la criptografia - descripcion y usos

7/23/2019 La Criptografia - Descripcion y Usos

1/48

Instituto Universitario de la Policia Federal Argentina

CRIPTOGRAFIA

Historia

La criptografa(del griego kryptos, "ocultar", y grafos, "escribir", literalmente "escritura

oculta") es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas

matemticas que hagan posible el intercambio de mensajes de manera que slo puedan ser

ledos por las personas a quienes !an dirigidos

#on ms precisin, cuando se habla de esta rea de conocimiento como ciencia se debera

hablar de criptologa, que engloba tanto las tcnicas de cifrado, la criptografa propiamente

dicha, como sus tcnicas complementarias$ el criptoanlisis, que estudia los mtodos que se

utilizan para romper te%tos cifrados con objeto de recuperar la informacin original en

ausencia de la cla!e

La finalidad de la criptografa es, en primer lugar, garantizar el secreto en la comunicacin

entre dos entidades (personas, organizaciones, etc) y, en segundo lugar, asegurar que la

informacin que se en!a es autntica en un doble sentido$ que el remitente sea realmente

quien dice ser y que el contenido del mensaje en!iado, habitualmente denominado

criptograma, no haya sea modificado en su trnsito

&tro mtodo utilizado para ocultar el contenido de un mensaje es ocultar el propio mensaje

en un canal de informacin, pero en puridad, esta tcnica no se considera criptografa, sino

esteganografa 'or ejemplo, mediante la esteganografa se puede ocultar un mensaje en un

canal de sonido, una imagen o incluso en reparto de los espacios en blanco usados para

justificar un te%to La esteganografa no tiene porqu ser un mtodo alternati!o a la

criptografa, siendo comn que ambos mtodos se utilicen de forma simultnea para

dificultar an ms la labor del criptoanalista

n la actualidad, la criptografa no slo se utiliza para comunicar informacin de forma

segura ocultando su contenido a posibles fisgones *na de las ramas de la criptografa que

ms ha re!olucionado el panorama actual de las tecnologas de la informacin es el de la

Pagina n 1


2/48


firma digital$ tecnologa que busca asociar al emisor de un mensaje con su contenido de

forma que aquel no pueda posteriormente repudiarlo

Conceptos

n la jerga de la criptografa, la informacin original que debe protegerse se denomina

texto plano l cifradoes el proceso de con!ertir el texto planoen un galimatas ilegible,

denominado texto cifrado o criptograma 'or lo general, la aplicacin concreta del

algoritmo de cifrado (tambin llamado cifra) se basa en la e%istencia de una clave$

informacin secreta que adapta el algoritmo de cifradopara cada uso distinto Las dos

tcnicas ms bsicas de cifradoen la criptografa clsica son la sustitucin(que supone el

cambio de significado de los elementos bsicos del mensaje +las letras, los dgitos o los

smbolos+) y la trasposicin(que supone una reordenacin de las mismas) la gran mayora

de las cifrasclsicas son combinaciones de estas dos operaciones bsicas l descifradoes

el proceso in!erso que recupera el texto plano a partir del criptograma y la clave l

protocolo criptogrficoespecifica los detalles de cmo se utilizan los algoritmosy las

claves (y otras operaciones primiti!as) para conseguir el efecto deseado l conjunto de

protocolos, algoritmos de cifrado, procesos de gestin de cla!es y actuaciones de los

usuarios, en su globalidad es lo que constituyen un criptosistema, que es con lo que el

usuario final trabaja e interacta

%isten dos grandes grupos de cifras$ los algoritmos que utilizan una nica clavetanto en el

proceso de cifrado como en el de descifrado y los que utilizan una clave para cifrar

mensajes y una clave distinta para descifrarlos Los primeros se denominan cifras

simtricaso de clave simtricay son la base de los algoritmos de cifrado clsico Los

segundos se denominan cifras asimtricasde clave asimtricao de clave pblicay clave

privaday forman en ncleo de las tcnicas de cifrado modernas

n el lenguaje cotidiano, la palabra cdigose usa de forma indistinta con cifra n el la

jerga de la criptografa, sin embargo, el trmino tiene un uso tcnico especializado$ los

cdigosson un mtodo de criptografa clsica que consiste en sustituir unidades te%tuales

ms o menos largas o complejas, habitualmente palabras o frases, para ocultar el mensaje

Pagina n 2
http://es.wikipedia.org/wiki/Firma_digitalhttp://es.wikipedia.org/wiki/Firma_digital


3/48


por ejemplo, "cielo azul" podra significar "atacar al amanecer" 'or contra, las cifras

clsicas normalmente sustituyen o reordenan los elementos bsicos del mensaje +letras,

dgitos o smbolos+ en el ejemplo anterior, "rcnm arcteeaal aaa" sera un criptograma

obtenido por transposicin #uando se usa una tcnica de cdigos, la informacin secreta

suele recopilarse en un libro de cdigos

#on frecuencia los procesos de cifrado y descifrado se encuentran en la literatura como

encriptadoy desencriptado, aunque ambos son neologismos toda!a sin reconocimiento

acadmico -ay quien hace distincin entre "cifrado.descifrado" y

"encriptado.desencriptado" segn est hablando de criptografa simtrica o asimtrica, pero

la mayora de los e%pertos en el mundo acadmico prefiere e!itar ambos neologismos

La criptografa

La historia de la criptografa es larga y est llena de ancdotas /a las primeras

ci!ilizaciones desarrollaron tcnicas para en!iar mensajes durante las campa0as militares

de forma que si el mensajero era interceptado la informacin que portaba no corriera el

peligro de caer en manos del enemigo 'osiblmente, el primer criptosistema que se conoce

fuera documentado por el historiador griego 'olybios$ un sistema de sustitucin basado en

la posicin de las letras en una tabla 1ambin los romanos utilizaron sistemas desustitucin, siendo el mtodo actualmente conocido como #sar, porque supuestamente

2ulio #sar lo utiliz en sus campa0as, uno de los ms conocidos en la literatura (segn

algunos autores, en realidad 2ulio #sar no utilizaba este sistema de sustitucin, pero la

atribucin tiene tanto arraigo que el nombre de ste mtodo de sustitucin ha quedado para

los anales de la historia) &tro de los mtodos criptogrficos utilizados por los griegos fue

la escitala espartana, un mtodo de trasposicin basado en un cilindro que ser!a como

cla!e en el que se enrrollaba el mensaje para poder cifrar y descifrar

n 3456 el italiano Len 7atista 8lberti in!ent un nue!o sistema de sustitucin

polialfabtica que supuso un gran a!ance de la poca &tro de los criptgrafos ms

importantes del siglo 9:; fue el francs 7laise de :igenere que escribi un importante

tratado sobre "la escritura secreta" y que dise0 una cifra que ha llegado a nuestros das

Pagina n


4/48


asociada a su nombre > smbolos que los matemticos del rey consideraban

ine%pugnable #uando el matemtico francs Francois Vieteconsigui criptoanalizar aquel

sistema para el rey de Francia, a la sazn nrique ;:, el conocimiento mostrado por el rey

francs impuls una queja de la corte espa0ola ante del papa 'o : acusando a nrique ;:

de utilizar magia negra para !encer a sus ejrcitos 'or su parte, la reina ?ara stuardo,

reina de los scoceses, fue ejecutada por su prima ;sabel ; de ;nglaterra al descubrirse un

complot de aquella tras un criptoanlisis e%itoso por parte de los matemticos de ;sabel

