Criptografia para Todos

Criptografa para Todos Pg. 1 Neo West www.nexus-net.com.
ar

Criptografa para todos

por Neo West

Criptografa para Todos Pg. 2 Neo West www.nexus-net.com.ar
Copyright

2006. Nexus- Net Todos los derechos reservados

Este documento puede ser distribuido libre y gratuitamente bajo cualquier soporte o
medio, siempre que se respete su integridad y autor.
El autor a usado informacin de la red Internet para completar sus artculos,
respetando la propiedad de autor.

Agradecimientos

A mis hijos, Nadir, Julin y Octavio,
esperando que el mundo que les
toque por vivir sea mucho mejor que
el nuestro.

A mis amigos del alma, Ignacio,
Javier, Guillermo y todos los Nexus,
esperando que lo disfruten y
aprendamos juntos.

A mi viejo, Mario, Juli y la Gorda que
me ensearon que el conocimiento
no es solo de unos pocos.

A todas esas personas que
estuvieron y estn a mi lado, sin las
cuales hoy seria un hombre vaco y
conformista.

PREFACIO

Empec escribiendo esto como un artculo para
nuestro magazine www.nexus-net.com.ar y
termin siendo varios artculos todos
relacionados, lo que me llevo a agruparlos y
conseguir esto, que bajo mi humilde opinin,
esta ms claro y mejor distribuido. Tampoco
pretende ser un compilado de matemtica y
lgica, lo trate de hacer lo mas entendible
posible.

La verdad es que no saba por donde comenzar,
como siempre, as que la hice bastante fcil,
por donde empezar?, por el principio, claro!!,
y cual era el principio?.. verdaderamente nadie
sabe, solo me viene a la memoria esos
jeroglficos de los hombres de cromaon,
cuando enseaban sus proezas de caza en
forma de grficos, a sus predecesores, lo cual
obviamente entenderan el mensaje solamente
la tribu que sabia dibuj ar. Vaya a saber..

De algo estoy seguro, la criptografa nos ha
acompaado desde el principio de la
humanidad, y al ver las cosas hoy, nos seguir
acompaando por mucho ms tiempo.

San Juan - Argentina, 5 de Junio de 2006.

NDICE:

I. Copyright...........................................................................Pg. 2
II. Agradecimientos................................................................Pg. 3
III. Prefacio..............................................................................Pg. 4
IV. Introduccin.......................................................................Pg. 6
a. Echelon............................................................................
b. Definiciones ....................................................................
c. Criptosistemas.................................................................
d. Tipos de Criptosistemas .................................................
V. Criptografa Antigua.......................................................Pg. 11
a. Algoritmo de Cesar.........................................................
b. Enigma.............................................................................
c. Otras Maquinas...............................................................
VI. Criptografa Moderna......................................................Pg. 15
a. Algoritmos simtricos....................................................
b. DES..................................................................................
c. TRIPLE DES...................................................................
d. IDEA................................................................................
e. RCA 4/5...........................................................................
f. MD5.................................................................................
g. SHA.................................................................................
VII. Algoritmos Asimtricos..................................................Pg. 17
a. Clave Pblica y Privada..................................................
b. Diffie/Hellman................................................................
c. RSA..................................................................................
VIII. Firmas Digitales ..............................................................Pg. 19
a. Funciones HASH............................................................
b. Ley de Firma Digital ARGENTINA.............................
IX. Criptografa en Sistemas Operativos..............................Pg. 23
a. EFS ..................................................................................
b. IPSec................................................................................
c. Kerberos ..........................................................................
d. Problemas con Kerberos.................................................
X. Software Criptogrfico...................................................Pg. 31
a. PGP..................................................................................
b. PGPkeys ..........................................................................
c. PGPtools..........................................................................
d. Phill Zimmermann - Entrevista......................................
e. Esteganografa.................................................................
f. S-Tools ............................................................................
g. Manejo de S-Tools
h. Tcnica Usada.................................................................
XI. Epilogo.............................................................................Pg. 41

INTRODUCCION

Hay algunas personas que no estn muy contentas que la criptografa
este al alcance de todos, lamentablemente en algunas regiones de
Norteamrica y Europa existe una guerra donde el enemigo se sabe quien es,
pero no se sabe donde esta, y este enemigo llmese Al Qaeda, Bin Ladden o
lo que fuese, burlan da a da a agencias como la CIA, NSA, FBI, sistemas
como ECHELON, ENFOPOL, CARNIVORUS, satlites espas y dems yerbas.
Cmo lo hacen? Comunicndose de una manera diferente, usando
criptografa para ocultar sus mensajes, fotos y hasta sonidos.
Si nos remontamos tiempo atrs, y nos acordamos que pas el 11 de
Septiembre de 2001, recordaran que los terroristas que se inmolaron en los
ataques, segn la NSA, manejaban sus mensajes por comunicacin clsica,
como email y cartas comunes, pero pasaron invisibles para las agencias de
seguridad ya que sus datos estaban encriptados.
Esto no significa de ninguna manera que la encriptacin sea una tcnica de
terroristas, ya que tampoco lo es el email, pero algunas personas no
piensan lo mismo, y quisieran ver esta ciencia totalmente controlada, mejor
an, olvidada.
A veces me digo, el hombre solo es un animal racional pero la mayor parte
del tiempo parece que le molestara la razn y se vuelve nada ms que
animal.
Y como para muestra sobra un botn, le voy a comentar algo que tal vez lo
conocan, pero no esta de mas refrescar la (como dice chiche) memoria.

Que es ECHELON?
Echelon es el antiguo sistema de espionaje a escala mundial, que junto
con UKUSA y el empleo de Satlites INTELSAT, los gobiernos de USA y
Europa pueden acceder e interceptar todas las comunicaciones tradicionales
como el telfono, celulares, el fax, email y paginas Web, no se ran, yo tambin
los hice al escucharlo por primera vez, hasta que encontr informacin que
confirmaba mis miedos de que mi vida privada, ya no era mas privada.

Hace tiempo que encontr en Internet un tal Nicky Hagars, que escribi un
libro llamado Secret Power donde el autor nos dice que estamos siendo
espiados en todo momento, y en cualquier lugar. Cmo? Imaginen esto.

Existe un mtodo de espionaje que no necesita tener contacto directo con la
informacin, este mtodo aprovecha la radiacin electromagntica del monitor
para que, sin estar cerca, observar en la pantalla espiada, lo que se escribe. El
mtodo se llama TEMPEST, y parece ser el preferido de la CIA.
Si despus se toma el telfono y se llama, la comunicacin, ser escuchada y
grabada en la central en que tambin tendr acceso ECHELON, sistema
diseado para escuchar, leer y rastrear cualquier informacin, de cualquier
tipo, en cualquier lugar.
Esta es de terror, en USA y EUROPA se venden telfonos con sistema GSM
que por defecto viene activado un sistema GPS, que permite ubicar, por medio
de satlites de baja altura, al celular y obviamente a su dueo, y si no me
creen, si alguien tiene un Nokia 3586i, adivinen que significa el i?,
acertaron, modelo con GPS.

El sistema se fue perfeccionando y hoy en da se habla del sucesor de Echelon
llamado Enfopol, el cual le agrega al sistema, una aumentada AI (inteligencia
artificial) al anterior modelo lo que lo hace el mas poderoso sistema de
espionaje ciberntico.

No nos vamos tan lejos, sencillamente investiguemos cuantas cookies tiene
nuestro querido Windows, que rastrea nuestros gustos y preferencias cuando
navegamos por Internet, o me van a decir que nunca recibieron un email, el
cual nunca pedimos, pero que extraamente, se ajusta a la bsqueda de
informacin que hicimos la semana pasada.

Y ahora que opinan?, me sincero, a mi me causa un poco un poquito de
escozor, yo quiero que mis email sigan siendo mos y que ninguna agencia,
por imponente que sea, los investigue por un simple por las dudas.

Ac mismo en Argentina recientemente se le dio curso a la ley que obliga a las
compaas proveedoras del sistema telefnico a mantener grabadas las
comunicaciones de todos los telfonos (fijos y celulares) por el espacio de 1
ao.

Dnde quedaron las libertadas garantizadas por la Constitucin Nacional?
Dnde quedo la 5ta enmienda que tanto proclaman los norteamericanos?

Como mi pregunta quedar sin respuesta, me voy a conformar con proteger lo
mo de miradas indiscretas, llmenme loco o paranoico, yo quiero seguir
teniendo algo que nunca debimos perder, PRIVACIDAD

Es por ello que escribo este artculo sobre criptografa, ya que es la nica forma
de que mis mensajes los lea solamente la gente que yo quiero, para que mis
datos privados se mantengan en un disco virtual donde solo yo tengo la
contrasea para entrar, y fundamentalmente quiero tambin que ustedes sepan
lo mismo que yo, y que puedan decidir, si algn da necesitan algo privado, que
sea verdaderamente privado.

Lo ltimo, saban que usar mtodos criptogrficos en USA y fuera de ella es
considerado arma de guerra?. En este punto, ya no me sorprende nada.

DEFINICIONES:

La palabra criptografa proviene del griego kryptos, que significa OCULTO y
grphein, ESCRIBIR, es decir, la tcnica de escribir con algo secreto u oculto.
La criptografa ha sido usada a travs de los aos para mandar mensajes
confidenciales cuyo propsito es que slo las personas autorizadas puedan
entender el mensaje.

Hay cuatro elementos fundamentales para que esta tcnica, o mejor dicho
conjunto de tcnicas hagan que un documento encriptado sea seguro, estas
son:

Privacidad, se refiere a que la informacin slo pueda ser leda por
personas autorizadas. No sirve de nada, por ejemplo, proteger un
documento de suma importancia para el futuro de la empresa, si este
documento es fcilmente robado o copiado por la empresa competidora,
en este momento se dice que el documento ha perdido privacidad.

Integridad, se refiere a que la informacin no pueda ser alterada en el
transcurso de ser transferida hacia otro lugar, la prdida de integridad
puede resultar catastrfica si por ejemplo enviamos un documento
firmado por nosotros y en el trascurro del envo, nuestra firma o datos
son adulterados por terceros, en este momento se dice que el
documento no ha llegado integro.

