CRIPTOGRAFA

Corresponde a una tecnologa que permite la transmisin segura de informacin, al codificar los datos transmitidos usando una frmula matemtica que "desmenuza" los datos. Asegurar que la Informacin viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no repudio de la misma ( del emisor y receptor del mensaje) entre otros aspectos. Para proteger la informacin almacenada se suele recurrir a las denominadas tcnicas de encriptacin, la encriptacin consiste bsicamente en convertir un mensaje en otro de forma tal que el mensaje original solo pueda ser recuperado por un determinado grupo de personas que saben como "desencriptar" el mensaje codificado.

Historia
Las races etimolgicas de la palabra Criptografa son criptos (oculto), y graphos (escritura). Una definicin clsica de Criptografa es la siguiente: Arte de escribir mensajes en clave secreta o enigmticamente. Anteriormente la Criptografa era considerada como un arte pero en la actualidad se considera una ciencia gracias a su relacin con la estadstica, la teora de la informacin, la teora de los nmeros y la teora de la complejidad computacional.

Esquema

Criptoanlisis
Quin puede tener inters en descifrar los criptogramas? Criptlogos (universidades o empresas privadas): Buscan las debilidades de los algoritmos de cifrado/descifrado o de las claves. Intento de mejorar los sistemas actuales. Proponen mejoras a los algoritmos o nuevos algoritmos de cifrado. Criptoanalistas Intentan descifrar criptogramas para robar informacin, manipularla o usurpar identidades en beneficio propio (acceso a bancos, compras por internet, etc.) Unos cuantos ordenadores o sistemas dedicados son suficientes para intentar romper un criptograma. Con Internet, es relativamente fcil hacer que miles de ordenadores se dediquen a descifrar claves mientras la CPU est en reposo.

Requisitos de seguridad
El algoritmo de cifrado y descifrado deber ser rpido y fiable. No debe existir retardo debido al cifrado o descifrado. La seguridad del sistema deber residir solamente en el secreto de una clave y no en las funciones de cifra. La fortaleza del sistema se entender como la imposibilidad computacional (tiempo de clculo en aos que excede cualquier valor razonable) de romper la cifra o encontrar una clave secreta a partir de otros datos de carcter pblico.

Otros conceptos asociados

Un trmino ms genrico es criptologa: el compendio de las tcnicas de cifra, conocido como criptografa, y aquellas tcnicas de ataque conocidas como criptoanlisis. Cifra o cifrado: Tcnica que, en general, protege o proporciona autenticidad a un documento o usuario al aplicar un algoritmo criptogrfico. Sin conocer una clave especfica o secreta, no ser posible descifrarlo o recuperarlo. Criptograma: Documento cifrado. Se detona como C. Criptoanlisis: El arte de descifrar criptogramas. Criptgrafo: mquina o artilugio para cifrar. Criptlogo: persona que trabaja de forma legtima para proteger la informacin creando algoritmos criptogrficos. Criptoanalista: persona cuya funcin es romper algoritmos de cifra en busca de debilidades, la clave o del texto en claro. Texto en claro: documento original. Se denota como M. Claves: datos (llaves) privados/pblicos que permiten cifrar un documento y descifrar el correspondiente criptograma.

Algoritmo criptogrfico
Un algoritmo criptogrfico, o cifrador, es una funcin matemtica usada en los procesos de encriptacin y des encriptacin. Trabaja en combinacin con una llave (un nmero, palabra, frase, o contrasea) para encriptar y desencriptar datos. Para encriptar, el algoritmo combina matemticamente la informacin a proteger con una llave provista. El objetivo de un algoritmo criptogrfico es hacer tan difcil como sea posible desencriptar los datos sin utilizar la llave. Si se usa un algoritmo de encriptacin realmente bueno, entonces no hay ninguna tcnica significativamente mejor que intentar metdicamente con cada llave posible. El resultado de este clculo son los datos encriptados. Para desencriptar, el algoritmo hace un clculo combinando los datos encriptados con una llave provista, siendo el resultado de esta combinacin los datos des encriptados.

Autentificacin de usuarios

El proceso general de autenticacin consta de los siguientes pasos: El usuario solicita acceso a un sistema. El sistema solicita al usuario que se autentique. El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la identificacin. El sistema valida segn sus reglas si las credenciales aportadas son suficientes para dar acceso al usuario o no. Tres pasos fundamentales (AAA): autentificacin, autorizacin y auditoria (de lo que haga el usuario).

Autentificacin
Mtodos 1) Que el usuario sepa algo. Por ejemplo una contrasea. 2) Que el usuario posea algo. Por ejemplo una tarjeta de crdito. 3) Que el usuario tenga ciertas caractersticas reconocibles. Por ej. reconocimiento dactilar o biomtrico. Caractersticas Alta probabilidad de ser matemticamente fiable. Econmicamente viable Efectivo ante ciertos ataques Aceptable por los usuarios

Manejo de contraseas
Caractersticas
A cada usuario se le solicita la creacin de una contrasea, luego de lo cual se le permitir hacer x cosas en funcin del permiso asignado. Se le requiere que la misma sea de ciertas caractersticas y longitud Con determinada vida til Asociado a un email / telfono Preguntas de seguridad Captcha Reconocimiento de uso en diferentes Pc.

Sin exagerar

Firma digital
Definicin Documento que garantiza la correspondencia entre una persona fsica y una firma digital. Lo otorga una autoridad de certificacin. Utiliza algoritmos de encriptacin para garantizar la identidad e integridad del mensaje Y en Argentina? A pesar de la Ley 25.506 del 2001, por diferentes motivos no existe una autoridad de certificacin global. Solo convenios puntuales entre algunos organismos y sectores estatales y privados puntuales. Ver este artculo.

Ataques frecuentes
Spoofing Obtener datos de un usuario, hacerse pasar por l y luego obtener otros datos de ms usuarios para tratar de imposibilitar el origen del atacante. Esto ltimo se llama Looping. Tipos de Spoofing IP Spoofing: sustituir la direccin IP
origen de un paquete TCP/IP por otra direccin IP

ARP Spoofing: dem anterior con

MAC.

DNS Spoofing: falsear la relacin

dominio ip/ DNS. Se obtienen as informacin de los datos que se mueven.

Web Spoofing: al intentar acceder a

una web nos lleva a otra.

Mail Spoofing: Suplantacin de mail Puertas traseras: trozos de cdigo

en un programa que permiten a quien las conoce saltarse los mtodos usuales de autentificacin para realizar ciertas tareas.

Exploits
Definicin Programas para explotar estos agujeros en la encriptacin :lo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema (hardware o software) para ingresar al mismo.

Protocolos de seguridad con Joomla y Wordpress

Bajar los paquetes en donde corresponde. Usar un hosting confiable (firewalls, etc.) Actualizar cms y extensiones Usas las extensiones necesarias Usar buenas contraseas (nunca admin) Permisos: Los archivos de Joomla! deben tener permisos 644 y los directorio 755 (nunca 777) Evitar para ciertas tareas el FTP. Con el .htaccess puede restringir o banear IPs que intentan accesos, al igual que proteger directorio o personalizar respuestas 404 del servidor; con el php.ini puede restringir la subida de ficheros al servidor, prohibir extensiones especiales, limitar los megabytes de subida, etc.; con Joomla! puedes activar el SEO, usar la reescritura de URLs, activar la compresin, etc. Ojo con los permisos que se dan a los usuarios. Utilizar extensiones de seguridad puntuales segn cada CMS.