TECNOLOGICO DE ESTUDIOS SUPERIORES DEL ORIENTE DEL ESTADO DE MEXICO

NOMBRE DEL PROYECTO: Implementacin de un esquema de seguridad usando criptografa de clave pblica.

MATERIA: Seguridad informtica

NOMBRE DEL MAESTRO: Palacios Luengas Leonardo

INTEGRANTES DEL EQUIPO: Palma Rocendiz Raymundo Javier Chvez Pealoza Daniel Lima Lobato SuriSadday Hernandez Barrera Erick Omar

GRUPO: 7S21

Introduccin

Se desarrollara e implementara un esquema de criptografa de clave pblica haciendo uso de una aplicacin software de libre acceso como lo es GPG4WIN. Constituye una interesante aplicacin de software libre con la que puedes cifrar archivos y correos electrnicos mediante el empleo de un sistema de llaves pblicas y privadas (Sistema Asimetrico).

El algoritmo de cifrado que emplea este programa tambin es libre y se denomina GNU Privacy Guard, la alternativa de cdigo abierto a los sistemas de codificacin patentados. Gpg4win crear ambas llaves en funcin de los parmetros que especifiques. Para poder trabajar con el programa es necesario conocer la llave pblica del destinatario. La criptografa de clave pblica [DiHe76] aparece como la herramienta que mejor se adapta para satisfacer los requerimientos de seguridad de Internet, y se est convirtiendo rpidamente en la base de los sistemas de comercio electrnico en lnea y otras aplicaciones que requieren seguridad y autenticacin en redes abiertas. Para la utilizacin global de un criptosistema de clave pblica en Internet es crucial utilizar un medio prctico y fiable para la publicacin y administracin de esas claves: la Infraestructura de Clave Pblica (PKI, Public Key Infrastructure). Sin una infraestructura que funcione adecuadamente la criptografa de clave pblica es slo marginalmente ms til que la tradicional criptografa simtrica.

Objetivo general del proyecto:

Desarrollar e implementar un esquema de criptografa de clave pblica haciendo uso de una aplicacin de software de libre acceso como lo es GPG4WINpara enviar y compartir informacin de forma segura entre quipos de cmputo atravs de las comunicaciones como lo es el internet.

Objetivo especfico: Se lograra llegar a lo siguiente El proyecto tendr un generador de claves criptogrficas esto con el fin de que cada miembro de dicha empresa pueda generar sus claves, se agregara una clave nueva al repositorio o anillo, podr hacerse el borrado de la clave o id del usuario, se encriptara el mensaje as como el encriptado para varias personas, se utilizara solamente criptografa simtrica, y finalmente se desarrollara el proceso para descifrar un mensaje cuando este sea enviado o bien revisar la integridad de la forma de un archivo.

Marco terico

La certificacin de claves pblicas es la funcin fundamental de todas las PKIs. As, se define un certificado como el medio utilizado por una PKI para comunicar el valor de una clave pblica, la informacin sobre ella, o ambas cosas. Es decir, en su forma ms bsica un certificado no contiene ms que una clave pblica, y en trminos ms generales es una coleccin de informacin firmada digitalmente por su emisor. El usuario de una PKI confa en que las entidades emisoras publiquen certificados fiables que asocien a los sujetos con sus claves pblicas (certificados de identidad), o que describan propiedades de esos sujetos (certificados de atributo). Cada una de esas posibles entidades emisoras se denomina Autoridad de Certificacin (CA, Certification Authority). La segunda operacin bsica de una PKI es la validacin de certificados. La informacin del certificado puede cambiar a lo largo del tiempo por lo que el usuario del certificado necesita estar seguro de que los datos contenidos en l son fiables. Existen dos mtodos bsicos: interactivo: el usuario solicita directamente a la CA la confirmacin de que el certificado es vlido cada vez que lo va a usar. diferido: la CA incluye en el certificado una informacin relativa al periodo de validez (un par de fechas que definen un rango de vigencia). Relacionado con el procedimiento de validacin est el de revocacin de certificados, el proceso por el que se le hace saber a los usuarios que la informacin contenida en el certificado ya no es vlida. Esto puede ocurrir cuando la clave privada del sujeto queda comprometida o cuando la informacin incluida en el certificado ha variado.

