Tema 2

SAD
Vicente Snchez Patn
I.E.S Gregorio Prieto
Tema 2 SAD
Tcnicas de cifrado
a) Explorando mtodos de cifrado:
- CISCO CCNA Security 1. 1. Laboratorio Lab-2-A: Explorando mtodos de
cifrado
En proceso
b) Cifrado simtrico: , e) Cifrado asimtrico:
- Uso de PGP y GPG. - En GNU/Linux: gpg.
PGP
PGP utiliza un sistema hbrido que combina encriptacin simtrica y
asimtrica.
La encriptacin asimtrica trabaja siempre con un par de claves. Una de
ellas ser tu clave "pblica" y la otra t clave "privada". Como bien lo indica
su nombre, la clave pblica se la podis dar a aquellas personas a las que les
queris mandar mensajes encriptados y no hay ningn peligro si una persona
ajena la ve, es ms, suelen publicarse en servidores pblicos para facilitar
su acceso; la clave privada, en cambio, debe ser secreta y no tenis que
compartirla con nadie.
Gracias a la encriptacin asimtrica, si el remitente usa la clave pblica del
destinatario para cifrar el mensaje, una vez cifrado, slo la clave privada
del destinatario podr descifrar este mensaje, ya que es el nico que la
conoce. Por tanto, se logra la confidencialidad del envo del mensaje: nadie
salvo el destinatario puede descifrarlo. Si el propietario del par de claves
usa su clave privada para cifrar el mensaje, cualquiera puede descifrarlo
utilizando su clave pblica. En este caso se consigue por tanto la
identificacin y autentificacin del remitente, ya que se sabe que slo pudo
haber sido l quien emple su clave privada (salvo que alguien se la hubiese
podido robar).
Para instalar el programa nos dirigimos al gestor de paquetes synaticb y en
el buscador ponemos pgp y seleccionamos para instalar el paquete pgpgnome,
una vez instalado nos dirigimos a Sistema-Preferencias-Contraseas y
claves de cifrado.

Antes de comenzar a encriptar mensajes y archivos, como vimos, es
necesario crear primero nuestras claves asimtricas y nuestro
"passphrase". Para ello vamos a Sistema-Preferencias-Contraseas y claves
de cifrado. Una vez all vamos a Archivo -Nueva - Clave PGP.

El sistema nos pedir a continuacin que introduzcamos nuestro nombre,
direccin de correo electrnico y un comentario. ste ltimo es opcional,
mientras que los dos primeros son obligatorios. La direccin de correo
electrnico que se escoja debera ser una vlida, ya que sta ser usada
para firmar el identificador de usuario. Si esta direccin se modifica en
algn modo, la firma no corresponder. Las claves sern generadas en
base a estos datos.

En el apartado Opciones avanzadas de clave, podis seleccionar un tipo
diferente de cifrado. La recomendada es DSA Elgamal de 768 bits pero te
recomiendo que la cambies a "DSA Elgamal de 2048 bits" ya que es
considerada lo suficientemente segura y flexible. La fecha de caducidad es
la fecha en la que la clave dejar de ser til para realizar cifrado u
operaciones de firma. 6 meses es un tiempo razonable para ello. Vas a tener
que cambiar la fecha de caducidad o generar una nueva clave o subclave
despus de que pase este lapso de tiempo.

El ltimo paso consiste en introducir una contrasea. Ntese la diferencia
entre los trminos anglosajones para la palabra contrasea: el trmino
"password" indica una "palabra de paso", mientras que el trmino
"passphrase" indica una "frase de paso". Por tanto esta contrasea se debe
componer de ms de una palabra. Para que una contrasea sea efectiva
(segura), deber:
-ser larga;
-combinar maysculas, minsculas y nmeros;
-contener caracteres especiales (no alfanumricos);
-ser difcil de adivinar. Por lo tanto, que no sean nombres, fechas -
significativas, nmeros de telfono, nmeros de documentos, ...