La mquina Enigmade la II Guerra undial

el


5/48


de Datoso


6/48


Confidencialidad' asegura que nadie ley el mensaje desde que parti Alo el

destinatario podr leerlo

Integridad'asegura que el mensaje no ha sido modificado

'ara entender como lograr esto detallaremos tres conceptos bsicos de criptografa$

A. 8lgoritmos hash en un sentido

B. ncriptacin con lla!es (Deys, cla!es) simtricas$ se utiliza una lla!e

C. ncriptacin con lla!es pblicas y pri!adas$ se utilizan dos lla!es

La criptografa protege a los usuarios ya que permite la encriptacin de datos y

autenticacin de usuarios sta tecnologa permite al receptor de un mensaje electrnico

comprobar la identidad del emisor (autenticacin), asegura que un mensaje slo puedeleerlo la persona a la que !a dirigido (confidencialidad) y asegura al destinatario que un

mensaje no ha sufrido ninguna alteracin durante su en!o (integridad)

'ara entender como lograr esto detallaremos tres conceptos bsicos de criptografa$

D. 8lgoritmos hash en un sentido

E. ncriptacin con lla!es (Deys, cla!es) simtricas$ se utiliza una lla!e

. ncriptacin con lla!es pblicas y pri!adas$ se utilizan dos lla!es

Has(

*n hash, tambin denominado !alor hash o sntesis del mensaje, es un tipo de

transformacin de datos *n hash es la con!ersin de determinados datos de cualquier

tama0o, en un nmero de longitud fija no re!ersible, mediante la aplicacin a los datos de

una funcin matemtica unidireccional denominada algoritmo hash La longitud del !alor

hash resultante puede ser tan grande que las posibilidades de encontrar dos datos

determinados que tengan el mismo !alor hash son mnimas Aupongamos que quiero

EhashearF el siguiente mensaje$ Emi mamF Guiero que el mensaje se resuma en un solo

nmero (!alor hash) 'odra por ejemplo, asociar a cada carcter 8A#;; su nmero (8A#;;

code number) asociado$

Pagina n #


7/48


)m i *espacio+ m a m a)

,-. / ,-0 / 12 / ,-. / .3 / ,-. / .3 4 506

8s el mensaje se "resumi" (digest) en un solo nmero Botemos que sta es una funcin

en una direccin (no re!ersible) Bo hay manera de que alguien adi!ine el mensaje EmimamF a partir del 56H a menos que pruebe todos los posibles mensajes (infinitos) (y

calcule sus E!alor hash (digest)F 8n as tendra muchsimos con 56H y debera adi!inar

cul es el correcto (imposible)


8/48


para (encriptar como desencriptar) se llama lla!e secreta (pero es tambin conocida como

lla!e simtrica o lla!e de sesin) La encriptacin con lla!es simtricas es un mtodo

eficiente para el cifrado de grandes cantidades de datos

%isten muchos algoritmos para la encriptacin con lla!es simtricas, pero todos tienen elmismo objeti!o$ la transformacin re!ersible de te%to sin formato (datos sin encriptar,

tambin denominado te%to no encriptado) en te%to encriptado

l te%to encriptado con una lla!e secreta es ininteligible para quien no tenga la lla!e para

descifrarlo #omo la criptografa de cla!es simtricas utiliza la misma lla!e tanto para la

encriptacin como para desencriptar, la seguridad de este proceso depende de la posibilidad

de que una persona no autorizada consiga la cla!e simtrica sta es la razn por la que

tambin se denomina criptografa de cla!e secreta Guienes deseen comunicarse mediante

criptografa de cla!es simtricas deben encontrar algn mecanismo para intercambiar de

forma segura la cla!e antes de intercambiar datos encriptados

l criterio principal para !alorar la calidad de un algoritmo simtrico es el tama0o de su

lla!e #uanto mayor sea el tama0o de la lla!e, habr que probar ms combinaciones de

diferentes lla!es para encontrar la correcta que desencripte los datos

#uantas ms cla!es sean necesarias, ms difcil ser romper el algoritmo #on un buen

algoritmo criptogrfico y un tama0o adecuado de cla!e, es imposible, desde un punto de

!ista informtico, que alguien in!ierta el proceso de transformacin y obtenga el te%to sin

formato del te%to encriptado en una cantidad de tiempo razonable

8lgoritmos de cla!es simtricas$

DE! "Data Encr#ption !tandard$% l


9/48


AE! "Advanced Encr#ption !tandard$%-a sido un concurso abierto para analizar

que algoritmo iba a reemplazar al >>, el B;A1 anunci el

algoritmo ganador$ Iijndael, propuesto por los belgas :incent Iijmen y 2oan


10/48


Los algoritmos de lla!e pblica son ecuaciones matemticas complejas en las que se

utilizan cifras muy altas Au principal incon!eniente es que proporcionan formas

relati!amente lentas de criptografa n la prctica, se utilizan generalmente slo en

situaciones crticas, como en el intercambio de una lla!e simtrica entre entidades o para la

firma de un hash de un mensaje l uso de otras formas de criptografa, como la criptografa

de lla!es simtricas, junto con la criptografa de lla!es pblicas optimiza el rendimiento La

encriptacin por lla!es pblicas proporciona un mtodo eficiente para en!iar a otra persona

la lla!e secreta que se utiliz cuando se realiz una operacin de encriptacin simtrico

sobre una gran cantidad de datos

1ambin puede combinar la encriptacin con lla!es pblicas con algoritmos hash para

producir una firma digital

Algoritmos tpicos de cla8es p9:licas

Los tres algoritmos siguientes de lla!es pblicas son los que se utilizan con ms frecuencia$

+!A% para las firmas digitales y los intercambios de lla!es -oy en da, los

algoritmos criptogrficos Ii!est+Ahamir+8dleman (IA8) son los algoritmos de

lla!e pblica ms utilizados, especialmente para los datos que se en!an a tra!s de

;nternet l algoritmo toma su nombre de sus tres in!entores$ Ion Ii!est, 8di

Ahamir y Leonard 8dleman La seguridad del algoritmo IA8 se basa en la

dificultad (en trminos de !elocidad y tiempo de procesamiento) de comparacin de

nmeros altos l algoritmo IA8 es nico entre los algoritmos de lla!es pblicas

utilizados habitualmente ya que puede realizar operaciones tanto de firma digital

como de intercambio de lla!es Los algoritmos criptogrficos IA8 son compatibles

con ?icrosoft 7ase #ryptographic Aer!ice 'ro!ider (?icrosoft 7ase #A'3 ) y con

?icrosoft nhanced #ryptographic Aer!ice 'ro!ider (?icrosoft nhanced #A'J ),

y estn integrados en numerosos productos softMare, incluido ?icrosoft ;nternet

%plorer

D!A% nicamente para firmas digitales l Bational ;nstitute of Atandards and

1echnology (B;A1, ;nstituto Bacional de stndares y 1ecnologa) de stados

Pagina n 1'