En caso de validacin interactiva el problema de la revocacin es trivial porque la CA al ser consultada indicar que el certificado no es vlido. Si se emplean periodos de validez, el mtodo de revocacin es crtico. En estos casos, el mtodo ms comn es utilizar una Lista de Revocacin de Certificados (CRL, Certificate Revocation List). Una CRL no es ms que una lista, firmada y emitida peridicamente por una CA, conteniendo todos los certificados revocados. Durante

el proceso de validacin el usuario tiene que chequear la ltima CRL de ese emisor para asegurarse de que el certificado no ha sido revocado.

CARACTERSTICAS Y ANLISIS DE LAS INFRAESTRUCTURAS DE CLAVE PBLICA

La poltica de seguridad de una Infraestructura de Clave Pblica debe establecer en primer lugar qu entidades pueden ejercer como CAs. Algunas proponen que las CAs sean entidades determinadas que han de cumplir una serie de requisitos. Dentro de las de este grupo, se considera como caracterstica bsica la disposicin de las diferentes CAs dentro de la infraestructura. Varios sistemas utilizan una jerarqua general (figura 1) en la que cada CA certifica al nodo del nivel inmediatamente superior (nodo padre) y a todos los que de ella dependen (nodos hijos), creando de esta forma las cadenas de certificados. Asociada a una PKI de este tipo siempre existe una Autoridad que establece una poltica global para la Infraestructura. Esta autoridad debe establecer las lneas de actuacin que las dems CAs del sistema y todos los usuarios finales han de seguir. Algunas propuestas de PKI para Internet, como la fallida PEM (Privacy Enhanced Mail [RFC1421][RFC1422][RFC1423][RFC1424]), utilizan una variante de la jerarqua general, la jerarqua top-down, en la que las CAs slo certifican a sus nodos hijos y donde la CA raz es la fuente de todos los caminos de certificacin. La propuesta PEM se fundamenta en que cada entidad posee un nombre distinguido segn el estndar X.500 [ISO88]. Una dcada despus esta solucin no ha alcanzado su implementacin global y, finalmente, la propia IETF (Internet Engineering Task Force) ha decidido clasificarla como "no til" [RFC2316].Tomando como base el trabajo realizado en el PEM, ha surgido dentro de la IETF el Grupo de Trabajo PKIX cuyo objetivo es el diseo de una infraestructura [PKIX97] que cubra las necesidades de las funciones de identificacin automtica, autenticacin, control de accesos y autorizacin utilizando certificados con formato X.509 v.3 [ISO96]. Los documentos de trabajo elaborados por este grupo todava no han sido adoptados como estndares porque no estn cerradas muchas cuestiones sobre su implementacin en Internet y porque las versiones desarrolladas han resultado incompletas.

Desarrollo e implementacin. Desarrollo del sistema de infraestructura de llave publica. 1.Software Requerido. Microsoft Windows XP, Vista o Seven Cliente de correo electrnico. En este caso implementaremos un software privativo de Microsoft Office Outlook. Generador de claves criptogrficas. En este caso utilizaremos el ya antes mencionado GPG4Win. El plugins para Outlook GpgOL con compatible con Microsoft Outlook 2003 y 2007. En la actualidad, el plugins para Explorer GpgEX slo funciona con la versin de 32 bits.

2.Funcionamiento: Para el sistema de encriptacin mediante internet se utiliza un sistema de criptografa asimtrica, que continuacin se describe en la imagen.

