ENCRIPTACIÓN Criptología

Transcripción

1 Capítulo 8 ENCRIPTACIÓN En toda esta discusión acerca de la codificación, no se ha mencionado lo que se popularmente se supone es el propósito de codificar: Seguridad. Hasta ahora se ha considerado la codificación como un mecanismo para mejorar la inmunidad del sistema de comunicación en presencia de ruido. El uso de la codificación para seguridad tiene un nombre diferente: Encriptación. El uso de computadoras ha hecho de la comunicación altamente segura una ocurrencia normal. Es más fácil encriptar que descifrar, su operación inversa. El principio simplemente es el de una cerradura con clave. En una computadora, el número de dígitos de la clave puede ser muy grande. Claro, todavía tiene que guardarse la combinación de la clave! 8.1. Criptología Se entiende por criptología el estudio y práctica de los sistemas de cifrado destinados a ocultar el contenido de mensajes enviados entre dos partes: emisor y receptor. La criptografía es la parte de la criptología que estudia como cifrar efectivamente los mensajes. Esto que así dicho parece no revestir mayor importancia, se ha convertido en pieza clave de un debate que ha desbordado muchos foros restringidos, hasta configurarse como uno de los focos de mayor atención de la mayoría de los gobiernos del planeta: En algunos países está directamente prohibido el uso de encriptación de mensajes (como Francia o China, por ejemplo), en otros como Estados Unidos está fuertemente controlado, impidiéndose la exportación de programas encriptadores al considerarse por el Acta de Control de Exportación de Armas (Arms Export Control Act) como incluida en su lista, junto a misiles, bombas y armamento diverso. Hay muchos países que, aunque en su territorio nacional permiten el uso de la criptología, desean que estos programas incluyan una puerta trasera (backdoor) o procedimiento parecido para poder intervenir el mensaje cuando así lo consideren oportuno: Es el caso del famoso chip de depósito de claves o Chip Clipper, para encriptar conversaciones telefónicas (los dos teléfonos participantes en una conversación deben tenerlo). Todo esto nos lleva directamente al enfrentamiento privacidad en las comunicaciones - control gubernamental, lo que se denomina control del Gran Hermano 1. Lo cual desemboca en la posible violación de derechos fundamentales de las personas, como es el derecho a la Libertad de Expresión, que difícilmente se puede conseguir si cuando nos comu- 1 aunque esta expresión se utiliza, también, para denominar a esa especie de ojo vigilante, que presuntamente nos acecha continuamente y cuyo origen es indeterminado: Gobiernos, espías de distinto grado, fisgones o meros curiosos

2 CAPÍTULO 8. ENCRIPTACIÓN 159 nicamos con alguien no sabemos quien o quienes pueden realmente leer el mensaje, y el Derecho a la Privacidad. Problema que se agrava en Internet, ya que los mensajes se pueden quedar en el ciberespacio por tiempo indefinido, sin tener nosotros siquiera conciencia de ello o de donde estará efectivamente copiada o almacenada nuestra comunicación. La cuestión es conseguir que aunque nuestros mensajes puedan ser interceptados, resulten totalmente ininteligibles. Y esto se consigue con la criptología. No estamos ante un problema trivial: es de vital importancia para que se desarrolle el comercio seguro en Internet, para los grupos defensores de los Derechos Humanos o para las comunicaciones entre abogados y sus clientes, por indicar algunos de los cientos de ejemplos posibles. La colisión de intereses que se produce es, por un lado el Derecho a la Intimidad y a la Privacidad, y por otro, el deseo de los Cuerpos de Seguridad de que no exista información a la que no puedan tener acceso. Se promete interesante el debate en muchos países, como el que hay actualmente en discusión: Por un lado los defensores de la Privacidad y, por otro, cifras como las que presenta el FBI (sin llevar a cabo la totalidad de las llamadas realizadas en USA): Entre y 1.994, las escuchas ordenadas judicialmente formaron parte de las pruebas que concluyeron en sentencias, supusieron casi 600 millones de dólares en multas y más de millones de dólares en recuperaciones y embargos ordenados por los jueces. Esto se imposibilitaría con el uso de encriptación fuerte. Criptografía Se entiende por Criptografía 2 la técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello, que llamaremos criptograma o texto cifrado. El método o sistema empleado para encriptar el texto en claro se denomina algoritmo de encriptación. La base de las Criptografía suele ser la aplicación de problemas matemáticos de difícil solución a aplicaciones específicas, denominándose criptosistema o sistema de cifrado a los fundamentos y procedimientos de operación involucrados en dicha aplicación. Criptografía clásica El cifrado de textos es una actividad que ha sido ampliamente usada a lo largo de la historia humana, sobre todo en el campo militar y en aquellos otros en los que es necesario enviar mensajes con información confidencial y sensible a través de medios no seguros. Aunque en cierta forma el sistema de jeroglíficos egipcio puede considerarse ya una forma de criptografía (sólo podían ser entendidos por personas con conocimientos suficientes), el primer sistema criptográfico como tal conocido se debe a Julio Cesar. Su sistema consistía en reemplazar en el mensaje a enviar cada letra por la situada tres posiciones por delante en el alfabeto latino. En nuestro alfabeto actual tendríamos la siguiente tabla de equivalencias: A B C D E F G H I... D E F G H I J K L... Por lo que el mensaje HOLA MUNDO se transformaría en KRQD OXPGR. Para volver al mensaje original desde el texto cifrado tan sólo hay que coger un alfabeto e ir sustituyendo cada letra por la que están tres posiciones antes en el mismo. Este sistema fue innovador en su época, aunque en realidad es fácil de romper, ya en todo sistema de trasposición simple sólo hay un número de variaciones posible igual al de letras que formen el alfabeto (27 en este caso). Este fue el primer sistema criptográfico conocido, y a partir de él, y a lo largo de la historia, aparecieron otros muchos sistemas, basados en técnicas criptológicas 2 Kriptos=ocultar, Graphos=escritura

3 CAPÍTULO 8. ENCRIPTACIÓN 160 diferentes. Entre ellos caben destacar los sistemas monoalfabéticos (parecidos al de Julio Cesar, pero que transforman cada letra del alfabeto original en la correspondiente de un alfabeto desordenado Dos de los sistemas generales de ocultación que conforman la base de muchos de los sistemas criptográficos actuales. Son la sustitución y la permutación. La sustitución consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición natural en el alfabeto. No es necesario que el alfabeto equivalente esté ordenado naturalmente, si no que puede estar en cualquier otro orden. Sólo sé exige que tenga todos y cada uno de los elementos del alfabeto original. Este tipo de sustituciones se denomina monoalfabético, pero existen métodos más eficaces, como los polialfabéticos, en los que existen varios alfabetos de cifrado, que se emplean en rotación. La trasposición en cambio consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición en el orden del mensaje. Tanto la sustitución como la trasposición son técnicas básicas para ocultar la redundancia en un texto plano, redundancia que se transmite al texto cifrado, y que puede ser el punto de partida para un ataque por Criptoanálisis. La redundancia es el hecho de que casi todos los símbolos de un mensaje en lenguaje natural contienen información que se puede extraer de los símbolos que le rodean. Clave Se debe implementar un mecanismo de sustitución o de permutación basado en una palabra o serie fácil de recordar. Por ejemplo, podemos establecer un mecanismo criptográfico que se base en una palabra corta. Consideremos que queremos cifrar la frase HOLA MUNDO basándonos en la palabra HTML. Para ello escribimos una tabla o matriz con tantas columnas como letras tenga la palabra elegida, y colocamos en la fila superior dicha palabra. El mensaje a cifrar lo vamos situando en las filas siguientes consecutivamente y si sobran celdas las dejamos vacías: H T M L H O L A M U N D O El paso siguiente será cambiar el orden de las filas, por ejemplo ordenando la palabra elegida en orden alfabético, con lo que nuestra tabla nos queda: H L M T H A L O M D N U O Por último, podemos transformar las filas de la tabla en columnas: H H M O L A D M L N T O U Y ya sólo nos queda obtener el nuevo mensaje, leyendo las filas obtenidas: Transformación: HOLA MUNDO HHMO LAD MLN TOU. Para desencriptar el texto cifrado habrá que realizar las operaciones anteriores en sentido inverso.