Autenticidad, se refiere a que se pueda confirmar que el mensaje
recibido haya sido mandado por quien dice lo mando o que el mensaje
recibido es el que se esperaba, por ejemplo, cuando se quiere cobrar un
cheque a nombre de alguien, quien lo cobra debe de someterse a un
proceso de verificacin de identidad para comprobar que en efecto es la
persona quien dice ser, esto en general se lleva a cabo con una
credencial que anteriormente fue certifica y acredita la identidad de la
persona que la porta, por ejemplo nuestro DNI. La verificacin se lleva a
cabo comparando la persona con una foto o con la comparacin de una
firma que el DNI lleva, si coinciden, se dice que el documento es
autentico.

El no rechazo, se refiere a que no se pueda negar la autora de un
mensaje enviado, por ejemplo si hacemos una compra por Internet y
usamos alguna pgina que lleve mtodos criptogrficos para avalar
nuestra compra, usted se asegura que los datos no sern adulterados
de ninguna forma en la operacin, y los dueos de la pgina se
aseguran que usted no pueda negar que realiz la compra.

Si necesitamos un mbito seguro de trabajo, debemos incluir estas cuatro
premisas, adems de un buen manejo de claves y una legislacin coherente,
para poder comprobar autenticidad, garantizar privacidad, asegurar integridad y
evitar el no rechazo.

Criptosistemas

La formula matemtica que define un criptosistema es la siguiente:

D
k
(E
k
(m)) = m

Donde:
m= es el conjunto de mensajes sin cifrar (texto plano).
k= es el conjunto de claves que se pueden usar en el criptosistema.
e= es el conjunto resultante de transformaciones de cifrado que se aplica a
cada elemento de m para obtener c.
c= es el conjunto de todos los posibles mensajes cifrados (llamados
criptogramas)
d= es el conjunto de transformaciones de descifrado anlogo a e

O sea si tenemos un mensaje m y le aplicamos criptografa, empleando una
clave k, lo ciframos, para despus empleando la misma clave (k) lo
desciframos para volver a obtener el mensaje original (m).

Tipos de Criptosistemas

Existen dos tipos de criptosistemas, los simtricos o de clave privada y los
asimtricos o llamados tambin de clave pblica.

Los primeros son llamados simtricos ya que debe existir una simetra en las
claves o llaves (deben ser la mismas) tanto para el emisor del documento
como para el receptor del mismo. Esta de mas decir que si esta llave o
contrasea cae en poder de un tercero, y este lo usa para acceder al
documento, poco significado tiene que el documento este encriptado.
La criptografa simtrica es la mas usada por ser la ms simple, igualmente
este tipo de criptografa se divide en tres familias, la criptografa simtrica de
bloques (block cipher), la criptografa simtrica de lluvia (stream cipher) y la
criptografa simtrica de resumen (hash functions).

Para tener un poco de idea sobre como son las posibilidad de obtener una
clave encriptada con algn algoritmo, les doy un ejemplo breve (ya lo veremos
con mas detalle) la imposibilidad que hay de descifrarlo.

Imaginemos que tenemos un archivo llamado texto.txt y lo queremos encriptar
usando algn software que le aplique a este archivo un encriptacin simtrica
con un algoritmo llamado DES.

Este algoritmo toma como entrada bloques de texto de 64 bits y le aplica 16
diferentes interacciones. El bloque finalmente no es de 64bits, sino de 56bits ya
que solo se usan 7 bits en vez de 8 bits, ya que el ltimo se reserva para
chequear que todo el bloque este en perfecto estado, este autochequeo se
denomina bit de paridad.

Entonces si tenemos 7 bits multiplicado por 8 bloques nos da, 56 bits el largo
total de la encriptacin, y ya que el bit tiene 2 posibles estados, nos lleva a esta
frmula:

2
56
= 72.057.594.037.927.936
Qu significa esto? Sencillamente que si no conocemos la llave privada o
contrasea podemos probar ms de 72 mil billones de posibilidades de
encontrarla. A que les empez a gustar las matemticas? a mi si.

CRIPTOGRAFIA ANTIGUA

La criptografa, como comentamos al principio de este artculo, no es algo
totalmente nuevo, si bien la criptografa moderna se pudo llevar a cabo una vez
que la humanidad tuvo mquinas para poder realizar clculos mas rpidos, la
verdad que este mtodo era conocido en la antigedad por alguien muy
famoso, que invento su propio sistema de cifrado, hablamos del romano, el
emperador Julio Cesar.

Julio Csar uso un mtodo criptogrfico simtrico muy til para enviar
mensajes a sus comandantes del frente de batalla y recibir de ellos tambin,
este mtodo tiene el nombre de Algoritmo de Cesar o Monoalfabetico
Simple, vean lo siguiente:

Mxolr fhvdu hud xq jhqlr

Parece un idioma Klingon o algo as, jaja, no, solamente es un texto encriptado
con el algoritmo de Cesar, lo bueno de esto es que miren por donde lo miren no
tiene sentido verdad? Pues veamos como funciona.

Se escribe el alfabeto tradicional dos veces y se reemplaza en el segundo las
tres primeras letras (ABC) y se las lleva al final, quedando as:

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

Esto parece un poco tonto pero vean que buenos resultados nos da,
escribamos, por ejemplo, la religiosa frase de los programadores Hola Mundo.

Texto plano ---- hola mundo
Encriptado ----- krod pxqgr

Ahora, se animan a traducir lo que les deje arriba? Vamos, que es muy fcil,
obviamente, porque ya conocen el mtodo, imaginen cuanto les hubiera llevado
descifrarlo si no lo hubieran conocido, pues bien, a los enemigos del Csar,
descubrirlo, les llev mas de 200 aos!! Ave Cesar!!

Enigma

Las guerras, quieran o no, nos han llevado a un desarrollo tecnolgico sin
igual, parece ser que el ser humano solamente puede inventar y avanzar en su
raciocinio, nicamente si se mata el uno contra el otro, sin ms, recordemos
que Internet es una creacin para que las milicias norteamericanas estuvieran
conectadas siempre a sus bases misilsticas, en caso de guerra.

Antes de la II Guerra Mundial, precisamente en 1923, un alemn llamado
Arthur Scherbius, cre una mquina de cifrar a la que denomin Enigma, esta
tena el aspecto exterior de una mquina de escribir muy voluminosa, con la
particularidad de que los tipos mviles eran activados mediante un electroimn,
como en las mquinas de escribir elctricas. Sobre el teclado haba cuatro
ventanitas con una letra. Poda funcionar en dos modos, que se regulaban con
un pequeo mando. Con el modo de operacin normal, cuando se apretaba la
tecla A se imprima una A, tal como es de esperar en cualquier mquina de
escribir. Pero con el modo "Cifrado" se haca pasar la corriente a travs de un
curioso mecanismo, de forma que la letra que se imprima era el producto de
una sofisticada codificacin. Se trataba de una serie de ruedas colocadas
tocndose por sus caras, formando un cilindro. Las ruedas podan moverse
sobre un eje comn, sin dejar de tocarse.

Cuando se activaba una tecla, la corriente llegaba a la primera rueda. Las
ruedas tenan contactos elctricos delante y detrs, y en su interior estaban
conectados los de delante con los de detrs segn un patrn arbitrario pero fijo.
Haba 28 contactos en cada cara, uno por cada tecla (en el idioma alemn eran
25 letras y tres acentuadas), por los cuales entraba y sala la corriente. En el
interior de la primera rueda, la letra original era transformada en otra siguiendo
el patrn fijado por el cableado al activar el contacto correspondiente en la
salida trasera. La A se converta por ejemplo en K, etc... A continuacin, el
contacto correspondiente a la K en la parte delantera de la rueda central

activaba el contacto correspondiente a otra letra en la parte trasera, digamos la
L. Finalmente, la tercera rueda trasformaba la L en una G, que se imprima con
el mecanismo de la mquina de escribir elctrica. As pues la mquina
realizaba un cifrado mediante sustitucin, como en la descripcin, la letra A
terminaba siendo la L. Enigma tuvo varios modelos, desde el Modelo A
hasta el G.
Alemania venia de perder la Primera Guerra Mundial, y necesitaba con
urgencia integrar y formar sus ejrcitos nuevamente, pero los Aliados no
dejaban que esto ocurriera por razones obvias, por lo cual, los alemanes,
necesitaban un medio de comunicacin para pasarse mensajes entre sus
desintegradas tropas, que fuese seguro y lo mas importante, que fuese
indescifrable. Enigma hizo su aparicin en el momento justo.

Los oficiales de inteligencia de los pases aliados que vigilaban el cumplimiento
alemn pasaron informes muy pesimistas sobre la posibilidad de descifrar los
mensajes cifrados con Enigma. Lo consideraban intil, porque a su juicio era un
cifrado total y completamente invulnerable. El control de Alemania deba
hacerse mediante visitas sorpresa y fotografa area. Los mensajes captados
deban ser tirados a la basura porque nunca seran descifrados. Un ejrcito de
miles de operadores que dispusieran todos ellos de copias de Enigma tardara
millones de aos en encontrar la clave de... un solo mensaje. O lo que era lo
mismo, para encontrar la clave en un tiempo en que pudiera ser til leer ese
nico mensaje de los cientos que se radiaban diariamente, hacan falta varios
miles de millones de operadores cada uno con su Enigma. Ni comprometiendo
a toda la humanidad durante una generacin entera era posible leer un solo
mensaje. Esto era un grado de imposibilidad ms all de lo imaginable. Si
aquella mquina inventada por el demonio se venda por todo el mundo, los
das de paz estaran contados.
Y as sucedi, vino la Segunda Gran Guerra y los alemanes hicieron uso
intensivo de esta nueva arma llamada Enigma, la cual era prcticamente
indescifrable. Pero un error hizo que la historia cambiara en 48 horas.
Un paquete lleg por equivocacin a una central de correos en Polonia, que no
levantaba sospechas, hasta que las autoridades alemanas lo solicitaron de
vuelta con suma urgencia, y esto despert el inters de la inteligencia Polaca.
Por qu una encomienda tendra tanta importancia para los altos mandos
militares alemanes?. Al abrir el paquete se encontraron con lo impensable, una
maquina Enigma modelo G estaba frente a sus ojos. Sin demorarse un
instante ms, se encerraron tres matemticos polacos (los primeros
criptoanalistas) todo un fin de semana para desmontarla, fotografiarla y
analizarla antes de devolverla el lunes por la maana, hacia Alemania. Y este
error dio sus frutos, en menos de un mes ya se tena un aparato para descifrar
a Enigma, al que se llamo Ciclmetro.
Despus de esto, se le agregaron a la maquina varios cambios, pero la suerte
estaba echada, cada cambio en Enigma, llevaba a los Aliados a realizar lo
mismo y de esta forma seguir descifrando sus mensajes, cabe acotar que el
genio matemtico Alan Turing se puso a cargo de una investigacin
sumamente profunda para derrotar a el arma criptogrfica mas famosa de
todos los tiempos.

