Modulo 21

Esteban Zuñiga C
La entrada puede ser de cualquier longitud. La salida tiene una longitud fija. Si una función de hash es difícil de invertir, se
considera un hash unidireccional. Difícil de invertir significa que dado un valor hash de h, es computacionalmente inviable
encontrar una entrada para x tal que h=h .

Existen tres funciones de hash muy conocidas

MD5 with 128-bit digest - Desarrollada por Ron Rivest y utilizada en una variedad de aplicaciones de Internet, MD5 es una
función unidireccional que produce un mensaje hash de 128- bits. Es muy similar a las funciones de hash MD5. SHA-1 crea un
mensaje hash de 160 bits y es un poco más lento que MD5. SHA-3 - SHA-3 es el algoritmo hash más nuevo y fue introducido por
el Instituto Nacional de Estándares y Tecnología como una alternativa y eventual sustitución para la familia SHA-2 de algoritmos
hash.

Mientras que el hash se puede utilizar para detectar modificaciones accidentales, no brinda protección contra cambios deliberados
hechos por un agente de amenaza. No existe información de identificación única del emisor en el procedimiento de hash. Esto
significa que cualquier persona puede calcular un hash para cualesquiera sean los datos, siempre y cuando tengan la función de
hash correcta. Por ejemplo, cuando un mensaje pasa por la red, un atacante potencial puede interceptarlo, cambiarlo, o recalcular
el hash y añadirlo al mensaje.
El dispositivo receptor solo validará el hash que esté añadido. Por lo tanto, el hash es vulnerable a los ataques man-in-the-middle
y no proporciona seguridad a los datos transmitidos. Los algoritmos de encriptación simétrica, como Encriptado Estandar de
datos , 3DES y Encriptado Avanzado de Datos se basan en la premisa de que cada parte que se comunica conoce la clave
precompartida. La confidencialidad de los datos también se puede garantizar utilizando algoritmos asimétricos, incluidos
Rivest, Shamir, Adleman y la Infraestructura de Clave Pública .

Los algoritmos simétricos utilizan la misma clave pre-compartida para encriptar y desencriptar datos. Antes de que ocurra
cualquier comunicación encriptada, el emisor y el receptor conocen la clave pre-compartida, también llamada clave secreta. Para
ayudar a ejemplificar cómo funciona la encriptación simétrica, los algoritmos de encriptación simétrica suelen utilizarse con el
tráfico de VPN. Esto se debe a que los algoritmos simétricos utilizan menos recursos de CPU que los algoritmos de encriptación
asimétrica.

Esto permite cifrar y descifrar datos rápidamente cuando se utiliza una VPN. Al utilizar algoritmos de encriptación
simétrica, como ocurre con cualquier otro tipo de encriptación, mientras más prolongada sea la clave, más tiempo demorará
alguien en descubrirla. Para garantizar que la encriptación sea segura, se recomienda una longitud mínima de clave de 128
bits. Los cifrados de flujo suelen ser más rápidos que los cifrados por bloques, debido a que los datos se encriptan
continuamente.
3DES

El es el reemplazo de DES y repite el proceso del algoritmo DES tres veces.

Algoritmos de Rivest ciphers

Los algoritmos asimétricos utilizan una clave pública y una privada. Ambas claves son capaces de encriptar, pero se requiere la
clave complementaria para la desencriptación. Los datos encriptados con la clave privada requieren la clave pública para
desencriptarse. Debido a que ninguna de las partes comparte un secreto, deben usarse longitudes de clave muy prolongadas.

Longitudes de clave mayores o iguales a 2048 bits son confiables, y mientras que las claves de 1024 bits o más cortas se
consideran insuficientes.

Intercambio de Claves de Internet - Es un componente fundamental de las VPN con IPsec. Los algoritmos asimétricos son
sustancialmente más lentos que los simétricos. Dado que son lentos, los algoritmos asimétricos se utilizan típicamente en
criptografías de poco volumen, como las firmas digitales y el intercambio de claves. Sin embargo, la gestión de claves de
algoritmos asimétricos tiende a ser más simple que la de algoritmos simétricos porque, generalmente, es posible hacer pública una
de las dos claves de encriptación o desencriptación.
Diffie-Hellman

El algoritmo Diffie-Hellman permite que dos partes acuerden una clave que pueden utilizar para encriptar los mensajes que quieren enviarse.

Estándar de firmas digitales y Algoritmo de firmas digitales

DSS especifica DSA como el algoritmo para firmas digitales. DSA es un algoritmo de clave pública basado en el esquema de firmas ElGamal.

Entre 512 y 2048

RSA es usado para criptografía de clave pública que se basa en la dificultad actual de factorización de números muy grandes. Es el primer algoritmo apto tanto para
firmas, así como para encriptación.

EIGamal

Un algoritmo de encriptación de claves asimétrico para criptografía de claves públicas basado en el acuerdo de claves Diffie-Hellman.

224 o superior

El objetivo de confidencialidad de los algoritmos asimétricos se inicia cuando comienza el proceso de encriptación con la clave pública.

•Se intercambian datos de SSH

Diffie-Hellman utiliza grupos de DH diferentes para determinar la solidez de la clave que se utiliza en el proceso de acuerdo de clave. Los grupos superiores de
números son más seguros, pero requieren tiempo adicional para calcular la clave.
los sistemas de clave asimétrica son extremadamente lentos para cualquier tipo de encriptación masiva. Por esto, es común
encriptar la mayor parte del tráfico utilizando un algoritmo simétrico y dejar el algoritmo de DH para crear claves que serán
utilizadas por el algoritmo de encriptación. El tráfico de Internet se compone de tráfico entre dos participantes. Cuando se
establece una conexión asimétrica entre dos hosts, estos intercambian su información de clave pública.

