Cifrado Simétrico y Asimétrico

Cifrado Simétrico

El cifrado simétrico utiliza la misma llave para encriptar y desencriptar.

• ECB (Electronic Codebook): Suma bloques XOR con la llave.
• CBC (Cipher Block Chaining): C₁ = (Bloque XOR IV) XOR llave. El IV se actualiza para el siguiente bloque, siendo C₁ el nuevo IV.
• CTR (Counter): (Llave XOR (nonce + contador)) XOR Bloque.
• OFB (Output Feedback): (IV XOR llave) XOR B₁ // (Resultado anterior XOR llave) XOR B₂.

Algoritmos de Cifrado Simétrico

• DES (Data Encryption Standard): Utiliza una red de Feistel. Actualmente es obsoleto e inseguro, vulnerable a ataques de fuerza bruta. Proceso: bloque derecho XOR llave, se separan 6 bits, se ocupan los 4 primeros, XOR con bloque izquierdo, se concatena a la derecha.
• 2DES: e_k1(d_k2(e_k1(m))).
• 3DES: e_k3(d_k2(e_k1(m))).
• AES (Advanced Encryption Standard): Basado en permutaciones que operan en una matriz llamada estado. El número de rondas depende del tamaño de la clave.
• Blowfish: Alternativa a DES, ofrece mayor seguridad y flexibilidad.

Cifrado Asimétrico

El cifrado asimétrico utiliza una llave pública para encriptar y una llave privada para desencriptar.

• Diffie-Hellman: Permite el intercambio de una clave secreta compartida en un canal público inseguro. Ejemplo con Bob y Alice:

p: número primo, g: generador (públicos). A = g^a mod(p), S = A^b mod(p).

• RSA (Rivest-Shamir-Adleman): Utilizado para cifrar y firmar digitalmente. Se basa en la dificultad de factorizar números enteros grandes. Los mensajes se representan como números.

Generación de llaves RSA

1. Elegir dos números primos grandes (p, q).
2. Calcular n = pq.
3. Calcular Φ = (p-1)(q-1).
4. Elegir e < Φ, tal que e sea coprimo con Φ(n). e es la llave de cifrado.
5. Calcular la llave de descifrado d, tal que ed = 1 mod(p-1)(q-1).

Cifrado RSA

El mensaje m se divide en bloques menores que n. Cada bloque m_i se cifra con c_i = m_i^e mod(n).

Descifrado RSA

m_i = c_i^d mod(n).

• DSA (Digital Signature Algorithm): Estándar de firma digital basado en el problema del logaritmo discreto. Utilizado para firmas digitales y verificación de autenticidad.

1. Generación de llaves: Se elige un primo grande p y una base g (raíz primitiva módulo p). La llave privada es x, y la llave pública es y = g^x mod(p).
2. Firma digital: Se crea una firma con un número aleatorio k y la llave privada x para generar r y s. Para verificar la firma, se usa la llave pública y se comprueban los valores r y s en relación con el hash del mensaje. S = H^d mod(n), donde s es la firma digital, H es el hash del mensaje, n es el módulo RSA compartido y d es el exponente privado. H’ = S^e mod(n), se calcula el hash y se compara con el recibido.

Los flujos de Base64 son de 24 bits.

Ventajas y Desventajas de DSA

Ventajas: Creación de firmas más rápida comparado con RSA, llaves más cortas logrando un nivel de seguridad equivalente, mejor rendimiento.

Desventajas: La verificación de firmas es más lenta que con RSA, se necesita un generador de números aleatorios seguro para no comprometer la seguridad de la firma.

• ECDSA (Elliptic Curve Digital Signature Algorithm): Algoritmo que permite la verificación por terceros mediante operaciones sobre puntos en una curva elíptica. Permite crear claves más pequeñas, lo que reduce el almacenamiento y la transmisión, manteniendo el mismo nivel de seguridad.

Proceso: Se elige un punto sobre la curva elíptica y se genera un número aleatorio como clave privada. Con ambos, se genera una ecuación y se obtiene un segundo punto que será la clave pública.

• EDDSA (Edwards-curve Digital Signature Algorithm): Utiliza curvas elípticas de Edwards para solucionar debilidades de otros algoritmos. Genera firmas digitales y verifica la autenticidad.

