los host s que est emos monit orizando
Dado que, al menos, la fuent e de informacin reside
en el equipo obj et o de los at aques, el I DS puede ser
afect ado como part e del at aque.
No son muy apropiados para escaneos de red o para
at aques de sondeo de redes ent eras.
Pueden ser deshabilit ados por at aques DoS.
La cant idad de informacin generada puede ser muy
elevada.
Al residir en los host s que monit orizan t ienen
incidencia en el rendimient o de los mismos.
Applicat ion-based I DS
Son un subconj unt o especial de los I DS basados en host s
que analizan los event os que se generan dent ro de una
aplicacin soft ware.
Al t rat ar direct ament e con la aplicacin es posible det ect ar
comport amient os sospechosos relacionados con usuarios que
excedan su aut orizacin
Vent aj as:
Anlisis ms pormenorizado.
Pueden t rabaj ar en ent ornos que empleen cifrado.
I nconvenient es:
Ms vulnerables a at aques que los HI DS porque los logs de las
aplicaciones est n menos prot egidos que los logs del kernel.
No pueden det ect ar t royanos puest o que t rabaj an al nivel de
abst raccin de usuario.
Es aconsej able emplearlos en combinacin con HI DS o NI DS.
Anlisis de I DS
Hay dos aproximaciones a la hora de det ect ar
at aques:
Det eccin de una mala ut ilizacin del sist ema: pat rones
conocidos.
Det eccin de anomalas: comport amient os ext raos.
Los sist emas comerciales se cent ran en la primera
de las aproximaciones ant eriores que t ambin se
suele denominar det eccin basada en firma.
Det eccin de usos incorrect os
Se part e de una serie de at aques conocidos que
int ent a ident ificar el sist ema.
A cada pat rn correspondient e a un det erminado
at aque se le denomina firma de ese at aque.
A est e t ipo de anlisis se le denomina basado en
firma.
En la mayora de los sist emas a cada pat rn de
event os se le asigna una firma separada.
Hay sist emas ms sofist icados que pueden ponderar
una nica firma con obj et o de det ect ar grupos de
at aques. Son las t cnicas de anlisis basadas en
est ado.
Analisis basado en firma: vent aj as
Son muy efect ivos en la det eccin sin generar un
alt o porcent aj e de falsas alarmas.
Permit en det ect ar y det erminar la ut ilizacin de una
herramient a especfica de at aque.
Permit e a los gest ores del sist ema,
independient ement e de su experiencia, manej ar los
incident es de seguridad.
Anlisis basado en firma: Desvent aj as
Slo permit en det ect ar at aques que conocen, por
t ant o t enemos que act ualizarlos con las firmas de
nuevos at aques.
Son diseados para ut ilizar firmas muy est rict as lo
que les impide det ect ar variant es de at aques
comunes que s saben det ect ar. Los basados en
est ado permit en superar esa limit acin pero no son
usados habit ualment e en I DS comerciales.
I dent ifican comport amient os inusuales o anormales en un
equipo o en una red.
Se basan en la suposicin de que los at aques son diferent es
de la act ividad normal del sist ema y podemos, por t ant o,
ident ificar esas diferencias.
Los det ect ores de anomalas const ruyen perfiles que
represent an el comport amient o normal de usuarios, equipos
o conexiones de red.
Los perfiles se const ruyen a part ir de dat os hist ricos
recopilados durant e un periodo de funcionamient o normal.
Los det ect ores obt ienen dat os procedent es de los event os del
sist ema y ut ilizan una serie de medidas para det erminar
cuando la act ividad observada se desva de la normal.
Medidas:
Det eccin de umbrales: nmero de ficheros accedidos, nmero de
fallos al int ent ar ent rar en un sist ema, cant idad de CPU ut ilizada
Medidas est adst icas
Medidas basadas en reglas
Ot ras medidas como redes neuronales, algorit mos gent icos
Los sist emas comerciales slo ut ilizan las dos primeras
medidas
Producen un elevado nmero de falsas alarmas.
Algunos sist emas de est e t ipo producen una salida que
puede ser usada por det ect ores basados en firmas.
Prct icament e ningn sist ema comercial confa nicament e
en sist emas de det eccin basados en firma.
Det eccin de anomalas: Vent aj as
Vent aj as:
Pueden det ect ar comport amient os inusuales permit iendo
por t ant o det ect ar snt omas de at aques sin conocimient o
especfico de los det alles.
Pueden producir informacin que puede ser ut ilizada para
definir firmas para los det ect ores basados en firma.
I nconvenient es:
Produce un gran nmero de falsas alarmas mot ivadas por
el impredecible comport amient o de usuarios y redes.
Requiere grandes conj unt os de ent renamient o para poder
