Documente Academic
Documente Profesional
Documente Cultură
Introduccin
El Reto en la Seguridad
Los sistemas de Tecnologas de la
Informacin
cambian rpidamente
son cada vez ms complejos
El nivel de seguridad
debe crecer tambin!
Teniendo en cuenta el coste!
2
High
Back
Doors
Stealth Diagnostics
DDOS
Sweepers
Sniffers
Exploiting Known
Vulnerabilities
Hijacking
Sessions
Complejidad
de las
herramientas
Disabling
Audits
Self Replicating
Code
Password
Cracking
Complejidad
de uso
Password
Guessing
Low
1980
1990
2000
3
Seguridad
ISO- 7498 establece el modelo de referencia para
la interconexin de sistemas abiertos Modelo
de referencia OSI
Seguridad informtica
Mecanismos que minimizan la vulnerabilidad de
bienes y recursos
un bien es algo de valor
la vulnerabilidad es la debilidad que se puede explotar
para violar un sistema o la informacin que contiene
Temas legales
En varios pases el uso de informacin cifrada
est prohibido
Los temas de seguridad son muy peliagudos y
los Gobiernos tratan de implantar reglas (o
estndares de cifrado) que ellos mismos
puedan descifrar fcilmente
seguridad vs privacidad
Conceptos
seguridad de una red implica la seguridad
de cada uno de los dispositivos de la red
hacker: tiene el objetivo demostrar que algo
no es seguro
cracker: utiliza sus ataques para sacar
beneficio econmico o perjudicar
lamer: utiliza herramientas existentes. No
crea nada nuevo
Amenaza o ataque: intento de sabotear
una operacin o la propia preparacin para
sabotearla (poner en compromiso)
Tipos de amenazas
Compromiso: la entidad atacante obtiene el
control de algn elemento interno de la red,
por ejemplo utilizando cuentas con password
triviales o errores del sistema
Modificacin: la entidad atacante modifica el
contenido de algn mensaje o texto
Suplantacin: la entidad atacante se hace
pasar por otra persona
Reenvo: la entidad atacante obtiene un
mensaje o texto en trnsito y ms tarde lo
reenva para duplicar su efecto
Denegacin de servicio: la entidad atacante
impide que un elemento cumpla su funcin
10
Tema de seguridad
1.- Secretos: criptografa
2.- Protocolos de seguridad
3.- Aplicaciones y seguridad
4.- Redes y seguridad
11
13
Criptografa y criptoanlisis
KRYPTOS = ocultoGRAPHE = escrito
El criptoanlisis se encarga de descifrar los mensajes.
Los intrusos utilizan estas tcnicas.
La criptografa busca mtodos ms seguros de cifrado.
Criptografa clsica. Algoritmo secreto. Cifrados por
sustitucin y transposicin
Criptografa moderna. Algoritmo pblico. Cifrados en
base a claves que se mantienen secretas.
14
El intruso pasivo
simplemente escucha.
Texto n ormal, P
Intruso
Mtodo de
cifrado.
Clave de cifrado, k
Mtodo de
descifrado.
Texto normal, P
Clave de descifrado, k.
Cifrado y descifrado
Dk(Ek(P)) = P
E y D son slo funciones matemticas parametrizadas con la clave k
Estas funciones E( ) y D( ) son conocidas por el criptoanalista,
pero no la clave.
1.- La cantidad de esfuerzo necesario para inventar, probar e instalar un mtodo
nuevo (funciones E y D) cada vez que el viejo es conocido hace impracticable
mantenerlo en secreto.
2.- Este mtodo de cifrado con claves, permite cambiar fcilmente de mtodo
de cifrado simplemente con cambiar la clave
16
Texto n ormal, P
Mtodo de
cifrado.
Clave de cifrado, k
Mtodo de
descifrado.
Texto normal, P
Clave de descifrado, k.
Texto n ormal, P
Mtodo de
cifrado.
Clave de cifrado, k
Mtodo de
descifrado.
Texto normal, P
Clave de descifrado, k.
Texto n ormal, P
Mtodo de
cifrado.
Clave de cifrado, k
Mtodo de
descifrado.
Texto normal, P
Clave de descifrado, k.
