Módulo 21: Criptografía

CyberOps Associate v1.0

Objetivos del módulo
Título del módulo: Criptografía de Clave Pública

Objetivo del módulo: Explicar el papel de la infraestructura de clave pública (PKI, siglas en inglés) en la
seguridad de las redes.
.
Título del tema Objetivo del tema
Explicar el papel que cumple la criptografía para garantizar la integridad y
Integridad y autenticidad
autenticidad de los datos.
Explicar cómo los enfoques criptográficos mejoran la confidencialidad de los
Confidencialidad
datos.
Criptografía de clave pública Explicar la criptografía de clave pública.
Las autoridades y el sistema de confianza de
Explicar cómo funciona la infraestructura de clave pública.
PKI
Aplicaciones e impactos de la criptografía Explique cómo el uso de la criptografía afecta las operaciones de ciberseguridad.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 10
21.1 Integridad y autenticidad

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 11
Criptografía
Protegiendo las Comunicaciones
Estos son los cuatro elementos de las comunicaciones seguras:
• Integridad de los datos: Garantiza que el mensaje no se haya modificado. Cualquier cambio en
los datos en tránsito será detectado. La integridad se garantiza mediante la implementación de
los Algoritmos de Seguridad de Hash (Secure Hash Algorithms) SHA-2 o SHA-3 El algoritmo de
resumen de mensajes MD5 todavía está en uso, pero debe evitarse ya que es inseguro y crea
vulnerabilidades en una red.
• Autenticación de origen: Garantiza que el mensaje no sea falso y que el remitente sea el
verdadero. Muchas redes modernas garantizan la autenticación con algoritmos, como el Código
de Autenticación de Mensaje basado en Hash (HMAC, siglas en inglés).
• Confidencialidad de los datos: Garantiza que solamente los usuarios autorizados puedan leer
el mensaje. Si se intercepta el mensaje, no se puede descifrar en un plazo razonable. La
confidencialidad de los datos se implementa utilizando algoritmos de encriptación simétrica y
asimétrica.
• No repudio de los datos (Data Non-Repudiation): Garantiza que el remitente no pueda negar
ni refutar la validez de un mensaje enviado. No repudio se basa en el hecho de que solamente el
remitente tiene las características únicas o una firma de cómo tratar ese mensaje.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 12
Criptografía
Funciones hash criptográficas
• Los "hash" se usan para comprobar y
garantizar la integridad de los datos.
• El hashing se basa en una función
matemática unidireccional que es
relativamente fácil de computar, pero mucho
más difícil de revertir.
• Como se ve en la Imagen, una función de
hash toma un bloque variable de datos
binarios, llamado "mensaje", y produce una
representación condensada de longitud fija,
denominada hash.
• El hash resultante, a veces, se denomina
resumen del mensaje, síntesis o huella digital.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 13
Criptografía
Funciones hash criptográficas
• Con las funciones hash, es computacionalmente imposible que dos conjuntos diferentes de
datos tengan el mismo resultado de hash.
• Cada vez que se cambian o se modifican los datos, el valor hash también cambia. Debido a
esto, los valores hash criptográficos usualmente se conocen como huellas dactilares
digitales.
• Pueden usarse para detectar archivos de datos duplicados, cambios en las versiones de los
archivos y otros usos similares.
• Estos valores se utilizan para proteger los datos de un cambio accidental o intencional, o de
la corrupción accidental de los datos.
• La función hash criptográfica se aplica en muchas situaciones diferentes con fines de
autenticación de entidades, integridad de los datos y autenticidad de los datos.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 14
Criptografía
Funcionamiento del hash criptográfico
• Matemáticamente, la ecuación h= H(x) se utiliza para explicar cómo funciona un algoritmo de hash.

• Como se muestra en la imagen, la función de hash H toma un valor de entrada x y arroja una cadena de
tamaño fijo con valor de hash h.
• Una función de hash criptográfica tiene las
siguientes propiedades:

• La entrada puede ser de cualquier longitud.

• La salida tiene una longitud fija.

• H(x) es relativamente fácil de calcular para

cualquier valor dado a x.

• H(x) es unidireccional y no reversible.

• H(x) está libre de colisiones, lo que significa que

dos valores diferentes de entrada darán como
resultado valores diferentes de hash.
• Si una función de hash es difícil de invertir, se considera un hash unidireccional. Difícil de invertir significa
que dado un valor hash deh, es computacionalmente imposible encontrar una entrada para x tal queh=H(x).
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 15
Criptografía
MD5 y SHA
• Las funciones de hash se utilizan para garantizar la integridad de un mensaje, garantizando que los datos no
hayan sido modificados accidental o intencionalmente.

• En la imagen, el remitente envía una transferencia de $100 a Alex. El remitente quiere asegurarse de que el
mensaje no se modifique accidentalmente en su recorrido hasta el receptor.

• El remitente introduce el mensaje en un algoritmo de hash y calcula el hash de longitud fija.

• Luego, este hash se adjunta al mensaje y se envía al receptor. El mensaje y el hash se transmiten en texto
plano.

• El dispositivo receptor elimina el hash del mensaje e introduce el mensaje en el mismo algoritmo de hash. Si
el hash calculado es igual al que se adjunta al mensaje, significa que el mensaje no se modificó durante su
recorrido. Si los hash son no iguales, ya no es posible garantizar la integridad del mensaje.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 16
Criptografía
MD5 y SHA
Existen tres funciones de hash muy conocidas:

• MD5 con digest de 128 bits: Desarrollada por Ron Rivest y utilizada en una variedad de
aplicaciones de Internet, MD5 es una función unidireccional que produce un mensaje hash de 128-
bits. MD5 es un algoritmo obsoleto y se debe usar solamente cuando no haya mejores alternativas
disponibles. Se recomienda utilizar SHA-2 o SHA-3 en su lugar.

• SHA-1: Desarrollado por la Agencia Nacional de Seguridad (NSA, siglas en inglés) de los Estados
Unidos en 1995. Es muy similar a las funciones de hash MD5. SHA-1 crea un mensaje hash de 160
bits y es un poco más lento que MD5. SHA-1 tiene defectos conocidos y es un algoritmo obsoleto.

• SHA-2: Desarrollado por la NSA. Incluye SHA-224, SHA-256, SHA-384 y SHA-512. Si se usa SHA-2,
se deben usar los algoritmos SHA-256, SHA-384 y SHA-512.

• SHA-3: SHA-3 es el algoritmo hash más nuevo y fue introducido por el instituto NIST como una
alternativa para la familia SHA-2 de algoritmos hash. SHA-3 incluye SHA3-224, SHA3-256, SHA3-
384 y SHA3-512. La familia SHA-3 es la próxima generación de algoritmos y deben usarse siempre
que sea posible.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 17
Criptografía
MD5 y SHA
• Mientras que el hash se puede utilizar para detectar modificaciones accidentales, no brinda
protección contra cambios deliberados hechos por un atacante.
• No existe información de identificación única del emisor en el procedimiento de hash.

