Archivo de la categoría ‘Programas’

Seguridad: Sniffing. Capítulo Primero -> Modelo OSI y TCP/IP

ATENCION: Los ejemplos que se van a mostrar y “tutoriales” tan solo tienen carácter educativo. En ningún aspecto comparto filosofías de invasión a la intimidad, ataques contra un sistema informático o cuestiones similares. En la medida que sea posible siempre se usarán ejemplos y formas que puedan ser usados por cualquier persona, de forma que pueda verificar los contenidos escritos. No obstante, por motivos más que obvios, materiales como contraseñas, nombres de usuarios o de hosts, serán omitidos o modificado en las capturas de pantallas realizadas (o las lineas escritas). Es decir, los ejemplos serán completamente reales, los datos mostrados a vosotros necesarios para poder pertrechar estos ejemplos no siempre lo serán (Sí lo serán los resultados). Para que esto conste de forma clara, todo material sensible modificado o falso estará resaltado en ROJO. Por motivos de seguridad, todo el material que sea expuesto aquí (exceptuando software propietario o libre, citaciones expresas o código de terceros) tanto texto, imágenes y código son propiedad del autor y está completamente prohibido su reproducción completa o parcial en otros lugares, espero que se comprenda.

 

Modelo OSI y TCP/IP

Antes de poder hablar de términos como IP, DNS, ARP, tramas, paquetes… es indispensable tener un conocimiento mínimo de como se constituye internet y de como funciona. Esa es la idea que nos trae hoy aquí. Estrictamente no es necesario conocer y comprender este tipo de términos a la perfección ni mucho menos, pero su conocimiento ayuda enormemente en cualquier tarea que tenga de forma directa o indirecta relación con una Red, como pueda serlo Internet. No obstante a la hora de tratar con prácticas como el Spoofing y el Sniffing (esta última especialmente) estos conocimientos sí pasan a ser imprescindibles.

Por ello vamos a centrar esta primera parte a comprender más o menos como se estructura Internet a un nivel, más que nada, teórico:

  • Modelo OSI y concepto de encapsulación
  • Capas/Niveles del modelo OSI
  • Modelo TCP/IP e Internet

 

 

Modelo OSI y concepto de encapsulación

En los setenta comenzaron a forjarse lo que serían las primeras redes entre diferentes sistemas. Pero como todo en esta vida, cada fabricante tenía su idea y para cada uno de ellos su idea era la mejor en comparación con el resto. La tecnología tiene que lidiar siempre con un problema siempre recurrente: La compatibilidad. Si una red se establece para poder interconectar entre sí una serie de diferentes dispositivos y/o sistemas, el problema era evidente… ninguna red era capaz de “hablar” con la red vecina, y solo mediante costosos equipos, recursos y otros hacían posible la operatividad entre ellos. Es así que fue necesario un acuerdo para establecer un modelo único por el cual regirse todos los fabricantes, de este modo sería mucho más simple crear interoperatividad entre sistemas diferentes. Así nació el modelo OSI.

La definición formal puede resultar un tanto confusa. OSI son las siglas Modelo de Interconexión de sistemas abiertos (Open System Interconnection), o incluso una definición más exacta podría darse como un modelo M.A.R.I.S.A. -> Modelo de Arquitectura de Referencia para la Interconexión de Sistemas Abiertos. Dicho de otro modo, de una forma más simple, podemos decir que el modelo OSI no es más que un modelo de referencia en el que se asientan ciertas ideas y sistemas para crear la conexión de múltiples sistemas entre ellos. Con este modelo de base, se comenzaron a crear protocolos y más protocolos… todo ello es lo que hace posible en última instancia lo que es Internet a día de hoy.

El modelo OSI se crea desde el inicio con la idea de una jerarquización y especialización clara de cada elemento que lo constituye. Es decir… cada elemento que va a jugar en OSI se intenta que sea aislado al resto, con una función bien definida. De este modo nacen los 7 niveles o capas (layers) en las que está constituida OSI. Cada capa layer en OSI está fuertemente especializada, tan solo se encargan de  recibir un dado de un layer adyacente, tratar el dato y enviar el dato al otro layer adyacente (si el layer es el último evidentemente no lo envía a ningun otro layer, al igual que si es el primero no lo recibe de otro).

Es importante recalcar el uso y función de cada una de estas capas, puesto que el conjunto de todos los protocolos que manejamos actúan de forma mayoritaria sobre una sola capa concreta del modelo OSI (algunos protocolos actúan en más de una capa, como pueda serlo por ejemplo Ethernet):


Esta imagen muestra perfectamente el modelo OSI y sus 7 capas o niveles. Pero antes de explicar la función de cada una hay que comprender como funciona.

Hemos dicho que la idea es que cada nivel sea especializado y en la medida de lo posible completamente independiente de los niveles superiores o inferiores. Esto se logra con el concepto de “Encapsulamiento”. Cada nivel no comprenderá ni tocará los datos que procedan de un nivel superior o inferior, lo tratará todo ello como una simple caja negra en la que no importa el contenido. Es por ello que cada unidad de información en cada nivel del modelo OSI posee un nombre distintivo. Existe no obstante un nombre genérico para todos ellos, PDU (Protocol Data Unit , o Unidad de datos del protocolo). Este término suele acompañarse con la letra al nivel que corresponde o el numero del nivel. Por ejemplo, la unidad de datos del novel 5 sería un 5PDU o SPDU. A partir del nivel 4 no obstante, cada nivel tiene un nombre también conocido diferente a PDU, aunque es igual de correcto usarlo. No obstante en informática está muy mal visto mezclar estos términos. Así, si nos encontramos en el nivel físico tan solo podemos hablar de bits. Frames si nos encontramos a nivel 2, paquete si estamos en nivel 3 o mensaje si estamos en nivel 4.

Para explicar el encapsulamiento, es necesario conocer esas PDU, puesto que explica perfectamente como funciona el modelo OSI y como un nivel envía información a otro:

Componentes PDU

El proceso de ascensión por los niveles es sencillo, el descenso de un dato sería exactamente igual pero en sentido contrario. Imaginemos que el nivel n+1 va a recibir un dato desde el nivel n. El nivel n realiza la función que tenga que realizar y cuando termina llama al nivel superior por medio del SAP (Punto de acceso al servicio) para enviar la información. Esa unidad de información se llama en dicho momento SDU del nivel n. Existen primitivas que realizan estas “llamadas” entre niveles, pero no compliquemos más el proceso. El caso es que ese nSDU justo antes de enviarse al nivel superior, es concatenado con un pequeño trocito de información adicional, llamado ICI (Interface Control Information, Información de Control de Interface) que es necesario para el paso de nivel. El nuevo bloque de información (ICI+SDU) pasa a llamarse IDU. En cuanto el IDU (Interface Data Unit, Unidad de datos de la Interface) cruza el nivel, el nICI es eliminado y el nSDU pasa a llamarse PDU del nivel n+1. Si fuese el nivel 3, se llamaría frame como ya hemos dicho. Un PDU es una unidad compuesta a su vez de una “cabecera” llamada PCI y el SDU. Este SDU por tanto contiene en realidad el PCI y el SDU del nivel n+2. La ÚNICA información por lo tanto que maneja el nivel n+1 será la PCI n+1. El SDU n+1 será enviado tal cual al nivel superior tal y como sucedió en el nivel n.

Dicho de otro modo, cada nivel tan solo se encarga de leer y eliminar, o añadir, la PCI de su nivel, dado que ICI es tan solo un trozo temporal de información que al final queda desechado. Es por ello que se llama al procedimiento encapsulamiento.

Visto de forma aun más resumida, imaginar que un navegador envía un dato a la red. El nivel de aplicación tomaría los datos enviados (7SDU) y le añadiría un PCI con información como el protocolo usado (HTTP), la longitud de los datos que se está enviando… El nivel de aplicación JAMÁS modificará por tanto el SDU entrante, ni siquiera mirará que datos son, simplemente recibirá el SDU y le añadirá en la PCI la información que tenga que añadirle. Despues de añadirle la PCI, la unidad pasará a llamarse 7PDU y será enviada por el SAP al nivel de presentación. Desde el punto de vista del nivel de presentación el proceso es exactamente igual al nivel de aplicación. El tan solo ve que recibe un SDU (que en este caso no sería más que la PCI+SDU del nivel de aplicación). Construye la 6PCI en el que especifica por ejemplo que los datos han sido cifrado por un algoritmo concreto o incluso encripta los datos (OJO!! si existe una encriptación o compresión de datos es evidente que el SDU es modificado) y la concatena con el 7SDU para formar el 6PDU, el cual es enviado al nivel inferior. El proceso continua hasta que al final en el nivel 1 todo es convertido en una mera secuencia de señales eléctricas enviadas por el cable de red. Cuando el otro extremo recibe la información, en realidad lo que está recibiendo sería algo como esto:

Encapsulamiento OSI

Aunque no se ha hablado anteriormente, un nivel puede no solo añadir una cabecera (PCI), sino que en algunas ocasiones y/o niveles encontramos que se añade al final del SDU una cola. Es el caso por ejemplo del nivel de enlace de datos. La capa física no obstante carece de PCI, ella es una mera intermediaria entre el medio y los datos lógicos.

Por último hay que añadir que aunque las dos imágenes anteriores son ciertas, existen mecanismos que no se han explicado, y que pueden ser usados en diferentes niveles si así se requiere por el protocolo. Es el caso de la segmentación/reensamblaje y la concatenación/separación:

Segmentación y Concatenación

En el caso de la segmentación, de un mismo SDU se forman diferentes PDU dentro del mismo nivel. Una vez que los diferentes PDU han sido creados se envía uno tras otro como si se tratase de PDUs diferentes de diferentes SDU. En el proceso inverso, el nivel n recibirá los diferentes PDU y los reemsamblará todos ellos en un solo SDU, que será el que se envíe al nivel superior.

La concatenación es diferente. En la concatenación se parte de diferentes SDU que producen diferentes PDUs. Esos PDUs se concatenan uno tras otro, y al finalizar es enviado todo el bloque, que corresponderá al SDU del siguiente nivel.

 

 

Capas/Niveles del modelo OSI

Capa 1, Capa Física

Esta capa es la encargada de enviar o recibir el flujo de bits final por el cable (o por el aire en el caso de conexiones wireless).  Es decir, en este nivel no importa en absoluto el contenido de esos bits de información, no importa si son correctos o son erróneos, si existe manipulación de bits o no existe manipulación de bits. Aquí no importa el destino de los datos o el origen de ellos, simplemente se codifica el flujo de bits de la forma necesaria para poder ser enviados por el medio que se esté usando (O al contrario, decodificar las señales recibidas del medio y convertirlas en bits de datos). Si es una red Ethernet por el cable Categoría 5e+, si es un Modem ADSL por el cable de teléfono de dos hilos de toda la vida, si es por WIFI por el aire. Dicho de otro modo, se transforman los bits en señales eléctricas (o viceversa) que serán las que transporten la información por el medio subyacente.

El nivel físico es posiblemente el más sencillo de comprender en función, aunque no por ello no deja de tener una complejidad importante. Aquí podríamos decir que las especificaciones eléctricas/electrónicas/magnéticas de los dispositivos de red son imprescindibles, normativas, temperaturas de operación, ruido del medio, especificaciones y/o estándares… y tampoco significa que no existan protocolos a este nivel, todo lo contrario, la mayoría de los lectores conocerá muchos de estos protocolos que operan exclusivamente a este nivel: Ethernet (IEEE 802.3), WIFI (802.11 b/g/n/a), xDSL, ISDN, GSM… en definitiva los protocolos de punto inicial/final por así decirlo que hacen posible las comunicaciones. Por ejemplo, un Modem ADSL actua en la capa física, Modulando o DEModulando las señales que tendrá que enviar o recibir por el cable de teléfono, y tendrá que hacerlo según el protocolo ADSL.


Capa 2, Capa de Enlace de datos

Es una de las capas del nivel OSI que mayor trabajo soporta y con no pocas tareas a llevar a cabo. Dicho de un modo simplista se encarga de la transmisión de los datos al medio adyacente (o a la capa física o a la capa de red) de una forma fiable y eficiente. Tomará un paquete (nombre de la unidad de información del nivel de red) del nivel de red y lo convertirá en un frame o trama (unidad de dato del nivel de enlace de datos) que será convertido en un flujo de bits y señales eléctricas que serán enviadas gracias al nivel físico. Si el dato es ascendente, tomará el flujo de bits procedentes del nivel físico y lo transformará en una nueva trama que será enviada al nivel superior, al nivel de red.

Esta capa se divide a su vez en dos subcapas, llamadas LLC (Logical Link Control o Control de Enlace Lógico) y MAC (Media Access Control, o Control de Acceso al Medio). Según la subcapa las funciones son diversas. Por ejemplo, en la subcapa LLC se realizan tareas como de corrección/detección de errores (según protocolos, por ejemplo en Ethernet no se realiza detección de errores en este nivel, pero si en WIFI) o el control de flujo.

LLC:

-Detección/corrección de errores: Se encarga precisamente de eso, asegurarse que los datos que se van a trasmitir al medio están libre de errores, o que los datos recibidos desde el medio se encuentran libres de ello. Alguna de estas técnicas se ha hablado en el capítulo de encriptación y autentificación cuando se habló de checksums y CRC.

-Control de Flujo: Es necesario la implementación de sistemas que garanticen que las tramas sean enviadas en el orden correcto o al menos conocer que trama es la primera y cual es la segunda en caso de que sean recibidas en otro orden (lo cual es bastante normal). Por otro lado es necesario la creación de frames especiales que indiquen el éxito o fracaso de la recepción de un frame de datos, como pueden ser los frames o paquetes ACK, y gracias a estos ACK y otras técnicas es posible conocer no solo el orden de los frames, sino si es necesario reenviar alguno que se ha perdido o transmitido con errores o cuestiones similares.

-Multiplexación de protocolos: Digamos que es posible multiplexar (“unir”) en una misma trama diferentes protocolos, es decir que en una misma trama exista dos o mas tipos de informaciones diferentes, de modo que cuando se realiza el proceso inverso se obtienen dos tramas diferentes con funciones completamente diferentes. Pensar en ISP que emiten simultaneamente a sus suscriptores televisión y conexión a Internet, de forma simultanea. Esto es posible exactamente por este procedimiento, las tramas de televisión se multiplexan con las tramas destinadas al tráfico de internet, y el Modem/router del cliente identificará que información tiene que destinar para la televisión de pago y cual de la información pertenece a Internet (no televisión).

MAC:

-Control de Acceso al medio: Como su propio nombre indica. El nivel de enlace de datos necesita conocer como tiene que acceder al medio para poder enviar los datos. La capa física tan solo coloca los datos en el canal y no se preocupa absolutamente de nada, es el nivel de enlace de datos quien tiene que supervisar cuestiones como que el medio se encuentre disponible en dicho momento. ¿Por qué es esto necesario? Imaginar que sucedería si se pretende enviar un frame via WIFI al router si en dicho momento exactamente el router está recibiendo un frame de otro equipo. En tal caso se produciría una colisión. Por ello es necesario sistemas de control que supervisen esto. Los dos modelos más comunes que podemos encontrar es por ejemplo el estandar CSMA/CD que es el empleado en redes Ethernet o el estandar CSMA/CA usado en WIFI, las redes Token Ring y Token BUS están perdiendo fuelle en estos últimos años. Hay que tener en cuenta que la eficacia de estos sistemas no depende si uno es más sofisticado que otro o cual es mejor, sino cual es más idóneo para cada medio. Por ejemplo, en caso de Ethernet y CSMA/CD el procedimiento de control es muy simple

a) CSMA/CD: Se comprueba que nadie esté transmitiendo en dicho momento. Si el medio no está libre se vuelve a intentar. En cuanto el medio esté libre se envía el primer bit y el protocolo permite conocer si ha existido o no colisión. Si ha existido se intenta enviar de nuevo el bit. Si no ha existido colisión se procede a enviar el segundo bit. Así hasta completar el envío de toda la trama

b) CSMA/CA: Se envía al medio una trama especial (RTS) preguntando si el medio está libre. Cuando el medio lo esté, recibirá una trama especial CTS, momento en el que se enviará la trama. Una vez enviada la trama y recibido un ACK de trama recibida, se procederá a la espera de un tiempo aleatorio. Tras el cual se procederá al envío de la segunda trama y así sucesivamente.

-Sincronización de Frames: Si el control de flujo es necesario para la fiabilidad de los datos, igualmente es necesario un mecanismo que sea capaz de separar o crear las tramas como tales. Es decir, de un flujo de bits que procede del nivel físico saber donde comienza y donde termina una trama y localizar donde comienza y termina la siguiente. Del mismo modo se tiene que encargar de “marcar” la trama que se va a enviar para que el destino pueda del mismo modo conocer cual es el inicio y fin de las tramas.

-Direccionamiento MAC: la gran mayoría conoce lo que es una dirección IP, pero si acudimos al modelo OSI, IP es un protocolo de nivel de red. En realidad existe un direccionamiento a más bajo nivel basado en en un direccionamiento físico. Se denomina físico porque la trama como tal no se envía en realidad a una IP, sino a una interfaz física. Cada interfaz física por tanto posee una dirección física única en el mundo, y así sucede. Es lo que llamamos comúnmente como dirección MAC, que no es más que un identificador grabado en fábrica que se le asigna a cada dispositivo de red. Recordemos que cada nivel no comprende, ni tiene que hacerlo, que sucede por encima o por debajo de su nivel. De este modo el nivel de enlace de datos especificará (o leerá) en la trama el origen y destino de la trama a nivel físico. De este modo, el nodo de red que reciba la trama sabrá a quien tiene que destinarla, o si tiene simplemente que desecharla porque dicha trama no tiene nada que ver con él.

Este ID que denominamos como dirección MAC es un ID que administra la organización IEEE y que es necesario comprar si se desea crear con fines comerciales un dispositivo de red. Este ID está constituido por una cadena de 6 bytes hexadecimales, generalmente expresado como 00:11:22:33:44:55 o como AA-12-BB-34-CC-56. Cada adaptador físico posee su dirección MAC única, lo cual no quiere decir que esta pueda ser alterada por software de algún modo.

-QoS: En este nivel y subnivel se lleva a cabo una labor también importante, como es QoS (Quality Of Service o Calidad de Servicio). QoS son sistemas de priorización de tráfico. Dado que el ancho de banda queramos o no es limitado (no es infinito) es necesario en algún momento priorizar un tráfico frente a otro. De lo contrario se producirían errores de transmisión intolerables en cuestiones que requieran aplicaciones sensibles al tiempo. Por ejemplo solo hay que pensar en un software de monitorización de un paciente, en la que las órdenes se realizaran y recibiesen por red. En una aplicación similar no podríamos permitirnos el lujo de la existencia de retrasos en las señales debido a una sobrecarga en nuestra red. No podríamos permitir que (dado que el ancho de banda no es infinito) por leer el correo en nuestra red, descargar archivos o cualquier otra labor, pudiese relentizar dicha monitorización. Es necesario por tanto priorizaciones de tráfico. Así por ejemplo podríamos disponer de tráfico pesado pero que poco importa su retraso o completamente el caso concreto, tráfico muy ligero pero con un retraso mínimo. O tráfico normal pero para el que se requiere una sincronización y estabilidad absoluta.

-Otros: Existen otras funciones quizás menos conocidas o usadas de forma popular, como VLAN o la commutación de paquetes.

como protocolos que podemos indicar en el nivel de enlace de red tenemos desde Ethernet, ARP (que se verá exhaustivamente), Frame Relay, PPTP/L2TP…

 

Capa 3, Capa de Red

Quizás la capa más conocida de forma popular dado la importancia manifiesta del protocolo IP. Este nivel tiene 2 funciones principales:

-Encaminamiento: A fin de ser posible la comunicación entre dos dispositivos en la ubicación que sea, es necesario un sistema que sea capaz de destinar un paquete desde un origen a un destino por una ruta que sea la óptima según el momento o situación. Esta ruta puede variar por razones de latencia o simplemente congestión.

