Cisco Cybersecurity Essential cap 4
Descargar como PPT, PDF0 recomendaciones2,010 vistas
Este documento describe varios conceptos y métodos criptográficos clave. Cubre temas como comunicaciones seguras, autenticación, integridad, confidencialidad y cifrados como transposición, sustitución y rueda de cifrado. También explica criptografía simétrica y asimétrica, gestión de claves, criptoanálisis y hashes criptográficos.
Cisco Cybersecurity Essential cap 4
- 2. Comunicaciones Seguras • Tráfico entre sites debe ser seguro • Deben tomarse medidas para garantizar que la comunicación no pueda ser alterada o descifrada si es interceptada MARS Segmento Remoto VPN VPN Iron Port Firewall IPS CSA Web Server Email Server DNS CSA CSA CSA CSA CSA CSA CSA
- 3. Tareas Principales: Autenticación • Un Cajero Automático requiere de un PIN (Número de Identificación Personal) para su autenticación. • El PIN es un secreto compartido entre el titular de una cuenta bancaria y la institución financiera
- 4. Integridad • Un sello de cera intacto en un sobre asegura la integridad. • El sello único intacto garantiza que nadie ha cambiado el contenido .
- 5. Confidencialidad Julio César enviaba mensajes encriptados a sus generales en el campo de batalla. Incluso si fueran interceptados, sus enemigos no podían leer los mensajes. I O D Q N H D V W D W W D F N D W G D Z Q
- 6. Criptografía
- 7. Métodos Criptografía: Cifrados por Transposición F...C...T...A...A...A. .L.N.O.S.E.T.C.R.H.R. ..A...E...A...A...O... Texto Cifrado 3 FCTAAA LNOSETCRHR AEAAO El mensaje de texto claro sería codificado usando una clave de 3. 1 FLANCO ESTE ATACAR AHORA Utilizar cifrado “rail fence” (riel de valla) y clave 3. 2 El mensaje de texto claro aparecería como se ve. Texto claro
- 8. Cifrado por Substitución Cifrado del Cesar Texto Cifrado 3 IODQR HVWH DWDFDU DKRUD A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C A B C D E F G H I J K L M N O P Q R S T U V W X Y Z El mensaje de texto claro sería codificado usando una clave 3. 1 FLANCO ESTE ATACAR AHORA Desplazamiento superior de tres caracteres (clave 3), una A se convierte en D, B se convierte en E, y así sucesivamente 2 El mensaje de texto claro se cifraría de la siguiente manera utilizando una clave 3. Texto Claro
- 9. Rueda de Cifrado Texto Cifrado 3 IODQR HVWH DWDFDV DKRUD 1 FLANCO ESTE ATACAR AHORA Girando la rueda interior 3 caracteres, entonces A se convierte en D, B se convierte en E, y así sucesivamente. 2 Texto Claro El mensaje de texto claro sería codificado usando una clave 3. El mensaje de texto claro se cifraría de la siguiente manera utilizando una clave 3.
- 10. Encriptado Simétrico • Mejor conocido como algoritmos de clave secreta compartida • La longitud de clave usual es de 80 a 256 bits • Un remitente y un receptor deben compartir una clave secreta • Procesamiento más rápido porque utilizan operaciones matemáticas simples. • Los ejemplos incluyen DES, 3DES, AES, IDEA, RC2 / 4/5/6 y Blowfish. Key Key Encript ado Desenc riptado$1000 $1000$!@#IQ Pre-shared key
- 11. Algoritmos Simétricos Algoritmos Simétricos Long. Clave (en bits) Descripción DES 56 Diseñado en IBM durante los años 70 y era el estándar del NIST hasta 1997. Aunque se considera anticuado, el DES sigue siendo ampliamente utilizado. Diseñado para ser implementado sólo en hardware, y por lo tanto es extremadamente lento en software. 3DES 112 y 168 Basado en el uso de DES tres veces, lo que significa que los datos de entrada se cifran tres veces y por lo tanto se considera mucho más fuerte que el DES. Sin embargo, es bastante lento en comparación con algunos nuevos cifrados de bloques como AES. AES 128, 192, y 256 Rápido en software y hardware, es relativamente fácil de implementar, y requiere poca memoria. Como un nuevo estándar de encriptación, actualmente se está desplegando a gran escala. Software Encryption Algorithm (SEAL) 160 SEAL es un algoritmo alternativo a DES, 3DES y AES. Utiliza una clave de cifrado de 160 bits y tiene un menor impacto en la CPU cuando se compara con otros algoritmos basados en software. La serie RC RC2 (40 y 64) RC4 (1 a 256) RC5 (0 a 2040) RC6 (128, 192, y 256) Un conjunto de algoritmos de cifrado de clave simétrica inventado por Ron Rivest. RC1 nunca se publicó y RC3 se rompió antes de ser utilizado. RC4 es el cifrado de flujo más utilizado del mundo. RC6, un cifrado de bloques de 128 bits basado en gran medida en RC5, fue un finalista AES desarrollado en 1997.