Gpg4win crear ambas llaves (Pblica y Privada) en funcin de los parmetros que especifiquemos. Para poder trabajar con el programa es necesario conocer la llave pblica del destinatario. El funcionamiento es el siguiente: la informacin se cifra con la llave pblica del receptor y cuando ste recibe el documento lo descifra empleando su llave privada. 2.1 Gua rpida de configuracin del cliente de correo electrnico. Configuracin de cuenta de correo electrnico "Gmail" con un canal seguro (Conexin cifradas SSL)
Los datos son los siguientes: Tipo de cuenta: IMAP Servidor entrante IMAP: imap.gmail.com Servidor saliente SMTP: smtp.gmail.com Nombre de usuario: nuestra cuenta Gmail Contrasea: la que hayamos definido al crear la cuenta Gmail.

En Ms configuraciones Servidor de salida: marcar Mi servidor de salida (SMTP) requiere autentificacin y Utilizar la misma configuracin que mi servidor de correo de entrada.

En Avanzadas Servidor de entrada (IMAP) marcaremos Usar el siguiente tipo de conexin cifrada SSL y automticamente nos pondr el nmero de puerto 993 y en Servidor de salida (SMTP) marcaremos como conexin cifrada TLS y pondremos manualmente como nmero el puerto 587

Una vez configurada la cuenta, deberemos de Aceptar y salir de la ventana de configuracin de cuentas para poder ver las fichas Elementos enviados y Elementos eliminados. Volvemos a entrar en la configuracin y ya las podremos configurar. En Elementos enviados tendremos que marcar No guardar copia de los elementos enviados ya que Gmail los guarda por defecto y si marcsemos guardar copia nos los duplicara.

En Elementos eliminados podemos seleccionar entre Mover elementos eliminados a la siguiente carpeta del servidor y elegir la carpeta donde queramos que se muevan los elementos que eliminemos, Papelera por defecto o Marcar elementos para su eliminacin sin moverlos automticamente. Y podemos seleccionar Purgar elementos al cambiar de carpeta mientras se est en lnea.

Nota: La configuracin como POP solo cambia en el servidor entrante y el puerto del mismo

2.3 Instalacin de GPG4Win

Empezaremos descargando el software desde la siguiente URL: http://www.gpg4win.org/ (esto puede tardar unos minutos), una vez descargado, lo ejecutamos y saldr algo como esto: La siguiente imagen nos muestra las caractersticas del software

Le damos siguiente si aceptamos la licencia del producto.

Elegimos los complementos que deseamos instalar.

Seleccionamos la ruta en donde deseamos instalar el sistema.

Nos muestra otra pantalla donde nos dir donde queremos ver accesos directos y damos siguiente. Luego nos aparecer otra ventana donde le daremos instalar (Install)

Le damos siguiente en la ventana que aparecer despus al terminar la instalacin.

Quitamos la opcin de ver el archivo leme si no deseamos leerlo y damos finalizar.

2.3 Plug In Microsoft Outlook El programa instala un plugins para el cliente de correo MS Outlook con la que es posible cifrar los mensajes desde la interfaz de esta aplicacin.

2.4 Repositorio o anillo de llaves. 2.4.1Agregar Clave Nueva 1) Abrimos el software generador de llaves GPA con el icono este programa podemos encontrar el acceso directo en el escritorio si lo seleccionamos en la instalacin o bien en inicio seguido de Programas o Todos los programas Windows Vista en adelante seguido de GPG4Win y seleccionamos GPA. 2) Una vez Abierto el programa si es la primera vez que lo abrimos nos mandara el siguiente mensaje.

De no aparecer esta ventana, se debe hacer clic en la opcin Keys y luego en el men desplegable seleccionamos New key Tambin se

puede pulsar las teclas Ctrl + N, para ingresar al gestor de generacin de claves. Y damos click en genrar clave ahora. 3) Nos pedir algunos datos, el nombre del usuario y su correo electrnico. Y damos click en forward.

4) Seguido de eso nos preguntara si deseamos hacer una copia de seguridad de nuestras claves. Seleccionamos hacer copia de seguridad y seguido damos click en el boton forward

4) Luego se debe introducir la frase contrasea para nuestra llave

privada, Desde un punto de vista de seguridad, la contrasea que desbloquea la llave privada es uno de los puntos ms dbiles en GnuPG (y en otros sistemas de cifrado de llave pblica), ya que es la nica proteccin que tiene el usuario si alguien se apoderara de su llave privada. Para una contrasea lo ideal es que no se usen palabras de un diccionario, y que se mezclen maysculas y minsculas, dgitos, y otros caracteres.

