Introducción aa la

Introducción la
Criptografía
Criptografía

Cifrado
Criptoanálisis

Cifrado Descifrado Receptor

Fuente Ek (m)=c Dk (c)=m

Métodos de Métodos de
cifrado descifrado

Canal seguro
Claves

Introducción a la Seguridad de los Sistemas de Información 1

 CriptoSistemas

De clave simétrica

DES, Triple-DES

IDEA

AES

De clave asimétrica

Diffie-Hellman

RSA (Rivest, Shamir and Addleman)

Algoritmo PGP (Pretty Good Privacy)

Clave simétrica
Emisor Receptor

CIFRADO DESCIFRADO

Clave Privada Clave Privada

El emisor y el receptor son los únicos conocedores de la clave privada

Introducción a la Seguridad de los Sistemas de Información 2

 Clave asimétrica

Clave Clave Clave Clave

Privada Pública Pública Receptor Privada
Emisor

CIFRADO DESCIFRADO

Clave Pública Clave Privada

del Receptor del Receptor

El emisor cifra el mensaje con la clave pública del receptor

El receptor descifra el mensaje con su clave privada

Firma digital
Emisor Receptor

Mensaje con
Clave Clave Firma Digital
Privada Pública

Mensaje

Función hash

CIFRADO DESCIFRADO

Compendio Clave Privada Clave Pública

del Mensaje del Emisor del Emisor

Introducción a la Seguridad de los Sistemas de Información 3

 FUNCIONES HASH

• Especialmente diseñadas para ser implementadas en

software. En general para arquitecturas de 32 bits.
• MD4 (Message Digest 4)
• MD5 (Message Digest 5)
• SHA-1 (Secure Hash Algorithm)
• SHA-224, SHA-256, SHA-384
• RIPEMD

HASH

Introducción a la Seguridad de los Sistemas de Información 4

 Objeto de la firma digital

Integridad
Autenticación

Protección de
repetición
No repudio

VPN

• Permite construir túneles seguros a través de

cualquier red basada en IP.
• Una VPN es mucho menos costosa y más
flexible que una red dedicada privada.
• Usando un sistema de cifrado robusto es igual
de segura que una LAN segura y aislada.
• Aporta seguridad, escalabilidad y flexibilidad a
los sistemas de comunicaciones de una
empresa.

Introducción a la Seguridad de los Sistemas de Información 5

 VPN

 VPNs de Intranets
 proporcionan conectividad interna entre distintos
emplazamientos de una misma empresa
 VPNs de Acceso Remoto
 amplían la red interna a los teletrabajadores,
trabajadores itinerantes y a las oficinas remotas
 VPNs de Extranets
 amplían la red de las empresas e incluyen
proveedores, empresas asociadas y/o clientes

Introducción a la Seguridad de los Sistemas de Información 6

 Protocolos Seguros
KERBEROS
Nivel
Nivelde
deAplicación
Aplicación S-MIME
IPSEC (ISAKMP)

TCP/UDP
TCP/UDP
(Nivel SSL, TLS
(Nivelde
deTransporte)
Transporte)

IPSEC (AH, ESP)

IPIP
Nivel
NiveldedeRed
Red

Nivel PPTP,L2TP,CHAP, MS-CHAP

Nivelde
deEnlace
Enlace
PAP

IPSec

Introducción a la Seguridad de los Sistemas de Información 7

 AH

ESP

Introducción a la Seguridad de los Sistemas de Información 8

 AH vs. ESP

 La decisión de usar AH o ESP, o una

combinación de ambos depende los
requisitos de seguridad.
 Utilizaremos AH:
 Proteger paquetes contra modificación
 Aportar autenticación mutua cliente / servidor
 Limitar comunicaciones a determinadas
máquinas.

AH vs. ESP

 Usaremos ESP:
 Para proteger la confidencialidad del payload
del paquete.
 Para proteger la cabecera TCP/UDP de
modificaciones durante la transmisión.

