PDF de programación - Introducción a la Seguridad en Sistemas Informáticos

Introducción a la Seguridad en

Sistemas Informáticos

Francisco Rodríguez-Henríquez

CINVESTAV-IPN

Depto. de Ingeniería Eléctrica

Sección de Computación

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Motivación y Antecedentes

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Modelo simplificado de Cifrado

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Fundamentos de Seguridad Informática

Crypto-
grafía

Protocolos
Seguros

Políticas de

Administración
De Servicios

PKI

Cryptografía

 Mecanismos y algoritmos básicos para la
 Protección de la información.

Protocolos Seguros

 Servicios de Autenticación
 Comunicaciones seguras y transacciones

PKI – Infraestructura de Llave Pública
 Generación, distribución y administración
de certificados de llave pública.

Políticas de Administración de Servicios

 Servicios de autorización y control de

acceso

 Políticas y normas de seguridad
 ...

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Recursos y Métodos de Ataques

Recurso
Tiempo
Presupuesto
Creatividad
Detectabilidad

Adolescente
Limitado
<$1000
Varía
Alta

Académico
Moderado
$10K-$100K
Alta
Alta

Org. Crimen
mucho
$100K+
Varía
baja

Gobiernos
Mucho
¿?
Varía
Baja

Objetivo
Número
Organizado
Dist. info?

Reto
muchos
No
sí

Publicidad
Moderado
No
sí

dinero
pocos
sí
Varía

Varía
¿?
Sí
No

Source: Cryptography Research, Inc. 1999, “Crypto Due Diligence”

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Ataques

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Seguridad: Amenazas y Ataques

Las amenazas pueden provenir de varias fuentes,

pudiendo ser clasificadas como:



• 55% errores humanos
• 10% empleados insatisfechos
• 10% empleados corruptos
• 10% acceso exterior
• accidentes/incidentes (fuego, terremoto, etc)

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Ataques a la Seguridad: Activos y Pasivos

• Activo

• Mascarada (impersonar)
• Replay
• Modificación del mensaje
• Denegación de servicio (DoS)

• Pasivo

• Análisis de tráfico
• distribución no autorizada de la información

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Clases de Ataques a la Seguridad

• Interruption
• Interception
• Modification
• Fabrication

Anita

Betito

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Clases de Ataques a la Seguridad: Interrupción

• Interrupción

• Disponibilidad

• Intercepción
• Modificación
• Fabricación

Anita

Betito

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Clases de Ataques a la Seguridad: Intercepción

• Interrupción
• Intercepción

• Confidencialidad

• Modificación
• Fabricación

Anita

Betito

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Clases de Ataques a la Seguridad: Modificación

• Interrupción
• Intercepción
• Modificación

• Integridad
• Fabricación

Anita

Betito

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Clases de Ataques a la Seguridad: Fabricación

• Interrupción
• Intercepción
• Modificación
• Fabricación
• Autenticidad

Anita

Betito

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Aplicaciones y Servicios

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Servicios de Seguridad

• Confidencialidad - protege el valor de la información
- protege el origen de la información
• Autenticación
- asegura la identidad de los usuarios
• Identificación
• Integridad
- protege la validez de la copia
• No-repudio
- impide repudiar un envío
• Cont. de acceso - acceso a recursos/datos
• Disponibilidad

- asegura que los datos puedan env.

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Algunas Aplicaciones Prácticas

"Any sufficiently advanced technology is indistinguishable from
magic.”

Arthur C. Clarke.

e-mail seguro
comunicaciones seguras
autenticación de red
elecciones electrónicas
notario electrónico
monedero digital
distribución de datos



•
•
•
•
•
•
•

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Secure Mail: PGP (Pretty Good Privacy)

• Pretty Good Privacy (PGP) fue creado por Philip R. Zimmermann. El
gobierno estadounidense le entabló juicio por más de tres años debido
a que Zimmermann se empeñó en que PGP fuera freeware.

• A pesar de la persecución PPG se convirtió pronto en el programa de

email seguro más usado en todo el mundo.

• PGP sigue siendo freeware.

PGP puede ser obtenido en:http://web.mit.edu/network/pgp.html

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Comunicaciones Seguras

• Escenarios

– Securidad para enlaces electrónicos en tiempo real
– Redes de área local
– Enlaces seguros
– Comunicación en celulares, faxes, teléfonos, etc.

