1.¿Por qué cifrar?
La información es poder: los planos de un nuevo motor de coche eléctrico, la estrategia
electoral de un partido político o la fórmula de un nuevo medicamento. Todos son ejemplos de información que interesa terceras personas: una empresa
de la competencia, un partido rival.
Para sacar el máximo partido de una información hay que compartirla con otros individuos:
el plano del motor o la fórmula deben llegar a la fábrica,y la estrategia electoral se discutirá en algún comité regional. En todos estos casos,el autor del documento(emisor)debe transferirlo a algún soporte (disco duro, CD, pendrive USB, impresión en papel,
cuentade correo electrónico,upload a un servidor web, etc.) y hacer llegar ese soporte hasta el destino (receptor) mediante algún canal de comunicación empresa de mensajería, fax,Internet,etc.)
- Nuestra era de la información y las comunicaciones necesita el cifrado más que nunca,
- porque cada vez existen más medios de almacenamiento (memorias portables de todo
- tipo) y, sobre todo, más mecanismos de comunicación (Fig. 2.1):
- Voz mediante teléfono (fijo/móvil) con tecnología analógica (fijo) y digital (GSM,
- UMTS, RDSI, VoIP), así como el aumento constante de videoconferencias.
- Mensajería electrónica breve (SMS, Skype, WhatsApp) o completa (correo electrónico,
- burofax).
- Datos por línea digital (ADSL, fibra, HFC) o inalámbrica (wifi, UMTS, LTE).
- Apertura de las redes internas de las empresas para que puedan trabajar sus traba-
- jadores (VPN de teletrabajo), sus clientes (acceso web) y otras empresas (VPN de
- empresas), todo a través de Internet.
2.CRIPTOGRAFIA
se refiLa criptografía consiste en tomar el documento original y aplicarle un algoritmo cuyo
resultado es un nuevo documento. Ese documento está cifrado: no se puede entender
nada al leerlo directamente. Podemos, tranquilamente, hacerlo llegar hasta el destinatario,
que sabráaplicar el algoritmo para recuperar el documento original.
Realmente, hace falta algo más que el algoritmo, porque el enemigo también puede
conocerlo (incluso lo utiliza en sus propias comunicaciones). Por ejemplo, nosotros tenemos una red wifi con cifrado WPA, pero el vecino también La privacida la conseguimos gracia a la clave del algoritmo.
Utilizar claves de gran longitud: (512-1024-2048-4096 bytes), de manera que el atacante necesite muchos recursos computacionales para cubrir todo el rango rápidamente.
Cambiar regularmente la clave: De esta forma, si alguien quiere intentar cubrir todo
el rango de claves, le limitamos el tiempo para hacerlo.
Utilizar todos los tipos de caracteres posibles: una clave compuesta solo de números
(diez valores posibles) es más fácil de adivinar que una con números y letras (36 valores
posibles).
No utilizar palabras fácilmente identificables: palabras de diccionario, nombres pro-
pios, etc.
Detectar repetidos intentos fallidos en un corto intervalo de tiempo: Por ejemplo, la
tarjeta del móvil se bloquea si fallamos tres veces al introducir el PIN.
3. Criptografía simétrica y asimétrica
El ejemplo más sencillo es la tarjeta SIM de los teléfonos móviles: para poder usarla
necesitamos introducir el número PIN. Aunque la usemos en otro teléfono, el PIN es el
mismo porque está asociado a la tarjeta. En la sección final de esta unidad veremos otro
ejemplo de tarjeta inteligente: el DNI electrónico.
Las tarjetas inteligentes también se pueden clasificar por su tipo de interfaz:
t Tarjeta de contacto. El lector necesita tocar los contactos metálicos del chip para
interactuar con él. Son las más utilizadas, sobre todo en entornos de alta seguridad,
como el sector bancario, Administración electrónica, etc.
t Tarjeta sin contacto. El lector utiliza tecnologías inalámbricas para interactuar con el
chip. Se utilizan en situaciones donde se necesitan transacciones rápidas, como
el acceso al transporte público.
El cifrado asimétrico no se puede utilizar para cifrar todos los paquetes intercambiados
en una red local porque el bajo rendimiento del algoritmo ralentizaría el tráfico. En su
lugar se adopta un esquema híbrido:
t Criptografía asimétrica solo para el inicio de la sesión, cuando hay que generar un
canal seguro donde acordar la clave simétrica aleatoria que se utilizará en esa con-
versación.
t Criptografía simétrica durante la transmisión, utilizando la clave simétrica acordada du-
rante el inicio de sesión. Generalmente se suele cambiar la clave simétrica cada cierto
tiempo (minutos) para dificultar más el espionaje de la conversación.
Es decir, cuando A quiere establecer una conversación con B, en A se genera en ese
instante una nueva clave simétrica (CS). Para enviársela a B de modo seguro, A la cifra uti-
lizando un algoritmo asimétrico con la clave pública de B. Cuando B recibe la CS cifrada,
la descifra con su clave privada y desde ese momento pueden seguir el diálogo cifrando
con el algoritmo simétrico acordado y la CS
5. PKI. DNIe
Hasta ahora hemos aprendido a enviar documentos a un destinatario de manera que
solo él pueda aprovecharlos (cifrado), y garantizando que el documento es nuestro
(firmado). Pero en todos los casos hemos necesitado una comprobación extra sobre la
clave pública: comparar la huella de esa clave importada con la huella de la clave ori-
ginal, para estar seguros de que vamos a comunicarnos con la persona correcta.