caract erizar los comport amient os normales .
Respuest as frent e a los at aques
Una vez que los I DS han recopilado informacin y la
han analizado para descubrir snt omas de posibles
at aques, generan una respuest a a los mismos
Podemos clasificar el rango posible de respuest as
en:
Respuest as Pasivas: se limit an a regist rar el event o
acaecido
Respuest as act ivas: llevan a cabo alguna accin adicional
Los sist emas comerciales permit en un amplio rango
de respuest as t ant o act ivas como pasivas o bien
combinaciones de ambas.
Respuest as Act ivas
Podemos dist inguir t res cat egoras de respuest as act ivas:
Recopilar afirmacin adicional:
I ncrement ar el nivel de sensibilidad de las fuent es
Trat ar de det ener el at aque:
Bloquear direcciones I P desde donde proceda el at aque
I nyect ar paquet es TCP RST para t erminar la conexin
Reconfigurar mecanismos de filt rado de paquet es
En casos ext remos deshabilit ar las int erfaces de red desde las que
proceda el at aque
Cont raat acar
No es aconsej able
Puede acarrear consecuencias legales
Podemos incluso at acar a inocent es (daos colat erales) o hacer que el
at acant e endurezca sus acciones
En t odo caso sera aconsej able que est a medida sea t omada con
supervisin humana
Respuest as Pasivas
Algunos sist emas slo ofrecen est e t ipo de
respuest as
Tipos:
Alarmas y not ificaciones:
Pop-ups
Not ificaciones remot as a t elfonos mviles o buscas
Not ificacin va e-mail desaconsej ada puest o que at acant e podra
monit orizar el correo y bloquear el mensaj e
SNMP t raps
Algunos I DS generan alarmas y las envan a consolas cent rales de
gest in de red
Vent aj as:
Permit e adapt ar t oda la infraest ruct ura de red ant e un at aque
Ut ilizacin de canales comunes de comunicacin
Libera al equipo afect ado por el at aque de la carga de procesar las
acciones de respuest a al mismo
Ot ros aspect os a t ener en cuent a
Es import ant e que los I DS puedan generar informes sobre los
event os e int rusiones acaecidos durant e un det erminado
periodo en format os vlidos para ser acept ados por BBdDD o
paquet es SW de generacin de informes (Cryst al Report s)
Es t ambin muy import ant e t ener en cuent a consideraciones
con respect o a la t olerancia a fallos:
Los I DS no deben poder ser det ect ados por los at acant es
Si la respuest a es muy ruidosa est o podra alert ar al at acant e y as
det ect ar el I DS
As, los at acant es podran pensar at acar direct ament e el I DS
El uso de cript ografa y t neles cifrados har ms difcil que un
posible at acant e det ect e las alert as generadas por el I DS
Herramient as que complement an un
I DS
Hay una serie de herramient as que complement an
un I DS y que a menudo t ambin se denominan as
puest o que realizan funciones parecidas.
Vamos a coment ar las siguient es:
Sist emas de anlisis de vulnerabilidades
Comprobadores de int egridad de ficheros
Honey pot s
Padded cells
Permit en det erminar si un sist ema es o no vulnerable a at aques.
Represent an un caso especial del proceso de det eccin de int rusiones:
Las fuent es de info son at ribut os de est ado del sist ema y los desenlaces de
int ent os de at aque
La info es recopilada por part e del sist ema de anlisis
La t emporizacin es de bat ch-mode
Ut iliza un anlisis de mala ut ilizacin
Nunca puede ser por s solos un reemplazo para un I DS puest o que un
at acant e podra monit orizar el sist ema, det erminar los moment os en los
que se recoge la informacin y programar el at aque ent re dichos
moment os
Generan una fot ografa del est ado de la seguridad del sist ema en un
moment o dado y buscan en esa fot ografa:
vulnerabilidades que permit an at aques conocidos facilit ando al administ rador
comprobar la exist encia de errores debido a errores humanos
audit ar el sist ema para ver si cumple con una det erminada polt ica de
seguridad
El proceso que siguen es el siguient e:
Se muest rea una serie de at ribut os del sist ema
Se almacena el result ado del muest reo en un reposit orio
seguro
Se organizan los result ados y se comparan con, al menos,
un conj unt o de dat os de referencia que puede ser una
configuracin ideal o algn muest reo ant erior de un
est ado del sist ema fiable
Pueden ser:
Basados en host (pasivos):
Se basan en que la herramient a t iene acceso al host y
comprueban cont enidos de ficheros, configuraciones e info de
est ado
Det ect an muy bien at aques de escalada de privilegios
Basados en red(act ivos):
Comprueban un sist ema remot o t rat ando de acceder a l
Dos mt odos:
