Introducci

1
Introducción a la Seguridad en Sistemas
Informáticos
Francisco Rodríguez-Henríquez CINVESTAV-IPN Depto.
de Ingeniería Eléctrica Sección de Computación
2
Menú de proyectos
3
Temas de investigación

1. Elecciones Electrónicas
2. Monedero digital
3. Autenticación biométrica
4. Notaría digital
5. Mecanismos de seguridad en IEEE 802.11
6. Mecanismos de seguridad en el protocolo Bluetooth
7. Mecanismos de seguridad en RFIDs

4
Motivación y Antecedentes
5
Fundamentos de Seguridad Informática

• Criptografía
• Mecanismos y algoritmos básicos para la
• Protección de la información.
• Protocolos Seguros
• Servicios de Autenticación
• Comunicaciones seguras y transacciones
• PKI Infraestructura de Llave Pública
• Generación, distribución y administración
• de certificados de llave pública.
• Políticas de Administración de Servicios
• Servicios de autorización y control de acceso
• Políticas y normas de seguridad
• ...

6
referencias en Internet

• ITU-T X.800 Arquitectura de Seguridad para OSI
• Recomienda una forma sistemática de proveer
  seguridad y cumplir con requerimientos de calidad
• RFC 2828
• 200 páginas de glosario de seguridad en Internet

7
Modelo de Capas para Sistemas de Seguridad
Aplicaciones correo electrónico seguro, monedero
digital, elecciones electrónicas, cortafuegos,
etc.
Protocolos de Comunicación SSL/TLS/WTLS, IPSEC,
IEEE 802.11, etc.
Servicios de Seguridad Confidencialidad,
Integridad de Datos, Autenticación, No-Repudio
Funciones Criptográficas Cifrar/Descifrar,
Firmar/Verificar
Algoritmos de Llave Pública RSA, ECC Algoritmos
de llave Simétrica AES, DES, RC4, etc..
Aritmética Computacional Suma, Elevar al
cuadrado, multiplicación, inversión y
Exponenciación
8
Dilema fundamental de la seguridad

• Usuarios sin conciencia de la seguridad tienen
  demandas de seguridad específicas pero sin tener
  ningún conocimiento técnico.
• Solución Niveles de seguridad predefinidos y
  clasificados de acuerdo a algún grupo de
  criterios.

9
Tres leyes de la seguridad

• No existen sistemas absolutamente seguros
• Para reducir su vulnerabilidad a la mitad se
  tiene que doblar el gasto en seguridad
• Típicamente, los intrusos brincan la
  criptografía, no la rompen.

10
Ataques
11
Recursos y Métodos de Ataques
Recurso Adolescente Académico Org. Crimen Gobiernos
Tiempo Limitado Moderado mucho Mucho
Presupuesto lt1000 10K-100K 100K ?
Creatividad Varía Alta Varía Varía
Detectabilidad Alta Alta baja Baja
Objetivo Reto Publicidad dinero Varía
Número muchos Moderado pocos ?
Organizado No No sí Sí
Dist. info? sí sí Varía No
Source Cryptography Research, Inc. 1999, Crypto
Due Diligence
12
Ataques a la Seguridad Activos y Pasivos

• Activo

• Mascarada (impersonar)

• Replay

• Modificación del mensaje

• Denegación de servicio (DoS)

• Pasivo

• Análisis de tráfico

• distribución no autorizada de la información

13
Ataques a la Seguridad
Ataques Pasivos
14
Ataques a la Seguridad
Ataques Activos
15
Clases de Ataques a la Seguridad

• Interrupción
• Intercepción
• Modificación
• Fabricación

16
Clases de Ataques a la Seguridad Interrupción

• Interrupción
• Intercepción
• Modificación
• Fabricación

• Disponibilidad

17
Clases de Ataques a la Seguridad Intercepción

• Interrupción
• Intercepción
• Modificación
• Fabricación

• Confidencialidad

18
Clases de Ataques a la Seguridad Modificación

• Interrupción
• Intercepción
• Modificación
• Fabricación

• Integridad

19
Clases de Ataques a la Seguridad Fabricación

• Interrupción
• Intercepción
• Modificación
• Fabricación

• Autenticidad

20
Ataques a la Seguridad
Ataques
Accidental
Intencional

• Errores software

• Errores hardware

Pasivo
Activo

• Divulgación de datos
• Análisis de tráfico

• Mod. datos
• retrasos
• bloqueo
• copia datos
• revirar datos
• destrucción datos

• Mala administración

21
Servicios de Seguridad
22
Servicios de Seguridad

• Confidencialidad
• Autenticación
• Identificación
• Integridad
• No-repudio
• Control de acceso
• Disponibilidad

23
Servicios de Seguridad (1/2)

1. Confidencialidad. La confidencialidad asegura que
   la información sensible sólo podrá ser consultada
   o manipulada por usuarios, entidades o procesos
   autorizados.
2. Integridad. La integridad da la certeza de que la
   información no ha sido modificada por entidades
   no autorizadas para hacerlo. Dentro de las
   posibles modificaciones están la escritura,
   modificación o borrado de segmentos de datos.

24
Servicios de Seguridad (2/2)

1. Autenticación. La autenticación asegura que la
   identidad de los participantes es verdadera. Se
   pueden evaluar tres aspectos para autenticar
   usuarios verificar algo que el usuario tiene
   poner a prueba al usuario sobre algo que sabe,
   esto es, pedirle una contraseña y, finalmente, el
   tercer aspecto es verificar algo que el usuario
   es, por ejemplo, analizar sus huellas dactilares
   o su retina.
2. No repudio. El no repudio ofrece protección a un
   usuario o entidad frente a que otro usuario
   niegue posteriormente que en realidad se realizó
   cierta transacción.