• Esto significa que cualquier persona puede calcular un hash para los datos, siempre y
cuando tengan la función de hash correcta.
• Por lo tanto, el hash es vulnerable a los ataques Man-in-the-middle y no proporciona
seguridad a los datos transmitidos. Para proporcionar integridad y autenticación de origen,
se necesita algo más.
Nota: Los algoritmos hash solo protegen contra cambios accidentales y no protegen los datos de los cambios realizados
deliberadamente por un atacante.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 18
Criptografía
Autenticación de Origen
• Para agregar autenticación y control de integridad, se usa un código de
autenticación de mensajes hash con clave (Hash-based Message Authentication
Code, HMAC).
• Los HMAC utilizan una clave secreta adicional como entrada para la función de
hash.
Nota: También se utilizan otros métodos de Código de Autenticación de Mensajes (MAC, siglas en inglés). Sin embargo,
HMAC se utiliza en muchos sistemas, incluidos SSL, IPSec y SSH.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 19
Criptografía
Autenticación de Origen
Algoritmo de Hashing de HMAC

• Como se muestra en la imagen, un HMAC se calcula utilizando

cualquier algoritmo criptográfico que combine una función hash
criptográfica con una clave secreta. Las funciones de hash son la
base del mecanismo de protección de HMAC.

• Solo el emisor y el receptor conocen la clave secreta y el resultado

de la función de hash ahora depende de los datos de entrada y la
clave secreta. Esta característica derrota los ataques Man-in-the-
middle y proporciona autenticación del origen de los datos.

• Si dos personas comparten una clave secreta y utilizan las

funciones HMAC para la autenticación, una síntesis de HMAC
construida correctamente de un mensaje que ha recibido uno de
ellos, indica que la otra persona fue la que originó el mensaje. Esto
se debe a que la otra persona posee la clave secreta.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 20
Criptografía
Autenticación de Origen
Creación de un valor HMAC
• Como muestra en la imagen, el
dispositivo emisor introduce datos en
el algoritmo de hash y calcula la
síntesis del HMAC de longitud fija.
• Luego, esta síntesis autenticada se
adjunta al mensaje y se envía al
receptor.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 21
Criptografía
Autenticación de Origen
Verificación de un valor HMAC
• En la imagen, el dispositivo receptor
elimina la síntesis del mensaje y utiliza el
mensaje de texto plano con su clave
secreta como valor de entrada para la
misma función de hash.
• Si la síntesis que calcula el dispositivo
receptor es igual a la síntesis que se
envió, el mensaje no se modificó.
• Además, el origen del mensaje se
autentica porque solamente el emisor
posee una copia de la clave secreta
compartida. La función de HMAC
comprobó la autenticidad del mensaje.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 22
Criptografía
Autenticación de Origen
Ejemplo de HMAC en Router Cisco
• La figura muestra cómo las HMAC son usadas por
los routers Cisco que están configurados para usar
autenticación de enrutamiento OSPF.
• R1 esta enviando una actualización de estado de
enlace (LSU, siglas en inglés) sobre una ruta hacia
la red 10.2.0.0/16:
• R1 calcula el valor de hash mediante el mensaje
de LSU y la clave secreta.
• El valor de hash resultante se envía con la LSU al
R2.
• R2 calcula el valor de hash mediante la LSU y su
clave secreta. R2 acepta la actualización si los
valores de hash coinciden. Si no coinciden, R2
descarta la actualización.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 23
Criptografía
Práctica de laboratorio: Calculando hashes
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Creación de hashes con OpenSSL

• Verificación de hashes

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 24
21.2 Confidencialidad

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 25
Confidencialidad
Confidencialidad de los datos
• Hay dos clases de encriptación utilizadas para proporcionar confidencialidad a los datos; simétrica y
asimétrica Estas dos clases se diferencian en cómo utilizan las claves.
• Los algoritmos de encriptación simétrica, como estándar de encriptación de datos (Data Encryption
Standard, DES), el DES, y el estándar avanzado de encriptación (Advanced Encryption Standard,
AES) se basan en la premisa de que cada parte que se comunica conoce la clave pre-compartida.
• La confidencialidad de los datos también se puede garantizar utilizando algoritmos asimétricos,
incluidos Rivest, Shamir y Adleman (RSA) y la infraestructura de clave pública (PKI).
• La imagen destaca las diferencias entre encriptación simétrica y asimétrica.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 26
Confidencialidad
Encriptación simétrica
• Los algoritmos simétricos utilizan la misma clave pre-compartida para encriptar y desencriptar datos.
• Antes de que ocurra cualquier comunicación encriptada, el emisor y el receptor deben conocer la
clave pre-compartida, también llamada clave secreta.
• Para ejemplificar cómo funciona la encriptación simétrica, consideremos un ejemplo en el que Alice y
Bob viven en diferentes lugares y quieren intercambiar mensajes secretos entre sí mediante el
sistema de correo.
• En la figura, Alice y Bob tienen claves idénticas y pre-compartidas. Alice escribe un mensaje secreto
y lo coloca en una caja pequeña que ella cierra con el candado y su propia clave. Le envía la caja a
Bob. Cuando Bob recibe la caja, utiliza su clave para desbloquear y recuperar el mensaje. Bob
puede utilizar la misma caja y la misma clave para enviar una respuesta secreta a Alice.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 27
Confidencialidad
Encriptación simétrica
• Los algoritmos de encriptación simétrica suelen utilizarse con el tráfico de VPN.

• Esto se debe a que los algoritmos simétricos utilizan menos recursos de CPU que los
algoritmos de encriptación asimétrica.
• Esto permite encriptar y desencriptar datos rápidamente cuando se utiliza una VPN.

• Al utilizar algoritmos de encriptación simétrica, mientras más larga sea la clave, más tiempo
demorará alguien en descubrirla. La mayoría de las claves de encriptación tienen entre
112 bits y 256 bits.
• Para garantizar que la encriptación sea segura, se recomienda una longitud mínima de clave
de 128 bits. Para comunicaciones más seguras, se aconseja el uso de claves más
prolongadas.
• Los algoritmos de encriptación simétrica a veces son clasificados como cifrados por bloques
o cifrados de flujo.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 28
Confidencialidad
Encriptación simétrica
Cifrado por bloques
• Los cifrados por bloques transforman un bloque de texto plano de longitud fija en un bloque
común de texto cifrado de 64 o 128 bits.
• Los cifrados por bloques comunes incluyen DES con un bloque de tamaño de 64-bits y AES
con un bloque de tamaño de 128-bits.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 29
Confidencialidad
Encriptación simétrica
Cifrado de flujo
• Los cifrados de flujo encriptan el texto plano byte por byte, o bit por bit.

