Seguridad Informática M. Farias-Elinos 1 Contenido Estándares Criptografía Algunos estándares criptográficos 2 1
Estándares ISO ISO/IEC 2382-8:1998 Information technology Vocabulary Part 8: Security ISO/IEC 7498-2:1989 Information processing systems Open Systems Interconnection Basic Reference Model Part 2: Security Architecture 3 Estándares ISO ISO/IEC 10164-6:1993 Interconnection Systems Management: Log control function ISO/IEC 10164-7:1992 Interconnection Systems Management: Security alarm reporting function 4 2
Estándares ISO ISO/IEC 10164-8:1993 Information technology -- Open Systems Interconnection -- Systems Management: Security audit trail function ISO/IEC 10164-14:1996 Interconnection Systems Management: Confidence and diagnostic test categories 5 Estándares ISO ISO/IEC 10181-1:1996 systems: Overview ISO/IEC 10181-2:1996 systems: Authentication framework 6 3
Estándares ISO ISO/IEC 10181-3:1996 systems: Access control framework ISO/IEC 10181-4:1997 systems: Non-repudiation framework 7 Estándares ISO ISO/IEC 10181-5:1996 systems: Confidentiality framework ISO/IEC 10181-6:1996 systems: Integrity framework 8 4
Estándares ISO ISO/IEC 10181-7:1996 systems: Security audit and alarms framework ISO/IEC TR 13335-1:1996 Information technology Guidelines for the management of IT Security Part 1: Concepts and models for IT Security 9 Estándares ISO ISO/IEC TR 13335-2:1997 Information technology Guidelines for the management of IT Security Part 2: Managing and planning IT Security ISO/IEC TR 13335-3:1998 Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT Security 10 5
Estándares ISO ISO/IEC TR 13335-4:2000 Information technology Guidelines for the management of IT Security Part 4: Selection of safeguards ISO/IEC TR 13335-5:2001 Information technology Guidelines for the management of IT Security Part 5: Management guidance on network security 11 Estándares ISO ISO/IEC 15408-1:1999 Information technology Security techniques Evaluation criteria for IT security Part 1: Introduction and general model ISO/IEC 15408-2:1999 Information technology Security techniques Evaluation criteria for IT security Part 2: Security functional requirements 12 6
Estándares ISO ISO/IEC 15408-3:1999 Information technology Security techniques Evaluation criteria for IT security Part 3: Security assurance requirements ISO/IEC 15816:2002 Information technology Security techniques Security information objects for access control 13 Estándares ISO ISO/IEC 17799:2000 Information technology Code of practice for information security management 14 7
Criptografía Rama de las Matemáticas y línea de la Computación Uso de métodos y técnicas de encriptación Garantizar la confidencialidad, integridad, disponibilidad y no repudio. Base de la seguridad informática 15 Principios de criptografía Hola ANSI = 01001000 01101111 01101100 01100001 Hola B64 = 010010 000110 111101 101100 011000 01 (00 00) = SG9sYQ== Valor Carácter Valor Carácter Valor Carácter Valor Carácter 6 bits codificado 6 bits codificado 6 bits codificado 6 bits codificado 0 000000 A 16 010000 Q 32 100000 g 48 110000 w 1 000001 B 17 010001 R 33 100001 h 49 110001 x 2 000010 C 18 010010 S 34 100010 i 50 110010 y 3 000011 D 19 010011 T 35 100011 j 51 110011 z 4 000100 E 20 010100 U 36 100100 k 52 110100 0 5 000101 F 21 010101 V 37 100101 l 53 110101 1 6 000110 G 22 010110 W 38 100110 m 54 110110 2 7 000111 H 23 010111 X 39 100111 n 55 110111 3 8 001000 I 24 011000 Y 40 101000 o 56 111000 4 9 001001 J 25 011001 Z 41 101001 p 57 111001 5 10 001010 K 26 011010 a 42 101010 q 58 111010 6 11 001011 L 27 011011 b 43 101011 r 59 111011 7 12 001100 M 28 011100 c 44 101100 s 60 111100 8 13 001101 N 29 011101 d 45 101101 t 61 111101 9 14 001110 O 30 011110 e 46 101110 u 62 111110 + 15 001111 P 31 011111 f 47 101111 v 63 111111 / (Relleno) = Cada 3 bytes ANSI (24 bits) se convierten en 4 elementos base 64 de 6 bits c/u 16 8