En general, para crear una contrasea fuerte es aconsejable intercalar
maYsCUlas con mInsCulas, nmeros, otros caracteres no
alfanumricos, etc. Al escoger las palabras y frases debemos evitar
aquellas palabras demasiado obvias, o fechas significativas, y nunca usar
citas de libros o frases famosas. Dicho esto, debemos asegurarnos de que la
contrasea que elijamos sea lo suficientemente difcil para que no pueda ser
traspasada por un ataque de fuerza bruta, ni siquiera por un ataque de
diccionario, pero lo suficientemente fcil como para que la recordemos. Si
olvidramos una contrasea nuestra clave quedara totalmente inutilizada, y
los criptogramas con ella cifrados, indescifrables. Ante esta posibilidad se
recomienda crear siempre certificados de revocacin junto con las claves.

Una vez introducidos todos los datos requeridos, empieza el proceso de
generacin de las claves, que tarda un tiempo considerable dependiendo del
tamao de stas y la velocidad de tu ordenador. Durante este proceso el
programa recoge datos aleatorios que usar para generar las claves. Una vez
terminado, cierra Seahorse.
Publicar mis claves pblicas
Los servidores de claves pblicas son utilizados para distribuir,
precisamente, las claves pblicas. De ese modo, es muy fcil buscar a alguien
(por su nombre o correo electrnico) en la base de datos y encontrar sus
claves pblicas para enviarle mensajes encriptados (que slo l/ella podr
descifrar).

Para "subir" tus claves pblicas a estos servidores, slo tenis que abrir
Seahorse, seleccionar tu clave e ir a Remota > Sincronizar y publicar claves.
Aparecer una alerta avisndonos que esto provocar la publicacin de las
claves pblicas seleccionadas.


Obtener las claves pblicas de mis amigos

Abre Seahorse y ve al men Remota > Buscar claves remotas. Ingresa el
nombre o el correo electrnico de la persona que buscas. Luego, selecciona
la clave correspondiente. Cuando termines vas a ver que la nueva clave se
agreg a la pestaa "Otras claves".

(Des)Cifrando archivos y carpetas
Una vez que el par de claves ha sido generado, cifrar y descifrar
archivos es bastante simple. Solo tenis que seleccionar un
archivo, hacer clic derecho y seleccionar "Cifrar".

En el dilogo que aparece, selecciona la clave que creaste anteriormente, y
clic en OK.

Si seleccionaste una carpeta para cifrar, te va a preguntar si queris
cifrar cada archivo dentro de la carpeta por separado o si prefers que
se cree un archivo ZIP que luego ser cifrado. La segunda opcin es la
mejor en la mayora de los casos.

Si ests cifrando un archivo, una vez que el cifrado est completo, deberas
crearse un archivo del mismo nombre pero con la extensin .pgp. Una vez
terminado el proceso, podis borrar el archivo viejo. Si cifraste una
carpeta, deberas encontrar dos nuevos archivos: la versin cifrada con la
extensin .pgp y un archivo .zip con la versin original de la carpeta. Tanto el
ZIP como la carpeta original, pueden ser borrados despus del cifrado.

Por razones de seguridad, las versiones no cifradas de los archivos deben
ser eliminados permanentemente, en vez de simplemente enviarlos a la
papelera de reciclaje. Pero antes asegrate de probar descifrando el
archivo cifrado, para ver que todo va bien.

Para ello, slo tenis que hacer doble clic en el archivo .pgp e ingresar la
contrasea cuando te la pida. El archivo original reaparecer entonces. En
caso de ser una carpeta, el archivo .zip aparecer, y debers luego extraer
el contenido del mismo.