• Los cifrados de flujo son básicamente un cifrado por bloques con un tamaño de bloque de un
byte o bit.
• Los cifrados de flujo suelen ser más rápidos que los cifrados por bloques, debido a que los
datos se encriptan continuamente.
• Algunos ejemplos del cifrado de flujo son RC4 y A5, que se utiliza para encriptar
comunicaciones de telefonía celular GSM.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 30
Confidencialidad
Encriptación simétrica
Los algoritmos de encriptación simétrica bien conocidos se describen en la tabla.
Algoritmos de encriptación Descripción
simétrica
Estándar de encriptación de datos Este es un algoritmo obsoleto. Utiliza una longitud de clave corta, lo cual lo
(Data Encription Standard, DES) hace inseguro.
Este es el reemplazo para DES y repite el algoritmo DES tres veces. Debe
3DES (Triple DES) evitar usarse, ya que está previsto retirarlo en 2023. Si se implementa, se
deben usar claves de muy poco tiempo de vida.
Es un algoritmo de encriptación simétrica popular y recomendado. Ofrece
Estándar de encriptación avanzada
combinaciones de claves de 128, 192 o 256 bits para encriptar bloques de
(Advanced Encryption Standard, AES)
datos de 128, 192 o 256 bits de longitud.
Algoritmo de encriptación optimizado Este es un algoritmo más rápido, alternativo a AES. SEAL es un cifrado de
por software (Software-Optimized flujo que usa un clave de encriptación de 160 bits y tiene un menor impacto en
Encryption Algorithm, SEAL) la CPU en comparación con otros algoritmos basados en software.
Este algoritmo fue desarrollado por Ron Rivest. RC4 es un cifrado de flujo y se
Algoritmos de Rivest ciphers (RC) utiliza para proteger el tráfico web. Se ha encontrado que tiene múltiples
vulnerabilidades que lo han hecho inseguro. No se debe usar RC4.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 31
Confidencialidad
Encriptación asimétrica
• Los algoritmos asimétricos, también llamados algoritmos de claves públicas, están
diseñados para que la clave de encriptación y la de desencriptación sean diferentes, como
se muestra en la imagen.
• Los algoritmos asimétricos utilizan una clave pública y una privada. Ambas claves son
capaces de encriptar, pero se requiere la clave complementaria para desencriptar.
• El proceso también es reversible. Los datos encriptados con la clave pública requieren la
clave privada para desencriptarse. Los algoritmos asimétricos logran confidencialidad y
autenticidad mediante la utilización de este proceso.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 32
Confidencialidad
Encriptación asimétrica
• La encriptación asimétrica puede utilizar longitudes de claves entre 512 y 4096 bits.

• Longitudes de clave mayores o iguales a 2048 bits son confiables, y mientras que las claves de
1024 bits o más cortas se consideran insuficientes.
• Entre algunos de los ejemplos de protocolos en los que se utilizan algoritmos de claves asimétricos
se incluyen los siguientes:
• Internet Key Exchange (IKE): Es un componente fundamental de las VPN con IPsec.
• Secure Socket Layer (SSL): Ahora se implementa como un estándar de Seguridad de la capa
de transporte (TLS) de IETF.
• Secure Shell (SSH): Este protocolo proporciona una conexión segura de acceso remoto a
dispositivos de red.
• Pretty Good Privacy (PGP): Este programa de computadora proporciona privacidad y
autenticación criptográfica. A menudo, se utiliza para aumentar la seguridad de las
comunicaciones por correo electrónico.
• Los algoritmos asimétricos son sustancialmente más lentos que los simétricos.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 33
Confidencialidad
Encriptación asimétrica
En la tabla, se incluyen ejemplos comunes de algoritmo de encriptación asimétrica.
Algoritmos de Longitud de
Descripción
encriptación asimétrica la Clave
Permite que ambas partes acuerden una misma clave que pueden utilizar
512, 1024, para encriptar los mensajes que quieren enviarse. La seguridad de este
Diffie-Hellman (DH) 2048, 3072, algoritmo está basada en que resulta sencillo elevar un número a una
4096 determinada potencia, pero difícil calcular qué potencia fue utilizada
conociendo solamente el número y el resultado.
Estándar de firmas digitales
Especifica a DSA como el algoritmo para firmas digitales. DSA es un
(Digital Signature Standard,
algoritmo de clave pública basado en el esquema de firmas El Gamal. La
DSS) y Algoritmo de firmas 512 – 1024
velocidad de creación de firma es similar a la de RSA, pero es de 10 a 40
digitales (Digital Signature
veces más lenta para la verificación.
Algorithm, DSA)
Utilizado para criptografía de clave pública, se basa en la dificultad actual
Algoritmos de encriptación de factorización de números muy grandes. Es el primer algoritmo apto
Entre 512 y
Rivest, Shamir, Adleman tanto para firmas como para encriptación. Es ampliamente utilizado en
2048
(RSA) protocolos de comercio electrónico y se considera seguro si se utilizan
claves suficientemente prolongadas e implementaciones actualizadas.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 34
Confidencialidad
Encriptación asimétrica
Algoritmos de
Longitud de
encriptación Descripción
la Clave
asimétrica
Un algoritmo de encriptación de claves asimétrico para criptografía de
claves públicas basado en el acuerdo de claves Diffie-Hellman. Una
desventaja del sistema ElGamal es que el mensaje encriptado se
EIGamal 512 – 1024
vuelve muy grande, aproximadamente el doble del tamaño del
mensaje original y por ello sólo se utiliza con mensajes pequeños
como claves secretas.

Se puede utilizar para adaptar muchos algoritmos criptográficos,

Técnicas de curvas 224 o
como los de Diffie-Hellman o ElGamal. La principal ventaja es que las
elípticas. superior
claves pueden ser mucho más pequeñas.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 35
Confidencialidad
Encriptación asimétrica
• Los algoritmos asimétricos se usan para brindar confidencialidad sin compartir previamente
una contraseña.
• El objetivo de confidencialidad de los algoritmos asimétricos se inicia cuando comienza el
proceso de encriptación con la clave pública.
• El proceso puede resumirse con la fórmula:

Clave pública (Encriptar) + Clave privada (Desencriptar) =

Confidencialidad
• Cuando se utiliza la clave pública para encriptar los datos, debe utilizarse la clave privada
para desencriptarlos.
• Solamente un host tiene la clave privada; por lo tanto, se logra la confidencialidad.

• Si la clave privada está en riesgo, se debe generar otro par de claves para reemplazar la
clave comprometida. © 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 36
Confidencialidad
Encriptación asimétrica - Confidencialidad
Veamos cómo se pueden utilizar las claves privadas y públicas para proporcionar
confidencialidad al intercambio de datos entre Bob y Alice.