• Objetivos

– privacidad
– autenticación
– no-repudio
• Herramientas

– Protocolos de intercambio de llaves
– Criptosistemas de llave secreta
– Criptosistemas de llave pública
– Firmas digitales
– certificados

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Distribución de Datos

• Escenarios

– Acceso condicional a TV
– distribución software vía CD-ROM
– Boletines de información

• Goals

• Tools

– operación de transmisión (TV, CD-ROM)
– privacidad de mensajes
– Recepción selectiva

– criptografía de llave secreta
– Criptografía de llave pública
– Hardware seguro

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Elecciones Electrónicas

• Escenarios

– Elecciones generales
– Reuniones de accionistas
– Computación distribuida segura

• Objetivos

– anonimato
– Sistema justo
– Sistema auditable
• Herramientas

– Algoritmo RSA
– Firmas a ciegas
– Protocolos seguros no rastreables

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Monedero Digital

• Escenarios

• Objetivos

– Reemplazo del papel moneda
– Mayor flexibilidad que las tarjetas de crédito

– anonimato
– Protocolos no rastreables
– Sistema justo
– divisibilidad
– Propiedad de transferencia
– Operaciones off-line
– universabilidad

• Tools

– Protocolos de conocimiento cero
– Hardware seguro
– Algoritmo RSA

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Seguridad: Bloques Básicos

• Cifrado/descifrado provee:

– confidencialidad, puede proveer autenticación e

integridad de datos.

• Algoritmos Checksums/hash proveen:

– Protección de integridad, puede proveer

autenticación

• Firmas Digitales proveen:

– autenticación, protección de integridad, y no-

repudio.

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Criptografía de llave secreta

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Llaves

• Llaves Simétricas

– Ambas partes comparten el mismo secreto

– Un problema importante es la distribución de las llaves.

– DES - 56 bit key

– 3DES usa tres llaves DES

– IDEA 128 bits

– AES fue escogido como el nuevo estándar de cifrado en el

2000.

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Cifrado con clave pública de destino

Mensaje
en claro

El documento se
comprime antes con el
algoritmo ZIP

Mensaje
cifrado

Necesitamos una
clave de sesión...

Clave

de

sesión

Se busca en el anillo de
claves públicas del emisor
Clave pública
del destinatario

Clave de
sesión
cifrada
Por compatibilidad
de sistemas clientes

de correo, se le
añade armadura
(Base 64) antes de

transmitirlo

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Descifrado con la clave privada de destino

Mensaje
cifrado

Se ha quitado la armadura y se descomprime

Mensaje
en claro

Clave de
sesión
cifrada

Clave privada
destino cifrada

Clave

de

sesión

Clave privada

descifrada

Se busca en el anillo de

claves privadas del receptor

CONTRASEÑA

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Criptografía de llave pública

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Llaves

• Llave pública/privada

– Una llave es el inverso matemático de la otra
– Las llaves privadas son conocidas sólo por

los legítimos dueños.

– Las llaves públicas son almacenadas en

certificados (estándar X.509).

– Algoritmos: RSA , Diffie-Hellman, DSA

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Digestión de Mensajes

• También conocido como función hash de solo ida, es una huella digital

única de longitud fija.

• Entrada de longitud arbitraria, salida de longitud fija (128 o 160 bits).
• Un buen algoritmo de digestión debe poseer las siguientes propiedades:

– El algoritmo debe aceptar cualquier longitud de mensaje.
– El algoritmo debe producir un digesto de longitud fija para cualquier mensaje

de entrada.

– El digesto no debe revelar nada acerca del mensaje de entrada que lo

originó.

– Es imposible producir un digesto pre-determinado.
– Es imposible hallar dos mensajes que produzcan el mismo digesto.

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Algoritmos Hash

• Usados para

– Producir huellas digitales de longitud fija

para documentos de longitud arbitraria
– Producir información útil para detectar

modificaciones maliciosas

– Traducir contraseñas a salidas de longitud

fija.

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Criptografía de llave pública

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Criptografía de llave pública

Seguridad en Sistemas de Información

Francisco Rodríguez Henríquez

Firma digital RSA

Mensaje
en claro

Se va a firmar un mensaje en claro

Mensaje
en claro

Clave privada

descifrada

Necesitamos
nuestra clave
privada...

Clave privada
cifrada IDEA

Bloque de

firma
digital

Si se desea se puede
enviar también cifrado

CONTRASEÑA

Seguridad en Sistemas de Información

Francisco Rodrígue