Criptografia Basica
Páginas: 6 (1305 palabras)
Publicado: 12 de marzo de 2013
Criptografía
Cifrado simétrico
Los algoritmos de cifrado y descifrado usan una única clave secreta compartida por emisor y receptor. La clave debe mantenerse en secreto. El punto débil de este tipo de cifrados es conseguir un intercambio seguro de la clave entre emisor y receptor. Este tipo de cifrados usan una combinación de operaciones de confusión y difusión (Redes Feistel): • • Confusión.Pretende hacer la relación entre clave y el texto cifrado resultante lo más compleja posible. El texto cifrado debe dar la apariencia de ser totalmente aleatorio. Difusión. Pretende disipar la estructura estadística del texto en claro en el texto cifrado resultante; es decir, ocultar la relación estadística entre texto en claro y cifrado.
Algunos algoritmos simétricos son: DES (y 3DES), AES, IDEA,Blowfish, RC5, RC4 y Trivium.
Cifrado asimétrico
Se usa un par de claves (privada y pública), una para el cifrado y otra distinta para el descifrado. Ambas claves están relacionadas y se generan de forma conjunta. Una de ellas es conocida por todos los posibles emisores (pública). La otra solo debe ser conocida por el propietario (privada). El punto débil de este tipo de cifrados es una difusiónfiable de la clave pública a todos los participantes (emisores), además de un alto coste computacional. Este tipo de cifrado es extensible a otros servicios: confidencialidad, distribución de claves, autentificación y firma digital. Algunos algoritmos asimétricos son: RSA, Diffie-Hellman, El Gamal, DSA, ECC, ECDSA.
Certificado digital
Solución para que la clave pública sea fiable. Para ello seconfía en un tercero que comprueba y certifica la identidad del propietario. La autoridad certificadora (CA) firma digitalmente un certificado digital que vincula la identidad del usuario con la clave pública. El funcionamiento básico requiere que se meta un certificado para cada participante.
Seguridad en el desarrollo de aplicaciones
Desbordamiento de buffer
Son causados por errores o descuidos deprogramación. Estos errores permiten almacenar datos superando la capacidad para un buffer de tamaño fijo y hace posible sobreescribir regiones de memoria adyacentes al buffer. Esto deriba en corrupción de los datos, transferencia de control, violación de privilegios y ejecución de código inyectado por el atacante. El esquema más habitual es el desbordamiento en pila. La idea base es escribir pordebajo de la dirección de retorno de la función.
Las contramedidas contra este tipo de vulnerabilidades en tiempo de compilación son: uso de lenguajes con tipado fuerte, fomentar el desarrollo de software seguro (restricciones de seguridad y revisión del código nuevo y viejo), uso de versiones seguras de funciones que no permiten el control de desbordamiento (limitan el nº de bytes escritos) yel uso de compiladores que detecten alteraciones en la pila. Las contramedidas en tiempo de ejecución: uso de cpus y so que impidan la ejecución de código en zonas que no estén marcadas como tal, uso de direcciones aleatorias de memoria para la carga de programas, uso de IDS, seguimientos de alertas de vulnerabilidades para la actualización del software y disponer de bases de datos devulnerabilidades.
Vulnerabilidades web
Las vulnerabilidades web son recogidas en OWASP que pretende mejorar la seguridad de las aplicaciones. El Top Ten de las 10 vulnerabilidades más críticas de las aplicaciones web son: 1. Inyección SQL, LDAP y comandos SO. 2. Cross-Site Scripting (XSS). Es un caso particular de inyección donde el atacante introduce código HTML o Javascript de forma temporal o permanente ypermite el robo de sesiones, redirección... 3. Deficiencias en manejo de sesiones y ruptura de autenticaciones. Se debe u defectos en los mecanismos de autenticaciones o defectos en la gestión de sesiones (demasiado tiempo de sesión y ausencia de logout). 4. Referencias directas a objetos inseguros (ausencia de comprobación de credenciales). 5. Intercepción de peticiones entre sitios (CSRF)....
