PDF de programación - Sistema de Seguridad para Intercambio de Datos en Dispositivos Móviles

CENTRO DE INVESTIGACIÓN
Y DE ESTUDIOS AVANZADOS

DEL IPN

DEPARTAMENTO DE INGENIERÍA

ELÉCTRICA

SECCIÓN DE COMPUTACIÓN



Sistema de Seguridad para Intercambio de Datos en

Dispositivos Móviles



Tesis que presenta el:

Ing. Carlos Eduardo López Peza



para obtener el grado de Maestr o en Ciencias en la

especialidad de Ingeniería Eléctrica Opción Computación



Director de la tesis

Dr. Francisco José Rambó Rodríguez Henríquez



México, D.F.



Abril de 2005

Índice general

. Agradecimientos

. Resumen

. Abstract

. Acrónimos

.

Introducción

1

3

5

7

11

1. Conceptos Básicos

13
1.1. Tecnología inalámbrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.1.1. Tecnología y estructura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.1.2. Seguridad en redes inalámbricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.1.3. Dispositivos móviles ligeros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.2. Criptografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.2.1. Servicios de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.2.2. Clasificación de la criptografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
1.2.3. Autenticación básica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
. . . . . . . . . . . 29

1.3. Sistema de seguridad para intercambio de datos en dispositivos móviles.

2. Servicio de Confidencialidad y su Implementación

31
2.1. Clasificación de los cifradores simétricos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2.2. Cifradores por bloques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

II

ÍNDICE GENERAL

2.2.1. DES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.2.2. Triple DES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.2.3. AES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
2.3. Cifradores por flujo de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
2.3.1. A5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.3.2. RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.3.3. WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
2.4. Criptografía de llave pública . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
2.4.1. RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
2.4.2. Criptografía de curvas elípticas

3. Servicio de Autenticación Básica e Integridad de Datos

53
3.1. Funciones hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.1.1. MD5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.1.2. Secure Hash Algorithm (SHA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.1.3. Aplicaciones de las funciones hash . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
. . . . . . . . . . . . . . . . . . . . . . . . . . . 60
3.2.1. PKCS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
3.2.2. DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.2.3. ECDSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

3.2. Algoritmos para firma/verificación digital

4. Autenticación y Protocolos de Seguridad

4.1. Ataques a la autenticación.
4.2. Autenticación con certificados digitales

67
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.2.1. Certificados X.509 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
4.3. Protocolos de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.3.1. Autenticación por retos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.3.2. Diffie-Hellman . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.3.3. PGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.3.4. TLS/WTLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

4.4. Modelo analítico.

ÍNDICE GENERAL

III

5. Diseño e Implementación del Sistema de Seguridad para Intercambio de Datos en Dispositivos

Móviles.
87
5.1. Diseño del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
5.1.1. Descripción del sistema.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
5.1.2. Arquitectura del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.1.3. Diagramas y especificación de procesos. . . . . . . . . . . . . . . . . . . . . . . . . 95
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

5.2. Detalles de Implementación del sistema.

5.2.1. Migración de la biblioteca criptográfica y del protocolo de negociación a un dispo-

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
sitivo móvil ligero.
Implemententación de esquema híbrido. . . . . . . . . . . . . . . . . . . . . . . . . 110
. . . . . . . . . . . . . . . . . . . . . 111

5.2.2.
5.2.3. Desarrollo del MID para ambas plataformas.

6. Análisis de Desempeño

113
6.1. Pruebas realizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
6.2. Resultados obtenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
6.3. Análisis de resultados.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
6.4. Trabajo futuro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

. Apéndice A. Funcionamiento del sistema

. Apéndice B. Wireless Application Protocol (WAP)

. Apéndice C. Características del sistema

127

135

139

IV

ÍNDICE GENERAL

Agradecimientos

Agradezco al Consejo Nacional de Ciencia y Tecnología por el respaldo financiero otorgado durante el
programa de maestría. Así como el apoyo brindado para la conclusión de este trabajo de Tesis por medio del
proyecto CONACyT 45306.

Agradezco a los profesores de la sección de computación del CINVESTAV-IPN por brindarme sus

conocimientos.

A mi asesor por toda la paciencia que me tuvo durante el desarrollo de la tesis, por todas las correcciones

en mi investigación y por la enseñanza que me dejo realizar este trabajo de tesis.

A Dios y a la Virgen de Guadalupe por ser mi guía durante toda mi vida.
Agradezco a mis padres, en especial a mi madre Martha Peza Rocha por el apoyo, la comprensión, los
ánimos, el buen ejemplo que siempre me ha dado y sobre todo por todo su amor, que sobra decirlo, pero que
es infinitamente correspondido. También a mi hermana Yadira y a su esposo Alfredo por darme ánimos y
apoyarme siempre y a mis dos sobrinos Adrián y Edgar por ser tan latosos y graciosos.

A Adriana por su comprensión, su amor, sus consejos, por ser mi inspiración y en muchas ocasiones mi

guía en los momentos más difíciles de la maestría.831266 gracias!

Agradezco a Lorena por su amistad, por sus consejos y su invaluable ayuda durante toda la maestría.
A los revisores de mi trabajo, el Dr. Luis Gerardo de la Fraga y el Dr. Miguel Ángel León Chávez, por

sus comentarios ya que estos contribuyeron a mejorar el contenido de la tesis.

A todo el personal administrativo de la sección de computación, en especial a Sofía Reza por preocuparse

tanto por nosotros y por ser en muchas ocasiones como una mamá para cada uno.

A todos mis compañeros de generación porque compartieron conmigo su amistad y su solidaridad en

los momentos más difíciles.

A Joselito por toda su ayuda.

2

ÍNDICE GENERAL

De manera muy especial agradezco a mis abuelos por todas sus enseñanzas y su cariño, y sigo agrade-

ciéndole a mi abuelo por seguir velando por toda su familia en donde quiera que este.

Resumen

Diariamente más dispositivos móviles (como teléfonos celulares, PDAs, tarjetas inteligentes, por men-
cionar algunos) se conectan a redes inalámbricas ya sea para consultar información o realizar transacciones
comerciales. Sin embargo, los canales de comunicación inalámbrica son aún más inseguros que los tradi-
cionales -ya que al ser el aire el medio por el cual viaja la información cualquier persona está en posibilidad
de alterarla y/o robarla-, por lo que es necesario proveer herramientas altamente confiables y eficientes que
permitan proteger la información y así satisfacer las demandas de seguridad de los usuarios.

En esta tesis se presenta un sistema para el intercambio seguro de datos en ambientes inalámbricos
enfocado a dispositivos móviles. El sistema está basado en el paradigma cliente - servidor, donde el cliente
es un dispositivo móvil. Se utilizó un protocolo inspirado en el Wireless Transport Layer Security (WTLS) y
Transport Layer Security (TLS), para establecer sesiones seguras con base a un protocolo de negociación con
el cual se establecen los parámetros criptográficos que se emplearán a lo largo de la sesión de intercambio
de información. Con estos parámetros se genera una llave de sesión, utilizando los criptosistemas de llave
pública soportados por WTLS: Criptosistema de Curvas Elípticas (ECC, por sus siglas en inglés) y RSA. En
la fase de intercambio de información el sistema utiliza dicha llave de sesión para cifrar/descifrar los datos
entre el cliente y el servidor utilizando algoritmos conocidos de cifrado simétrico tales como: DES, AES,
TDES, para proveer