Unidad Didctica 4

Introduccin a los Protocolos y Servicios de Seguridad

Contenido
1.
2.
3.
4.
5.
6.
7.

La problemtica de la seguridad en las redes

Servicios de seguridad
Criptografa de clave secreta y clave pblica
Algoritmos de cifrado simtricos y asimtricos
Firma digital
Gestin y distribucin de claves
Certificacin digital

1. La problemtica de la seguridad en las redes:

Problemtica de la seguridad en redes

Redes formadas por mltiples equipos y sistemas dispersos geogrficamente.

Posibilidad de ataques y operaciones no autorizadas.
Necesidad de proteger los datos.
Usuarios acceden remotamente.
Suplantacin de personalidad.
Manipulacin de la informacin enviada/recibida.
Necesidad de establecer controles de acceso para garantizar la autenticidad de los
datos.

Concepto de seguridad en redes

Conjunto de tcnicas que tratan de minimizar la vulnerabilidad de los sistemas.

No es posible la seguridad total.
Las medidas de seguridad deben ser proporcionales al bien que se intente proteger.

Redes y Servicios Tema: 4

Pgina 1

Concepto de amenaza
Amenaza (Threat): (RFC 2828 - Internet Security Glossary) A potential for violation of security,
which exists when there is a circumstance, capability, action, or event that could breach
security and cause harm
Una posibilidad de violacin de la seguridad, que existe cuando se da una circunstancia,
capacidad, accin o evento que pudiera romper la seguridad y causar perjuicio
-Tipos de amenazas:
Pueden ser accidentales o intencionales:

Destruccin de la informacin.
Modificacin de la informacin.
Robo o publicacin indebida de la informacin.
Interrupcin del servicio.

Concepto de ataque
Ataque (Attack): RFC 2828 - Internet Security Glossary
An assault on system security that derives from an intelligent threat, i.e., an intelligent act
that is a deliberate attempt (especially in the sense of a method or technique) to evade
security services and violate the security policy of a system.
Un asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir, un acto
inteligente y deliberado (especialmente en el sentido de mtodo o tcnica) para eludir los
servicios de seguridad y violar la poltica de seguridad de un sistema).
Tipos de ataques ms significativos:

Redes y Servicios Tema: 4

Pgina 2

Otros tipos de Ataques:

Virus
Gusano (worm)
Puerta falsa o trampilla (trapdoor)
Caballo de Troya (Troyan Horse)

2. Servicios de seguridad:
Los servicios de seguridad protegen las comunicaciones frente a distintos ataques.
Un protocolo de seguridad consiste en un conjunto de reglas y formatos que determinan el
intercambio de piezas de informacin entre entidades N para prestar determinados servicios
de seguridad a las entidades N+1.
Los mecanismos de seguridad se usan para implementar un determinado servicio de
seguridad.

Mecanismos criptogrficos: Los mecanismos de seguridad se apoyan principalmente en

tcnicas criptogrficas.

La mayora de ellos son, por tanto, mecanismos criptogrficos.

La criptografa es la base de apoyo de los servicios de seguridad, pero nada ms.

Servicios de seguridad: Lo ms importante para el usuario son los servicios ofrecidos y la

interfaz de usuario a travs de la cual puede utilizarlos.
Un servicio de seguridad no suele aparecer aislado, sino como mejora de la funcionalidad de
otro servicio telemtico cualquiera.

Redes y Servicios Tema: 4

Pgina 3

Principales servicios de seguridad:

Autenticacin: garantiza que una entidad (persona o dispositivo) es quin dice ser.
Control de acceso: impide que entidades no autorizadas accedan a los recursos.
Confidencialidad: protege los datos de la revelacin a un usuario no autorizado.
Integridad: garantiza que los datos recibidos coinciden con los enviados (detecta
aadidos, sustraccin o cambios).
No repudio: evita que emisor o receptor puedan negar la transmisin de un mensaje.
1. con prueba de origen
2. con prueba de envo
3. con prueba de entrega
Disponibilidad: propiedad de un sistema o recurso de estar accesible y utilizable a
entidades autorizadas.
Anonimato: mantiene oculta la identidad de alguna de las entidades participantes en la
comunicacin.
3. Criptografa de clave secreta y clave pblica
Inicios de la criptografa. Criptografa moderna

Se apoya en el uso de ordenadores.

Las tcnicas criptogrficas actuales estn orientadas a garantizar mensajes seguros
sobre canales inseguros.
1. El emisor cifra el mensaje (su contenido queda oculto a posibles intrusos durante la
transmisin).
2. El receptor descifra el mensaje para obtener el original.
El algoritmo de cifrado/descifrado es pblico.
Deben custodiarse adecuadamente las claves.

Redes y Servicios Tema: 4

Pgina 4

Sistemas criptogrficos modernos:

Criptosistemas de clave secreta o simtricos:

La clave de cifrado y descifrado es la misma.

Es secreta.
La conocen emisor y receptor.

Criptosistemas de clave pblica o asimtricos

Cada usuario dispone de dos claves:

Una clave es privada y slo la conoce el usuario.

La otra clave es pblica y debe ser conocida por las restantes entidades que
intervienen en la comunicacin. Esta clave ser la base del certificado digital que se
estudiar ms adelante.

4.Algoritmos de cifrado simtricos y asimtricos

Redes y Servicios Tema: 4

Pgina 5

Redes y Servicios Tema: 4

Pgina 6

1.
2.
3.
4.

A desea enviar un mensaje a B que solo B pueda leer (confidencialidad).

