accesos.
Auditorias:
Auditorias interna: Suele ser un departamento dentro de la empresa, apunta a controlar que
los sistemas estén funcionando bien, auditoria de sistemas. Intentos de intrusion, información
que esta siendo vulnerable, etc.
Auditoria externa: algun estudio contratado.
Auditoria de casa matriz: controlar que las normas se estén aplicando bien, cumpliendo los
procedimientos.
HASH: Es un algortimo que tiene como entrada un determinado texto y como salida un código,
o un conjunto de caracteres que es único para ese texto y de tamaño fijo. Le aplico una función
de Hash a un texto de 2 kb y me devuelve 30 caracteres, y le aplico una función de Hash, a
partir del Hash, por mas que sepa el algortimo por el cual se hizo, no puedo obtener el texto
original.
Las funciones de hash se usan para la controversia, en vez de guardar la contraseña p incluso
hacer viajar por la red la contraseña, si le aplico la función de hash, se obtiene el dato y viaja el
dato cifrado por la red, cuando llego a la BD de contraseñas se compara porque en la BD esta
almacenado el Hash, si coincide bien.
SALT: Es un agregado para las claves para que sean mas seguras.
El problema de los hash como MD5 y SHA es la cantidad de bits que utilizan y porque si tengo
tengo un hash de algo es irreversible, pero puedo obtener un documento que tiene todos los
hash de conocidos de MD5, por ejemplo. El hash aplicado a una misma palabra siempre da lo
mismo. Si bien no son reversibles los hash son deducibles.
El SALT se lo agrego a la contraseña en texto plano, y a eso le aplico el HASH, entonces si yo
obtengo la traducción de ese hash de alguna forma lo que me va a estar dando es la
contraseña mas el salt, pero no se cual es la contraseña tendría que saber como trabaja mi
sistema con el SALT.
Por ejemplo que le agregue 3 digitos al final. El SALT puede ser fijo por ejemplo cuando valido
la contraseña le agrego 5 caracteres al final, cuando yo quiero comprobar el hash, tomo la
contraseña, le agrego esos 5 carcteres, calculo el hash y si me da es valida. Si alguien descubre
como funciona el sistema, el hash pierde validez.- Ademas si logro descubrir una clave ya voy a
saber como es el SALT de las demás claves.
Puedo hacer un hash variable, calculado hacer una función random que calcule un SALT, si ese
salt es calculable, lo tengo que guardar en algun lado, en la BD por ejemplo y se vuelve
vulnerable por ese lado.
Otra opción es usar un salt variable o fijo pero no constante, por ej a la contraseña le agrego
de usuario y a eso le aplico el hashm me permite validar las contraseñas.
Clave simétrica: También conocido como algoritmo de clave publica, cuando quiero encriptar
algo, mediante un soft o un certificado digital necesito generar un par de claves. Los
algoritmos de clave publica utilizan dos claves una publica y una privada. Encriptan con una
clave y desencriptan con la otra, no puedo inferir una clave partiendo de la otra, son
independientes.
Son algoritmos mas complejos que los de clave simétrica, por eso son mas lentos y además el
texto cifrado mediante un algoritmo de clave simétrica es mucho mas grande que el texto
original.
Si quiero enviar un mensaje cifrado a un destinatario lo cifra con la clave publica del
destinatario y este cuando lo recibe, lo descifra con su clave privada. De esa forma garantizo la
confidencialidad, el único que lo puede ver con su clave privada. Integridad también me
asguero que nada lo modifico. El no repudio no, ya que el que le lo envio lo encripta con tu
clave publica. La autenticidad se garantiza encriptando el mensaje con mi clave privada y el
receptor lo desencripta con mi clave publica.
Si quiero garantizar la confidencialidad, la integridad, y la autenticidad puedo hacer un doble
encriptado. 1ero por clave privada y 2do por clave publica del receptor
Certificado digital: Es una estructura de datos que lo genera una entidad certificadora y
contiene datos que validan la identidad de quien posee el certificado y que me permite realizar
comunicaciones en forma segura.
Un uso muy común es en los sitios web como homebanking. El certificado tiene la clave
publica, la identidad y un nombre. Si quiero tener un sitio seguro y una https necesito un
certificado.
PKI: certificado de clave publica
Los certificado digitales están firmados digitalmente por la entidad que lo emite. Los
navegadores tienen incorporadas las clave publicas de las entidades. Cuando un navegador se
topa con un certificado digital, para validar si ese certificado es bueno, lo intenta vlaidar con la
clave publica de la entidad que dice haberlo firmado.
El certificado tiene 2 funciones en un sitio web
1) Garantizar la identidad
2) La información cuando utilizo https viaja encriptada, gracias al certificado que me
permite encriptar información en un sitio.
El sitio encripta información con un certificado, puedo mandar información encriptada
con la clave pública y el sitio la desencripta con su clave privada.
Cuando el sitio me manda información a mi la encripta con su clave privada.
Si quiero implementar una estructura de clave publica, PKI interna en mi empresa, no necesito
tener certificados expedidos por una entidad, instalo un servidor género mis propios
certificados .Para que no aparezcan en todos los navegadores la advertencia de sitio no
seguro, instalo el certificado de mi root ca. Una vez que el navegador confía en esa entidad
certificante ya tomo los certificados como validos.