lunes, 24 de septiembre de 2007

¿Qué es Encriptación?

Encriptación es el proceso mediante el cual cierta información o texto sin formato es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros. Opcionalmente puede existir además un proceso de desencriptación a través del cuál la información puede ser interpretada de nuevo a su estado original, aunque existen métodos de encriptación que no pueden ser revertidos. El término encriptación es traducción literal del inglés y no existe en el idioma español. La forma más correcta de utilizar este término sería cifrado.

Criptología

La encriptación como proceso forma parte de la criptología, ciencia que estudia los sistemas utilizados para ocultar la información.


La criptología es la ciencia que estudia la transformación de un determinado mensaje en un código de forma tal que a partir de dicho código solo algunas personas sean capaces de recuperar el mensaje original.


La mayoría de los algoritmos modernos del cifrado se basan en una de las siguientes dos categorías de procesos:

  • Problemas matemáticos que son simples pero que tienen una inversa que se cree (pero no se prueba) que es complicada

  • Secuencias o permutaciones que son en parte definidos por los datos de entradas.

La primera categoría, que resume la mayoría de los métodos del cifrado de clave pública, sufre de la incapacidad de probar la dificultad de los algoritmos. El segundo método, que contiene a la mayoría de los códigos, sufre a menudo de correlaciones teóricas entre la entrada ("texto de entrada") y la salida ("texto cifrado").

Usos de la Encriptación

Algunos de los usos más comunes de la encriptación son el almacenamiento y transmisión de información sensible como contraseñas, números de identificación legal, números de tarjetas de crédito, reportes administrativo-contables y conversaciones privadas, entre otros.
Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no repudio de la misma entre otros aspectos.
Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación de Datos.

Métodos de Encriptación

Para poder Encriptar un dato, se pueden utilizar tres procesos matemáticos diferentes:
Los algoritmos HASH, los simétricos y los asimétricos.

1. Algoritmo HASH:
Este algoritmo efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número único llamado MAC. Un mismo documento dará siempre un mismo MAC.

2. Criptografía de Clave Secreta o Simétrica
Utilizan una clave con la cual se encripta y desencripta el documento. Todo documento encriptado con una clave, deberá desencriptarse, en el proceso inverso, con la misma clave. Es importante destacar que la clave debería viajar con los datos, lo que hace arriesgada la operación, imposible de utilizar en ambientes donde interactúan varios interlocutores.
Los criptosistemas de clave secreta se caracterizan porque la clave de cifrado y la de descifrado es la misma, por tanto la robustez del algoritmo recae en mantener el secreto de la misma.
Sus principales características son:
  • rápidos y fáciles de implementar
  • clave de cifrado y descifrado son la misma
  • cada par de usuarios tiene que tener una clave secreta compartida
  • una comunicación en la que intervengan múltiples usuarios requiere muchas claves secretas distintas

Actualmente existen dos métodos de cifrado para criptografía de clave secreta, el cifrado de flujo y el cifrado en bloques.

  • Cifrado de flujo
    El emisor A, con una clave secreta y un algoritmo determinístico (RKG), genera una secuencia binaria (s) cuyos elementos se suman módulo 2 con los correspondientes bits de texto claro m, dando lugar a los bits de texto cifrado c, Esta secuencia (c) es la que se envía a través del canal. En recepción, B, con la misma clave y el mismo algoritmo determinístico, genera la misma secuencia cifrante (s), que se suma modulo 2 con la secuencia cifrada (c) , dando lugar a los bits de texto claro m.
    Los tamaños de las claves oscilan entre 120 y 250 bits
  • Cifrado en bloque
    Los cifrados en bloque se componen de cuatro elementos:
    - Transformación inicial por permutación.
    - Una función criptográfica débil (no compleja) iterada r veces o "vueltas".
    - Transformación final para que las operaciones de encriptación y desencriptación sean simétricas.
    - Uso de un algoritmo de expansión de claves que tiene como objeto convertir la clave de usuario, normalmente de longitud limitada entre 32 y 256 bits, en un conjunto de subclaves que puedan estar constituidas por varios cientos de bits en total.

3. Algoritmos Asimétricos (RSA):

Requieren dos Claves, una Privada (única y personal, solo conocida por su dueño) y la otra llamada Pública, ambas relacionadas por una fórmula matemática compleja imposible de reproducir. El concepto de criptografía de clave pública fue introducido por Whitfield Diffie y Martin Hellman a fin de solucionar la distribución de claves secretas de los sistemas tradicionales, mediante un canal inseguro. El usuario, ingresando su PIN genera la clave Publica y Privada necesarias. La clave Publica podrá ser distribuida sin ningún inconveniente entre todos los interlocutores. La Privada deberá ser celosamente guardada. Cuando se requiera verificar la autenticidad de un documento enviado por una persona se utiliza la Clave Publica porque el utilizó su Clave Privada.