Un certificado SSL es un certificado digital que confirma la identidad de un dominio de sitio web. Para implementar SSL en un
sitio web propio, debemos comprar un certificado SSL para nuestro dominio a un proveedor de Certificados SSL. Cuando las
computadoras intentan conectarse a un sitio web a través de HTTPS, el navegador web comprueba el certificado de seguridad del
sitio web y comprueba que es válido y se originó con una CA de confianza. Esto valida que la identificación del sitio web es
verdadera.

El certificado se guarda localmente por el navegador web y luego se utiliza en transacciones posteriores. La clave pública del sitio
web se incluye en el certificado y se utiliza para verificar futuras comunicaciones entre el sitio web y el cliente. Consiste en el
hardware, software, personas, políticas y los procedimientos necesarios para crear, administrar, almacenar, distribuir y revocar
certificados digitales. Las CA, especialmente aquellas tercerizadas, emiten certificados basados en clases que determinan cuán
confiable es un certificado.
El número de clase es determinado por el nivel de rigurosidad del procedimiento al momento de verificar la identidad del titular
cuando se emitió el certificado. Cuanto mayor sea el número de clase, más confiable será el certificado. Por lo tanto, un
certificado de clase 5 es mucho más confiable que un certificado de una clase inferior. Se utiliza para organizaciones privadas o
agencias de seguridad gubernamentales.

Como se ve en la figura abajo, una sola CA, llamada la CA raíz, emite todos los certificados a los usuarios finales, que suelen
encontrarse dentro de la misma organización. Topologías de CA con certificación cruzada - Como se ve en la figura abajo, este es
un modelo punto a punto en el que las CA individuales establecen relaciones de confianza con otras CA mediante la certificación
cruzada de certificados de CA. Puede emitir certificados a usuarios finales y a una CA secundaria. 509 versión 3 define el formato
de un certificado digital.

En el procedimiento de autenticación de CA, el primer paso es obtener una copia segura de la clave pública de la CA. Todos los
sistemas que utilizan el PKI deben tener la clave pública de la CA, que se llama certificado autofirmado. La clave pública de la
CA verifica todos los certificados emitidos por la CA y es vital para el correcto funcionamiento del PKI. Para muchos
sistemas, como los navegadores web, la distribución de los certificados de CA se maneja automáticamente.

El navegador web trae preinstalado un conjunto de certificado raíz de CA públicos. Las organizaciones y sus dominios de sitios
web envian sus certificados públicos a los visitantes del sitio web. Las CA y los registradores de dominios de certificados crean y
distribuyen certificados privados y públicos a los clientes que compran certificados. Un sistema de host utiliza el proceso de
inscripción de certificado para inscribirse en una PKI.
Para hacerlo, se obtienen los certificados de CA transmisión en banda en una red y la autenticación se realiza en transmisión fuera
de banda utilizando el teléfono. El sistema que se inscribirá en la PKI se pone en contacto con una CA para solicitar y obtener un
certificado de identidad digital para sí mismo y para obtener el certificado autofirmado de la CA. En la etapa final, se verifica la
autenticidad del certificado de CA utilizando un método fuera de banda como el Sistema de Servicio Telefónico Analógico , para
obtener la huella digital del certificado de identidad válido de CA. La autenticación ya no requiere la presencia del servidor de CA
y cada usuario intercambia sus certificados que contienen las claves públicas.

A veces, se debe revocar el certificado. Por ejemplo, un certificado digital se puede revocar si la clave está en riesgo o si ya no es
necesario.

Estos son dos de los métodos más comunes de revocación

Lista de revocación de certificado - Una lista de números de serie de certificados revocados que ya no son válidos porque
caducaron. Protocolo de estado de certificado en línea Un protocolo de Internet utilizado para consultar un servidor de OCSP y
comprobar el estado de revocación de un certificado digital X. .

Tenga en cuenta la manera en que el crecimiento del tráfico de SSL/TLS constituye un riesgo grave de seguridad para las
empresas, ya que el tráfico está encriptado y no puede interceptarse ni monitorearse con los métodos normales. Otros problemas
relacionados con SSL/TLS pueden vincularse a la validación del certificado de un servidor web. Los certificados caducados
pueden deberse simplemente a una distracción del administrador, pero también pueden reflejar problemas más graves. Error de
validación de firma - Si un navegador no puede validar la firma en el certificado, no hay ninguna garantía de que la clave pública
en el certificado sea auténtica.
Ocurrirá un error con la validación de la firma si el certificado raíz de la jerarquía de la CA no está disponible en el almacén de
certificados del navegador. Por ejemplo, cuando se utilizan VPN de sitio a sitio, el IPS debe colocarse de modo que pueda
monitorear el tráfico sin encriptar. Dado que HTTPS introduce tráfico HTTP encriptado de punto a punto , no es tan fácil observar
el tráfico de los usuarios. Configurar reglas para distinguir entre tráfico SSL y no SSL, o entre tráfico SSL de HTTPS y no
HTTPS.

Aumentar la seguridad mediante la validación de certificados de servidor usando CRL y OCSP. Implementar un dispositivo Cisco
SSL para desencriptar el tráfico SSL y enviarlo a dispositivos de Sistema de Prevención de Intrusiones para identificar riesgos
normalmente ocultos para SSL. Por ejemplo, es muy probable que un firewall no vea el tráfico de control y comando que se
encripte con TLS/SSL. Si no es posible ver y comprender el tráfico de control y comando entre un servidor de control y comando
y una computadora infectada en una red segura, tampoco se puede detener.

Es posible detectar este tipo de tráfico si se desencripta el tráfico y se lo compara con firmas de ataques conocidos, o si se detecta
tráfico anómalo de TLS/SSL.