En nuestros casos prácticos ha sido sencillo porque estamos trabajando en la misma
máquina o, como mucho, en la máquina del compañero. Pero la mayoría de las comu-
nicaciones seguras ocurren entre máquinas muy alejadas entre sí que seguramente per-
tenecen a otras empresas. Por ejemplo, las oficinas virtuales de los bancos o el correo
web (Gmail, Hotmail, etc.). No podemos entrar en sus máquinas para ver las huellas ni
negociar con cada uno otro canal seguro donde poder consultarlas.
La solución a este problema es la implantación de una PKI (Public Key Infrastructure,
infraestructura de clave pública). Ahora, en la comunicación segura entre cliente y servi-
dor aparecen nuevos interlocutores:
tLa Autoridad de Certificación (CA [Certificate Authority]), cuya misión es emitir cer-
tificados. Hasta ahora los generábamos nosotros mismos con una herramienta en el
ordenador.
tLa Autoridad de Registro (RA [Registration Authority]), que es la responsable de asegu-
rar que el solicitante del certificado es quien dice ser. Por ejemplo, en los certificados
necesarios para presentar la declaración de la renta, la solicitud se puede hacer por
Internet, pero para recogerlos hay que presentarse con el DNI en una oficina de la
Administración.
tLa Autoridad de Validación (VA [Validation Authority]) es la responsable de compro-
bar la validez de los certificados digitales
necesitamos introducir el número PIN. Aunque la usemos en otro teléfono, el PIN es el
mismo porque está asociado a la tarjeta. En la sección final de esta unidad veremos otro
ejemplo de tarjeta inteligente: el DNI electrónico.
Las tarjetas inteligentes también se pueden clasificar por su tipo de interfaz:
t Tarjeta de contacto. El lector necesita tocar los contactos metálicos del chip para
interactuar con él. Son las más utilizadas, sobre todo en entornos de alta seguridad,
como el sector bancario, Administración electrónica, etc.
t Tarjeta sin contacto. El lector utiliza tecnologías inalámbricas para interactuar con el
chip. Se utilizan en situaciones donde se necesitan transacciones rápidas, como
el acceso al transporte público.
El cifrado asimétrico no se puede utilizar para cifrar todos los paquetes intercambiados
en una red local porque el bajo rendimiento del algoritmo ralentizaría el tráfico. En su
lugar se adopta un esquema híbrido:
t Criptografía asimétrica solo para el inicio de la sesión, cuando hay que generar un
canal seguro donde acordar la clave simétrica aleatoria que se utilizará en esa con-
versación.
t Criptografía simétrica durante la transmisión, utilizando la clave simétrica acordada du-
rante el inicio de sesión. Generalmente se suele cambiar la clave simétrica cada cierto
tiempo (minutos) para dificultar más el espionaje de la conversación.
Es decir, cuando A quiere establecer una conversación con B, en A se genera en ese
instante una nueva clave simétrica (CS). Para enviársela a B de modo seguro, A la cifra uti-
lizando un algoritmo asimétrico con la clave pública de B. Cuando B recibe la CS cifrada,
la descifra con su clave privada y desde ese momento pueden seguir el diálogo cifrando
con el algoritmo simétrico acordado y la CS
5. PKI. DNIe
Hasta ahora hemos aprendido a enviar documentos a un destinatario de manera que
solo él pueda aprovecharlos (cifrado), y garantizando que el documento es nuestro
(firmado). Pero en todos los casos hemos necesitado una comprobación extra sobre la
clave pública: comparar la huella de esa clave importada con la huella de la clave ori-
ginal, para estar seguros de que vamos a comunicarnos con la persona correcta.
En nuestros casos prácticos ha sido sencillo porque estamos trabajando en la misma
máquina o, como mucho, en la máquina del compañero. Pero la mayoría de las comu-
nicaciones seguras ocurren entre máquinas muy alejadas entre sí que seguramente per-
tenecen a otras empresas. Por ejemplo, las oficinas virtuales de los bancos o el correo
web (Gmail, Hotmail, etc.). No podemos entrar en sus máquinas para ver las huellas ni
negociar con cada uno otro canal seguro donde poder consultarlas.
La solución a este problema es la implantación de una PKI (Public Key Infrastructure,
infraestructura de clave pública). Ahora, en la comunicación segura entre cliente y servi-
dor aparecen nuevos interlocutores:
tLa Autoridad de Certificación (CA [Certificate Authority]), cuya misión es emitir cer-
tificados. Hasta ahora los generábamos nosotros mismos con una herramienta en el
ordenador.
tLa Autoridad de Registro (RA [Registration Authority]), que es la responsable de asegu-
rar que el solicitante del certificado es quien dice ser. Por ejemplo, en los certificados
necesarios para presentar la declaración de la renta, la solicitud se puede hacer por
Internet, pero para recogerlos hay que presentarse con el DNI en una oficina de la
Administración.
tLa Autoridad de Validación (VA [Validation Authority]) es la responsable de compro-
bar la validez de los certificados digitales
No hay comentarios:
Publicar un comentario