Para terminar con esta maravilla les dejo un plano de su funcionamiento
bsico. Observen el recorrido de una letra para ser escondida bajo otra con
un mecanismo muy original.

Igualmente Enigma no fue la nica maquina criptogrfica, las guerras
trajeron una diversidad de ellas como las siguientes:
SIGABA: maquina experimental del gobierno de los EEUU. de la que no se
conoce mucha informacin, pero se cree que fue desarrollada al final de la 2da
guerra mundial.
RED y PURPLE: mquinas japonesas que fueron tan secretas y tan bien
guardadas por el ejercito japons, que solamente se encontr una RED cuando
el ejercito norteamericano toma la embajada japonesa, de la cual no se lleg a
analizar nunca, ya que la maquina se perdi en un transporte militar.

CRIPTOGRAFIA MODERNA

La llegada de computadora a la sociedad trajo consigo una renovacin de
tcnicas criptogrficas nunca antes pensadas, el gran proceso de clculo y la
velocidad fueron desencadenantes para que una nueva raza de tcnicas y
algoritmos criptogrficos fueran creados. Veremos ahora cada uno por
separado definindolos en tcnicas simtricas y asimtricas.

Algoritmos Simtricos:

DES: En 1977, el Departamento de Comercio y la Oficina Nacional de
Estndares de Estados Unidos publicaron la norma DES (Data Encryption
Standard), este es un esquema de cifrado de claves privadas, este es un
sistema monoalfabtico que fue desarrollado en colaboracin con IBM y se
present al pblico con la intencin de proporcionar un algoritmo de cifrado
normalizado para redes de ordenadores. DES utiliza una clave de 64 bits, de
los cuales 56 son utilizados directamente por el algoritmo DES y otros 8 se
emplean para la deteccin de errores.
Como vimos anteriormente al principio de este artculo, se necesitan unos
setenta mil billones de claves posibles de 56 bits. Debido a ello DES es
bastante duro de romper pero no imposible.
En julio de 1998 la empresa EFF cre una mquina que logr descifrar un
mensaje DES en menos de tres das.

A pesar de ello, el objetivo de DES no es proporcionar una seguridad
absoluta, sino nicamente un nivel de seguridad razonable para las redes
orientadas a aplicaciones comerciales.
Posteriormente se sac una versin de DES implementada por hardware, que
entr a formar parte de los estndares de la ISO con el nombre de DEA.
Igualmente las desventajas de usar DES es que era considerado un
secreto nacional de EEUU, por lo que no se puede comercializar ni en
hardware ni en software fuera de ese pas sin permiso especfico del
Departamento de Estado, La clave es corta, tanto que no asegura una fortaleza
adecuada. La seguridad del sistema se ve reducida considerablemente si se
conoce un nmero suficiente textos elegidos, ya que existe un sistema
matemtico, llamado Criptoanlisis Diferencial, que puede en ese caso romper
el sistema en 2 elevado a 47 iteraciones.
A la hora de las ventajas estas son: Es el sistema ms extendido del
mundo, el que ms mquinas usan, el ms barato y el ms probado, es muy
rpido y fcil de implementar.
Triple DES: el sistema DES se considera en la actualidad poco prctico,
debido a la corta longitud de su clave. Para solventar este problema y continuar
utilizando DES se cre el sistema Triple DES (TDES), basado en tres
iteraciones sucesivas del algoritmo DES, con lo que se consigue una longitud
de clave de 128 bits, y que es compatible con DES simple. Con esto se
mantiene la sencillez y rapidez de DES, no comprometiendo al algoritmo de ser
hackeado.


IDEA: creado en Zurich por Lai y Massey en 1992 y emplea claves de
encriptacin de 128 bits de longitud considerndolo muy seguro. Es uno de los
algoritmos mas conocidos actualmente. El mtodo de cifrado esta basado en
modificar la orientacin de cada bit, y combinarla con una puerta lgica
variable. Personalmente lo considero el mejor algoritmo simtrico de la
actualidad ya que emplea bloques de cifrado de 64 bits de longitud y emplea
claves de 128 bits. El algoritmo de desencriptacin es muy parecido al de
encriptacin, por lo que resulta muy fcil y rpido de programar, y hasta ahora
no ha sido roto nunca, aportando su longitud de clave una seguridad fuerte
ante los ataques por fuerza bruta (prueba y ensayo o diccionarios).
Este algoritmo es de libre difusin y no est sometido a ningn tipo de
restricciones o permisos nacionales, por lo que se ha difundido mpliamente,
utilizndose en sistemas como UNIX y en programas de cifrado de correo como
PGP.
RC4/5: El sistema criptogrfico simtrico RC5 es el sucesor de RC4, frente al
que presenta numerosas mejoras. Ambos han sido creados por RSA Data
Security Inc., la empresa creada por los autores del sistema RSA, que es
actualmente una de las ms importantes en el campo de los sistemas de
cifrado y proteccin de datos.
Permite diferentes longitudes de clave (aunque est prohibida su
exportacin fuera de EEUU con longitudes superiores a 56 bits), y funciona
como un generador de nmeros aleatorios que se suman al texto mediante una
operacin de tipo OR-Exclusiva, es adems mpliamente configurable,
permitiendo fijar diferentes longitudes de clave, nmero de iteraciones y
tamao de los bloques a cifrar, por lo que le permite adaptarse a cualquier
aplicacin. Por ejemplo, este algoritmo es el usado por Nestcape para
implementar su sistema de seguridad en comunicaciones SSL (Secure Socket
Layer).
En 1996 una universidad francesa consigui romper el sistema RC4 con
clave de 40 bits, lo que hace sospechar que RC5 con longitudes de clave de 56
bits no es lo suficientemente seguro.
MD5: Algoritmo desarrollado por el grupo RSA capaz de obtener 128 bits a
partir de un determinado texto y es un intento de probar con otros sistemas
criptogrficos que no empleen claves. Hasta hoy no se sabe cuales son las
operaciones matemticas a seguir para descrifarlo, pero es probable que se
basen en factores de nmeros primos.

SHA: es un algoritmo desarrollado por el gobierno de los EE.UU y se pretende
implantar en los sistemas informticos de alta seguridad del estado como
estndar de proteccin de documentos. El algoritmo obtiene 160 bits de un
texto determinado.

Algoritmos Asimtricos:

Ya hablamos bastante y mostramos ejemplos de algoritmos de clave
simtrica, ahora veremos el segundo tipo llamados clave pblica o
Asimtricos.
Verdaderamente este sistema se compone de dos tipos de claves, la
publica y la privada, el primer algoritmo de este tipo fue creado por Whitfield
Diffie y Martin Hellman, Este algoritmo de encriptacin de Diffie/Hellman
supuso una verdadera revolucin en el campo de la criptografa, fue creado en
1976 y su importancia se debe sobre todo al hecho de ser el inicio de los
sistemas asimtricos, ya que en la prctica slo es vlido para el intercambio
de claves simtricas, y con esta funcionalidad es muy usado en los diferentes
sistemas seguros implementados en Internet, como SSL (Secure Socket Layer)
y VPN (Virtual Private Network).
Sin embargo no fue hasta que el popular mtodo de Rivest Shamir y
Adleman RSA publicado en 1978 cuando toma forma la criptografa asimtrica,
su funcionamiento esta basado en la imposibilidad computacional de factorizar
nmeros enteros grandes.

RSA: El sistema RSA se basa en el hecho matemtico de la dificultad de
factorizar nmeros muy grandes. Para factorizar un nmero el sistema ms
lgico consiste en empezar a dividir sucesivamente ste entre 2, entre 3, entre
4,..., y as sucesivamente, buscando que el resultado de la divisin sea exacto,
es decir, de resto 0, con lo que ya tendremos un divisor del nmero.

Ahora bien, si el nmero considerado es un nmero primo (el que slo es
divisible por 1 y por l mismo), tendremos que para factorizarlo habra que
empezar por 1, 2, 3,........... hasta llegar a l mismo, ya que por ser primo
ninguno de los nmeros anteriores es divisor suyo. Y si el nmero primo es lo
suficientemente grande, el proceso de factorizacin es complicado y lleva
mucho tiempo
El funcionamiento de RSA es el siguiente:

1. Se buscan dos nmeros primos lo suficientemente grandes: p y q (de
entre 100 y 300 dgitos).

2. Se obtienen los nmeros n = p * q y = (p-1) * (q-1).

3. Se busca un nmero e tal que no tenga mltiplos comunes con .

4. Se calcula d = e-1 mod , con mod = resto de la divisin de nmeros
enteros.

Y ya con estos nmeros obtenidos, n es la clave pblica y d es la clave
privada. Los nmeros p, q y se destruyen. Tambin se hace pblico el
nmero e, necesario para alimentar el algoritmo.
El clculo de estas claves se realiza en secreto en la mquina en la que se va a
guardar la clave privada, y una vez generada sta conviene protegerla
mediante un algoritmo criptogrfico simtrico.
En cuanto a las longitudes de claves, el sistema RSA permite longitudes
variables, siendo aconsejable actualmente el uso de claves de no menos de
1024 bits (se han roto claves de hasta 512 bits, aunque se necesitaron ms de
5 meses y casi 300 pc`s trabajando juntos para hacerlo).
RSA es el ms conocido y usado de los sistemas de clave pblica, y tambin el
ms rpido de ellos. Presenta todas las ventajas de los sistemas asimtricos,
incluyendo la firma digital, aunque resulta ms til a la hora de implementar la
confidencialidad el uso de sistemas simtricos, por ser ms rpidos. Se suele
usar tambin en los sistemas mixtos para encriptar y enviar la clave simtrica
que se usar posteriormente en la comunicacin cifrada.

