Mtodos de Encriptacin

Para poder Encriptar un dato, se pueden utilizar tres procesos matemticos diferentes:
Los algoritmos HASH, los simtricos y los asimtricos.
1. Algoritmo HASH:
Este algoritmo efecta un clculo matemtico sobre los datos que constituyen el documento y
da como resultado un nmero nico llamado MAC. Un mismo documento dar siempre un
mismo MAC.
2. Criptografa de Clave Secreta o Simtrica
Utilizan una clave con la cual se encripta y desencripta el documento. Todo documento
encriptado con una clave, deber desencriptarse, en el proceso inverso, con la misma clave. Es
importante destacar que la clave debera viajar con los datos, lo que hace arriesgada la
operacin, imposible de utilizar en ambientes donde interactan varios interlocutores.
Los criptosistemas de clave secreta se caracterizan porque la clave de cifrado y la de
descifrado es la misma, por tanto la robustez del algoritmo recae en mantener el secreto de la
misma.
Sus principales caractersticas son:

rpidos y fciles de implementar

clave de cifrado y descifrado son la misma

cada par de usuarios tiene que tener una clave secreta compartida

una comunicacin en la que intervengan mltiples usuarios requiere muchas claves

secretas distintas

Actualmente existen dos mtodos de cifrado para criptografa de clave secreta, el cifrado de
flujo y el cifrado en bloques.

Cifrado de flujo
El emisor A, con una clave secreta y un algoritmo determinstico (RKG), genera una
secuencia binaria (s) cuyos elementos se suman mdulo 2 con los correspondientes
bits de texto claro m, dando lugar a los bits de texto cifrado c, Esta secuencia (c) es la
que se enva a travs del canal. En recepcin, B, con la misma clave y el mismo
algoritmo determinstico, genera la misma secuencia cifrante (s), que se suma modulo
2 con la secuencia cifrada (c) , dando lugar a los bits de texto claro m.
Los tamaos de las claves oscilan entre 120 y 250 bits

Cifrado en bloque
Los cifrados en bloque se componen de cuatro elementos:
- Transformacin inicial por permutacin.
- Una funcin criptogrfica dbil (no compleja) iterada r veces o "vueltas".
- Transformacin final para que las operaciones de encriptacin y desencriptacin sean
simtricas.
- Uso de un algoritmo de expansin de claves que tiene como objeto convertir la clave
de usuario, normalmente de longitud limitada entre 32 y 256 bits, en un conjunto de
subclaves que puedan estar constituidas por varios cientos de bits en total.

3. Algoritmos Asimtricos (RSA):

Requieren dos Claves, una Privada (nica y personal, solo conocida por su dueo) y la otra
llamada Pblica, ambas relacionadas por una frmula matemtica compleja imposible de
reproducir. El concepto de criptografa de clave pblica fue introducido por Whitfield Diffie y
Martin Hellman a fin de solucionar la distribucin de claves secretas de los sistemas
tradicionales, mediante un canal inseguro. El usuario, ingresando su PIN genera la clave
Publica y Privada necesarias. La clave Publica podr ser distribuida sin ningn inconveniente
entre todos los interlocutores. La Privada deber ser celosamente guardada. Cuando se
requiera verificar la autenticidad de un documento enviado por una persona se utiliza la Clave
Publica porque el utiliz su Clave Privada.

Firma Digital
Concepto:
Es la transformacin de un mensaje utilizando un sistema de cifrado asimtrico de manera que
la persona que posee el mensaje original y la clave pblica del firmante, pueda establecer de
forma segura, que dicha transformacin se efectu utilizando la clave privada correspondiente a
la pblica del firmante, y si el mensaje es el original o fue alterado desde su concepcin.
Ventajas Ofrecidas por la Firma Digital:
El uso de la firma digital satisface los siguientes aspectos de seguridad:

Integridad de la informacin: la integridad del documento es una proteccin contra la

modificacin de los datos en forma intencional o accidental. El emisor protege el
documento, incorporndole a ese un valor de control de integridad, que corresponde a
un valor nico, calculado a partir del contenido del mensaje al momento de su creacin.
El receptor deber efectuar el mismo clculo sobre el documento recibido y comparar el
valor calculado con el enviado por el emisor. De coincidir, se concluye que el
documento no ha sido modificado durante la transferencia.

Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor del
documento, garantizndole que dicho mensaje ha sido generado por la parte
identificada en el documento como emisor del mismo, no pudiendo alguna otra entidad
suplantar a un usuario del sistema. Esto se logra mediante la inclusin en el documento
transmitido de un valor de autenticacin (MAC, Message autentication code). El valor
depende tanto del contenido del documento como de la clave secreta en poder del
emisor.

No repudio del origen: el no repudio de origen protege al receptor del documento de la

negacin del emisor de haberlo enviado. Este aspecto de seguridad es ms fuerte que
los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha

generado dicho mensaje, transformndose en un medio de prueba inequvoco respecto

de la responsabilidad del usuario del sistema.

El esquema bsico de encriptacin implica la utilizacin de un password o clave para

encriptar el mensaje de forma tal que solo puedan desencriptar el mensaje aquellos que
conocen el password utilizado.

LA ENCRIPTACIN ABARCA
Consultora de Seguridad y Gestin del Riesgo
Dentro de esta lnea estn los servicios de consultora dedicados a la definicin de planes
directores de seguridad, polticas y planes de seguridad preventiva y
planes de contingencia.

Arquitecturas de Seguridad
Lnea dedicada al diseo e integracin de soluciones corporativas de seguridad perimetral, de
infraestructuras y de sistemas.Entre otras soluciones, en esta lnea se encuentran las
plataformas de seguridad perimetral (cortafuegos, redes privadas virtuales, etc.), de
contenidos, de deteccin y prevencin de intrusiones, de anlisis y gestin de
vulnerabilidades.
Certificacin y Firma Electrnica
Esta lnea de nuestra oferta se ocupa del despliegue de Infraestructuras de Certificacin (PKI)
corporativas, desde la definicin de Polticas y Prcticas de Certificacin hasta el despliegue
de servicios avanzados como el Sellado de Tiempo o la Validacin. Se incluyen los trabajos de
integracin de las Tecnologas de Certificacin (firma, cifrado, autenticacin) en los Sistemas
de Informacin.
Gestin de Identidades
Son sistemas de gestin de seguridad corporativa efectivos y alineados con la realidad del
negocio. Entre las soluciones de gestin de identidades se pueden destacar los sistemas de
gestin de informacin de seguridad y control de fraude, los Directorios.
La seguridad informatica
debe garantizar:
La Disponibilidad de los sistemas de informacion.
El Recupero rpido y completo de los sistemas de informacin
La Integridad de la informacin.
La Confidencialidad de la informacin.

FUNCIONAMIENTO
Para la encriptacin de datos se utiliza comnmente un sistema de clave pblica que permite
conjuntamente con la firma digital, el aseguramiento de la integridad de los datos
transmitidos o almacenados.
La encriptacin con algoritmos de clave publica, funciona con un par de llaves, una publica y
una privada.

Estas claves permiten que el receptor y emisor mantengan una comunicacin confiable
permitiendo que los datos viajen a travs de la red encriptados y que al llegar al receptor,
pueda el mismo recomponer la informacin fcilmente.
La encriptacin de datos se basa en mtodas llamados Mtodos de encriptacin:
Para poder Encriptar un dato, se pueden utilizar procesos matemticos diferentes:
1. Algoritmo HASH: Este algoritmo efecta un clculo matemtico sobre los datos que
constituyen el documento y da como resultado un nmero nico llamado MAC. Un
mismo documento dar siempre un mismo MAC. es una funcin para resumir o
identificar probabilsticamente un gran conjunto de informacin, dando como
resultado un conjunto imagen finito generalmente menor. se refiere a una funcin o
mtodo para generar claves o llaves que representen de manera casi unvoca a
un documento, registro, archivo, etc., resumir o identificar un dato a travs de
la probabilidad, utilizando una funcin hash o algoritmo hash. Un hash es el resultado
de dicha funcin oalgoritmo. Entre los algoritmos de hash ms comunes estn:SHA1: algoritmo de hash seguro. Algoritmo de sntesis que genera un hash de 60 bits. Se
utiliza, por ejemplo, como algoritmo para la firma digital. MD2 est optimizado para
computadoras de 8 bits. El valor hash de cualquier mensaje se forma haciendo que
el mensaje sea mltiplo de la longitud de bloque en el ordenador (128 bits o 16 bytes)
y aadindole un checksum. Para el clculo real, se utiliza un bloque auxiliar 48 bytes
y una tabla de 256 bytes que contiene dgitos al azar del nmero pi.
MD4 es un algoritmo de resumen del mensaje (el cuarto en la serie) diseado por el
profesor Ronald Rivest del MIT. Implementa una funcin criptogrfica de hash para el
uso en comprobaciones de integridad de mensajes. La longitud del resumen es de 128
bits.
MD5 Esquema de hash de hash de 128 bits muy utilizado para autenticacin cifrada.
Gracias al MD5 se consigue, por ejemplo, que un usuario demuestre que conoce una
contrasea sin necesidad de enviar la contrasea a travs de la red.