-Control de congestión: Dado que es importante conocer aquellas rutas que no son eficaces, es necesario disponer de mecanismos que puedan identificar dichos nodos y poder así establecer rutas diferentes

Hay que tener en cuenta que IP no es más que un protocolo más de este nivel, existen otros muchos protocolos que no requieren de una IP para poder ser usados, como por ejemplo IPX o ICMP. No obstante las redes que tenemos constituidas a día de hoy, la infinita mayoría, corresponde al modelo TCP/IP, en el que el protocolo IP está presente prácticamente en todo momento. Pero IP será tratado en otro momento de forma más exhaustiva.

Como hemos dicho existen otros protocolos de nivel de Red como pueda serlo IP, ICMP, IGMP, IPX…

 

Capa 4, Capa de Transporte

Los niveles 1 2 y 3 están orientados a mantener una comunicación directa tan solo entre sí mismos y el nodo de red adyacente. A partir del nivel 4 la comunicación pasa a ser entre host y host. Toda la información que se trata en los niveles 1 2 y 3 es tan solo de interés para los nodos de red, e incluso estos mismos son los que la modifican según necesiten para poder ir encaminando, detectando y enviado el mensaje al destino final. la comunicación que mantienen los 3 primeros niveles por tanto se limita entre nodos adyacentes.

En el nivel 4 esto cambia. La unidad de información pasa a llamarse mensaje, y aquí ya no importa el destino o el origen del mensaje dado que de eso se encargarán otros niveles. El nivel 4 se preocupa tan solo en garantizar el correcto transporte y entrega de los datos al host destino, no al nodo de red siguiente, que eso es función del nivel de enlace de datos. Hay que tener en cuenta que a lo mejor el mensaje tiene que cruzar medio mundo, 20 routers para poder llegar al destino final. Eso es lo que no le importa a la capa de transporte, el no ve el destino como un punto del mapa del mundo, sino como un dispositivo que está a su lado y con el que quiere comenzar una comunicación. Es por ello que muchas de las funciones que realiza el nivel de red pueden ser encontradas en las funciones que realiza el nivel de enlace de datos. ¿Pero entonces no es algo redundante? ¿No sería suficiente con permitir un control similar en el nivel de enlace de datos? No. El nivel de enlace de datos tan solo garantiza un medio libre de errores y correcto entre nodos, no más allá. El nivel de transporte no garantiza un medio libre entre dos nodos, sino que su información es recibida de forma correcta en el destino. Sin este tipo de control en la capa de transporte, se podría enviar un mensaje por el mismo equipo de forma correcta, pero podría darse el caso que en el salto número 10 por el router 10 por el que transita el mensaje el mensaje se perdiese por una desconexión del mismo o por una congestión intensa. De cara al host origen, del nivel de enlace de datos, la trama fue correctamente recibida por el router 1, luego para él no existiría problema alguno. En cambio, el nivel de transporte se mantendría esperando para la recepción de los datos y jamás sabría que el mensaje se perdió en algún punto de la red.

Es por ello que las funciones que puede desempeñar la capa de transporte (Dependiendo siempre del protocolo usado) son muchas de ellas similares a las que encontramos en enlace de datos, aunque esta vez siempre entre hosts:

-Control de Flujo y Corrección/Detección de Errores: Tal y como fue explicado en el nivel 2

-Acceso múltiple: Comúnmente conocemos esto como “puertos”. Todos los niveles del modelo OSI tienen una primitiva (un elemento) llamado “Service Access Point” (SAP, punto de acceso al servicio) por el cual se accede al nivel superior/inferior. En el caso del nivel de transporte este SAP es lo que denominamos de forma coloquial “Puerto”. La funcionalidad de estos puertos no es otra que la de poder establecer conexiones múltiples de forma simultanea sin que unas infieran en otras. Es decir, se requieren diferentes accesos diferentes a este nivel. Se puede pensar que que este mecanismo podría ser necesario igualmente en otros niveles, pero no es así. Recordemos que por debajo del nivel de transporte está el nivel de red y a él le da exactamente igual el dato que esté recibiendo, el trata todos los mensajes que recibe del mismo modo, le da igual orden, prioridad, si tiene o no tiene errores… en cambio, para el nivel de red si es muy importante conocer que mensaje está destinado a cada puerto, dado que cada puerto será una comunicación que se está realizando de forma simultanea, tiene que conocer que mensaje es cada cual y a quien está destinado.

Podemos decir igualmente que existen dos tipos de protocolos en la capa de transporte, aquellos orientados a la conexión y aquellos no orientados a la conexión. Podemos decir que en el primer caso, la idea es que antes de transmitir los datos es necesario el establecimiento de una conexión antes de transmitir los datos y la finalización de esta al acabar. Por el contrario en aquellos no orientados a la conexión esto no es necesario, y cada mensaje es enviado sin necesidad de crear conexiones. Generalmente se usan protocolos de transporte orientados a conexión como TCP cuando los datos a transmitir requieren de cierta fiabilidad y control sobre ellos, mientras que lo común es usar protocolos no orientados a la conexión cuando lo que se requiere es simplemente el envío de datos sin importar siquiera si hay errores en la transmisión. Es el caso de UDP. Pensar por ejemplo en aplicaciones que es necesario controlar perfectamente la información, como por ejemplo a la hora de querer ver una página web, no queremos que la página se muestre mal. Por el contrario, podemos pensar en un juego online en el que se está transmitiendo de forma continuada y masiva las coordenadas de la posición de nuestro personaje al servidor. No sucedería realmente nada si algunos datos se pierden por el camino, dado que no son datos que podríamos entender como críticos. Otras muchas veces es preferible usar este tipo de protocolos y dejar que la aplicación en sí la que por otros mecanismos software verifique la fiabilidad de dichos datos.

De todos modos TCP/UDP será también extendido de forma amplia, y esto servirá más que nada como una “mera” introducción.

 

Capa 5, Capa de Sesión

La función de la capa de sesión no es otra que la de abrir, configurar, mantener y cerrar una sesión entre dos aplicaciones, generalmente en un esquema de aplicaciones cliente-servidor. En realidad ha sido un nivel poco usado, dado que la mayoría de las funciones de las que puede encargarse suelen ser aplicadas en la misma Capa 7, en nivel de aplicación. No obstante tenemos algunos protocolos tipo que nos muestran perfectamente de lo que hablamos, como el protocolo SSH (bastante usado) o SCP. Otro ejemplo común de ello es el protocolo de Microsoft NetBios para la resolución de nombres en redes Windows.

 

Capa 6, Capa de presentación

La función de la penúltima capa es preparar los datos para la capa final (en caso de una conexión entrante) y prepararlos para que sean enviados. Es por ello que esta capa se encarga fundamentalmente de tres funciones:

-Conversión de datos: Las redes pueden estar compuestas por diferentes sistemas que tratan los datos de manera diferente. Por ejemplo diferente codificaciones de caracteres. La capa de presentación es necesaria por tanto si se quiere que diferentes sistemas que usan codificaciones diferentes puedan hablar entre ellos.

-Compresión: Poco es necesario añadir. En el nivel de presentación puede ser necesario una compresión o descompresión de estos. Esto no quiere decir que cualquier compresión de datos en una red se sitúe en este nivel, aunque este nivel se debería de encargar de ello

-Cifrado: Los datos pueden necesitar un cifrado de datos o descifrado a este nivel. Aunque protocolos como SSL/TLS puedan ser usados a nivel de transporte, puedes ser usado igualmente en nivel de presentación, siendo posiblemente una solución más segura.

Protocolos que funcionen en este nivel? TLS o SSL para comenzar, aunque podemos citar también por su gran implementación “MIME”, protocolo usado ampliamente en la codificación de correos electrónicos.

 

Capa 7, capa de aplicación

Por último, el nivel de aplicación. Si el nivel físico hace de nexo entre los datos lógicos y meras señales eléctricas, el nivel de aplicación hace de nexo entre la aplicación y por tanto el usuario y la red. Es el nivel más cercano al usuario e interactua directamente con él. Posiblemente aquí encontremos la mayoría de los protocolos más conocidos, quizás excluyendo TCP o IP: HTTP, SMTP, POP, IMAP, DNS, FTP, DHCP… así un navegador web es el que interactua con el usuario para poder visionar una web, y el protocolo más cercano al usuario es por tanto HTTP y DNS. Si usamos un gestor de correo es SMTP, IMAP y POP los protocolos que hacemos uso para poder leer nuestro correo… estos protocolos interactuan directamente con nosotros, y serán las diferentes capas las que se irán transformando los datos hasta acabar convirtiéndolos en una mera sucesión de señales eléctricas que contienen toda la información necesaria para alcanzar el destino.

 

 

Modelo TCP/IP e Internet

A medida que ascendemos por los niveles del modelo OSI, comprobamos ciertos aspectos que pueden o podrían ser implementados en otros niveles, o agrupar varios de ellos por el poco uso que puede darse. Hay que tener en cuenta que el modelo OSI es tan solo un modelo de referencia, y por supuesto no se pensó en modo alguno en la existencia de Internet, y menos aun de lo que es Internet a día de hoy. Es por ello que del mismo modo que nació el modelo OSI, apareció el modelo TCP/IP, por supuesto basado íntegramente en el modelo OSI. Es más… el modelo TCP/IP que es el que es usado hoy en día es prácticamente el modelo OSI solo que simplificado y algunos pequeños cambios.

El modelo TCP/IP es el siguiente:

TCPIP Vs OSI

Como se aprecia, básicamente el modelo TCP/IP condensa los niveles de aplicación, presentación y sesión en tan solo un Nivel Aplicación. Por otro lado condensa los niveles Físicos y enlace de datos en un nivel de Enlace de datos (o acceso a la red). De este modo, el modelo TCP/IP pasa a tener tan solo 4 niveles diferentes, niveles que funcionan exactamente igual que en el modelo OSI, salvo los niveles de enlace de datos y aplicación que se encargarían también del peso restante.

Aunque el modelo TCP/IP se puede ver como una simplificación al modelo OSI, no podemos en ningún momento afirmar que el modelo TCP/IP sea siquiera compatible con OSI. Es cierto que las funciones de los diferentes niveles es el mismo con la diferencia de que algunos de ellos están condensados, pero existen muchas otras diferencias a menor escala que hace que cada día que pasa el modelo TCP/IP sea más diferente a OSI. Esto tiene también una explicación.

El modelo OSI es un modelo muy antiguo en lo que toca al ritmo galopante de nuestros días en cuestión de tecnología. Se crean o destruyen protocolos así hagan falta, e incluso muchos de ellos es complicado ubicarlos en un nivel concreto, tanto en OSI como en TCP/IP. Mientras que OSI es un modelo de referencia, TCP/IP es un modelo que podríamos llamar “en producción”, sujeto a modificaciones en el tiempo según las necesidades. Es cierto que la inmensa mayoría de estas necesidades se satisfacen con protocolos y/o técnicas diferentes, pero no tiene por qué limitarse a esto. Podemos ver OSI por tanto como un modelo rígido y TCP/IP como un modelo derivado de OSI que ha continuado por si mismo, aunque como hemos dicho, una vez más, es muy muy similar en forma y contenido a OSI.

Es evidente que el modelo TCP/IP tiene como características casi indiscutibles la necesidad del protocolo de red IP o el protocolo de transporte TCP. Pero dentro del modelo TCP/IP existe un conjunto bastante grande de protocolos, lo que se conoce como la pila (o stack) de protocolos TCP/IP. Muchos de ellos nos son más que conocidos: IP, ARP, DNS, TCP, UDP, ICMP, IGMP, IPsec,L2PT, PPTP… aunque es posible hacer funcionar una red TCP/IP con un conjunto limitado de esta pila de protocolos. Así, el modelo TCP/IP no solo es una arquitectura propia que explica como se pueden relacionar los diferentes protocolos entre sí, sino que especifica los diferentes protocolos que harán uso de dicho modelo.

Su importancia es evidente: Internet y redes LAN. Podríamos decir que Internet ha sido el gran logro, pero no hay nunca que olvidar las redes locales. Es cierto que Internet está constituida por el modelo TCP/IP, pero las redes LAN no tienen por qué estarlo. Por ejemplo aun se encuentran redes en IPX, lo que hace necesario elementos para la correcta interoperatividad entre diferentes modelos.

 

Para terminar este capítulo, hay que hablar de Internet. Modelo OSI, modelo TCP/IP, protocolos… toda esa teoría, conceptos y herramientas ha servido a día de hoy para poder constituir la red de datos más grande que se ha conocido (si excluimos el cerebro humano como red neuronal). Actualmente Internet se puede concebir como una red con vida propia. El éxito de Internet y su gran importancia desde el punto de vista de este escritor es que es la primera “construcción” humana de la cual TODOS formamos parte (al menos si así lo deseamos). Ese es el principal peligro que siempre acosará Internet y que esperemos que por siempre Internet pueda sortear la política o los intereses económicos.

¿Que es Internet? ¿Quien es el dueño? ¿Que es de los ISP?

Internet es una red abierta, libre, gratuita. Pero para poder mantenerla, expandirla y hacer un buen uso de ella, actualmente existen dos organizaciones sin animo de lucro que se encargan de ello. Podríamos verlos como “sus dueños”, aunque esta afirmación es completamente errónea.

La primera organización nacida relativamente ayer, en el 1998, es la encargada de la asignación de direcciones IP y de nombres de dominio, es la ICANN (Internet Corporation of Assigned Names and Numbers), de la cual pende una rama de ella conocida como IANA, la cual se encarga de parte de esta labor, aunque su papel era el de ser la misma ICANN antes de que esta fuese constituida como tal. Actualmente IANA se encarga principalmente de la coordinación del direccionamiento IP, los servidores DNS raíces o de cuestiones como los puertos TCP/UDP. Por el otro lado tendríamos a la IETF, que sería la organización que crea, elimina o modifica los protocolos del nucleo de TCP/IP, como pueda serlo el mismo protocolo IP, TCP, UDCP… si bien es cierto que muchos protocolos de Internet son mantenidos por otras entitades, la IETF tan solo se encarga de aquellos protocolos esenciales. Por ejemplo el cada día más próximo IPv6. Pese a la polémica siempre suscitada de si la ICANN debería de ser una organización americana o no, personalmente por ahora siempre han realizado una labor impecable.

Como vemos, Internet por tanto es la red que se forma con los mismos cientos de miles, millones de dispositivos conectados entre sí de una u otra forma, ya sean redes privadas o redes públicas. Así, cuando conectamos nuestro equipo a Internet, estamos formando parte en dicho momento de Internet. Quizás sea más fácil pensar en Internet como un cable interminable al cual el que quiera puede cuando quiera acercar el brazo y unirse, haciendo que al cable le crezca otro brazo más. Y aunque parezca lo contrario, es una red libre, nosotros no pagamos por el acceso sus infraestructuras… ¿o si? Para poder tener acceso a la red de redes necesitamos un ISP, un proveedor de servicios que nos alquila sus infraestructuras para poder conectarnos a ella. Podemos pensar que en u principio Internet no era más que un cable que conectaba dos universidades, una en Estados unidos y otra en ginebra. Podemos pensar que en algún momento se lanzó otro cable a otro pais en estados unidos, formando la primera pequeña rad de ordenadores interconectados y separados por cientos o miles de kilómetros. A esta imagen tan solo hay que añadirle ramas y más ramas y más ramas… universidades interconectadas entre ellas, infraestructuras y cableado que surcan los océanos… del mismo modo los ISP crean o mantienen sus propias redes, se conectan a los enlaces principales de internet, y así poco a poco se forma la mayor red de las redes:

Gracias al direccionamiento IP y a la eficiencia de los servidores de nombres de dominios, podemos acceder virtualmente a cualquier servidor público del planeta con tan solo conocer o su IP o su nombre de dominio de tenerlo. De ahí la importancia de la ICANN. No obstante, la ICANN delega en organizaciones regionales la gestión de las direcciones IP. Dicho de otro modo, mientras que la ICANN es la organización padre, las organizaciones regionales RIR (Regional Internet Registries) serían sus hijas. Existen 5 entidades registradoras de Internet, cada una de ellas se ocupa de una región diferente del planeta, de modo que ninguna se solapa. Es decir, cada una de estas RIR serían la máxima autoridad registradora IP, tan solo estando por encima de ellas la ICANN e IANA

  • RIPE NNC -> Se encarga de toda Europa y prácticamente toda Asia, excluyendo el Sur de esta.
  • AfriNIC -> Se encarga del continente Africano en su totalidad
  • APNIC -> Todo el Sur de Asia más toda Australia
  • ARIN -> América del Norte
  • LACNIC -> América Central y Sur América


Distribución de las Organizaciones RIR


Del mismo modo que se gestiona todo el direccionamiento IP, es gestionado todos lso nombres de dominio. Esto es necesario para el correcto funcionamiento de la Red, es fundamental. Esta función recae igualmente y en última instancia en la ICANN, aunque esta permite a empresas tanto públicas como privadas actuar como agentes registradores, por supuesto con todos los permisos pertinentes y todas las restricciones de cada caso. Así, la ICANN es la encargada de la gestión y control de los dominios de primer nivel, conocidos como Top-Level Domain o simplemente TLD

¿Pero que es un nombre de dominio? Un nombre de dominio no es más que un identificador asignado a un usuario (ya sea físico, empresa…) que generalmente se enlaza a una IP, de modo que su ubicación en Internet queda completamente definida por dicho identificador. El sistema de nombre de dominios es jerárquico, y debe de ser leído siempre de derecha a izquierda, donde cada punto separará los diferentes niveles del dominio.

Dicho esto, los dominios de primer nivel por tanto son aquellos identificadores que se encuentran a la derecha del todo, antes de encontrar el primer punto de separación. No obstante, los dominios de primer nivel no son infinitos como cabría esperar, existen dos grupos bien definidos de los dominios de primer nivel:

  • ccTLD (Country Code TLD): Podríamos traducirlo algo así como TLD regionales o traducirlo literalmente como TLDs por código de País (o algunas regiones), los cuales son los únicos dominios de primer nivel que poseen tan solo dos letras. La ICANN concede a cada País por tanto un dominio de primer nivel, correspondiente este a dos letras, que coinciden con un estandar ISO (exceptuando alguna que otra excepción por motivos históricos). Así por ejemplo, el dominio de primer nivel reservado para España es “.es” o para francia “.fr”. No obstante, cada País tiene el derecho de explotación de su dominio de primer nivel, dándose el caso de que algunos países lo vendieron a empresas por dinero.
  • gTLD (Generic TLD): TLDs genéricos. Todos ellos poseen tres o más caracteres, aunque la mayoría son de 3 y 4. Aquí de nuevo hay que hacer distinción entre 3 subgrupos:

    -Generales: Aquellos que dependen exclusivamente de la ICANN y regidos por sus respectivas normas de registro: .com .net .org .pro .bif .info .name
    -Patrocinados: dominios propuestos a la ICANN por agencias u organizaciones privadas por diferentes motivos, desde culturales, estatales… y algunos de ellos bien “pagados” a la ICANN: .aero .asia .cat .coop .edu .gov .int .jobs .mil .mobi .museum .tel .travel.
    -Infraestructura y Reservados: Son dominios de primer nivel que no se usan. Algunos se usan para pruebas, otros se mantienen por razones históricas: .example .invalid .localhost .test .arpa

Según lo explicado, para una persona física sería imposible registrar un dominio de primer nivel, dado que los administra tan solo la ICANN y hay los que hay. Cuando registramos dominios realmente lo que hacemos es en el mejor de los casos registrar dominios de segundo nivel, aunque muchas veces se confunde y se les llama de primer nivel. Así por ejemplo, el dominio Theliel.es no es un dominio de primer nivel, sino de segundo. El primer nivel es “.es”, el segundo nivel es “theliel.es”.