Firmas Digitales:

Las firmas digitales son mtodos de cifrado que tienen dos propsitos:
Validar el contenido de un mensaje electrnico y se puede utilizar
posteriormente para comprobar que un emisor envi de hecho ese
mensaje.
Probar que no se ha falsificado un mensaje durante su envo. Lasfirmas
digitales respaldan la autenticidad del correo electrnico, transacciones
de contabilidad, rdenes de empresa, documentos para grupos de
trabajo y otros mensajes y archivos que se trasladan entre sistemas,
usuarios u organizaciones.

Las firmas digitales se basan en el hecho de que dos grupos pueden
autentificarse el uno al otro para le intercambio seguro de documentos, pero la
relacin entre ellos no se basa en una confianza total.

Por ejemplo, una persona podra enviar un mensaje para apostar a un
caballo de carreras y despus, si el caballo perdi la carrera, y niega haber
enviado dicho mensaje. Aunque se sabe a travs del proceso de autentificacin
que esta persona realmente envi ese mensaje, sin una firma digital no se
podra probar tcnicamente que el mensaje no se modific. El emisor podra
decir, "s, yo le mand un mensaje, pero usted lo cambi"

Las firmas digitales autentifican los mensajes y se usan para validar
compras, transferencias de fondos y otras transacciones de negocios. Un
formulario con una firma digital debe incluir el nombre del emisor, la fecha y
hora, junto con una secuencia numrica o identificacin que identifique
positivamente a la persona o a la transmisin.

A continuacin perfilamos un procedimiento que usa cifrado de clave pblica
con firma digital:

1. El emisor crea la firma digital con el uso de su clave privada, con la que cifra
la informacin de identificacin en el documento.

2. Antes de enviar el mensaje, el emisor cifra todo el documento de nuevo con
el uso de la clave pblica del receptor. Ahora el mensaje original cifrado se
incrusta en el documento nuevamente cifrado.

3. El mensaje se enva al receptor que lo descifra con su clave. El primer
cifrado protege la firma y la informacin que identifica al emisor de la
falsificacin y proporciona una forma de autentificar el mensaje. El segundo
cifrado protege la parte del texto o la informacin del documento que se
transmite y permite que el receptor descifre y lea la informacin recibida.

La seguridad de una firma digital, como otros mtodos de cifrado, se basa en
un algoritmo matemtico que asegura que dos firmas nunca son iguales.
Con los algoritmos de cifrado proporcionados por RSA Data Security la
probabilidad de que por casualidad diferentes documentos tengan el mismo
cdigo es menor de 1 entre un billn de billones.

Funciones HASH.
Si imaginamos el envo de un documento extenso que queremos firmar
digitalmente, nos daremos cuenta de que cifrar el documento entero es una
prdida de tiempo, ya que los medios de encriptacin de llave pblica son
lentos, pus precisan un gran proceso de cmputo.
Para solventar ste aspecto aparecen las funciones hash, que son unas
funciones matemticas que realizan un resumen del documento a firmar. Su
forma de operar es comprimir el documento en un nico bloque de longitud fija,
bloque cuyo contenido es ilegible y no tiene ningn sentido real. Tanto es as
que por definicin las funciones hash son irreversibles, es decir, que a partir de
un bloque comprimido no se puede obtener el bloque sin comprimir, y si no es
as no es una funcin hash. Estas funciones son adems de dominio pblico.
A un mensaje resumido mediante una funcin hash y encriptado con una
llave privada es lo que en la vida real se denomina firma digital.
Las funciones hash y la firma digital son elementos indispensables para el
establecimiento de canales seguros de comunicacin, basados en los
Certificados Digitales.
Para que una funcin pueda considerarse como funcin hash debe cumplir:
Debe transformar un texto de longitud variable en un bloque de longitud
fija, que generalmente es pequea (algunas son de 16 bits).
Debe ser cmoda de usar e implementar.
Debe ser irreversible, es decir, no se puede obtener el texto original del
resumen hash.
Debe ser imposible encontrar dos mensajes diferentes cuya firma digital
mediante la funcin hash sea la misma (no-colisin).
Si se desea adems mantener un intercambio de informacin con
Confidencialidad, basta con cifrar el documento a enviar con la clave
pblica del receptor.
Veamos que dice nuestra Ley sobre Firma Digital:

Firma Digital, Originada en la H. C. de Diputados de la Nacin y sancionada el 14 de
noviembre de 2001 por el H. Senado de la Nacin Argentina.
CAPTULO I - CONSIDERACIONES GENERALES
ARTCULO 1.- Objeto. Se reconoce el empleo de la firma electrnica y de la firma
digital y su eficacia jurdica en las condiciones que establece la presente ley.
ARTCULO 2.- Firma Digital. Se entiende por firma digital al resultado de aplicar a
un documento digital un procedimiento matemtico que requiere informacin de
exclusivo conocimiento del firmante encontrndose esta bajo su absoluto control. La
firma digital debe ser susceptible de verificacin por terceras partes tal que dicha

verificacin simultneamente permita identificar al firmante y detectar cualquier
alteracin del documento digital posterior a su firma.
Los procedimientos de firma y verificacin a ser utilizados para tales fines sern los
determinados por la Autoridad de Aplicacin en consonancia con estndares
tecnolgicos internacionales vigentes.
ARTCULO 3.- Del requerimiento de firma. Cuando la ley requiera una firma
manuscrita, esa exigencia tambin queda satisfecha por una firma digital. Este principio
es aplicable a los casos en que la ley establece la obligacin de firmar o prescribe
consecuencias para su ausencia.
ARTCULO 4.- Exclusiones. Las disposiciones de esta ley no son aplicables:
a. a las disposiciones por causa de muerte;
b. a los actos jurdicos del derecho de familia;
c. a los actos personalsimos en general;
d. a los actos que deban ser instrumentados bajo exigencias o formalidades
incompatibles con la utilizacin de la firma digital, ya sea como consecuencia de
disposiciones legales o acuerdo de partes.
ARTCULO 5.- Firma electrnica. Se entiende por firma electrnica al conjunto de
datos electrnicos integrados, ligados o asociados de manera lgica a otros datos
electrnicos, utilizado por el signatario como su medio de identificacin, que carezca de
alguno de los requisitos legales para ser considerada firma digital. En caso de ser
desconocida la firma electrnica corresponde a quien la invoca acreditar su validez.
ARTCULO 6.- Documento digital. Se entiende por documento digital a la
representacin digital de actos o hechos, con independencia del soporte utilizado para su
fijacin, almacenamiento o archivo. Un documento digital tambin satisface el
requerimiento de escritura.
ARTCULO 7.- Presuncin de autora. Se presume, salvo prueba en contrario, que
toda firma digital pertenece al titular del certificado digital que permite la verificacin
de dicha firma.
ARTCULO 8.- Presuncin de integridad. Si el resultado de un procedimiento de
verificacin de una firma digital aplicado a un documento digital es verdadero, se
presume, salvo prueba en contrario, que este documento digital no ha sido modificado
desde el momento de su firma.
ARTCULO 9.- Validez. Una firma digital es vlida si cumple con los siguientes
requisitos:
haber sido creada durante el periodo de vigencia del certificado digital vlido del
firmante;
ser debidamente verificada por la referencia a los datos de verificacin de firma
digital indicados en dicho certificado segn el procedimiento de verificacin
correspondiente;

que dicho certificado haya sido emitido o reconocido, segn el artculo 16 de la
presente, por un certificador licenciado.
ARTCULO 10.- Remitente. Presuncin. Cuando un documento digital sea enviado en
forma automtica por un dispositivo programado y lleve la firma digital del remitente se
presumir, salvo prueba en contrario, que el documento firmado proviene del remitente.
ARTCULO 11.- Original. Los documentos electrnicos firmados digitalmente y los
reproducidos en formato digital firmados digitalmente a partir de originales de primera
generacin en cualquier otro soporte, tambin sern considerados originales y poseen,
como consecuencia de ello, valor probatorio como tales, segn los procedimientos que
determine la reglamentacin.
ARTCULO 12.- Conservacin. La exigencia legal de conservar documentos, registros
o datos, tambin queda satisfecha con la conservacin de los correspondientes
documentos digitales firmados digitalmente, segn los procedimientos que determine la
reglamentacin, siempre que sean accesibles para su posterior consulta y permita
determinar fehacientemente el origen, destino, fecha y hora de su generacin, envo y/ o
recepcin.

Criptografa en Sistemas Operativos

Ahora hablaremos un poco de la criptografa que existe en nuestros
sistemas operativos, no pretendo incluirlos a todos pero por lo menos los ms
importantes que nos brindan algo de seguridad en nuestra vida cotidiana.
Primero veremos como es la seguridad en Windows 2000, XP y 2003,
especficamente el Sistema de Archivos de Cifrado (EFS).

EFS (Encrypting File System)

EFS es una extensin de NTFS que le otorga cifrado a carpetas y
archivos de Windows, el sistema se basa en la combinacin de claves pblicas
y privadas que se ejecuta transparentemente sin intervencin del usuario. El
mtodo funciona de la siguiente forma:

1) En las Propiedades del Archivo a cifrar se selecciona Opciones
Avanzadas Cifrar Contenido.
2) El servicio EFS abre el archivo con acceso exclusivo.
3) Se genera un archivo temporal donde se copian los datos del archivo.
1 - Archivo a Cifrar
2 - Servicio EFS
3 - Archivo Temporal
4 FEK (Clave Generada por
3DES + login del usuario)
5 - FEK + Temporal
6 - Archivo Cifrado
Clave DDF (Usuario)
Clave DRF
(Agente de
Recuperacin)

4) Se genera una clave de cifrado por el mtodo de tipo privado Triple DES
(3DES) mas los datos del login usuario que se combinan en una clave
que se denomina FEK (File Encryption Key). La FEK es de 128 bits para
USA y de 40 bits para el resto del mundo (ellos siempre quieren el
poder.).
5) Se combinan la FEK con el archivo temporal de datos.
6) Se obtiene el archivo cifrado, tambin se generan dos claves, la DDF y
la DRF.