4 CAPÍTULO 8. ENCRIPTACIÓN 161 El uso de una palabra o serie determinada como base de un sistema de cifrado posee la ventaja de que, si el sistema es complejo, tan sólo será fácil obtener el texto en claro a quién sepa dicha palabra, además de ser fácil de recordar. Esta palabra o serie base del mecanismo de cifrado se denomina clave de cifrado, y el número de letras que la forman se llama longitud de la clave. Indudablemente, cuanto más complicado sea el mecanismo de cifrado y cuanto más larga sea la clave, más difícil será romper el sistema y obtener el mensaje original para un extraño. Pero más complicado será también para el destinatario del mensaje cifrado realizar las operaciones de descifrado y obtener el mensaje original, por lo que se crea el dilema seguridad / tiempo. Las claves de encriptación van a ser la base fundamental de los modernos sistemas criptográficos, basados en operaciones matemáticas generalmente muy complejas. Criptografía moderna Los sistemas criptográficos clásicos presentaban una dificultad en cuanto a la relación complejidad-longitud de la clave / tiempo necesario para encriptar y desencriptar el mensaje. En la era moderna esta barrera clásica se rompió, debido principalmente a los siguientes factores: Velocidad de cálculo: con la aparición de los computadores se dispuso de una potencia de cálculo muy superior a la de los métodos clásicos. Avance de las matemáticas: que permitieron encontrar y definir con claridad sistemas criptográficos estables y seguros. Necesidades de seguridad: surgieron muchas actividades nuevas que precisaban la ocultación de datos, con lo que la Criptología experimentó un fuerte avance. A partir de estas bases surgieron nuevos y complejos sistemas criptográficos, que se clasificaron en dos tipos o familias principales, los de clave simétrica y los de clave pública. Los modernos algoritmos de encriptación simétricos mezclan la trasposición y la permutación, mientras que los de clave pública se basan más en complejas operaciones matemáticas. Criptografía simétrica Incluye los sistemas clásicos, y se caracteriza por que en ellos se usa la misma clave para encriptar y para desencriptar, motivo por el que se denomina simétrica. Figura 8.1: Toda la seguridad de este sistema está basada en la llave simétrica, por lo que es misión fundamental tanto del emisor como del receptor conocer esta clave y mantenerla en secreto. Si la llave cae en manos de terceros, el sistema deja de ser seguro, por lo que habría que desechar dicha llave y generar una nueva. Para que un algoritmo de este tipo sea considerado fiable debe cumplir varios requisitos básicos: Conocido el criptograma (texto cifrado) no se pueden obtener de él ni el texto en claro ni la clave.

5 CAPÍTULO 8. ENCRIPTACIÓN 162 Conocidos el texto en claro y el texto cifrado debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros. Generalmente el algoritmo de encriptación es conocido, se divulga públicamente, por lo que la fortaleza del mismo dependerá de su complejidad interna y sobre todo de la longitud de la clave empleada, ya que una de las formas de criptoanálisis primario de cualquier tipo de sistema es la de prueba-ensayo, mediante la que se van probando diferentes claves hasta encontrar la correcta. Los algoritmos simétricos encriptan bloques de texto del documento original, y son más sencillos que los sistemas de clave pública, por lo que sus procesos de encriptación y desencriptación son más rápidos. Todos los sistemas criptográficos clásicos se pueden considerar simétricos, y los principales algoritmos simétricos actuales son DES, IDEA y RC5. Actualmente se está llevando a cabo un proceso de selección para establecer un sistema simétrico estándar, que se llamará AES (Advanced Encryption Standart), que se quiere que sea el nuevo sistema que se adopte a nivel mundial. Las principales desventajas de los métodos simétricos son la distribución de las claves, el peligro de que muchas personas deban conocer una misma clave y la dificultad de almacenar y proteger muchas claves diferentes. CRIPTOGRAFÍA DIGITAL La aparición de la computadoras y su capacidad de procesamiento hizo que la criptografía se hiciera digital. Los algoritmos de encriptación comúnmente usados son los bloques cifrados. Esto significa que el algoritmo divide el texto plano (la secuencia a ser encriptada) en bloques de longitud fija los cuales son dependientes de varias funciones, para producir un bloque de textos cifrados. Las funciones más comunes son las permutaciones, que pueden ser por expansión o por compresión, y las transformaciones de intercambio directas. En la permutación directa, se reordenan los bits de un bloque de longitud K. En la expansión, tal como se reordenaron, el grupo de K bits se convierte en L bits (L > K), con algunos bits duplicados. En la compresión, el bloque de K bits se convierte en un bloque de K p bits K p < K, sin usar algunos los bits de la fuente (Figura 7.43). Figura 8.2: En 1976, IBM desarrollo un sistema criptográfico denominado estándar de encriptación de datos (Data Encryption Standard DES), que luego fue aprobado por la Oficina de Estandarización de los Estados Unidos, y es la técnica más ampliamente usada de encriptación. DES se basa en complicados sistemas matemáticos de sustitución y transposición, los cuales hacen que sea particularmente difícil de romper. Sin embargo, DES depende de que tanto el que envía el mensaje como el que lo recibe conozcan la clave con la cual fue encriptada y en este sentido se parece al sistema usado por los

