Professional Documents
Culture Documents
Febrero 2013
Inseguridad en Internet
Todas las comunicaciones sobre Internet utilizan el protocolo de transmisin TCP/IP. Permite el envo de paquetes a travs de la red sin importar su contenido lo cual result en poca conciencia sobre la segurdad de la informacin que transporta. Esto origina los siguientes casos de violacin de seguridad:
Eavesdropping
Tampering
Impersonation Misrepresentation
Seguridad en Internet
Afortunadamente se han establecido tcnicas y estndares conocidos como encriptacin de llave pblica, la cual permite tomar las precauciones bsicas. Encryption and Decryption Tamper Detection Authentication Nonrepudiation
Algunas Definiciones
Ciphers:
Criptografa: ciencia que estudia la creacin ciphers. Criptoanlisis: ciencia que estudia la manera de descifrar los
ciphers.
Criptologa: es la combinacin de criptografa y criptoanlisis. Texto simple: es el mesaje original previo a encriptarse. Ciphertext: es el resultado del encriptamiento del texto simple.
Encriptacin y Desencriptacin
Misma llave. Altamente efectivo. Algun grado de autenticacin. Manterner en secreto (las dos partes) Dos llaves distintas (pblica, privada). Algoritmos pantentados por RCA data security. LLamada tambien asimetrica.
Llaves mas largas = mas seguridad. Largo de la llave medida en bits. Teniendo dos llaves una pblica y otra simtrica de 128 bits, podemos decir que la simtrica nos provee mayor seguridad.
4 32 256
Tiempo que se toma en descifrar la llave con Desencriptacion por medio de Hardware
Tiempos probables que se tardaria en descifrar un ciertas llaves por medio de software
Firmas digitales
Resuelve el problema de impersonation. Es un One Way hash message digest. El valor del hash es nico.
Alterar un solo caracter de la data cambia el valor del hash. La data original no puede deducirce del hash.
Firmas digitales
Autenticacin
Certificacin
Documento electrnico usado para identificar a un servidor, una compaa, o alguna otra entidad que esta asociadada con la llave pblica (licencia de conducir pasaporte).
Tipos de Certificados
Propsitos de SSL
Privacidad
Evita tampering y eavesdropping de las comunicaciones entres dos aplicaciones por medio del uso de tcnicas de encriptamiento. Utiliza tcnicas basadas en llaves simtricas y llaves pblicas/privadas Evita la impersonificacin (spoofing y misrepresentacion) entre dos aplicaciones que se comunican, por medio del uso de certificados.
Autenticacin
Privacidad y SSL
DES: Data Encryption Standard RC2 y RC4: Cyphers de Rivest RSA: Rivest, Shamir y Adleman Triple-DES SKIPJACK
DSA: Digital Signature Algorithm MD5: Message Digest, hecho por Rivest SHA-1: Secure Hash Algorithm KEA: Key Exchange Algorithm RSA key exchange
Exportable
Usado slo para detectar tampering
Autenticacin y SSL
para saber con que servidor se est llevando a cabo la comunicacin usada para que el servidor sepa con que cliente se est comunicando, en caso ste quiera accesar algn recurso protegido del mismo.
Protocolo SSL
Negocia el algoritmo a usar para encriptar, as como autentica al servidor y al cliente Ejecuta la encripcin elegido en la fase de handshake.
2.
C > S: Versin SSL, settings del cipher, y un texto random S > C: Versin SSL, settings del cipher, texto random y su propio certificado. Si el cliente pidi un recurso protegido, solicita el certficado del cliente.
5.
El cliente autentica al servidor C > S: premaster secret, que es un texto encriptado usando el cipher elegido, as como la llave pblica del servidor. C > S: Opcional. Si el servidor pidi autenticacin del cliente, ste le envia su certificado junto con un el texto random, firmado por el cliente.
7.
Si el servidor pidi autenticacin del cliente, trata de autenticarlo. Si no puede, la conversacin termina. Si puede, procede a usar su llaver privada para desencriptar el premaster secret y generar un master secret, que el cliente gener a partir del mismo premater secret. Ambos el cliente y el servidor usan el master secret para generar las session keys, las cuales son las llaves simtricas para encriptar y desencriptar
9.
10.
C > S: Un mensaje indicando que se usar la session key en el futuro de la conversacin. Adems le enva un mensaje separado (encriptado) indicando que finaliz la etapa del handshake. S > C: Un mensaje indicando que se usar la session key en el futuro de la conversacin. Adems le enva un mensaje separado (encriptado) indicando que se finaliz la etapa del handshake. El handshake est finalizado. El cliente y el servidor pueden intercambiar mensaje encriptados.
Servidores SSL
Microsoft IIS Netscape/Sun Apache (OpenSSL) Microsoft Internet Explorer Netscape Navigator
Clientes SSL
Preguntas?