Veamos ahora sus caractersticas, esta claro que el sistema impide
acceder a archivos cifrados por otro usuario gracias a la clave DDF (Data
Decryption Field) que es nica por cada archivo, pero si el usuario propietario
del archivo no puede recuperar su DDF (se olvido la contrasea del login, es
echado de la compaa, etc) existe una forma de recuperar el archivo y
descifrarlo, para eso se usa el DRF (Data Recovery Field) que es la clave que
usara el agente de recuperacin (por defecto el Administrador del sistema).
El administrador puede descifrar los archivos tomando posesin de ellos
y recuperndolos, pero ojo, el agente de recuperacin, recupera el archivo NO
la contrasea.

Algunas de las caractersticas importantes son:
Si en el proceso de cifrado ocurre algn error, corte de energa,
desconexin de red, etc, el proceso de deshace completamente.
Se admite una utilidad de cifrado bajo consola DOS, el comando se
denomina CIPHER, ej c:\>cipher /e /s *.doc (cifrara todos los .doc)
No se puede utilizar el cifrado con la compresin de archivos, si se cifra
se descomprimir.
Los archivos marcados con el atributo Sistema no se pueden cifrar, as
como tampoco los archivos de la carpeta raz del sistema.
Los archivos cuando se transportan por la red local, pierden su cifrado,
se vuelven a recuperar en el momento de almacenarlos en un volumen
remoto, o sea EFS direcciona solo el cifrado/descifrado, para obtener la
seguridad en el transporte se usa IPSec, SSL, TLS y Kerberos.

IPSec: Seguridad en la red
IPSec es la tendencia a largo plazo para las redes seguras. Proporciona
una lnea de defensa clave frente a ataques en redes privadas e Internet.
IPSec tiene dos objetivos:
1. Proteger el contenido de los paquetes IP.
2. Defender contra los ataques de red mediante el filtrado de paquetes y la
exigencia de comunicaciones de confianza.
IPSec esta diseada para proteger datos sensibles en una red TCP/IP, es
til cuando la red entre dos computadoras no es segura, IPSec proporciona a la
red confidencialidad, integridad y autenticacin a cada paquete que recorre por
la red.
En funcionamiento de IPSec es sencillo, primero las dos computadoras en
comunicacin por la red se ponen de acuerdo en la directiva comn a utilizar,
entonces cada una maneja la seguridad IP, se basa en un modelo de seguridad
completo, y establece la confianza y la seguridad desde una direccin IP de
origen hasta una direccin IP de destino. La direccin IP en s no se considera
necesariamente una identidad, sino que el sistema que hay tras la direccin IP
tiene una identidad que se valida a travs de un proceso de autenticacin. Los
nicos equipos que deben conocer que el trfico est protegido son los equipos
remitente y receptor.
Cada equipo trata la seguridad en su extremo respectivo y supone que el
medio a travs del cual tiene lugar la comunicacin no es seguro. Los equipos
que se limitan a enrutar datos desde el origen hasta el destino no necesitan ser
compatibles con IPSec, salvo en el caso de que se filtren paquetes de tipo
servidor de seguridad o se traduzcan direcciones de red entre los dos equipos.
Este modelo permite implementar correctamente IPSec en los siguientes
casos:
Red de rea local (LAN): cliente-servidor y entre homlogos
Red de rea extensa (WAN): entre enrutadores y entre puertas de
enlace
Acceso remoto: clientes de acceso telefnico y acceso a Internet desde
redes privadas
Normalmente, ambas partes requieren una configuracin de IPSec
(denominada directiva IPSec) para establecer las opciones y los parmetros de
seguridad que permitirn que ambos sistemas acuerden el modo de proteger el
trfico entre ellos. Algunas partes de los servicios relacionados con IPSec han
sido desarrollados conjuntamente por Microsoft y Cisco Systems, Inc.
Para utilizar correctamente IPSec se deben programar las directivas muy
concientemente, ya que sino podran comprometer todo nuestro sistema, los
componentes que se usan para la comunicacin de red son las siguientes:

Directivas de Negociacin: estas determinan los servicios de seguridad
usados en la comunicacin por la red. El protocolo elegido para las
negociaciones es la base para los servicios de seguridad, por ej. si se elige el
protocolo de Encabezado de Autenticacin IP se proporcionara a los paquetes
integridad, autenticidad pero no confidencialidad ya que este protocolo cifra
solo la cabecera del paquete, no el paquete en si. Si el protocolo elegido no
tiene xito en la negociacin se establecer la comunicacin sin IPSec.

Filtros IP: bien programados es una efectiva defensa para todo el trafico IP,
estos necesitan ser programados tanto los salientes como los entrantes.

Directivas de Seguridad: Estas definen el tipo y el nivel de seguridad para
utilizar en la seguridad de IP de la red.
Protocolo IKE: El protocolo IKE est diseado para establecer de manera
segura una relacin de confianza entre dos equipos, negociar las opciones de
seguridad y generar de manera dinmica material de claves criptogrficas
secretas compartidas. La configuracin del acuerdo de seguridad asociado al
material de claves se denomina Asociacin de Seguridad (SA). Estas claves
proporcionarn autenticidad, integridad y, opcionalmente, cifrado de los
paquetes IP que se envan mediante la asociacin de seguridad. IKE negocia
dos tipos de asociaciones de seguridad:
Una asociacin de seguridad de modo principal (la asociacin de
seguridad IKE que se utiliza para proteger la propia negociacin IKE).
Asociaciones de seguridad IPSec (las asociaciones de seguridad que se
utilizan para proteger el trfico de la aplicacin).
Todos los enrutadores o conmutadores del trayecto entre los equipos que
se estn comunicando se limitan a reenviar los paquetes IP cifrados hacia su
destino. Sin embargo, si hay un servidor de seguridad, un enrutador de
seguridad o un servidor proxy en el trayecto, es posible que el trfico IPSec e
IKE no se reenve. Estos dispositivos deben configurarse para permitir que los
paquetes IPSec y de protocolo IKE pasen a travs de ellos. Si los paquetes
IPSec no estn cifrados, el servidor de seguridad o el enrutador de seguridad
an pueden inspeccionar los puertos TCP o UDP u otro contenido de los
paquetes. Si se modifica el contenido de los paquetes despus de haber sido
enviados, el equipo IPSec receptor detecta la modificacin y descarta los
paquetes.

Kerberos
Su nombre deriva de un personaje de la mitologa griega que por ser quien
cuidaba las puertas del infierno, Kerberos es un servicio de autenticacin
desarrollado en MIT (Massachusetts Institute of Technology) y diseado por
Miller y Neuman en el contexto del Proyecto Athena en 1987. Esta basado en
el protocolo de distribucin de claves presentado por Needham y Schroeder en
1978.
En una red con usuarios que solicitan servicios desde muchas terminales, hay
tres enfoques bsicos que se pueden utilizar para dar control de acceso:
1. No hacer nada. Confiar en que la mquina en la que el usuario est
"logueado" evite accesos no autorizados.
2. Requerir que el host pruebe su identidad, pero confiar en su palabra
sobre quin es el usuario.
3. Requerir que el usuario pruebe su identidad para cada servicio
solicitado.
En un ambiente cerrado, donde las mquinas tienen un control estricto, se
podra utilizar el primer enfoque. En ambientes ms abiertos, se podra usar la
segunda opcin.
En una red de usuarios en la que se requieren servicios de distintas
computadoras, si la red tiene miles de usuarios y decenas de servidores, no es
deseable que cada servidor guarde las contraseas de todos los usuarios. En
ese caso, habra tantos puntos de ataque como servidores. Adems, por
ejemplo si un usuario quisiera cambiar su contrasea, debera contactar a
todos los servidores y notificarles del cambio. Es para evitar estos problemas
que surge la idea de tener un servicio de autenticacin.
Kerberos es el resultado de satisfacer estos requerimientos. La seguridad de
Kerberos descansa en la seguridad de varios servidores de autenticacin, pero
no en el sistema que se "loguea" o en los servidores finales que se utilicen.
Cada usuario tendr una clave y cada servidor tendr una clave, y Kerberos
tiene una base de datos que las contendr a todas. En el caso de ser de un
usuario, su clave ser derivada de su contrasea y estar encriptada, mientras
que en el caso del servidor, la clave se generar aleatoriamente. Los servicios
de red que requieren autenticacin y los usuarios que requieran estos servicios,
se deben registrar con Kerberos. Las claves privadas se negocian cuando se
registran.
Como Kerberos sabe todas las claves privadas, puede crear mensajes que
convenzan a un servidor de que un usuario es realmente quien dice ser y
viceversa. La otra funcin de Kerberos es generar las llamadas claves de
sesin, que sern compartidas entre un cliente y un servidor, y nadie ms. La
clave de sesin podr ser usada para encriptar mensajes que sern
intercambiados entre ambas partes. El almacenamiento de la base de datos y
la generacin de claves, se lleva a cabo en un servidor que se denomina
Servidor de Autenticacin (AS).

Cuando el usuario entra a una estacin de trabajo lo nico que puede
probar su identidad es su contrasea. El intercambio inicial con el AS est
diseado para minimizar la posibilidad de comprometer la contrasea,
impidiendo a su vez que el usuario se autentique sin conocerla. Para el usuario,
el proceso de "loguearse" al sistema ser igual que el de "loguearse" a una red
clsica. Sin embargo lo que ocurre por detrs es muy diferente.
Al usuario se le pide el nombre de usuario. El nombre del usuario tiene tres
componentes bsicos:
Nombre
primario
Nombre del usuario
Instancia Se usa para distinguir entre variantes del nombre primario o
bien para determinar privilegios, como ser "root" o admin.
Dominio
(Realm)
Es el nombre de una entidad administrativa que mantiene datos
de autenticacin.
Una vez obtenido, se enva una solicitud al AS que consiste de el nombre
de usuario y el nombre de un servicio especial llamado ticket-granting service,
el cual se encuentra en un servidor que se llamar ticket-granting server (TGS).
Este es el servicio que permitir al cliente autenticarse con los servicios de red.
El AS chequea la informacin sobre el cliente. Si sabe quin es, genera una
clave de sesin aleatoria que se usar luego entre el cliente y el TGS. Luego
crea un ticket para el TGS que se llama ticket-granting ticket (TGT) y que
deber ser presentado al TGS cada vez que se solicite un servicio.
Esta informacin se encripta con la clave privada del TGS, que slo
conocen el TGS y el AS. El AS enva el ticket al cliente, junto con una copia de
la clave de sesin. La respuesta que recibe ste, est encriptada con la clave
privada del cliente, que se deriva de la contrasea del usuario y que conocen
slo el AS y el cliente.
Una vez que la respuesta ha sido recibida por el cliente, se le pide la
contrasea al usuario. La contrasea se convierte a una clave DES y se usa
para desencriptar la respuesta del AS. El ticket y la clave de sesin se guardan
para usar en el futuro, mientras que la contrasea del usuario y la clave DES se
borran de la memoria. As, si el cliente posee el ticket es porque el usuario
conoca la contrasea correcta y por tanto debe ser quien dice ser.
Un ticket sirve para un solo servidor y para un solo cliente pero una vez
emitido, puede ser utilizado muchas veces por el cliente para tener acceso a
ese servidor, hasta que el ticket expira. Como el ticket est encriptado con la
clave del servidor no se pierde seguridad al permitir que el usuario le pase el
ticket al servidor, ya que no podr modificarlo.