Clasificación de los criptosistemas Según el tratamiento del mensaje se dividen en: Cifrado en bloque (DES, IDEA, RSA: 64-128 bits) Cifrado en flujo (A5) cifrado bit a bit Según el tipo de claves se dividen en: Cifrado con clave secreta Cifrado con clave pública Sistemas simétricos Sistemas asimétricos 17 Criptosistemas simétricos Encriptación con clave secreta M Medio de k Transmisión k C C E K MT D K M Texto Texto Base protegida Criptograma protegida Base C no permitido Integridad Intruso M no permitido Confidencialidad 18 9
Criptosistemas asimétricos Encriptación con clave pública Intercambio de claves RSA RSA y DH Clave pública del usuario B Medio de Transmisión Clave privada del usuario B M Usuario A E B MT D B M C Criptograma C protegida Usuario B M no permitido Intruso Confidencialidad 19 k privada de A Firma digital Criptosistemas de clave pública k pública de B M D E B E M A D B C A Usuario A Usuario B Confidencialidad k privada de B k pública de A Firma digital Integridad Información cifrada Autenticación del usuario A; integridad de M 20 10
Vida de la clave y principio de caducidad Si en un sistema de clave secreta, ésta se usa como clave de una sesión que dura muy poco tiempo... y en este tiempo es imposible romperla... para qué preocuparse entonces? La confidencialidad de la información tiene una caducidad. Si durante este tiempo alguien puede tener el criptograma e intentar un ataque por fuerza bruta, obtendrá la clave (que es lo menos importante)... pero también el mensaje secreto! 21 Qué son los certificados digitales? Un certificado digital es un documento que contiene diversos datos, entre ellos el nombre de un usuario y su clave pública, y que es firmado por una Autoridad de Certificación (AC). Como emisor y receptor confiarán en esa AC, el usuario que tenga un certificado expedido por ella se autenticará ante el otro, en tanto que su clave pública está firmada por dicha autoridad. 22 11
Certificados digitales X.509 X.509 está basado en criptografía asimétrica y firma digital. En X.509 se define un framework (una capa de abstracción) para suministrar servicios de autenticación a los usuarios del directorio X.500. La autenticación se realiza mediante el uso de certificados. - Un certificado contiene: el nombre de la CA, el nombre del usuario, la clave pública del usuario y cualquier otra información como puede ser un timestamp. - El certificado se cifra con la clave privada de la CA. - Todos los usuarios poseen la clave pública del CA. 23 Autoridades de Certificación Autoridad de Certificación es un ente u organismo que, de acuerdo con unas políticas y algoritmos, certificará -por ejemplo- claves públicas de usuarios o servidores. El usuario A enviará al usuario B su certificado (la clave pública firmada por AC) y éste comprobará con esa autoridad su autenticidad. Lo mismo en sentido contrario. A clave pública AC certificado de B certificado de A AC clave pública AC B Autoridad de Certificación AC 24 12
Algunos Estándares ISO ISO/IEC 9796-2:1997 Information technology Security techniques Digital signature schemes giving message recovery Part 2: Mechanisms using a has-function ISO/IEC 9796-3:2000 Information technology Security techniques Digital signature schemes giving message recovery Part 3: Discrete logarithm based mechanisms ISO/IEC 9798-[1..5]:1997 Information technology Security techniques Entity authentication 25 Algunos Estándares ISO ISO/IEC 11770-[1..3]:1996 Information technology Security techniques Key management 26 13