6 CAPÍTULO 8. ENCRIPTACIÓN 163 espartanos, que necesitaban tener el cilindro con el cual se había codificado el texto para poder leerlo. En el caso de DES, al cilindro se le denomina llave. La seguridad de esta llave depende de su tamaño. Cuando tenemos un mensaje cifrado hay un número p i de posibilidades de descubrir la llave con la cual se encriptó. Así, la confiabilidad de una llave depende de que ese número p i sea tan alto que a un agresor le tome demasiado tiempo probar todas las posibilidades. El estándar DES usa entonces una llave de 56 bits para realizar la sucesión de operaciones de transposición y substitución. Esta clave de 56 bits tiene 7,2x10 15 posibles combinaciones. Asumiendo que una computadora eficiente puede intentar 10 8 combinaciones por segundo, le tomaría unos 20 años para romper el código. Si el código se cambia una vez por año, hay una pequeña probabilidad de que ésta se rompa, a menos que el que la vaya a romper tenga información adicional. El DES es un bloque cifrado, puesto que convierte 64 bits de texto plano en 64 bits de texto cifrado. El receptor usa la misma clave para descifrar el texto cifrado en uno plano. Para leer un mensaje cifrado con DES es necesario usar la misma llave con la cual se encriptó, lo cual lo hace poco práctico e inseguro en el caso de transacciones comerciales virtuales, porque la propia llave debería transmitirse por medios electrónicos. La dificultad con este método es que cada bloque es independiente. Esto permite a cualquier interceptor en posesión de la clave introducir bloques adicionales sin que el receptor sea consciente de este hecho. Además, el mismo texto plano generará el mismo texto cifrado, un aspecto valioso para quien intente romper el código. Estas desventajas se eliminan al encadenar el código. El encadenamiento describe el proceso de realizar sumas módulo 2 entre el texto plano de un bloque y el texto cifrado del bloque anterior. De esta manera no es posible introducir los bloques en una tendencia transparente, y las repeticiones del mismo textos planos generan diferentes textos cifrados. Como la combinación de una cerradura, el sistema es seguro sólo si la clave es segura. Si la clave se cambia a menudo, su seguridad se vuelve un problema, porque la transferencia de la clave entre el transmisor y el receptor puede que no sea segura. Esto se evita con la criptografía de Llave Pública, bajo el uso de claves compatibles. Bajo este sistema existen dos llaves: una privada y otra pública. La encriptación no es reversible con la misma clave. Cuando A quiere enviar un mensaje a B, le solicita su llave pública (que como su nombre lo indica puede ser conocida por todo el mundo). Con la llave pública A encripta el mensaje y lo envía a B, que luego procede a descifrarlo aplicándole su llave privada, que no debe dar a conocer a nadie. Esta nueva secuencia es ininteligible a cualquiera que no posea la clave privada. De esta manera la clave privada no necesita transferirse. La ventaja de este método es que no requiere que ambas partes conozcan la llave privada. Las implementaciones más conocidas de la criptografía de Llave Pública es el RSA y PGP. En 1977, Rivest, Shamir y Adelman desarrollaron RSA y publicaron el algoritmo de encriptación, a pesar de la oposición del gobierno norteamericano, que considera la criptografía un asunto de estado. Este algoritmo se basa en el uso de multiplicar números sumamente grandes y, con la tecnología actual, es computacionalmente costoso. Más tarde la patente de RSA pasa al Instituto Tecnológico de Massachusetts (MIT) que luego la cede a un grupo denominado PKP (Public Key Partners). En 1991, el programador Phil Zimmermann autoriza la publicación en boletines electónicos y grupos de noticias un programa desarrollado por él y que denominó Pretty Good Privacy (PGP). PGP se basa en los algoritmos de RSA publicados en A pesar de las amenazas de demandas, PGP sigue creciendo y hoy por hoy es el standard de encriptamiento más difundido a nivel mundial.

7 CAPÍTULO 8. ENCRIPTACIÓN 164 Criptografía de clave pública También llamada asimétrica, se basa en el uso de dos claves diferentes, claves que poseen una propiedad fundamental: una clave puede desencriptar lo que la otra ha encriptado. Generalmente una de las claves de la pareja, denominada clave privada, es usada por el propietario para encriptar los mensajes, mientras que la otra, llamada clave pública, es usada para desencriptar el mensaje cifrado. Las claves pública y privada tienen características matemáticas especiales, de tal forma que se generan siempre a la vez, por parejas, estando cada una de ellas ligada intrínsecamente a la otra, de tal forma que si dos llaves públicas son diferentes, entonces sus llaves privadas asociadas también lo son, y viceversa. Los algoritmos asimétricos están basados en funciones matemáticas fáciles de resolver en un sentido, pero muy complicadas de realizar en sentido inverso, salvo que se conozca la clave privada, como la potencia y el logaritmo. Ambas claves, pública y privada, están relacionadas matemáticamente, pero esta relación debe ser lo suficientemente compleja como para que resulte muy difícil obtener una a partir de la otra. Este es el motivo por el que normalmente estas claves no las elige el usuario, si no que lo hace un algoritmo específico para ello, y suelen ser de gran longitud. Mientras que la clave privada debe mantenerla en secreto su propietario, ya que es la base de la seguridad del sistema, la clave pública es difundida ampliamente por Internet, para que esté al alcance del mayor número posible de personas, existiendo servidores que guardan, administran y difunden dichas claves. Figura 8.3: Para que un algoritmo de clave pública sea considerado seguro debe cumplir: Conocido el texto cifrado no debe ser posible encontrar el texto en claro ni la clave privada. Conocido el texto cifrado (criptograma) y el texto en claro debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros. Conocida la clave pública y el texto en claro no se puede generar un criptograma correcto encriptado con la clave privada. Dado un texto encriptado con una clave privada sólo existe una pública capaz de desencriptarlo, y viceversa. La principal ventaja de los sistemas de clave pública frente a los simétricos es que la clave pública y el algoritmo de cifrado son o pueden ser de dominio público y que no es necesario poner en peligro la clave privada en tránsito por los medios inseguros, ya que ésta está siempre oculta y en poder únicamente de su propietario. Como desventaja, los sistemas de clave pública dificultan la implementación del sistema y son mucho más lentos que los simétricos.

8 CAPÍTULO 8. ENCRIPTACIÓN 165 Generalmente, y debido a la lentitud de proceso de los sistemas de llave pública, estos se utilizan para el envío seguro de claves simétricas, mientras que éstas últimas se usan para el envío general de los datos encriptados El primer sistema de clave pública que apareció fue el de Diffie-Hellman, en 1976, y fue la base para el desarrollo de los que después aparecieron, entre los que cabe destacar el RSA (el más utilizado en la actualidad). Sistemas mixtos En muchas ocasiones se implementan sistemas criptográficos mixtos, en los que se usa la llave pública del receptor para encriptar una clave simétrica que se usará en el proceso de comunicación encriptada. De esta forma se aprovechan las ventajas de ambos sistemas, usando el sistema asimétrico para el envío de la clave sensible y el simétrico, con mayor velocidad de proceso, para el envío masivo de datos. Firma digital El esquema básico de una firma digital es el siguiente: Figura 8.4: El proceso de firma digital consta de dos partes bien diferenciadas: 1. Proceso de Firma: en el que el emisor encripta el documento con su llave privada, enviando al destinatario tanto el documento en claro como el encriptado. 2. Proceso de Verificación de la Firma: el receptor desencripta el documento cifrado con la clave pública de A y comprueba que coincide con el documento original, lo que atestigua de forma total que el emisor del mismo ha sido efectivamente A. El método de la firma digital no sólo proporciona autenticidad al mensaje enviado por A, si no que también asegura el no repudio, ya que sólo el dueño de una llave privada puede encriptar un documento de tal forma que se pueda desencriptar con su llave pública, lo que garantiza que ha sido A y no otro el que ha enviado dicho documento. Asimismoproporciona Integridad de datos, ya que si el documento fuera accedido y modificado en el camino el resumen del documento cambiaría también. La firma digital suele usarse en comunicaciones en las que no existe una confianza inicial total entre los comunicantes. Se usan para autentificar mensajes, para validar compras por Internet, para realizar transferencias de fondos bancarios y para otras transacciones de negocios. Fundamentos matemáticos Los sistemas criptográficos modernos, tanto si son de clave simétrica como de llave pública, para ser considerados como tales deben cumplir una serie de requisitos que los hagan seguros, reversibles y viables. Para obtener sistemas que cumplan estas condiciones