Los ccTLD son administrados de manera local por las agencias de cada Pais encargadas a ello, por ejemlo en españa la agencia encargada del registro y mantenimiento de los dominios .es es “nic.es” perteneciente al propio gobierno, lo que no quita que existan entidades intermediarias que son agentes registradores legales. Los gTLD no obstante, son gestionados por agencias o empresas privadas y por supuesto en última instancia por la ICANN. Pero esto no evita el problema de preguntarse como se enlazan esos nombres de dominio al sistema de direccionamiento IP. Y es ahí donde entra en juego el protocolo DNS y los servidores de nombres de dominios. Aunque DNS será explicado en el siguiente capítulo, si hay que comprender que es necesario ciertos servidores (llamados servidores raíces) que se encarguen del grueso de todo ello, de toda la mayoría de toda la gestión DNS. Es así por tanto que existen 13 servidores raíces esparcidos por todo el mundo, administrados tanto por compañías publicas como privadas, y por supuesto por seguridad, existe réplicas de la mayoría de ellos, para distribuir la carga y para sustitución en caso de fallo, avería o ataque Hacker. Todos ellos se denominan alfabeticamente comenzando por la primera letra: “letra.root-servers.net”, siendo la letra desde la A hasta la M:


Gracias a estos elementos explicados, Internet es posible. En el próximo capítulo veremos los protocolos más importantes que hacen que esto funcione y explicaremos un poco más como es posible que dos puntos cualesquiera del mundo puedan estar conectados en cualquier momento. Todo ello necesario para poder comprender más adelante algunas técnicas ya comentadas, como el Sniffing.

Seguridad: Encriptación y Autentificación. Índice (Actualizado)

Bienvenidos al tema de Hoy: Encriptación y Autentificación, la seguridad ante todo.


Hoy dejamos todo aquello del Spoofing de lado y entramos en el mundo de la encriptación y la autentificación. Dos términos muchas veces parejos, pero muy diferentes. La encriptación es la forma de modificar los datos para que estos esté protegidos, cifrados… la autentificación por el contrario no implica un cifrado, sino un reconocimiento de la identidad, al menos por parte de uno de los implicados, ya sea de un sistema, de un usuario…

En realidad este debería de haber sido el primer artículo, por encima de Spoofing. Todo lo que se vea aquí será aplicado, tratado y mencionado en cualquier otro artículo con casi total seguridad. Aquí hablaremos de las medidas tecnológicas que poseemos para evitar cualquier tipo de inseguridad en la red y por supuesto también de las herramientas disponibles para poner en jaque estas medidas tecnológicas:



Herramientas Utilizadas/Material necesario: (No todo es necesario, dependiendo de la plataforma a usar, de cada sección y de lo que a cada cual le sea más cómodo)

Seguridad: Encriptación y Autentificación. Capítulo Quinto -> Ataques y Vulnerabilidades contra la Criptografía

ATENCION: Los ejemplos que se van a mostrar y “tutoriales” tan solo tienen carácter educativo. En ningún aspecto comparto filosofías de invasión a la intimidad, ataques contra un sistema informático o cuestiones similares. En la medida que sea posible siempre se usarán ejemplos y formas que puedan ser usados por cualquier persona, de forma que pueda verificar los contenidos escritos. No obstante, por motivos más que obvios, materiales como contraseñas, nombres de usuarios o de hosts, serán omitidos o modificado en las capturas de pantallas realizadas (o las lineas escritas). Es decir, los ejemplos serán completamente reales, los datos mostrados a vosotros necesarios para poder pertrechar estos ejemplos no siempre lo serán (Sí lo serán los resultados). Para que esto conste de forma clara, todo material sensible modificado o falso estará resaltado en ROJO. Por motivos de seguridad, todo el material que sea expuesto aquí (exceptuando software propietario o libre, citaciones expresas o código de terceros) tanto texto, imágenes y código son propiedad del autor y está completamente prohibido su reproducción completa o parcial en otros lugares, espero que se comprenda.

 

Ataques y Vulnerabilidades contra la Criptografía

Para acabar con el tema de Encriptación y Autentificación, es obligado mostrar sus vulnerabilidades. Es cierto que muchos de los ataques y vulnerabilidades de la criptografía son simplemente teóricos, se conocen que son efectivos pero no es posible llevarlos a cabo por una u otra razón. No obstante, es una búsqueda constante. En el mundo existen increíbles criptólogos con una formación en matemáticas y en la creación de algoritmos seguros sin igual. Pero como todo en esta vida nada, y repito nada, está exento de posibles ropturas.

En realidad esto es importantísimo, tanto las mentes que son capaces de diseñar algoritmos como los que tenemos como aquellos que pasan horas y horas intentando lograr un ataque exitoso contra un sistema criptográfico. Porque así es la única forma real de poder construir sistemas seguros. Si nadie se dedica a estudiar estos sistemas, es posible que diversos atacantes puedan disponer de herramientas y materiales para poder llevar a cabo un acceso no autorizado a un sistema o la interceptación y descifrado de cualquier mensaje. En cambio, cuando tienes a muchísimas personas que trabajan incluso para ello, para lograr fallos de seguridad en estos sistemas, estos mismos intentos te están garantizando que el sistema es seguro, puesto que aun no se han logrado romper. No hay que olvidar por supuesto los numerosos concursos anuales de criptografía, en los que se están desafiando constantemente a organizaciones y particulares a resolver un problema dado, por ejemplo revertir un cifrado asimétrico o simétrico, revertir un Hash…

Por suerte y por desgracia, no son pocas las herramientas, método o sistemas que existen actualmente para poner en jaque la seguridad de todos los sistemas actuales. Suerte porque permite mejorar los sistemas, desgracia porque estos métodos son usados continuamente por hackers y otros para violar un sistema. Vamos a ver algunos de ellos. Podemos decir que prácticamente cualquier método “seguro” tiene un posible ataque que puede aplicarse para romper dicho sistemas:

  • Colisiones y preimagen
  • Rainbow Tables
  • Brute Force Y Diccionarios
  • Criptoanálisis
  • Ataques Side Channel

El término “Criptoanálisis”, dependiendo de la bibliografía a la que se acuda, puede ser interpretado como un término genérico que englobaría prácticamente a todos los sistemas de ataques contra la criptografía. No obstante, nosotros lo entenderemos como un conjunto de técnicas basadas en el análisis puro y duro de ciertos aspectos del cifrado para poder romperlo.

El término estrella aquí es ¿Qué es un ataque? ¿Qué se considera romper un sistema criptográfico?
Esto se dejó ver en otros capítulos. Un ataque es cualquier intento que tenga como objetivo romper un sistema criptográfico, entendiendo con “roptura” no solamente la obtención de la clave de dicho cifrado o de invertir un hash o… Una roptura criptográfica es un concepto amplio, en el que evidentemente el mejor de los casos e ideal pasa por lograr obtener la clave en caso de un cifrado simétrico o asimétrico, pero como hemos dicho, no solo se interpreta una roptura por ello. Una roptura criptográfica podría implicar:

  • Obtención de la clave simétrica (en caso de un cifrado simétrico)
  • Obtención de la clave pública (en caso de un cifrado asimétrico)
  • Obtención completa o parcial del mensaje original a partir de un mensaje cifrado sin necesidad de la clave.
  • Encontrar algoritmos capaz de rebajar en X magnitudes la probabilidad de tener éxito con fuerza bruta o colisiones.
  • Una colisión en un Hash.
  • Encontrar algoritmos capaz de rebajar en X magnitudes la capacidad de cálculo necesaria para poder solucionar las “matemáticas imposibles”
  • etc…

Esto implica que una roptura puede verse como tal desde un punto de vista práctico o teórico. Así por ejemplo si se encontrase una forma de romper AES-128 en 2100 Operaciones en vez de 2128 , constituiría una roptura desde el punto de vista teórico, pero no desde un punto de vista práctico, puesto que aun así sería “imposible” realizar un ataque para obtener una key en un tiempo razonable. Visto esto podemos comenzar a ver algunos de los ataques más usuales, algunos de los cuales ya se han visto por encima.


Colisiones y Preimage

El concepto de Colisiones fue tratado en parte en el capítulo sobre Hash. Un Hash criptográfico pretende ser una función de un único sentido, siendo por tanto imposible a priori invertirlo. Un hash por otro lado funciona como un sistema de “compresión”, dado que para cualquier tamaño de datos de entrada, la salida siempre se mantendrá con una longitud fija. Por definición propia, si la longitud del Hash es fija existirán infinitos mensajes que puedan resultar en un mismo hash. Simplemente conociendo la longitud del hash, podemos conocer a priori el número de mensajes máximos que podrán emitirse antes de que un mensaje produzca un hash repetido. Esto es una Colisión. Los Hash criptográficos intentan no obstante la imposibilidad de poder crear dos mensajes diferentes que compartan el mismo hash ó crear un mensaje diferente a otro para que compartan el mismo hash. Pero como hemos dicho, se tienen en cuenta a la hora de crear los hash para que en la práctica no sea posible, dado que en la teoría simplemente por estadística esto no es así.

Así mismo, también hablamos del problema que entrañaba la paradoja del cumpleaños, la cual hace posible que existan colisiones entre dos mensajes cuales quiera a una razón mucho menor al número total de mensajes posibles. Es decir, la probabilidad de que un mensaje coincida con otro para MD5, el cual es un hash de 128 bits, sería 1 entre 2128. No obstante, la posibilidad de que dos mensajes cualesquiera puedan producir una colisión, simplemente por la paradoja del cumpleaños, se debe de calcular.

Estadísticamente, tomados X elementos de un todo Y en el cual esos X elementos pueden ser repetidos, se tiene que para la probabilidad P, existen dos elementos de X que son él mismo, según la fórmula:

X(P,Y)= Raiz (2Y Ln (1/1-P))

MD5 = 128 bits = Y
P = 99% = 0.99 = > Nunca se puede garantizar una probabilidad del 100%

X(99%, 2128) = Raiz ( 2129 Ln (100))= Raiz (2129 * 4.6) = 265 Aproximadamente.

Pero la paradoja del cumpleaños tan solo es un reto más al que tienen que enfrentarse cualquier Hash criptográfico. Al margen de este tipo de análisis estadístico, se suele atacar al algoritmo propio, logrando en muchos casos unas reducciones increíbles en la posibilidad de encontrar una Colisión. Por suerte o desgracia, para MD5 “recientemente” se logró reducir el índice de colisión a tan solo 210. Y este índice si deja de ser un índice teórico y pasa a ser una aplicación práctica.

¿Pero que importancia tiene esto?
Si recordamos, la firma digital no es más que el cifrado asimétrico del hash del propio mensaje/certificado…. Si se produjese cualquier cambio en dicho mensaje, al comprobarse la firma el hash no coincidiría, el mensaje sería rechazado. ¿Pero que sucedería si pudiésemos construir dos mensajes diferentes que produjesen el mismo hash?. Podría malignamente enviar un mensaje A al usuario X, y esperar que este me firmase el contenido. Dado que dispongo de un mensaje B (completamente diferente a A) que satisface al mismo Hash, podría copiar la firma del mensaje A y plasmarla en mi mensaje B. Ahora podría usar mi mensaje B como si hubiese sido firmado por el usuario X.

Similarmente, es posible intentar vulnerar un hash por medio de un ataque conocido como “preimage” (preimpagen). Mientras que las colisiones buscan encontrar dos mensajes cuales que produzcan el mismo Hash, una preimagen lo que busca es encontrar un hash o un mensaje concreto. Asi, si se de lo que se pretende es de encontrar un mensaje X que satisfaga un Hash dado estaríamos ante un “Primer Ataque de Preimagen” (Se denomina así). No obstante, si lo que se quiere lograr es encontrar un segundo menseje Y (diferente a X) que satisfaga el hash del mensaje X, estaríamos ante un ataque conocido como “Segundo Ataque de Preimagen“.

En la actualidad no existe ningún ataque de preimagen factible a ningún Hash. Así por ejemplo, el Hash MD4 (128 bits) posee un ataque de preimagen que puede llevarse a cabo en 264, pero aun así, 264 no es computacionalmente factible, teniendo en cuenta que MD4 está prácticamente en desuso. Si es computacionalmente posible realizarlo de cara a que puede ser posible llevarlo a cabo, pero de ninguna manera en un entorno real.

Tanto las Colisiones como los ataques de preimagen, suponen un riesgo continuo a los hash criptográficos. Es la razón por la que los viejos Hash van dejando paso a los nuevos Hash. MD2, MD4… MD5 ya ha comenzado a dejarse de usar en muchos lugares, imponiéndose de forma mayoritaria SHA-1, para el cual lo mejro que se ha logrado es una colisión con u índice de 251, siendo poco práctico su aplicación. A todo ello hay que sumarle que pronto estará disponible SHA-3, que sustituirá definitivamente SHA-1 y SHA-2 (este último posee índices de colisión menores que SHA-1)

 

Rainbow Tables

La idea de las tablas Rainbow es imitar las tablas lookup, es decir, usar espacio en disco para ahorrar tiempo de cálculo. En programación, las tablas lookup son una herramienta fundamental para agilizar muchísimas tareas que de otro modo consumirían muchísimo tiempo de ejecución de un programa. A groso modos, son tablas precalculadas que serán usadas posteriormente, sin que sea necesario realizar el cálculo que llevó el crearlas. El ejemplo más simple quizás sea en de las operaciones trigonométricas.

Si tenemos un programa que tenga que calcular en algún momento alguna operación trigonométrica, simplemente podría ser realizada con la función especifica para ella: Sin(X), Cos(Y).. operación que se realiza en tiempo de ejecución por el procesador, y que son operaciones normalmente costosas. Si nuestro programa debe de realizar una operación trigonométrica de forma aislada no importa, pero imaginar que el programa tiene que ejecutar operaciones trigonométricas a matrices inmensas (por poner un ejemplo). El tiempo invertido en calcular constantemente dichas funciones puede ser solventado usando una tabla. Simplemente, en tiempo de programación, el programador creó una tabla con por ejemplo 360 elementos, y a cada uno de ellos le calculó el Coseno. Dicha tabla estática la implementa en su programa como una constante. Si no requiere una precisión mayor a un grado, el programador cada vez que necesita conocer una razón trigonométrica podría simplemente redondear a la unidad más cercana y usar dicho valor como índice de la tabla. Tendría el valor de la razón trigonométrica al instante sin necesidad de calcularlo.

El concepto de una Tabla Rainbow es el mismo. Por tanto, la tabla Rainbow más simple (e idílica) sería precalcular TODOS los posibles Hash de todas las combinaciones posibles de un alfabeto dado de un número de caracteres dados. Es decir, si nuestro alfabeto son tan solo los números 0-9 y se permite una longitud máxima de 5 elementos, la tabla Rainbow contendría el Hash de 1 millón de elementos, desde el 0 hasa el 999.999. De este modo, si se quisiese conocer en cualquier momento el hash de cualquier número comprendido entre 0-999999 sería instantanio, sin necesidad de calcular el Hash de dicho número. Pero en el caso de los Hash la utilidad es doble. La utilidad es dotar a la función Hash de un camino inverso. En nuestro caso, si sabemos que el dato buscado es un número comprendido entre 0-999.999 no tendríamos que realizar 1 millón de operaciones, tan solo realizar una búsqueda en la tabla para encontrar la equivalencia.

El problema de esta tabla Rainbow de ejemplo es que no es útil. en este caso, para 5 elementos y un alfabeto de 10 elementos (0,1,2,3,4,5,6,7,8,9) tendríamos una tabla con un millón de elementos. Si por ejemplo el Hash calculado fuese MD5, sería 128 bits por hash, es decir, el Hash ocuparía 16 Bytes por cada celda del array (de la tabla). En el mejor de los casos (en este caso concreto), podríamos usar el mismo número buscado como índice de la tabla, con lo que no sería necesario otra celda de al menos 4 Bytes. Es decir, en este casi tan simple tendríamos: 1 millón de elementos * 16 Bytes = 15.26MB aprox. Es decir, en este caso tan simple sería necesaria la friolera de 15MB de espacio en disco. Esto es una cantidad irrisoria en los días de hoy, pero también es cierto que los elementos y el alfabeto seleccionado es de lo más trivial. Si pensásemos en un alfabeto comprendido entre 0-9, a-z (sin contar carácteres en mayúscula) y con una longitud de 8 elementos tendríamos la nada despreciable cantidad de 2.821.109.907.456 posibilidades, o lo que es lo mismo, aproximadamente una tabla de 328 TeraBytes. Es evidente que no es factible.

La solución a este problema llega con “Divide y Vencerás”. Se crean tablas muy grandes, pero para salvaguardar tamaños tan extensos se aplican diferentes técnicas que logran reducir el tamaño a costa evidentemente de tener que realizar ciertas operaciones. El problema siempre será el mismo, llegar a un compromiso entre velocidad-espacio en disco. A tablas más grandes, el tiempo necesario para localizar el elemento será menor, a tablas más pequeñas el tiempo empleado será mayor.

Las tablas Rainbow para lograr este compromiso, lo que realizan es aplicar una serie de transformaciones a los datos de entrada, formando una cadena desde estos (el dato de entrada) hasta un dato final. Al finalizar el proceso, la tabla tan solo contiene el elemento inicial y el final de la cadena. Para verificar si un hash se encuentra en la tabla, lo primero que se le realizará a dicho Hash es aplicar la última transformación (de reducción) que se aplicó en la cadena de la tabla hash. El resultado será buscado en los elementos finales de la tabla Hash. Si el elemento se encuentra, se partirá del elemento parejo de la tabla, al cual se le realizarán las transformaciones pertinentes que se aplicaron a la tabla originalmente, hasta encontrar en la cadena el elemento deseado. Si no se encuentra en la tabla al realizar la última transformación, se partirá de la penúltima transformación y posteriormente la última. Al terminar se vuelve a comprar si se encuentra como elemento final. Estas transformaciones se tratan fundamentalmente en partir de un texto plano cualquiera, por ejemplo la cadena “aaaaaa”. A dicha cadena se le calcula el Hash. Al Hash resultado se le aplica una función de reducción que hace que el hash sea transformado en un texto de nuevo (aunque esta función de reducción no es la función inversa del Hash). Al texto obtenido se le calcula de nuevo el hash y así continuamente, según el número de reducciones que se estén aplicando. A más reducciones menor es la tabla necesaria y más tiempo se requiere para generarlas y utilizarlas. Un ejemplo sencillo de como se construiría una tabla hash y cual sería la tabla Hash resultante final:

Texto Plano Hash Original Reducción 1 Hash 1 Reducción 2 Hash 2 Reducción 3 Texto Plano Reducción Final
aaaaaa 0B4E7A0E5FE8 0B4E7A EBC4C39A693E EBC4C3 D54E764C3A8A D54E76 aaaaaa D54E76
bbbbbb 875F26FDB1CE 875F26 B0A1E4DDF443 B0A1E4 8B701D6DA922 8B701D bbbbbb 8B701D
Administrador 2A2E9A581027 2A2E9A BC291090759A BC2910 D605381C2106 D60538 Administrador D60538
Contraseña B489B4014A83 B489B4 6BA499D1C52C 6BA499 A996250124DD A99625 Contraseña A99625

Las 7 primeras columnas de la tabla serían datos procesados para la creación de la Rainbow table. En este sencillo ejemplo se usarían solo 3 reducciones. Al texto de entrada se le aplica el hash deseado, en el ejemplo un hash MD5 truncado a los 6 primeros bytes. Una vez se ha calculado el hash este es convertido por una función de reducción a “texto plano”, en este caso la función de reducción no es más que tomar del hash los primeros 3 bytes (de ahí lo de divide y vencerás). Una vez finalizada la primera reducción se vuelve a empezar, es decir, se calcula de nuevo el hash al nuevo “texto plano” y otra reducción, después se le calcula el hash y de nuevo otra reducción. En este caso 3 reducciones, y las 3 actúan del mismo modo. La tabla Hash es constituida por tanto tan solo con los registros iniciales (el texto de inicio) y el resultado de la reducción final, formando una tabla tan solo de dos columnas.

Si un usuario quisiese atacar un hash MD5 con el ejemplo anterior, tan solo tendría que llevar a cabo una serie de comprobaciones:

a) Dado el Hash “H” de entrada se le aplica la última función de reducción. En este caso las 3 son iguales -> R (H)
b) Se realiza una búsqueda del resultado obtenido en el apartado anterior en la segunda columna. Llegados a este punto pueden suceder dos cosas. Hay una coincidencia (Saltar al paso E), no hay coincidencia (pasar al paso C)
c) De no obtener resultado, se iran realizando en cada paso una reducción anterior más, con su cálculo de Hash, de este modo, a cada paso se va recorriendo más la tabla hacia atrás. En el peor de los casos, se tendría que aplicar la reducción primera al hash H, calcular el hash a la reducción, volver a reducir, volver a calcular hash y volver a reducir.
d) De no lograr una coincidencia, la tabla rainbow a fallado y el ataque se da por fallido.
e) Si se encuentra la coincidencia, se tomará el elemento de la primera columna y se comenzará a realizar la cadena hasta que se localice la reducción que produce dicho hash. El resultado por tanto será la reducción.