En Microsoft NT 4.0, el protocolo primario para la seguridad es NTLM
(Windows NT LAN Manager). Para Windows 2000, Microsoft eligi un nuevo
protocolo de seguridad: Kerberos, por tener algunas ventajas como ser un
estndar, ms eficiente en el uso de la red y permitir autenticacin mutua.
Para permitir interoperabilidad con otras implementaciones, Kerberos en
Windows 2000 soporta DES (Data Encription Standard), pero por defecto usa
como algoritmo para encriptacin RC4 (fue elegido porque es ms rpido y
seguro que DES). En Estados Unidos usa claves de 128-bits, mientras que en
las versiones internacionales soporta claves de solamente 56-bits (de nuevo se
creen los reyes del mundo!!!). El protocolo de tickets de Kerberos fue adoptado
y extendido por Microsoft, agregando un certificado de privilegios a los tickets
(relacionado con el identificador nico de NT, as como la lista de los grupos a
los que el usuario pertenece).
Windows 2000 lo renovar automticamente mientras el usuario
permanezca "logueado". La primera vez que un usuario pide un ticket a
Kerberos es cuando se "loguea" en alguna cuenta en el dominio de Windows
2000.
El KDC rechaza cualquier autenticador cuya timestamp sea demasiado vieja
(por defecto 5 minutos mximo). Esto implica que los relojes de las mquinas
que usen Kerberos deben estar sincronizados, por eso Windows 2000 usa el
protocolo SNTP (Simple Network Time Protocol) de la IETF para
sincronizacin.
Problemas con Kerberos
Kerberos no tiene efectividad frente a ataques como el de diccionario. Si
el usuario escoge una contrasea pobre, un atacante que la consiga
tratando de adivinarla puede hacerse pasar por l.

Kerberos requiere un camino seguro para entrar las contraseas. Si un
usuario entra una contrasea a un programa que ha sido modificado por
un atacante, o si la comunicacin entre el usuario y el programa de
autenticacin inicial puede ser monitoreada, entonces el atacante puede
llegar a obtener suficiente informacin para hacerse pasar por el usuario.
Kerberos puede combinarse con otras tcnicas para eliminar estas
limitaciones.

No hay un lugar seguro donde guardar las claves de sesin. De hecho,
el lugar donde se guardan puede ser accedido por el root. As es que un
intruso que logre crackear el mecanismo de proteccin de la computadora
local podr robar las claves de sesin.

El protocolo liga los tickets a las direcciones de red y esto es un
problema en hosts con ms de una direccin IP. En las estaciones de
trabajo esto rara vez ocurre.

Para que Kerberos sea til debe integrarse con otras partes del sistema.
No protege todos los mensajes que se envan entre dos computadoras.
Slo protege los mensajes desde el software que se ha escrito o
modificado para usarlo. Aunque puede ser utilizado para intercambiar
claves de encriptado cuando se establece un vnculo y niveles de
seguridad de servicios de red, esto requerira cambios en el software de
los hosts involucrados.

Tiempo de vida de un ticket. La eleccin del tiempo de vida de los tickets
no es trivial. Si se elige un tiempo de vida para los tickets muy largo, y
un usuario desprevenido olvida desloguearse de una mquina, otra
persona puede tomar su lugar. Por otro lado, si el tiempo de vida de los
tickets es muy corto, el usuario va a ser molestado cada cierto tiempo
para que ingrese nuevamente su contrasea.

Manejo de proxies. Todava no esta claro cmo permitir autenticacin
mediante proxies, es decir que un servidor utilice servicios de otros
servidores en nombre de un usuario autenticado. Una solucin tentativa
es la de permitir que un usuario transfiera momentneamente sus
credenciales hacia otra mquina para poder obtener servicios de ella;
pero esto no siempre es deseable pues el usuario podra no confiar en la
mquina remota.

Estados Unidos no permite exportar criptografa, por lo que Kerberos no
se puede distribuir en otros pases tal como fue creado. Pero hay mucho
software legal, que se exporta y que se basa en el uso de Kerberos. Por
esta razn, para poder sacarlo del pas se cre Bones, que es una
versin de Kerberos sin las llamadas a las funciones criptogrficas
(carece de toda funcionalidad). De todos modos, Errol Young se las
ingeni para ponerle a Bones las llamadas criptogrficas nuevamente,
creando Encrypted Bones, o E-bones.

Software Criptogrficos

PGP

En 1991 empieza a extenderse el rumor en Estados Unidos de que el
Gobierno quiere prohibir el empleo de la criptografa en lneas de
comunicacin. Por ello, el programador Phillip Zimmermann , combinando el
mejor algoritmo existente de clave nica, el IDEA, con el mejor de clave
pblica, el RSA, y aadiendo el MD5 para las firmas digitales, crea el programa
PGP y lo distribuye como freeware por decenas de BBSs. Su intencin, como
l mismo declar ms adelante, era conseguir que una tecnologa tan poderosa
llegara a la gente y que no se quedara en manos de los gobiernos, dejando
indefensa la intimidad del ciudadano. Consigue adems que el Gobierno
americano no siga adelante con su prohibicin, ya que el PGP se haba
convertido en el standard de facto para encriptar mensajes de correo
electrnico en Internet, y era ya demasiado tarde para detener su expansin.
Un tiempo ms tarde surgira el conflicto. Alguien envi en junio de 1991 a
varios grupos de USENET una copia de PGP, y as empez a distribuirse y
utilizarse fuera de Estados Unidos, incumpliendo la legislacin ITAR del
Departamento de Estado americano sobre exportacin de armas. La
criptografa est presente en esta lista de productos prohibidos, en el mismo
nivel que las ametralladoras de gran calibre, los tanques, las armas qumicas...
( que locura !). Por otro lado, RSA Data reclamaba a Zimmermann el copyright
del algoritmo RSA que usa en el PGP, sufriendo as una doble demanda.
Se lleg a una solucin doble. Se crearon dos versiones paralelas de PGP : las
de uso exclusivo para Estados Unidos y Canad, que emplean una biblioteca
de funciones, la RSAREF, de RSA Data y que no son exportables a otros
pases, encargndose el MIT de la distribucin gratuita del PGP ; y las de uso
internacional (identificadas aadiendo al nmero de versin una i), que
emplean la biblioteca MPILIB de Zimmermann y que desde la primera versin
salida de Estados Unidos han sido desarrolladas en Europa para ahorrarle ms
quebraderos de cabeza a Zimmermann.
Sin embargo, Zimmermann fue denunciado por violar la normativa ITAR. Esta
causa termin su curso el 11 de enero de 1996 al recibir el abogado de
Zimmermann la siguiente carta :
"La Oficina del Fiscal del Distrito Norte de California ha decidido que su cliente,
Philip Zimmermann, no ser juzgado por el envo a USENET en junio de 1991
del programa de encriptacin Pretty Good Privacy. El caso queda cerrado".
Tambin se envi este comunicado a la prensa :
"Michael J. Yamaguchi, Fiscal del Distrito Norte de California, ha anunciado que
su Oficina ha decidido abandonar la causa contra cualquier individuo
supuestamente implicado en el envo a USENET en junio de 1991 del

programa de encriptacin Pretty Good Privacy. El caso queda cerrado, y la
Oficina no har ms declaraciones".
La demanda de copyright de RSA Data tambin sigui adelante, celebrndose
el juicio en 1996, y siendo Zimmermann absuelto. Zimmermann cre su propia
compaa, Pretty Good Privacy Inc., que desarroll versiones comerciales de
PGP y otros programas... slo para Estados Unidos, a la vez que dentro de
Estados Unidos y fuera se siguieron desarrollando nuevas versiones freeware
de PGP hoy en da para casi todas las plataformas existentes (PC, Mac, Unix,
VAX...).
El programa PGP emplea tres algoritmos de encriptado : el RSA, de clave
pblica, el IDEA, de clave nica, y el MD5 para producir digests, combinados
de una forma que se explicar ms adelante para conseguir la mxima
seguridad y la mayor rapidez y comodidad.

Ahora vamos a instalar el software y aprender como funciona, en este articulo
vamos a analizar la versin de Network Associates Inc 6.0.2i que dejo en el
server para que puedan descargarlo, hoy ya existe la versin 8 pero no hay
mucha diferencia entre ellas.

Es importante aclarar que para mayor comodidad tambin tendremos en la
barra de tareas un icono (PGPtray) con todas las opciones mucho mas
accesibles. Lo que primero hay que crear son las claves para poder usarlo
(PGPkeys).

PGPkeys: El asistente para la creacin de claves nos pedir el Nombre de
Usuario y su email, despus nos pedir el tamao en bits del tamao de las
claves, yo les recomiendo que para empezar lo hagan con 2048bits que es
suficiente como para tener una buena seguridad de encriptacin, recuerden
que mientras mas grande la clave en bits, mas tiempo se tardar en
encriptar/desencriptar, tambin tendremos que decidir si queremos que las
claves expiren o no, y por ltimo hay que poner una frase que ser la
generadora de nuestra contrasea (la frase puede llevar espacios pero tiene
que tener 8 caracteres mnimos). Abajo confirman con la misma frase y en el
siguiente algo raro, PGP necesita crear una clave aleatoria para unirla a su
frase, para ello usa un truco muy bueno, al mover el mouse se crean
coordenadas aleatorias que servirn para crear la clave, loco no?