11/48


*nidos incorpor el 8lgoritmo de firma digital (


12/48


Lo que sigue nos ayudar a comprender qu es una 'O; y a conocer los ser!icios necesarios

para construir una


13/48


Los certificados tambin pueden emitirse de una entidad emisora de certificados (#8) a

otra con el fin de establecer una jerarqua de certificados

n el certificado, el subject puede especificarse con !arios nombres #omo nombre

principal de usuario (para certificados de usuarios finales), nombre de directorio, nombre decorreo electrnico, nombre K (96>K!) I=# J46K, un perfil de 96>K!, clarifica los campos definidos

en 96>K! La 'O; de NindoMs J>>> utiliza el estndar 96>K! Los certificados de

NindoMs estn programados de acuerdo a las aclaraciones especificadas en I=# J46K,

pero an as se les denomina certificados 96>K! ;1*+1 96>K no es la nica forma de

certificacin 'or ejemplo, el correo electrnico seguro 'retty @ood 'ri!acy ('@') se basa

en una forma propia de certificados

Pagina n 1


14/48


7ntidad emisora de certificados? Certificate Aut(orit=

*na entidad emisora de certificados (#8) es una entidad a la que se le confa la emisin de

certificados a un indi!iduo, a un equipo o a otra entidad solicitante *na entidad emisora de

certificados acepta una solicitud de certificado, comprueba la informacin del solicitante de

acuerdo con la directi!a de la entidad y, a continuacin, utiliza su cla!e pri!ada para aplicar

su firma digital al certificado 8 continuacin, la entidad emite el certificado al subject del

mismo para que lo utilice como una credencial de seguridad dentro de una 'O; 'uesto que

las diferentes entidades emisoras de certificados utilizan mtodos !ariados para comprobar

el enlace entre la cla!e pblica y el subject, es importante comprender las directi!as de la

entidad emisora de certificados (e%plicadas a continuacin) antes de decidirse a confiar en

dicha autoridad

*na entidad emisora de certificados puede ser otra entidad como :eriAign 'or otra parte,

puede ser una entidad emisora de certificados creada dentro de su organizacin, por

ejemplo mediante la instalacin de Aer!icios de #ertificate Aer!er de NindoMs J>>> #ada

entidad emisora de certificados puede pedir distintos requisitos de prueba de identidad a los

solicitantes de certificados 'or ejemplo$ una cuenta de dominio de NindoMs J>>>, una

insignia de identificacin de un empleado, una licencia de conductor, una solicitud con

alguna certificacin o una direccin fsica

@irecti8a de entidad emisora de certificados

'ara la emisin de certificados a los solicitantes, la entidad emisora sigue una serie de

criterios establecidos l conjunto de criterios que utiliza una entidad emisora de

certificados a la hora de procesar las solicitudes de certificados (y de emitirlos, re!ocarlos y

de publicar las #IL) se conoce como directi!a de entidad emisora de certificados (#8

policy) @eneralmente, una entidad emisora de certificados publica su directi!a en un

documento conocido como nunciado de prctica de certificacin (#ertification 'ractice

Atatement, #'A)

Tipos de entidades emisoras de certificados

Pagina n 1!


15/48


Los tres tipos de entidades emisoras de certificados son$

7ntidad emisora de certificados con autofirma ?n una entidad

emisora de certificados con autofirma, la cla!e pblica del certificado y la cla!e

utilizada para comprobar el certificado son la misma 8lgunas entidades emisoras decertificados con autofirma son entidades emisoras raz (root #8s)(consulte la

tercera !i0eta)

7ntidad emisora de certificados su:ordinada ?n una entidad

emisora de certificados subordinada, la cla!e pblica del certificado y la utilizada

para comprobar los certificados son diferentes ste proceso, donde una entidad

emite un certificado a otra entidad emisora, se conoce como certificacin cruzada

(cross certification) 7ntidad emisora de certificados ra$ ?l cliente confa plenamente en una

entidad emisora de certificados raz, que ocupa la posicin ms alta en una jerarqua

de certificados 1odas las cadenas de certificados terminan en una entidad emisora

de certificados raz La entidad raz debe firmar su propio certificado porque no

e%iste ninguna entidad emisora de certificados superior en la jerarqua de

certificados

1odas las entidades emisoras de certificados con autofirma son entidades raz, ya que lacadena de certificados termina cuando se alcanza una entidad emisora de certificados con

autofirma

Berarquas de entidades ra$

*n administrador puede crear una jerarqua de entidades emisoras de certificados

comenzando por un certificado de entidad emisora raz y, a continuacin, ir agregando

entidades intermedias que emitirn certificados a entidades subordinadas La cadena

termina cuando una entidad emite un certificado a una entidad final (un usuario)

Los costos de distribucin de los certificados de entidades raz son los ms ele!ados, ya que

si se cambian las races hay que crear de nue!o toda la 'O; Ai un certificado raz cambia,

debe re!ocar el antiguo certificado y agregar el nue!o para todos los clientes de la

Pagina n 1"


16/48


organizacin 8dems, debern !ol!erse a emitir todos los certificados que las entidades

raz han emitido y que, a continuacin, han pasado de las entidades subordinadas a las

finales 'or tanto, el uso de un reducido nmero de certificados de larga duracin emitidos

por entidades raz ofrece la solucin ms rentable a la hora de distribuir su jerarqua de

entidades emisoras de certificados Las entidades raz son importantes porque se confa en

ellas plenamente y porque son el punto donde se detiene la construccin de la cadena 'or

tanto, es necesario que una autenticacin fuera de banda acompa0e a su distribucin s

decir, puesto que un certificado de entidad raz est autofirmado, alguien debe garantizar la

autenticidad de este certificado raz

#omo e%isten muchas ms entidades finales que entidades emisoras de certificados, las

entidades que emiten certificados a las entidades finales utilizan su cla!e pri!ada para

firmar una gran cantidad de datos #uanto ms se utilice una cla!e para firmar datos, ms

oportunidades hay de que se produzca un ataque criptogrfico 'or tanto, el mantenimiento

de la seguridad requiere que las entidades en lnea que emitan certificados a entidades

finales cambien las cla!es de firma con frecuencia

Las entidades que emiten certificados a entidades finales tienen listas de certificados

re!ocados mucho ms largas que las entidades emisoras de certificados intermedias o raz

(que emiten certificados nicamente a otras entidades emisoras que se encuentran en unaposicin ms subordinada) n parte esto se debe a que e%isten muchas ms entidades

finales que certificados de entidades emisoras 8dems, e%isten muchas razones por las que

las entidades finales deben re!ocar sus certificados, por ejemplo cuando un empleado

cambia de trabajo o abandona la compa0a

Las entidades emisoras de certificados (#8s) publican una lista de certificados re!ocados

(#IL), que es una lista de certificados que no deben usarse ms La entrada

correspondiente al certificado permanece en la #IL hasta la fecha (:alid+1o


17/48


certificados tambin puede administrar el tama0o de la #IL *no de los mtodos consiste

en mantener !arias listas, conocidas como #IL di!ididas l otro mecanismo consiste en

reducir el perodo de !alidez de los certificados emitidos y, por tanto, acelerar su retirada de

la #IL por parte de la entidad emisora de certificados

?uchas de las aplicaciones deben poder a!eriguar la informacin de estado de re!ocacin

ms reciente para un certificado Pnicamente una entidad emisora de certificados que est

en lnea puede publicar la informacin actual acerca del estado de un certificado l estado

de re!ocacin publicado desde una entidad emisora de certificados sin cone%in debe

distribuirse a una ubicacin en lnea mediante un mtodo e%terno

Las entidades emisoras ms !ulnerables son aquellas que se encuentran en lnea, su

seguridad fsica es baja y firman un gran nmero de certificados 'or tanto, cuando se

establezcan las entidades emisoras de certificados raz y las subordinadas, se debe lograr un

equilibrio entre la seguridad y la disponibilidad Lo ms recomendable es establecer una

jerarqua de tres ni!eles que incluya una entidad emisora de certificados raz y una entidad

de directi!a subordinada, ambas independientes y sin cone%in, y otra entidad de empresa

en lnea que emita certificados a la subordinada

7ntidades emisoras ra$ sin conei%n ?