9 CAPÍTULO 8. ENCRIPTACIÓN 166 se ha desarrollado un campo matemático completo, la Teoría de Códigos, basada en el álgebra de los sistemas discretos y en las clases residuales de módulo dado, que sirve para definir alfabetos y funciones que permiten obtener sistemas robustos. Generalmente, todo sistema criptográfico se basa en la obtención de un conjunto de elementos, llamados letras o símbolos, que forman un conjunto finito llamado alfabeto fuente, y en una función de transformación de dichos símbolos en otros pertenecientes a un conjunto imagen denominado código. A la función de transformación se le llama función de codificación, f k, y a las sucesiones finitas de elementos del alfabeto fuente se les denominan palabras. En general, habrá una función de codificación f k para cada valor de la clave k, definiendo éstas como el conjunto de claves del sistema, K. Si consideramos ahora otro conjunto de símbolos A y el conjunto asociado A* de todas las palabras posibles que se pueden formar con las letras de A, se denomina código C a todo subconjunto finito de éste. Si C está formado por palabras de longitud fija n, a n se le llama longitud del código C, y a sus elementos n-palabras. Y si C está formado por m elementos, se dice entonces que C es un (n,m) código. Se define un criptosistema como una quintupla (M,C,K,E,D), donde: M representa el conjunto de todos los mensajes sin cifrar (texto plano) que pueden ser enviados. C representa el conjunto de todos los posibles mensajes cifrados (criptogramas). K representa el conjunto de claves que se pueden emplear en el criptosistema. E es el conjunto de las transformaciones de cifrado, es decir, el conjunto de funciones matemáticas que se aplican a cada elemento de M para obtener un elemento de C. Existe una transformación diferente Ek para cada valor de la clave k. D es el conjunto de transformaciones de descifrado, análogo al conjunto E. Con esta nomenclatura, todo sistema de cifrado debe cumplir la condición: Dk(Ek(m)) = m f debe ser una aplicación uno a uno. La exigencia de ser biyectiva se traduce en evitar errores, en que la codificación de un mensaje sea única, y su decodificación también. No obstante, muchos sistemas criptográficos implementan una serie de elementos para la identificación y corrección de errores, ya que durante su viaje por el medio los datos pueden sufrir tales alteraciones que la decodificación resulte incorrecta. Una función de codificación debe ser tal que con ella obtener las imágenes en el código de los elementos del alfabeto fuente sea un proceso simple y rápido, pero la operación contraria, obtener elementos del alfabeto fuente a partir de sus imágenes en el código, si no se conocen ciertos datos (la clave) debe resultar lo más complicado posible. Ese es el verdadero sentido de una buena función de codificación. La inclusión de las claves en los procesos de encriptación y desencriptación se realiza introduciendo las mismas en los procesos matemáticos pertinentes, generalmente como constantes en la función de codificación. Cuánto más longitud tenga la clave usada, más seguro será el sistema de encriptación y más difícil será romperlo por criptoanálisis, aunque esta fortaleza del cifrado también depende del sistema en sí.

10 CAPÍTULO 8. ENCRIPTACIÓN 167 Por ejemplo, los sistemas simétricos tienen, a igualdad de longitud de clave, mucha más fortaleza que los de clave pública. Es por esto que los sistemas simétricos usan bits generalmente, mientras que los asimétricos deben manejar claves de más de 512 bits para ser considerados seguros. Un último concepto es el de las clases residuales. Dados dos números enteros, a y b, se dice que a es congruente con b módulo n si a y b tienen el mismo resto al ser divididos por n. Por ejemplo, 7 y 10 son congruentes módulo 3, ya que al dividir ambos por 3 nos queda de resto 1. Con esta consideración, dado un conjunto C se definen sobre él las clases residuales de módulo n como los subconjuntos de C formados por todos sus elementos tales que al ser divididos por n dan el mismo resto. Por ejemplo, si C = 13, 14, 15, 16, 17, 18, 19 tendremos como clases residuales de módulo 3: C1 = 15, 18(al dividirlos entre 3 el resto es 0) C2 = 13, 16, 19 (al dividirlos entre 3 el resto es 1) C3 = 14, 17 (al dividirlos entre 3 el resto es 2) Este concepto es importante, ya que muchas de las funciones de codificación usados en los sistemas criptográficos más usados están basadas en las clases residuales del alfabeto fuente. Para ello manejan la denominada función módulo discreto. De esta forma, a mod(b) representa el resto de dividir a entre b. Si a es inferior a b, tendremos que a mod(b)=a. Vamos a ver algunos ejemplos: 17 mod(6)=5(ya que 17/6=2 con resto 5) 51 mod(6)=3(ya que 51/6=8 con resto 3) 4 mod(6)=4(ya que 4 6) EL ALGORITMO RC5 El sistema criptográfico simétrico RC5 es el sucesor de RC4, frente al que presenta numerosas mejoras. RC4 consiste en hacer un XOR al mensaje con un arreglo que se supone aleatorio y que se desprende de la clave, mientras que RC5 usa otra operación, llamada dependencia de datos, que aplica sifths a los datos para obtener así el mensaje cifrado. Ambos han sido creados por RSA Data Security Inc., la empresa creada por los autores del sistema RSA, que es actualmente una de las más importantes en el campo de los sistemas de cifrado y protección de datos. Permite diferentes longitudes de clave (aunque está prohibida su exportación fuera de EEUU con longitudes superiores a 56 bits), y funciona como un generador de números aleatorios que se suman al texto mediante una operación de tipo OR-Exclusiva. Es además ampliamente configurable, permitiendo fijar diferentes longitudes de clave, número de iteraciones y tamaño de los bloques a cifrar, por lo que le permite adaptarse a cualquier aplicación. Por ejemplo, este algoritmo es el usado por Nestcape para implementar su sistema de seguridad en comunicaciones SSL (Secure Socket Layer). En cuanto a su seguridad, aún es pronto para afirmar nada concluyente, aunque en 1996 una universidad francesa consiguió romper el sistema RC4 con clave de 40 bits, lo que hace sospechar que RC5 con longitudes de clave de 56 bits no es lo suficientemente seguro. ALGORITMO IDEA. Sistema criptográfico simétrico, creado en 1990 por Lai y Massey, que trabaja con bloques de texto de 64 bits, operando siempre con números de 16 bits usando operaciones como OR-Exclusiva y suma y multiplicación de enteros. El algoritmo de desencriptación es muy parecido al de encriptación, por lo que resulta muy fácil y rápido de programar, y hasta ahora no ha sido roto nunca, aportando su longitud de clave una