Firma Digital

Origen:

El concepto de firma digital nació como una oferta tecnológica para acercar la operatoria social usual de la firma ológrafa (manuscrita) al marco de lo que se ha dado en llamar el ciberespacio o el trabajo en redes.


Concepto:
Es la transformación de un mensaje utilizando un sistema de cifrado asimétrico de manera que la persona que posee el mensaje original y la clave pública del firmante, pueda establecer de forma segura, que dicha transformación se efectuó utilizando la clave privada correspondiente a la pública del firmante, y si el mensaje es el original o fue alterado desde su concepción.


Ventajas Ofrecidas por la Firma Digital:
El uso de la firma digital satisface los siguientes aspectos de seguridad:

  • Integridad de la información: la integridad del documento es una protección contra la modificación de los datos en forma intencional o accidental. El emisor protege el documento, incorporándole a ese un valor de control de integridad, que corresponde a un valor único, calculado a partir del contenido del mensaje al momento de su creación. El receptor deberá efectuar el mismo cálculo sobre el documento recibido y comparar el valor calculado con el enviado por el emisor. De coincidir, se concluye que el documento no ha sido modificado durante la transferencia.

  • Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor del documento, garantizándole que dicho mensaje ha sido generado por la parte identificada en el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del sistema. Esto se logra mediante la inclusión en el documento transmitido de un valor de autenticación (MAC, Message autentication code). El valor depende tanto del contenido del documento como de la clave secreta en poder del emisor.

  • No repudio del origen: el no repudio de origen protege al receptor del documento de la negación del emisor de haberlo enviado. Este aspecto de seguridad es más fuerte que los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha generado dicho mensaje, transformándose en un medio de prueba inequívoco respecto de la responsabilidad del usuario del sistema.

Tunneling

Concepto


Para poder alcanzar los objetivos de seguridad y de confiabilidad que se plantean en una VPN es necesario apelar a protocolos que se ocupen de la creación de un túnel lógico y a la encriptación y desencriptación de los paquetes que son transmitidos.
El túnel es un método por el cual se hace uso de una red intermedia para transferir datos de un extremo a otro. Los paquetes que se transmiten se encapsulan sobre otro encabezado correspondiente al protocolo de túnel, este nuevo encabezado contiene la información necesaria para que el paquete atravesando la red intermedia llegue al destino correspondiente, una vez llegados a destino son desencapsulados y dirigidos al destino final.
Un túnel es un canal virtual, configurado entre dos sistemas remotos que se encuentran en diferentes redes, sobre una conexión real que involucra más de un nodo intermedio.

Técnica:


La técnica de “tunneling” consiste en encapsular un mensaje de un protocolo dentro de sí mismo aprovechando ciertas propiedades del paquete externo con el objetivo de que el mensaje sea tratado de forma diferente a como habría sido tratado el mensaje encapsulado. De esta forma un paquete puede “saltar” la topología de una red. Por ejemplo, un túnel puede ser usado para evitar un firewall (con los peligros consecuentes de esta decisión). Esta es una consideración a tener en cuenta al configurar un túnel.


Características y requerimientos básicos:


Las características más importantes de los protocolos que soportan “tunneling” son encriptado de datos, autenticación, autorización e integridad de datos; muchas de estas características son posibles gracias al encriptado completo del paquete encapsulado.


Se pueden destacar como requerimientos básicos de un protocolo de túnel que cumpla con las siguientes condiciones:


  • Autenticación de usuario
  • Asignación dinámica de direcciones
  • Compresión de datos
  • Encriptación de datos
  • Administración de llaves
  • Soporte multiprotocolo

Tipos de túneles

  • Túneles Voluntarios: Un usuario o estación de trabajo cliente puede emitir una petición VPN para configurar y crear un túnel voluntario. En este caso, el usuario es un terminal del túnel y actúa como el cliente del mismo.
  • Túneles Compulsivos: Una VPN con servidor con capacidad de acceso por llamada, configura y crea un túnel, donde el usuario no es un terminal del mismo. Otro dispositivo, el RAS (Servidor de Acceso Remoto), entre la computadora usuario y el servidor de túnel es la terminal del túnel y actuará como cliente.