18/48


7ntidades emisoras en lnea ?La ltima entidad emisora de

certificados de la cadena debe estar en lnea y, por tanto, disponible para procesar

nue!as solicitudes de certificados procedentes de di!ersos clientes *na entidad

emisora de certificados en lnea, situada debajo de la entidad raz, tambin puede

publicar con frecuencia informacin actualizada acerca del estado de re!ocacin l

administrador puede cambiar a menudo las cla!es para este tipo de entidades

emisoras de certificados puesto que el costo (en cuanto a carga administrati!a) de

distribucin de sus nue!os certificados es mnimo Las entidades emisoras de

certificados subordinadas no son realmente desechables, pero pocas son las !entajas

que se obtienen atacndolas, y pueden bloquearse rpida y fcilmente si la re!oca

una entidad superior

Registraci%n

Iegistrarse es el proceso por el cual los EsubjectsF se dan a conocer a una entidad emisora

de certificados (#8) l registro puede estar implcito en el acto de solicitud de un

certificado, puede lle!arse a cabo mediante otra entidad de confianza (como una estacin de

inscripcin de tarjetas inteligentes) que a!ale el subject o bien puede lle!arse a cabo como

informacin resultante recibida de una fuente de confianza (como un administrador de

dominio) *na !ez registrado con la entidad emisora, se emite un certificado al subjects

siempre y cuando el certificado cumpla con los criterios establecidos en la directi!a de

entidades emisoras de certificados

Inscripci%n de certificados

La inscripcin de certificados es el procedimiento por el cual una entidad final solicita y

recibe un certificado de una entidad emisora de certificados La solicitud de certificados

proporciona informacin de identidad a la entidad emisora de certificados 8 continuacin,

esta informacin pasa a formar parte del certificado emitido La entidad emisora de

certificados procesa la solicitud conforme a una serie de criterios que pueden requerir que

la autenticacin no automtica tenga lugar sin cone%in (autenticacin fuera de banda) Ai

la solicitud se procesa correctamente, la entidad emite el certificado al usuario

Pagina n 1%


19/48


Inscripci%n de certificados a tra8#s de las autoridades de registro

#on una 8utoridad de registro (Iegistration 8uthority, I8) se realiza un tipo especial de

inscripcin de certificados que garantiza a una entidad emisora de certificados el enlace

entre las cla!es pblicas y la identidad y los atributos del posible propietario de un

certificado Las autoridades de registro son subjects que poseen un certificado especial

ste certificado especial contiene informacin que identifica el subject ante la entidad

emisora de certificados @eneralmente, una autoridad de registro establece el enlace entre la

cla!e pblica y el subject y, a continuacin, firma la solicitud generada por el subject para

probar a la entidad emisora de certificados que la autoridad de registro est garantizando el

enlace n esencia, el uso de la autoridad de registro es una forma de delegacin

administrati!a ya que la entidad emisora de certificados delega a la autoridad de registro lacomprobacin del enlace entre una cla!e pblica y una entidad

La autoridad de registro genera certificados que establecen un fuerte enlace entre el tema y

la cla!e pblica n el sistema operati!o NindoMs J>>>, Aer!icios de #ertificate Aer!er

utiliza la autenticacin de dominio para identificar al usuario que efecta solicitudes para la

mayora de los tipos de certificados *n autoridad de registro utiliza la estacin de

inscripcin de tarjetas inteligentes de NindoMs J>>>, que crea certificados de inicio de

sesin con tarjetas inteligentes La autoridad de registro !alida la identidad del destinatario

de la tarjeta inteligente, lo que proporciona un enlace ms fuerte entre el subject y la cla!e

pblica que la que se puede conseguir si slo se utiliza autenticacin de dominio

Re8ocaci%n de certificados

Los certificados tienen una duracin especfica, pero las entidades emisoras de certificados

pueden reducir esta duracin mediante el proceso conocido como re!ocacin de

certificados La entidad emisora de certificados publica una lista de re!ocacin de

certificados (#IL) con los nmeros de serie de aquellos certificados que considera que ya

no pueden utilizarse ms La duracin establecida para las listas de re!ocacin de

certificados suele ser mucho ms corta que la que se establece para los certificados La

entidad emisora de certificados tambin puede incluir en la #IL la razn por la que se

Pagina n 1&


20/48


re!oc el certificado 1ambin incluye una fecha a partir de la cual se aplica este cambio de

estado

'ara re!ocar un certificado se pueden indicar las razones siguientes$

Iiesgos para la cla!e

Iiesgos para la entidad emisora de certificados

#ambio de afiliacin

Ieemplazo

#ese del funcionamiento

#onser!acin de certificados (ste es el nico cdigo que le permite cambiar el

estado de un certificado re!ocado resulta til si el estado del certificado es

cuestionable)

La re!ocacin de un certificado por parte de la entidad emisora de certificados significa que

dicha entidad da de baja su instruccin acerca del uso permitido del par de cla!es antes de

que el certificado caduque normalmente *na !ez que el certificado caduca, se quita su

entrada de la #IL para reducir el tama0o de esta ltima


21/48


DDH


22/48


Luego de establecer la cone%in 1#', mediante un saludo de tres !as, el cliente y el

ser!idor intercambian sus !ersiones de AA- 'osteriormente intercambian las cla!es de

encriptacin para luego poder transmitir la informacin en forma segura :er =igura 3

ig.-

Introducci%n al protocolo DHTTP

Pagina n 22


23/48


l 'rotocolo Aeguro de 1ransferencia de -iperte%to (A+-11') es una !ersin modificada

del 'rotocolo de 1ransferencia de -iperte%to -11' que incluye caractersticas de

seguridad Au dise0o permite comunicaciones seguras a tra!s de la Neb que incluyen el

en!o de informacin personal a largas distancias

Los diferentes mtodos utilizados por el protocolo para garantizar la seguridad del mensaje

incluyen un mtodo de firma, uno de codificacin, y comprobaciones del remitente y la

autenticidad del mensaje

*n mensaje A+-11' combina el cuerpo codificado del mensaje y la cabecera, que puede

incluir, la informacin sobre cmo puede decodificar el destinatario el cuerpo del mensaje y

cmo debera procesarlo una !ez descifrado el te%to

'ara crear un mensaje A+-11', el ser!idor integra las preferencias de seguridad del

ser!idor con las del cliente 'or ejemplo, si el ser!idor est configurado para utilizar elstndar C de #odificacin mediante #la!e 'blica ('O#A+C) y la lista de codificacin del

cliente incluye este protocolo, el ser!idor lo utilizar para codificar el mensaje 8l e%istir

coincidencia en alguno de los mtodos, el ser!idor lo utiliza para codificar el mensaje en

te%to plano y con!ertirlo en un mensaje A+-11' 'ara recuperar el mensaje, el cliente

realiza el proceso contrario, es decir, e!ala que la transmisin coincida con sus propias

preferencias criptogrficas Ai no es as, intentar decodificarlo utilizando las opciones

criptogrficas del ser!idor (inicialmente el ser!idor y el cliente mantienen una con!ersacin

donde, por acuerdo el ser!idor afirma las operaciones criptogrficas que realizar en el

mensaje) *na !ez que encuentra el estndar de codificacin, decodifica el mensaje

mediante alguna combinacin de cla!es entre remitente y destinatario #uando se haya

decodificado el mensaje se muestra en el e%plorador Neb el cdigo -11'