A cifra el mensaje m con la clave pblica de B (c = Bp (m)).
A enva a B el mensaje cifrado c.
B descifra c con su clave privada que slo l conoce (m = Bs(c)).

1. A desea enviar un mensaje a B de forma que B tenga prueba de que ha sido generado
por A (autenticacin)
2. A cifra el mensaje m con su clave privada que slo ella conoce.
3. A enva a B el mensaje cifrado c.
4. B descifra c con la clave pblica de A.
5. Si A hubiera enviado tambin m, B podra comprobar tambin la integridad de m.

Redes y Servicios Tema: 4

Pgina 7

1. A cifra con la clave privada de A, y despus con la clave pblica de B.

2. B descifra con su clave privada que slo l conoce por lo que se garantiza la
confidencialidad.
3. Despus, B descifra con la clave pblica de A, por lo que el mensaje slo puede venir
de A (autenticacin de origen).
4. Si A hubiera enviado tambin m, B podra comprobar tambin la integridad de m.

Redes y Servicios Tema: 4

Pgina 8

Algunos ejemplos de algoritmos de cifrado simtrico:

a)
b)
c)
d)

DES (Data Encryption Standard, 1977).

3DES
IDEA (International Data Encryption Algorithm, 1990)
Rinjdael (AES, Advanced Encryption Standard, 1997)

Redes y Servicios Tema: 4

Pgina 9

Redes y Servicios Tema: 4

Pgina 10

Redes y Servicios Tema: 4

Pgina 11

Redes y Servicios Tema: 4

Pgina 12

Algunos ejemplos de algoritmos de cifrado asimtrico:

a)
b)
c)
d)

Criptosistema RSA (Rivest, Shamir y Adleman, 1978)

Algoritmo de la Mochila (Merkle-Hellman)
Algoritmo de Rabin
Algoritmo de ElGamal

RSA es un cifrador de bloque en el que el texto plano y el texto cifrado son enteros entre 0 y
n-1 para algn n. Se basa en propiedades de los nmeros primos y en la dificultad de factorizar
nmeros grandes.

Redes y Servicios Tema: 4

Pgina 13

Criptosistemas de clave pblica: La operacin de transformacin de un mensaje m en un

mensaje cifrado c es computacionalmente fcil, pero a la inversa es impracticable. Para
aumentar la potencia del algoritmo se puede aumentar el tamao de las claves.
Cifrado por A de un mensaje m con su clave privada
El mensaje cifrado es aproximadamente del mismo tamao que el mensaje original. Si el
mensaje es muy grande este mtodo es poco eficiente.
Lo que habitualmente se cifra con la clave privada del emisor es una muestra reducida o
resumen, denominada firma digital.

Redes y Servicios Tema: 4

Pgina 14

Mecanismo de firma digital y Resumen o valor Hash:

El resumen del mensaje se calcula mediante una funcin hash. Propiedades funcin hash:
La salida es siempre de tamao fijo, sin importar el tamao de la entrada.
Es una funcin unidireccional.
Una funcin hash aplicada a bloques diferentes produce resultados diferentes.
Ejemplos de funciones hash: MD5, SHA1, RIPEMD-160

Redes y Servicios Tema: 4

Pgina 15

6. Gestin y distribucin de claves

Problemas para la obtencin de claves:

Clave simtrica: Necesidad de que las dos partes acuerden e intercambien su clave
secreta a lo largo del tiempo.
Clave pblica: Obtener la verdadera clave pblica de alguien.

Ambos problemas se pueden resolver utilizando un intermediario de confianza:

Criptografa simtrica con el Centro de Gestin de Claves, CGC (KDC)

Criptografa de clave pblica con la Autoridad de Certificacin, CA (Certification
Authority).

El CGC es un servidor que comparte una clave secreta con cada usuario.
El conocimiento de esta nica clave permite a un usuario A obtener una clave para
comunicarse de manera segura con cualquier otro usuario registrado:
1. Utilizando su clave individual kA, A enva un mensaje p al CGC indicando que desea
comunicarse con B.
2. El CGC genera aleatoriamente la clave de sesin ks y se la enva a A, cifrada con la clave
individual de A, junto con el par (A, ks) cifrado con la clave individual de B.
3. A descifra el mensaje del CGC y extrae ks, que ser utilizada como clave de sesin.
Enva a B (A, ks) cifrado con la clave individual de B.
4. B descifra el mensaje recibido utilizando su clave secreta y extrae (A, ks) . A partir de
ese momento, A y B se pueden comunicar de forma segura

Redes y Servicios Tema: 4

Pgina 16

Inconvenientes de la criptografa simtrica

Los criptosistemas simtricos son inaplicables en entornos con gran cantidad de

entidades participantes, debido al nmero de claves necesario para proporcionar
confidencialidad.
Son ms vulnerables que los criptosistemas de clave pblica.
Necesidad de renovacin peridica de las claves.

El servidor de claves pblicas proporciona a la entidad que lo solicita la clave pblica de las
restantes entidades pertenecientes al dominio de seguridad.
Problemas con la distribucin en red de claves pblicas

La clave pblica puede haber sido revocada

La clave pblica puede ser falsa.
Es preciso garantizar la propiedad y validez de la clave pblica mediante un
certificado que haya sido expedido por una autoridad de confianza (CA, Autoridad
de Certificacin).

Formato simplificado del certificado

Redes y Servicios Tema: 4

Pgina 17

Confianza en el certificado:

Confianza en la CA que emiti el certificado.

Todos los miembros del dominio conocen la clave pblica de la CA y estn seguros
de que es vlida.

Redes y Servicios Tema: 4

Pgina 18

Redes y Servicios Tema: 4

Pgina 19