Cifrado simétrico
Los algoritmos de cifrado y descifrado usan una única clave secreta compartida por emisor y receptor. La clave debe mantenerse en secreto. El punto débil de este tipo de cifrados es conseguir un intercambio seguro de la clave entre emisor y receptor. Este tipo de cifrados usan una combinación de operaciones de confusión y difusión (Redes Feistel): • • Confusión.Pretende hacer la relación entre clave y el texto cifrado resultante lo más compleja posible. El texto cifrado debe dar la apariencia de ser totalmente aleatorio. Difusión. Pretende disipar la estructura estadística del texto en claro en el texto cifrado resultante; es decir, ocultar la relación estadística entre texto en claro y cifrado.
Algunos algoritmos simétricos son: DES (y 3DES), AES, IDEA,Blowfish, RC5, RC4 y Trivium.
Cifrado asimétrico
Se usa un par de claves (privada y pública), una para el cifrado y otra distinta para el descifrado. Ambas claves están relacionadas y se generan de forma conjunta. Una de ellas es conocida por todos los posibles emisores (pública). La otra solo debe ser conocida por el propietario (privada). El punto débil de este tipo de cifrados es una difusiónfiable de la clave pública a todos los participantes (emisores), además de un alto coste computacional. Este tipo de cifrado es extensible a otros servicios: confidencialidad, distribución de claves, autentificación y firma digital. Algunos algoritmos asimétricos son: RSA, Diffie-Hellman, El Gamal, DSA, ECC, ECDSA.
Certificado digital
Solución para que la clave pública sea fiable. Para ello seconfía en un tercero que comprueba y certifica la identidad del propietario. La autoridad certificadora (CA) firma digitalmente un certificado digital que vincula la identidad del usuario con la clave pública. El funcionamiento básico requiere que se meta un certificado para cada participante.
Seguridad en el desarrollo de aplicaciones
Desbordamiento de buffer
Son causados por errores o descuidos deprogramación. Estos errores permiten almacenar datos superando la capacidad para un buffer de tamaño fijo y hace posible sobreescribir regiones de memoria adyacentes al buffer. Esto deriba en corrupción de los datos, transferencia de control, violación de privilegios y ejecución de código inyectado por el atacante. El esquema más habitual es el desbordamiento en pila. La idea base es escribir pordebajo de la dirección de retorno de la función.
Las contramedidas contra este tipo de vulnerabilidades en tiempo de compilación son: uso de lenguajes con tipado fuerte, fomentar el desarrollo de software seguro (restricciones de seguridad y revisión del código nuevo y viejo), uso de versiones seguras de funciones que no permiten el control de desbordamiento (limitan el nº de bytes escritos) yel uso de compiladores que detecten alteraciones en la pila. Las contramedidas en tiempo de ejecución: uso de cpus y so que impidan la ejecución de código en zonas que no estén marcadas como tal, uso de direcciones aleatorias de memoria para la carga de programas, uso de IDS, seguimientos de alertas de vulnerabilidades para la actualización del software y disponer de bases de datos devulnerabilidades.
Vulnerabilidades web
Las vulnerabilidades web son recogidas en OWASP que pretende mejorar la seguridad de las aplicaciones. El Top Ten de las 10 vulnerabilidades más críticas de las aplicaciones web son: 1. Inyección SQL, LDAP y comandos SO. 2. Cross-Site Scripting (XSS). Es un caso particular de inyección donde el atacante introduce código HTML o Javascript de forma temporal o permanente ypermite el robo de sesiones, redirección... 3. Deficiencias en manejo de sesiones y ruptura de autenticaciones. Se debe u defectos en los mecanismos de autenticaciones o defectos en la gestión de sesiones (demasiado tiempo de sesión y ausencia de logout). 4. Referencias directas a objetos inseguros (ausencia de comprobación de credenciales). 5. Intercepción de peticiones entre sitios (CSRF)....
Leer documento completo
Regístrate para leer el documento completo.