Veamos esto. Imaginar que tenemos el nombre de usuario y contraseña de un usuario en este MD5 inventado, y que dichos hash son:

Usuario (U)= 2A2E9A581027
Contraseña (C)= EBC4C39A693E

2A2E9A581027 -> Red. 3 (U) = 2A2E9A -> Búsqueda en 2º columna de Tabla -> Fracaso
2A2E9A581027 -> Red. 2 (U) = 2A2E9A -> Hash = BC291090759A -> Red. 3 (Hash) = BC2910 -> Búsqueda en tabla -> Fracaso
2A2E9A581027 -> Red. 1 (U) = 2A2E9A -> Hash = BC291090759A -> Red. 2 (Hash) = BC2910 -> Hash = D605381C2106 -> Red. 3 (Hash) = D60538 -> Búsqueda en tabla -> Éxito!
Registro asociado a D60538 = Administrador
Hash (Administrador) = 2A2E9A581027 -> ¿2A2E9A581027 = 2A2E9A581027? -> Usuario (U) = Administrador

EBC4C39A693E -> Red. 3 (C) = EBC4C3 -> Búsqueda en 2º columna de Tabla -> Fracaso
EBC4C39A693E -> Red. 2 (C) = EBC4C3 -> Hash = D54E764C3A8A -> Red. 3 (Hash) = D54E76 -> Búsqueda en tabla -> Éxito!
Registro asociado a D54E76 = aaaaaa
Hash (aaaaaa) = 0B4E7A0E5FE8 -> ¿0B4E7A0E5FE8 = EBC4C39A693E? -> Fracaso
Hash (aaaaaa) = 0B4E7A0E5FE8 -> Red. 1 (Hash) = 0B4E7A -> Hash = EBC4C39A693E -> ¿EBC4C39A693E = EBC4C39A693E? -> Contraseña (C) = 0B4E7A

En este caso, todas las reducciones son iguales, pero esto normalmente no es así, y cada reducción es una función diferente. Si se recorre la tabla hash completa y se realizan todas las iteraciones sin encontrar coincidencia, la tabla Rainbow ha fallado, y con ella el ataque efectuado a dicho hash.

Este sistema es increíblemente efectivo y rápido para ser capaz cualquier atacante a revertir cualquier hash “simple”, de modo que un atacante pueda normalmente obtener el usuario o contraseña que originó dicho hash. No obstante las tablas Rainbow tiene una utilidad relativa. Primero, computar una tabla hash relativamente completa requiere de muchísimo tiempo, es por ello por lo que no es raro encontrar tablas “pequeñas” que cubren tan solo un espacio relativo, por ejemplo una tabla Rainbow que sea capaz de revertir cualquier Hash MD5 con un diccionario de a-z, A-Z de hasta 7 caracteres. Y ya no solo es el tiempo necesario para computarla, sino el espacio en disco. Dado que tanto el espacio para calcular las tablas hash, así como su tamaño en disco depende prácticamente tan solo del tamaño del diccionario, algo que tendría que tener siempre en cuenta el usuario es escoger contraseñas o nombres de usuario de una longitud relativamente larga (al menos 8 caracteres para contraseñas) y usando combinaciones de letras mayúsculas, números y signos. Esto lo comprenderemos mejor en los ataques de fuerza bruta. La idea es que aunque se requiera de un tiempo ingente necesario para precalcular las tablas Rainbow, una vez creadas estas pueden ser reutilizadas una y otra vez. Existen multitud de lugares que venden tablas rainbow ya creadas.

Otra alternativa altamente eficaz, es usar Salt. Esto es algo que ya se comentó en su momento. Salt suele ser un número determinado de bits que se añade al mensaje de entrada para conformar un hash mucho más seguro. De este modo entre otras cosas, hace que las tablas rainbow sesan completamente ineficaces. La única forma sería constituir nuevas tablas rainbow computando todas las alternativas posibles con el Salt. Dado que el Salt puede ser modificado en cualquier momento, las tablas Rainbow tendrían que ser reconstruidas cada vez. Salt suele ser un dato conocido, pero no por que sea conocido implica que el sistema sea menos eficaz. Según lo explicado con anterioridad, si se añadiese un número indeterminado de bits a nuestro mensaje original, este no podría ser revertido por la tabla hash, puesto que jamás se encontraría en ella. Normalmente se usa algo como lo siguiente:

Contraseña: Perico -> Hash (Contraseña) = 5E48C54D938DC613366C1212E5FA7349
Salt: 0A1B2C3D4E5F
Hash Seguro = Hash (Contraseña.Salt) -> Hash Seguro = Hash (Perico.0A1B2C3D4E5F) = 21208C690B7ECCF92518D8055E9B361D

El segundo Hash no sería jamás encontrado en una tabla Rainbow, a menos que se hubiese generado para tal efecto, cosa muy poco probable. Dado que la Salt suele cambiar, lo normal es que el mismo hash es transmitido con la salt, para que se sepa que Salt se ha usado, y se tenga en cuenta a la hora de verificar el usuario o la contraseña. Por ello podría enviarse la contraseña mediante un Hash con Salt como:

21208C690B7ECCF92518D8055E9B361D.0A1B2C3D4E5F

Es decir, se adjunta la Salt.

Actualmente no obstante las tablas rainbow continuan siendo bastante útiles. Por ejemplo, pensar en los nombres de usuarios y contraseñas de Windows, los cuales son almacenados con un hash conocido como Hash NT. Use o no use Salt dicho hash, ya existen tablas precomputadas increiblemente eficaces capaces de revertir casi cualquier contraseña menor a 13 caracteres, use los caracteres que use.

Para acabar, vamos a ver como es posible revertir un Hash gracias a estas tablas. Vamos a ver lo “simple” que puede ser revertir un Hash MD5 que se ha enviado desde un PC cliente a un servidor para la autentificación en un foro o a un correo electrónico. Dado el tiempo necesario para precalcular una tabla hash “completa”, vamos a crear una tabla rainbow muy pequeña. En este caso he usado el software del proyecto RainbowCrack:

Caracteres: Letras minúsculas, es decir, de ‘a’ a la ‘z’
Longitud Mínima: 1
Longitud Máxima: 7
Indice de éxito: 98% de acierto
Cantidad de Cadenas por tabla: 4.000.000
Longitud de cada Cadena: 2.400
Tablas necesarias: 6
Tiempo de cómputo de las tablas: 6 Tablas *5 minutos por tabla = 25 min
Tamaño Total de las tablas: 366 MB, 61 MB por tabla

Línea de Comando usada:

C:\Users\Theliel\Desktop\rtgen md5 loweralpha 1 7 0 2400 4000000 0
C:\Users\Theliel\Desktop\rtgen md5 loweralpha 1 7 1 2400 4000000 0
C:\Users\Theliel\Desktop\rtgen md5 loweralpha 1 7 2 2400 4000000 0
C:\Users\Theliel\Desktop\rtgen md5 loweralpha 1 7 3 2400 4000000 0
C:\Users\Theliel\Desktop\rtgen md5 loweralpha 1 7 4 2400 4000000 0
C:\Users\Theliel\Desktop\rtgen md5 loweralpha 1 7 5 2400 4000000 0

Una vez las tablas han sido creadas y preparadas, tan solo es necesario introducir el hash que se desea invertir. La utilidad de dividir una tabla rainbow en trozos no es otro que evitar generar un solo archivo monstruoso, de esta forma es facil crear tablas rainbow con la ayuda de muchos voluntarios, cada uno por ejemplo podría generar una sola tabla. Con las tablas generadas, deberíamos de ser capaces de invertir con un 98% de acierto cualquier hash que venga de un nombre de usuario, contrasaeña… que contenga menos de 8 caracteres y esté en minúsculas sin números ni signos. Veamos ejemplos:

Usuario: 664DA32C1BA6F93F2899FE82C73DBFAF
Contraseña: B67885AB956F9D8F8946768F2E362E92

C:\Users\Theliel\rcrack *.rt -h 664DA32C1BA6F93F2899FE82C73DBFAF
traversing rt group #0 for 1 hash (remain = 0, traversed = 0, skipped = 0)
traversing rt group #1 for 1 hash (remain = 0, traversed = 0, skipped = 0)
disk: md5_loweralpha#1-7_0_2400x4000000_0.rt: 64000000 bytes read
searching for 1 hash…
disk: md5_loweralpha#1-7_1_2400x4000000_0.rt: 64000000 bytes read
searching for 1 hash…
plaintext of 664da32c1ba6f93f2899fe82c73dbfaf is theliel
disk: thread aborted

statistics
——————————————————-
plaintext found: 1 of 1
total time: 1.78 s
time of chain traverse: 0.41 s
time of alarm check: 0.11 s
time of wait: 1.15 s
time of other operation: 0.11 s
time of disk read: 1.67 s
hash & reduce calculation of chain traverse: 5752802
hash & reduce calculation of alarm check: 1171435
number of alarm: 1662
speed of chain traverse: 14.17 million/s
speed of alarm check: 10.65 million/s

result
——————————————————-
664da32c1ba6f93f2899fe82c73dbfaf theliel hex:7468656c69656c

C:\Users\Theliel\Desktop\rcrack *.rt -h B67885AB956F9D8F8946768F2E362E92
traversing rt group #0 for 1 hash (remain = 0, traversed = 0, skipped = 0)
disk: md5_loweralpha#1-7_0_2400x4000000_0.rt: 64000000 bytes read
disk: md5_loweralpha#1-7_1_2400x4000000_0.rt: 64000000 bytes read
searching for 1 hash…
traversing rt group #1 for 1 hash (remain = 0, traversed = 0, skipped = 0)
searching for 1 hash…
plaintext of b67885ab956f9d8f8946768f2e362e92 is talento
disk: md5_loweralpha#1-7_2_2400x4000000_0.rt: 64000000 bytes read
disk: thread aborted

statistics
——————————————————-
plaintext found: 1 of 1
total time: 0.76 s
time of chain traverse: 0.45 s
time of alarm check: 0.08 s
time of wait: 0.22 s
time of other operation: 0.02 s
time of disk read: 0.75 s
hash & reduce calculation of chain traverse: 5752802
hash & reduce calculation of alarm check: 1124940
number of alarm: 1624
speed of chain traverse: 12.73 million/s
speed of alarm check: 14.42 million/s

result
——————————————————-
b67885ab956f9d8f8946768f2e362e92 talento hex:74616c656e746f

 

Increíble, ¿cierto? En un par de segundos el hash ha sido invertido. Estas tablas podrían ser reutilizadas cada vez que se necesitase, aunque es evidente que las tablas creadas son limitadas. Imaginar el proceso con tablas mucho más completas. A día de hoy es posible invertir cualquier hash cuyo mensaje original sea menor a a unos 13 caracteres simples. Queda una incógnita por cubrir… en realidad infinitos mensajes de entrada pueden producir el mismo hash en la salida. Esto implica que en una misma tabla hash podrían ocurrir colisiones, en las que dos mensajes tienen el mismo hash. Lo normal en estos casos sería listar todas las posibilidades encontradas, el sentido común haría el resto.

¿Conclusión? Usar siempre contraseñas seguras, contraseñas de longitud nunca menor a 8 caracteres y usando combinaciones de letras mayusculas y minusculas, números y símbolos. De cara a un programador, jamás usar Hash sin salt. Las tablas Rainbow son un recurso poderosísimo como hemos podido ver, capaz de romper casi al instante un hash. La siguiente pregunta podría ser como puede un atacante obtener un hash, pero esto está indicado en el tema sobre Sniffing.

 

Brute Force y Diccionarios

Hasta ahora todo lo que hemos visto es como atacar a un Hash. Ahora veremos un par de sistemas que podrían ser usados prácticamente para atacar cualquier sistema criptográfico, ya sea un cifrado simétrico, asimétrico o un hash.

Brute Force es un término coloquial para designar un tipo de ataques que se versa simplemente en el poder computacional de los sistemas modernos. Brute Force (Fuerza bruta) básicamente lo que realiza es probar una a una todas las combinaciones posibles de una posible key (en caso de un cifrado) o posibles hash en caso de un hash. De echo, las tablas Rainbow serían algo así como unas tablas precomputadas brute force para los hash, ya que lo que contienen no es más que todas las posibles de la entrada. Las técnicas de fuerza bruta no obstante suelen quedarse como última solución, ya que su éxito o fracaso tan solo está directamente relacionado con la complejidad de la contraseña, y como hemos dicho ya por complejidad nos referimos al set de caracteres usado, así como a la longitud de esta.

La fuerza bruta clásica es simple de comprender. Imaginar que se tiene un maletín con apertura con combinación con 3 ruletas de números, que van entre 0-9 y cuya key hemos olvidado. Podríamos probar todas las opciones posible para tratar de adivinar cual es: “000, 001, 002, 003, 004… 997, 998, 999”. Serían unas 1000 combinaciones. Esto hacerlo a mano podría ser incluso factible, pero tan solo estamos hablando de 3 cifras (caracteres). Si transladamos esto a un algoritmo como AES cucya Key se desconoce, es exactamente lo mismo, serían necesarias unas 1000 combinaciones (Siempre hablando en el peor de los casos) para lograr la key. Pero que sucede si aumentamos ese “Set de caracteres”?

Actualmente la capacidad de cálculo de un procesador es impresionante, y si incluimos la posibilidad de poder usar nuestra tarjeta de vídeo para dicho propósito, podemos multiplicar incluso por x100 o x1000 el rendimiento!! Pero aun así, ¿hasta que punto es posible atacar con fuerza bruta un sistema? Primero tendríamos que presuponer una capacidad de cálculo estimada de nuestros sistemas, y a partir de ahí hacer suposiciones y aproximaciones de hasta que complejidad es viable atacar una key por fuerza bruta. El problema es que el tiempo para poder verificar una key u otra varía del algoritmo usado. Veamos algunos ejemplos sobre la capacidad de cómputo de un PC, las mostradas corresponden aproximadamente al PC usado en la redacción de este artículo:

Algoritmo CryptoZip: 50 Millones de contraseñas por segundo -> Clásico cifrado usado en archivos ZIP
Algoritmo AES-256: 1000 contraseñas por segundo -> Cifrado simétrico actual usado en archivos ZIP

Como podemos ver, hay más que ligeras diferencias. Con esos datos, podríamos por tanto esclarecer aproximadamente la viabilidad de poder romper una key en un tiempo razonable. Según esos datos, vamos a ver el tiempo estimado (máximo) necesario para romper diferentes ejemplos:

Key numérica CryptoZip de 13 caracteres de longitud: 67 horas -> viable
Key numérica CryptoZip de 17 caracteres de longitud: 257 días -> “viable”
Key minúscula CryptoZip de 11 caracteres de longitud: 884 días -> no viable
Key minúscula CryptoZip de 8 caracteres de longitud: 1.2 horas -> viable
Key minúscula+numérica CryptoZip de 11 caracteres de longitud: 86 años ->no viable
Key minúscula+numérica CryptoZip de 8 caracteres de longitud: 16 horas ->viable
Key minúscula+numérica+mayúscula CryptoZip de 9 caracteres de longitud: 9 años -> no viable
Key minúscula+numérica+mayúscula CryptoZip de 8 caracteres de longitud: 51 días -> “viable”
Key minúscula+numérica+mayúscula+símbolos CryptoZip de 8 caracteres de longitud: 3 años -> no viable
Key minúscula+numérica+mayúscula+símbolos CryptoZip de 6 caracteres de longitud: 3.2 horas -> viable

Key numérica AES-256 de 9 caracteres de longitud: 9 días -> “viable”
Key minúscula AES-256 de 7 caracteres de longitud: 97 días -> “no viable”
Key minúscula+numérica AES-256 de 6 caracteres de longitud: 26 días -> “viable”
Key minúscula+numérica+mayúscula AES-256 de 5 caracteres de longitud: 10.7 días -> viable
Key minúscula+numérica+mayúscula+símbolos AES-256 de 4 caracteres de longitud: 19.2 horas -> viable

De todos estos datos podemos sacar ciertas conclusiones. Cuando se está usando un algoritmo antiguo o relativamente rápido de verificar, sería posible recuperar keys de hasta 15 caracteres aproximadamente si es solo numérica, de unos 8-9 si contiene tan solo letras minúsculas y números, pero no más de 6-7 caracteres para keys que son complejas.

En caso de AES-256 es aun peor. En el mejor de los casos, tan solo podríamos intentar romper keys de hasta 9 caracteres de longitud si fuesen tan solo numéricas. Para el resto de los casos, contraseñas mayores de 4-6 caracteres que fuesen complejas serían imposible de romper por fuerza bruta al estilo más clásico.

No obstante existen multitud de técnicas basadas en fuerza bruta para mejorar en mucho estas cifras. Por supuesto, en el momento que sales del método tradicional, abandonas la posibilidad de lograr la recuperación al 100%. La idea es intentar mantener el mayor índice de porcentaje posible reduciendo al máximo el número de combinaciones posibles. El problema de este método es que suelen estar basados en la estadística y otras técnicas, en la suposición, en lo que podemos llamar “común”:

  • Diccionarios: Se presupone que la key/contraseña escogida pertenece a una palabra que existe en un diccionario previamente creado o calculado. La idea nace de que lo normal es que las personas usen nombres comunes para sus claves y contraseñas. No obstante los diccionarios más sofisticados no solo incluyen aquellas palabras que existen en un lenguaje u otro, sino posibles alternativas a ellas. El diccionario contendrá aun así cientos o miles de millones de posibles opciones, pero siempre serán exponencialmente menos que combinaciones posibles por fuerza bruta.
    Dado los múltiples problemas de esta técnica, suele usarse conjuntamente con métodos híbridos. Por ejemplo a la lista de entrada se le realizan modificaciones a todas sus letras de modo que se verifiquen todas las combinaciones posibles de cada entrada con letras mayúsculas o minúsculas. Así por ejemplo si tenemos la entrada “casa”, se probarán diferentes versiones de esta: “casa, Casa, cAsa, caSa, casA, CAsa, CaSa… CASA”. Esto hace aumentar enormemente el espacio de claves a probar, pero continuaría siendo exponencialmente menor a un ataque de fuerza bruta clásico.
    Otra posible “optimización” a un ataque de diccionario es la combinación. Es una cuestión de conocer como piensan los usuarios. Si bien es cierto que existe un porcentaje alto de usuarios que usan palabras “naturales” para sus contraseñas/keys, también existe un porcentaje alto que cree que una combinación de estas dos palabras resulta en una contraseña más segura. Por ello, otra mejora habitual en los ataques por contraseña es permitir la combinación de dos, o incluso tres, palabras que se encuentran en el mismo diccionario. De este modo si en el diccionario tenemos las palabras: “casa” y “antonio”, nuestro ataque comprobaría: “casa, antonio, casaantonio, antoniocasa”.
    Los ataques de diccionario son increíblemente rápidos, pero en contrapartida son completamente ineficaces cuando la contraseña/key usada no se encuentra en ellos, lo cual es facil si se crea esta sin ser una “palabra” con “sentido”.
  • Fuerza bruta “inteligente”: La idea ha sido siempre reducir al máximo las combinaciones posibles. El diccionario es una técnica realmente eficaz, pero depende enormemente del diccionario, del lenguaje… y por supuesto del usuario y la contraseña que haya podido establecer. La fuerza bruta establece que cualquier combinación es posible (y realmente es así), en cambio esto no es cierto si se atienden a las estadísticas de los usuarios, contraseñas comunes, palabras empleadas, frases empleadas… lo cual lleva a replantearse la fuerza bruta. ¿Es posible eliminar combinaciones (estadísticamente hablando) por ejemplo si tenemos una key de hasta 8 caracteres en minúsculas? La estadística dice que existen combinaciones de letras que jamás se darán. Por ejemplo, no existen palabras en español que estén constituida por dos letras seguidas, excluyendo la “erre” y la “ele” (quizás exista alguna, pero el ejemplo es claro). Esto hace eliminar de un plumazo una cantidad considerable de combinaciones. Esto crea una serie de normas que van eliminando combinaciones y más combinaciones al ataque de fuerza bruta clásico, por ejemplo interpretando las letras que pueden ser usadas al inicio o al final, letras que suelen ir juntas o letras que no…
    Este tipo de fuerza bruta decrementa enormemente las posibles combinaciones, lo que hace que el ataque pueda ser llevado a cabo mucho más rapido. En contra partida de nuevo tenemos que un usuario podría siempre crear una key/contraseña que se saltase estas medidas. Por ejemplo la contraseña: “tYb,3hI?” sería imposible de detectar por ningún sistema casi con toda seguridad, tan solo por fuerza bruta clásica.
  • Plantillas: Con plantillas nos referimos a la posibilidad de poder acotar la búsqueda de una key por fuerza bruta basándonos en ciertas reglas que nosotros mismos especificamos. Por ejemplo una plantilla podría ser simplemente especificar los primeros 4 caracteres de la contraseña, dejando para la fuerza bruta tan solo otros 4. O por ejemplo una plantilla podría ser igualmente especificar una palabra que estamos seguro que la clave contiene, dejando a la fuerza bruta que compruebe todas las posibilidades teniendo en cuenta que existen por ejemplo 4 caracteres que siempre estarán juntos, estén al inicio, en medio, al final…
    El problema con las plantillas es que dependen casi en su totalidad en lo que se pueda conocer a la víctima y que tipo de palabras ha podido usar. Pensar por ejemplo en fechas de cumpleaños, aniversarios… podríamos especificar por ejemplo que se verificasen todas las combinaciones posibles de hasta 12 caracteres que contengan la fecha “22051950”. Dado que son 8 caracteres, tan solo serían 5 caracteres por combinar, es decir, los 4 caracteres restantes que completarían los 12 caracteres más la fecha en sí, que sería tratado como un carácter más.
    De nuevo la eficacia dependerá de factores externos, como lo bien o mal que se conozca a quien puso la contraseña, a la suerte, a la perseverancia…

