Seguridad en Sistemas de Información Francisco Rodríguez Henríquez Introducción a la Seguridad...
-
Upload
chucho-paz -
Category
Documents
-
view
110 -
download
1
Transcript of Seguridad en Sistemas de Información Francisco Rodríguez Henríquez Introducción a la Seguridad...
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Introducción a la Seguridad en Sistemas Informáticos
Francisco Rodríguez-HenríquezCINVESTAV-IPN
Depto. de Ingeniería Eléctrica Sección de Computación
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Menú de proyectos
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Temas de investigación
1. Elecciones Electrónicas
2. Monedero digital
3. Autenticación biométrica
4. Notaría digital
5. Mecanismos de seguridad en IEEE 802.11
6. Mecanismos de seguridad en el protocolo Bluetooth
7. Mecanismos de seguridad en RFIDs
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Motivación y Antecedentes
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Fundamentos de Seguridad Informática
ProtocolosSeguros
Cripto-grafía
PKI
Políticas deAdministración
De Servicios
Criptografía Mecanismos y algoritmos básicos para la Protección de la información.
Protocolos Seguros Servicios de Autenticación Comunicaciones seguras y transacciones
PKI – Infraestructura de Llave Pública Generación, distribución y administración de certificados de llave pública.
Políticas de Administración de Servicios Servicios de autorización y control de
acceso Políticas y normas de seguridad ...
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
referencias en Internet
• ITU-T X.800 Arquitectura de Seguridad para OSI– Recomienda una forma sistemática de proveer
seguridad y cumplir con requerimientos de calidad
• RFC 2828– 200 páginas de glosario de seguridad en Internet
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Modelo de Capas para Sistemas de Seguridad
Aritmética Computacional : Suma, Elevar al cuadrado, multiplicación, inversión y Exponenciación
Aritmética Computacional : Suma, Elevar al cuadrado, multiplicación, inversión y Exponenciación
Algoritmos de Llave Pública: RSA, ECCAlgoritmos de llave Simétrica: AES, DES, RC4, etc..
Algoritmos de Llave Pública: RSA, ECCAlgoritmos de llave Simétrica: AES, DES, RC4, etc..
Funciones Criptográficas: Cifrar/Descifrar, Firmar/Verificar
Funciones Criptográficas: Cifrar/Descifrar, Firmar/Verificar
Servicios de Seguridad: Confidencialidad, Integridad de Datos, Autenticación, No-Repudio
Servicios de Seguridad: Confidencialidad, Integridad de Datos, Autenticación, No-Repudio
Protocolos de Comunicación: SSL/TLS/WTLS, IPSEC, IEEE 802.11, etc.
Protocolos de Comunicación: SSL/TLS/WTLS, IPSEC, IEEE 802.11, etc.
Aplicaciones: correo electrónico seguro, monedero digital, elecciones electrónicas, cortafuegos, etc.
Aplicaciones: correo electrónico seguro, monedero digital, elecciones electrónicas, cortafuegos, etc.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Dilema fundamental de la seguridad
• Usuarios sin conciencia de la seguridad
tienen demandas de seguridad específicas
pero sin tener ningún conocimiento técnico.
• Solución: Niveles de seguridad predefinidos y
clasificados de acuerdo a algún grupo de
criterios.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Tres leyes de la seguridad
• No existen sistemas absolutamente seguros
• Para reducir su vulnerabilidad a la mitad se tiene
que doblar el gasto en seguridad
• Típicamente, los intrusos brincan la criptografía,
no la rompen.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Ataques
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Recursos y Métodos de Ataques
Recurso Adolescente Académico Org. Crimen Gobiernos
Tiempo Limitado Moderado mucho Mucho
Presupuesto <$1000 $10K-$100K $100K+ ¿?
Creatividad Varía Alta Varía Varía
Detectabilidad Alta Alta baja Baja
Objetivo Reto Publicidad dinero Varía
Número muchos Moderado pocos ¿?