GPG
GNU Privacy Guard o GPG es una herramienta de cifrado y firmas digitales,
que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la
principal diferencia que es software libre licenciado bajo la GPL. GPG utiliza
el estndar del IETF denominado OpenPGP.
GPG cifra los mensajes usando pares de claves individuales asimtricas
generadas por los usuarios. Las claves pblicas pueden ser compartidas con
otros usuarios de muchas maneras, un ejemplo de ello es depositndolas en
los servidores de claves. Siempre deben ser compartidas cuidadosamente
para prevenir falsas identidades por la corrupcin de las claves pblicas.
Tambin es posible aadir una firma digital criptogrfica a un mensaje, de
esta manera la totalidad del mensaje y el remitente pueden ser verificados
en caso de que se desconfe de una correspondencia en particular.
GnuPG tambin soporta algoritmos de cifrado simtricos, por ejemplo
CASTS.
GPG no usa algoritmos de software que estn restringidos por patentes,
entre estos se encuentra el algoritmo de cifrado IDEA que est presente
en PGP casi desde sus inicios. En su lugar usa una serie de algoritmos no
patentados como ElGamal, CAST5, Triple DES (3DES), AES y Blowfish.
Tambin es posible usar IDEA en GPG descargando un plugin extra, sin
embargo este puede requerir una licencia para usuarios de algunos pases en
donde est patentada IDEA.
GPG es un software de cifrado hbrido que usa una combinacin convencional
de criptografa de claves simtricas para la rapidez y criptografa de claves
pblicas para el fcil compartimiento de claves seguras, tpicamente usando
recipientes de claves pblicas para cifrar una clave de sesin que es usada
una vez. Este modo de operacin es parte del estndar OpenPGP y ha sido
parte del PGP desde su primera versin.
Lo primero ser crear las claves, para ello ejecutamos el siguiente comando:

Nos saltara la siguiente informacin:

Para la mayora la opcin por defecto (1) es muy vlida para la mayora de
usuarios.
sta es la que voy a utilizar yo en este ejemplo.

Una vez escogido el mtodo tendremos esto:

Aqu tenemos que escoger la longitud de nuestra clave, cuanto ms larga,
ms complicado
ser descifrarla.
Yo que siempre tengo el modo paranoide encendido he escogido el mximo.

Una vez escogida la longitud tenemos lo siguiente:

Aqu escogemos para cunto tiempo queremos que nos sirva la clave, yo
siempre escojo 0
en caso de que no quiera volverla a usar, entonces ya enviar un certificado
de revocacin
para avisar de que esa clave no va a ser utilizada nunca ms, y luego
proceder con su
eliminacin.

Una vez escogida la duracin, procedemos
y nos pedir confirmacin, aceptamos con s, y continuamos

Ahora nos hace una pequea descripcin de cmo va a quedar la clave cuando
sea generada
y nos va a pedir los datos.
Vosotros en funcin de para qu queris utilizar esa clave, ponis vuestro
nombre real
si es para la vida "real" o cualquier otra cosa que os certifique en internet.

Luego nos pedir una direccin de correo electrnico, y por ltimo un
comentario para
afinar un poco ms para que vayamos a usar esa clave o para lo que vosotros
queris.

Confirmamos introduciendo V y seguimos:

Ahora nos pide una contrasea, esta contrasea es privada y solo debers
conocerla t.
Como esto es una cosa seria que certifica tu identidad, yo pondra algo que
sea complicado.
Una vez hecho, terminamos.

Ahora comienza con la generacin de la clave, para ello nos pide que
trabajemos con el
ordenador para poder generar informacin aleatoria, as que dicho y hecho.
Esperamos
un rato y terminar. En funcin de lo complicada que sea tu clave tardar
ms o menos.

