lunes, 26 de octubre de 2015

Criptografía


En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una claveprobando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será 2^{n}-1 operaciones, donde n es la longitud de la clave (también conocido como elespacio de claves).
Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de caracteres que se pueden utilizar en la clave. Contraseñas que sólo utilicen dígitos numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como letras, así como las que están compuestas por menos caracteres serán también más fáciles de descifrar, la complejidad impuesta por la cantidad de caracteres en una contraseña es logarítmica.
Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, son muy costosos en tiempo computacional.
La fuerza bruta suele combinarse con un ataque de diccionario.
Ataque por fuerza bruta es el método para averiguar una contraseña probando todas las combinaciones posibles hasta dar con la correcta.  Los ataques por fuerza bruta son una de las técnicas más habituales de robo de contraseñas en Internet dado que no es necesario tener grandes conocimientos en seguridad informática para realizar uno y existen programas que realizan de forma automática todo el trabajo.
Debido a la popularidad de estos ataques podemos encontrarnos en multitud de sitios web los llamados captchas que lo que intentan es detectar si la personas que está intentando acceder al servicio es humana es un software informático tratando de reventar una contraseña.








En criptografía una autoridad de certificacióncertificadora o certificante (AC o CA por sus siglas en inglés Certification Authority) es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación.

Concepto

La Autoridad de Certificación, por sí misma o mediante la intervención de una Autoridad de Registro, verifica la identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad. Los certificados son documentos que recogen ciertos datos de su titular y su clave pública y están firmados electrónicamente por la Autoridad de Certificación utilizando su clave privada. La Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación que legitima ante los terceros que confían en sus certificados la relación entre la identidad de un usuario y su clave pública. La confianza de los usuarios en la CA es importante para el funcionamiento del servicio y justifica la filosofía de su empleo, pero no existe un procedimiento normalizado para demostrar que una CA merece dicha confianza.
Un certificado revocado es un certificado que no es válido aunque se emplee dentro de su período de vigencia. Un certificado revocado tiene la condición de suspendido si su vigencia puede restablecerse en determinadas condiciones.

Modo de funcionamiento

Solicitud de un certificado

El mecanismo habitual de solicitud de un certificado de servidor web a una CA consiste en que la entidad solicitante, utilizando ciertas funciones del software deservidor web, completa ciertos datos identificativos (entre los que se incluye el localizador URL del servidor) y genera una pareja de claves pública/privada. Con esa información el software de servidor compone un fichero que contiene una petición CSR (Certificate Signing Request) en formato PKCS#10 que contiene la clave pública y que se hace llegar a la CA elegida. Esta, tras verificar por sí o mediante los servicios de una RA (Registration Authority, Autoridad de Registro) la información de identificación aportada y la realización del pago, envía el certificado firmado al solicitante, que lo instala en el servidor web con la misma herramienta con la que generó la petición CSR.
En este contexto, PKCS corresponde a un conjunto de especificaciones que son estándares de facto denominadas Public-Key Cryptography Standards.

La Jerarquía de Certificación

Las CA disponen de sus propios certificados públicos, cuyas claves privadas asociadas son empleadas por las CA para firmar los certificados que emiten. Un certificado de CA puede estar auto-firmado cuando no hay ninguna CA de rango superior que lo firme. Este es el caso de los certificados de CA raíz, el elemento inicial de cualquier jerarquía de certificación. Una jerarquía de certificación consiste en una estructura jerárquica de CAs en la que se parte de una CA auto-firmada, y en cada nivel, existe una o más CAs que pueden firmar certificados de entidad final (titular de certificado: servidor web, persona, aplicación de software) o bien certificados de otras CA subordinadas plenamente identificadas y cuya Política de Certificación sea compatible con las CAs de rango superior.

Confianza en la CA

Una de las formas por las que se establece la confianza en una CA para un usuario consiste en la "instalación" en el ordenador del usuario (tercero que confía) del certificado autofirmado de la CA raíz de la jerarquía en la que se desea confiar. El proceso de instalación puede hacerse, en sistemas operativos de tipo Windows, haciendo doble clic en el fichero que contiene el certificado (con la extensión "crt") e iniciando así el "asistente para la importación de certificados". Por regla general el proceso hay que repetirlo por cada uno de los navegadores que existan en el sistema, tales como OperaFirefox o Internet Explorer, y en cada caso con sus funciones específicas de importación de certificados.
Si está instalada una CA en el repositorio de CAs de confianza de cada navegador, cualquier certificado firmado por dicha CA se podrá validar, ya que se dispone de la clave pública con la que verificar la firma que lleva el certificado. Cuando el modelo de CA incluye una jerarquía, es preciso establecer explícitamente la confianza en los certificados de todas las cadenas de certificación en las que se confíe. Para ello, se puede localizar sus certificados mediante distintos medios de publicación en internet, pero también es posible que un certificado contenga toda la cadena de certificación necesaria para ser instalado con confianza.