Posiblemente, uno de los “crackers” más famosos fue siempre John The Ripper, que fue creado originalmente para lograr obtener las contraseñas de Unix, almacenadas todas ellas tradicionalmente en un hash basado en DES (cifrado simétrico). Con el tiempo, el soporte para este “crackeador” de contraseñas fue ampliándose, soportando otros hash como los que usa Windows para almacenar sus claves de sesión. Esto puede hacernos pensar que el uso de la fuerza bruta ha ido cada vez más relegándose a un segundo plano, dada la complejidad del calculo necesario para poder computar contraseñas/key actuales. En cambio, la fuerza bruta posee dos cualidades únicas que hacen que posiblemente siempre sea una opción viable a considerar. Esto es así por dos motivos:

El primero, la fuerza bruta tiene un índice de probabilidad del 100% y teóricamente “siempre” podrán realizarse (en realidad existen métodos criptográficos en los que la fuerza bruta no es posible realizarse), solo es cuestión de tiempo, ya sean 1000 años o dos segundos.
La segunda característica, es que aunque sea necesario un mayor tiempo de cómputo o se usen cada vez keys más largas y complejas, la capacidad de cálculo actual se va incrementando de igual modo. Lo que actualmente un PC puede llevar a cabo en un año, simplemente por tener una tarjeta de video por ejemplo con soporte para CUDA, puede ser suficiente para reducir ese año a simplemente algunos segundos. Esto es posible a que la capacidad de cálculo en paralelo de una tarjeta de vídeo es muy superior a un procesador tradicional. Por ejemplo, es posible que la nueva generación de tarjetas de nVidia, la esperada familia basada en Fermi, pueda incrementar en un x10000 la velocidad de cómputo de contraseñas AES-256 especificadas anteriormente, eso hace que de 1000 contraseñas por segundo se pase a lo mejor a 10.000.000 de contraseñas por segundo. Es decir, no hay que perder de vista jamás que las capacidades de cálculo son mejoradas cada día, tanto tarjetas de vídeo como procesadores. Lo que hoy no es viable, mañana puede ser completamente viable.

El mejor ejemplo de esto es RSA. Es imposible factorizar en tiempo factible una key RSA-1024… pero esto tan solo es cierto a medias. Quizás fuese imposible hace unos años, quizás es imposible actualmente… pero cada día que pasa es más posible. Eso hace que actualmente RSA-1024 esté siendo sustituido casi en su totalidad a RSA-2048, es casi seguro que que vivamos para ver que RSA-4096 es lo mínimo para mantener el sistema seguro. Es decir… Brute Force será posiblemente siempre una técnica usada y que tendrá siempre una efectividad decente.

Para acabar, vamos a ver lo simple que es usar John The Ripper para extraer las contraseñas de usuario de un iPod/iPhone. Todos sabemos que cuando se le realiza JB es posible acceder a él por medio de SSH. También sabemos que posee dos usuarios: “root” y “mobile”, y que en ambos la contraseña es “alpine”. ¿Pero como se ha llegado a esta disertación? ¿A caso Apple ha filtrado estas contraseñas? Vamos a extraerlas.

Lo primero que necesitamos es conocer en un sistema Unix en que archivos se almacenan las contraseñas. Esto se hace normalmente en uno o en dos, dependiendo si se está usando un ocultador o no. Si no se está usando, lo normal es que estas contraseñas y usuarios se encuentren en un archivo llamado passwd, que contiene los nombres de usuarios y las contraseñas en un hash-cifrado basado en DES llamado shadow. Dichos archivos en el iPod/iPhone se llaman “passwd” y “master.passwd”.

Una vez se obtienen ambos archivos, se debe de generar un archivo único que integra ambos archivos (esto es así por el propio sistema que usa UNIX para ello). Una vez obtenido este archivo único se realizaría un ataque de fuerza bruta. Dado que UNIX usa un hash muy débil (basado en DES), es fácil romperlo:

C:\Users\Theliel\Desktop\>unshadow passwd master.passwd > contra
“contra” es el archivo “unificado”

C:\Users\Theliel\Desktop\>john contra
Loaded 2 password hashes with 2 different salts (Traditional DES [64/64 BS MMX])
alpine (mobile)
testtest (root)

guesses: 2 time: 0:00:10:47 (3) c/s: 2134K trying: testtart – testzirz

Para esta prueba, la contraseña de la cuenta mobile fue establecida de nuevo a su contraseña origen, y la contraseña root fue establecida a “testtest” para tener una contraseña con longitud de 8 caracteres. Hay que tener en cuenta que iPod/iPhone no soporta contraseñas mayores de 8 caracteres. Se puede observar como el ataque tubo éxito, siendo necesario tan solo unos 11 minutos en llevarse acabo. Este ataque de fuerza bruta difiere quizás un tanto del clásico ataque de fuerza bruta, dado que va dirigido a un Hash y no a un cifrado, pero básicamente es exactamente igual.

Si las tablas rainbow nos enseñaron a la necesidad de crear siempre los hash con salt, la fuerza bruta y todas sus variantes nos enseñan que la mejor protección ante este tipo de ataques no es solo un buen sistema de cifrado, sino una key, contraseña, clave de paso… que sea segura, con una longitud decente, que no sea personal, que… cuando se toman las medidas oportunas, este tipo de ataques está evocado al fracaso.

 

Criptoanálisis

El término Criptoanálisis es un poco ambiguo en la medida que podríamos considerar como “criptoanálisis” prácticamente cualquier ataque que queramos realizar contra la criptografía. En cambio podríamos, como ya dije en su momento tomar por criptoanálisis tan solo aquellas técnicas, generalmente estadísticas en combinación (o no) con otras, para lograr el resultado deseado, que puede ser desde la roptura completa de un sistema obteniendo una key, accediendo simplemente a la información cifrada o… así por ejemplo, la paradoja del cumpleaños aunque es usada para crear colisiones en los hash, podría interpretarse como tal como un sistema de criptoanálisis.

Esto no es un método nuevo creado en el siglo XXI, sino bastante antiguo. La idea de estudiar un manuscrito e intentar descifrarlo la conocemos desde los mismos jeroglíficos a notaciones musicales o muchos lenguajes ya desaparecidos. ¿Por qué? Es fácil, la mejor forma de “traducir” (aquí usamos el término descifrar) algo que se desconoce es buscar patrones en común, palabras que se repitan constantemente, distribución de los caracteres a lo largo del escrito… todo ello ayuda sobremaneramente para lograr una “traducción” de algo desconocido. En el caso de la criptografía en realidad es muy similar. Un ejemplo claro de criptografía lo encontramos cuando se habló de los diferentes modos de cifrado de los bloques de criptografía simétrica, en el que se sometió el cifrado CBC a un test sobre una imagen para verificar su fortaleza. En realidad, ese test lo que hace es mostrar gráficamente una serie de patrones repetidos por toda la imagen.

Entre los ataques de criptoanálisis más comunes podemos encontrar:

  • Análisis de Frecuencias
  • “Texto codificado” conocido
  • “Texto plano” conocido
  • Texto plano/codificado escogido

El análisis de frecuencias pudimos ya comprobarlo cuando vimos el método de codificación por bloques CBC. Pero puede ilustrarse de un modo aun más simple. Imaginar por ejemplo el cifrado de sustitución más simple, en el que cada letra del abecedario se mapea a otra letra de este. La key por tanto sería tan solo este mapeo. Es decir, si la Key fuese:

ZYXW….

Significaría que la A sería sustituída por la Z, la B pro la Y, la C por la X… para descifrar un texto de esta forma, tan solo tendría que tener la otra parte la mismaplantilla. Al leer Z la sustituiría por una A, las Y por B… este tipo de cifrado aunque pueda parecer trivial ha sido muy usado en la antigüedad. Hay que tener en cuenta que las matemáticas modernas, así como los dispositivos de computación que tenemos a día de hoy no se encontraban disponibles muchos años atrás, y que un cifrado tan aparentemente simple como el explicado podía ser suficiente para que, por ejemplo, dos amantes compartiesen cartas comprometidas, sin que ninguna tercera persona lograse descifrarlas.

Es cierto que con los sistemas modernos de codificaciones por bloque, los análisis de frecuencias van teniendo cada vez menos interés como método directo para estudiar un cifrado, no obstante continúa siendo usado tanto para verificar la resistencia de un buen cifrado como en la búsqueda de otros sistemas mucho más sofisticas en combinación con estos.

Estos análisis de frecuencias han sido muy usados durante muchos años, y a día de hoy constituyen siempre un comienzo a la hora de estudiar un cifrado concreto. Podríamos destacar igualmente el método de Kasiski, similar al que vamos a ver a continuación, pero orientado a conocer la longitud de las palabras, o extender el análisis de frecuencia al índice de coincidencia. Dependiendo de que tipo de cifrado sea, quizás sea mejor usar un método u otro. Para quien quiera jugar con todo esto, les recomiendo una vez más Cryptool.

Vamos a crea un ejemplo con el cifrado más básico de sustitución y verificar que con un ataque de análisis de frecuencia es posible recuperar el texto original. Gracias a ello, se podrá ir recuperando al mismo tiempo la “key” usada en el cifrado de dicho mensaje. Para llevar esta labor a cabo, tendremos que partir de un texto cifrado por sustitución, e intentar obtener el mensaje original a partir de este. Para este ejemplo he partido de un pequeño fragmento de “El Zahir”, un libro de Paulo Coelho (gran escritor, el libro es mu interesante igualmente). Dicho fragmento ha sido procesado con CryptoTool para generar un texto cifrado por sustitución usando una key aleatoría. Recordar que la key no es más que un mapeo de un carácter a otro, en el que ningun caractar en este caso está repetido, es decir, la asociación es 1 <– >1:

piczyiugwtxhzrxibkziqejiywxbikkziynwiqngsijmnifgypzjwzeirwjpigbaztxjugin
ikkitiyczypzikkzugiikkznirwfznwjzbrxnizkxyxsxykzjzvxbexjkzugiyiagiyxkxibp
xbhiynikwljzjirinwvzcwjibhzyxhxbpjzjwxeibyzjirwzmbxhcibxhcimrwzjihxjrzb
rxbgiypjzcwypxjwzhwibpxynwkiyritihiywbpibpzbrxriyhgljwjiknxnibpxibikugi
niiugwtxugimbgiypjxyhznwbxyineivzjxbzrwypzbhwzjyi

Al texto superior se le han eliminado tanto signos de puntuación como espacios, para que no sea posible percibir inicios o fin de palabras. Podemos ver el esquema que se ha usado para realizar esto:

Un texto original se cifra por medio de sustitución con una “key” que descnonocemos. Después de realizar la operación de cifrado, enviamos como texto plano el resultado para poder visualizarlo: “Texto cifrado”. Al mismo tiempo, la salida cifrada se pasa de nuevo por el descifrador que debería de devolvernos el texto original reconstruido: “Texto Reconstruido”. Dado que no hemos comenzado a aplicar el análisis de frecuencia, actualmente el texto Reconstruido es exactamente igual al texto cifrado. Por último se puede observar como a la salica cifrada se le ha aplicado un pequeño analizador de frecuencia, el cual nos devielve el porcentaje de aparición de cada letra. Visto de una manera más gráfica tenemos:


Frecuencia de caracteres del Texto Cifrado


Con estos datos, podemos comenzar por tanto un sistema de deducción basado en la estadística. Según la gráfica superior, el 16,37% de todos los caracteres son “I”, el 9.82% “Z”… ¿Como nos vale esto? Recurriendo ni más ni menos que a la estadística. Estos son los datos obtenidos de nuestro texto cifrado. ¿Pero que dicen las estadísticas del lenguaje castellano de forma general? Es decir, si conociésemos la frecuencia “global” media de las letras escritas de nuestro lenguaje, podríamos comenzar a deducir y reemplazar. En mi caso he usado como referencia la frecuencia de caracteres de “El Quijote”. Con cerca de medio millón de palabras, puede servir a groso modo como dato “fiable”. Lo ideal sería establecer una frecuencia basada en diferentes tipos de textos, a poder ser mucho más largos. Pero a modo de ejemplo es suficiente:


Frecuencia de Caracteres de "El Quijote"


Con este patrón que creemos “fiable” podemos por tanto comenzar a conjeturar. Según la frecuencia basada en “El Quijote”, las vocales ‘E’ ‘A’ y ‘O’ serían las letras con mayor frecuencia y en dicho orden. Si estableciésemos una correspondencia directa entre ambos análisis, tan solo tendríamos que sustituir las vocales citadas por aquellos caracteres con mayor frecuencia en el texto cifrado, que serían en el mismo orden: ‘I’ ‘Z’ y ‘X’. Si volvemos a CryptoTool y añadimos dichas letras en las posiciones adecuadas, comenzaremos a tener una primera versión de texto reconstruido, siempre y cuando la hipótesis aplicada de frecuencias sea correcta: ‘I = ‘E’, ‘Z’ = ‘A’, ‘X’ = ‘O’

pecayeugwtoharoebkaeqejeywobekkaeynweqngsejmnefgypajwaeerwjpegbaatojugen
ekketeycaypaekkaugeekkanerwfanwjabroneakoyosoykajavobeojkaugeyeageyokoebp
obheynekwljajerenwvacwjebhayohobpjajwoeebyajerwambohcebohcemrwajehojrab
robgeypjacwypojwahwebpoynwkeyreteheywbpebpabroreyhgljwjeknonebpoebekuge
neeugwtougembgeypjoyhanwboyeneevajobarwypabhwajye

Aun con 3 posible letras descodificadas, es imposible tener algo legible. Eso sí, hay que tener en cuenta que cada letra que es sustituídas y dado que es una sustitución 1 <–> 1, implica que para el resto de los caracteres las posibilidades van decreciendo igualmente. Podríamos continuar con las dos siguientes, pero si contemplamos las estadísticas de nuestro texto cifrado, tanto la ‘B’ como la ‘Y’ poseerían un porcentaje igual. En cambio si acudimos a las frecuencias de nuestros datos muestra, tenemos que las dos siguientes letras corresponderían a la ‘S’ y la ‘N’ en dicho orden. No obstante, podemos acudir a la frecuencia de repetición de dos caracteres juntos iguales. Si lo hacemos, obtenemos que los caracteres más repetidos (en parejas) correspondiente a nuestro texto cifrado son:

II: -> 2 apariciones, 0,59% del total
KK -> 4 apariciones, 1,18% del total

Y del mismo modo para nuestro texto de muestra:

LL:9258:0,00467523338292373
RR:2378:0,00120087545739821

De forma aplastante, LL es el carácter más repetido estadísticamente en nuestros datos de muestra. Si observamos los caracteres repetidos en nuestro texto cifrado tan solo tenemos dos, II y KK. No obstante, ‘I’ =’E’, luego podríamos asumir sin duda alguna que ‘K’ = ‘L’. Al ser un texto pequeño, no disponemos de otros caracteres dobles que podamos sustituir por ‘R’. Pero al igual que tenemos carácteres dobles ampliamente usados en nuestro lenguaje, también tenemos combinaciones de 3 caracteres que prevalecen sobre las demas, como es el caso de ‘QUE’. Estadísticamente es la asociación de tres letras más repetida con muchísima diferencia. Si examinamos las agrupaciones de 3 caracteres en nuestro texto cifrado, existe curiosamente una asociación de 3 caracteres con un 1.46% de aparición, que corresponde a las letras ‘UGI’, si tenemos en cuenta además que la ‘I’ es una ‘E’, es evidente que U = Q y G = U

pecayequwtoharoeblaeqejeywobellaeynweqnusejmnefuypajwaeerwjpeubaatojquen
elleteycaypaellaqueellanerwfanwjabronealoyosoylajavobeojlaqueyeaueyoloebp
obheynelwljajerenwvacwjebhayohobpjajwoeebyajerwambohcebohcemrwajehojrab
robueypjacwypojwahwebpoynwleyreteheywbpebpabroreyhuljwjelnonebpoebelque
neequwtoquembueypjoyhanwboyeneevajobarwypabhwajye

Con el trabajo realizado por ahora, es posible ir dividiendo ya algunas de las palabras que van apareciendo, y sustituir también la ‘W’ = ‘I’, dado que es la vocal que nos resta, y después de QU -> es evidente que si no es una ‘E’, será una ‘I’. Con todas las vocales despejadas, y aun sin conocer cuales corresponderían estadísticamente a la ‘N’ y la ‘S’, si nos restaría con una probabilidad de 6.85% la ‘J’ de nuestro texto cifrado, que equivaldría a ‘J’ = ‘R’ en nuestros datos de muestra. Podemos por tanto agregarlo todo:

pecay equitoharoeblaeqereyiobellaeynieqnusermnefuypariaeerirpeubaatorquen
elleteycaypaella que ella nerifanirabronealoyosoylaravobeorlaqueyeaueyoloebp
obheynelilrarerenivacirebhayohobprarioeebyareriambohcebohcemriarehorrab
robueypraciyporiahiebpoynileyreteheyibpebpabroreyhulrirelnonebpoebelque
ne equitoquembueyproyhaniboyeneevarobariypabhiarye

Con ello podemos deducir sin mucho trabajo, ahora sí: ‘bueyproy’ que ‘B’ = ‘N’ e ‘Y’ = ‘S’, no hay más remedio, y poder formar así ‘NUESXRO/S’, con lo que además obtenemos también ‘P’ = ‘T’:

te cas equitoharo en la eqeresion ella esnieqnuserm ne fustaria eerirte unaatorquen
elletescastaella que ella nerifaniranronealosososlaravoneorla que se auesoloent
onhesnelilrarerenivacirenhaso hontrario eensare riamnohcenohcemriarehorranro
n
uestra cistoria hientosnilesretehes intentanroreshulrirel nonento en el que
ne equitoque m nuestros haninos eneevaronaristanhiarse

Lo cual nos hace resolver del todo el texto cifrado. Si sustituimos la ‘H’ = ‘C’, ‘N’ = ‘M’, ‘M’ = ‘Y’, ‘F’ = ‘G’, ‘E’ = ‘P’, ‘R’ = ‘D’

te has equitohado en la eqpresion. ella es mi eqmuser y me gustaria pedirte un aatorque
me lletes hasta ella, que ella me diga mirandome a los osos la ravon por la que se aue solo entonhes
melilrare de mi vacir en caso contrario pensare ria y noche noche y ria recordando
n
uestra historia cientos miles de teces intentando desculrir el momento en el que
me equitoque y nuestros caminos empevaron a distanciarse

Por último, solo nos queda terminar de colocar las pocas letras que nos quedan, añadir los espacios que nos restan y en todo casi si queremos añadir acentos, comas y otros para que el texto tenga mayor sentido. El texto descifrado correspondería a:

“Te has equivocado en la expresión. Ella es mi ex-mujer y me gustaría pedirte un favor: Que me lleves hasta ella, que ella me diga mirándome a los ojos la razón por la que se fue. Solo entonces me libraré de mi Zahir. En caso contrario pensaré día y noche, noche y día… recordando nuestra historia, cientos, miles de veces, intentando descubrir el momento en el que me equivoqué y nuestros caminos empezaron a distanciarse”

 

Texto codificado conocido puede parecer una perogrullada, parece evidente que siempre tendremos acceso al texto codificado, máxime cuando precisamente lo que se quiere realizar es desencriptarlo. Pero se especifica para indicar que tan solo tenemos acceso a dichos mensajes codificados. Un ataque de estas características implicaría estudiar tan solo los mensajes cifrados, y a partir de ellos lograr de alguna forma invertir el cifrado de estos, recuperar la key o lo que sea posible. Parece imposible a simple vista que simplemente por el estudio de estos mensajes cifrados se pueda llevar a alguna conclusión, en cambio ya vimos por ejemplo con el análisis de frecuencia (que realmente se aplica a un mensaje ya cifrado) que esto es posible.

