Seguridad web y aplicaciones
Introducción
En la seguridad informática existen diversos conceptos, mecanismos y servicios que nos permiten tener un mayor nivel de seguridad. Una de ellos es el cifrado de datos, un macanismo que da mucho de que hablar, ya que de el surgen diferentes tipos de mecanismos que podemos utlizar para protegernos, como el cifrado asimétrico, RSA, Diffie-Hellman, entre otros. En este ensayo se hablara acerca del funcionamiento y proposito de dichas herramientas.
.
Desarrollo
Cifrado asimétrico
Los cifrados asimétricos se llaman asimétricos porque en lugar de usar una sola clave para realizar la codificación y la decodificación, se utilizan dos claves diferentes: una para cifrar y otra para descifrar. Estas dos claves se encuentran asociadas matemáticamente, cuya característica fundamental es que una clave no puede descifrar lo que cifra. Cuando se completa la generación de una clave asimétrica se define una clave de cifrado (clave pública) y una clave de descifrado (clave privada)
Las claves asimétricas tienen la sorprendente propiedad de que lo que se está cifrando con una clave sólo se puede descifrar con la otra. Los algoritmos asimétricos están basados en funciones matemáticas fáciles de resolver en un sentido, pero muy complicadas realizarlo en sentido inverso, a menos que se conozca la llave. Esta relación debe ser muy compleja para que resulte muy difícil que obtengamos una a partir de la otra.
Si ciframos un mensaje con la clave privada, no podremos descifrarlo con la propia llave privada, deberemos usar la pública (en este caso no es cifrado, sino firma/autenticación, comprobaremos que el emisor es quien realmente dice ser).
La ventaja del cifrado asimétrico sobre el simétrico radica en que la clave pública puede ser conocida por todo el mundo, no así la privada, sin embargo, en el cifrado simétrico deben conocer la misma clave los dos usuarios (y la clave debe hacerse llegar a cada uno de los distintos usuarios por el canal de comunicación).
Existen distintos tipos de algoritmos de cifrado, de los cuales hablaremos a continuación.
Clave privada:
Tendrá que ser protegida y guardada por el propio usuario, será secreta y no la deberá conocer nadie.
Clave pública:
Será accesible a todos los usuarios del sistema de comunicación.Las claves asimétricas tienen la sorprendente propiedad de que lo que se está cifrando con una clave sólo se puede descifrar con la otra. Los algoritmos asimétricos están basados en funciones matemáticas fáciles de resolver en un sentido, pero muy complicadas realizarlo en sentido inverso, a menos que se conozca la llave. Esta relación debe ser muy compleja para que resulte muy difícil que obtengamos una a partir de la otra.
¿Cómo cifrar con clave asimétrica?
Si una persona con una pareja de claves cifra un mensaje con la llave privada, ese mensaje sólo podrá ser descifrado con la llave pública asociada. Y si se cifra con la pública, se descifra con la privada.Si ciframos un mensaje con la clave privada, no podremos descifrarlo con la propia llave privada, deberemos usar la pública (en este caso no es cifrado, sino firma/autenticación, comprobaremos que el emisor es quien realmente dice ser).
La ventaja del cifrado asimétrico sobre el simétrico radica en que la clave pública puede ser conocida por todo el mundo, no así la privada, sin embargo, en el cifrado simétrico deben conocer la misma clave los dos usuarios (y la clave debe hacerse llegar a cada uno de los distintos usuarios por el canal de comunicación).
Existen distintos tipos de algoritmos de cifrado, de los cuales hablaremos a continuación.
Diffie-Hellman
No es un algoritmo asimétrico propiamente dicho, se usa para generar una clave privada simétrica a ambos extremos de un canal de comunicación inseguro. Se emplea para obtener la clave secreta con la que posteriormente cifrar la información, junto con un algoritmo de cifrado simétrico. Su seguridad radica en la dificultad de calcular el logaritmos discreto de números grandes (Este algoritmo también permite el uso de curvas elípticas).
El problema de este algoritmo es que no proporciona autenticación, no puede validar la identidad de los usuarios, por tanto si un tercer usuario se pone en medio de la “conversación”, también se le facilitaría las claves y por tanto, podría establecer comunicaciones con el emisor y el receptor suplantando las identidades. Para evitar esto existen varias soluciones que mitigan y solucionan el problema.
El problema de este algoritmo es que no proporciona autenticación, no puede validar la identidad de los usuarios, por tanto si un tercer usuario se pone en medio de la “conversación”, también se le facilitaría las claves y por tanto, podría establecer comunicaciones con el emisor y el receptor suplantando las identidades. Para evitar esto existen varias soluciones que mitigan y solucionan el problema.
RSA
Este algoritmo se basa en la pareja de claves, pública y privada de las que ya hemos hablado antes. La seguridad de este algoritmo radica en el problema de la factorización de números enteros.
-Se puede emplear para ser utilizado en firmas digitales.
-Es más lento que los algoritmos de clave simétrica.
-La clave privada debe ser cifrada por algún algoritmo simétrico.
Ventajas:
-Resuelve el problema de la distribución de las llaves simétricas (cifrado simétrico).-Se puede emplear para ser utilizado en firmas digitales.
Desentajas:
-La seguridad depende de la eficiencia de los ordenadores.
-Es más lento que los algoritmos de clave simétrica.
-La clave privada debe ser cifrada por algún algoritmo simétrico.
Sistemas de Soporte a la Decisión (DSS)
Un Sistema de Soporte a la Decisión (DSS) es una herramienta de Business Intelligence enfocada al análisis de los datos de una organización.