Organizado No No sí Sí
Dist. info? sí sí Varía NoSource: Cryptography Research, Inc. 1999, “Crypto Due Diligence”
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Ataques a la Seguridad: Activos y Pasivos
• Activo• Mascarada (impersonar)• Replay
• Modificación del mensaje
• Denegación de servicio (DoS)
• Pasivo• Análisis de tráfico
• distribución no autorizada de la información
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Ataques a la SeguridadAtaques a la Seguridad
Ataques Pasivos
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Ataques Activos
Ataques a la SeguridadAtaques a la Seguridad
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Clases de Ataques a la Seguridad
• Interrupción
• Intercepción
• Modificación
• FabricaciónAnita Betito
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
• Interrupción
• Intercepción
• Modificación
• FabricaciónAnita Betito
• Disponibilidad
Clases de Ataques a la Seguridad: Interrupción
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
• Interrupción
• Intercepción
• Modificación
• Fabricación Anita Betito
• Confidencialidad
Clases de Ataques a la Seguridad: Intercepción
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
• Interrupción
• Intercepción
• Modificación
• Fabricación Anita Betito• Integridad
Clases de Ataques a la Seguridad: Modificación
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
• Interrupción
• Intercepción
• Modificación
• FabricaciónAnita Betito
• Autenticidad
Clases de Ataques a la Seguridad: Fabricación
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Ataques
Accidental Intencional•Errores software
•Errores hardware
• Mala administración
Pasivo Activo•Divulgación de datos•Análisis de tráfico
• Mod. datos• retrasos• bloqueo• copia datos• revirar datos• destrucción datos
Ataques a la SeguridadAtaques a la Seguridad
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Servicios de Seguridad
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Servicios de Seguridad
• Confidencialidad
• Autenticación
• Identificación
• Integridad
• No-repudio
• Control de acceso
• Disponibilidad
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Servicios de Seguridad (1/2)
1. Confidencialidad. La confidencialidad asegura que la información sensible sólo podrá ser consultada o manipulada por usuarios, entidades o procesos autorizados.
2. Integridad. La integridad da la certeza de que la
información no ha sido modificada por entidades
no autorizadas para hacerlo. Dentro de las
posibles modificaciones están la escritura,
modificación o borrado de segmentos de datos.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Servicios de Seguridad (2/2)
3. Autenticación. La autenticación asegura que la identidad de los participantes es verdadera. Se pueden evaluar tres aspectos para autenticar usuarios: verificar algo que el usuario tiene; poner a prueba al usuario sobre algo que sabe, esto es, pedirle una contraseña y, finalmente, el tercer aspecto es verificar algo que el usuario es, por ejemplo, analizar sus huellas dactilares o su retina.
4. No repudio. El no repudio ofrece protección a un usuario o entidad frente a que otro usuario niegue posteriormente que en realidad se realizó cierta transacción.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Tipos de Autenticación (1/2)
1. Autenticación del mensaje. Consiste en la verificación de que una de las partes es la fuente original del mensaje, es decir, autentica la procedencia de un mensaje. Este tipo de autenticación asegura la integridad del mensaje.
2. Autenticación de entidad. Consiste en el proceso donde una parte se asegura de la identidad de la segunda parte involucrada en el protocolo de comunicación.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Tipos de Autenticación (2/2)
3. Autenticación de llave. Este tipo de autenticación
permite que una parte se asegure que ninguna
otra entidad no confiable pueda tener acceso a la
llave privada correspondiente.
4. Autenticación de transacción. Este tipo de
autenticación provee autenticación de mensaje y
además garantiza la existencia única y temporal
de los datos.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Tipos de Autenticación y Propiedades
Propiedades/Tipo de Autenticación
Identificación de origen
Identificación de datos
Tiempo o unicidad
Aut. mensaje -
Aut. de transacción Aut. de entidad - Aut. llave deseable
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Relación
Integridad
Autenticación
No repudio
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Bloques Básicos
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Seguridad: Bloques Básicos
• Cifrado/descifrado provee:
– confidencialidad, puede proveer autenticación e integridad de datos.
• Funciones hash proveen:
– Protección de integridad, puede proveer autenticación
• Firmas Digitales proveen:
– autenticación, protección de integridad, y no-repudio.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
• Llave pública/privada
– Una llave es el inverso matemático de la otra
– Las llaves privadas son conocidas sólo por los legítimos dueños.
– Las llaves públicas son almacenadas en certificados (estándar X.509).
– Algoritmos: RSA , Diffie-Hellman, DSA
Llaves
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Criptografía de llave secreta
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Modelo simplificado de Cifrado
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Criptografía Simétrica• Algoritmos altamente eficientes. Ambas partes convienen en
compartir el mismo secreto
• Desventajas: un problema importante es la distribución de las llaves. En un sistema con n usuarios se necesita generar n(n-1)/2 llaves.