Un ejemplo muy interesante sobre esto es una de las muchas vulnerabilidades de WEP, ese “sistema de seguridad” WIFI que aun está implantado en más de un 50% de los hogares, me atrevo a decir. WEP usa como vimos en su momento un sistema de cifrado simétrico basado en flujo, en concreto el algoritmo se conoce como RC4, y básicamente lo que hace es generar un flujo constante de bits que hacen de key para los datos que se van enviando/recibiendo, y dicho flujo es al mismo tiempo generado en el otro punto de la comunicación. La forma en la que se cifran los datos en RC4 dijimos que era realizando una operación lógica XOR entre el mensaje original y la key del stream (del flujo). El problema aparece cuando dos mensajes diferentes son encriptados con la misma key-stream. ¿Como es esto posible? es simple, si la key maestra no se modifica, la key-stream generada no será modificada tampoco. Para evitar que la key-stream se pueda repetir, se usa un vector de inicialización que se concatena con la key maestra, y a partir de dicha asociación se genera el stream necesario. Cada paquete enviado incluirá un vector de inicialización diferente, generado aleatoriamente, y que será transmitido al medio sin cifrar conjuntamente con el paquete cifrado, para que de este modo, los destinos puedan conoce el IV usado, concatenar el IV (vector de inicialización) con la key maestra que tienen y con ello generar el key-stream del paquete para poder desencriptar el contenido.

En teoría podría parecer un sistema seguro, el key-stream es diferente en cada paquete, con lo que no hay duplicación de key-stream. El problema es que el vector de inicialización de WEP es de 24 bits, es decir… es muy pequeño. ¿Que probabilidad existe de que se produzca una colisión? Es decir… ¿que se generen dos IVs iguales? podríamos decir que 224 pero como quedó ya constante, por la paradoja del cumpleaños esto no es así:

X(P,Y)= Raiz (2Y Ln (1/1-P))

Para una probabilidad de 0.99 (99%) necesitaríamso en el peor de los casos 12.431 paquetes aproximadamente. Es decir, cada trece mil paquetes wep, al menos dos estarán usando la misma key.

Ahor abien… ¿como influye esto? Tan solo hay que saber que la operación lógica XOR posee la propiedad conmutativa (y por supuesto su tabla de verdad). Imaginar por tanto que tenemos en nuesras manos 2 mensajes diferentes cifrados con la misma key-stream:

A y B son los mensajes, Cifrado (A) y Cifrado (B) los mensajes que hemos capturado, los cuales comparten la misma key. K es la key del paquete, es decir, la concatenación de la Master Key y el IV. Sk (K) sería por tanto la key-stream

Cifrado (A) = A XOR Sk (K) -> El cifrado de A se forma mediante el mensaje original y XOR key-stream
Cifrado (B) = B XOR Sk (K) -> El cifrado de B se forma mediante el mensaje original y XOR key-stream

Cifrado (A) XOR Cifrado (B) -> Por la propiedad conmutativa y con las ecuaciones superiores tenemos que:
(A XOR Sk (K)) XOR ((B XOR Sk (K)) = A XOR B XOR Sk (K) XOR Sk (K) -> Sk (K) XOR Sk (K) = 0 por definición
Cifrado (A) XOR Cifrado (B) = A XOR B

Es decir, si se realiza la operación XOR entre ambos mensajes encriptados, el resultado es el mismo que si se realiza la operación XOR a los mensajes no cifrados. La utilidad es inmediata, dado que sería posible descifrar el contenido de los mensajes originales, en el peor de los casos haciando un poco de fuerza bruta. Un ejemplo:

k 1= IV | MK
ks = RC4(k1)

A= 01011
B= 01101
ks= 11011

Cifrado (A) = 10000
Cifrado (B) = 10110

Cifrado (A) XOR Cifrado (B) = 00110 = A XOR B -> Se cumple!!

Se podría pasar a usar ahora por ejemplo fuerza bruta para intentar descubrir los posibles mensajes originales. Es cuestión de analizar las probabilidades que existen de encontrar el mensaje original, e ir probando. En el momento además que se obtenga uno de los mensajes, el otro es encontrado de forma automática también.

Acabamos de ver lo que entendíamos por la técnica de “texto cifrado conocido”, del mismo modo tenemos también la técnica conocida como “texto plano conocido“, en la que ahora no solo disponemos del texto cifrado, sino que también disponemos de todo o parte del contenido original. Es evidente que en este caso lo deseado no es obtener algo que ya tenemos. La idea es recuperar el resto del mensaje cifrado en caso de que tan solo tengamos el mensaje parcial o por el contrario ser capaces de recuperar la key original por medio de esta técnica.

Posiblemente el mejor ejemplo de “texto plano conocido” que podemos encontrar sea el sistema usado por el compresor ZIP. Esta técnica permitía extraer todos los archivos cifrados de un ZIP, sin necesidad de contraseña, simplemente poseyendo un archivo sin cifrar que estuviese ya dentro de dicho ZIP. Es decir, imaginar un archivo ZIP encriptado con una contraseña con las fotos más comprometidas de nuestros hermanos. Imaginar que tenemos alguna foto que el nos ha enseñado sin encriptar, fuera del ZIP. Podríamos recuperar todo el contenido.

Otro ejemplo podría ser también un cifrado como el que hemos hablado antes, de sustitución. Con saber una letra o un par de ellas del mensaje original, podría ser suficiente con suerte para llegar a deducir el resto. No hablo solo al cifrado de sustitución que ya mostré, sino alguno que pueda ser más complejo. De todos modos, es un sistema relativamente poco efectivo en los métodos de codificación modernos, siendo realmente vulnerabilidades de las propias implementaciones las que hacen posible este tipo de ataques y no el cifrado en sí.

Por último, podríamos disponer ya no solo material cifrado o sin cifrar como el que hemos visto, sino que material cifrado o sin cifrar que nosotros escogemos a conciencia para poder realizar nuestro criptoanálisis. Se conoce como “texto escogido”. Normalmente esta no es una opción viable, dado que es complicado poder disponer de un material cifrado o sin cifrar que hemos seleccionado previamente. No podemos decirle a una persona a la cual le interceptamos un mensaje que nos envíe otro mensaje tal y como nosotros lo queremos. Es decir, esta técnica queda reservada a un “pequeño” grupo, no de manera generalizada.

Por un lado tenemos los cifrados asimétricos, en los cuales en cualquier momento si que podemos disponer de cualquier material cifrado y sin cifrar que provenga de la clave pública del objetivo. Es cierto que no podremos disponer de texto escogido cifrado que provenga de su clave privada, pero al menos ya es algo. Es más, muchos de los ataques que se han realizado a sistemas RSA, han estado basados en textos escogidos para poder lograr (o no) la key privada. Aunque normalmente, estas vulnerabilidades suelen ser más propias de las implementaciones. Por ejemplo, sería muy interesante ver el comportamiento de una implementación SSL/TLS frente a lo mejor un mensaje creado a propósito que tan solo contiene una cadena inmensa de contenido vacío (0x00), o variar la longitud a voluntad para ver que tipo de Padding se está usando, o intentar… es decir que las opciones son múltiples. Es una herramienta muy poderosa, pero como hemos dicho reservada tan solo a escenarios bastante concretos.

Por otro lado podríamos tener aquellos sistemas en los que pudiésemos “obligar” a un cliente a enviarnos material específico. Esta por ejemplo es otra vulnerabilidad de nuestro ya más que hablado WEP, y es además como la mayoría de los atacantes logran recuperar las contraseñas WEP de los usuarios que aun las usan. Este ataque está basado por ejemplo en el reenvío masivo de paquetes ARP (ARP no será tratado en estas líneas). WEP no modifica en modo alguno la longitud de los paquetes, recordar que usa XOR para cifrarlos. ARP por otro lado son paquetes con una longitud determinada y que son fácilmente reconocidos por cualquiera, incluso estando cifrados. Estos paquetes ARP que son ampliamente conocidos, tienen una cabecera de 16 bytes que es común a todos ellos!. Es decir, los primeros 16 bytes de un paquete ARP son siempre los mismos, exactamente:

AA AA 03 00 00 00 08 06 -> Los primeros 8 Bytes de un paquete ARP
00 01 08 00 06 04 00 01 -> Los 8 Bytes siguientes de un paquete ARP

El último byte no obstante varía entre 01 y 02 si el paquete ARP es un “response” o un “request”. Por otro lado, dado que la MAC del frame no es cifrada por WEP, conocer si el paquete es un ARP response o un ARP request es sencillo (mirando el destino de la MAC o el origen de ella).

En ese momento ya conoceremos los primeros 16 bytes cifrados de u paquete ARP (enviados por el AP) y los 16 primeros bytes del paquete ARP sin cifrar (deducidos). Dado que los datos son cifrados por medio de XOR, si se realiza un XOR a los datos cifrados con los datos sin cifrar da exactamente la key usada para cifrarlos. Es decir, fácilmente podemos recuperar desde un paquete ARP 16 bytes de la key-stream, y dado que el IV se envía también sin encriptar, también se dispondrá del IV empleado para concatenar la master key que se usó para generar el key-stream

Para poder realizar un ataque completo a WEP es necesario la recolección de cierta cantidad de key-stream, cuando se obtiene dicha cantidad, por medios probabilísticos y un poco de fuerza bruta es posible la obtención de la key:

 

Side Channel

Por último, vamos a hablar del último grupo de posibles ataques a sistemas cifrados que podemos encontrar. Se llaman métodos Side Channel, es decir, métodos “paralelos”, realmente no buscan encontrar vulnerabilidades en el propio cifrado, sino que normalmente en el sistema en el que están implementados o en el medio por el que circulan dichos datos. Ojo!! no a la implementación de ellos!! sino en el sistema que son implementados. Para ello se estudia el comportamiento de dichos sistemas ante un cifrado o un descifrado.

Posiblemente a día de hoy sea el mayor riesgo para los cifrados. Dado que todos estos sistemas están siendo utilizados de un modo u otro en un hardware, este hardware se comportará siempre de manera diferente dependiendo de los datos que circulen por él. Por ejemplo, cuando se está descifrando un código en un PC, algún lugar de este se está procesando dicha Key. Por muy seguro que sea el cifrado si la key se encuentra en dicho momento en memoria, un atacante con acceso a dicho sistema podría intentar recuperar dicha key de la memoria del sistema. O quizás más famosos aun son los ataques de tiempos, que estudian el tiempo que requiere el procesador, la memoroa, la caché… en procesar el encriptado/desencriptado de los datos. En definitiva, la idea es estudiar el entorno y conocer como se comporta este ante diferentes tareas en el cifrado. Esto puede parecer ciencia ficción, pero realmente funciona, y supone u verdadero riesgo para los cifrados simétricos o asimétricos, así como a todas las comunicaciones a día de hoy.

Posiblemente los Side Channel más conocidos sean:

  • Arranque en frío e inicio alternativo
  • Monitorización del hardware
  • Extracción directa
  • Análisis Electromagnético
  • Análisis de consumo y de estados
  • Ataques de tiempo

Cold Boot o arranque en frío es una técnica destinada a la extracción de keys que son usadas por un sistema que aun estén residiendo en la memoria de este. Para que un sistema (ya sea un PC, un procesador criptográfico, un dispositivo portátil…) pueda utilizar una key, esta debe de pasar antes a su propia memoria RAM. La memoria RAM de estos dispositivos suele ser volátil, es decir, su información se pierde (se va degradando paulatinamente) inmediatamente después de que el suministro energético ha sido retirado. Es decir, mientras el sistma está arrancado, es normal que por ejemplo los módulos TPM de los que ya hemos hablado mantengan las Keys en la RAM de estos, que el PC arrancado en Windows tenga las Key de BitLocker o EFS en la memoria del sistema, que la key privada de nuestra smartcard esté en la RAM de este cuando se está usando… etc etc. Lo que sucede es que mientras el sistema está arrancado o en funcionamiento, estas keys pueden estar residiendo en la memoria si se están usando, pero tan solo mientras el sistema está conectado. Al cerrar el sistema y la alimentación se corta, la RAM deja de tener coherencia y los datos simplemente se desvanecen.Es por ello que la memoria necesita lo que se denominan ciclos de refresco, en los que la información de esta es reescrita de nuevo en ellos para que esta pueda mantener su información intacta. Al cortar la energía no se refrescará, con lo que la información se pierde. Esto lo observamos por ejemplo cuando un equipo está en suspensión. Un PC en suspensión en modo S3, deshabilita prácticamente todo el hardware del sistema… menos la RAM, la RAM continuará estando alimentada, refrescándose cuando sea necesario para poder mantener los datos.

Lo que sucede realmente es que esto no es algo inmediato. La información en la RAM no se desvanece de forma inmediata nada más apagar el sistema ni mucho menos, tiene un período de tiempo estimado, en el que a partir de dicho tiempo es una cuestión de probabilidad, hasta que hayan desaparecido del todo. ¿Cuanto es este tiempo? Depende de mil factores, lo que es seguro es que si la RAM se vuelve refrescar, los datos de esta se fijarán. Imaginemos ahora que tenemos ante nosotros un PC en suspensión S3, el cual sabemos que usa BitLocker o EFS para proteger su equipo. Nosotros sabemos que casi con toda seguridad en algún lugar de la memoria se encuentran las keys necesarias para poder acceder al sistema, dado que el propio sistema está arrancado y funcionando. Y aquí es donde aparece el Arranque en frío. Imaginar que durante unos instantes cortamos la energía al sistema, pero la volvemos a restablecer de forma que intentemos mantener intacta la mayor parte de la RAM posible. Al arrancarlo, dado que la RAM es posible que aun mantenga las keys en memoria, podríamos intentar a través de algún inicio alternativo al del sistema para volcar todo el contenido de la memoria en disco, para analizarlo con detenimiento con posterioridad. Quizás no podamos acceder a primera instancia al sistema, pero si podemos iniciar un segundo sistema operativo o alguna herramienta que nos permita realizar la tarea de volcar la memoria, es posible que en la memoria volcada esté aun residente algunas de las keys buscadas.

Se podría proteger así mismo el sistema para evitar incluso el acceso a un inicio alternativo por medio de un HDD externo, USB… pero aun así no sería algo definitivo, dado que siempre se podrían extraer físicamente (cuando sea posible claro) la RAM del sistema e implantarla en otro equipo o analizador para poder volcar su contenido.

Las únicas defensas ante este tipo de ataques es tomar las precauciones necesarias, por ejemplo jamás dejar un sistema que sea crítico conectado a la alimentación si no se está usando, usar hardware específico para almacenar las keys como por ejemplo tarjetas personales, obligar a usar PINs para proteger las keys… en fin. Aunque ningún método es fiable al 100%, al menos siempre se puede complicar la obtención. No pensar solo en un PC cuando se habla de criptografía, un movil, una PDA, una tarjeta inteligente… a fin de cuentas todos los dispositivos electrónicos funcionan de una forma muy similar: Memoria, uno o varios procesadores, registros, puertos de entrada/salida… por eso cualquier sistema que se requiera seguridad, podría implementar medidas para garantizar que cuando el sistema sea apagado las keys ya no residan de modo alguno en memoria, por ejemplo forzando el desmontaje de las unidades cifradas cuando no están en uso y técnicas similares, aunque como se ha dicho, lo mejor es simplemente no usar sistemas de suspensión S3 o de hibernación S4 en sistemas que deseamos que dispongan del mayor grado de seguridad.

Continuando con el estudio del hardware y el arranque en frío, nos topamos con la monitorización del hardware. Es evidente que cuando hablamos de Side Channel lo normal es mezclar la informática con la electrónica al más puro estilo. Dado que podemos conocer el funcionamiento exacto de un hardware o de un módulo TPM, de la memoria, del procesador… podríamos estudiar su funcionamiento electrónico en determinadas tareas, con herramientas como los osciladores, los analizadores lógicos, sensores de temperatura… es evidente que para todo ello es necesario tener acceso al hardware del sistema, tiempo y instrumentación.

Pensar en un sistema en el que las Keys sean almacenadas en un procesador criptográfico tipo TPM, y que este cuando lo cree oportuno carga la key en su propia memoria interna para ser utilizada. Imaginar que disponemos de instrumentación necesaria para “abrir” ese procesador criptográfico, que será un chip encapsulado en plástico, y conectar sus buses de datos a un analizador lógico. Una vez todo el sistema conectado y preparado, se realizará un arranque normal, pero a la par se estaría analizando toda la información que circularía por los buses de datos del módulo TPM. Si en algún momento la key viaja por los buses de datos de este, el analizador lógico será capaz de leerla. Esto mismo es aplicable a un PC, se podría conectar un analizador lógico a los buses de un PC e intentar buscar por ellos el dato deseado. La premisa es la misma, es buscar la key allí donde pueda circular.

Un método más agresivo a la monitorización del hardware sería el intentar la extracción directa. Las keys que son usadas para cualquier tipo de cifrado asimétrico suelen estar almacenadas, es lógico. Lo normal es que estén almacenadas en algún soporte extraible como una tarjeta criptográfica o en algún hardware especializado, tipo TPM. Da igual que estas estén protegidas o no por contraseña, ya que los PIN realmente lo que nos da es la llave para acceder a ella, pero de cualquier forma las keys están en dichos soportes de forma física. Si las keys están en ellas de forma física, en algún lugar de esa electrónica existirá un registro, una pequeña memoria (ya sea Flash, ROM, EEPROM…) que contiene dichos datos sensibles. Visto un todo desde fuera parece simplemente algo absurdo poder mirar ahí, pero desde un punto de vista electrónico es la mejor opción. Hay que tener en cuenta que la mayoría de las memorias ROM, EEPROM, FLash… se acceden de una forma “estandar”. Lo que sucede es que es la misma electrónica y procesadores que están en los circuitos los que es´tan diseñados para que el sistema no pueda acceder a ellos, pero no implica que no se pueda acceder a ellos manualmente. Podría ser por tanto posible acceder a los elementos hardware de dicha tarjeta criptográfica, hardware TPM… de forma que pudiésemos tener acceso a dichas memorias, y que por medio de algunos cables conectados en los puntos exactos y enviando las señales correctas a dicho hardware, este nos devolvería su contenido, revelando así los datos deseados. Es evidente que esto es tan solo la teoría, la práctica es mucha más compleja, se requiere de material especializado para ello y ni siquiera se puede decir que tenga un éxito rotundo, ya que dependerá de la electrónica, de la complejidad, de la seguridad… con la que fue dicho dispositivo creado. A fin de cuenta este tipo de Side Channel tan solo podremos verlo nosotros como teórico, aunque por supuesto es usado de forma práctica. Pensar en espionaje industrial, gobiernos, mafias…

Dejando de momento un poco el hardware concreto, ha existido una técnica sorprendente, yo la llamo análisis electromagnético. En física, cualquier paso de electrones es por un cable produce un campo eléctrico y por tanto un campo electromagnético. Ahora bien, pensemos por ejemplo en un cable de red Ethernet por el cual circula toda nuestra información. Ese flujo de información está produciendo que dicho cable ethernet esté emitiendo constantemente radiaciones electromagnéticas que podrían ser estudiadas, y a través de ellas ser capaces de conocer la información que viaja por ellos. Esta tecnología existe a día de hoy. Si bien es cierto que esto no afecta directamente a los sistemas de encriptación tal y como estamos explicando, estas técnicas podrían ser usadas de igual forma para estudiar las radiaciones electromagnéticas que proceden por ejemplo de una tarjeta criptográfica en funcionamiento, o un módulo TPM, y de este modo, como si de un analizador lógico se tratase, lograr el cometido deseado.