Codificaci%n del mensaEe

n sistema de criptogrfico que emplea A+-11' es de cla!e simtrica, es decir, el ser!idor

y el cliente son los nicos que conocen dichas cla!es y las emplean para codificar y

decodificar los mensajes que en!an n este sistema los usuarios deben encontrar un

mtodo para intercambiar las cla!es n A+-11' define dos mecanismos$ uno que

intercambia cla!es pblicas acordadas en forma e%terna y otro que se denomina

Pagina n 2


24/48


intercambio Een bandaF l primer mtodo utiliza un intercambio manual de cla!es,

generalmente usado en intranets o algunas redes bancarias que acuerdan e%ternamente con

el cliente cul ser la cla!e l segundo mtodo el ser!idor codifica su propia cla!e pri!ada

con la cla!e pblica del cliente y se la en!a a ste 'ara esto, el cliente le tu!o que haber

en!iado (en segundo plano) su propia cla!e pblica y el sistema criptogrfico que emple,

para que el ser!idor lo sepa y lo utilice *na !ez recibida la cla!e del cliente, el ser!idor

genera una cla!e de sesin (su cla!e pri!ada encriptada con la pblica del cliente) y se la

en!a a ste para que le pueda en!iar mensajes seguros

Integridad del mensaEe = autenticidad del remitente

8dems de la codificacin del mensaje, ambas partes pueden !erificar la integridad del

mensaje y la autenticidad del remitente calculando un cdigo para el mensaje A+-11'

calcula un cdigo para el mensaje como un E!alor hash relacionado con la cla!e de sesinF

con el cual se corrobora en ambas partes que coincida el hash en!iado con uno generado

localmente, a partir de la cla!e de sesin que ambos conocen, para !erificar la integridad

del mensaje


25/48


ig.

Transmisi%n segura con DDL

8 diferencia del protocolo A+-11', que fue dise0ado para transmitir mensajes indi!iduales

en forma segura, el protocolo AAL fue creado con el fin de crear cone%iones seguras de

e%tremo a e%tremo entre el cliente y el ser!idor sobre las cuales poder en!iar cualquier

cantidad de datos en forma segura

AAL, abre!iatura de Aecure AocDet Layer (#apa AocDet Aegura) es un protocolo

desarrollado por Betscape #ommunications #orp para pro!eer seguridad y pri!acidad

sobre ;nternet Ae trata de un protocolo abierto no propietario, lo que significa que Betscape

ha puesto a disposicin de las empresas para ser utilizado en aplicaciones de ;nternet Ae

dise0o con el fin de pro!eerle seguridad a los protocolos de la capa de aplicacin como

-11', 1elnet, =1', por lo que se sita debajo de dicha capa y encima de la capa de

Pagina n 2"


26/48


transporte 1#' l ltimo estndar AAL > proporciona codificacin de datos,

autenticacin de ser!idores, integridad de los mensajes y autenticacin opcional del cliente

para una cone%in 1#'.;'

8l proporcionar un mtodo para que los ser!idores y clientes codifiquen las transmisiones

en la Neb, requiere que en la cone%in participen ser!idores y e%ploradores preparados

para AAL Los e%ploradores Betscape Ba!igator e ;nternet %plorer incorporan dicha

capacidad n ;nternet %plorer podemos comprobar su e%istencia si nos dirigimos a

-erramientas S &pciones de ;nternet S &pciones 8!anzadas :er =igura

Las comunicaciones seguras no eliminan por completo las preocupaciones de un usuario en

;nternet 8unque AAL asegura la comunicacin en ;nternet, esta seguridad por s sola noprotege al usuario ante la gente descuidada o corrupta con los que podra tener

transacciones comerciales

La autenticacin de ser!idores AAL utiliza criptografa IA8 de cla!e pblica junto a una

8utoridad #ertificante como 1haMte o :eriAign Aiempre que se conecte a un ser!idor, se

podr !er su certificado para comprobar su identidad

Pagina n 2#


27/48


ig.&

C%mo asegura DDL las coneiones de etremo a etremo

#uando un e%plorador y un ser!idor establecen una cone%in segura, es ser!idor en!a al

e%plorador una cla!e de sesin que ambos utilizan para codificar las comunicaciones en la

cone%in Ain embargo, el ser!idor y el e%plorador primero deben intercambiar la cla!e de

la sesin l sistema que utilizan es de cla!e pblica #uando el e%plorador se intenta

conectar con un ser!idor seguro, en!a al ser!idor un mensaje #lient-ello que trabaja de

forma similar a una peticin -11' 8dems de informacin del e%plorador, ste le en!a su

cla!e pblica que gener en el momento de su instalacin en el sistema *na !ez que el

ser!idor recibe el mensaje, e!ala la informacin del mismo Ai el e%plorador y el ser!idor

coinciden en un tipo de codificacin admitida por ambos, el ser!idor le responde con un

mensaje Aer!er-ello


28/48


cliente recibe la respuesta, en!a otra peticin al ser!idor 8hora el cliente codifica esta

segunda peticin con su cla!e pblica, ahora que el cliente ya la conoce La segunda

peticin del cliente le indica al ser!idor que en!e la cla!e de sesin que utilizarn para la

comunicacin 8 su !ez, el ser!idor de!uel!e la cla!e de sesin, que codifica con la cla!e

pblica del cliente

*na !ez que el cliente recibi la cla!e de sesin, utilizar esta para codificar toda

informacin que se transmita :er =igura 4

ig./

Las transmisiones que utilizan AAL permanecen acti!as hasta que el e%plorador o el

ser!idor cierran la cone%in (en general cuando el e%plorador solicita una *IL diferente)

Pagina n 2%


29/48


'ara saber si un documento pro!iene de un sitio seguro, debemos mirar el campo donde

escribimos las *ILRs y obser!ar una EsF tras el protocolo http , es decir que el sitio en

cuestin comenzar con https$.. 8dems, en el momento de entrar en un sitio seguro, en

;nternet %plorer se podr !isualizar un candadito amarillo cerrado en la parte inferior

izquierda del na!egador

n 3KK5, Betscape #ommunications #orp mand el AAL a la ;1=, organismo que se

encargara de su estandarizacin l resultado fue 1LA (1ransport Layer Aecurity) Los

cambios hechos a AAL fueron peque0os pero, sin embargo resultaron suficientes para que

AAL !ersin y 1LA no puedan interoperar Lo que se busc es obtener un protocolo con

cla!es ms fuertes que sea ms difcil de criptoanalizar La !ersin 1LA 3> se la conoce

como AAL 3 Ai bien las primeras implementaciones aparecieron en 3KKK, an no quedaclaro si 1LA reemplazar a AAL en la prctica, aunque es ligeramente ms fuerte

Correo Deguro ime Dime

?;? es la abre!iatura de ?ultipurpose ;nternet ?ail %tensions, cuya traduccin podra

ser %tensiones ?ultipropsito de #orreo en ;nternet Ae trata de una especificacin para

darle formato a mensajes no 8A#;; para poder ser en!iados a tra!s de ;nternet Losmensajes de correo poseen dos partes$ la cabecera del mensaje, que contiene unos campos

estructurados conteniendo informacin esencial para la transmisin del mensaje, y el

cuerpo del mismo totalmente desestructurado a menos que se encuentre en formato ?;?