11 CAPÍTULO 8. ENCRIPTACIÓN 168 seguridad fuerte ante los ataques por fuerza bruta (prueba y ensayo o diccionarios). Este algoritmo es de libre difusión y no está sometido a ningún tipo de restricciones o permisos nacionales, por lo que se ha difundido ampliamente, utilizándose en sistemas como UNIX y en programas de cifrado de correo como PGP. El algoritmo de clave única IDEA utiliza texto en bloques de 64 bits y una clave de 128 bits. Ha sido diseñado de tal manera que el proceso de encriptado consiste en ocho pasos de encriptación que son idénticos excepto en los sub-bloques de la clave utilizados, terminando con una transformación de la salida. En cada paso se utilizan tres operaciones : suma modular con módulo 216, multiplicación modular con módulo y OR exclusivo. Hay un total de ocho rondas de encriptación. En cada ronda se divide el bloque de 64 bits en cuatro bloques de 16 bits: X1, X2, X3 y X4, siendo combinados con las operaciones indicadas entre sí y con seis sub-bloques de 16 bits de la clave (subclaves). Entre ronda y ronda, se cambia de posición a los bloques 2 y 3. Finalmente, se combinan los cuatro sub-bloques con cuatro subclaves. Los pasos de cada ronda son los siguientes: 1. Multiplicar X1 y la primera subclave. 2. Sumar X2 y la segunda subclave. 3. Sumar X3 y la tercera subclave. 4. Multiplicar X4 y cuarta subclave. 5. Calcular el XOR de los pasos 1 y Calcular el XOR de los pasos 2 y Multiplicar los resultados del paso 5 y la quinta subclave. 8. Sumar los resultados de los pasos 6 y Multiplicar los resultados del paso 8 y la sexta subclave. 10. Sumar los resultados los pasos 7 y Calcular el XOR de los pasos 1 y Calcular el XOR de los pasos 3 y Calcular el XOR de los pasos 2 y Calcular el XOR de los pasos 4 y 10. La salida producida por la ronda son los cuatro sub-bloques resultado de los pasos 11, 12, 13 y 14. Se cambia el bloque 2 por el 3 (excepto en la última ronda), y ésta será la entrada de la siguiente ronda. Tras la octava ronda, hay una transformación final de la salida: 1. Multiplicar X1 y la primera subclave.

12 CAPÍTULO 8. ENCRIPTACIÓN Sumar X2 y la segunda subclave. 3. Sumar X3 y la tercera subclave. 4. Multiplicar X4 y cuarta subclave. El algoritmo emplea 52 subclaves, que son creadas de la siguiente manera: se divide la clave de 128 bits en ocho subclaves de 16 bits. Éstas serán las ocho primeras subclaves del algoritmo (seis para la primera ronda, y dos para la segunda). Después, se rotan 25 bits de la clave hacia la izquierda y de nuevo se divide en ocho subclaves. Las cuatro primeras son para la segunda ronda; las otras cuatro para la tercera. Se realiza otra rotación de 25 bits a la izquierda, se vuelve a dividir en ocho subclaves... hasta el final del algoritmo. El proceso de descifrado es prácticamente el mismo que el de encriptación, con la diferencia de que las 52 subclaves son las inversas de las empleadas en la encriptación respecto de la operación en la que fueron usados, además de utilizarse en el orden inverso. El futuro estándar El NIST de EEUU, en busca de un nuevo sistema de encriptación simétrico que reúna las características funcionales y de seguridad necesarias, decidió convocar en 1977 un concurso a nivel mundial, invitando a los principales desarrolladores de este tipo de sistemas a crear un algoritmo que pueda ser tomado como estándar para los próximos años. Este nuevo sistema de llamará AES (Advanced Encryption Standard), y el algoritmo que utilice se denominará AEA (Advanced EncryptionAlgorithm). A este concurso se presentaron numerosos autores, y tras un largo proceso de selección el ha seleccionado como futuro estándar el denominado Rijndael, creado por los belgas Vincent Rijmen y Joan Daemen. Rijndael es un cifrador de bloque que opera con bloques y claves de longitudes variables, que pueden ser especificadas independientemente a 128, 192 ó 256 bits. El resultado intermedio del cifrado se denomina Estado, que puede representarse como una matriz de bytes de cuatro filas. A partir de ésta base se realiza una serie de bucles de cifrado, cada uno de ellos consistente en las siguientes operaciones: 1. Sustitución de bytes no lineal, operando independientemente sobre cada uno de los bytes del Estado. 2. Desplazamiento de las filas del Estado cíclicamente con offsets diferentes. 3. Mezcla de columnas, que se realiza multiplicando las columnas del Estado módulo x4+1, consideradas como polinomios en GF(28), por un polinomio fijo c(x). 4. Adición de la clave de vuelta, en la que se aplica al Estado por medio de un simple XOR. La clave de cada vuelta se deriva de la clave de cifrado mediante el esquema de clave. El esquema de clave consiste en dos operaciones, expansión de clave y selección de clave de vuelta de cifrado, y el proceso de cifrado consta de tres pasos: una adición inicial de la clave de vuelta, n-1 vueltas de cifrado y una vuelta final.

13 CAPÍTULO 8. ENCRIPTACIÓN 170 ALGORITMO Diffie-Hellman Este algoritmo de encriptación de Whitfield Diffie y Martin Hellman supuso una verdadera revolución en el campo de la criptografía, ya que fue el punto de partida para los sistema asimétricos, basados en dos claves diferentes, la pública y la privada. Vio la luz en 1976, surgiendo como ilustración del artículo New directions in Cryptography. Su importancia se debe sobre todo al hecho de ser el inicio de los sistemas asimétricos, ya que en la práctica sólo es válido para el intercambio de claves simétricas, y con esta funcionalidad es muy usado en los diferentes sistemas seguros implementados en Internet, como SSL (Secure Socket Layer) y VPN (Virtual Private Network). Matemáticamente se basa en las potencias de los números y en la función mod (módulo discreto). Uniendo estos dos conceptos se define la potencia discreta de un número como Y = Xa mod q. Si bien el cálculo de potencias discretas es fácil, la obtención de su función inversa, el logaritmo discreto, no tiene una solución analítica para números grandes. ALGORITMO RSA Los algoritmos RSA son, con mucho, las más populares, gracias en parte a la agresiva publicidad, la política de patentes y el desarrollo a largo plazo que ha adoptado RSA Data Security. Esta empresa controla muchas de las patentes más importantes en este campo, y aunque ha tenido que hacer frente a numerosos litigios, RSA ha sabido utilizar su posición para consolidarse definitivamente como líder. Su software y sus bibliotecas se encuentran en el núcleo de muchos productos, y la compañía sigue contando entre sus filas con algunos de los criptógrafos más reconocidos. RSA Data Security fue la firma encargada de integrar el software de firma digital con el sistema operativo Macintosh mucho antes de que floreciera el Web, por ejemplo. También añadió a PowerTalk (el software cooperativo de Apple) applets de firma de Arrastrar y soltar que permitían que cualquier usuario incrustara una firma digital en un formulario electrónico con sólo arrastralo hasta el icono. RSA Data Security ha otorgado licencia sobre sus patentes a los principales vendedores de sistemas operativos, incluidos Microsoft, IBM, Sun y Digital, y cada uno de ellos ha incorporado prestaciones similares a sus líneas de productos, aunque sin alcanzar el mismo nivel de integración. RSA también puede utilizarse para cifrar datos y proporcionar seguridad, además de autenticidad. El algoritmo de clave pública RSA fué creado en 1978 por Rivest, Shamir y Adlman, y es el sistema criptográfico asimétrico más conocido y usado. Estos señores se basaron en el artículo de Diffie-Hellman sobre sistemas de llave pública, crearon su algoritmo y fundaron la empresa RSA Data Security Inc., que es actualmente una de las más prestigiosas en el entorno de la protección de datos. En cuanto a las longitudes de claves, el sistema RSA permite longitudes variables, siendo aconsejable actualmente el uso de claves de no menos de 1024 bits (se han roto claves de hasta 512 bits, aunque se necesitaron más de 5 meses y casi 300 ordenadores trabajando juntos para hacerlo). RSA basa su seguridad en ser una función computacionalmente segura, ya que si bien realizar la exponenciación modular es fácil, su operación inversa, la extracción de raíces de módulo X no es factible a menos que se conozca la factorización de e, clave privada del sistema. RSA es el más conocido y usado de los sistemas de clave pública, y también el más rápido de ellos. Presenta todas las ventajas de los sistemas asimétricos, incluyendo la firma digital, aunque resulta más útil a la hora de implementar la confidencialidad el uso de sistemas simétricos, por ser más rápidos. Se suele usar también en los sistemas mixtos para encriptar y enviar la clave simétrica que se usará posteriormente en la comunicación cifrada. El funcionamiento de RSA parece causar múltiples trastornos, ya que desafían los convenios