CRCs
funciones hash de los mensajes
Ejemplos de cifrado
1. Relleno de una sola vez
2. Criptografa cuntica
3. Criptografa clsica
sustitucin
transposicin
4. Criptografa moderna
0x74 XOR 0x45 = 0111 0100 XOR 0100 0101 = 0011 0001 = 0x31
Para el descifrado, simplemente volvemos a aplicar con
XOR la misma cadena de cifrado.
22
Si capturo:
31 0B 58 01 01 00 0F 1C 01 13 13 44 0B
y aplico clave (incorrecta)
54 78 0C 60 72 73 7A 6F 71 76 7C 21 64
Texto original?
65 73 74 61 73 73 75 73 70 65 6F 65 6F
e
23o
24
Se emiten fotones
Luz se polariza
o dependiendo del filtro usado se polariza de una
forma u otra
Clave = filtros
Empezando a comercializarse
25
Usuario A 1 0 0 1 1 1 0 0 1
26
abcdefghijklmnopqrstuvwxyz
Clave:
defghijklmnopqrstuvwxyzabc
Texto cifrado C:
dw dt xh
27
28
digramas
castellano: de, en,
ingles: th, in
trigramas
castellano: del, que,
ingles: the, ing, and
29
30
financial
Buscamos letras repetidas en el texto cifrado con este espaciado.
31
financial
CTBMNBYCTCBTJDSQXBNSGSTJCBTSWXCTQTZCQVUJ
QJSGSTJQZZMNQJSVLNSXVSZJUJDSTSJQUUSJUBXJ
DSKSUJSNTKBGAQJZBGYQTLCTZBNYBNQJSW
32
33
A
H
B
I
O
V
C
J
P
W
D
K
Q
X
E
L
R
Y
F
M
S
Z
G
N
T
+
(n FILA, n COLUMNA)
HOLA=(2,1),(3,2),(2,5),(1,1)
34
35
C = Lvr
cripto
152463
La cla
ve sec
retaes
AR
36
Transposicin o sustitucin?
Un texto est cifrado por transposicin, cuando las
frecuencias de las letras respecto al alfabeto se
mantiene. Por ejemplo, la letra a seguir
apareciendo el 63% de las veces, mientras que el
sustitucin, si a se sustituye por q, entonces
la letra q aparecer el 63%.
Conocido el contexto del mensaje y buscando las
diferentes posibilidades de combinacin de letras
en palabras comunes, el criptoanalista puede
determinar fcilmente la longitud de la clave y
posteriormente la ordenacin de columnas.
37
aauancvlrerurnndltmeaeepbytusticeatnpmeyiicgo
gorchsrsocnntiiimihaoofpagsivttpsitlbolrotoex
Si se han usado 2 columnas debe aparecer cm
Si se han usado 3 columnas debe aparecer cp
Si se han usado 4 columnas debe aparecer cu
Si se han usado 5 columnas debe aparecer ct
Si se han usado 6 columnas debe aparecer ce
aauancvlrerurnndltmeaeepbytusticeatnpmeyiicgo
gorchsrsocnntiiimihaoofpagsivttpsitlbolrotoex
38
adigit
alcomp
uteris
amachi
nethat
cansol
veprob
lemsfo
rpeopl
ebycar
ryingo
utinst
ructio
nsgive
ntoit
39
Criptografa moderna
Mismas ideas bsicas que la criptografa tradicional,
la transposicin y la sustitucin (que pueden
implementarse mediante circuitos), pero con distinta
orientacin.
Criptografa tradicional
algoritmos sencillos y secretos
claves muy largas
Criptografa moderna
Ejemplo Circuitos P y S
Caja P
Caja S
3a8
8a3
Bit 0
Bit 0
41
S5
S2
S6
P1
P2
P3
S3
S7
S4
S8
42
DES (2/4)
L i-1
R i-1
Transposicin inicial
Iteracin
Clave
de 56
bits.
Iteracin 2
L i-1 op f(R
i-1 ,K i)
Iteracin 16
Intercambio de 32 bits
Transposicin inversa
32 bits R
DES (3/4)
48
DES (4/4)
Y la clave?:
En cada una de las 16 iteraciones, se usa una clave diferente.
Antes de iniciarse el algoritmo, se aplica una transposicin
de 56 bits a la clave.
Antes de cada iteracin, la clave se divide en dos unidades de
28 bits, cada una de las cuales se desplaza (gira) hacia la
izquierda una cantidad de bits dependiente del nmero de
iteracin.