2. Algoritmos Simtricos: Utilizan una clave con la cual se encripta y desencripta el

documento. Todo documento encriptado con una clave, deber desencriptarse, en el
proceso inverso, con la misma clave. En este modelo, el mensaje original es
convertido en un mensaje cifrado que aparentemente es aleatorio y sin sentido. El
proceso de encriptacin esta formado por dos componentes, un algoritmo y una clave.
La clave es un valor que es independiente del texto o mensaje a cifrar.
El algoritmo va a producir una salida diferente para el mismo texto de entrada
dependiendo de la clave utilizada. Una vez cifrado, el mensaje puede ser transmitido.
El mensaje original puede ser recuperado a travs de un algoritmo de desencriptacin
y la clave usada para la encriptacin.
Algoritmos Asimtricos (RSA): Requieren dos Claves, una Privada (nica y personal,
solo conocida por su dueo) y la otra llamada Pblica, ambas relacionadas por una
frmula matemtica compleja imposible de reproducir.
Los pasos del proceso de encriptacin con clave pblica son los siguientes:
o Cada sistema genera un par de claves para ser usadas en la encriptacin y
desencriptacin de los mensajes que enven y reciban.
o Cada sistema publica su clave de encriptacin (clave pblica). La clave de
desencriptacin relacionada (clave privada) se mantiene en privado.
o Si Alice desea enviar un mensaje a Bob, encripta el mensaje utilizando la clave
pblica de Bob.
o Cuando Bob recibe un mensaje lo desencripta usando su clave privada. Nadie puede
desencriptar el mensaje porque solo Bob conoce su clave privada.
Algoritmo de encriptacin RC4: Es un algoritmo de Cifrador de flujo (no de bloques),
creado en 1987 por Ronald Rivest (la R de RSA - Secreto Comercial de RSA Data

Security). Fue publicado el 13 de Septiembre de 1994 usando remailers annimos en

ungrupo de news: sci.crypt. Es usado por diversos programascomerciales como
Netscape y Lotus Notes.

Firma Digital : La
firma digital permite garantizar algunos conceptos de seguridad que son importantes al
utilizar documentos en formato digital, tales como Identidad o autenticidad, integridad y no
repudio. El modo de funcionamiento es similar a lo explicado para los algoritmos de
encriptacin, se utilizan tambin algoritmos de clave pblica, aplicados en dos etapas.
Ventajas Ofrecidas por la Firma Digital

Integridad de la informacin: la integridad del documento es una proteccin contra la

modificacin de los datos en forma intencional o accidental. El emisor protege el
documento, incorporndole a ese un valor de control de integridad, el receptor
deber efectuar el mismo clculo sobre el documento recibido y comparar el valor
calculado con el enviado por el emisor

Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor
del documento, garantizndole que dicho mensaje ha sido generado por la parte
identificada en el documento como emisor del mismo, no pudiendo alguna otra
entidad suplantar a un usuario del sistema.

No repudio del origen: el no repudio de origen protege al receptor del documento de

la negacin del emisor de haberlo enviado. Este aspecto de seguridad es ms fuerte
que los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha
generado dicho mensaje, transformndose en un medio de prueba inequvoco
respecto de la responsabilidad del usuario del sistema.

Diferencias hay entre los algoritmos simtricos y los asimtricos

Los algoritmos simtricos encriptan y desencriptan con la misma llave. Las principales
ventajas de los algoritmos simtricos son su seguridad y su velocidad. Los algoritmos
asimtricos encriptan y desencriptan con diferentes llaves. Los datos se encriptan con una
llave pblica y se desencriptan con una privada, siendo sta su principal ventaja.
Los algoritmos asimtricos, tambin conocidos como algoritmos de llave pblica, necesitan al
menos una llave de 3.000 bits para alcanzar un nivel de seguridad similar al de uno simtrico
de 128 bits. Y son increblemente lentos, tanto que no pueden ser utilizados para encriptar
grandes cantidades de informacin.
Los algoritmos simtricos son aproximadamente 1.000 veces ms rpidos que los asimtricos.

