Protocolos de retro- respuesta
Páginas: 9 (2209 palabras)
Publicado: 12 de junio de 2013
Protocolos desafío-respuesta
Los protocolos desafío-respuesta (en inglés challenge-response protocol) son una familia de protocolos que permiten la autenticación de entidades mediante el siguiente sistema:
1. Una parte (verificador) presenta una cuestión (desafío)
2. La parte que se quiere autenticar recibe la cuestión y elabora una respuesta que envía al verificador
3. El verificador recibela respuesta y evalúa si la respuesta responde correctamente a la cuestión, y por tanto la entidad que envió la respuesta queda autenticado, o no.
[editar]Clasificación
Los protocolos de desafío-respuesta se pueden clasificar atendiendo a si se aprovechan o no de técnicas criptográficas en su implementación. Así podemos hablar de protocolos desafío-respuesta criptográficos (los que se apoyan entécnicas criptográficas) y protocolos desafío-respuesta no criptográficos.
[editar]Prototocolos desafío-respuesta no criptográficos
Entre los protocolos desafío-respuesta no criptográficos los más habituales son:
Autenticación mediante contraseña. Es el más simple de los protocolos desafío-respuesta. El desafío consiste en preguntar la contraseña y la respuesta consiste en responder con lacontraseña correcta. Claramente un adversario que escuche la contraseña podrá autenticarse respondiendo con esa contraseña capturada (ataque de replay), saltándose así la seguridad del sistema.
Uso de múltiples contraseñas cada una asociadas a un identificador distinto. Son vulnerables a ataques de replay si se captura además de la contraseña el identificador.
Uso de protocolos de contraseña de unsolo uso que no utilicen tecnologías criptográficas.
[editar]Prototocolos desafío-respuesta criptográficos
Entre los protocolos desafío-respuesta criptográficos los más habituales son:
Uso de protocolos de contraseña de un solo uso que utilizan tecnologías criptográficas.
Uso de funciones hash criptográficas tipo MAC. La clave de la función MAC es compartida por el verificador y el que sequiere autenticar y es mantenida en secreto por ambos. El verificador genera un mensaje aleatorio al que llamamos nonce. El que se quiere autenticar responde con el resultado de aplicar la función MAC sobre ese nonce.
Uso de algoritmos de cifrado simétrico. La clave secreta es compartida por el verificador y el que se quiere autenticar. El protocolo funciona de forma análoga a como los hace con lasfunciones MAC
Uso de algoritmos de firma digital. El que se quiere autenticar firma con la clave privada un mensaje generado por el verificador. El verificador sólo tiene que verificar la firma con la clave pública.
Protocolo Encapsulated Security Payload (ESP)
El protocolo Encapsulated Security Payload (ESP) forma parte de la arquitectura de seguridad del protocolo de Internet (IPSec). ESPproporciona una comprobación de integridad, autenticación y cifrado para los datagramas del protocolo de Internet (IP). ESP le permite seleccionar qué servicio utilizar. El componente de red privada virtual (VPN) de IBM Firewall para AS/400 utiliza los tres servicios de ESP para proteger el tráfico de la VPN. Esto asegura que un intruso no puede falsificar paquetes con el fin de montar ataquescriptoanalíticos.
No puede aplicar el ESP a paquetes de IP fragmentados. Sin embargo, tras aplicar ESP a un paquete de IP, los direccionadores intermedios pueden fragmentar el paquete para su entrega. Si el sistema de destino recibe un paquete fragmentado, el sistema de destino vuelve a ensamblar el paquete antes de aplicarle el proceso de ESP. Si solicita proceso de ESP para un paquete de IP queparece ser un fragmento, se descarta el paquete. Estas medidas evitan el ataque de fragmento solapado. Este ataque aprovecha el algoritmo de conjunto del fragmento para crear paquetes falsos y hacerles atravesar el cortafuegos.
Si un sistema de destino recibe un paquete ESP que haya sido cifrado y autenticado, primero autenticará el paquete. Si la autenticación resulta anómala, el sistema...