En principio, puede parecer que el análisis de datos es un proceso sencillo, y fácil de conseguir mediante una aplicación hecha a medida o un ERP sofisticado. Sin embargo, no es así: estas aplicaciones suelen disponer de una serie de informes predefinidos en los que presentan la información de manera estática, pero no permiten profundizar en los datos, navegar entre ellos, manejarlos desde distintas perspectivas... etc.
Un DSS puede adoptar muchas formas diferentes. En general, podemos decir que un DSS es un sistema informático utilizado para servir de apoyo, más que automatizar, el proceso de toma de decisiones. La decisión es una elección entre alternativas basadas en estimaciones de los valores de esas alternativas. El apoyo a una decisión significa ayudar a las personas que trabajan solas o en grupo a reunir inteligencia, generar alternativas y tomar decisiones. Apoyar el proceso de toma de decisión implica el apoyo a la estimación, la evaluación y/o la comparación de alternativas. En la práctica, las referencias a DSS suelen ser referencias a aplicaciones informáticas que realizan una función de apoyo.
En principio, puede parecer que el análisis de datos es un proceso sencillo, y fácil de conseguir mediante una aplicación hecha a medida o un ERP sofisticado. Sin embargo, no es así: estas aplicaciones suelen disponer de una serie de informes predefinidos en los que presentan la información de manera estática, pero no permiten profundizar en los datos, navegar entre ellos, manejarlos desde distintas perspectivas... etc.
Un DSS puede adoptar muchas formas diferentes. En general, podemos decir que un DSS es un sistema informático utilizado para servir de apoyo, más que automatizar, el proceso de toma de decisiones. La decisión es una elección entre alternativas basadas en estimaciones de los valores de esas alternativas. El apoyo a una decisión significa ayudar a las personas que trabajan solas o en grupo a reunir inteligencia, generar alternativas y tomar decisiones. Apoyar el proceso de toma de decisión implica el apoyo a la estimación, la evaluación y/o la comparación de alternativas. En la práctica, las referencias a DSS suelen ser referencias a aplicaciones informáticas que realizan una función de apoyo.
Curva elíptica
Hoy en día podemos encontrar sistemas criptográficos de curvas elípitcas en protocolos reconocidos como TLS, PGP y SSH.
Antes de que la criptografía de curva elíptica (ECC) se hiciera popular, casi todos los algoritmos de criptografía de clave pública se basaban en RSA, DSA y DH. Estos son sistemas criptográficos alternativos basados en aritmética modular.
RSA y sistemas similares siguen siendo muy importantes a día de hoy, y en muchas ocasiones se usan en combinación con ECC.
Antes de que la criptografía de curva elíptica (ECC) se hiciera popular, casi todos los algoritmos de criptografía de clave pública se basaban en RSA, DSA y DH. Estos son sistemas criptográficos alternativos basados en aritmética modular.
RSA y sistemas similares siguen siendo muy importantes a día de hoy, y en muchas ocasiones se usan en combinación con ECC.
Conclusión
Uno de los métodos más eficaces para poder asegurar la seguridad de un sistema es a través del uso de cifrado. Gracias al uso del cifrado se puede evitar que una persona no pueda leer el contenido de un dato cuando se intercepta la información. El cifrado simétrico es de gran utilidad, pues el proceso para encriptar y desencriptar gran cantidad de datos es muy rápido, a pesar que la distribución y gestión de claves pueden resultar un problema muy grave. Gracias al cifrado asimétrico se puede resolver el problema principal que presenta el cifrado simétrico, ya que se utilizan claves publicas, las cuales se pueden repartir con toda tranquilidad, sin embargo, sin una clave privada no funcionan, pues, la clave publica depende de la privada para que pueda funcionar. Una de las grandes contrapartes del cifrado asimétrico es que suele ser un proceso que requiere de procesamiento y tiempo. Algoritmos basados en el cifrado asimétrico han resultado ser muy potentes y efectivos, como el RSA, que mantiene datos sensibles encriptados y seguros.
Referencias bibliográficas:
1. Campos, J. (mayo 12, 2013). Algoritmo de Diffie-Hellman. octubre 29, 2017, de Javier Campos Sitio web: http://www.javiercampos.es/blog/2011/07/22/el-algoritmo-de-diffie-hellman/
2. Corona, D. (septiembre 24, 2015). Curva Elíptica. octubre 29, 2017, de Criptomania Sitio web: http://www.criptomania.com/criptografia-de-curva-eliptica-introduccion/
3. Sandoval, R.. (abril 3, 2015). Clave Asimétrica. octubre 29, 2017, de Redes Zone Sitio web: https://www.redeszone.net/2010/11/16/criptografia-algoritmos-de-cifrado-de-clave-asimetrica/
4. García M. (junio 3, 2014). ¿Qué es RSA?. octubre 29, 2017, de SeguInfo Sitio web: https://seguinfo.wordpress.com/2007/09/14/%C2%BFque-es-rsa/
2. Corona, D. (septiembre 24, 2015). Curva Elíptica. octubre 29, 2017, de Criptomania Sitio web: http://www.criptomania.com/criptografia-de-curva-eliptica-introduccion/
3. Sandoval, R.. (abril 3, 2015). Clave Asimétrica. octubre 29, 2017, de Redes Zone Sitio web: https://www.redeszone.net/2010/11/16/criptografia-algoritmos-de-cifrado-de-clave-asimetrica/
4. García M. (junio 3, 2014). ¿Qué es RSA?. octubre 29, 2017, de SeguInfo Sitio web: https://seguinfo.wordpress.com/2007/09/14/%C2%BFque-es-rsa/
Comentarios
Publicar un comentario