Alice adquiere la clave pública de Bob.

Alice solicita y obtiene la clave pública de Bob.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 37
Confidencialidad
Encriptación asimétrica - Confidencialidad
Bob desencripta el mensaje utilizando su clave
Alice utiliza la clave pública privada
Alice utiliza la clave pública de Bob para encriptar Bob utiliza su clave privada para desencriptar el
un mensaje con un algoritmo acordado. Alice le mensaje, dado que Bob es el único con la clave
envía el mensaje encriptado a Bob. privada, el mensaje de Alice solo puede ser
desencriptado por Bob y así se logra la
confidencialidad.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 38
Confidencialidad
Encriptación asimétrica - Autenticación
• El objetivo de autenticación de los algoritmos asimétricos se inicia cuando comienza el proceso de
encriptación con la clave privada.

• El proceso puede resumirse con la fórmula:

Clave privada (Encriptar) + Clave pública (Desencriptar) = Autenticación

• Cuando se utiliza la clave privada para encriptar los datos, debe utilizarse la clave pública
correspondiente para desencriptarlos.

• Debido a que un solo host tiene la clave privada, ese host es el único que puede haber encriptado
el mensaje, lo que proporciona autenticación del remitente.

• Por lo general, no se intenta preservar el secreto de la clave pública, por lo que muchos hosts
pueden desencriptar el mensaje.

• Cuando un host desencripta correctamente un mensaje con una clave pública, se confía en que la
clave privada encriptó el mensaje y permite verificar quién es el remitente. Esta es una forma de
autenticación.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 39
Confidencialidad
Encriptación asimétrica - Autenticación
Veamos cómo se pueden usar las claves
privadas y públicas para proporcionar
autenticación al intercambio de datos entre
Bob y Alice.
Alice utiliza su clave privada
• Alice encripta el mensaje utilizando su clave
privada
• Alice le envía el mensaje encriptado a Bob.

• Bob necesita autenticar que el mensaje

realmente provino de Alice.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 40
Confidencialidad
Encriptación asimétrica - Autenticación
Bob solicita la clave pública de Alice
Para autenticar el mensaje, Bob solicita la clave pública de Alice.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 41
Confidencialidad
Encriptación asimétrica - Autenticación

Bob desencripta usando la clave

pública
Bob utiliza la clave pública de Alice
para desencriptar el mensaje.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 42
Confidencialidad
Encriptación asimétrica - Integridad
Combinar los dos procesos de encriptación asimétrica
proporciona confidencialidad, autenticación e integridad.
En este ejemplo, se cifrará un mensaje con la clave
pública de Bob y se encriptará un hash cifrado con la
clave privada de Alice para proporcionar
confidencialidad, autenticidad e integridad.
Alice utiliza la clave pública de Bob
Alice quiere enviar un mensaje a Bob con la seguridad
de que solo él podrá leerlo. Alice quiere garantizar la
confidencialidad del mensaje. Alice utiliza la clave pública
de Bob para cifrar el mensaje. Solo Bob podrá descifrarlo
usando su propia clave privada.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 43
Confidencialidad
Encriptación asimétrica - Integridad
Alice encripta un hash con su propia clave privada
• Alice también quiere garantizar la integridad y
autenticación de los mensajes.
• La autenticación le garantiza a Bob que el
documento fue enviado por Alice y la integridad
asegura que no se modificó.
• Alice utiliza su clave privada para cifrar un hash del
mensaje.
• Alice envía el mensaje encriptado con su hash
encriptado a Bob.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 44
Confidencialidad
Encriptación asimétrica - Integridad
Bob utiliza la clave pública de Alice para
desencriptar el hash
• Bob utiliza la clave pública de Alice para verificar que
no se modificó el mensaje.
• El hash recibido equivale al hash determinado
localmente según la clave pública de Alice.
• Además, esto verifica que Alice definitivamente es la
remitente del mensaje, porque nadie más tiene la
clave privada de Alice.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 45
Confidencialidad
Encriptación asimétrica - Integridad
Bob utiliza su clave privada para desencriptar el
mensaje
Bob utiliza su clave privada para descifrar el mensaje

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 46
Confidencialidad
Diffie-Hellman
• Diffie-Hellman (DH) es un algoritmo matemático asimétrico que permite a dos computadoras
generar un secreto compartido idéntico sin antes haberse comunicado.
• El emisor y el receptor nunca intercambian realmente la nueva clave compartida.

• Sin embargo dado que ambos participantes la conocen, la clave puede ser utilizada por un
algoritmo de encriptación para encriptar tráfico entre los dos sistemas.
• Estos son dos ejemplos de casos en los que el algoritmo de DH suele utilizarse:
• Se intercambian datos mediante una VPN con IPsec
• Se intercambian datos de SSH

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 47
Confidencialidad
Diffie-Hellman
• La imagen muestra como funciona DH. Los colores son utilizados en lugar de números largos y
complejos para simplificar el proceso de acuerdo de claves del algoritmo DH.
• El intercambio de claves DH comienza con Alice y Bob acordando un color, en este caso el amarillo.
• Luego, Alice y Bob seleccionan un color secreto cada
uno. Alice eligió rojo y Bob, azul.
• Ahora, Alice y Bob mezclan el color común compartido
(amarillo) con su color secreto respectivo para producir
un color público.
• Alice envía su color público (anaranjado) a Bob y Bob
le envía el suyo (verde) a Alice.
• Alice y Bob mezclan cada uno el color que recibieron
con su propio color secreto original (rojo para Alice y
azul para Bob). El resultado es una mezcla final de
color marrón que es idéntica para Bob y Alice. El color
marrón representa la clave secreta que comparten Bob
y Alice.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 48
Confidencialidad
Diffie-Hellman
• La seguridad del algoritmo de DH se basa en el hecho de que utiliza números increíblemente
grandes en sus cálculos.

• Diffie-Hellman utiliza grupos de DH diferentes para determinar la solidez de la clave que se utiliza
en el proceso de acuerdo de clave. Los grupos superiores de números son más seguros, pero
requieren tiempo adicional para calcular la clave.
• A continuación, se identifican los grupos de DH compatibles con el software Cisco IOS y su valor
asociado de número primo:
• DH Grupo 1: 768 bits
• DH Grupo 2: 1024 bits
• DH Grupo 5: 1536 bits
• DH Grupo 14: 2048 bits
• DH Grupo 15: 3072 bits
• DH Grupo 16: 4096 bits
Nota: Un acuerdo de clave de DH también puede estar basado en la criptografía de curva elíptica. Los grupos de DH 19, 20 y
24, si se basan en la criptografía de curva elíptica, son compatibles con el software Cisco IOS.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 49
Confidencialidad
Video: Criptografía
Observe el video para aprender sobre Criptografía.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 50
Confidencialidad
Práctica de laboratorio: Encriptar y desencriptar datos utilizando
OpenSSL
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Encriptación de mensajes con OpenSSL

• Desencriptación de mensajes con OpenSSL

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 51
Confidencialidad
Práctica de laboratorio: Encriptar y desencriptar datos utilizando
una herramienta de hacker
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Escenario de configuración

• Crear y encriptar archivos

• Recuperar contraseñas de archivos Zip encriptados

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 52
Confidencialidad
Práctica de laboratorio: Examinar Telnet y SSH en Wireshark
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Examinar una sesión de Telnet con Wireshark

• Examinar una sesión de SSH con Wireshark

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 53
21.3 Criptografía de clave
pública

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 54
Criptografía de clave pública
Uso de firmas digitales
• Las firmas digitales son una técnica matemática empleada para brindar autenticidad, integridad, y
no repudio.