Los protocolos desafío-respuesta (en inglés challenge-response protocol) son una familia de protocolos que permiten la autenticación de entidades mediante el siguiente sistema:
1. Una parte (verificador) presenta una cuestión (desafío)
2. La parte que se quiere autenticar recibe la cuestión y elabora una respuesta que envía al verificador
3. El verificador recibela respuesta y evalúa si la respuesta responde correctamente a la cuestión, y por tanto la entidad que envió la respuesta queda autenticado, o no.
[editar]Clasificación
Los protocolos de desafío-respuesta se pueden clasificar atendiendo a si se aprovechan o no de técnicas criptográficas en su implementación. Así podemos hablar de protocolos desafío-respuesta criptográficos (los que se apoyan entécnicas criptográficas) y protocolos desafío-respuesta no criptográficos.
[editar]Prototocolos desafío-respuesta no criptográficos
Entre los protocolos desafío-respuesta no criptográficos los más habituales son:
Autenticación mediante contraseña. Es el más simple de los protocolos desafío-respuesta. El desafío consiste en preguntar la contraseña y la respuesta consiste en responder con lacontraseña correcta. Claramente un adversario que escuche la contraseña podrá autenticarse respondiendo con esa contraseña capturada (ataque de replay), saltándose así la seguridad del sistema.
Uso de múltiples contraseñas cada una asociadas a un identificador distinto. Son vulnerables a ataques de replay si se captura además de la contraseña el identificador.
Uso de protocolos de contraseña de unsolo uso que no utilicen tecnologías criptográficas.
[editar]Prototocolos desafío-respuesta criptográficos
Entre los protocolos desafío-respuesta criptográficos los más habituales son:
Uso de protocolos de contraseña de un solo uso que utilizan tecnologías criptográficas.
Uso de funciones hash criptográficas tipo MAC. La clave de la función MAC es compartida por el verificador y el que sequiere autenticar y es mantenida en secreto por ambos. El verificador genera un mensaje aleatorio al que llamamos nonce. El que se quiere autenticar responde con el resultado de aplicar la función MAC sobre ese nonce.
Uso de algoritmos de cifrado simétrico. La clave secreta es compartida por el verificador y el que se quiere autenticar. El protocolo funciona de forma análoga a como los hace con lasfunciones MAC
Uso de algoritmos de firma digital. El que se quiere autenticar firma con la clave privada un mensaje generado por el verificador. El verificador sólo tiene que verificar la firma con la clave pública.
Protocolo Encapsulated Security Payload (ESP)
El protocolo Encapsulated Security Payload (ESP) forma parte de la arquitectura de seguridad del protocolo de Internet (IPSec). ESPproporciona una comprobación de integridad, autenticación y cifrado para los datagramas del protocolo de Internet (IP). ESP le permite seleccionar qué servicio utilizar. El componente de red privada virtual (VPN) de IBM Firewall para AS/400 utiliza los tres servicios de ESP para proteger el tráfico de la VPN. Esto asegura que un intruso no puede falsificar paquetes con el fin de montar ataquescriptoanalíticos.
No puede aplicar el ESP a paquetes de IP fragmentados. Sin embargo, tras aplicar ESP a un paquete de IP, los direccionadores intermedios pueden fragmentar el paquete para su entrega. Si el sistema de destino recibe un paquete fragmentado, el sistema de destino vuelve a ensamblar el paquete antes de aplicarle el proceso de ESP. Si solicita proceso de ESP para un paquete de IP queparece ser un fragmento, se descarta el paquete. Estas medidas evitan el ataque de fragmento solapado. Este ataque aprovecha el algoritmo de conjunto del fragmento para crear paquetes falsos y hacerles atravesar el cortafuegos.
Si un sistema de destino recibe un paquete ESP que haya sido cifrado y autenticado, primero autenticará el paquete. Si la autenticación resulta anómala, el sistema...
Leer documento completo
Regístrate para leer el documento completo.