Você está na página 1de 13

REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN UNIVERSITARIA


I.U.T.A.I. INSTITUTO DE TECNOLOGA AGRO-INDUSTRIAL
P.N.F. EN INGENIERA EN INFORMTICA
COLN-EDO. TCHIRA (EXTENSIN ZONA NORTE)

CRIPTOGRAFA

AUTORA:
DAYANA DUQUE
C.I.: 20880023
PROF: LISBY MORA
TRAYECTO VI
TRIMESTRE II
TURNO TARDE

SAN JUAN DE COLN; JUNIO DE 2015

CRIPTOGRAFA
La palabra criptologa proviene de las palabras griegas Krypto y Logos, y
significa estudio de lo oculto. Una rama de la criptologa es la criptografa (Kryptos
y Graphos que significa descripcin), que se ocupa del cifrado de mensajes. Esta
se basa en que el emisor emite un mensaje en claro, que es tratado mediante un
cifrador con la ayuda de una clave, para crear un texto cifrado. Este texto cifrado,
por medio de un canal de comunicacin establecido, llega al descifrador que
apoyndose en diversos mtodos.
Otra definicin a tener en cuenta es el significado de criptoanlisis, el cual es
el arte y la ciencia de transgredir las claves de acceso, es decir la que se encarga
de descifrar los mensajes.
En la siguiente figura podemos observar un ejemplo de un criptosistema que
nos muestra como sera el funcionamiento esquemtico, sea cual sea el canal de
transmisin, del cifrado y descifrado de un mensaje en su paso del transmisor al
receptor.

Medio de
Transmisor Transmisor Transmisin
M
C
MT
T
Cifrador Cifrador

Receptor

Mensaje cifrado

R
Descifrador

Fig1.- Ejemplo de criptosistema

LA CRIPTOGRAFA CLSICA
Como ya hemos explicado con anterioridad la criptografa no surge con la era
informtica, sino que ya viene desde los principios de la historia. Algunos de los
algoritmos que han sido utilizados son los siguientes:
1.1.-Rellenos de una sola vez
Cifrado: Se escoge una cadena de bits al azar como clave, y se va aplicando
sobre el texto normal con una XOR bit a bit
Descifrado: Se vuelve a aplicar XOR con la misma cadena de cifrado.
Inconvenientes: Manejo de la clave entre emisor y receptor y su sincronizacin.
1.2.-Sustitucin

Consiste en la sustitucin de parte del texto original, mediante el


desplazamiento (rgido o progresivo) o bien utilizando coordenadas de tablas.
Ejemplos de este tipo son (Cifrado de Julio Cesar, Polybus y Trithemius). La
forma de descifrar es invirtiendo el cifrado, y mantiene los mismos problemas que
el de relleno.
1.3.-Transposicin
Se basa en la reordenacin aplicada al texto original mediante una clave
establecida. Al igual que en el primer mtodo el descifrado se realiza mediante la
clave y de nuevo la reordenacin, presenta los mismos inconvenientes que el
primer mtodo.
Como hemos podido observar en los algoritmos explicados anteriormente la
dificultad en el cifrado y el descifrado no es muy complejo, si tenemos en cuenta
las posibilidades que nos ofrecen hoy en da los ordenadores, la capacidad de
cmputo es muy elevada. Por otra parte hay que tenerlos en cuenta pues sientan
las bases de la criptografa y nos indican lo importante que ha sido la informacin.

LA CRIPTOGRAFA MODERNA
La criptografa moderna se basa en las mismas ideas bsicas que la
criptografa tradicional, la transposicin y la sustitucin, pero con distinta
orientacin. En la criptografa moderna el objetivo es hacer algoritmos de cifrado
complicados y rebuscados.
En la figura 1 vemos un criptosistema, los criptosistemas no son otra cosa que
una representacin del sistema de criptografa que utilizamos en un determinado
sistema de seguridad.
Segn el tratamiento del mensaje se dividen en:
Cifrado en bloque
-DES
-El texto original se codifica en bloques de 64 bits, clave de 56 bits
y 19 etapas diferentes.
-El descifrado se realiza con la misma clave y los pasos inversos.
-El inconveniente es que puede ser descifrado probando todas las
combinaciones posibles, cosa que queda solucionada con Doble