• Las firmas digitales tienen propiedades específicas que permiten la autenticación de entidades y la
integridad de los datos. Además, las firmas digitales proporcionan no repudio a la transacción.

• En otras palabras, la firma digital sirve como prueba legal de que el intercambio de datos tuvo
lugar. Las firmas digitales usan criptografía asimétrica.

• Las propiedades de las firmas digitales son las siguientes:

• Auténtica: La firma no puede ser falsificada y permite demostrar que el firmante fue el único que
firmó el documento.
• Inalterable: Después de firmar un documento, no puede modificarse.
• No reutilizable: La firma del documento no se puede transferir a otro documento.
• No repudiado: Se considera que el documento firmado es el mismo que un documento físico.
La firma es una prueba de que el documento ha sido firmado por la persona real.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 55
Criptografía de clave pública
Uso de firmas digitales
• Las firmas digitales se utilizan comúnmente en las siguientes dos situaciones:
• Firma de código : Se utiliza para fines de integridad y autenticación de datos. La firma de
código se utiliza para verificar la integridad de los archivos ejecutables descargados del
sitio web de un proveedor. También utiliza certificados digitales firmados para autenticar y
verificar la identidad del sitio de donde provienen los archivos.
• Certificados digitales: Son similares a una tarjeta ID de identificación virtual y se usan
para autenticar la identidad del sistema con un sitio web de un proveedor, además de
establecer una conexión encriptada para intercambiar datos confidenciales.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 56
Criptografía de clave pública
Uso de firmas digitales
Se utilizan tres algoritmos del estándar de firmas digitales (Digital Signature Standard, DSS)
para generar y verificar firmas digitales:
• Algoritmo de Firma Digital (Digital Signature Algorithm, DSA) : DSA es el estándar
original para generar pares de claves públicas y privadas, y para generar y verificar firmas
digitales.
• Algoritmo de Rivest-Shamir-Adelman (RSA): Es un algoritmo asimétrico que se utiliza
comúnmente para generar y verificar firmas digitales.
• Algoritmo de firma digital de curva elíptica (Elliptic Curve Digital Signature
Algorithm, ECDSA): Es una nueva variante de DSA y proporciona autenticación de firma
digital y no repudio, con los beneficios agregados de eficiencia informática, tamaños de
firma pequeños y ancho de banda mínimo.
En los noventa, RSE Security Inc. comenzó a publicar estándares de criptografía de clave
pública (Public-Key Cryptography Standards, PKCS). Hubo 15 PKCS, aunque se ha retirado 1
desde el momento en que se escribió el presente contenido.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 57
Criptografía de clave pública
Firmas digitales para la firma de código
Las firmas digitales suelen usarse para proporcionar certeza de la autenticidad e integridad del
código de software.
Los archivos ejecutables están dentro de un sobre firmado digitalmente, lo que le permite al
usuario final verificar la firma antes de instalar el software.
Firmar código en forma digital proporciona varias garantías con respecto al código:
• El código es auténtico y realmente es provisto por el editor.
• El código no se ha modificado desde que salió del editor de software.
• El editor definitivamente editó y publicó el código. Esto proporciona no repudio de la acción de
publicación.
El propósito del software firmado digitalmente es asegurar que no se alteró y que, como se dice,
proviene de una fuente de confianza.
Las firmas digitales sirven como verificación de que el código no ha sido manipulado por
atacantes y que un tercero no insertó código malicioso en el archivo.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 58
Criptografía de clave pública
Firmas digitales para la firma de código
Las propiedades de un archivo que tiene un certificado
firmado digitalmente son las siguientes:
Propiedades de archivo
El archivo ejecutable fue descargado de internet. El
archivo contiene una herramienta de software de Cisco
Systems.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 59
Criptografía de clave pública
Firmas digitales para la firma de código
Firmas digitales
• Hacer clic en la pestaña Firmas digitales revela que el
archivo procede de una organización de confianza,
Cisco Systems Inc. El resumen (digest) del archivo fue
creado con el algoritmo sha256.
• También se proporciona la fecha en la que se firmó el
archivo.
• Al hacer clic en Detalles se abre la ventana Detalles de
firmas digitales.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 60
Criptografía de clave pública
Firmas digitales para la firma de código
Detalles de la Firma Digital
• La ventana Detalles de la firma digital revela que el
archivo fue firmado por Cisco Systems, Inc en octubre
de 2019.
• Esto se verificó mediante un refrendo proporcionado por
Entrust Time Stamping Authority el mismo día en que
fue firmada por Cisco.
• Haga clic enVer certificadopara ver los detalles del
propio certificado.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 61
Criptografía de clave pública
Firmas digitales para la firma de código
Información sobre Certificados
• La pestaña General proporciona los propósitos del
certificado, a quién se emitió el certificado y quién lo
emitió.
• También muestra el período para el que el certificado es
válido. Los certificados no válidos pueden impedir que se
ejecute el archivo.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 62
Criptografía de clave pública
Firmas digitales para la firma de código
Ruta de Certificación
• Haga clic en la pestaña Ruta de certificación para ver
que el archivo fue firmado por Cisco Systems, como se
verificó en DigiCert.
• En algunos casos, una entidad adicional puede verificar
independientemente el certificado.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 63
Criptografía de clave pública
Firmas digitales para certificados digitales
• Un certificado digital es utilizado para autenticar y
verificar que el usuario que está enviando el
mensaje sea verdaderamente quien afirma ser.