?uchos clientes soportan ahora ?;? ya que les permite en!iar y recibir grficos, audio, y

!ideo a tra!s del sistema de correo en ;nternet 8dicionalmente ?;? soporta el en!o de

mensajes en otros conjuntos de caracteres adems de 8A#;; 8simismo los e%ploradores

tambin soportan !arios tipos ?;?, lo que les permite mostrar archi!os que no estn en

formato -1?L

*na nue!a !ersin, llamada A.?;?, nace para brindarle a ?;? el ser!icio de seguridad

que ste carece A.?;? (Aecure . ?ultipurpose ;nternet ?ail %tensions) es un protocolo

que agrega firmas digitales y encriptacin a ?;? l cuerpo ?;? transporta un mensaje

codificado en 'O#A+C l estndar actual es A.?;? !ersin

Pagina n 2&


30/48


PGP(l mensaje es encriptado con una cla!e de sesin de 3JH bits generada aleatoriamente

la cual se encriptada con la cla!e de J>4H bits del destinatario

Firma digital @DA?La cla!e de !erificacin de firma es de 3>J4 bits sto garantiza la

integridad de un mensaje y la autenticidad de la direccin de respuesta

DDL?l mensaje !iaja a lo largo de un canal seguro donde es adicionalmente encriptado La

longitud de la cla!e de encriptacin es de hasta 3>J4 bits

Introducci%n a Ps

*n E:irtual 'ri!ate BetMorDF (:'B) es una red (netMorD) de datos pri!ada (es decir, slo

participan un grupo EelegidoF de computadoras), que utiliza la infraestructura de

telecomunicaciones pblica, manteniendo la pri!acidad a tra!s de protocolos de tneles y

procedimientos de seguridad *na empresa puede querer que sus empleados se conecten a

su red desde sus hogares o cuando estn !iajando, o podra querer que dos sucursales (cada

una con su propia L8B) estn conectadas en una sola red La :'B brinda a una empresa

las mismas posibilidades que las lneas pri!adas bajo leasing a un costo muchsimo ms

bajo, utilizando la infraestructura pblica compartida (un ejemplo$ ;nternet) 7ajo las siglas

:'B se rene un conjunto de tecnologas y escenarios para satisfacer las necesidades de las

empresas

#uando se selecciona una implementacin :'B se deben considerar$ seguridad,

interoperabilidad, facilidad de uso y administracin %isten soluciones :'B pro!istas por

diferentes !endors (por ejemplo #;A#&), pero tambin e%isten soluciones ya incluidas endiferentes sistemas operati!os (A&) +por ejemplo$ NindoMs o Linu%+ & soluciones que si

no estn ya en el A& pueden bajarse de ;nternet

'ara entender :'Bs es necesario adentrarse en los siguientes puntos$

'rotocolos disponibles (''1'. LJ1'. ;'Aec, ;'Aec 1nel)

Pagina n '


31/48


scenarios :'Bs ms comunes (8cceso remoto, site+to+site, e%tranet)

8utenticaciones

Aeguridad bajo :'B

n el caso NindoMs, si nos referimos a un ser!idor :'B se deber entender NindoMs J>>>

Aer!er o NindoMs Aer!er J>> con II8A (Iouting and Iemote 8ccess) acti!ado

Los dos escenarios ms comunes de Ps

La mayora de las compa0as necesitan pro!eer acceso remoto a los empleados

@eneralmente se utilizaba una cone%in dial+up (


32/48


=inalmente, se deber decidir si se desea que el usuario remoto pueda acceder a la ;ntranet

o si se lo limitar a reas especficas n la =ig 3, por ejemplo, solamente se da acceso al

ser!idor de %change Ae puede implementar esta ErestriccinF de diferentes modos$ en el

Aer!er :'B, en los routers, o en las MorDstations y ser!ers usando ;'Aec y polticas

asociadas n ser!idores :'B con NJO e%iste la posibilidad de usar Iemote 8ccess

'olicies (I8')

Pagina n 2


33/48


ig.-(012 # Acceso +emoto

!)'E('3(!)'E 012s "012s entre sitios$

Aite+to+site conecta la L8B de una empresa ubicada en un sitio remoto con otra L8B en

otra ubicacin, usando un linD :'B a tra!s de ;nternet, reemplazando as lneas dedicadas

que en general son muy caras 1odo lo que se necesita es un ser!idor NJO en cada sitio

conectado a la L8B local ste escenario no requiere autenticacin de usuario pero s deben

Pagina n


34/48


autenticarse los ser!idores :'B entre s #uando se establece la cone%in :'B, uno de los

ser!idores :'B asume el rol de cliente e inicia una cone%in con otro ser!idor :'B


35/48


ig. ( !ite to site 012

Los Protocolos usados en Ps?

Pagina n "


36/48


s importante conocer cules son los protocolos usados en :'Bs y como se interrelacionan

con las diferentes autenticaciones posibles

#ada una de las dos arquitecturas antes mencionadas soportan uno o ms protocolos para

establecer la :'B Las posibilidades hoy son ''1', LJ1'.;'sec y ;'sec 1nel

Los distintos protocolos permiten diferentes algoritmos de enciptacin 8 su !ez diferentes

autenticaciones sern posibles en cada caso ;'sec y LJ1' representan los protocolos ms

actuales y soportan autenticaciones que difieren en su ni!el de riesgo ''1' ha debido ser

corregido en las !ulnerabilidades descubiertas por #ounter 'ane Austems en 3KKH y

representa an una opcin muy segura para requerimientos corporati!os, siempre que se

implementen passMords fuertes (strong)

Deguridad en Redes Kireless

Kired 7qui8alent Pri8ac=

N' fue pensado para darle a una red Mireless la seguridad que tienen las redes cableadas

l proceso de encriptacin N' requiere el uso de una cla!e esttica de 4> bits introducida

por el usuario #omo dicha cla!e ser utilizada para desencriptar el mensaje, es necesario

que sea introducida en cada dispositi!o de la red #on dicha cla!e y un !ector de

inicializacin (: ;) de J4 bits se obtiene una nue!a cla!e de 54 bits (4> V J4) mediante un

algoritmo conocido como I#4 La informacin a transmitir se la combina con esta nue!a

cla!e bajo la operacin lgica &I+%clusi!e (9&I) obtenindose paquetes totalmente

encriptados 8 esto se le concatena el :; (en te%to claro) nue!amente y se en!a por ondas

de radio toda esta trama


37/48


Los problemas descriptos en lo referente a N' han dado posibilidad al surgimiento de

di!ersas tcnicas de encriptacin, algunas de finales del a0o J>>, con lo cual algunos

equipos anteriores debern ser reemplazados para apro!echar todos los beneficios de las

nue!as tcnicas 8lgunos ya estn preparados de fbrica y slo ser necesaria una

actualizacin de su softMare N' planteaba una nica cla!e esttica que el administrador

deba cambiar, pues no lo hace por s sola 8 pesar de poseer un mecanismo al parecer tan

EcerradoF, N' ha sido probado como poco eficiente pues su cla!e I#4 es poco segura