Funcionamiento:

1. Generación de llaves: Se genera una llave privada aleatoria (pr.k) y se calcula la llave pública (pu.k) con un punto en la curva.
2. Firma: Un nonce se genera de forma determinista con la llave privada y el mensaje, eliminando la necesidad de un generador de números aleatorios. La firma se genera usando operaciones de punto en la curva de Edwards.
3. Verificación: Se usa la llave pública y la firma para verificar la autenticidad.

Firmas Digitales

• Digitalizada: Imagen de la firma manuscrita.
• Electrónica Simple: Aceptación de términos, indicando intención.
• Electrónica Avanzada: Utiliza tecnologías criptográficas que vinculan la firma con el firmante y el documento. Se usa una llave privada para firmar y una llave pública para verificar. Se crea cifrando un hash del documento con la llave privada del firmante.
• Digital: Cumple con los requisitos de autenticidad, integridad y no repudio. Ejemplos: ECDSA, EDDSA, RSA. El firmante genera un hash del documento y lo cifra con su llave privada. La firma digital se adjunta al documento. El receptor usa la llave pública del firmante para descifrar el hash y verificar la firma.

Protocolos de Seguridad: SSL y TLS

SSL (Secure Sockets Layer): Protocolo de seguridad en Internet que autentica sitios web y permite una conexión cifrada entre el navegador y el servidor (HTTPS). SSL 3.0 fue rechazado, dando origen a TLS 1.0.

TLS (Transport Layer Security): Siguiente generación de SSL. Ofrece canales de comunicación encriptados. Es recomendable evitar SSL y versiones de TLS anteriores a 1.1.

Funciones de SSL y TLS:

• Compresión de paquetes.
• Autenticación.
• Cifrado de paquetes.

Handshake: SSL explícito (más pasos), TLS implícito (más rápido).

Mensajes de alerta: SSL comunica errores como warning y fatal. TLS agrega «close notify» para finalizar la sesión y cifra las alertas.

Mensaje de autenticación (MAC): Verifica la integridad y autenticidad de los mensajes. Se genera con una llave secreta y se adjunta al mensaje. SSL usa MD5, TLS usa HMAC.

Conexión TLS

1. El cliente envía «clienthello» al servidor.
2. El servidor responde con «serverhello», incluyendo datos aleatorios generados, la versión de TLS y el algoritmo criptográfico.
3. El servidor envía su certificado con la llave pública («Server Certificate»).
4. Se realiza el intercambio de claves («Server Key Exchange»).
5. El servidor indica que ha terminado («Server Hello Done»).
6. El cliente genera un secreto pre-master («Client Key Exchange Generation»).
7. El cliente envía el secreto pre-master cifrado con la llave pública del servidor («Client Key Exchange»).

Certificados Digitales

Archivos de datos que vinculan una clave criptográfica con los detalles de un sitio web. Aseguran una comunicación encriptada y la legitimidad del sitio.

Tipos de Validación de Certificados

• Domain Validation (DV): Simple y rápido.
• Organization Validation (OV): Validación de la organización.
• Extended Validation (EV): Verificación exhaustiva de la organización, ideal para sitios sensibles.

TLS Fingerprint

Permite identificar aplicaciones mediante su uso de TLS. JA3 Fingerprint toma huellas digitales de la respuesta del servidor y la forma en que la aplicación se comunica con TLS, creando una huella de la negociación criptográfica.

Evitar Fingerprinting:

• Cambiar parámetros TLS de forma aleatoria.
• Ofuscar el handshake modificándolo.

JARM Fingerprint: Identifica servidores por sus respuestas TLS mediante el envío de 10 «clienthello».

Autoridades Certificadoras (CA)

Intermediarios confiables que establecen una cadena de confianza.

Revocación de Certificados

CRL (Certificate Revocation List): Lista de certificados revocados. Las páginas revisan el estado del certificado mediante la publicación, descarga y consulta de la CRL.

Ventaja: Permite verificar sin conexión a la CA.

Desventaja: Necesidad de actualizar la lista, el tamaño de la lista puede ser grande, y existe un periodo de validez (periodo entre la publicación de la CRL y su expiración).

OSCP (Online Certificate Status Protocol): Permite verificar el estado de un certificado X.509 en tiempo real (RFC 6960).

Ventajas: Actualización en vivo.

Desventajas: Requiere conexión activa al servidor OSCP, el cual puede rastrear las solicitudes y saber qué sitios visita el usuario.