- 12. Criptoanálisis
- 13. Asymmetric Encryption • También conocidos como algoritmos de clave pública • La longitud de clave usual es 512-4096 bits • Un remitente y un receptor no comparten una clave secreta • Relativamente lentos porque se basan en algoritmos computacionales difíciles • Los ejemplos incluyen RSA, ElGamal y DH. Clave Encriptado Clave Desencriptado Encrypt Decrypt $1000 $1000%3f7&4 Dos claves separadas que no se comparten
- 14. Como funciona el Encriptado Asimétrico? Comp. A B Clave privade Puedo conocer su clave pública? Esta es mi Clave Pública. Clave Pública Comp. B Clave Pública Comp A Comp. B La comp. A obtiene la clave pública de la comp. B Comp. A usa clave pública de Comp. B para encriptar un msg usando un algoritmo acordado Comp. A transmite el msg Encriptado a Comp. B Comp. B usa su clave privada p/ desencriptar el msg A Clave privada
- 15. Algorítmo de Clave Asimétrica Algoritmo Largo de Clave (en bits) Descripción DH 512, 1024, 2048 Inventado en 1976 por Whitfield Diffie y Martin Hellman. Dos partes acuerdan una clave que pueden usar para cifrar mensajes La suposición es que es fácil levantar un número a una cierta potencia, pero difícil de calcular qué poder se utilizó dado el número y el resultado. Digital Signature Standard (DSS) and Digital Signature Algorithm (DSA) 512 - 1024 Creado por NIST y especifica DSA como el algoritmo para las firmas digitales. Un algoritmo de clave pública basado en el esquema de firma ElGamal. La velocidad de creación de la firma es similar con RSA, pero es más lenta para la verificación. RSA encryption algorithms 512 to 2048 Desarrollado por Ron Rivest, Adi Shamir y Leonard Adleman en el MIT en 1977. Basado en la dificultad actual de factorizar números muy grandes. Adecuado para la firma, así como encriptación. Ampliamente utilizado en protocolos de comercio electrónico EIGamal 512 - 1024 Basado en el acuerdo clave de Diffie-Hellman. Descrito por Taher Elgamal en 1984 y utilizado en el software GNU Privacy Guard, PGP y otros criptosistemas. El mensaje encriptado se vuelve aproximadamente el doble del tamaño del mensaje original y por esta razón sólo se utiliza para mensajes pequeños como claves secretas
- 17. Espacio de Claves Clave DES Espacio de claves # de Posibles Claves 56-bit 256 11111111 11111111 11111111 11111111 11111111 11111111 11111111 72,000,000,000,000,000 57-bit 257 11111111 11111111 11111111 11111111 11111111 11111111 11111111 1 144,000,000,000,000,000 58-bit 258 11111111 11111111 11111111 11111111 11111111 11111111 1111111111 288,000,000,000,000,000 59-bit 259 11111111 11111111 11111111 11111111 11111111 11111111 11111111111 576,000,000,000,000,000 60-bit 260 11111111 11111111 11111111 11111111 11111111 11111111 111111111111 1,152,000,000,000,000,000 Para cada bit añadido a la clave DES, el atacante necesitaría el doble de la cantidad de tiempo para buscar el espacio de claves . Las claves más largas son más seguras pero también requieren más recursos y pueden afectar el rendimiento . Con 60-bit DES un atacante requiere 16 veces mas tiempo que 56-bit DES Doble de tiempo Cuatro veces mas tiempo
- 18. Tipos of Claves 2242242432112Protección hasta 20 años 192192177696Protección hasta 10 años 160160124880Protección hasta 3 años HashFirma Digital Clave Asimétrica Clave Simétrica 2562563248128Protección hasta 30 años 51251215424256Protección contra computadora quantum Las claves más largas son más seguras pero también requieren más recursos y pueden afectar el rendimiento. Obsérvese las longitudes de clave simétricas comparativamente cortas que ilustran que los algoritmos simétricos son el tipo de algoritmo más fuerte.