DES (ejecuta el DES 2 veces con 3 claves distintas) y el Triple Des


(2 claves y 3 etapas).
-IDEA
-Tenemos una clave e 128 bits con 8 iteraciones.
-El descifrado se realiza aplicando el mismo algoritmo pero con
subclaves diferentes
-RSA
-Se basa en la dificultad de factorizar nmero grandes por parte de
los ordenadores.
-Los pasos son:
-Seleccionar 2 nmeros primos grandes.
-Calcular n=p*q y z= (p-1)*(q-1).
-Seleccionar un nmero primo d con respecto a z
-Encontrar e tal que e*d = 1 ( mod z )e*d mod z = 1.
-El algoritmo es el siguiente:
-Dividimos el texto normal en bloques P, que cumplen que
0<P<n
-Para cifrar un mensaje P calculamos C = p^e( mod n).
-Para descifrar C calculamos P = C^d (mod n).
-El principal inconveniente como es de suponer es la lentitud.
-Hay que destacar que el RSA pertenece a los algoritmos con clave
pblica mientras que el DES y el IDEA son algoritmos de clave
secreta.
Cifrado en flujo (A5, RC4, SEAL) cifrado bit a bit
A5 Es el algoritmo de cifrado de voz. Gracias a l, la conversacin va
encriptada. Se trata de un algoritmo de flujo [stream cipher] con una clave de 64
bits. Hay dos versiones, denominadas A5/1 y A5/2; esta ltima es la versin
autorizada para la exportacin, y en consecuencia resulta ms fcil de atacar.
Segn el tipo de claves se dividen en:

Cifrado con clave secreta o Criptosistemas simtricos


Existir una nica clave (secreta) que deben compartir emisor y receptor.
Con la misma clave se cifra y se descifra por lo que la seguridad reside slo en
mantener dicha clave en secreto.

Medio de
k
M
EK

Transmisin

C
MT

DK

Texto
Base

M
Texto

Criptograma

Con Ek ciframos el mensaje original aplicndole la clave k y con Dk lo


desciframos, aplicndole de la misma forma la clave k.
La confidencialidad y la integridad se lograrn si se protegen las claves en
el cifrado y en el descifrado. Es decir, se obtienen simultneamente si se protege
la clave secreta.
Cifrado con clave pblica o Criptosistemas asimtricos
Cada usuario crea un par de claves, una privada para descifrar y otra
pblica para cifrar, inversas dentro de un cuerpo finito. Lo que se cifra en emisin
con una clave, se descifra en recepcin con la clave inversa. La seguridad del
sistema reside en la dificultad computacional de descubrir la clave privada a partir
de la pblica. Para ello, usan funciones matemticas de un solo sentido con
trampa.
El nacimiento de la criptografa asimtrica se dio al estar buscando un modo
ms prctico de intercambiar las claves simtricas. Diffie y Hellman, proponen una
forma para hacer esto, sin embargo no fue hasta que el popular mtodo de Rivest
Shamir y Adleman RSA publicado en 1978, cuando toma forma la criptografa
asimtrica, su funcionamiento est basado en la imposibilidad computacional de
factorizar nmeros enteros grandes.

Base

Medio de
Transmisin

Clave pblica
del usuario B
M

Criptograma

DB

MT

EB

Usuario A

Clave privada
del usuario B

Usuario B

Hay que tener en cuenta que Eb y Db son inversas dentro de un cuerpo,


adems se debe de tener en cuenta que se cifra con la clave pblica del
destinatario, de forma que conseguimos que solo l, al tener su clave privada
pueda acceder al mensaje original.

Medio de
Transmisin

Clave privada
del usuario A
M

EA

MT

DA

Usuario A

Clave pblica
del usuario A

M
Usuario B

Criptograma
En este segundo caso podemos observar cmo est basado en el cifrado
con la clave privada del emisor y al igual que antes hay que tener en cuenta que
Ea y Da son inversas dentro de un cuerpo.

Llegados a este punto la pregunta que nos deberamos de hacer es, que utilizar,
clave pblica o privada, pues bien, como siempre depende:
-

Los sistemas de clave pblica son ms lentos, aunque como


hemos visto es posible que no sean tan seguros. Hay algunos
tipos de ataques que les pueden afectar.