• Los certificados digitales también pueden usarse

para proporcionar confidencialidad a un receptor con
los medios necesarios para encriptar una respuesta.
• Los certificados digitales son similares a los
certificados físicos, como se muestra en la imagen.
• El certificado digital verifica de forma independiente
una identidad.
• En resumen, un certificado verifica la identidad,
mientras que una firma verifica que algo proviene de
esa identidad.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 64
Criptografía de clave pública
Firmas digitales para certificados digitales
Este ejemplo le ayudará a comprender
cómo se utiliza una firma digital.
• Bob confirma un pedido con Alice.
Alice está ordenando desde el sitio
web de Bob.
• Bob confirma la orden y su
computadora crea un hash de la
confirmación.
• La computadora encripta el hash con
la clave privada de Bob.
• El hash encriptado, conocido como la
firma digital, se adjunta al documento.
• La confirmación del pedido se envía a
Alice por medio de Internet.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 65
Criptografía de clave pública
Firmas digitales para certificados digitales
Cuando Alice recibe la firma digital, se produce
el siguiente proceso:
• La computadora de Alice acepta la
confirmación del pedido con la firma digital y
obtiene la clave pública de Bob.
• La computadora de Alice desencripta la firma
usando la clave pública de Bob que revela el
valor hash asumido del dispositivo de envío.
• La computadora de Alice crea un hash del
documento recibido, sin su firma, y lo compara
con el hash desencriptado.
• Si los hashes coinciden, el documento es
auténtico. Esto significa que la confirmación
fue enviada por Bob y no ha cambiado desde
que se firmó.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 66
21.4 Autoridades y sistema de
confianza de la PKI (PKI Trust
System)

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 67
Las autoridades y el sistema de confianza PKI
Administración de claves públicas
• El tráfico de Internet se compone de tráfico entre dos participantes. Cuando se establece una conexión
asimétrica entre dos hosts, estos intercambian su información de clave pública.

• Un certificado SSL es un certificado digital que confirma la identidad de dominio de un sitio web.

• Para implementar SSL en un sitio web, el usuario compra un certificado SSL para el dominio de un
proveedor de certificados SSL.

• El tercero de confianza realiza una investigación exhaustiva antes de emitir las credenciales. Después de
la investigación exhaustiva, el tercero emite las credenciales que son difíciles de falsificar.

• Cuando las computadoras intentan conectarse a un sitio web a través de HTTPS, el navegador web
comprueba el certificado de seguridad del sitio web y comprueba que es válido y se originó con una CA
confiable.

• Esto valida que la identificación del sitio web es verdadera. El certificado se guarda localmente por el
navegador web y luego se utiliza en transacciones posteriores. La clave pública del sitio web se incluye en
el certificado y se utiliza para verificar futuras comunicaciones entre el sitio web y el cliente.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 68
Las autoridades y el sistema de confianza PKI
Administración de claves públicas
• Estos terceros de confianza ofrecen servicios
similares a las agencias gubernamentales de
concesión de licencias.
• En la figura, se muestra la analogía entre una
licencia de conducir y un certificado digital.
• La infraestructura de claves públicas (Public Key
Infrastructure, PKI) consiste en especificaciones,
sistemas, y herramientas que se utilizan para
crear, administrar, distribuir, utilizar, almacenar, y
revocar certificados digitales.
• La autoridad de certificación (Certificate Authority,
CA) es una organización que crea certificados
digitales vinculando una clave pública a una
identificación confirmada, como un sitio web o un
individuo.
• La PKI es un sistema intrincado que está diseñado para salvaguardar las identidades digitales contra el
hacking, incluso por los atacantes más sofisticados, o estados nacionales.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 69
Autoridades y el sistema de confianza PKI
La Infraestructura de Claves Públicas
• La PKI es necesaria para admitir la distribución e identificación a gran escala de
claves de encriptación públicas.
• El framework de la PKI permite una relación de confianza altamente escalable.

• Se compone del hardware, el software, las personas, las políticas y los

procedimientos necesarios para crear, administrar, almacenar, distribuir y revocar
certificados digitales.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 70
 Las autoridades y el sistema de confianza PKI
La Infraestructura de Claves Públicas
• La figura muestra los principales elementos de la PKI.
• Los certificados PKI contienen una clave pública de una entidad, su propósito, la autoridad de
certificación (CA) que validó y emitió el certificado, el plazo durante el cual el certificado se puede
considerar válido y el algoritmo utilizado para crear la firma.
• El almacén de certificados reside en una computadora local y almacena certificados emitidos y claves
privadas.
• La autoridad de certificación (CA) de PKI es un tercero de confianza que emite certificados PKI a
entidades y personas luego de verificar sus respectivas identidades. Este firma esos certificados
usando su clave privada.
• En la base de datos de certificados se almacenan todos los certificados aprobados por la CA.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 71
 Las autoridades y el sistema de confianza PKI
La Infraestructura de claves públicas
La figura muestra cómo interoperan los elementos
de la PKI:
• Emisión del certificado PKI: Bob pide inicialmente
un certificado de la CA. La CA autentica a Bob y
almacena el certificado de PKI de Bob en la base
de datos de certificados.
• Intercambio de certificado PKI: Bob se comunica
con Alice utilizando su certificado de PKI.
• Verificación de certificado PKI: Alice se comunica
con la CA de confianza usando la clave pública de
la CA. La CA consulta a la base de datos de
certificados para validar el certificado PKI de Bob.
Nota: No todos los certificados de PKI se reciben directamente de una CA. Una autoridad de registro (Registration Authority,
RA) es una CA secundaria y está certificada por una CA principal para emitir certificados para usos específicos.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 72
Las autoridades y el sistema de confianza PKI
El sistema de autoridades de la PKI
• Muchos proveedores proporcionan servidores de CA como un servicio administrado o como un producto
para usuarios finales. Algunos de estos proveedores son: Symantec Group, Comodo, Go Daddy Group,
GlobalSign, entre otros.

• Las organizaciones también pueden implementar PKI privadas utilizando Microsoft Server u Open SSL.

• Las CA, especialmente aquellas tercerizadas, emiten certificados basados en clases que determinan cuán
confiable es un certificado.

• La tabla proporciona una descripción de las clases. Cuanto mayor sea el número de clase, más confiable
será el certificado. Un certificado de clase 5 es mucho más confiable que un certificado de una clase
inferior.
Clase Descripción
Se utiliza con fines de pruebas en situaciones en las que no se ha realizado ninguna
0
comprobación.
1 Utilizado por personas que requieren verificación de correo electrónico.
2 Se utiliza por organizaciones en las que se requiere demostrar la identidad.
3 Se utiliza para la firma de servidores y software.
4 Se utiliza para transacciones comerciales en línea entre empresas.
5 Se utiliza para organizaciones privadas o agencias de seguridad gubernamentales.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 73
Las autoridades y el sistema de confianza PKI
El sistema de autoridades de la PKI
• Algunas claves públicas de la CA están
precargadas, como las que aparecen en los
navegadores web.
• La imagen muestra varios certificados de
VeriSign que están guardados en el almacén
de certificados en el host.
• El navegador considerará como legítimo
cualquier certificado firmado por cualquiera
de las CA de la lista y confiará
automáticamente.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 74
Las autoridades y el sistema de confianza PKI
El sistema de confianza PKI
Las PKIs pueden formar distintas topologías de confianza, como las siguientes:
Topología de PKI de raíz única
• Una sola CA, llamada la CA raíz, emite todos
los certificados a los usuarios finales, que
suelen encontrarse dentro de la misma
organización.
• El beneficio de este enfoque es su
simplicidad.
• Es difícil llevar esta estructura a un entorno
grande, ya que requiere una administración
estrictamente centralizada que crea un único
punto de falla.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 75
Las autoridades y el sistema de confianza PKI
El sistema de confianza PKI
Topologías de CA con certificación
cruzada
• Este es un modelo peer-to-peer (par a
par) en el que las CA individuales
establecen relaciones de confianza con
otras CA mediante la certificación
cruzada de certificados de CA.
• Los usuarios de cualquiera de los dos
dominios de CA pueden estar seguros
de que pueden confiar en el otro.
• Esto proporciona redundancia y elimina
el punto único de falla.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 76
 Las autoridades y el sistema de confianza PKI
El sistema de confianza PKI
Topologías de CA jerárquicas