Otros

El protocolo SSL, protege los datos transferidos mediante conexin http, es decir
navegacin web, utilizando encriptacin provista por un Servidor Web de
Seguridad.Una llave pblica es empleada para encriptar los datos, y una llave privada
se utiliza para descifrar o desencriptar la informacin.

CryptoForge le proporciona cuatro robustos algoritmos de

encriptacin para proteger sus datos:

Blowfish (llave de 448 bits) es un algoritmo de encriptacin rpido y fuerte. Su creador es
Bruce Schneier, uno de los ms prestigiosos criptgrafos en el mundo.
Rijndael (llave de 256 bits) es un algoritmo seguro y eficiente. Sus creadores son Joan
Daemen y Vincent Rijmen (Blgica). Ha sido elegido como el nuevo Estndar Avanzado de
Encriptacin (AES) por el Instituto Nacional de Estndares y Tecnologa (NIST) de los EEUU.
Triple DES (llave de 168 bits) es un algoritmo desarrollado por el gobierno de EEUU y ha
sido evaluado durante aos sin descubrrsele debilidades. Es una configuracin de
encriptacin en la cual el algoritmo DES es usado tres veces con tres llaves diferentes.
Gost (llave de 256 bits) es un algoritmo de Rusia y podra ser considerado el anlogo ruso
al DES. Tiene un diseo conservador y no ha podido ser vulnerado, a pesar de haber sido uno
de los ms estudiados, durante aos, por los mejores expertos en criptoanlisis.
Cuando usted ingresa su contrasea en CryptoForge, sta es procesada con un algoritmo Hash
para generar una huella digital, conocida en Ingls como "digest".
Encriptar datos en un PDA.
La importancia de tener nuestros datos a salvo de miradas extraas o tener un mnimo de
privacidad se ha convertido en un tema muy importante. Los PDAs son muchas veces usados
como pequeas oficinas porttiles donde se guardan datos de gran valor y donde es de gran
importancia tener estos datos protegidos.
Muchos usuarios de PDAs por comodidad no protegen el acceso de inicio con una clave,
imagnense en caso de prdida del aparato o descuido poder dejar estos datos confidenciales
en manos ajenas a las nuestras. Para solucionar este problema o tener un cierto grado de
seguridad, es muy importante poder encriptar nuestros datos.
Encriptacin de ficheros
Windows XP Profesional nos da una alternativa para poder proteger estos datos y prevenir su
prdida. El "Encripting File System" (EFS) es el encargado de codificar los ficheros. Estos
ficheros slo se pueden leer cuando el usuario que los ha creado hace "logon" en su mquina
(con lo cual, presumiblemente, nuestra password ser una password robusta). De hecho,
cualquiera que acceda a nuestra mquina, no tendr nunca acceso a nuestros ficheros
encriptados aunque sea un Administrador del equipo.

La encriptacin es el proceso de codificar datos sensibles usando un algoritmo. Sin la clave

del algoritmo correcta los datos no pueden ser desencriptados. Windows XP usa encriptacin
para varios propsitos:
* Ficheros encriptados en un volumen NTFS.
* Datos encriptados enviados entre un cliente web y un servidor usando Security Socket Layer
(SSL).
* Encriptando trfico entre ordenadores usando VPN.
* Encriptando o firmando mensajes de email.
EFS permite encriptar archivos en un volumen NTFS local (insisto: "local". No es aplicable a
volmenes en red). Esto ofrece un nivel de proteccin adicional a los permisos NTFS.
Recordemos que los volmenes NTFS pueden ser vulnerables por muchas vas: por ejemplo,
instalando otro Windows XP en otra particin y tomando posesin de la particin primitiva, o
bien arrancando con utilidades como NTFSDOS. En estos caso, si alguien tiene acceso fsico a
nuestra mquina, podra llevarse informacin confidencial.
Este es uno de los motivos por los que se hace imprescindible, sobre todo en equipos
porttiles de empresa, el tener encriptada la informacin sensible. Ante robo o prdida, los
datos sern irrecuperables.
TIPOS DE CIFRADOS
Cifrado es otro nombre que se le da al proceso de encriptacin. El propsito de de un cifrado
es tomar datos sin encriptar, llamado texto en claro, y producir una versin encriptada de los
mismos. Existen dos clases de cifrado: cifrado de flujo de datos y cifrado por bloques.