Por otro lado podríamos realizar un estudio analítico del consumo y el estado del hardware en las tareas de codificación/descondificación. Un procesador criptográfico o una CPU no requiere el mismo consumo energético para computar por ejemplo una key de 128 bits que para una de 192 bits. Todo este tipo de información es activamente utilizada en conjunción a otros ataques para poder lograr el fin deseado. Del mismo modo, se pueden monitorizar los estados que ocurren en el procesador, como por ejemplo si el procesador ha pasado a un estado de inactividad C6, si se ha introducido un error controlado en los datos para estudiar como se comporta el sistema… es decir, cualquier “trampa” que podamos imaginar para poder extraer cuantos más datos sea posible sobre el sistema, y con ello lograr descubrir que está circulando realmente por sus interiores, o si la key tiene que tener 4 o 5 caracteres o…

Por último, los análisis de tiempos podemos decir que son similares a los análisis de consumos, solo que en este caso se estudia sobre todo el tiempo de computación. Del mismo modo que el procesador tendrá un consumo mayor para computar una key mayor, también requerirá de más tiempo para dicha labor. Pero es más, es posible incluso que el tiempo que requiera un procesador para cifrar una key, por ejemplo: “101010” sea diferente a la que se requiera para la key: “101011” (se ha modificado un bit).

Se podrían estudiar estos tiempos o estados a lo mejor para ser capaz de aplicar correcciones estadísticas a ciertos algoritmos para la obtención de una clave privada desde una clave pública. Si el problema de esta es la imposibilidad de obtener la factorización, por medio de optimizaciones, cribas y otros gracias a estas técnicas, se podría diseñar para un sistema concreto un algoritmo que fuese capaz de factorizar la clave pública en un timpo razonable.

Otro posible uso sería estudiar el tiempo de la latencia de la red, de los sistemas de dos extremos que usen una conexión SSL/TLS y con ello realizar un estudio que pudiera indicarnos cual es la key privada que se está usando, dado que los tiempos, las latencias, los retrasos… todo ello puede verse afectado dependiendo de cada bit que pueda poseer la clave privada.

En Side Channel se estudian todas las posibilidades que puedan brindarnos un mayor grado de información de un sistema. Cuanta más información se pueda extraer de dicho sistema, más fácil o posible será poder atacarlo.

 

Para acabar, Actualmente existen técnicas para poner en jaque prácticamente cualquier tipo de cifrado o sistema de autentificación. Esto no implica que en la actualidad no exista nada seguro, simplemente no existe nada seguro al 100%, aunque si al 99.99%. Con una buena praxis y una buena educación en seguridad, un sistema informático o electrónico puede ser una bastión en toda regla frente a ataques externos.

Seguridad: Encriptación y Autentificación. Capítulo Cuarto -> Aplicaciones Prácticas

ATENCION: Los ejemplos que se van a mostrar y “tutoriales” tan solo tienen carácter educativo. En ningún aspecto comparto filosofías de invasión a la intimidad, ataques contra un sistema informático o cuestiones similares. En la medida que sea posible siempre se usarán ejemplos y formas que puedan ser usados por cualquier persona, de forma que pueda verificar los contenidos escritos. No obstante, por motivos más que obvios, materiales como contraseñas, nombres de usuarios o de hosts, serán omitidos o modificado en las capturas de pantallas realizadas (o las lineas escritas). Es decir, los ejemplos serán completamente reales, los datos mostrados a vosotros necesarios para poder pertrechar estos ejemplos no siempre lo serán (Sí lo serán los resultados). Para que esto conste de forma clara, todo material sensible modificado o falso estará resaltado en ROJO. Por motivos de seguridad, todo el material que sea expuesto aquí (exceptuando software propietario o libre, citaciones expresas o código de terceros) tanto texto, imágenes y código son propiedad del autor y está completamente prohibido su reproducción completa o parcial en otros lugares, espero que se comprenda.

 

Aplicaciones prácticas de la Criptografía y la Autentificación

Todo lo que hemos explicado anteriormente tiene un fin: Usarlo. Hasta ahora tan solo hemos visto la teoría que se esconde detrás de un algoritmo de cifrado de datos o un hash, que es un certificado o una firma digital. Comprendo que no es una parte muy lúdica para aquellos que les gusta la acción, pero en cambio es necesario la comprensión de este tipo de conceptos para poder usarlos. Y es que no son pocas las aplicaciones prácticas de todo lo que se ha explicado, de echo la seguridad actual de la red depende de ello. Así que vamos a ver como usamos realmente todo esto:

  • Encriptación de archivos en disco: Simple, Unidad completa, TPM, EFS, BitLocker.
  • SSL/TLS
  • OpenPGP/GPG
  • Correo Electrónico: S/MIME y GPG
  • Firmas

 

La idea es evidente, usar todo lo citado anteriormente para efectivamente cifrar y asegurar nuestros datos o nuestras comunicaciones. Aunque la idea principal es la misma siempre: “proteger”, cada elemento que deseemos proteger o autentificar empleará posiblemente un sistema diferente.

 

Encriptación de archivos en disco

Así, el punto de partida casi con toda seguridad sería la encriptación de archivos en nuestro propio disco duro. Es evidente que si tenemos información sensible en nuestro equipo, podemos desear que esta esté cifrada para que sea imposible su lectura. Imaginar equipos compartidos, o en entornos mucho más clásicos como el cifrado de datos de material secreto en empresas y similar. Evidentemente si nos referimos ya a la información sensible que puedan tener gobiernos, instituciones o grandes empresas, el uso es ya obligado, nadie quiere que alguien pueda acceder al sistema y robe información que esté desprotegida. Es mucho más eficiente tener la información sensible a buen recaudo.

Visto esto, no todos los modelos de cifrado de dato pueden ser deseables. Lo primero que habría que pensar sería que tipo de archivos se desea encriptar, y si se desea hacerlo de forma simétrica o asimétrica. La filosofía de nuevo difiere en lo que deseemos.

El uso más básico por ello sería el cifrado de archivos individuales. Si aplicamos la lógica de lo visto anteriormente, ¿que tipo de cifrado parecería más lógico aplicar aquí? Posiblemente el Cifrado simétrico. En estos entornos, no solemos necesitar que dicho archivo sea accedido por un millón de personas, todo lo contrario!! En el caso más simple tan solo nosotros deseamos tener acceso al original, luego el cifrado simétrico no parece ser una desventaja. Por otro lado el cifrado simétrico es mucho más rápido, y posiblemente en este caso los archivos a cifrar sean desde pequeños archivos a grandes archivos.

Si optamos por tanto por un sistema de cifrado simétrico podríamos pensar ahora mismo en AES-128 por ejemplo (o AES-192, AES-256). Como dijimos en su momento, no solo es importante seleccionar el algoritmo de cifrado, sino que en el caso del cifrado simétrico es imprescindible la elección de un modo de tratamiento de bloques efectivo, para evitar lo sucedido. entre otras cosas. lo que se pudo observar con las imágenes. De este modo poco a poco podemos ir haciendo una idea de lo que necesitamos, AES-192 y CBC. Esto no significa que no pudiese hacerse de otro modo. Se podría cifrar perfectamente un archivo con cifrado asimétrico o usar otros algoritmos de cifrado simétrico.

Una vez tenemos claras las necesidades tan solo nos restaría tener un software para realizar el cifrado y el descifrado. Actualmente existen cientos de miles de programas para ello, de pago y gratuitos. Algunos soportan un gran rango de algoritmos, otros son más restrictivos.

En nuestro caso vamos a usar de forma didáctica CrypTool. Amén de ver los diferentes resultados, el texto de este archivo y de todos los ejemplos que vamos a ver será siempre el mismo, con un tamaño de 161 bytes:

“Esto es un archivo de ejemplo para encriptar. Podría no ser un archivo de texto y ser un archivo binario, no hay límites en el contenido a cifrar ni en su tamaño”

Usando CrypTool, sería necesario crear primero u esquema de cifrado, después configurarlo y después aplicarlo:

Como vimos en otro capítulo, comenzando por un archivo de texto plano con el texto especificado, se pasa por un cifrado AES-192 CBC. En este punto el destino se guarda en un archivo llamado Cifrado.txt (que pertenece al módulo “Cifrado”) y otra salida se vuelve a pasar por AES-192 CBC (en este caso para desencriptar), obteniendo a la salida un archivo llamado Descifrado.txt. En teoría si el cifrado y descifrado es correcto, el archivo original llamado “A cifrar.txt” con el texto antes especificado, debería de coincidir con el archivo Descifrado.txt byte a byte. Antes de mostrar la salida de los datos, me gustaría explicar brevemente BASE64:

BASE64 es un sistema de codificación ampliamente usado sobre todo en la transmisión de datos. La idea es poder convertir cualquier tipo de dato en un texto plano. De este modo se puede dar una interpretación “escrita” de cualquier archivo binario si se desea. Básicamente 3 bytes binarios se convierte a 4 Bytes en BASE64. Se sacrifica tamaño, pero se gana en facilidad de manejo de los datos, dado que de este modo pueden tratarse como simples cadenas de texto. Quizás no sea la primera vez que lo exponemos aquí, pero sí que será usado. Si quiero mostrar el resultado encriptado del ejemplo anterior, me vería obligado a mostrarlo en hexadecimal, dado que no todos los valores hexadecimales tienen una correspondencia a carácter escrito. No obstante, si puedo convertir el archivo encriptado o el archivo desencriptado a Base64 y mostrar el contenido, contenido que puede posteriormente si se desea revertirlo a binario.

Terminado este paréntesis, en este ejemplo cabe destacar dos cosas. La primera es comprobar si el archivo de origen es igual al archivo final desencriptado. Si no fuese igual el cifrado no sirve. No obstante si verificamos el contenido del archivo “Descifrado.txt” se puede leer el mismo texto… aunque este no tiene 161 Bytes de tamaño, sino 176 Bytes, es decir 15 bytes más. ¿Que ha pasado?. Si comprobamos el archivo Desencriptado.txt en un editor hexadecimal, comprobamos que por una extraña razón, al final del archivo se le ha añadido 15 Bytes con el contenido ox00:

Como podemos ver, parece ser que no ha sido desencriptado correctamente. Si acudimos al archivo cifrado vemos que Cifrado.txt tiene una longitud también de 176 Bytes, luego el problema parece encontrarse en la codificación. ¿Que ha sucedido? El Padding. Recordemos que enun cifrado pro bloques, cuando no hay más datos para rellenar el bloque es necesario rellenarlo con otros datos. El Padding que fue configurado en CrypTool fue precisamente el relleno de ceros. El relleno de ceros es el más simple de comprender, pero no es el más eficaz, ya que a la hora de reconstruir el archivo original es imposible conocer cuantos bytes fueron añadidos, y por ello obtenemos el resultado anterior. Si se hubiese escogido un Padding mejor, podría haberse evitado esto.

¿De donde salen estos 15 Bytes más? Es simple. AES usa un tamaño de bloque de 128 Bits. 161 Bytes * 8 = 1288 Bits. Si los debemos de tomar en bloques de 128, nos deja con 10 bloques completos y 8 bits de pico. Por tanto es necesario rellenar el bloque de tan solo 8 bits para completar los 128: 128-8 = 120 Bits /8 = 15 Bytes. Es decir, para poder completar el último bloque es necesario incluir un padding de 15 Bytes.

Por otro lado, si mostramos el contenido binario del archivo Encriptado.txt (sin usar esta vez la conversión a Base64 y usando mejor una imagen), esto es lo que obtenemos:

A esto nos referíamos con que una conversión a BASE64 resulta muy útil. No podría aunque quisiese exponer el contenido de la derecha, es decir, el contenido interpretado del archivo binario. Las soluciones pasan por expresarlo en hexadecimal (la parte de la izquierda) o expresarlo en BASE64. Normalmente es mejor expresarlo en formato base64 por el motivo que he dado, a la hora de manejar en las comunicaciones los datos, es mejor que estos estén expresados como un texto plano. Así, el texto descifrado expresadoen base64 sería el siguiente:

 

RXN0byBlcyB1biBhcmNoaXZvIGRlIGVqZW1wbG8gcGFyYSBlbmNyaXB0YXI
uIFBvZHLtYSBubyBzZXIgdW4gYXJjaGl2byBkZSB0ZXh0byB5IHNlciB1bi
BhcmNoaXZvIGJpbmFyaW8sIG5vIGhheSBs7W1pdGVzIGVuIGVsIGNvbnRlb
mlkbyBhIGNpZnJhciBuaSBlbiBzdSB0YW1h8W8AAAAAAAAAAAAAAAAAAAA

Da igual que fuesen caracteres no imprimibles, al convertirlos a Base64 podrían ser representados en pantalla, y es por ello que esto se usa extensamente. Cuando hablemos del correo electrónico, Base64 será algo común.


Por otro lado no solo existen técnicas para cifrar un solo archivo. Se podría realizar la misma técnica explicada pero en vez de introducir un archivo de entrada, introducir 200 archivos, 1000 archivos… incluso una unidad completa. El cifrado individual de archivos se ha quedado un poco en desuso, y actualmente tan solo se usa para transmisión de archivos puntuales o material sensible esporádico. Esto ha ido evolucionando y la práctica más generalizada actualmente pasa por el cifrado de una unidad completa

Ahora no buscamos la protección de un archivo concreto, sino de todo lo que se encuentra en la unidad. Esto evidentemente otorga un índice de protección bastante alto, dado que todo lo que se realice en dicha unidad estará siempre protegido. Si dicha unidad fuese sustraída, nuestros datos se encontrarían completamente a salvo. En un primer momento podríamos pensar que este esquema sería exactamente igual que el anterior, pero no es así. La idea es que el contenido accedido se desencripte en el momento de acceder a dicho contenido, y sea encriptado en el momento que se realice alguna modificación. Es evidente que este tipo de esquemas podría reducir las prestaciones de un equipo, dado que se estaría encriptando y desencriptando constantemente. Actualmente existen algunas soluciones para realizar esto.

Existe multitud de software de terceros para permitir la encriptación de volúmenes completos, aunque vamos a centrarnos en herramientas que podemos encontrar ya en nuestro propio sistema: EFS o BitLocker. El problema con el cifrado completo de una unidad es como hacerlo. Realizar un cifrado completo de una unidad es facil, pero ¿como se gestiona para que se pueda hacer en tiempo real? Para nosotros es imprescindible que la tarea sea llevada a cabo de forma transparente.

Por un lado tenemos EFS, “Encryption File System” que está disponible en Windows desde Windows XP. Con EFS se encripta cada archivo que es escrito en el HDD y se desencripta cuando se requiere. EFS usa un sistema híbrido entre cifrado simétrico y cifrado asimétrico, cosa que veremos es muy común uusar. El sistema es simple, cada archivo se cifra con una key por medio de cifrado si métrico. Esta key será diferente a cada archivo, con lo que aun cuando un ataque pudiese recuperar la key de un archivo, esta no sería de mucho valor, dado que tan solo serviría para ese archivo. ¿Implica que el sistema guarda una base de datos con todas las keys, una por cada archivo? No, es más eficiente. Lo que se realiza es cifrar la key usada por cada archivo por medio de cifrado asimétrico, y una vez cifrada se adjunta al propio archivo. Es decir, cada archivo cifrado incluye la key usada para desencriptarlo, claro que antes hay que desencriptar la key por medio de la clave privada del cifrado asimétrico. Comprometer un cifrado asimétrico es mucho más complicado e imposible que el cifrado simétrico. En el peor de los casos en el que el archivo pudiese ser atacado o recobrada su Key, esto no pondría en peligro ni a la clave privada ni al resto de archivos.

Para realizar este sistema, Windows asocia a la sesión del usuario la clave privada requerida para desencriptar las keys individuales de cada archivo. A lo largo de los años, con la aparición de Windows Vista y Windows 7, el cifrado asimétrico RSA se ha sustituido por un sistema de Curva Elíptica, otra “matemática imposible” que tiene ventajas e inconvenientes respecto RSA, a fin de cuenta otro sistema de cifrado asimétrico. Por otro lado se ha permitido poder guardar una key maestra en un dispositivo extraible, desde un pendrive a una Smart Card.

Esto quiere decir que no hace falta recordar una Key (a menos de querer crear una de recuperación) para usar EFS. Para usar EFS tan solo basta con ir a las propiedades de un archivo o carpeta y marcar la opción cifrar. Cuando una carpeta o un archivo sea marcado como cifrado, desde nuestro punto de vista, mientras nuestra sesión esté activa dicho archivo será completamente accesible por nosotros del modo habitual. En cambio si se intentase acceder a dicho archivo desde otra sesión o desde otro equipo, dicho archivo/carpeta sería completamente inaccesible.

Un paso más allá se encuentra BitLocker, disponible tan solo en algunas ediciones de Windows Vista y Windows 7. BitLocker es un sistema análogo a EFS, aunque ambos pueden ser usado conjuntamente. BitLocker es un sistema que puede cifrar una unidad lógica. BitLocker no cifra archivos por así decirlo, sino la unidad lógica completa deseada por medio de AES en modo CBC, por ello es posible usar EFS en conjunción con él. BitLocker funciona no solo a nivel del propios OS, sino que también protege los sectores de inicio. Si Bitlocker detecta un cambio de bios o una modificación en cualquiera de sus elementos como el bootloader, este no desencriptará la unidad lógica, y por ende el sistema no arrancará de ninguna de las formas. Es una capa de encriptación que se coloca por encima del propio OS, siendo Bitlocker el primer elemento en procesarse en el arranque del sistema, como hemos dicho incluso antes de que el propio kernel de Windows sea cargado en memoria.

El método de funcionamiento es simple, nada mas arrancar el sistema, este verifica si todo el boot es correcto o ha sufrido alguna modificación. Si todo es correcto solicita la Key para poder permitir el acceso a la unidad lógica. Si detecta algún cambio en el boot, bloqueará el sistema y obligará a la introducción de una Key de conformidad que verifique los cambios efectuados en dicho Boot. Esto produce dos cuestiones interesantes: Que tipo de subsistema se arranca para que bitlocker se ejecute y como accede bitlocker a las keys.

Para poder usar BitLocker, el sistema debe de generar una partición de pequeño espacio que será la que arranque el sistema, dicha partición no podrá estar encriptada claro está, es tan solo como un subsistema para que bitlocker pueda trabajar de forma correcta. Pero queda el otro problema o ventaja. ¿Como se suministra la Key? En un principio BitLocker requería del uso de un TPM. En Windows 7 es posible usar BitLocker suministrando la key desde un pendrive externo.