Sist emas de anlisis de vulnerabilidades: Vent aj as e
inconvenient es
Permit en la det eccin de problemas en sist emas que
no soport an un I DS
Proporcionan capacidades de prueba para
document ar el est ado de seguridad de sist emas el
comienzo de un programa de seguridad y para
reest ablecer la polt ica de sguridad cuando ocurran
cambios import ant es
Si se ut ilizan regularment e permit en ident ificar
problemas de seguridad que vayan surgiendo
durant e la vida del sist ema
Permit e comprobar a los administ radores que al
solucionar un problema no han provocado ot ro
I nconvenient es
Est n fuert ement e unidos a SO y aplicaciones especficas
Los basados en red son independient es de la plat aforma pero
t ambin son menos precisos y ms suj et os a falsas alarmas.
Algunos sist emas basados en red pueden acceder caer a un
sist ema durant e el chequeo del mismo
Los I DS pueden bloquear las pruebas que lleve a cabo un
sist ema de est e t ipo al ident ificarlas como at aques e incluso
la repet ida ut ilizacin de est os sist emas puede hacer que el
I DS aprenda est as pruebas como at aques e ignore los
at aques reales.
Debemos asegurarnos ser respet uosos con la privacidad de
los afect ados y no emplear est as herramient as con mquinas
ms all de nuest ro dominio
Verificadores de int egridad de ficheros
Ot ra herramient a que complement a al I DS.
Ut iliza funciones hash o algn t ipo de checksum cript ogrfico
para calcular resmenes de los ficheros y los compara con
valores de referencia (inst alacin original o punt o seguro) de
cara a buscar diferencias
Los at acant es suelen modificar ficheros en t res et apas del
at aque:
Alt eracin de ficheros: p.e sit uar un caballo de t roya.
Dej ar puert as t raseras
Eliminar huellas que hayan podido dej ar
Est as herramient as se usan fundament alment e para
det erminar si los at acant es han modificado archivos de
sist ema o ej ecut ables
Tripwire: ht t p: / / www.t ripwire.org
Honey Pot / Padded cell
Son sist emas nuevos que est n an en fase de desarrollo
dist int os de los I DS t radicionales.
Honey Pot s
Son sist emas reclamo que t rat an de at raer la at encin de los
at acant es sobre ellos.
Obj et ivos:
Desviar un at acant e del acceso a sist emas crt icos.
Recopilar informacin sobre la act ividad del at acant e.
Animar al at acant e a que permanezca en el sist ema el t iempo suficient e
para que los administ radores puedan responder.
Suelen almacenar informacin aparent ement e real a la que un usuario
legt imo del sist ema puede acceder
Por t ant o cualquier acceso a la misma es sospechoso
El sist ema est muy monit orizado para det ect ar accesos y recopilar
informacin sobre las act ividades de los at acant es.
Padded cells
Operan en conj unt o con los I DS
Cuando el I DS det ect a el at aque, sin que el at acant e
se de cuent a lo t ransfiere al sist ema padded cell
En est e sist ema, los at acant es est n cont enidos en
un ent orno simulado en el que no pueden causar
dao
Est e ent orno puede t ener dat os int eresant es para
convencer al at acant e que t odo est yendo t al y
como haba planeado
Est os sist emas est n fuert ement e monit orizados
Vent aj as/ I nconvenient es
Vent aj as
Los at acant es son desviados a sist emas en los que pueden causar
daos
Los administ radores t ienen t iempo adicional para decidir como
responder al at aque
Las acciones de los at acant es pueden ser ms fcil y ext ensament e
monit orizadas pudiendo ut ilizar est os result ados para refinar los
modelos de at aques y mej orar las prot ecciones de los sist emas.
I nconvenient es:
I mplicaciones legales no muy claras.
No se ha demost rado a gran escala que sean t ecnologas de
seguridad t iles
Puede cabrear a los posibles at acant es
Se necesit a un mayor nivel de conocimient os por part e de los
administ radores.
Bibliografa
NI ST Special Publicat ion on I nt rusion Det ect ion
Survey: ht t p: / / csrc.nist .gov/ publicat ions/ nist pubs/
800-31/ sp800-31.pdf
I nt rusion Det ect ion Syst ems Product Survey:
ht t p: / / downloads.securit yfocus.com/ library/ idssurve
y.pdf
I nsert ion, Evasion and Denial of Service: Eluding
Net work I nt rusion Det ect ion:
ht t p: / / secinf.net / info/ ids/ idspaper/ idspaper.ht ml
Herramient as de seguridad:
ht t p: / / www.insecure.org/ t ools.ht ml
SNORT: ht t p: / / www.snort .org

Security

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Security

Încărcat de

Drepturi de autor:

Formate disponibile

Introduccin a la criptografa 1

S-ar putea să vă placă și