OCSP Stapling: Proporciona respuestas OSCP pre-firmadas al establecer una conexión TLS, evitando la consulta directa al servidor OSCP.

Ventajas: Menor latencia, mejora la privacidad, eficiencia y seguridad.

Estándar X.509

El estándar más común para certificados digitales. Define la estructura y el formato de los certificados, asegurando la interoperabilidad entre sistemas y aplicaciones.

Normativas y Estándares de Seguridad

ISO 27001

Norma internacional que trata sobre la implementación y mantenimiento de un sistema de gestión de la seguridad de la información.

• Certificable.
• Estándar internacional.

CIS Controls

Conjunto de directrices prácticas para mejorar la ciberseguridad. No son certificables y están diseñados para ser implementados de forma flexible, buscando mitigar las vulnerabilidades más comunes.

NIST (National Institute of Standards and Technology)

Desarrolla varios marcos de ciberseguridad. No es un estándar en sí mismo, sino un conjunto de directrices y buenas prácticas para gestionar riesgos de ciberseguridad. No es certificable y es adoptado por organizaciones en EE. UU.

• Recomienda el uso de cifrado simétrico como AES y cifrado asimétrico para el intercambio de claves o autenticación.

ISO 27017

Extensión de ISO 27001 enfocada en la seguridad en entornos de computación en la nube.

• Certificable.

PCI DSS (Payment Card Industry Data Security Standard)

Estándar de seguridad diseñado para proteger la información de tarjetas de pago y prevenir fraudes. Establece requisitos como la protección de datos sensibles, el uso de redes seguras, la gestión de accesos, el monitoreo constante y la implementación de medidas contra vulnerabilidades. Aplicable a cualquier organización que procese, almacene o transmita datos de tarjetas, su objetivo principal es garantizar la confidencialidad, integridad y seguridad de las transacciones electrónicas.

Ley 19.799 en Chile

Regula el uso de documentos electrónicos y firmas electrónicas, otorgándoles validez legal y garantizando su reconocimiento en trámites administrativos y judiciales. Establece las bases para asegurar la autenticidad e integridad de los documentos digitales mediante el uso de firmas electrónicas simples y avanzadas, regulando además a las entidades certificadoras que emiten certificados digitales necesarios para la firma electrónica avanzada.

Para que un documento electrónico tenga validez legal, debe cumplir con los requisitos de:

• Autenticidad: Debe poder verificarse la identidad del emisor mediante mecanismos confiables como certificados digitales.
• Integridad: El contenido del documento no debe haber sido alterado desde su creación o firma.

Tipos de Firma Electrónica

• Firma Electrónica Simple: Cualquier método electrónico que identifique al firmante, pero no necesariamente asegura la autenticidad o integridad del documento. Ejemplo: Una aceptación en un formulario web o un correo electrónico con aprobación.
• Firma Electrónica Avanzada: Utiliza tecnología criptográfica que vincula al firmante con el documento de forma única, asegurando autenticidad, integridad y no repudio. Tiene el mismo valor legal que una firma manuscrita en papel.

PGP (Pretty Good Privacy)

Combina cifrado simétrico y asimétrico para garantizar la seguridad de los mensajes. En el cifrado, el remitente genera una clave de sesión aleatoria para cifrar el mensaje usando un algoritmo simétrico, ya que este método es rápido y eficiente para datos grandes. Luego, cifra la clave de sesión con la clave pública del destinatario utilizando un algoritmo asimétrico como RSA. El mensaje cifrado y la clave de sesión cifrada se envían al destinatario. En el descifrado, el destinatario usa su clave privada para descifrar la clave de sesión y luego usa esa clave de sesión para descifrar el mensaje simétrico. La clave de sesión es esencial porque combina la velocidad del cifrado simétrico con la seguridad del cifrado asimétrico, evitando la necesidad de compartir la clave simétrica directamente.

Red de Feistel

Vulnerabilidades: Fuerza bruta, criptoanálisis diferencial, dependencia de rondas fuertes.

Números de Fermat y Certificados Digitales

Los números de Fermat son relevantes para los certificados digitales porque F₄ = 65537 se utiliza como exponente público en RSA, optimizando la seguridad y la eficiencia en procesos de cifrado y verificación de firmas. Su simplicidad binaria y sus propiedades matemáticas lo convierten en una elección ideal en la infraestructura de clave pública (PKI).