14 CAPÍTULO 8. ENCRIPTACIÓN 171 establecidos sobre el funcionamiento de los sistemas de doble clave. Todo el mundo sabe que las cajas de seguridad de los bancos necesitan dos llaves para abrirse (aunque la que posee el banco es un tanto redundante si la cámara acorazada es buena). Pero, en los algoritmos de clave pública, las dos claves funcionan de forma distinta. La secreta se utiliza para crear una firma digital, mientras que la pública sirve para verificarla. La manera más sencilla de entender el cifrado RSA es primero, que todos los números tienen un multiplicador inverso y, segundo,(e b ) c = e bc. El multiplicador inverso de un número a es un número b tal que ab = 1. Ejemplo. El multiplicador inverso de 4 es 0.25 RSA utiliza aritmética modular que sólo opera con números enteros entre 0 y un cierto número n. A menudo, se compara con el residuo de una división. La ecuación ab mod n podría expresarse como mutiplicar a y b, luego dividir el resultado por n y restituir el resto. Por sorprendente que parezca, muchas de las reglas de la aritmética estándar siguen siendo válidas en este dominio. Los números pueden sumarse, restarse, multiplicarse y generalmente dividirse, y las ecuaciones obedecen a las reglas habituales de conmutación, asociatividad y transitividad. Para construir un par de claves para RSA, encuentre dos números primos p y q. Su producto es pq = n. Las dos claves, c y d, son números aleatorios elegidos de forma que cd mod[p 1q 1] = 1. Es decir, d es el multiplicador inverso de c. El algoritmo funciona porque m cd = m.mod.n(se puede demostrar: Problema 7.3). Para cifrar un mensaje, conviértalo en un número m y calcule m c.mod.n. Sólo la persona que conoce d puede descifrarlo calculando: (m c.mod.n) d.mod.n = m dc.mod.n = m Se puede pensar en el proceso de clave pública como si fuera un collar de perlas. Suponga que una perla es el mensaje. La clave pública es algún número menor que n, y la clave privada correspondiente es n a = b. Un mensaje se cifra contando a perlas y se descifra contando ab perlas, lo que conduce de nuevo al principio. Este planteamiento es tan sólo una metáfora, y evidentemente no está exento de riesgos. Cualquiera que conozca a y n puede determinar b. Pero esto no ocurre con RSA o el Digital Signature Algorithm. Con estos algoritmos, es imposible averiguar la clave privada a partir de la clave pública. Tanto en los algoritmos de clave pública como en los de comprobación aleatoria, el nivel de seguridad puede mejorarse verificando que los secretos y las claves contengan el número suficiente de bits como para resistir cualquier ataque conocido. Las firmas de comprobación aleatoria son más susceptibles de violación, dado que el secreto que se usa para crear la firma es conocido por ambas partes. Una fisura en el computador central o el allanamiento del domicilio del usuario podrían comprometer una firma de comprobación aleatoria. Por otra parte, la clave que genera la firma en los sistemas de clave pública sólo se guarda en el ordenador del propietario, lo que reduce significativamente los riesgos de seguridad. ALGORITMO DES DES (Data Encryption Standard) es un esquema de encriptación simétrico desarrollado en 1977 por el Departamento de Comercio y la Oficina Nacional de Estándares de EEUU en colaboración con la empresa IBM, que se creó con objeto de proporcionar al público en general un algoritmo de cifrado normalizado para redes de ordenadores. Estaba basado en la aplicación de todas las teorías criptográficas existentes hasta el momento, y fue sometido a las leyes de USA. Posteriormente se sacó una versión de DES implementada por hardware, que entró a

15 CAPÍTULO 8. ENCRIPTACIÓN 172 formar parte de los estándares de la ISO con el nombre de DEA. Se basa en un sistema monoalfabético, con un algoritmo de cifrado consistente en la aplicación sucesiva de varias permutaciones y sustituciones. Inicialmente el texto en claro a cifrar se somete a una permutación, con bloque de entrada de 64 bits (o múltiplo de 64), para posteriormente ser sometido a la acción de dos funciones principales, una función de permutación con entrada de 8 bits y otra de sustitución con entrada de 5 bits, en un proceso que consta de 16 etapas de cifrado. En general, DES utiliza una clave simétrica de 64 bits, de los cuales 56 son usados para la encriptación, mientras que los 8 restantes son de paridad, y se usan para la detección de errores en el proceso. EL ALGORITMO DSS En este algoritmo existen dos claves para cada persona. Una de ellas crea la firma y se mantiene secreta. La otra - la clave pública - verifica la firma. DSS fué desarrollado por el U.S. National Institute of Standards and Technology (NIST) con la colaboración de la National Security Agency (NSA). Sólo están obligadas a utilizarlo las compañías que mantienen negocios con el gobierno americano, y muchas prefieren no hacerlo porque es un sistema exclusivamente de firma. El NIST eligió esta solución limitada, porque el gobierno de EE.UU. pretende desalentar el uso de cualquier software de cifrado que cercene su capacidad para fisgonear en asuntos ajenos. El software que sólo proporciona autentificación, como el DSS, puede exportarse libremente en los productos, mientras que el software que emplea RSA para cifrado general está sometido a severas restricciones. FIRMAS DE COMPROBACION ALEATORIA (HASH) Las funciones de comprobación aleatoria son similares a las de cifrado (de hecho, algunas de ellas son funciones de cifrado con ligeras modificaciones). La mayoría de estas funciones toma un bloque de datos y lo somete reiteradamente a una sencilla función de desordenación (scramling) para alterar sus elementos. Si esta operación se repite un cierto número de veces, no existe forma práctica conocida de predecir el resultado. Es imposible modificar un documento de un modo determinado y estar seguro de que la función de comprobación aleatoria producirá el mismo resultado. Este tipo de firma utiliza una función de comprobación aleatoria criptográficamente segura, como Message digest 5 (MD-5) o Secure Hash Algorithm (SHA), para producir un valor de comprobación aleatoria a partir de un archivo. El procedimiento de comprobación aleatoria encadena su clave secreta. El destinatario también tiene ua copia de la clave secreta y la utiliza para evaluar la firma. En el caso de CyberCoin, de CyberCash, los usuarios reciben claves secretas cuando adquieren el producto. Estas claves sólo son conocidas por su ordenador y por el ordenador central. Cuando está a punto de practicarse una transacción, se compone de un archivo que contiene el importe y los detalles, y después se firma con la clave secreta (el cliente ensambla el archivo, encadena la clave secreta, computa la función de comprobación aleatoria y, finalmente, expide el archivo y el resultado de la función de comprobación aleatoria sin la clave secreta). El banco central puede verificar esta transacción repitiendo el cálculo, ya que también conoce el valor secreto. La firma basada en comprobación aleatoria es posiblemente el menos conocido de los algoritmos de firma. Ha adquirido progresivamente mayor popularidad porque requiere una menor intensidad computacional que el resto de algoritmos. Diversos sistemas de micropago (microcash), como Millicent de DEC o CyberCoin, emplean firmas de comprobación aleatoria para recortar los costes de procesamiento y posibilitar transacciones más pequeñas. Todos estos sistemas requieren que un servidor central verifique cada una de las transacciones, y emplear algoritmos más rápidos implica