Introducción a la Seguridad de los Sistemas de Información 9

 IPSec modo Túnel

Introducción a la Seguridad de los Sistemas de Información 10

 IPSec modo Transporte

Cabecera AH modo túnel

Cabecera AH modo túnel

Introducción a la Seguridad de los Sistemas de Información 11

 Cabecera ESP modo túnel

ESTÁNDARES Y PROTOCOLOS
IPSec (IV)
SECURITY ASSOCIATION

Conexión lógica unidireccional entre dos

sistemas.
Formadas por una tripleta <SPI, IP-DA,
SP>
SP
Security Parameter Index (SPI
SPI)
Identificador único de cada SA.

IP Destination Address (IP

IP--DA)
DA
Dirección del receptor (unicast, multicast, broadcast).

Security Protocol (SP

SP)
El modo de operación (transporte, túnel).

Introducción a la Seguridad de los Sistemas de Información 12

 ESTÁNDARES Y PROTOCOLOS
IPSec (XIV)
IKE (INTERNET KEY
EXCHANGE)
También conocido como
ISAKMP/Oakley.
Oakley
Se utiliza para establecer SA’s y
distribuir las claves con los algoritmos que
usan.
Se desarrolla en dos fases:
Fase 1:
Negociación de las características de las
SA’s.
Intercambio Diffie-
Diffie-Hellman para establecer
una clave maestra de la cual derivarán las
demás.

VPN

 PPTP se usa cuando:

 Cuando hay que dar soporte a clientes de
“bajo nivel”: Windows 95, Windows 98, and
Windows NT
 Si la VPN debe cruzar un firewall que realice
NAT.
 Si la organizaciópn necesita autenticación de
usuarios pero no de maquinas.

Introducción a la Seguridad de los Sistemas de Información 13

 VPN

 L2TP y PPTP tienen tres diferencias esenciales:

 L2TP no incluye un mecanismo de encriptación, para
ello se tiene que apoyar en IPSec, el cuales utilizado
para negociar una asociación de seguridad entre los
dos clientes.
 L2TP no puede pasar a través de un firewall que realice
NAT. NAT modifica la dirección IP y el número de puerto
del paquete. Debido a que esos campos se encuentran
protegidos dentro del paquete IPSEC son descartados
al llegar al servidor frontera del túnel.

SECURE SOCKET LAYER (SSL)

Servicios de:
APLICACIÓN
HTTP, FTP, TELNET
Integridad
Autentificación SSL

Confidencialidad
TRANSPORTE
TCP

• Combinan técnicas de criptografía simétrica y asimétrica:

•Asimétrica en la fase de establecimiento de sesión e
intercambio de claves secretas.

Introducción a la Seguridad de los Sistemas de Información 14

  Comprende los protocolos: SSL
 RECORD PROTOCOL (RP)
 ALERT PROTOCOL (AP)
 HANDSHAKE PROTOCOL (HP)
 CHANGE CIPHER SPEC (CCSP)
 APPLICATION DATA PROTOCOL (ADP)

HTTP FTP
HP AP CSCP ADP
SSL
RP
TCP

SSL

Introducción a la Seguridad de los Sistemas de Información 15

 TLS
HTTP FTP
HP AP CSCP ADP
TLS
RP
TCP

• Comprende los protocolos:

• RECORD PROTOCOL (RP).
• ALERT PROTOCOL (AP).
• HANDSHAKE PROTOCOL (HP).
• CHANGE CIPHER SPEC (CCSP).
• APPLICATION DATA PROTOCOL (ADP).

Certificados
PKI
Clave
Pública

Entidad de
Certificación

Clave Clave
Privada Pública

Introducción a la Seguridad de los Sistemas de Información 16

 PKI
Autoridad de Autoridad de
Registro Certificación

Certificación

Registro Publicación

Repositorio
Consulta

Usuarios Certificados Revocados

 Los Certificados Digitales

Componentes de una PKI
 Se utilizará una Autoridad de Certificación
(CA), que certifique que el usuario posee una
clave pública concreta.