- 19. CLAVES CORTAS = RÁPIDO PROCESAMIENTO, PERO MENOS SEGURAS CLAVES LARGAS = PROCESAMIENTO MAS LENTO, PERO MAS SEGURA Propiedades de la Clave
- 20. Métodos de Criptoanálisis Texto Cifrado Conocido Ataque por Fuerza Bruta Con un ataque de Fuerza Bruta, el atacante tiene parte del texto cifrado. El atacante intenta descifrar el texto cifrado con todas las claves posibles. Desencriptado exitoso! Clave encontrada
- 21. Mett-in-the-Middle Attack (Ataque encuentro a medio camino) Con un ataque Mett-in-the-Middle, el atacante tiene una parte del texto tanto en texto plano como en texto cifrado. El atacante intenta descifrar el texto cifrado con todas las claves posibles y, al mismo tiempo, cifrar el texto plano con otro conjunto de claves posibles hasta que se encuentre una coincidencia. Texto Cifrado Conocido Texto Plano Conocido Utilice todas las posibles claves de descifrado hasta que se encuentre un resultado que coincida con el texto plano correspondiente. Utilice todas las posibles claves de cifrado hasta que se encuentre un resultado que coincida con el correspondiente texto cifrado. Coincide con el texto cifrado! Clave encontrada
- 23. Hashes criptográficos, protocolos y ejemplos de algoritmos IntegridadIntegridad AutenticaciónAutenticación ConfidencialidadConfidencialidad MD5 SHA HMAC-MD5 HMAC-SHA-1 RSA and DSA DES 3DES AES SEAL RC (RC2, RC4, RC5, and RC6) HASH HASH c/Clave Encriptación Función Resumen
- 24. Fundamentos del Hashing • Las funciones de hash se utilizan para garantizar la integridad. • Las funciones de hash se basan en funciones unidireccionales. • La función de hash convierte datos de longitud arbitraria en un resumen de longitud fija conocido como el valor de hash, el resumen de mensaje, el resumen o la huella digital. • Libre de colisiones Datos de longitud Arbitraria Longitud fija Valor de Hash e883aa0b24c09f
- 25. Propiedades del Hashing X h e883aa0b24c09f H (H) = (x)h Valor de Hash Función de Hash Texto de longitud arbitraria
- 26. Hashing en Acción • Vulnerable al ataque man-in-the-middle – Hashing no provee seguridad en la transmisión. • Funciones de Hash mas conocidas – MD5 con 128-bit resumen – SHA-1 con 160-bit resumen Páguese a Terry Smith $100.00 Pesos Cien y 00/100--- Páguese a Alex Jones $1000.00 Pesos Un Mil y 00/100 4ehIDx67NMop9 12ehqPx67NMoX Coincide = No hay cambios No coincide = Alteraciones Internet Quisiera cobrar este cheque!
- 27. MD5 • MD5 es un algoritmo de hashing muy utilizado • Propiedades de hash – Función unidireccional: fácil de calcular hash e imposible de calcular datos originales de un hash –Secuencia compleja de operaciones binarias simples (XORs, rotaciones, etc.) que finalmente produce un hash de 128 bits. MD5
- 28. SHA • SHA es similar en diseño a la familia MD4 y MD5 de funciones de hash • Toma un mensaje de entrada de no más de 2^64 bits Produce un resumen de mensaje de 160 bits • El algoritmo es ligeramente más lento que MD5. • SHA-1 es una revisión que corrigió una falla inédita en el SHA original. SHA-224, SHA-256, SHA-384 y SHA-512 son versiones más nuevas y más seguras de SHA y se conocen colectivamente como SHA-2. SHA
- 29. Ejemplo de Hashing En este ejemplo, el texto claro introducido muestra los resultados de hash con MD5, SHA-1 y SHA256. Observe la diferencia en longitudes de clave entre los diversos algoritmos. Cuanto más larga sea la clave, más segura será la función hash.