16 CAPÍTULO 8. ENCRIPTACIÓN 173 consumir menos potencia de servidor y reducir la carga del ordenador central. La principal limitación de la firma de comprobación aleatoria es que el destinatario también debe poseer una copia de la clave secreta para verificar la firma. Esto podría permitir que el receptor falsificara una firma. Mantener estas claves secretas comporta ciertas molestias, por lo que muchos usuarios emplean una infraestructura secreta compartida. COMPENDIOS DE MENSAJE. Los compendios de mensaje se generan pasándolo a través de una función criptográfica unidireccional (aquella que no puede invertirse). Cuando el compendio de un mensaje se cifra utilizando la clave privada del remitente y se anexa al mensaje original, el resultado se conoce como firma digital del mensaje. Una aplicación de esta técnica de encriptación es el protocolo SET. TRANSACCIÓN ELECTRÓNICA SEGURA (SET). El estándar SET para transacciones electrónicas seguras en redes abiertas como Internet fue desarrollado por Visa y MasterCard con la asesoría de empresas como IBM, Netscape y RSA entre otras. Está basado en la criptografía de llaves públicas y privadas RSA. El algoritmo utilizado por SET genera compendios de 160 bits. La probabilidad de que dos mensajes tengan el mismo compendio es de 1 entre SET introduce un nivel superior de seguridad mediante el empleo de las denominadas firmas dobles. Una firma de este tipo se genera creando un compendio de ambos mensajes, encadenándolos entre sí, computando el compendio del resultado y cifrando este compendio con la clave privada de la firma original. El firmante debe incluir el compendio del otro mensaje que el destinatario sea capaz de verificar la firma doble. El receptor de uno u otro mensaje puede comprobar su autenticidad generando el compendio en su copia del mensaje, encadenándolo con el compendio del otro mensaje (suministrado por el remitente) y computando el compendio del resultado. Si el compendio recién generado se corresponde con la firma doble descifrada, el destinatario puede confiar en la autenticidad del mensaje. Para incrementar aún más la seguridad de estos procedimientos, SET utiliza la Certificate Authority (CA). SET agrupa a las siguientes entidades en un solo sistema de pago: 1. Tarjetahabiente: aquella persona poseedora de una tarjeta de crédito. 2. Emisor : entidad financiera que emite la tarjeta. 3. Comerciante : conocido en la literatura SET como el mercader, es la empresa que vende bienes o intercambia servicios por dinero. 4. Adquirente : institución financiera que establece una cuenta con el Comerciante y procesa autorizaciones y pagos. 5. Intermediario para pago : dispositivo operado por un adquirente o designado a un tercero para que procese los mensajes de pago, incluyendo instrucciones de pago de un tarjetahabiente. 6. Marcas : Las instituciones financieras emiten tarjetas con marcas en ellas, para hacer publicidad a la marca y establecen ciertas reglas de uso y aceptación de sus tarjetas y proveen redes que las interconectan a las instituciones financieras.

17 CAPÍTULO 8. ENCRIPTACIÓN Terceros: los emisores y los adquirentes pueden asignar a terceros para el procesamiento de las transacciones. Para poder hacer una transacción SET cada uno de los participantes debe estar registrado por una entidad certificadora, que como su nombre lo indica emite un certificado electrónico en el que hace constar la identidad de una entidad. SET pretende masificar el uso de Internet como el mayor centro comercial del mundo, pero para hacerlo SET fue diseñado para lograr: 1. Confidencialidad de la información. 2. Integridad de los datos 3. Autenticación de la cuenta del tarjetahabiente 4. Autenticación del comerciante 5. Interoperabilidad A diferencia de una transacción o compra persona a persona, por teléfono o correo, donde la transacción la inicia el comerciante, en SET la transacción la inicia el tarjetahabiente. Una vez todos los participantes estén registrados ante una autoridad certificadora, pueden empezar a realizar transacciones seguras. Veamos una solicitud de compra: 1. El tarjetahabiente inicia la solicitud luego de haber seleccionado los ítems a comprar, antes de iniciar el proceso SET, el tarjetahabiente ha sido presentado con un formulario que ha aprobado y en donde se especifican las mercancías a comprar y los términos del pago y por supuesto que tarjeta de crédito a utilizar (no el número). Para poder enviar mensajes SET, es necesario obtener una copia de la llave pública del intermediario de pago. El proceso se inicia cuando se hace una solicitud del certificado del intermediario. El mensaje del tarjetahabiente indica que tarjeta va a ser utilizada para la transacción. 2. El comerciante asigna un identificador único a la transacción y le envía al tarjetahabiente su certificado y el certificado del intermediario de pago para la tarjeta seleccionada además del identificador de la transacción. 3. El tarjetahabiente recibe la respuesta, verifica la autenticidad de los certificados. El software SET del tarjetahabiente genera la orden de compra y la información de pago y una firma doble para ambas obteniendo y concatenando los message digest (hash) de las dos, computando el digest de la concatenación y encriptándolo utilizando su llave privada. El software SET del tarjetahabiente genera una llave aleatoria simétrica de encripción y la utiliza para encriptar la firma doble. Luego se encripta el número de cuenta del tarjetahabiente así como también la llave simétrica utilizando la llave pública del intermediario de pago. Finalmente se transmite el mensaje que contiene la órden de compra y la información de pago.

18 CAPÍTULO 8. ENCRIPTACIÓN Cuando el comerciante recibe la órden, verifica la firma del tarjetahabiente utilizando su certificado y además chequea que el mensaje no haya sido alterado, haciendo uso del message digest. El comerciante envía la información de pago al intermediario. Luego de procesar la información de la órden, el comerciante genera y firma un mensaje de respuesta en el que indica que la órden fué recibida. Si luego se logra autorización del pago, el comerciante envía las mercancías o presta el servicio por el que se le pagó. 5. Cuando el software del tarjetahabiente recibe la respuesta del comerciante, verifica la autenticidad de éste, si todo sale bien, entonces muestra al usurio un mensaje de que la órden se realizó exitosamente. El tarjetahabiente puede luego averiguar el estado de su órden enviando una solicitud en un mensaje diferente, para saber si fué aprobado el pago, cuendo le fué enviada la mercancía, etc. Nótese que no es necesario hacer la autorización antes de enviar un mensaje al tarjetahabiente, este proceso se puede llevar a cabo después entre el comerciante y el intermediario de pago. El proceso es el siguiente: 1. El software del comerciante genera y firma una solicitud de autorización, la cual incluye la cantidad a ser autorizada, el identificador de la transacción de la información de la órden y otra información sobre la transacción. La solicitud es encriptada utilizando una nueva llave simétrica generada aleatoriemente, que a su vez se encripta utilizando la llave pública del intermediario. La solicitud de autorización y las instrucciones de pago son entonces enviadas al intermediario. 2. Cuando el intermediario de pago recibe la solicitud, desencripta y hace las verificaciones necesarias tanto del comerciante como del tarjetahabiente, también se verifica que el identificador de la transacción sea el mismo para el tarjetahabiente y para el comerciante. El intermediario entonces formatea y envía la solicitud de autorización al emisor de la tarjeta. Luego de recibir una respuesta, el intermediario firma y envía la respuesta al comerciante. La respuesta incluye la respuesta del emisor y una copia del certificado del emisor, opcionalmente puede haber un token de captura que el intermediario puede necestitar para procesar una solicitud de captura. Este token solo es necesario si es requerido por el adquirente. 3. El comerciante recibe la respuesta del intermediario, desencripta y hace las verificaciones. Almacena la respuesta de autorización y captura el token que será utilizado a través de una solicitud de captura. El comerciante entonces puede proceder a enviar las mercancías o prestar el servicio. Luego de procesar la orden de un tarjetahabiente, el comerciante solicitará que se le pague, habrá un lapso de tiempo significativo entre la solicitud de autorización y la solicitud de pago (captura), veamos el proceso: 1. El software del comerciante genera y firma una solicitud de pago que incluye la cantidad final de la transacción, el identificador de la misma y otra información adicional. Nuevamente se genera una llave simétrica aleatoria, que se encripta con la llave pública del intermediario de