• La administración de llaves también tiende a ser problemática
• Algoritmos utilizados:
– DES - 56 bit key
– 3DES usa tres llaves DES
– IDEA 128 bits
– AES fue escogido como el nuevo estándar de cifrado en el 2000.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Funciones Hash
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Digestión de Mensajes
• También conocido como función hash de solo ida, es una huella digital única de longitud fija.
• Entrada de longitud arbitraria, salida de longitud fija (128 o 160 bits).
• Un buen algoritmo de digestión debe poseer las siguientes propiedades:– El algoritmo debe aceptar cualquier longitud de mensaje.
– El algoritmo debe producir un digesto de longitud fija para cualquier mensaje de entrada.
– El digesto no debe revelar nada acerca del mensaje de entrada que lo
originó. – Es imposible producir un digesto pre-determinado.
– Es imposible hallar dos mensajes que produzcan el mismo digesto.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Esquema convencional de una función hash
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Algoritmos Hash• Usados para
– Producir huellas digitales de longitud fija para documentos de longitud arbitraria
– Producir información útil para detectar modificaciones maliciosas
– Traducir contraseñas a salidas de longitud fija.
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Esquema convencional de una función hash
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Obtención de llave privada
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Criptografía de llave pública
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Criptografía de llave pública: confidencialidad
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Criptografía de llave pública: Firma Digital
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Protocolo PGP: Firma
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Protocolo PGP: Verificación
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
El problema de la autenticación
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Ataques en una red Inalámbrica
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Protocolo Diffie-Hellman
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Ataque del Intruso de en medio
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
¿Solución: Autenticación mutua?
BBAA
Hola soy A, R1
R2, KAB {R1}
KAB{R2}
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Ataque Reflexivo
T
BBBT
B
Hola soy A, R1
R2, KAB{R1}
Hola soy A, R2
R3, KAB{R2}
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Usurpación de la Identidad Usurpación de la identidadUsurpación de la identidad
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Protocolos de Autenticación
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Autenticación por retos
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Autenticación a través de una tercera entidad
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Autenticación TLS
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Sistema Seguro para Intercambio de Datos
Módulo de Negociación
en el Cliente usando
TLS/WTLS
Módulo de Negociación
en elServidor usando
TLS/WTLS
Llave de Sesión
Intercambio de
Datos
Parámetros Criptográficos
Datos recibidos
Datos recibidosDatos a Intercambiar
Módulo para Intercambio de
Datos
Llave de Sesión
Módulo para Intercambio de
Datos
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Certificados y Autoridades certificadoras
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
• Generación de llaves (Intercambio seguro)
• Emisión de Certificados (¿Que son?)
• Emisión de CRL’s (¿Para que sirven?)
Responsabilidades de una AC
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Certificados
Entidad a ser CertificadaAC
Verificador
FJRRH
FJRRH
FJRRH
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Información de identificación del sujeto
Llave pública del sujeto
Nombre de la Autoridad Certificadora
Número de serie
Firma digital de la Autoridad Certificadora
GenerarFirma digital
Llave privada de la Autoridad de Certificación
Certificado
Certificados
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Herramienta básica: Certificados Digitales
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Listas de Revocación de Certificados
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Usuario
Autoridad de certificación (CA)
Clave privada de la CA
Algoritmo de Firma
Certificado del usuarioFirmado por la CA
Información del usuario
Clave pública del usuario
Fig. 1. Entorno de una Autoridad Certificadora
¿Qué es una CA?
Autoridad Certificadora
Seguridad en Sistemas de Información Francisco Rodríguez Henríquez
Aplicación
CA
X Y
CRL
Verificacertificado
??
1235
VerificaCRL
Seguridad en Sistemas de Información Francisco Rodríguez HenríquezFig. 1. Entorno de una Autoridad Certificadora
Certificado TBS
Seguridad en Sistemas de Información Francisco Rodríguez HenríquezFig. 1. Entorno de una Autoridad Certificadora
Generación de certificado X.509
Seguridad en Sistemas de Información Francisco Rodríguez HenríquezFig. 1. Entorno de una Autoridad Certificadora
Separación de componentes de un certificado X.509
Seguridad en Sistemas de Información Francisco Rodríguez HenríquezFig. 1. Entorno de una Autoridad Certificadora
Firma de Certificado
Seguridad en Sistemas de Información Francisco Rodríguez HenríquezFig. 1. Entorno de una Autoridad Certificadora
Verificación de certificado digital