- 30. Caracteristicas de HMAC • Utiliza una clave secreta adicional como entrada para la función hash • La clave secreta es conocida por el emisor y el receptor • Añade autenticación al aseguramiento de la integridad • Derrota a los ataques de hombre en el medio • Basado en funciones hash existentes, como MD5 y SHA-1. El mismo procedimiento se utiliza para la generación y verificación de huellas digitales seguras Valor de Hash autenticada de longitud fija + Clave Secreta Longitud de Datos Arbitraria e883aa0b24c09f
- 31. Ejemplo HMAC Datos HMAC (Clave Digital Autenticada) Clave Secreta Paguese a Terry Smith $100.00 Pesos Cien y 00/100 4ehIDx67NMop9 Paguese a Terry Smith $100.00 Pesos Cien y 00/100 4ehIDx67NMop9 Datos Recibidos HMAC (Clave Digital Autenticada) Clave Secreta 4ehIDx67NMop9 Paguese a Terry Smith $100.00 Pesos Cien y 00/100 Si el HMAC generado coincide con el HMAC enviado, se ha verificado la integridad y la autenticidad. Si no coinciden, descarte el mensaje.
- 32. Usando Hashing • Los routers usan hash con claves secretas • Los gateways IPSec y los clientes utilizan algoritmos de hashing • Las imágenes de software descargadas del sitio web tienen sumas de comprobación • Las sesiones se pueden cifrar Valor de Hash Longitud Fija e883aa0b24c09f Integridad de Datos Autenticacion de Entidades Autenticidad de Datos
- 34. Espacio de Claves Clave DES Espacio de claves # de Posibles Claves 56-bit 256 11111111 11111111 11111111 11111111 11111111 11111111 11111111 72,000,000,000,000,000 57-bit 257 11111111 11111111 11111111 11111111 11111111 11111111 11111111 1 144,000,000,000,000,000 58-bit 258 11111111 11111111 11111111 11111111 11111111 11111111 1111111111 288,000,000,000,000,000 59-bit 259 11111111 11111111 11111111 11111111 11111111 11111111 11111111111 576,000,000,000,000,000 60-bit 260 11111111 11111111 11111111 11111111 11111111 11111111 111111111111 1,152,000,000,000,000,000 Para cada bit añadido a la clave DES, el atacante necesitaría el doble de la cantidad de tiempo para buscar el espacio de claves . Las claves más largas son más seguras pero también requieren más recursos y pueden afectar el rendimiento . Con 60-bit DES un atacante requiere 16 veces mas tiempo que 56-bit DES Doble de tiempo Cuatro veces mas tiempo
- 35. Tipos of Claves 2242242432112Protección hasta 20 años 192192177696Protección hasta 10 años 160160124880Protección hasta 3 años HashFirma Digital Clave Asimétrica Clave Simétrica 2562563248128Protección hasta 30 años 51251215424256Protección contra computadora quantum Las claves más largas son más seguras pero también requieren más recursos y pueden afectar el rendimiento. Obsérvese las longitudes de clave simétricas comparativamente cortas que ilustran que los algoritmos simétricos son el tipo de algoritmo más fuerte.
- 36. CLAVES CORTAS = RÁPIDO PROCESAMIENTO, PERO MENOS SEGURAS CLAVES LARGAS = PROCESAMIENTO MAS LENTO, PERO MAS SEGURA Propiedades de la Clave
- 37. Algoritmos Simétricos Algoritmos Simétricos Long. Clave (en bits) Descripción DES 56 Diseñado en IBM durante los años 70 y era el estándar del NIST hasta 1997. Aunque se considera anticuado, el DES sigue siendo ampliamente utilizado. Diseñado para ser implementado sólo en hardware, y por lo tanto es extremadamente lento en software. 3DES 112 y 168 Basado en el uso de DES tres veces, lo que significa que los datos de entrada se cifran tres veces y por lo tanto se considera mucho más fuerte que el DES. Sin embargo, es bastante lento en comparación con algunos nuevos cifrados de bloques como AES. AES 128, 192, y 256 Rápido en software y hardware, es relativamente fácil de implementar, y requiere poca memoria. Como un nuevo estándar de encriptación, actualmente se está desplegando a gran escala. Software Encryption Algorithm (SEAL) 160 SEAL es un algoritmo alternativo a DES, 3DES y AES. Utiliza una clave de cifrado de 160 bits y tiene un menor impacto en la CPU cuando se compara con otros algoritmos basados en software. La serie RC RC2 (40 y 64) RC4 (1 a 256) RC5 (0 a 2040) RC6 (128, 192, y 256) Un conjunto de algoritmos de cifrado de clave simétrica inventado por Ron Rivest. RC1 nunca se publicó y RC3 se rompió antes de ser utilizado. RC4 es el cifrado de flujo más utilizado del mundo. RC6, un cifrado de bloques de 128 bits basado en gran medida en RC5, fue un finalista AES desarrollado en 1997.