• La CA de nivel más alto es la CA raíz que emite

certificados a los usuarios finales y a una CA
subordinada.

• Las CA subordinadas (sub-CAs) pueden crearse para

respaldar diversas unidades de negocio, dominios o
comunidades de confianza.

• La CA raíz mantiene la “comunidad de confianza”

establecida al asegurar que cada entidad de la jerarquía
respete un conjunto mínimo de prácticas.

• Los beneficios de esta topología incluyen el aumento en

la escalabilidad y capacidad de administración.

• Una topología jerárquica y de certificación cruzada

pueden ser combinadas para crear una infraestructura
híbrida. © 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 77
Autoridades y el sistema de confianza PKI
Interoperabilidad de los diferentes proveedores de PKI
• Existe una preocupación acerca de la interoperabilidad entre una PKI y sus servicios de
respaldo, por ejemplo el protocolo Lightweight Directory Access Protocol (LDAP) y los
directorios X.500, dado que muchos proveedores de CA han propuesto e implementado
soluciones propias en lugar de esperar a que se desarrollen estándares.
• Para dar solución a esta preocupación sobre la interoperabilidad, la IETF publicó el
framework de prácticas y políticas de certificación de PKI, de Internet X.509 (RFC 2527).
• El estándar X.509 versión 3 (X.509v3) define el formato de un certificado digital.
Nota: LDAP y X.500 son protocolos que se utilizan para consultar un servicio de directorios, como
Microsoft Active Directory, para verificar un nombre de usuario y una contraseña.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 78
Autoridades y el sistema de confianza PKI
Interoperabilidad de los diferentes proveedores de PKI
Aplicaciones de X.509v3

• SSL: Los servidores web seguros utilizan X.509 v3 para la

autenticación de sitios web en los protocolos SSL y TLS
mientras que los web browsers utilizan X.509 v3 para
implementar certificados de clientes HTTPS.

• IPsec: Las redes VPN IPsec utilizan X.509 cuando los

certificados se pueden utilizar como mecanismo de
distribución de claves públicas (IKE) para la autenticación
basada en RSA.

• S/MIME: Los agentes de correo de usuario que admiten la

protección de correo con el protocolo S/MIME utilizan
certificados X.509.

• EAP-TLS: Los switches pueden utilizar certificados para

autenticar dispositivos finales que se pueden proporcionar
a un ACS central a través del Protocolo de Autenticación
Extensible con TLS (EAP-TLS).
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 79
Las autoridades y el sistema de confianza PKI
Inscripción, Autenticación y Revocación de Certificados
• En el procedimiento de autenticación de CA, el primer paso es obtener una copia segura de la
clave pública de la CA.

• Todos los sistemas que utilizan el PKI deben tener la clave pública de la CA, que se llama
certificado autofirmado.

• La clave pública de la CA verifica todos los certificados emitidos por la CA y es vital para el correcto
funcionamiento del PKI.

• Para muchos sistemas, como los navegadores web, la distribución de los certificados de CA se
maneja automáticamente. El navegador web trae preinstalado un conjunto de certificados raíz de
CA públicos.
• Un sistema de host utiliza el proceso de inscripción de certificado para inscribirse en una PKI. Para
hacerlo, se obtienen los certificados de CA mediante la transmisión en banda en una red y la
autenticación se realiza mediante la transmisión fuera de banda (Out-of-band, OOB) utilizando el
teléfono.
Nota: Sólo una CA raíz puede emitir un certificado autofirmado que sea reconocido o verificado por otras CA dentro de la
PKI.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 80
Las autoridades y el sistema de confianza de la PKI
Inscripción, Autenticación y Revocación de certificados
• El sistema que se inscribirá en la PKI se pone en contacto con una CA para solicitar y obtener un certificado
de identidad digital para sí mismo y para obtener el certificado firmado automáticamente de la CA.

• En la etapa final, se verifica la autenticidad del certificado de CA utilizando un método fuera de banda como
POTS (Plain Old Telephone System), para obtener la huella digital del certificado de identidad válido de la
CA.

• La autenticación ya no requiere la presencia del servidor de CA y cada usuario intercambia sus certificados
que contienen las claves públicas.

• A veces, se debe revocar el certificado. Estos son dos de los métodos más comunes de revocación:

• Lista de revocación de certificados (Certificate Revocation List, CRL): Una lista de números de serie
de certificados revocados que ya no son válidos porque caducaron. Las entidades de PKI sondean
periódicamente el repositorio de CRL para recibir la CRL más actual.
• Protocolo de estado de certificado en línea (Online Certificate Status Protocol, OCSP): Un protocolo
de Internet utilizado para consultar un servidor de OCSP y comprobar el estado de revocación de un
certificado digital X.509. La información sobre revocación se publica inmediatamente en una base de
datos en línea.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 81
Las autoridades y el sistema de confianza PKI
Práctica de laboratorio: Almacenes de autoridades emisoras de
certificados
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Certificados en los que confían sus navegadores

• Búsqueda de indicios de ataques Man-in-the-middle

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 82
21.5 Aplicaciones e impacto
de la criptografía

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 83
Aplicaciones e impactos de la criptografía
Aplicaciones de PKI
A continuación, se detalla una breve lista de usos comunes de las PKI:
• Autenticación de pares basada en certificados SSL/TLS
• Asegurar tráfico de red utilizando redes VPN IPsec
• Tráfico web HTTPS
• Control de acceso a la red mediante la autenticación 802.1x
• Protección de correo electrónico utilizando el protocolo S/MIME
• Protección de mensajería instantánea
• Aprobación y autorización de aplicaciones con firma de código
• Protección de datos de usuarios con el sistema de archivos de encriptación (EFS)
• Implementación de autenticación de dos factores con tarjetas inteligentes
• Protección de dispositivos de almacenamiento USB

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 84
Aplicaciones e impactos de la criptografía
Transacciones encriptadas en la red
• Un analista de seguridad debe ser capaz de reconocer y resolver problemas potenciales vinculados a
permitir el uso de soluciones relacionadas con PKI en la red empresarial.