Soy XXX y esta es

mi
clave pública
Autoridad de
Certificación

XXX Usuario
Certificado
(Carnet Digital)

Introducción a la Seguridad de los Sistemas de Información 17

  Los Certificados Digitales
Componentes de una PKI
 Un certificado es un documento firmado
electrónicamente que autentica la relación de
una llave pública con un participante.

Tipos de soporte:
 Fichero en disco duro
Quién emite el certificado  Fichero en diskette
Quién es el usuario  Tarjeta TIBC
 Tarjeta criptográfica
Clave pública

Fecha de emisión
Fecha de caducidad
Extensiones:
• Límites de uso Tipos de certificados:
• Límites del valor de  Personales
las transacciones  Servidor
Firma de la Autoridad  Software
emisora  Entidad

 Los Certificados Digitales

Componentes de una PKI
 Una metáfora: Certificados digitales vs. DNI

E n t id a d d e
C e rt ific a c ió n

C e r tific a d o
8 888 88 88-Z

D ig it a l

C e r t ific a d o d e A lb e r t o M o r e n o
A LB E R TO

C la v e P ú b lic a d e A lb e r t o M ORENO

M o ren o

N ú m e r o d e S e r ie

8 8 8 8 8 8 8 8 -Z
P e r io d o d e V a lid e z

E x p e d id o r (E n t id a d
C e r t ific a d o r a )

F ir m a D ig it a l d e l
E x p e d id o r

Introducción a la Seguridad de los Sistemas de Información 18

 Servicios de la PKI
¿CÓMO SE GARANTIZAN LOS SERVICIOS DE UNA PKI?

CERTIFICADOS DIGITALES BASADOS P

EN CRIPTOGRAFIA DE CLAVE PUBLICA K
I

AUTORIZACIÓN CONFIDENCIALIDAD NO REPUDIO INTEGRIDAD AUTENTICACIÓN

CERTIFICADO CERTIFICADO
ATRIBUTOS
DE CIFRADO DE FIRMA

Tipo de Certificados

• Autenticación Certificado
• Firma de correo Digital
• SI copia clave Secreta FIRMA
•Generación par claves externa

• Firma Avanzada Documentos Certificado

• No-repudio Fuerte Digital
NO
• NO copia clave Secreta REPUDIO
JESUS M. ALONSO
NIF: 50123456- H
• Generación par claves interna
• Cualificado

• Cifrado Certificado
• SI copia clave Secreta Digital
• Generación par claves externa CIFRA

Introducción a la Seguridad de los Sistemas de Información 19

 PKI como capa de seguridad

E-mail
W eb

Secure
Desktop

PKI
ERP, CRM ,
…
VPN

e-
Com m erce

Usos y Aplicaciones de la PKI

 PKI como base del e-Business
Aplicaciones de Negocio
VPN & Acceso Remoto

Protección Ficheros
Single Sign-on
Web Browsing

Propietarias
E-comerce
E-Forms

WorkFlow
E-mail

Infraestructura de Clave Pública

Introducción a la Seguridad de los Sistemas de Información 20

  Autenticación de usuarios y Single Sign On
(SSO)
Usos y Aplicaciones de la PKI
 Acceso a los servicios Intranet-Extranet y a las
aplicaciones de gestión con un identificador
único (el certificado digital). Implantar políticas
de seguridad integrales que simplifiquen la
administración.
Identidad Digital Web Server
Credenciales

Aplicación

PKI: CA, RA,

LDAP

Puesto Cliente Servidor de

Autenticación

 Redes Privadas Virtuales (VPN), RAS

 Implantación de Redes Privadas Virtuales
(CheckPoint, Cisco, ...)
 Integración con PKI: intercambio de peticiones
y certificados en formatos PKCS.

REDES
PUBLICAS

CLIENTES VPN VPN GATEWAY

REMOTOS

CONTROL DE ACCESO BASADO EN CERTIFICADOS

GENERACION Y CARGA DE CERTIFICADOS
PKCS#10/PKCS#11

Introducción a la Seguridad de los Sistemas de Información 21