- 38. Asymmetric Encryption • También conocidos como algoritmos de clave pública • La longitud de clave usual es 512-4096 bits • Un remitente y un receptor no comparten una clave secreta • Relativamente lentos porque se basan en algoritmos computacionales difíciles • Los ejemplos incluyen RSA, ElGamal y DH. Clave Encriptado Clave Desencriptado Encrypt Decrypt $1000 $1000%3f7&4 Dos claves separadas que no se comparten
- 39. Como funciona el Encriptado Asimétrico? Comp. A B Clave privade Puedo conocer su clave pública? Esta es mi Clave Pública. Clave Pública Comp. B Clave Pública Comp A Comp. B La comp. A obtiene la clave pública de la comp. B Comp. A usa clave pública de Comp. B para encriptar un msg usando un algoritmo acordado Comp. A transmite el msg Encriptado a Comp. B Comp. B usa su clave privada p/ desencriptar el msg A Clave privada
- 40. Algorítmo de Clave Asimétrica Algoritmo Largo de Clave (en bits) Descripción DH 512, 1024, 2048 Inventado en 1976 por Whitfield Diffie y Martin Hellman. Dos partes acuerdan una clave que pueden usar para cifrar mensajes La suposición es que es fácil levantar un número a una cierta potencia, pero difícil de calcular qué poder se utilizó dado el número y el resultado. Digital Signature Standard (DSS) and Digital Signature Algorithm (DSA) 512 - 1024 Creado por NIST y especifica DSA como el algoritmo para las firmas digitales. Un algoritmo de clave pública basado en el esquema de firma ElGamal. La velocidad de creación de la firma es similar con RSA, pero es más lenta para la verificación. RSA encryption algorithms 512 to 2048 Desarrollado por Ron Rivest, Adi Shamir y Leonard Adleman en el MIT en 1977. Basado en la dificultad actual de factorizar números muy grandes. Adecuado para la firma, así como encriptación. Ampliamente utilizado en protocolos de comercio electrónico EIGamal 512 - 1024 Basado en el acuerdo clave de Diffie-Hellman. Descrito por Taher Elgamal en 1984 y utilizado en el software GNU Privacy Guard, PGP y otros criptosistemas. El mensaje encriptado se vuelve aproximadamente el doble del tamaño del mensaje original y por esta razón sólo se utiliza para mensajes pequeños como claves secretas
- 41. Digital Signatures • La firma es auténtica y no forjable: La firma es la prueba de que el firmante, y nadie más, firmó el documento. • La firma no es reutilizable: La firma es una parte del documento y no se puede mover a un documento diferente. • La firma es inalterable: Después de la firma de un documento, no se puede modificar. • La firma no puede ser repudiada: Para fines legales, la firma y el documento se consideran cosas físicas. El firmante no puede reclamar más tarde que no lo firmaron.
Notas del editor
- #5: Media Notes:
- #20: More Information: Refer to the National Institute of Standards and Technology (NIST) website at http://www.keylength.com/en/4/ to see updated key length recommendations
- #25: More Information: The terms message digest and hash value are often used interchangeably to describe the output of a hash function. The terms digest or fingerprint may also be used.
- #27: More Information: In 2005, security flaws were identified in MD5 and SHA-1 indicating that a stronger hash function would be desirable. SHA-2 is the recommended hash functions. There is also a contest sponsored by the National Institute of Standards and Technology to design a hash function which will be given the name SHA-3 by 2012. For more detail, refer to http://www.itl.nist.gov/lab/bulletns/B-05-08.pdf.
- #30: TIP: To try an online HASH converter, refer to http://hash-it.net/.
- #37: More Information: Refer to the National Institute of Standards and Technology (NIST) website at http://www.keylength.com/en/4/ to see updated key length recommendations