• Tenga en cuenta la manera en que el crecimiento del tráfico de SSL/TLS constituye un mayor riesgo
de seguridad para las empresas, ya que el tráfico está encriptado y no puede interceptarse ni
monitorearse con los métodos normales. Los usuarios pueden introducir malware o filtrar información
confidencial en una conexión SSL/TLS.
• Otros problemas relacionados con SSL/TLS pueden vincularse a la validación del certificado de un
servidor web. Cuando esto ocurre, los navegadores web muestran una advertencia de seguridad.
Algunos de los problemas relacionados con la PKI que están vinculados con advertencias de
seguridad son los siguientes:
• Plazo de validez: Los certificados X.509v3 especifican fechas de validez. Si la fecha actual está
fuera del rango, el navegador web muestra un mensaje.
• Error de validación de firma: Si un navegador no puede validar la firma en el certificado, no hay
ninguna garantía de que la clave pública en el certificado sea auténtica. Ocurrirá un error con la
validación de la firma si el certificado raíz de la jerarquía de la CA no está disponible en el almacén
de certificados del navegador. © 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 85
Aplicaciones e impactos de la criptografía
Transacciones encriptadas en la red
Error de validación de firma
• Algunos de estos problemas pueden evitarse
debido a que los protocolos SSL/TLS son
extensibles y modulares. Esto se conoce como un
conjunto de cifrado (cipher suite).
• Los componentes clave del conjunto de cifrado son:
El algoritmo de código de autenticación de
mensajes (Message Authentication Code, MAC), el
algoritmo de encriptación, el algoritmo de
intercambio de claves y el algoritmo de
autenticación.
• A medida que el criptoanálisis sigue revelando
defectos en estos algoritmos, el conjunto de cifrado
se puede actualizar para colocar parches en estos
defectos. Cuando las versiones del protocolo dentro
del conjunto de cifrado cambian, el número de
versión de SSL/TLS también lo hace.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 86
Aplicaciones e impactos de la criptografía
Encriptación y monitoreo de seguridad
• El monitoreo de red se vuelve más difícil cuando los paquetes están encriptados.

• Los analistas de seguridad deben conocer esas dificultades y abordarlas lo mejor posible.

• Por ejemplo, cuando se utilizan VPN de sitio a sitio, el IPS debe colocarse de modo que pueda
monitorear el tráfico sin encriptar. Sin embargo, el aumento de HTTPS en la red empresarial supone
nuevos desafíos.

• Los analistas de seguridad deben saber cómo evitar y resolver estos problemas. Aquí vemos una
lista de algunas de las medidas que podría tomar un analista de seguridad:
• Configurar reglas para distinguir entre tráfico SSL y no SSL, o entre tráfico SSL HTTPS y
no HTTPS.
• Aumentar la seguridad mediante la validación de certificados de servidor usando CRL y OCSP.
• Implementar protección antimalware y filtrado URL de contenido HTTPS.
• Implementar un dispositivo Cisco SSL Appliance para desencriptar el tráfico SSL y enviarlo a
dispositivos de un sistema de prevención de intrusiones (IPS) para identificar riesgos normalmente
ocultos para SSL.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 87
Aplicaciones e impactos de la criptografía
Encriptación y monitoreo de seguridad
• La criptografía es dinámica y siempre cambia. Un analista de seguridad debe comprender
bien los algoritmos y las operaciones criptográficas para poder investigar los incidentes de
seguridad relacionados con la criptografía.
• Hay dos maneras principales en las que la criptografía afecta las investigaciones de
seguridad.
• En primer lugar, los ataques pueden dirigirse específicamente a los algoritmos de
encriptación propiamente dichos.
• Después de que el algoritmo es hackeado y el atacante obtiene las claves, es posible
desencriptar y leer todos los datos encriptados que recopile el atacante, lo que expone los
datos privados.
• Luego de esto, la investigación de seguridad también se ve afectada porque los datos se
pueden ocultar a plena vista, encriptándolos.

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 88
21.6 Resumen: Criptografía
de clave pública

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 89
Resumen de criptografía de clave pública
¿Qué aprendimos en este módulo?
• Los cuatro elementos de las comunicaciones seguras son: integridad de datos, autenticación
de origen, confidencialidad de datos y no repudio de datos.
• Una función de hash toma un bloque variable de datos binarios, llamado mensaje, y produce
una representación condensada de longitud fija, denominada hash.
• Hay dos clases de encriptación utilizadas para brindar confidencialidad de los datos:
asimétrica y simétrica.
• Los algoritmos de encriptación simétricos como DES, 3DES y el estándar AES se basan en
la premisa de que cada parte que se comunica conoce la clave pre-compartida. Los
algoritmos asimétricos, también llamados algoritmos de claves pública, están diseñados para
que la clave de encriptación y la de desencriptación sean diferentes.
• La confidencialidad de los datos también se puede garantizar utilizando algoritmos
asimétricos, incluidos Rivest, Shamir, Aldeman (RSA), y PKI. El proceso se puede resumir
mediante la fórmula: Clave pública (Encriptar) + Clave privada (Desencriptar) =
Confidencialidad
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 90
Criptografía de clave pública, Resumen
¿Qué aprendimos en este módulo?
• El objetivo de autenticación de los algoritmos asimétricos se inicia cuando comienza el proceso de
encriptación con la clave privada. El proceso se puede resumir mediante la fórmula: Clave privada
(Encriptar) + Clave pública (Desencriptar) = Autenticación.
• Diffie-Hellman (DH) es un algoritmo de ecuación matemática asimétrico que permite que dos
computadoras generen una clave secreta idéntica compartida sin antes haberse comunicado.
• Las firmas digitales son una técnica matemática empleada para brindar tres servicios de seguridad
básicos: autenticidad, integridad, y no repudio. Las firmas digitales se utilizan comúnmente en la
firma de código y los certificados digitales.
• La infraestructura de claves públicas (PKI) consiste en especificaciones, sistemas, y herramientas
que se utilizan para crear, administrar, distribuir, utilizar, almacenar, y revocar certificados digitales.
• Hay muchos usos comunes de PKI, incluidos algunos mencionados aquí: autenticación de pares
basada en certificados SSL/TLS, tráfico web HTTPS, mensajes instantáneos seguros y protección
de dispositivos de almacenamiento USB.
• Un analista de seguridad debe ser capaz de reconocer y resolver problemas potenciales
relacionados a permitir el uso de soluciones relacionadas con PKI en la red empresarial.
© 2020 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 91