Los sistemas de clave privada son ms lentos, aunque son ms


seguros, los algoritmos son ms complejos y es ms difcil su
traduccin por otros sujetos.

Esteganografa
La esteganografa (del griego (steganos): cubierto u oculto,
y (graphos): escritura), trata el estudio y aplicacin de tcnicas que
permiten ocultar mensajes u objetos, dentro de otros, llamados portadores, de
modo que no se perciba su existencia. Es decir, procura ocultar mensajes dentro
de otros objetos y de esta forma establecer un canal encubierto de comunicacin,
de modo que el propio acto de la comunicacin pase inadvertido para
observadores que tienen acceso a ese canal.
Esta ciencia ha suscitado mucho inters en los ltimos aos, especialmente
en el rea de seguridad informtica, debido a que ha sido utilizada por

organizaciones criminales y terroristas. No obstante, no se trata de nada nuevo,


pues se lleva empleando desde la antigedad, y ha sido tradicionalmente utilizada
por las instituciones policiales, militares y de inteligencia; as como por criminales
o civiles que desean eludir el control gubernamental, especialmente en
regmenes tirnicos.
La esteganografa clsica se basaba nicamente en el desconocimiento
del canal encubierto bajo uso, mientras que en la era moderna tambin se
emplean canales digitales (imagen, video, audio, protocolos de comunicaciones,
etc.) para alcanzar el objetivo. En muchos casos, el objeto contenedor es
conocido, y lo que se ignora es el algoritmo de insercin de la informacin en
dicho objeto.
Para que pueda hablarse de esteganografa, debe haber voluntad de
comunicacin encubierta entre el emisor y el receptor.
Tcnicas ms utilizadas segn el tipo de medio
En documentos: El uso de esteganografa en los documentos puede funcionar
con slo aadir un espacio en blanco y las fichas a los extremos de las lneas de
un documento. Este tipo de esteganografa es extremadamente eficaz, ya que el
uso de los espacios en blanco y tabs no es visible para el ojo humano, al menos
en la mayora de los editores de texto, y se producen de forma natural en los
documentos, por lo que en general es muy difcil que levante sospechas.
En imgenes: El mtodo ms utilizado es el LSB, puesto que para un computador
un archivo de imagen es simplemente un archivo que muestra diferentes colores e
intensidades de luz en diferentes reas(pxeles). El formato de imagen ms
apropiado para ocultar informacin es el BMP color de 24 bitBitmap), debido a que
es el de mayor proporcin (imagen no comprimida) y normalmente es de la ms
alta calidad. Eventualmente se prefiere optar por formatos BMP de 8 bits o bien
otros tales como el GIF, por ser de menor tamao. Se debe tener en cuenta que el
transporte de imgenes grandes por Internet puede despertar sospechas.
Cuando una imagen es de alta calidad y resolucin, es ms fcil y
eficiente ocultar y enmascarar la informacin dentro de ella.
La desventaja del mtodo LSB es que es el ms conocido y popular, por
tanto el ms estudiado. Deja marcas similares a ruido blanco en el portador
(imagen contenedora), lo cual la convierte en altamente detectable o vulnerable a
ataques de estegoanlisis, para evitarlo se recurre a dispersar el mensaje, en
general usando secuencias aleatorias.
Es importante notar que si se oculta informacin dentro de un archivo de
imagen y este es convertido a otro formato, lo ms probable es que la informacin
oculta dentro sea daada y, consecuentemente, resulte irrecuperable.
En audio: Cuando se oculta informacin dentro de archivos de audio, por lo
general la tcnica usada es low bit encoding (baja bit de codificacin), que es
similar a la LSB que suele emplearse en las imgenes. El problema con el low bit