25
Tipos de Autenticación (1/2)

• Autenticación del mensaje. Consiste en la
  verificación de que una de las partes es la
  fuente original del mensaje, es decir, autentica
  la procedencia de un mensaje. Este tipo de
  autenticación asegura la integridad del mensaje.
• Autenticación de entidad. Consiste en el proceso
  donde una parte se asegura de la identidad de la
  segunda parte involucrada en el protocolo de
  comunicación.

26
Tipos de Autenticación (2/2)

• Autenticación de llave. Este tipo de
  autenticación permite que una parte se asegure
  que ninguna otra entidad no confiable pueda tener
  acceso a la llave privada correspondiente.
• Autenticación de transacción. Este tipo de
  autenticación provee autenticación de mensaje y
  además garantiza la existencia única y temporal
  de los datos.

27
Tipos de Autenticación y Propiedades
Propiedades/Tipo de Autenticación Identificación de origen Identificación de datos Tiempo o unicidad
Aut. mensaje ? ? -
Aut. de transacción ? ? ?
Aut. de entidad ? - ?
Aut. llave ? ? deseable
28
Relación
29
Bloques Básicos
30
Seguridad Bloques Básicos

• Cifrado/descifrado provee
• confidencialidad, puede proveer autenticación e
  integridad de datos.
• Funciones hash proveen
• Protección de integridad, puede proveer
  autenticación
• Firmas Digitales proveen
• autenticación, protección de integridad, y
  no-repudio.

31
Llaves

• Llave pública/privada
• Una llave es el inverso matemático de la otra
• Las llaves privadas son conocidas sólo por los
  legítimos dueños.
• Las llaves públicas son almacenadas en
  certificados (estándar X.509).
• Algoritmos RSA , Diffie-Hellman, DSA

32
Criptografía de llave secreta
33
Modelo simplificado de Cifrado
34
Criptografía Simétrica

• Algoritmos altamente eficientes. Ambas partes
  convienen en compartir el mismo secreto
• Desventajas un problema importante es la
  distribución de las llaves. En un sistema con n
  usuarios se necesita generar n(n-1)/2 llaves.
• La administración de llaves también tiende a ser
  problemática
• Algoritmos utilizados
• DES - 56 bit key
• 3DES usa tres llaves DES
• IDEA 128 bits
• AES fue escogido como el nuevo estándar de
  cifrado en el 2000.

35
Funciones Hash
36
Digestión de Mensajes

• También conocido como función hash de solo ida,
  es una huella digital única de longitud fija.
• Entrada de longitud arbitraria, salida de
  longitud fija (128 o 160 bits).
• Un buen algoritmo de digestión debe poseer las
  siguientes propiedades
• El algoritmo debe aceptar cualquier longitud de
  mensaje.
• El algoritmo debe producir un digesto de longitud
  fija para cualquier mensaje de entrada.
• El digesto no debe revelar nada acerca del
  mensaje de entrada que lo originó.
• Es imposible producir un digesto pre-determinado.
• Es imposible hallar dos mensajes que produzcan el
  mismo digesto.

37
Esquema convencional de una función hash
38
Algoritmos Hash

• Usados para
• Producir huellas digitales de longitud fija para
  documentos de longitud arbitraria
• Producir información útil para detectar
  modificaciones maliciosas
• Traducir contraseñas a salidas de longitud fija.

39
Esquema convencional de una función hash
40
Obtención de llave privada
41
Criptografía de llave pública
42
Criptografía de llave pública confidencialidad
43
Criptografía de llave pública Firma Digital
44
Protocolo PGP Firma
45
Protocolo PGP Verificación
46
El problema de la autenticación
47
Ataques en una red Inalámbrica
48
Protocolo Diffie-Hellman
49
Ataque del Intruso de en medio
50
Solución Autenticación mutua?
Hola soy A, R1
B
A
R2, KAB R1
KABR2
51
Ataque Reflexivo
Hola soy A, R1
T
B
R2, KABR1
B
Hola soy A, R2
B
T
R3, KABR2
52
Usurpación de la Identidad
53
Protocolos de Autenticación
54
Autenticación por retos
55
Autenticación a través de una tercera entidad
56
Autenticación TLS
57
Sistema Seguro para Intercambio de Datos
58
Certificados y Autoridades certificadoras
59
Responsabilidades de una AC

• Generación de llaves (Intercambio seguro)
• Emisión de Certificados (Que son?)
• Emisión de CRLs (Para que sirven?)

60
Certificados
AC
Entidad a ser Certificada
FJRRH
FJRRH
FJRRH
Verificador
61
Certificados
Certificado
Información de identificación del sujeto
Llave pública del sujeto
Llave privada de la Autoridad de Certificación
Nombre de la Autoridad Certificadora
Generar Firma digital
Número de serie
Firma digital de la Autoridad Certificadora
62
Herramienta básica Certificados Digitales
63
Listas de Revocación de Certificados
64
Autoridad Certificadora
Qué es una CA?
Autoridad de certificación (CA) Clave privada
de la CA
Información del usuario
Algoritmo de Firma
Certificado del usuario Firmado por la CA
Usuario
Clave pública del usuario
Fig. 1. Entorno de una Autoridad Certificadora
65
Aplicación
CA
Verifica CRL
Verifica certificado
?
?
X
Y
1235
66
Certificado TBS
Fig. 1. Entorno de una Autoridad Certificadora
67
Generación de certificado X.509
Fig. 1. Entorno de una Autoridad Certificadora
68
Separación de componentes de un certificado X.509
Fig. 1. Entorno de una Autoridad Certificadora
69
Firma de Certificado
Fig. 1. Entorno de una Autoridad Certificadora
70
Verificación de certificado digital
Fig. 1. Entorno de una Autoridad Certificadora