Cifrar

Método por el que se consigue modificar un documento o mensaje haciendo su contenido ilegible para todas aquellas personas que no sean las receptoras del documento o mensaje.

El cifrado de datos surge de la necesidad de hacer inteligible la información para todas aquellas personas que no sean los destinatarios reales de esos datos. Es necesaria la utilización de métodos que nos permitan cifrar los contenidos de los documentos para evitar que puedan ser interpretados por terceras personas.

07-Jul-2016

Criptografía

Definición

Viene del griego cripto (ocultar)/graphos(escribir) pudiéndose traducir como escribir mensajes ocultos. Se puede definir como un conjunto de técnicas que tratan sobre la protección o cifrado de la información.

La criptografía consiste en tomar el documento original y aplicarle un algoritmo (conjunto de instrucciones o reglas) cuyo resultado es un nuevo documento con el contenido completamente distinto al original.

Para conseguir encriptar/desencriptar los datos es necesaria la llamada clave del algoritmo que combinada con el documento tal y como indica el algoritmo genera el nuevo documento.

Las claves del algoritmo tienen que cumplir:

  • Utilizar claves de gran longitud. (128-512-1024-2048bytes)
  • Cambiar regularmente su valor.
  • Utilizar todos los tipos de caracteres posibles.
  • No utilizar palabras fáciles de identificar.
  • Detectar repetidos intentos fallidos en un corto espacio de tiempo.

Criptografía simétrica y asimétrica.

Simétrica

Los algoritmos de criptografía simétrica son los que utilizan la misma clave tanto para el proceso de encriptar como para el de desencriptar el mensaje.

  • Resultan bastante eficientes (tardan poco en realizar los procesos de encriptar y desencriptar)
  • Los más utilizados: DES, 3DES, AES, IDEA y Blowfish
  • La clave del algoritmo al ser la misma para los dos procesos, la tienen que conocer tanto el emisor como el receptor.
Esquema algoritmo simétrico

El emisor utilizando el algoritmo simétrico y la clave única sobre el documento realiza un cifrado de datos obteniendo un nuevo documento cifrado que envía al receptor, el cual utilizando la misma clave en el algoritmo simétrico realiza un descifrado de los datos para obtener el documento original.

Autenticación clientes GSM
Problemas

EL principal problema de la criptografía simétrica es la circulación de las claves, teniéndose que utilizar un segundo canal seguro diferente al canal principal de comunicación para que ambos tengan la clave.

El segundo problema es la gestión de las claves almacenadas ya que cada usuario debe de conocer las claves del resto de los usuarios y se necesitan utilizar dos canales distintos de comunicación por cada usuario.

Asimétrica

En los años 70 los criptógrafos Diffie y Hellman publicaron sus investigaciones sobre criptografía asimétrica. El algoritmo de cifrado de la criptografía asimétrica utiliza dos claves matemáticamente relacionadas de manera que lo que ciframos con una (clave pública) sólo puede descifrarse con la segunda (clave privada). De esta manera el emisor no necesita conocer y proteger una clave propia ya que es el receptor el que tiene el par de claves. Algunos algoritmos y técnicas de clave asimétrica son: RSA, DSA y ElGamal.

El receptor elige una de las claves (llamada clave pública) para comunicarla al emisor por si desea enviarle información cifrada. Ya no hace falta la utilización de canales seguros para enviarla, si la clave fuera capturada por un tercer individuo no podría interpretar la información puesto que el mensaje sólo se puede desencriptar si se dispone de la segunda clave (llamada clave privada) que nunca es comunicada.

Esquema algoritmo asimétrico

Para poder enviar un documento cifrado, primero el emisor consigue la clave pública del receptor. Aplicando al documento un algoritmo asimétrico de cifrado con la clave pública obtiene un nuevo documento cifrado que envía al receptor. El receptor aplica al documento cifrado el algoritmo asimétrico de descifrado, utilizando su clave privada y obtiene el documento original del emisor.

Problemas

Son poco eficientes, ya que tardan bastante en aplicar las claves a los documentos cifrados, sobre todo porque las claves tienen que ser largas para asegurar la independencia matemática entre ellas.

Utilizar las claves privadas de forma repetida es arriesgado ya que algunos ataques criptográficos se basan en analizar los paquetes cifrados.

Hay que proteger la clave privada. Las claves privadas se guardan todas juntas en un fichero llamado keyring (llavero) el cual está protegido mediante cifrado simétrico. Este fichero (llavero de claves) se tiene que incluir en las políticas de backup de la empresa.

Hay que transportar la clave privada. Tenemos que transportar el llavero con el riesgo que supone si lo perdemos.

Soluciones

La solución más común a los problemas de proteger y transportar la clave privada es la utilización de las llamadas tarjetas inteligentes que disponen de un chip electrónico.

Tipos:

Tarjeta de memoria: es equivalente a una memoria flash y se limita a almacenar el llavero de claves.

Tarjeta de procesador: también almacena el fichero de claves, pero a diferencia de la tarjeta de memoria, este nunca sale de la tarjeta. Cualquier cifrado que necesite nuestra clave privada es realizada dentro del propio chip ya que incluye una CPU, memoria RAM, etc. Sigue siendo necesario introducir la clave simétrica que abre el llavero.