encoding es que en general es perceptible para el odo humano, por lo que es ms


bien un mtodo arriesgado que alguien lo use si estn tratando de ocultar
informacin dentro de un archivo de audio.
Spread Spectrum tambin sirve para ocultar informacin dentro de un
archivo de audio. Funciona mediante la adicin de ruidos al azar a la seal de que
la informacin se oculta dentro de una compaa area y la propagacin en todo el
espectro de frecuencias.
Otro mtodo es Echo data hiding, que usa los ecos en archivos de
sonido con el fin de tratar de ocultar la informacin. Simplemente aadiendo extra
de sonido a un eco dentro de un archivo de audio, la informacin puede ser
ocultada. Lo que este mtodo consigue mejor que otros es que puede mejorar
realmente el sonido del audio dentro de un archivo de audio.
En vdeo: En vdeo, suele utilizarse el mtodo DCT (Discrete Cosine Transform).
DCT funciona cambiando ligeramente cada una de las imgenes en el vdeo, slo
de manera que no sea perceptible por el ojo humano. Para ser ms precisos
acerca de cmo funciona DCT, DCT altera los valores de ciertas partes de las
imgenes, por lo general las redondea. Por ejemplo, si parte de una imagen tiene
un valor de 6,667, lo aproxima hasta 7.
Esteganografa en vdeo es similar a la aplicada en las imgenes,
adems de que la informacin est oculta en cada fotograma de vdeo. Cuando
slo una pequea cantidad de informacin que est oculta dentro del cdigo
fuente por lo general no es perceptible a todos. Sin embargo, cuanta mayor
informacin se oculte, ms perceptible ser.

Funciones de Autenticacin
Autenticacin, autentificacin (no recomendado) o mejor dicho acreditacin, en
trminos de seguridad de redes de datos, se puede considerar uno de los tres
pasos fundamentales (AAA). Cada uno de ellos es, de forma ordenada:
1. Autenticacin. En la seguridad de ordenador, la autenticacin es el
proceso de intento de verificar la identidad digital del remitente de
una comunicacin como una peticin para conectarse. El remitente
siendo autenticado puede ser una persona que usa un ordenador,
un ordenador por s mismo o un programa del ordenador. En un web
de confianza, "autenticacin" es un modo de asegurar que los
usuarios son quien ellos dicen que ellos son - que el usuario que
intenta realizar funciones en un sistema es de hecho el usuario que
tiene la autorizacin para hacer as.
2. Autorizacin. Proceso por el cual la red de datos autoriza al usuario
identificado a acceder a determinados recursos de la misma.

3. Auditora. Mediante la cual la red o sistemas asociados registran


todos y cada uno de los accesos a los recursos que realiza el
usuario autorizados o no.
El problema de la autorizacin a menudo, es idntico a la de autenticacin;
muchos protocolos de seguridad extensamente adoptados estndar, regulaciones
obligatorias, y hasta estatutos estn basados en esta asuncin. Sin embargo, el
uso ms exacto describe la autenticacin como el proceso de verificar la identidad
de una persona, mientras la autorizacin es el proceso de verificacin que una
persona conocida tiene la autoridad para realizar una cierta operacin. La
autenticacin, por lo tanto, debe preceder la autorizacin. Para distinguir la
autenticacin de la autorizacin de trmino estrechamente relacionada, existen
unas notaciones de taquigrafa que son: A1 para la autenticacin y A2 para la
autorizacin que de vez en cuando son usadas, tambin existen los trminos
AuthN y AuthZ que son usados en algunas comunidades.

Mtodos de Autenticacin
Los mtodos de autenticacin estn en funcin de lo que utilizan para la
verificacin y estos se dividen en tres categoras:

Sistemas basados en algo conocido. Ejemplo, un password (Unix)


o passphrase (PGP).

Sistemas basados en algo posedo. Ejemplo, una tarjeta de identidad,


una tarjeta inteligente(smartcard), dispositivo usb tipo epass
token, Tarjeta de coordenadas, smartcard o dongle criptogrfico.

Sistemas basados en una caracterstica fsica del usuario o un acto


involuntario del mismo: Ejemplo, verificacin de voz, de escritura, de
huellas, de patrones oculares.