Una vez listo el proceso se pregunta si quiere tener la clave pblica guardado
en un servidor de internet, queda a su discrecin si lo hacen o no.
Listo, la claves estan creadas y listas para usarse, ahora al cerrar la ventana
nos pedir si queremos hacer un backup de nuestras claves en otro lugar
seguro ya que si las perdemos no podremos abrir los archivos encriptados, si
vamos a PGP Preferences - Files, nos mostrara donde se guardan por
defecto, pero con cuidado, si las claves son robadas de su maquina, el ladrn
(pienso que el que roba es un ladrn y no un hacker) podr descifrar nuestros
documentos.

PGPtools: Es el men clsico de PGP, podemos usarlo para encriptar
nuestros documentos de la siguiente forma, se hace clic en Encrypt y se
selecciona el archivo a encriptar, una vez elegido se selecciona el receptor del
documento para que solo el pueda desencriptarlo, recuerda que decides
mandarlo a un amigo el antes tendra que haber mandado su firma (sign) para
poder encriptarlo con esa clave. Si el archivo es solo para nosotros elegiremos
nuestra propia firma, tambin se brinda la opcin de poner Encrypt/Sign
(encriptar y firmar) para crear una nueva contrasea a solo ese archivo.

Como es nuestra clave publica encriptada? Cmo se la pasamos a alguien?
Es muy fcil verificarla, solo vamos a PGPkeys, elegimos nuestra firma, la
copiamos con el botn derecho, vamos al Block de Notas y pegamos, de esta
forma es muy fcil mandarla adjunta a un email para que el receptor la coloque
en el contenedor de firmas. Veamos un ejemplo:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 6.0.2i
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JUgsAlTbBG/qnpMS6xusGyZPKRYPLSnqFnKck6DLblwoEhBp5eT7CEzsMPbkT+kf
uBADHylOuolIKh24rMdctR+EDa/3JN2aVg2iQfD3HB6JmE2EnKPBcETD5relk8TB
kaZvwykGMIkARgQYEQIABgUCRH95PgAKCRDk6YGVKD3w2YNoAKDs1Zb8Btkk8uHw
gq/TXkxAlNg/eACgjmmCsPRcq9vwck9hvoTlJKsjsfY=
=DXaF
-----END PGP PUBLIC KEY BLOCK-----

Pgp tambin trae una utilidad para borrado de datos seguro, llamado Wipe y el
FreespaceWipe que borra de forma segura toda una unidad sobrescribindole
datos aleatorios y pudiendo elegir la cantidad de pasadas que se le hace,
haciendo imposible la recuperacin de los datos.

Tambin les dejo en el server una utilidad PGP mas nueva llamada PGP
Desktop 9.0.1 que es mucho mas moderno pero usa mas recursos del sistema.

A continuacin del transcribo una entrevista al creador de PGP Philip
Zimmermann que me pareci excelente:

Philip Zimmermann

Pregunta Frecuente

Durante muchos aos me ha estado llegando esta misma pregunta de los usuarios de PGP por
correo electrnico, expresada de diferentes formas, da tras da:

P: Hay alguna puerta trasera en PGP? Venga, puedes decrmelo, no se lo contar a nadie.

R: No. Nunca las ha habido, y nunca las habr, al menos mientras yo est asociado al producto.
No habra atravesado tantos problemas slo para ver que mi producto quedaba corrompido.
Adems, hemos publicado el cdigo fuente, as que puedes comprobarlo por t mismo.
Adems, si lees alguno de mis escritos polticos (como mi testimonio ante el Senado, Por qu
escrib PGP, y el prlogo a uno de mis libros), tendras una idea acerca de mis valores polticos
y mis motivaciones, por qu yo desarroll PGP y por qu nunca permitir una puerta trasera en
PGP.
El equipo de personas que hace PGP comparte estos valores. Ellos trabajan en PGP porque
creen en PGP. No van a colocar puertas traseras en PGP. He trabajado con ellos durante aos, y
estn tan comprometidos con ello como yo.

P: Asumo que has colocado una puerta trasera en PGP a causa de los ataques del 11 de
Septiembre. Es cierto eso?

A: No, los ataques no han cambiado mis convicciones acerca de la privacidad y las libertades
civiles. Consulta mi respuesta a un artculo del Washington Post tras el 11-S.

P: He oido un rumor segn el cual llegaste a un acuerdo con el gobierno de los EE.UU. para
colocar una puerta trasera en PGP a cambio de no ser perseguido por la publicacin de PGP. Es
cierto? Venga, puedes decrmelo: no se lo contar a nadie, te lo prometo.

R: Has oido mal. No, yo no hice ningn trato, y no lo habra hecho aunque hubiera sido la nica
manera de permanecer fuera de prisin. Pero no he tenido que negociar con ellos en absoluto.
Despus de una investigacin criminal de tres aos, no me acusaron, porque les vencimos.

El gobierno habra tenido dificultades para procesarme por la va penal en 1996. Haba serios
conflictos con la Primera Enmienda. Adems, tenan problemas muy significativos en cuanto a
las pruebas. Y habran tenido enormes problemas polticos iniciando una causa de este tipo en
un ao electoral, dado el sentimiento casi unnime en la industria en contra de una persecucin.
No todo lo que ocurre en el mundo es resultado de una oscura conspiracin. A veces,
simplemente ganas. Esta fue una de esas veces.

En ocasiones la gente me pregunta si el gobierno decidi no perseguirme porque imaginaron
alguna manera de romper el PGP, quizs con algn fabuloso mtodo de criptoanlisis, sin
necesidad de que yo colocara una puerta trasera. Encuentro esa idea poco probable. En primer
lugar, si la NSA hubiera desarrollado un medio para romper el PGP, lo habran mantenido a
buen recaudo, y probablemente no lo habran comentado con un fiscal federal. La NSA nunca
habra confiado a los polis un secreto de tal magnitud. Adems, la popularidad de PGP aument
enormemente tras mi persecucin por el gobierno. Si la NSA hubiera podido romperlo, habra
tenido ms sentido que se sentaran a esperar y permitieran que continuara la persecucin, lo que
habra hecho al PGP ms popular y por tanto habra ofrecido a la NSA incluso ms
oportunidades de explotar su capacidad secreta. As que si la falta de persecucin es la nica
prueba que tienes sobre una capacidad secreta de la NSA para romper el PGP, creo que tu
argumento se cae por su propio peso. La autntica razn de que no me persigan es simplemente
que les vencimos.

P: He odo un rumor segn el cual slo podramos confiar en las viejas versiones de PGP, que
fueron prohibidas, como la versin 2.6.2. Todas las versiones posteriores tendran una puerta de
atrs, razn por la cual el gobierno las habra aprobado. Es verdad eso? Venga, puedes
decrmelo, no se lo contar a nadie.

R: No, no, no. El nmero de versin no tiene nada que ver con lo que fue prohibido exportar de
los EE.UU. Ten en cuenta que ninguna versin de PGP fue realmente "prohibida". Siempre fue
legal usarlo en los EE.UU. Pero en los 90 fue controlada la exportacin de todo el software con
criptografa potente, incluyendo a PGP. Si la versin actual de PGP hubiera estado disponible
entonces, tambin habra estado sometida a los mismos controles de exportacin. En 2000, el
gobierno de los EE.UU. levant los controles de exportacin que afectaban a la criptografa
potente, lo que hizo posible exportar todas las versiones de PGP, incluyendo versiones antiguas,
como la versin 2.6.2. Fue la ley la que cambi, no el software.

La ley cambi porque toda la industria informtica de los EE.UU. (que es la industria mayor y
ms potente en los EE.UU.) se uni en favor del levantamiento de los controles de exportacin.
El dinero significa influencia poltica. Tras aos de lucha, el gobierno tuvo finalmente que
rendirse. Si la Casa Blanca no hubiera levantado los controles de exportacin, el Congreso y el
Poder Judicial estaban preparndose para intervenir para hacerlo por ella.

P: He odo que la polica captur a algunos criminales que utilizaban PGP, y slo habran
podido capturarlos si pudieran romper el PGP, as que evidentemente debe de haber una puerta

trasera. Puedes confirmar eso? Venga, puedes decrmelo: no se lo contar a nadie, te lo
prometo.

R: Hay montones de formas en que la polica puede obtener las pruebas que necesitan sin
romper el PGP. A veces, recuperan los datos de archivos de texto borrados. Otras veces, instalan
un keylogger de teclado en la computadora de su objetivo, para capturar su contrasea mientras
l la teclea. A veces el objetivo usa una contrasea dbil que la polica puede adivinar utilizando
un ataque de diccionario. A veces, ponen un micrfono en su oficina. Otras veces, usan un
confidente. La lista sigue y sigue. Ninguno de estos mtodos necesita una debilidad
criptogrfica o una puerta trasera en PGP.

P: He odo que el gobierno de los EE.UU. nunca habra permitido que PGP fuera publicado a
menos que contuviera una puerta trasera. Hay una? Venga, puedes decrmelo: no se lo contar
a nadie; de verdad que te lo prometo.

R: Lee mis labios: No hay puertas traseras en PGP No has prestado atencin? Adems, te has
planteado lo absurdo que es recibir una pregunta como esta a travs del correo electrnico de un
completo desconocido, que me asegura que no divulgar mi respuesta presumiblemente
escandalosa?

Mira, si de verdad sientes la necesidad de creer en teoras de la conspiracin, aqu hay una
incluso mejor: el gobierno ha iniciado esos asquerosos rumores sobre puertas traseras en PGP,
porque en efecto no saben cmo romperlo. Qu mejor forma de amedrentar a la gente y evitar
que lo utilice? Y t has hecho tu parte de la comedia creyndote sus astutos rumores.
Personalmente, no me trago esa teora, porque, a diferencia de algunas personas, no soy
aficionado a las conspiraciones.

P: De verdad, he odo esto en un chat, as que seguro que es cierto. Por favor, dime: hay una
puerta trasera? Venga, puedes decrmelo.

R: Lo siento, tengo prisa.