Cifrado de flujo de datos: En el cifrado por flujo de datos se encripta un bit (o byte)
de texto en claro por vez. El ejemplo ms simple de cifrado por flujo de datos es el
que consiste en combinar los datos, un bit a la vez, con otro bloque de datos llamado
pad. Los cifrados por flujo de datos funcionan realmente bien con datos en tiempo
real como voz y video.

Cifrado por bloques: operan sobre bloques de tamao mayor que un bit del texto en
claro y producen un bloque de texto cifrado, generalmente los bloques de salida son
del mismo tamao que los de la entrada. El tamao del bloque debe ser lo
suficientemente grande como para evitar ataques de texto cifrado.. El de cifrado de
flujo de datos puede ser considerado como un cifrado por bloques de tamao 1 bit.

Arnaldo.
Tecnicas de los hackers.
.- Ataque criptogrfico Padding Oracle: el primer puesto lo ocupa un ataque que puede
hacer peligrar incluso algunas transacciones bancarias. Si los datos cifrados de la cookie
cambian, la forma en que el framework ASP.NET maneja los resultados en la aplicacin
pueden darnos informacin de cmo descifrar el trfico. Con repetidos cambios, un hacker
puede deducir los posibles bytes que pueden eliminarse de la clave de encriptacin hasta
facilitar as su obtencin. Los desarrolladores del hack, Juliano Rizzo y Thai Duong, han
creado unaherramienta para ejecutar esta tcnica.
2.- Evercookie: creado por Samy Kamkar, se trata de una API de JavaScript que produce
cookies para los navegadores que son "extremadamente persistentes". Afecta al estndar
HTML5, es muy difcil de eliminar y puede poner a disposicin de un atacante informacin
privada de los usuarios.
3.- Hacking de autocompletar: creado por Jeremiah Grossman, es un tcnica que se
aprovecha de la funcin autocompletar de un formulario web, pudiendo forzar al navegador a
rellenar los datos personales obteniendo los datos almacenados del ordenador de la vctima y
sin interaccin del usuario.
4.- Atacando HTTPS con inyeccin en cach: inyectando libreras JavaScript maliciosas
en el cach del navegador, los atacantes pueden comprometer sitios web protegidos con SSL.

Esta tcnica funciona hasta que el cach es limpiado. Sus autores son Elie Bursztein, Baptiste
Gourdin y Dan Boneh.
5.- Anulacin de la proteccin CSRF con ClickJacking y parmetros HTTP
contaminados: Lavakumar Kuppan combinaba estas dos tcnicas para saltar las
protecciones CSRF y engaar a los usuarios para que revelen los IDs de sus cuentas.
Usndolo, un atacante podra resetear la contrasea de la vctima y obtener acceso a su
cuenta.
6.- XSS universal en IE8: su exploit puede eludir la proteccin cross-site scripting de
Internet Explorer 8 y permitir que las pginas web sean procesadas de una forma
potencialmente maliciosa.
7.- HTTP POST DoS: ideado por Wong Onn Chee y Tom Brennan, consiste en enviar primero
cabeceras HTTP POST al servidor para dar a conocer los datos que estn siendo enviados, y
luego transmitir los datos de una forma muy lenta consumiendo los recursos del servidor.
Cuando se envan varios simultneamente, los servidores pueden ser desbordados.
8.- JavaSnoop: consiste en un agente Java instalado en la mquina objetivo que se
comunica con la herramienta JavaSnoop. El objetivo es testear aplicaciones en bsqueda de
fallos de seguridad y, dependiendo se su uso, puede actuar como una herramienta de
seguridad o de hacking. Su autor es Arshan Dabirsiagh.
9.- Hack CSS del historial en Firefox sin JavaScript para Intranet Port
Scanning: Robert "RSnake" Hansen desarroll una idea para que los CSS puedan ser
utilizados para grabar los historiales de navegacin. La informacin obtenida podra ser
utilizada posteriormente para realizar ataques de phishing.
10.- DNS Rebinding con Applets de Java: creado por Stefano Di Paola, mediante applets
de Java es posible redireccionar el navegador hacia sitios web controlados por el atacante,
forzando al navegador a saltarse su cach DNS.