Ya ha terminado y ahora nos muestra un resumen de cmo ha ido el asunto.
Nota importante Para poder identificar nuestra clave vamos a utilizar esta
lnea:
pub 2048R/20CEEBFB
Y en concreto estos caracteres: 20CEEBFB

Eso es de forma inequvoca nuestra clave, y es nica, no puede haber 2
iguales.
De modo que llegados a este punto, ya tenemos nuestro par de claves
generado.
Ahora vamos a dar a conocer nuestras claves pblicas.
Existen varias formas de hacerlo, una de ellas es por ejemplo, publicar
nuestra clave
pblica en nuestra pgina web, o un foro, y que quien quiera, que la coja.
Otra opcin es enviar nuestra clave pblica a todos nuestros contactos
mediante email.
Veamos cmo se hace.
Lo primero de todo tenemos que exportar nuestra clave pblica, eso se
consigue as:

Sin embargo existe una opcin mucho ms prctica, que consiste en subir
nuestra clave
pblica a un anillo pblico de claves pblicas, de modo que cualquiera que
desee
obtener nuestra clave solo necesitar saber la identificacin de nuestra
clave para
bajarla del anillo, y nosotros podremos editar nuestra firma de los foros
con algo del estilo
mi clave gpg pblica es: E00C9AC6

De este modo cualquiera que quiera tu clave pblica solo tendr que
solicitarla al anillo
por ese nombre, y la bajar de internet, esta es la forma ms segura de
hacerlo, y la que yo
recomiendo.
Veamos cmo podemos subir nuestra clave pblica a un anillo.
Pues es tan fcil como:

Obtener claves pblicas.
Para obtener claves pblicas de otras personas existen varios mtodos. Uno
de ellos es que
esa persona nos enve por correo electrnico su clave pblica tal y como
vimos en el punto
anterior, otro mtodo es que esa persona tenga su clave pblica en algn
sitio de internet y
nosotros lleguemos hasta all o bien por casualidad (lo que no es
recomendable) o bien porque
el interesado nos haya pasado el enlace. Y por ltimo, y bajo mi punto de
vista el mejor
mtodo, es mediante, una vez, el anillo pblico de claves.
Conseguir clave desde anillo pblico.
Para ello nicamente necesitamos conocer el identificador de la clave y
actuaramos
as:

Tan simple como eso, y gpg se conectar al anillo, y descargar la clave
pblica
adecuada.
Una vez que estamos completamente seguros de que las claves ajenas que
hemos importado
pertenecen realmente y de forma legtima a sus dueos deberamos
proceder a firmarlas para
tener un sistema confiable al 100%

Para firmar las claves ejecutamos lo siguiente:

Esto nos sacar un nuevo prompt en el cual ejecutaremos rdenes de gpg
Para firmar la nueva clave, lo haremos ejecutando:
- sing
Nos pedir confirmacin, se la damos, y entonces firmaremos con nuestra
clave primaria
de la cual nos pedir la contrasea.
Adems de poder firmar una clave, podemos aadir grados de confianza a
las claves.
Por ltimo, para guardar los cambios y salir ejecutamos lo siguiente:
- save
Para firmar un documento tenemos varias opciones.
- Firmar y que el documento firmado sea ilegible

Esta forma hace que el fichero sea ilegible hasta que la firma sea
verificada, pero ojo, no se encripta nada, solo muestra la informacin y el
contenido una vez que
se ha verificado la firma.

Para generar uno de estos ejecutamos:



Y eso nos generar un fichero-firmado.gpg

Para poder verificar la firma y luego ver el contenido de este tipo de
fichero
tenemos que ejecutar lo siguiente:




- Firmar y que el documento firmado sea legible con la firma

Esta es la mejor forma si lo que pretende es subir documentacin a
internet, al
menos bajo mi punto de vista.

Para ello ejecutaremos lo siguiente:


Esto generar un fichero fichero-firmado.asc que tendr el mismo
contenido que el
original, pero con la firma en su interior.



Firmar y que el documento y la firma vayan por separado

En ese caso necesitaremos ejecutar lo siguiente:



En este caso la firma ir en un fichero a parte por lo que puede ser de
utilidad
a la hora firmar por ejemplo un binario.
c) Cifrado de datos y particiones:
- En Windows: Uso de TrueCrypt.