Esteganografia

El trmino "esteganografa" viene del griego stegos, que significa
"cubierta", por lo que esteganografa significara "escritura oculta" o "escritura
encubierta". As pues, la esteganografa es el conjunto de tcnicas que nos
permiten ocultar o camuflar cualquier tipo de datos.

Al igual que la criptografa, la esteganografa tiene un origen muy antiguo. A
lo largo de la Historia los Estados fueron desarrollando tcnicas que les
permitieran comunicarse con sus agentes en el extranjero sin que el pas que
acoga al espa pudiera descubrir que estaba teniendo lugar esa comunicacin.
Lo mismo ocurri con las organizaciones secretas o clandestinas, que las
utilizaron para comunicarse sin ser descubiertos y sin poner en peligro a sus
miembros. Entre algunas de estas primeras y sencillas tcnicas
esteganogrficas podran sealarse los mensajes que de pequeos todos
hemos hecho escritos con jugo de limn en un papel en el que, al calentarlo
con una bombilla, aparece lo escrito. Tambin el mtodo que consiste en tomar
varias pginas de un libro y sealar con puntos o rayas las letras que forman el
mensaje.

Hay que dejar clara la diferencia entre la criptografa y la esteganografa
"estricta". La criptografa modifica los datos para que no sean legibles, a
diferencia de la esteganografa, que simplemente los toma y los oculta entre
otros datos. Sin embargo, hoy en da, con los ordenadores, ambas tcnicas son
combinables, consiguindose una seguridad an mayor.

Es de esta ltima manera como realmente es fuerte la esteganografa. El
entorno ms favorable para la esteganografa es aquel en el que se realicen
escaneados automatizados de los mensajes, o en los que no sea una tcnica
demasiado conocida. En estos ltimos, los archivos que ocultan datos pueden
pasar ante las narices de muchos sin levantar sospechas. Sin embargo, alguien
que conozca la esteganografa y en concreto los programas de los que vamos
a hablar, no tardar en "atar cabos". Si hemos encriptado la informacin, al
menos no podr descubrirla "de un golpe".

No hay duda de que, si la criptografa puede tener usos delictivos, la
esteganografa puede tenerlos an ms claros. Sin embargo, bien usada puede
convertirse en algo muy til. Desgraciadamente, todava en muchos pases los
Derechos Humanos, total o parcialmente, son accesorios. Los ciudadanos de
estos pases que estn luchando para cambiar esa situacin necesitan ocultar
de alguna manera la informacin que utilicen para sus actividades, y si
simplemente usan la criptografa -si es que estn autorizados a usarla
legalmente- inmediatamente se convertirn en sospechosos para las
autoridades. E incluso en nuestras democracias, en determinados ambientes,
alguien que usa la criptografa puede ser considerado como alguien que "tiene
algo que ocultar" en vez de ser considerado como alguien que simplemente
protege su intimidad. La esteganografa se convierte as, tanto combinada con
la criptografa como por separado, en una til herramienta para proteger
nuestros datos, uno de los software esteganograficos mas usados es el S-tools:

S-Tools
Est escrito por Andrew Brown, es un programa para Windows que permite
encriptar y ocultar datos en archivos .wav o en imgenes en formato .bmp o
.gif.
Es seguramente el mejor de los programas comentados en estas pginas:
es el ms cmodo al ser para Windows, integra la encriptacin en el mismo
programa, y permite ocultar los datos en archivos ms "generales" que los
anteriores programas. No hay duda que, salvo que se sea un fantico de la
matemtica del caos, ser ms fcil hacer pasar desapercibidos nuestros datos
sensibles en nuestro clsico directorio de imgenes, donde habr imgenes de
todo tipo que en unos cuantos gifs de fractales.
En cuanto a los algoritmos criptogrficos, se dispone de cuatro algoritmos
de clave nica: IDEA, DES, Triple DES y MDC. IDEA es por ahora el mejor y
ms fuerte de los cuatro. En cuanto a DES, sera preferible no utilizarlo, dado
que se le han descubierto demasiadas debilidades para seguir considerndolo
seguro.

MANEJO
El manejo es muy simple, y se realiza en combinacin con el Explorador de
Windows. Seleccionamos en el Explorador el archivo wav o de imagen en el
que queremos ocultar los datos y lo arrastramos a la ventana de S-Tools. S-
Tools abrir el archivo y lo mostrar en una ventana, indicando adems el
nmero de bytes que puede ocultar como mximo. A continuacin,
seleccionamos en el Explorador el archivo a ocultar y lo arrastramos a la
ventana del archivo "matriz" que est en la ventana de S-Tools. Si tenemos
activada la opcin de compresin, se comprimir el archivo de datos, y
despus S-Tools mostrar un dilogo en el que nos pide la password para la
encriptacin y nos da a elegir el algoritmo criptogrfico a utilizar. En caso de

que el archivo "matriz" sea una imagen, aparecer otro dilogo con diversas
opciones referentes a cmo ha de manipular S-Tools los colores de la imagen.
Una vez hecho esto, comienza el proceso esteganogrfico, cuyo progreso
podemos seguir en la ventana Actions de S-Tools. Una vez terminado,
podamos grabar el archivo, haciendo click con el botn derecho del ratn sobre
la ventana del archivo y elegiendo la opcin "Save" o "Save as..." del men
contextual.

Para extraer los datos, bastar con arrastrar el archivo a la ventana de S-Tools.
Una vez lo haya abierto, pulsamos el botn derecho del ratn sobre la ventana
del archivo y seleccionamos la opcin "Reveal". S-Tools nos pedir la
password y el algoritmo criptogrfico empleados al ocultar los datos, y si la
password es correcta, extraer los datos.

TCNICAS UTILIZADAS
Para los archivos de sonido, S-Tools distribuye los bits de los datos a
ocultar entre los bits menos significativos de los bytes que forman el wav.

Por ejemplo, supongamos la siguiente secuencia de ocho bytes de un archivo
wav:

132 134 137 141 121 101 74 38

Que en binario es:

10000100 10000110 10001001 10001101 01111001 01100101 01001010
00100110

Supongamos ahora que queremos ocultar un byte con valor 213, es decir,
11010101, en la anterior secuencia. Simplemente se reemplaza el bit menos
significativo de cada byte por el bit correspondiente del byte que ocultamos.
Como resultado obtenemos:

10000101 10000111 10001000 10001101 01111000 01100101 01001010
00100111

es decir,

133 135 136 141 120 101 74 39

Los bytes varan como mucho en +- 1, una variacin imperceptible para el odo
humano.

En cuanto a las imgenes, el proceso es el siguiente, y depende de si
queremos como imagen final una imagen de 24 bits o una de 256 colores, que
necesitar reduccin de color (es por esto por lo que al ocultar datos en una
imagen, S-Tools nos muestra un dilogo en el que pregunta si queremos una
imagen de 24 bits o emplear reduccin de color).

Con las imgenes de 24 bits, el proceso es simple. Dado que cada pixel de
una imagen de 24 bits est definido por tres bytes con valores RGB, bastar
con dispersar los bits de los datos a ocultar en los bits menos significativos de
estos bytes sin que hay grandes variaciones apreciables para el ojo. El gran
inconveniente es el tamao de este tipo de imgenes.

Es bastante ms complicado ocultar los datos en una imagen de 256
colores. Una imagen as puede tener antes de la manipulacin unos 200
colores, y nuestra manipulacin puede hacer que se rebase el lmite de 256.
Sin embargo, hay una simple regla que utiliza S-Tools y que evita el problema.
Una imagen de 32 colores nunca superar el lmite de 256 aunque
manipulemos los bits. Lo que cambiamos son los bits menos significativos de
cada valor RGB de la imagen, es decir, 3 bits que pueden variar entre 000 y
111, 8 valores. As, si cada color puede "expandirse" en 8 colores, el mximo
de colores que podemos tener para no rebasar el lmite de 256 es 256 / 8 = 32
colores. No est garantizado que ste sea el lmite superior para cualquier
imagen, pero si hay suerte, los colores apenas variarn. S-Tools reduce el
nmero de colores de la imagen intentando preservar lo ms posible la imagen
original. El algoritmo utilizado es ppmquant. Si se conoce cmo trabaja el
algoritmo se puede "jugar" con las opciones que da el boton Advanced del
dilogo que aparece al ocultar datos en imgenes.

Hablando ahora ya en trminos generales, es de destacar que S-Tools
permite, mientras haya espacio en el archivo "matriz", ocultar ms de un
archivo en l.

Tambin hay que sealar que distribuir los datos de una manera lineal en el
archivo matriz sera muy simple, por lo que S-Tools, utilizando un generador de
nmeros pseudoaleatorios que toma como semilla los bits que forman la
password proporcionada, genera una serie de valores que determinarn las
posiciones a emplear. Por ejemplo, si el archivo "matriz" tiene 100 bits
disponibles para ocultar datos, y se ocultan 10 bits en ellos, no se ocultarn en
los bits 0 a 9, sino en una secuencia aleatoria que depende de la password,
como por ejemplo 63, 32, 89, 2, 53, 21, 35, 44, 99, 80.

Como siempre les dejo en el server el soft para que lo prueben sin
problemas.

Eplogo:

Queda muchos mas temas a tratar de criptografa, como certificados
digitales, nuevos algoritmos criptogrficos, criptografa visual, etc, pero me
pareci bien llegar hasta ac ya que esto pretende ser un manual para
principiantes y no como dije de matemticas avanzadas. Prometo que en los
prximos informes hablaremos de estos temas.
Me preguntaron hace poco en que me haba basado para escribir esto, y
obviamente en manuales y escritos de gente muy estudiada en el tema, web
relacionas con criptografa (Kriptpolis es excelente) y manuales de mi propio
dominio, invito a gente con espritu de investigar a seguir en el tema y de ser
posible que nos comuniquemos as compartimos ideas.
No quiero dejar de escribir esto sin agradecer a mis amigos y familiares que
me apoyaron en este trabajo, a Ignacio sobre todo, que me aguant todo este
tiempo para poder publicarlo.
Nos vemos cuando seamos gatos

NeO West

gomez_julio@hotmail.com

www.nexus-net.com.ar

Criptografia para Todos

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Criptografia para Todos

Uploaded by

Copyright:

Available Formats

Criptografa para Todos Pg. 1 Neo West www.nexus-net.com.

You might also like