Un certificado digital o certificado electrnico


Es un fichero informtico generado por una entidad de servicios de
certificacin que asocia unos datos de identidad a una persona fsica, organismo o
empresa confirmando de esta manera su identidad digital en Internet. El certificado
digital es vlido principalmente para autenticar a un usuario o sitio web en internet
por lo que es necesaria la colaboracin de un tercero que sea de confianza para
cualquiera de las partes que participe en la comunicacin. El nombre asociado a
esta entidad de confianza es Autoridad Certificadora pudiendo ser un organismo
pblico o empresa reconocida en Internet.
El certificado digital tiene como funcin principal autenticar al poseedor pero
puede servir tambin para cifrar las comunicaciones y firmar digitalmente. En

algunas administraciones pblicas y empresas privadas es requerido para poder


realizar ciertos trmites que involucren intercambio de informacin sensible entre
las partes.
La utilizacin de los certificados electrnicos, nos permite garantizar la
aplicacin de los siguientes principios fundamentales en toda contratacin:
Autenticacin: Las partes involucradas en la
forma rpida y mutua sus identidades mediante
cdigos, evitndose, de esta forma uno de los
comercio electrnico, es decir, el uso de
contratantes.

transaccin pueden verificar de


la utilizacin de los mencionados
problemas ms habituales en el
identidades falsas por partes

Confidencialidad: Al haberse cifrado la informacin transmitida se garantiza que


la misma no pueda ser interferida por un tercero mientras viaja por la red,
permitiendo slo la lectura a los destinatarios del mismo.
Integridad: Mediante el encriptado de mensajes se garantiza que la informacin
recibida no ha sido violada ni modificada por cualquier tercero.
No repudio: Una vez recibido el mensaje por el destinatario del mismo, ste no
podr repudiarlo.

Firma Digital
Una firma digital es aquella que utiliza un mecanismo de llaves (clave)
pblica y privada que vinculan la identidad de una parte (en una relacin o
transaccin) a un determinado mensaje de datos electrnico, lo que permite que
sea detectable cualquier modificacin ulterior de estos datos, de forma similar a
como una firma escrita vincula el documento firmado con el autor de la firma.
Por otro lado la Comisin Europea al establecer el marco legal para las
Firmas Electrnicas establece en su articulado dos (2) definiciones:
1. Firma Electrnica articulo 2 (1): Datos en formato electrnico vinculado
o lgicamente asociado con otros datos electrnicos y que sirven como medio de
autenticacin.
2. Firma Electrnica Avanzada Articulo 2 (2): Una firma singularmente
vinculada a su signatario, capaz de identificar al mismo, que puede ser mantenida
bajo su slo control y est igualmente vinculada a los datos a los que se refiere de
tal modo que todo cambio ulterior sera detectable.

Hackear
Hackear se refiere a la accin de explorar y buscar las limitantes de un
cdigo o de una mquina. Segn el "Glosario del Argot Hacker" o "Jargon File",
cuyo creador fue Eric S. Raymond, el trmino hackear tambin significa accin de

irrumpir o entrar de manera forzada a un sistema de cmputo o a una red. Este


ltimo significado para muchos hace alusin al trmino crackear.

Tipos de hackeo
Troyanos va mensajera instantnea: Este tipo de hackeo se basa en la
instalacin de un programa con un troyano o "caballo de troya", como algunos lo
llaman en referencia a la mitologa griega, el cul sirve como una herramienta
remota para hackear. Tiene la habilidad de ocultarse y su uso no est autorizado.
Una vez ejecutado controla a la computadora infectada. Puede leer, mover, borrar
y ejecutar cualquier archivo. Una particularidad del Troyano es que a la hora de
ser cargado en un programa de mensajera instantnea de forma remota, el
hacker sabr el momento en que el usuario se conecta. Es aqu donde el intruso
podr robar informacin. La transmisin de datos de la computadora infectada a la
del intruso se lleva a cabo gracias a que el programa de mensajera instantnea
abre un tnel de comunicacin el cual ser aprovechado por el atacante. Cabe
sealar que los troyanos tienen una apariencia inofensiva y no propagan la
infeccin a otros sistemas por s mismos y necesitan recibir instrucciones directas
de una persona para realizar su propsito.
Sniffeo: Es la prctica de poder capturar tramas de informacin que viajan sobre
la red. Toda la informacin que viaja sobre el Internet, y que llega a una terminal,
como lo es una computadora, es capturado y analizado por dicho dispositivo. Sin
embargo, un sniffer captura dicha informacin a la cual se le llama trama, y
mediante una tcnica llamada "inyeccin de paquetes" puede llegar a modificar,
corromperla y reenviar dicha informacin. Con esto se logra engaar a los
servidores que proveen servicios en el Internet.
Fuerza bruta: Ataque de fuerza bruta es la prctica de ingresar al sistema a
travs de "probar" todas las combinaciones posibles de contrasea en forma
sistemtica y secuencial. Existen distintas variantes para este tipo de ataques,
pero todos basados en el mismo principio: agotar las combinaciones posibles
hasta que se encuentre un acceso vlido al sistema.
Negacin de servicio (Denial of Service-DoS): Un ataque parcial de negacin
de servicio hace que el CPU consuma muchos recursos y la computadora se
ponga inestable. Otra forma de ataque es lo que se conoce como "flood", el cual
consiste en saturar al usuario con mensajes va mensajera instantnea al punto
que la computadora deje de responder y se pasme. 5 De ah que los ataques de
negacin de servicio en programas de mensajera instantnea haga que el
programa deje de funcionar.
Fishing o Phishing: El trmino phishing se empez a usar en 1996. Es una
variante de fishing pero con "ph" de phone que significa telfono. Se refiere al