19 CAPÍTULO 8. ENCRIPTACIÓN 176 pago. Se envía al intermediario la solicitud de captura y opcionalmente el token de captura si esté venía en la respuesta de autorización. Varias solicitudes de captura pueden ser enviadas en un mismo mensaje para su procesamiento por lotes. 2. El intermediario de pago verifica la autenticidad e integridad del mensaje que le llega y utiliza esta información para hacer una solicitud de pago al emisor a través de un sistema de pago. Cuando llegue la respuesta el intermediario firma y encripta el mensaje y se le envía la respuesta al comerciante. El comerciante almacena la respuesta para hacer balance con el pago recibido del adquirente. LA NECESIDAD DE ESTABLECER UN ENTORNO SEGURO. En la actualidad, la falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de agresores y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios en su labor de piratería. La criptografía por sí sola no es suficiente para prevenir los posibles ataques que se perpetran sobre las redes, sino que es necesario establecer unos mecanismos más complejos que utilizan los distintos sistemas criptográficos en sus cimientos. Pero el problema no queda solucionado instalando en una serie de servidores herramientas de seguridad, porque quién tendría acceso a esas herramientas?, a qué aplicaciones se llevarían?, qué sucedería si sólo uno de los dos interlocutores en una comunicación tiene acceso a herramientas de seguridad?. Por lo tanto, cuando se habla de seguridad en redes es necesario definir el entorno en el que se va a aplicar. La definición de un entorno seguro implica la necesidad de estudiar varios aspectos y de establecer una infraestructura que dé soporte a los servicios de seguridad que se quieren proporcionar. Lo primero que hay que establecer es qué aplicaciones necesitan seguridad y cuántos servicios se necesitan. En segundo lugar hay que determinar cómo se van a proporcionar esos servicios, si van a ser transparentes al usuario, si se le va a dejar elegir el tipo de servicio, etc. También es necesario determinar en qué nivel se van a proporcionar, si en el nivel de aplicación o en niveles inferiores. Y sobre todo, tanto si se utiliza criptografía de clave secreta, como si se utiliza criptografía de clave pública es necesario diseñar un sistema de gestión de claves y definir una política que determine la forma en la que se debe operar. Cuando se utiliza únicamente criptografía de clave simétrica, aunque el sistema de generación de claves suele ser sencillo, ya que no se requiere una gran infraestructura para soportarlo, los mecanismos de distribución de las claves suelen ser muy complejos. En este caso, los principales parámetros que hay que tener en cuenta son el modo de difundir la clave secreta de forma segura a las dos entidades que van a utilizarla y la frecuencia con la que se deben renovar las claves para evitar que sean desveladas. Cuando se utiliza criptografía de clave pública, el sistema de gestión de claves se complica. En primer lugar es necesario almacenar las claves públicas en un lugar al que tengan libre acceso todos los usuarios que forman parte del entorno de seguridad. ITU, en su recomendación X.509, propone la utilización del Directorio para este fin; pero no todos los usuarios de seguridad tienen acceso al Directorio X.500, por lo que en muchos entornos es necesario crear o utilizar otro tipo de bases de datos. El segundo problema que se plantea al utilizar criptosistemas de clave pública, es que las claves públicas, por el simple hecho de ser públicas, están expuestas a la manipulación por parte de todos

20 CAPÍTULO 8. ENCRIPTACIÓN 177 los usuarios, por lo que es necesario buscar un mecanismo que permita confiar en su validez. Siguiendo el ejemplo de los actuales sistemas legales, aparece la figura de una autoridad de confianza que se encarga de certificar las claves públicas. Estas autoridades, conocidas con el nombre de Autoridades de Certificación (CA Certification Authority ), emiten certificados de las claves públicas de los usuarios firmando con su clave secreta un documento, válido por un período determinado de tiempo, que asocia el nombre distintivo de un usuario con su clave pública. En la recomendación X.509 se define en sintaxis ASN.1 el siguiente modelo de certificado: Certificate ::= SIGNED SEQUENCE{ version [0] Version DEFAULT 0, serialnumber CertificateSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, SubjectPublicInfo SubjectPublicInfo, issueruniqueid [1] IMPLICIT BIT STRING OPTIONAL, SUBJECTUniqueId [1] IMPLICIT BIT STRING OPTIONAL} Además, para que los usuarios puedan estar seguros de la validez de los certificados de las claves pública de sus interlocutores, la CA debe mantener una lista con los certificados emitidos por ella y que han sido revocados por detección de un uso fraudulento de la clave pública certificada o de la clave secreta asociada. Estas listas se conocen con el nombre de Listas de Certificados Revocados (CRL, Certificate Revocation List ). Cuando la comunidad de usuarios crece, una sola CA puede verse desbordada por el número de certificados que tiene que gestionar. En otros casos, las empresas o instituciones quieren tener cierto control sobre la manera en que sus usuarios generan las claves, la caducidad de los certificados, etc. Esto hace conveniente distribuir las funciones de certificación entre varias CAs, cuya política de seguridad puede ser diferente. En la recomendación X.509 ya se prevé la necesidad de una organización de CAs donde se certifiquen unas a otras, sin indicar el tipo de relación organizativa que se debe establecer entre ellas. De esta forma, dependiendo de las necesidades de cada entorno han aparecido distintos modelos de organización de CAs. ENTORNO SEGURO PARA LA TRANSFERENCIA DE INFORMACIÓN. Uno de los puntos más vulnerables de las redes frente a ataques de intrusos, es la captura de información durante su transferencia. Aunque cada sistema que forma parte de una red se proteja internamente a sí mismo y a la información que tiene almacenada, cuando la información se transfiere de un sistema a otro no se conoce a priori el encaminamiento que va a seguir ni las medidas de seguridad que poseen los sistemas por los que atraviesa y los medios por los que se transmite. Por este motivo la transferencia segura de información a través de las redes es en la actualidad, el principal problema que los investigadores intentan solucionar. DIATEL ha estado trabajando en los últimos años en el proyecto de la UE, COST225 Secure Communications, cuya coordinación en la última fase, ha sido llevada a cabo por uno de los miembros del grupo de seguridad del Departamento, que ha realizado la función de chairman 3.El objetivo de este proyecto, que ha concluido al inicio de 1995, ha sido el de estudiar y experimentar en varios entornos seguros en los que se realiza transferencia de información, como son el correo 3