Confidencialidad, autenticación, integridad y no repudio. Claves de la seguridad

1
El Reto en la Seguridad
Los sistemas de Tecnologías de la Información…
… cambian rápidamente
… son cada vez más complejos
Y los “ataques” son más sofisticados y “atacar” cada vez es más fácil

(Gp:) La seguridad debe ocupar su lugar

2
Seguridad: definición
ISO, en su norma 7498, define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos, donde un bien se define como algo de valor y la vulnerabilidad se define como la debilidad que se puede explotar para violar un sistema o la información que contiene.
Para ello, se han desarrollado protocolos y mecanismos adecuados, para preservar la seguridad.

3
Temas legales
En muchos gobiernos el uso de información cifrada está prohibido.
Los temas de seguridad son muy peliagudos y los Gobiernos tratan de implantar reglas (o estándares de cifrado) que ellos mismos puedan descifrar fácilmente.
La polémica está levantada, pero no es objeto de la asignatura entrar en detalle en estos temas.
Por ejemplo en Francia y EEUU no están permitidas transacciones cifradas, que el gobierno no sea capaz de descifrar, pues pueden utilizarse para comercio de armas, delincuencia, …

4
Marco legislativo español
Real decreto-Ley 14/1999 (17/Sept)
Orden ministerial 21/Feb/2000 aprueba el Reglamento de acreditación de prestadores de servicios de certificación y algunos productos de firma.
Nuevo código penal (título 10: delitos relacionados con las nuevas tecnologías), Reglamento de Seguridad de la LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal), Ley Orgánica de Protección de Datos (15/1999 13 Diciembre),…
Otras leyes sobre: DNI electrónico, Ley de Firma electrónica, Ley de Facturas Telemáticas, …

5
Clasificación de problemas de seguridad
Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:
 
1.-El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados.
 
2.-La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando.
 
3.-El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero.
 
4.-El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas.

Seguridad: Secretos
SubCriptografía

7
Criptografía y criptoanálisis
KRYPTOS= oculto GRAPHE=escrito

El criptoanálisis se encarga de descifrar los mensajes.
Los intrusos utilizan estas técnicas.
La criptografía busca métodos más seguros de cifrado.
Criptografía clásica: cifrados por sustitución y trasposición
Criptografía moderna: cifrados en base a claves

8
Cifrado: codificación de los mensajes
El texto normal (P) se transforma (cifra) mediante una función parametrizada por una clave secreta k evitando el criptoanálisis de intrusos
C=Ek(P) es el texto cifrado (C) obtenido a partir de P, usando la clave K usando la función matemática Ek para codificar
P=Dk(C) es el descifrado de C para obtener el texto normal P

9
Cifrado y descifrado
Dk(Ek(P))=P
E y D son sólo funciones matemáticas parametrizadas con la clave k
Estas funciones E() y D() son conocidas por el criptoanalista, pero no la clave.

1.-Esto es así, porque la cantidad de esfuerzo necesario para inventar, probar e instalar un método nuevo cada vez que el viejo es conocido siempre hace impracticable mantenerlo en secreto.
2.-Este método de cifrado con claves, permite cambiar fácilmente de método de cifrado simplemente con cambiar la clave

10
Cifrado de clave privada (simétrica) y pública (asimétrica): 1/2
El cifrado moderno se divide actualmente en cifrado de clave privada (o simétrica)y cifrado de clave pública (o asimétrica):
-en el cifrado de clave privada (simétrica) las claves de cifrado y descifrado son la misma (o bien se deriva de forma directa una de la otra), debiendo mantenerse en secreto dicha clave. Ejemplo: DES (Data Encryption Standar), DES triple e IDEA (International Data Encryption Algorithm).
-en el cifrado de clave pública (asimétrica), las claves de cifrado y descifrado son independientes, no derivándose una de la otra, por lo cual puede hacerse pública la clave de cifrado siempre que se mantenga en secreto la clave de descifrado. Ejemplo: Cifrado RSA (Rivest, Shamir, Adleman)

11
El cifrado de clave privada, es más rápido que el de clave pública (de 100 a 1000 veces), y por tanto se utiliza generalmente en el intercambio de información dentro de una sesión. Estas claves también son conocidas como claves de sesión o de cifrado simétricas, ya que en ambos extremos se posee la misma clave.
El cifrado de clave pública es más lento y por tanto se utiliza para intercambiar las claves de sesión. Como este algoritmo utiliza dos claves diferentes, una privada y otra pública el cifrado se conoce como cifrado asimétrico.
Cifrado de clave privada (simétrica) y pública (asimétrica): 2/2

12
Notación para cifrado y descifrado en clave simétrica y asimétrica

NOTACION utilizada:
1.- Con claves simétricas, cuando cifra el usuario A y utiliza su clave simétrica KA:
EKA(P) lo indicaremos por simplificación por KA(P)
DKA(P) lo indicaremos también por KA-1(P)

2.- Con claves asimétricas, cuando cifra el usuario A y utiliza su clave KA ,formada por parte privada y parte pública:
Con parte pública =EKA(P) lo indicaremos por EA(P)
Con parte privada=DKA(P) lo indicaremos por DA(P)