engao por medio de correos electrnicos a los usuarios que tienen cuentas
bancarias. Segn estadsticas del Centro de Quejas de Crmenes por Internet en
EUA, la prdida debido a estafas por correo fue de $1.256 mdd en 2004 y de
acuerdo con el Grupo de Trabajo Anti-Phishing ha habido un incremento de 28%
en los ltimos 4 meses en las estafas por correo electrnico.
Web sites falsos (Fake Websites): La tcnica de crear sitios web falsos se ha
vuelto muy popular hoy en da. Se trata de subir a la red, mediante links falsos,
interfaces idnticas a pginas web reales. De esta forma el usuario piensa que la
pgina es real y empieza a llenar su informacin, normalmente bancaria. En la
mayora de los casos piden al usuario poner su clave o que entre al sistema con
su informacin de cuenta. Despus manda una alerta de que el servidor no
responde para no levantar dudas.
Hijacking y suplantacin (Impersonation): Uno de los mtodos ms usados es
el eavesdropping el cual pretende recabar informacin como cuentas de usuario,
claves, etc. Esto se logra por la incursin de los trojanos en la computadora,
nicamente para recabar informacin de usuario. Una vez teniendo esa
informacin se puede lograr la suplantacin y se sigue con el proceso hasta tener
informacin de gente cercana al usuario infectado.
Ingeniera inversa: Se refiere al proceso por el que se obtiene o duplica el cdigo
fuente de un programa. Asimismo cuando un dispositivo electrnico o de software
es procesado para determinar sus componentes ya sea para hacer modificaciones
o copias, estamos hablando de ingeniera inversa. Es decir, este es el proceso
mediante el cual se obtiene el cdigo de programacin de un software que luego
ser modificado utilizando esta misma codificacin. Por ejemplo, esto es lo que se
utiliza al realizar un ejecutable para evadir el cdigo de registro de un producto, de
modo que al alterar el programa con su propio cdigo esta modificacin resulta
compatible y no altera sus funcionalidades. Este proceso se conoce comnmente
como "crackeo" o "cracking" y se diferencia del "hack" o "hacking", pues su
concepcin es distinta.
Ingeniera social: El trmino ingeniera social, es un trmino usado para hackear
a las personas mediante la psicologa. Se usa en sistemas con una seguridad ms
compleja, como servicios derivados de protocolos seguros que hacen difcil el
poder usar las tcnicas habituales de un hackeo. Esta tcnica consiste
bsicamente en usar la psicologa para obtener informacin de la vctima; misma
informacin que puede ser usada para complementar un ataque de hackeo.
Asimismo la ingeniera social, puede ayudar al atacante a pasar un programa
malicioso a la vctima, que permite complementar el ataque.
En este rubro tenemos a Kevin Mitnick, un afamado hacker, que ayudado de la
ingeniera social, gan acceso no autorizado a los sistemas computacionales
de Sun MicroSystems. Despus de cumplir una condena de 48 meses en prisin,

es actualmente un consultor de seguridad informtica adems de fundar su propia


compaa Mitnick Security.