Normativa

Normativa Europea

La Directiva 93/19991 ha establecido un marco común aplicable a todos los países de la Unión Europea por el que el nivel de exigencia que supone la normativa sobre firma electrónica implica que los Prestadores de Servicios de Certificación que emiten certificados cualificados son merecedores de confianza por cualquier tercero que confía y sus certificados otorgan a la firma electrónica avanzada a la que acompañan el mismo valor que tiene la "firma manuscrita" o "firma ológrafa".

Normativa Española

La Ley 59/2003 de Firma Electrónica2 ha derogado el Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica haciendo más efectiva la actividad de certificación en España.

Misión de las CA

Finalmente, las CA también se encargan de la gestión de los certificados firmados. Esto incluye las tareas de revocación de certificados que puede instar el titular del certificado o cualquier tercero con interés legítimo ante la CA por correo electrónicoteléfono o intervención presencial. La lista denominada CRL (Certificate Revocation List) contiene los certificados que entran en esta categoría, por lo que es responsabilidad de la CA publicarla y actualizarla debidamente. Por otra parte, otra tarea que debe realizar una CA es la gestión asociada a la renovación de certificados por caducidad o revocación.
Si la CA emite muchos certificados, corre el riesgo de que sus CRL sean de gran tamaño, lo que hace poco práctica su descarga para los terceros que confían. Por ese motivo desarrollan mecanismos alternativos de consulta de validez de los certificados, como servidores basados en los protocolos OCSP y SCVP.
Debido al gran número de entidades certificadoras existentes, y a pesar de las medidas de seguridad que emplean para la correcta verificación de personas físicas y jurídicas, existe el riesgo de que una CA emita un certificado a un defraudador con una identidad falsa. Como no existe un registro de qué certificados han sido emitidos por cada CA, no es fácil detectar qué casos se han filtrado de manera fraudulenta o qué certificados refieren a un nombre igual o muy parecido al de otra entidad. Para evitar este tipo de problemas, Google ha lanzado la iniciativa certificate transparency, que registra todos los certificados emitidos por las CA a través de unos ficheros de auditoría criptográficamente infalsificables, lo que puede ayudar a combatir el phishing3

CA de personas y de servidores

Los certificados de "entidad final" a veces designan personas (y entonces se habla de "certificados cualificados") y a veces identifican servidores web (y entonces los certificados se emplean dentro del protocolo SSL para que las comunicaciones con el servidor se protejan con un cifrado robusto de 128 bits)

CAs públicas y privadas

Una CA puede ser o bien pública o bien privada. Los certificados de CA (certificados raíz) de las CAs públicas pueden o no estar instalados en los navegadores pero son reconocidos como entidades confiables, frecuentemente en función de la normativa del país en el que operan. Las CAs públicas emiten los certificados para la población en general (aunque a veces están focalizadas hacia algún colectivo en concreto) y además firman CAs de otras organizaciones.

CAs en la Unión Europea

El Artículo 11 de la Directiva 1999/93CE de firma electrónica establece que los países miembros notificarán a la Comisión y a los otros estados miembros lo siguiente:
  • Información sobre esquemas voluntarios de acreditación nacionales, incluyendo eventuales requisitos adicionales según el artículo 3(7);
  • Nombres y direcciones de los organismos nacionales responsables de la acreditación y supervisión, así como de los organismos a los que se refiere el artículo 3(4);
  • Nombres y direcciones de todos los Prestadores de Servicios de Certificación nacionales acreditados.












La autoridad de validación es aquel prestador de servicios de certificación que asegura la autenticidad, validez e integridad de las transacciones más críticas, como aquellas de transferencia de valores, compra, venta a través de la red. Validation Authority es unaAutoridad de Certificación (CA=Certification Authority) neutral, con protocolo multi-validación, server para chequeo de la validad de los certificados digitales según norma X509V3 en sistemas que utilizan PKI (Infraestructura de llave pública) en corporaciones, bancos o dependencias gubernamentales.









AxCrypt es una programa informático con licencia GNU que nos permite codificar archivos en el sistema operativo Windows, pudiendo protegerlos y ocultarlos mediante una clave.

Características fundamentales

Permite codificar, comprimir, decodificar, ver y editar archivos mediante el uso del algoritmo AES-128 y SHA-1. Los archivos codificados poseen la extensión *.axx y se muestran con un icono diferente.

Funcionamiento

Para abrir el archivo codificado, pulsar con el botón derecho del ratón sobre el mismo y elegir 'AxCrypt | Abrir', introducir la contraseña elegida y aceptar.
Para codificar un archivo con una contraseña de acceso, sólo hay que pulsar con el botón derecho del ratón sobre el mismo y elegir 'AxCrypt | Codificar', introducir la contraseña elegida y aceptar.
Para retomar el archivo original sin codificar, pulsar con el botón derecho del ratón y elegir 'AxCrypt | Decodificar' introducir su contraseña y aceptar.
AxCrypt también permite realizar un borrado de archivos de forma segura.
Sistemas operativos requeridos: Win95/98/NT/ME/2000/XP/7

No hay comentarios:

Publicar un comentario