  • De contacto: el lector necesita tocar los contactos metálicos del chip para interactuar con él. Son las más utilizadas.
  • Sin contacto: el lector utiliza tecnologías inalámbricas para comunicarse con el chip. Se utiliza en transacciones rápidas.

Esquemas híbridos de criptografía (asimétrica/simétrica)

Asimétrica solo para el inicio de la sesión, cuando hay que generar un canal seguro donde acordar la clave simétrica aleatoria que se utilizará en esa conversación.

Simétrica durante la transmisión utilizando la clave simétrica acordada durante el inicio de sesión, la cual se puede variar cada cierto tiempo para dificultar el espionaje de la conversación.

SSH (Secure Shell) es un protocolo de comunicaciones que permite cifrar la conversación de extremo a extremo.

Un ejemplo es el protocolo SSH de comunicaciones seguras.

Cuando A quiere establecer una conversación con B, en A se genera en ese instante una nueva clave simétrica (CS). Para enviársela a B de modo seguro, A la cifra utilizando un algoritmo asimétrico con la clave pública de B. Cuando B recibe la CS cifrada, la descifra con su clave privada y desde ese momento pueden seguir el diálogo cifrando con el algoritmo simétrico acordado y la CS recibida.

Esquema híbrido de cifrado

Cifrar y Firmar

La primera utilidad de la criptografía es garantizar la confidencialidad de la comunicación cifrando el documento o mensaje original.

La segunda utilidad es la de autenticar al emisor.

En la criptografía asimétrica el mecanismo de firma es el encargado de garantizar que el emisor del documento o mensaje es quien dice ser, para ello el emisor aplica al documento un resumen (hash) que genera una serie de caracteres resumen que sólo se pueden haber obtenido con el documento original.

  • El emisor aplica una función hash sobre el documento original para obtener el documento resumen.
  • Utiliza su clave privada para aplicar un algoritmo asimétrico de cifrado sobre el resumen obtenido.
  • Envía el documento y el resumen encriptado al destinatario.

El receptor una vez recibidos el documento y el resumen cifrado:

  • Aplica un algoritmo asimétrico sobre el resumen utilizando la clave pública del emisor para obtener una copia descifrada
  • Aplica la misma función hash sobre el documento original para obtener el resumen.

Si ambos resúmenes coinciden es más que probable que el emisor del documento sea el mismo que el dueño de la clave pública que se acaba de utilizar para descifrar el resumen enviado por el emisor.

Enviar documento y firma

Si queremos que el documento original no pueda ser interceptado en la transmisión desde el emisor al receptor, debemos cifrarlo.

  • El emisor aplica una función hash sobre el documento original para obtener el documento resumen.
  • Utiliza su clave privada para aplicar un algoritmo asimétrico de cifrado sobre el resumen obtenido.
  • El emisor utiliza la clave pública del receptor para aplicar un algoritmo asimétrico de cifrado al documento original y al documento resumen, obteniendo un documento conjunto cifrado que envía al receptor.

El receptor cuando recibe el documento conjunto cifrado

  • Utiliza su clave privada sobre el documento recibido para obtener los dos documentos.
  • Aplica un algoritmo asimétrico sobre el resumen utilizando la clave pública del emisor para obtener una copia descifrada
  • Aplica la misma función hash sobre el documento original para obtener el resumen.
Enviar documento y firma de forma conjunta

PKI y DNIe

PKI (Public Key Infrastucture) ó Infraestructura de Clave Pública, es un conjunto de medios y servicios adicionales que garantizan los procesos de cifrados y firmas entre distintas organizaciones, done el control de cada una de los procesos es repartido entre varios servidores.

En la comunicación segura entre cliente y servidor aparecen nuevos interlocutores:

  • Autoridad de Certificados (CA), cuya misión es la de emitir certificados.
  • Autoridad de Registro (RA), es la responsable de asegurar que el solicitante del certificado es quien dice ser.
  • Autoridad de Validación (VA), es la responsable de comprobar la validez de los certificados digitales emitidos. Suele coincidir con la CA.
  • Los repositorios. Son almacenes de certificados.
Infraestructura de Clave Pública

Vulnerabilidades:

Virus que alteran los repositorios de claves para asignarnos CA fraudulentas.

Ataques a los servidores de una CA que permitan firmar las claves públicas de servidores peligrosos para que los clientes se conecten a ellos confiando en que es una firma legal.

El DNIe (Documento Nacional de Identidad Electrónico) se implantó en nuestro país en el año 2006. Tiene el mismo tamaño que el DNI anterior donde también aparecen los datos de identificación de la persona, e incorpora un pequeño chip de proceso que lo convierte en una tarjeta inteligente procesadora.

El chip incorpora:

  • Datos personales de la persona, los mismos que están impresos en la tarjeta.
  • Datos biométricos de la persona, como su huella dactilar digitalizada.
  • Claves de cifrado asimétrico. Incluyen dos parejas de claves distintas una para firmar y para cifrar.

Se consiguen en las comisarías de policía expendedoras de DNI. La misma comisaría donde nos ha entregado el DNIe hace de CA y también de RA, la FNMT (Fábrica Nacional de Moneda y Timbre) y el MHAP (Ministerio de Hacienda y Administraciones Públicas) realizan las funciones de VA. Los certificados almacenados en el chip tienen una validez de 30 meses, teniendo que acudir a las comisarias para realizar la renovación de los mismos.