5) Si le hemos dado crear copia de seguridad anteriormente, creara

la copia despus de este paso (despus de introducir la frase contrasea).

6) Y el aviso que confirma que verdaderamente se ha creado.

2.4.2 Exportar claves pblicas. Las llaves se pueden exportar a archivos para que las podamos distribuir entre la gente que queremos que nos cifre o firme cosas. Colocamos la ruta y el nombre con el que identificaremos la llave publica y le daremos salvar o guardar (save). Seguido nos arrojara un mensaje de confirmacin de que la llave se a guardado exitosamente.

Algunos criterios que se deben de seguir son que solo se debe de exportar la llave publica y por ningn motivo difundir la clave de la llave privada ni la llave misma. Las llaves publicas se pueden enviar a quienes queremos que nos firmen un contrato o quien nos enviara un mensaje codificado. Nota. El software tiene la opcin de publicar llaves publicas en un servidor pblico de llaves. 2.4.3 Importar claves pblicas de otros usuarios. Para importar claves publicas de otros usuarios seguimos las siguientes instrucciones. Damos click en el botn importar seleccionamos la clave publica que previamente nos enviaron y damos click en siguiente, nos arrojara un mensaje de que la llave publica se a importado exitosamente.

2.4.5 Borrado de un Usuario del anillo o repositorio de claves. El proceso de borrado es muy simple simplemente seleccionamos la llave del usuario que deseamos eliminar, siguiendo simples criterios con los que identificamos a quien borramos, ambos aparecen en la columna Nombre de usuario. Nombre del usuario Correo electrnico

Despus de seleccionar al usuario damos clic en eliminar.(Delete). Confirmamos y listo se ha eliminado.

Nota. Tomando en cuenta que se ha creado una clave privada y una publica para repartirlos con usuarios con claves publicas independientes. Podemos tomar las siguiente sugerencias en cuenta. Generar claves con nombre diferentes que identifiquen a cada usuario con el que identifica. Llevar una reaccin de los contactos con el id de usuario.

2.5 Enviar y Recibir mensajes encriptados con Outlook. 2.5.1 Enviar Mensaje Encriptado 1) Abrimos el software Outlook 2) Seleccionamos Nuevo

3) Escribimos nuestro mensaje como comnmente lo hacemos. 4) Nos desplazamos a la pestaa que dice complementos. 5) Seleccionamos el icono de candado 6) Una vez marcado en color naranja damos clic en enviar. Y a continuacin emerger una ventana. En la cual nos preguntara sobre que certificado utilizaremos daremos clc en el botn de los tres puntos, abrir una ventana emergente y seleccionaremos la casilla other certificates y seleccionamos la llave publica del usuario al que le vamos a enviar el correo cifrado.

Nota: El usuario al que le enviamos el mensaje codificado debe de tener la llave privada para poder decodificar el mensaje. Nota2: Para enviar un correo masivo encriptado todos los integrantes del grupo de correos se deber incluir la llave publica en para cada correo en la ultima parte de este apartado. El software automticamente te pedir la llave publica para cada uno de los integrantes 2.5.2 Recibir mensaje cifrado Para recibir un mensaje descifrado abrimos nuestro cliente de correo en este caso Outlook es muy sencillo basta con tener la llave privada del mensaje en el repositorio o anillo de llaves, y abrir el mensaje outlook lo abrir automticamente. 2.6 Firmas Digitales 2.6.1 Firmar un documento o mensaje. 2.6.2 Verificar un documento o mensaje. 2.7 Criptografa Simtrica. 2.7.1 Encrestar archivos. 2.7.2 Desencintar Archivos. 2.8 Protocolos de seguridad del administrador del repositorio de llaves