Las razones son !arias, pero e%plicaremos slo algunas de ellas

l primer ataque utiliza una !ulnerabilidad detectada en la limitacin numrica del !ector

de inicializacin 8 causa de sus J4 bits de longitud, se pueden armar 35CCCJ35 !alores

posibles (JJ4) ?ientras esto puede parecer mucho, tenga en cuenta que 35 millones depaquetes se transmiten en unas pocas horas en una red con mucho trfico #ada cierto

tiempo el algoritmo genera el mismo !ector de inicializacin para ser reutilizado en la

encriptacin, por lo que mediante una escucha pasi!a del trfico encriptado se puede

determinar la cla!e N' dada su reiterada secuencia 1enga en cuenta adems algo muy

simple$ el :; !iaja en te%to claro (sin encriptar)

l segundo ataque se debe a la !ulnerabilidad del algoritmo I#4 con ciertos !ectores de

inicializacin conocidos como dbiles 'arece ser que ciertos nmeros entre > y 35CCCJ36

no trabajan bien en el mecanismo de encriptacin I#4 #uando se los utiliza, los paquetes

mal encriptados pueden ser analizados matemticamente por funciones que re!elan parte

del cdigo N' #apturando una gran cantidad de stos, un atacante puede comprometer la

seguridad de la red

*n tercer problema yace en torno a la administracin de las cla!es Ai se decide usar N'

de acuerdo al estndar H>J33b, se debe programar la misma cla!e N' en cada dispositi!o

cliente y access point Ai por alguna razn esta cla!e se encuentra comprometida (ya sea

por empleados despedidos, porque alguien la comunic por telfono, o porque simplemente

algn atacante pudo adi!inarla) se deber reprogramar todo nue!amente en cada

dispositi!o

Pagina n $


38/48


sto no parece ser tan complicado si la NL8B consta de pocos dispositi!os n cambio si

se trata de un campus uni!ersitario o de una gran empresa, el trabajo de cambiar las cla!es

se con!ierte en una terrible pesadilla Ieiteramos adems que la cla!e N' es la misma

cla!e que se utiliza para codificar el modo de autenticacin por cla!e compartida, por lo

que !ulnerar sta en la primera etapa significa que se encontrar ya !ulnerada en el proceso

de encriptacin, no resultando con!eniente la combinacin cla!e compartida Q N'

6-2?,

Ai bien este estndar naci para las redes cableadas, pronto fue adoptado por la industria de

las NL8B y su uso se masific H>J39 utiliza el 'rotocolo de 8utenticacin %tensible

(8') y un ser!idor I8


39/48


elemento esencial para obtener una buena solucin de seguridad 8l e%pirar rpidamente el

tiempo de uso de una cla!e, dado su constante cambio, hace que los atacantes tengan menos

tiempo para recoger datos y deducir la cla!e %isten actualmente una cantidad de !ariantes

de 8' las cuales se encuentran en estudio para su probable incorporacin dentro del

estndar

Der8ice Det Identifier

s un parmetro utilizado para diferenciar una red de otra ;nicialmente los 8##AA

'&;B1A lo traen configurado por defecto segn su marca comercial 'or ejemplo, todos los

8##AA '&;B1A #isco !ienen configurados como E1sunamiF l hecho de no cambiar el

AA;< por defecto hace que la red sea mucho ms fcil de detectar &tro error muy comn es

asignarle nombres significati!os como el nombre de la empresa o el departamento al que

pertenece el 8##AA '&;B1 o algn nombre igualmente adi!inable l AA;< debera de

ser creado con las mismas reglas para la creacin de passMords, es decir, poseer cierta

cantidad de caracteres como mnimo, incluir caracteres alfanumricos y simblicos y no

contener nombres fcilmente adi!inables, etc

'or defecto el 8##AA '&;B1 difunde el AA;< !arias !eces por segundos La !entaja deesto es que los usuarios autorizados encuentran con facilidad la red, pero tambin la

encuentran aquellos que no lo son ste rasgo es lo que permite a las NL8B ser detectadas

por la mayora del softMare de deteccin sin conocer su AA;


40/48


entiende que es el hecho de desmenuzar y disfrazar la informacin para que su lectura

resulte incomprensible a aquel que no es el destinatario del mensaje

Redes pri8adas 8irtuales

Ai bien las :'B han sido utilizadas desde 3KK> en redes cableadas para asegurar las

comunicaciones entre usuarios remotos y sus redes corporati!as a tra!s de ;nternet, su

funcionalidad puede ser adaptada a las NL8B sta tcnica pro!ee una especie de tnel

donde los datos !iajan totalmente encriptados desde un sitio hasta el otro @eneralmente el

8##AA '&;B1 se ubica por detrs del gateMay :'B, por lo que los datos !iajan

encriptados an desde la '# al 8##AA '&;B1

Introducci%n

n 3KKK el Atandard H>J33b fue aprobado por el ; (;nstituto de ;ngenieros lctricos y

lectrnicos) 8s nacen las NL8Bs (@reles L8Bs (Local 8rea BetMorDs)) Las

computadoras podan interconectarse en red con un buen ancho de banda sin tener que estar

conectadas por cables Aurgi la posibilidad de conectar mltiples computadoras en el

hogar compartiendo una cone%in a ;nternet comn & juegos en red que podan realizarsesin necesidad de cables y cone%iones costosas y complicadas n la empresa la

conecti!idad greles y la aparicin de dispositi!os ms reducidos permitan estar en

reuniones o seminarios y an poder estar realizando tareas como si estu!isemos sentados

en nuestro escritorio Aurgi una era de EeleganciaF del trabajo en red donde con una

laptop y desde cualquier lugar es posible acceder a los recursos informticos de la empresa

o ;nternet

'ero qu sucede con la seguridad y los riesgos de esta nue!a tecnologa Mireless

(inalmbrica) 8lgunos de estos riesgos son similares a aquellos en redes por cables

8lgunos estn magnificados bajo una tecnologa Mireless 8lgunos son nue!os Guizs la

fuente de riesgo ms significati!a en una red inalmbrica sea el hecho de que el medio

sostn de las comunicaciones, ondas electromagn0ticas en el aire, estn disponibles para

Pagina n !'


41/48


los intrusos, siendo equi!alente a tener puertos thernet disponibles a cualquiera en nuestra

!ereda

Las comunicaciones inalmbricas son posibles gracias a las ondas electromagnticas que

pueden desplazarse a gran !elocidad por el aire e incluso por el !aco stas ondas no son ni

ms ni menos que campos elctricos y magnticos que oscilan en cuadratura, es decir

perpendiculares entre s, a una frecuencia dada 'or frecuencia entendemos que lo hacen

con cierta regularidad, una cierta cantidad de !eces por segundo y siempre de la misma

manera 'or ejemplo, si nos remitimos a una estacin emisora de radio =?, sta transmite

a una cierta frecuencia, digamos 3>66 ?-z (se lee ?ega -ertz) Au antena transmite y la

nuestra recibe campos electromagnticos que oscilan a razn de X3>6,6 millones de !eces

en un segundoY

ste ejemplo es para que *d tenga una idea de lo que sucede en el aire 'ero resulta que las

redes inalmbricas que comunican datos tienen asignadas bandas de frecuencias diferentes

a las de la radio comercial 8? y =? stas bandas son licenciadas y las emisoras deben

pagar por su uso Las redes inalmbricas hogare0as o empresariales tienen asignadas la

banda de microondas, banda en la que operan, entre otras cosas, los hornos a microondas y

algunos telfonos inalmbricos sta banda es de uso libre por lo que se desarrollaron

diferentes tcnicas para minimizar la interferencia de las redes con otros dispositi!os que

operan libremente en dicha banda > millones de !eces por

segundo en todas las direcciones

*na red local inalmbrica o NL8B (del ingls, Nireless Local 8rea BetMorD) tiene dos

modos posibles de comunicacin entre los dispositi!os$

ad (oc o de par a par4donde un dispositi!o se comunica directamente con otro

de su misma especie sin la inter!encin de un dispositi!o central =igura 3

de infraestructuraMdonde la comunicacin entre dispositi!os se realiza a tra!s

de un equipo central concentrador de datos conocido como access point o punto

Pagina n !1


42/48


de acceso que generalmente est conectado a una red cableada como ;nternet o

una red corporati!a =igura J

Tipo de autenticaci%n

8ntes de que cualquier otra comunicacin se lle!e a cabo entre un cliente Mireless y un

