Seguridad informática
-
Upload
kelly-montoya -
Category
Documents
-
view
42 -
download
0
description
Transcript of Seguridad informática
![Page 1: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/1.jpg)
Seguridad informáticaSeguridad informática
ConfidencialidadConfidencialidad
Alejandro Silvestri2008
Presentación basada en el libro de W. Stallings, Cryptography and Network Security, 4º ed.
![Page 2: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/2.jpg)
Dónde encriptar
![Page 3: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/3.jpg)
Puntos delicados• LAN
– Sniffer– Switches, dominios de colisión
• Cableado estructurado– Gabinetes de distribución
• Central• De piso
• WAN– Líneas punto a punto– Accesos a redes públicas– Nodos de redes públicas– Satélite– Microondas
• Pool de módems• Internet
![Page 4: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/4.jpg)
Dos aproximaciones• End to end
– Application layer– Cifrado y descifrado ocurren en las
terminales de usuario, en los puntos finales de la comunicación
• Link– Physical layer– Cifrado y descifrado ocurren en los
extremos de un enlace punto a punto “débil” (con bajo nivel de seguridad)
![Page 5: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/5.jpg)
Link vs. End to end
![Page 6: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/6.jpg)
Link & End to end
![Page 7: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/7.jpg)
Encabezados cifrados
![Page 8: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/8.jpg)
Cifrado y layers
![Page 9: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/9.jpg)
Confidencialidad
![Page 10: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/10.jpg)
Traffic Padding• El tráfico cifrado no está protegido contra
el análisis de tráfico• Link
– Rellenar los tiempos muertos con “basura”• Stream de datos aleatorios
• End to end– Padding para obtener paquetes del mismo
tamaño– Paquetes nulos (sólo basura)
![Page 11: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/11.jpg)
Renovación de claves• Si la clave no se renueva, aumenta la
información disponible para romperla por criptoanálisis
• Si la clave se obtiene por cualquier medio, todo el sistema se vuelve vulnerable
• Lo usual es utilizar una clave por cada sesión
![Page 12: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/12.jpg)
Distribución de claves
![Page 13: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/13.jpg)
Distribución física• A y B requieren intercambiar datos
cifrados• La distribución física consiste en entregar
la misma clave a A y a B, por medios diferentes a la red de comunicaciones de datos
• Dos métodos teóricos– A elige una clave y se la entrega físicamente a
B– Un tercero elige una clave y se la entrega
físicamente a A y a B
![Page 14: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/14.jpg)
Distribución física• Se utiliza principalmente para links
• La distribución física de una clave diferente por cada par posible de computadoras, y por cada sesión entre ellas es inviable– Cantidad de pares para N computadoras, para
una sola sesión
N (N-1) /2
![Page 15: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/15.jpg)
Distribución lógica• A y B requieren intercambiar datos
cifrados• La distribución lógica consiste en
entregar la misma clave a A y a B, por la red de comunicaciones de datos
• Dos métodos teóricosa) A elige una clave nueva y la envía a B cifrada
con una clave vieja conocida por Bb) A y B tienen una conexión cifrada con C, que
se encarga de distribuir la clave nueva
![Page 16: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/16.jpg)
Master keys & session keys• Master key
– Para la conexión con el centro de distribución de claves
– Distribución física• No cambia• Una diferente por PC
• Session key– Solicitada al centro
de distribución de claves
– Distribución lógica
![Page 17: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/17.jpg)
Distribución de claves con Master Key
• A solicita a B una sesión– Incluye un nonce N1
• B retorna una clave de sesión, cifrados con la Master Key, N1 y un identificador de B, f(N1) y N2
• A retorna f(N2) cifrada con la clave de sesión
• Esto requiere N-1 Master Key distribuidas físicamente en cada computadora
![Page 18: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/18.jpg)
Escenario para la distribución de claves
![Page 19: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/19.jpg)
Pasos de distribución1) A solicita al KDC una clave para una
sesión con B, incluyendo– Identificadores de A y de B– Nonce N1
2) KDC responde a A– cifrado con una Master Key exclusiva de A:
• La clave para la sesión• El pedido original
– cifrado con una Master Key exclusiva de B:• La clave para la sesión• Un identificador de A IDA
– Por ejemplo la dirección IP
3) A reenvía a B la parte que le corresponde recibida del KDC
![Page 20: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/20.jpg)
Pasos opcionales4. Usando la nueva clave de sesión, B
envía cifrado un nonce N2 a A
5. A devuelve cifrado f(N2)
![Page 21: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/21.jpg)
Implementación a través de un servicio de seguridad
![Page 22: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/22.jpg)
Control de utilización de claves• Las entidades que inician sesiones y solicitan
claves pueden estar en el kernel o ser aplicaciones
• Para protegerse de aplicaciones malintencionadas, se restringe la utilización de las claves– De este modo una aplicación no puede utilizar una clave
con un propósito diferente para el que le fue concedida
• Algunos tipos de sesiones– Comunicación general– Transferencia de PIN– Cifrado de archivos
![Page 23: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/23.jpg)
Control de utilización de claves
![Page 24: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/24.jpg)
Generación de números aleatorios
![Page 25: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/25.jpg)
Utilización de números aleatorios
• Generación de– claves de sesión– nonces– Claves para RSA
![Page 26: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/26.jpg)
Aleatoridad• Distribución uniforme
– La probabilidad de ocurrencia de cada valor debe ser la misma
– Verificable a través de un análisis de frecuencias relativas
• Independencia– Ningún valor de la secuencia se debe poder
inferir a partir de los otros– No es posible probar la independencia
• Impredecibilidad
![Page 27: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/27.jpg)
PRNG• Pseudorandom Number Generation
• Generadores lineales– Parecen aleatorios, pero conociendo el
algoritmo, con algunos valores consecutivos es posible deducir la secuencia
![Page 28: Seguridad informática](https://reader031.fdocuments.ec/reader031/viewer/2022013118/568134a5550346895d9bad17/html5/thumbnails/28.jpg)
Generadores critpográficos• Cifrado cíclico
– Los números aleatorios provienen de un contador cifrado con una clave maestra
• DES output feedback mode• ANSI X9.17 PRNG
– Uno de los más fuertes
• Blum Blum Shub– Generador de bits– Fortaleza
demostradamatemáticamente