Ki se deriva de esta clave girada aplicndole otra
transposicin de 56 bits. Adems en cada etapa de
iteracin, se extrae y permuta de los 56 bits un subgrupo
de 48 bits diferente para la XOR de la funcin f().
49
Es seguro el DES?
Dado un trozo pequeo de texto normal y el texto cifrado
correspondiente, se puede encontrar la clave en unas horas
con el hardware del DES, mediante una bsqueda
exhaustiva del espacio de claves de 256
DES no es seguro
Doble DES: Ejecutar el DES 2 veces, con 2 claves de 56 bits
distintas. Esto proporciona un espacio de claves de 2112
Se ha desarrollado un mtodo de ataque llamado encuentro a
la mitad que lo hace tambin vulnerable con 257
operaciones
50
K1
K2
K1
Desencriptado
C
K1
K2
K1
En T-DES con EDE se usan slo 2 claves ya que 112 bits de clave son suficientes
para las aplicaciones comerciales.
La solucin EEE es mucho ms segura con clave de 168 bits.
51
52
Iteracin 1
Iteracin 2
Iteracin 7
Solo 8 iteraciones!
Debido a extensa alteracin de bits
en cada iteracin
y 1 transformacin
Como con todos los cifrados de bloque, el
algoritmo IDEA tambin puede usarse en
el modo de realimentacin de cifrado,
(como el DES en el T-DES)
Iteracin 8
Transformacin
K1
K2
K5
K3
K4
6 subclaves * 8 iteraciones + 4
(para la transformacin final)
K6
#
OR EXCLUSIVO de 16 bits
3 operaciones
54
Otros
RC5
Blowfish
Posible solucin:
Cifrado basado en flujo, que operan por bloques, pero
convolucionando (por ejemplo con una XOR) la salida actual con
salidas anteriores o con la entrada. Ejemplos: RC2, RC4 y CAST.
Estos mtodos tambin se llaman CBC (Cipher Block Chain)
56
Mtodo en bloques
i(n)
o(n)
57
En
59
Usuario A
Usuario B
DB EB
P = Mi cuenta bancaria es 0000-1111
E B(P)
DB(E B(P)) = P
A toma su primer mensaje P, calcula EB(P) y lo enva a B
B entonces lo descifra aplicando su clave secreta DB, es decir,
calcula DB(EB(P)) = P
60
Usuario A
Usuario B
E B(P)
DB EB
DB(E B(P)) = P
B ya sabe la clave que quiere usar A
DA(E A(P))=P
E A(P)
61
n=p*q
z = (p-1) * (q-1) La funcin multiplicativa de Euler
62
e, n son pblicos
Usuario A
Algoritmo RSA
Usuario B
e,n
d, n
P = 01010011101
e
C = P (mod n)
P = Cd (mod n)
63
p=3
q = 11
n=n
p *= q33
z = 20* (q-1)
z = (p-1)
3.- Seleccionar un nmero d primo relativo condz= 7
(sin ningn factor comn)
e * 7 mod 20 = 1
=> e = 3
(e,n) = (3,33)
(d,n) = (7,33)
64
P = suzanne
C = P3 (mod 33)
s
u
z
a
n
n
e
19
21
26
01
14
14
05
6859
9261
17576
1
2744
2744
125
19
21
26
01
14
14
05
e, n son pblicos
Usuario B
7, 33
P = C7 (mod 33)
28
21
20
01
05
05
26
3,33
13492928512
1801088541
1280000000
1
78125
78125
8031810176
19
21
26
01
14
14
05
s
u
z
a
n
n
e
65
PKCS#1
RSA
PKCS#3
PKCS#11
PKCS#12
67
Factorizacin
Curvas elpticas,
Logaritmos discretos (ej. El Gammal),
Raices cuadradas (ej. Rabin)
69
Flexibility
Autosensing 10/100 Fast Ethernet + two WIC (WAN interface Card)slots +
AUX port
Any combination of current 1600 WICs and 2600 dual serial WICs
Hardware Encryption:
Tarjetas Advanced Integration Module (AIM)
para diferente gama de routers Cisco.
3620/40
NM 4 Mbps
3660
AIM 8 Mbps,
1900
Network Module
IPSec and 3DES support
Interoperable with Cisco IOS
encryption s/w platforms
Optional layer 3 compression
Performance enhancements through
planned Cisco IOS updates
VPN
Access
Integrated
Firewall
72
74