8##AA '&;B1, ellos comienzan un dilogo ste proceso se conoce como asociacin

'osterior a esto e%iste una etapa de autenticacin donde el cliente debe acreditarse frente al

8##AA '&;B1 y ste debe asegurarse de que aquel es quin dice ser sto agrega una

proteccin e%tra frente al mero uso de AA;


43/48


Ai nos remitimos a la etapa de encriptacin, e%isten diferentes tcnicas, algunas del

momento en que surgi el estndar y otras actuales

Filtrado de direcciones AC

&tro mtodo a tener en cuenta es el filtrado de direcciones ?8# 1oda placa de red posee

un nmero de identificacin que la hace nica frente a cualquier otra placa del mundo Wste

consta de 4H bits e%presados en forma he%adecimal di!ididos en dos grupos, J4 bits que

identifican al fabricante y los J4 bits restantes que identifican al producto de dicho

fabricante 8 causa de que cada placa de red posee su direccin indi!idual, se podra limitar

el acceso hacia el 8##AA '&;B1 a slo aquellas direcciones ?8# de dispositi!os

autorizados y bloquear el resto

l primer incon!eniente reside en la administracin de direcciones l administrador de la

red debe mantener una suerte de base de datos de cada dispositi!o permitido sta base de

datos debe ser mantenida en cada 8##AA '&;B1 indi!idualmente o en un ser!idor

I8


44/48


1odo esto es actualmente de fcil implementacin pues los access point actuales poseen

funciones de fireMall incorporado

edidas :sicas de seguridad

%isten una serie de medidas bsicas a implementar para lograr una red un poco ms difcil

de penetrar 8 pesar de que no e%iste una red completamente segura, lo que se trata de

lograr es una red con la m%ima seguridad posible

K7P de ,26 :its

La empresa Lucent tambin fue pionera en el desarrollo de una cla!e N' de 3JH bits

denominada N' 'lus sto incrementa de 4> bits a 3>4 bits la cla!e a lo que hay que

sumarle los J4 bits del !ector de inicializacin, resultando 3JH bits totales sto lle!ara

muchsimo ms tiempo determinar la cla!e mediante un ataque por fuerza bruta Ain

embargo toda!a e%isten incon!enientes con el uso de 3JH bits 8unque se utilicen 3JH bits

(3>4 de cla!e V J4 de :;) en !ez de 54 bits (4> de cla!e V J4 de :;), la longitud del !ector

de inicializacin sigue siendo la misma, y sta la causa de la !ulnerabilidad 8ctualmente se

encuentran disponibles cla!es de 3KJ bits y de J65 bits n la figura 4, en su parte inferior!eamos que se pueden ingresar hasta 4 cla!es de J5 dgitos he%adecimales (3>4 bits) cada

una, pues se encuentra habilitado el modo N' de 3JH bits 8 eso, el mecanismo de

encriptacin N' le adiciona el !ector de inicializacin de J4 bits, resultando los 3JH bits

totales Ae debe especificar en cada cliente Mireless, cul de las 4 cla!es deber utilizar e

ingresarla manualmente

Conclusiones

Ai bien la seguridad al 3>>Z no e%iste, todas las medidas que tomemos ayudarn a

minimizar los riesgos 8 continuacin brindaremos una serie de consejos prcticos

generales que pueden ajustarse a la mayora de los casos

Pagina n !!


45/48



46/48


cantidad de paquetes necesaria para corromper la cla!e ste mtodo representa slo una

parte del plan de seguridad

Las especificaciones para el armado de una NL8B fueron establecidas en 3KKK por el

; bajo el estndar H>J33 *no de los estndares utilizados hoy en da es el H>J33b

que, entre tantas cosas, define una frecuencia de trabajo de J,4 @-z, una distancia operati!a

que ronda los 3>> metros y una tasa de transferencia de datos de 33 ?bps (mega bits por

segundo) l estndar ; H>J33 y sus !ariantes a, b, g, h son conocidos como Ni+=i por

Nireless =idelity (=idelidad inalmbrica)

l modelo de infraestructura es el ms utilizado a causa de que se implementa toda la

seguridad en torno al dispositi!o central o access point l estndar define 36 canales que

pueden ser utilizados para realizar la comunicacin #ada placa de red ubicada en cadacomputadora rastrea cada uno de los 36 canales en busca de una NL8B 1an pronto como

los parmetros configurados en el cliente y en access point coincidan, stos iniciarn la

comunicacin y la computadora cliente pasar a formar parte de la red Los canales son

rastreados por la placa de red y configurados en el access point 8lgunos modelos slo

permiten el uso de 33 canales nicamente

KPA

N'8, contraccin de Ni+=i 'rotected 8ccess, es un estndar Ni+=i dise0ado para mejorar

la encriptacin de N' =ue contemplado como una solucin de seguridad que no requiera

de hardMare adicional sino que presente como una solucin actualizable !a softMare

J39 y 8', pero agregndole mejoras

como ser un nue!o esquema de encriptacin y de distribucin de cla!es, N'8 utiliza un

protocolo de integridad de cla!e temporal 1O;' (1emporal Oey ;ntegrity 'rotocol) que

produce una cla!e temporal de 3JH bits para encriptar los datos &tros estndares como

8A utilizan algoritmos matemticos similares pero que no son completamente

compatibles con los dispositi!os certificados, por lo que habra que adquirir nue!o

hardMare

Pagina n !#


47/48


Deguridad

s muy e!idente que si las ondas electromagnticas se propagan en todas las direcciones

pudiendo atra!esar obstculos como paredes, puertas y !entanas, la seguridad de nuestra

empresa se !er seriamente comprometida

8ctualmente la empresa inglesa 78 Aystems se encuentra desarrollando una cobertura

para paredes capaz de filtrar las frecuencias que utiliza Ni+=i dejando pasar aquellas

destinadas a radio y comunicaciones celulares l material, una suerte de capa de cobre

sobre un polmero llamado Oapton, posee el mismo tratamiento que los circuitos impresos

y hasta ahora era utilizado en a!iones de combate l panel tendr un espesor de 6> a 3>>

micrones (milsimas de milmetro) y podr ser aplicado a la mayora de las superficies

incluso !idrio 8unque an no se encuentra a la !enta, la compa0a asegura que no costar

caro y lo comercializar a tra!s de sus subsidiarias

Wsta es una forma de e!itar que el trfico de nuestra empresa sea !isto desde el e%terior de

la misma 'ero incluso e%isten otras tcnicas que ayudan a que la informacin sea un poco

ms difcil sino imposible de ser accedida desde el e%terior ;magnese que cualquier

persona podra estar interceptando informacin desde la calle con una simple notebooD

adaptada con Ni+=i, tiempo y !oluntad y estar robndole los datos de su cla!e bancaria

mientras *d confa en que su sistema es TseguroU 8 este tipo de EhacDing se lo llamaNardri!ing

Closed etorJ

*no de los primeros intentos por encauzar la inseguridad de las redes inalmbricas fue

desarrollado por la empresa Lucent para su propio equipamiento -aban desarrollado lo

que llamaban una Ered cerradaF que difera de las redes estndar H>J33b en que los access

points no difundan peridicamente las tramas que componen el AA;< (beacon) sino cada

una cantidad prefijada de tiempo mayor que en las redes estndar 8 pesar de que el AA;

la criptografia - descripcion y usos

Documents