TrueCrypt es una aplicacin para cifrar y ocultar en el ordenador datos que
el usuario considere reservados empleando para ello diferentes algoritmos
de cifrado como AES, Serpent y Twofish o una combinacin de los mismos.
Permite crear un volumen virtual cifrado en un archivo de forma rpida y
transparente.

Una vez descargado lo instalamos:



La consola del programa una vez instalado es la siguiente:


Una vez en la consola le damos a la opcin system y luego a la primera
opcin, que es para encriptar el disco duro, nos parecer un asistente de
encriptacin, le daremos a siguiente:



Despus de pasar unas pantallas, sin importancia, llegamos a una que si lo
tiene, en ella elegiremos el mtodo de encriptacin que queremos y el
algoritmo hash:



En la siguiente pantalla nos pide que introduzcamos la clave que se utilizara
para descifrar:


En la siguiente nos saldr una tabla con nmeros que irn cambiado
aleatoriamente, se usan para sacar la contrasea master y header, para ello
le damos a siguiente:



En la siguiente pantalla nos pide la ubicacin del fichero encriptado, y por
ultimo finalizamos.

d) Funciones HASH
- En Window: md5sum.
- En GNU/Linux: md5sum.

md5sum es un programa originario de los sistemas Unix que tiene versiones
para otras plataformas, realiza un hash MD5 de un archivo. La funcin de
hash devuelve un valor que es prcticamente nico para cada archivo, con la
particularidad que una pequea variacin en el archivo provoca una salida
totalmente distinta, lo que ayuda a detectar si el archivo sufri alguna
variacin. Es una herramienta de seguridad que sirve para verificar la
integridad de los datos.
Es muy utilizado en la actualidad y en el mundo Linux es muy habitual
encontrar las sumas de control MD5 de todos los paquetes que componen
una distribucin. Tambin hay algunas aplicaciones que utilizan su algoritmo
para encontrar archivos duplicados.
Supongamos que tenemos el fichero xdibu-0.1.tgz y queremos distribuirlo
en Internet, como es un archivo bastante grande y queremos facilitar que
cualquiera lo pueda descargar (usando programas de descargas como
GetRigth, Download Accelerator Plus, NetVampire, Downloader2X, wget,
GetLeft, etc.).
Aadiremos un pequeo fichero con el resultado de la ejecucin del comando
md5sum (o en algunos sistemas simplemente md5) sobre el archivo en
cuestin:
# md5sum xdibu-0.1.tgz
350766b7cf78e9401068b623d47bbf73 xdibu-0.1.tgz
# md5sum xdibu-0.1.tgz > xdibu-0.1.tgz.asc
# cat xdibu-0.1.tgz.asc
750726b7df78e9401068b623d47bbf73 xdibu-0.1.tgz
De forma que una vez descargado, para verificar la integridad del fichero
simplemente tendremos que ejecutar la misma instruccin, comprobando
carcter por carcter, la suma de control obtenida.
Si deseamos hacer la comprobacin de forma automtica solamente
tenemos que ejecutar:
# md5sum -c xdibu-0.1.tgz.asc
Existen versiones de md5sum, prcticamente para la totalidad de los
sistemas operativos, y en caso de necesitarse, se puede recurrir a Perl.
Independientemente del sistema operativo utilizado, en cualquiera de ellos,
la suma de control debe coincidir exactamente. Para comprobar que una
ISO se haya bajado correctamente antes de grabarla a Cd tenemos que
hacer:
#md5sum LihuenV1.0Final.iso
2687ea907f1f8c6cdf60681de4e09e72 LihuenV1.0Final.iso
Y ese valor alfanumrico que retorna compararlo con el archivo .md5 que
esta puesto en la seccin de descargas que corresponde a esa imagen.
Si todos los caracteres son iguales, se ha bajado bien la iso y se puede
grabar el CD sin problemas.