¿TPM? TPM son las iniciales de Módulo de plataforma segura. Básicamente es un hardware criptográfico que tiene algunas funciones interesantes. En primer lugar actúa como un acelerador por hardware ya que en su hardware es posible computar hashes o firmas. Por otro lado permite que las creaciones de claves privadas y públicas sean generadas en su propio interior y que estas no sean jamás exportadas al exterior. Si se requiere la clave privada el usuario a través normalmente de un PIN dará acceso al módulo TPM de usarlas. A fin de cuenta es mucho más seguro que nuestra Key privada de nuestro equipo esté almacenada en un hardware que en cualquier otro medio. Incluso si el módulo TPM es sustraído, aunque en teoría sería “posible” de extraer las key del módulo TPM en la práctica esto es “imposible”, de ahí a su seguridad. De este modo el usuario no tiene que preocuparse de Keys, de tener que transportarlas ellos mismos.

Una vez que se habilita BitLocker y la partición es creada, el Hardware TPM se inicializa, se crean las claves necesarias y se comienza con el cifrado de la unidad lógica. Como he dicho en Windows 7 no es necesario por obligación el uso de un módulo TPM, pudiendo usar en su defecto (mucho más inseguro) un pendrive.

BitLocker en Windows 7 se le añadió la opción de poder proteger no solo una unidad del propio sistema, sino unidades extraibles. Una característica que se ha criticado a Microsoft en BitLocker es la no inclusión a sabiendas de algún tipo de puerta trasera que permitiese el acceso al sistema aun cuando fuese cifrado con BitLocker. Esto apareció no hace demasiado, donde autoridades inglesas denunciaban a Microsoft que BitLocker podría ser usado por pederastas en unidades externas para proteger pornografía infantil y otro tipo de contenidos, de modo que no fuese posible la recuperación de estos datos.

Para usar las características de BitLocker tan solo es necesario acudir al panel de control y acceder a BitLocker:

El almacenaje en Smart Card es una práctica muy común, suele ser seguro y además por regla general suelen poseer de hardware criptográfico propio, lo que hace de estos soportes ideales para muchas de estas tareas. Un ejemplo simple de Smart Card criptográfico es el propio DNI-e, el cual contiene los certificados y claves dentro de él.

Podemos decir sin lugar a duda que un Sistema Windows 7 empleando tecnologías como BitLocker y EFS conjuntamente con un módulo TPM supone un sistema muy seguro ante cualquier tipo de intento de robo de información. Esto no quiere decir que no sea posible atacar un sistema similar para acceder a él, pero sí que puede poner las cosas más que complicadas a cualquiera que lo intente.

 

SSL/TLS

SSL/TLS son protocolos de seguridad para permitir una conexión segura entre cliente y servidor. Esto es posible gracias a los sistemas criptográficos explicados: Cifrados Asimétricos, Simétricos y Hash. De forma generalizada casi nadie usa el término TLS, e indistintamente se hace eco de SSL para especificar tanto SSL como TLS. No obstante, SSL es un protocolo antiguo y que ha demostrado tener algunos fallos de seguridad, el cual fue sustituido por TLS. Aunque TLS no es compatible con SSL, TLS si tiene incluía una funcionalidad de poder usar SSL en caso de que la conexión TLS no sea posible por la razón que sea. Por ello apartir de ahora y para evitar palabrería, usaré TLS en todo momento. Actualmente SSL3 se considera seguro, aunque es mejor usar TLS 1.0/1.2 en la medida que sea posible.

TLS es usado en un sin fin de aplicaciones diferentes. Por ejemplo es usado para autentificar y/o cifrar contenido de cualquier web por medio de HTTPS, pero también es usado para asegurar (encriptar y autentificar) las conexiones de correo electrónico (que no es lo mismo que decir que se envía un correo cifrado, lo que se cifra es todo el contenido de la sesión, aunque incluya el propio correo, es muy diferente). Sea como sea, su función principal es garantizar una conexión segura entre dos puntos de la red cualquiera, sin preocuparse de que cualquier posible atacante pueda interceptar la comunicación o modificarla, cosa más que necesaria para transacciones bancarias, transmisión de datos personales, lectora de correo en redes no seguras…

TLS es un sistema híbrido, al igual que vimos con EFS. TLS se basa básicamente en encriptar el contenido de la conexión por medio de un cifrado simétrico a negociar, cuya key es transmitida desde el cliente al servidor encriptada gracias a la encriptación asimétrica. De este modo, de lograr interceptar o descifrar una comunicación, tan solo sería perjudicial para dicha conexión dado que cualquier otra conexión usaría una key diferente. Es decir, TLS se apoya en el uso de certificados digitales. Aunque esto es a groso modo el funcionamiento de TLS, cabe destacar que una sesión TLS tiene dos modos de funcionamiento. El primero y más extendido, tan solo se requiere la autentificación del servidor frente al cliente. En el segundo esquema, tanto el servidor como el cliente se deben de autentificar mutuamente. Vamos a ver los pasos que se realizan en una conexión TLS:

  1. El cliente solicita una conexión segura, y envía al servidor una lista de los cifrados y hash que el navegador soporta, así como un número aleatorio y la versión del protocolo que desea usar.
  2. El servidor responde con la versión de protocolo que se usará en relación con la recibida por el cliente, así como el método de cifrado y hash que se usará. Evidentemente el servidor seleccionará el cifrado, hash y versión de protocolo mayor que soporten ambos.
  3. El servidor envía a continuación su certificado al cliente. El cliente comprobará la validez del certificado, comprobando su firma y el CA correspondiente.
  4. El servidor solicita al cliente que envíe su certificado.
  5. El servidor indica que ha finalizado por su parte toda la negociación.
  6. El cliente envía su certificado al servidor, y este lo verificará comprobando su firma y el CA correspondiente.
  7. El cliente envía al servidor una prekey cifrada con la clave publica del servidor.
  8. El cliente firma (hash y encriptar con su clave privada) los mensajes de negociación previos. El servidor verificará esto con la clave pública del cliente.
  9. El cliente y el servidor generan la Key para el cifrado simétrico que van a usar gracias al número aleatorio generado al comienzo y a la prekey
  10. El cliente envía un mensaje de finalización cifrado conteniendo el hash de los mensajes de la negociación y otros datos.
  11. El servidor descifrará el mensaje y validará los hash
  12. El servidor enviará u mensaje de finalización cifrado conteniendo el hash de los mensajes de negociación y otros datos.
  13. El cliente descifrará el mensaje y los validará.

Lo que está en otro color es tan solo válido para aquellos sistemas en los que es indispensable la autentificación del cliente de cara al servidor. En el paso 8, el servidor garantizará que el certificado que ha recibido corresponde al cliente con el que está negociando la conexión segura. Si la clave pública obtenida del certificado del cliente puede descifrar la firma realizada por el cliente, autentifica al cliente como válido.

Si en cualquier paso una verificación es fallida, un hash no corresponde al que debería de corresponder o cualquier otra circunstancia, se supone que no se ha podido establecer una conexión segura y se aborta la negociación. En cambio, si se llega al paso número 13, a partir de ese momento toda la comunicación realizada entre cliente-servidor será una conexión autentificada y segura. Incluso los pasos del 10 al 13 son pasos de la negociación ya cifrados mediante cifrado simétrico. Aquí el uso que se le da al cifrado asimétrico es relativamente pequeño, tan solo es usado en la propia negociación.

Gracias a un Sniffer es posible verificar que este es efectivamente el esquema de uso de TLS:

En dicha imagen podemos ver los pasos que se han ido realizando. En este caso es una comunicación desde un cliente de mi red (192.168.2.2) a gmail (209.85.227.83). Asi, mi paso número 1 corresponde al paquete número 4 de la imagen: “Client Hello”. El paso número 2 al paquete 6 “Server Hello”. El paso número 3 y el número 5 son realizados en el paquete 7 con “Ciertificate” y “Server Hello Done”. En este caso no hay autentificación por parte del cliente. El paso número 7, 9 y 10 son realizados en el paquete número 9 con “Client Key Exchange”, “Change Cipher Spec” y Encrypted Handshake Message”, y los pasos 11, 12 y 13 en el paquete número 10 “Encrypted Handshake Message”, “Change Cipher Spec” y “Encrypted Handshake Message”. En sucesivos paquetes, todo el tráfico irá cifrado.

Si pasásemos a analizar cada uno de esos paquetes, podríamos ver con mucho más detalle cada paso realizado. Por ejemplo, el mensaje “Client Hello” en el cual el cliente especifica los cifrados disponibles y soportados por el navegador, así como el número aleatorio:

Como podemos ver prácticamente todos los algoritmos que han aparecido los hemos tratado. Dentro del cifrado asimétrico es usado RSA y EC (Curva Eclíptica). EC aquí se aplica a diferentes sistemas, por ejemplo ECDHE (Diffie-Hellman Exchange es un sistema de intercambio de claves para realizar un cifrado simétrico). Dentro de los cifrados simétricos podemos ver AES-128, AES-256, RC4-128, Tiple DES , Camella y SEED (estos dos últimos no se han visto). Para acabar, dentro de los Hash tenemos SHA y MD5. DSA por otro lado es un algoritmo de firma digital. Hay que tener en cuenta que TLS puede ser usado en un sin fin de aplicaciones diferentes, con lo que es normal ver en la lista de algoritmos soportados algunos que podrían no tener mucho sentido a priori en ellos

Y por parte del servidor podríamos ver igualmente tanto el certificado enviado como los ajustes seleccionados. El certificado no sería más que el certificado, la respuesta en este caso de Gmail ante nuestra petición sería:

Es decir, ante todas las sugerencias del cliente, el servidor opta por seleccionar el protocolo TLS 1.0 (dado que es el máximo que soporta el navegador) y responde que usará el conjunto de cifrado RSA para el cifrado asimétrico, AES-256 para el cifrado simétrico en modo CBC y los Hash serán SHA. Como hemos dicho, TLS es una negociación. Significa que estos datos dependerán del equipo del cliente y del equipo del servido. Posiblemente si realizamos una conexión a Gmail dede IE, la lista de cifrados sea diferente, quizás aparezca alguno más quizás alguno menos. TLS no deja de ser a fin de cuentas un estándar, si se requiere que un navegador fuese 100% compatible debería de ser compatible con el 100% de los cifrados y sistemas propuestos en el estándar, pero esto es la teoría, no la práctica. De todos modos la práctica dice que los servidores TLS más seguros usan por regla general RSA+AES-256+SHA, mientras que los más inseguros pueden usar aun DES o Triple DES como cifrado simétrico y MD4 o MD2 para el hash. Lo más normal es encontrar RSA como cifrado asimétrico y RC4 o AES como cifrado simétrico.

Vamos a comparar la petición realizada anteriormente con Firefox a Gmail con la que expondremos a continuación entre IE y Live:

En este caso de los 36 sistemas de cifrado soportado por Firefox, tan solo son 12 los soportados por IE. Y la respuesta de Live frente a esto:

Es decir, el servidor de Microsoft Live seleccioan como su mejor opción el uso de RSA con RC4-128 y MD5. Es decir, el sistema usado en TLS por parte de los servidores de MS para Live es mucho más inseguro. A fin de cuentas RC4 a resultado ser relativamente vulnerable, y MD5 es también más inseguro que SHA. Esto no quiere decir que no sea un sistema seguro, pero sí que es mucho menos seguro de la seguridad que puede ofrecernos Gmail.

TLS es un protocolo muy seguro. Normalmente no es posible comprometer este tipo de sistema, y cuando se ataca no se ataca normalmente a intentar descifrar las claves, sino algún fallo del propio protocolo. Hoy por hoy la mayoría de todas las comunicaciones sensibles hacen uso de una manera u otra de TLS. Se usa para cifrar el contenido en la web por medio de HTTPS, el correo por medio de SMTPS, túneles VPN…

Podríamos incluir aquí STARTTLS. En realidad STARTTLS es un protocolo que se ve en “Email Spoofing”. SSL/TLS usan puertos específicos en los servidores. Por ejemplo por regla general, las peticiones HTTP se realizan al puerto 80 de los servidores, mientras que las peticiones HTTPS (usando TLS) al puerto 443. En el correo pasa algo similar. Para el correo SMTP se suele mapear al puerto 25, y 995 para TLS. STARTTLS se propuso para poder realizar la conexión por el mismo puerto no seguro (25), y una vez realizada la conexión al servidor se realizaría el “cambio” a usar TLS. Cuando se usa TLS toda la comunicación íntegra es cifrada, con STARTTLS tan solo cuando se llama a este protocolo, siendo posible la conexión e incluso su uso de servidores de correo que usan STARTTLS, si no están configurados para requerir después del mensaje de “HELO” el cmando STARTTLS.

Desde mi punto de vista, todo contenido que pudiese ser de carácter personal debería de ir bajo conexiones seguras. Por desgracia muchos administradores no comportan esta filosofía, y tan solo se preocupan en todo caso de cifrar por medio de TLS las credenciales de acceso de un lugar, dejando desencriptado todo el contenido al que se está accediendo.

Esto lo veremos cuando tratemos el fascinante mundo del Sniffing en otros temas, no será tratado en Encriptación y Autentificación. Lo que si debe de quedar claro es que no por usar un sistema como TLS podemos asegurarnos de que todo está protegido, nada más lejos. Y esto es muy muy importante.

Que los certificados deban de estar firmados por autoridades CA reconocidas, no implica que estos no puedan ser usados en otro tipo de entornos en los que la firma de un CA “famoso” no es necesaria. Seamos francos, los certificados digitales suelen costar dinero, debes de acudir a un CA para que certifique tu identidad y te lo extienda. ¿Pero sería esto necesario para asegurar las comunicaciones dentro de una empresa? La respuesta es no. Un CA es necesario para dar validez a un certificado de manera global, pero cualquier usuario puede en cualquier momento crear un certificado de la clase que sea (Servidor SSL, Cliente SSL, Firma…) para el fin que necesite. Es evidente que si este certificado es expuesto al exterior y un tercero tiene que hacer uso de él, posiblemente su navegador le advierta del peligro que ello entraña, dado que casi con toda seguridad el navegador del usuario no pueda verificar la firma del CA, dado que el CA posiblemente no esté reconocido por su navegador como un CA válido. Es decir, lo que realmente dicta si un certificado es de confianza o no es a fin de cuentas la firma del CA. Si el navegador o el sistema tiene el certificado del CA reconocido como confiable, el certificado será igualmente confiable.

Esto implica que una empresa puede crear un certificado CA propio, y a partir de este crear los certificados que necesite para los propósitos que sean: Servidores Web, Certificados para los trabajadores para que puedan firmar o cifrar el correo, Certificados para el acceso a los equipos informáticos, Certificados para las Smart Card para el control de acceso a las instalaciones, Certificados para el cifrado de los datos de los equipos, Certificados para asegurar las conexiones VPN… Y todos ellos estarían firmados por el certificado raiz de la propia empresa. Si dichos certificados se usan fuera de la empresa, simplemente los sistemas exteriores o los navegadores, gestores de correos… no podrían simplemente poder validad el CA. Pero para la propia empresa, esto no sería jamás un problema, dado que sus sistemas tendría reconocido el certificado CA de esta como legítimo.

La creación de certificados para uso personal es realmente útil. Dado que pueden ser usados en un sin fin de utilidades, cuando queremos usarlos nosotros para nosotros no nos preocupa lo demás, no deseamos interaccionar con un tercero, simplemente asegurar nuestros sistemas. Esto es usado muchísimo, incluso en servidores Web particulares en los que no se desea comprar un certificado, dado que los precios pueden ser relativamente altos para un particular. ¿El problema? Como se ha dicho, los navegadores, gestores de correos y otros suelen verificarlos, y como se ha dicho, si el CA no lo tienen como un CA válido, aparecerá una pantalla de advertencia. Hay que tener en cuenta que estas pantallas de advertencias de seguridad de certificado no válido son para tomarse muy en serio, aceptar un certificado no válido maligno supondría que un tercero podría estar comprometiendo toda nuestra comunicación. Un ejemplo de advertencia de seguridad de certificado en Firefox sería tal que así:

Por alguna razón, Firefox nos advierte de que la página a la que se está accediendo tiene un error con el certificado. Si expandimos “Technical Details” nos reporta el por qué el acceso a dicha web ha sido bloqueado, en este caso porque el certificado está firmado por el mismo (luego no se puede verificar el CA) y porque el certificado pertenece en teoría a otra web, no al host 192.168.2.1. Aun así, si deseamos acceder de todos modos a dicha web, tan solo tendríamos que añadir una excepción, desplegando “I Understand The Risks” y añadiendo la excepción:

Esto permite almacenar en nuestro equipo certificados específicos de terceros, marcándolos como seguros. Muchas veces la otra opción es simplemente añadiendo a nuestra base de datos el certificado del CA, configurándolo para que pueda verificar cualquier certificado que hagamos uso que esté firmado por dicho CA. De lo contrario, lo normal es que las comunicaciones sean abortadas si se detecta que el certificado no es válido para nuestro sistema.

La mejor forma de crear certificados es posiblemente gracias a OpenSSL, aunque es una herramienta creada para ser usada por linea de comandos. Tiene la ventaja no obstante de ser altamente configurable. Para los que deseen no obstante realizar la creación en un entorno de escritorio, la mejor apuesta posiblemente sea usar IIS, el servidor web de Windows que es incluido en la mayoría de todas las versiones de Windows, aunque no instalado por defecto. A través de él es fácil y cómodo la creación e instalación de certificados.

 

PGP/GPG

PGP (Pretty Good Privacy) es un programa/sistema de clave pública usando el esquemas PKI que vimos en su momento. De echo el repositorio que se vio formaba parte de PGP/GPG. Por ello no hay mucho que decir a cuanto funcionamiento se refiere. Si bien hemos visto una aplicación directa de los Certificados digitales para SSL/TLS, con PGP/GPG vamos a hacer lo mismo. GPG en contra partida (Gnu Privacy Guard) es una alternativa libre a PGP. Tanto PGP como GPG cumplen con el estándar OpenPGP, lo cual hace a ambos interoperables mutuamente.

¿Pero que sentido tiene PGP/GPG cuando el mundo está rodeado cada vez más de los certificados digitales administrados por las grandes empresas? El espíritu y la filosofía son muy diferentes. Es cierto que la utilidad podría ser exactamente la misma, pero no hay que olvidar que los certificados digitales tal y como los concebimos ahora mismo están muy comercializados, es decir, no deja de se un negocio. Es cierto que cualquier usuario de forma particular puede crear un certificado digital para encriptar una comunicación o simplemente sus datos, pero de nuevo olvidamos que OpenPGP se crea en base a la comunidad Online, sin agencias, sin comercio, sin… con completa libertad de uso, donde la legitimidad de una clave pública radica en la confianza que depositan otros en ella.

En este apartado no se usará en ningún momento PGP, siempre gnuPGP. Aun tratándose de una aplicación de línea de comandos, es bastante descriptiva. Vamos a ver a groso modo como funciona y algununos ejercicios práctico de ello, presuponemos que GPG ya se encuentra instalado en el sistema.

 

-Creación de Keys

Es evidente que uno de los primeros pasos es crear las keys que se van a necesitar, aunque esto no es necesario si lo que deseamos es usar gpg para realizar un cifrado simétrico, lo cual también es completamente posible. La creación de Keys es un proceso simple y guiado, en rojo los comentarios

C:\Users\Theliel\Desktop>gpg –gen-key

Por favor seleccione tipo de clave deseado:
Se deben de generar dos par, uno para firmar y otro para cifrar

(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sólo firmar)
(4) RSA (sólo firmar)
Su elección: 1
En mi caso se opta por la opción 1, RSA para firmar y RSA para cifrar
las claves RSA pueden tener entre 1024 y 4096 bits de longitud.
¿De qué tamaño quiere la clave? (2048)
El tamaño de la clave, por defecto 2048 bits

El tamaño requerido es de 2048 bits
Por favor, especifique el período de validez de la clave.
0 = la clave nunca caduca
<n> = la clave caduca en n días
<n>w = la clave caduca en n semanas
<n>m = la clave caduca en n meses
<n>y = la clave caduca en n años
¿Validez de la clave (0)? 0
La clave nunca caduca
¿Es correcto? (s/n) s
Es necesario establecer una caducidad, en este caso nunca caduca

Necesita un identificador de usuario para identificar su clave. El programa
construye el identificador a partir del Nombre Real, Comentario y Dirección
de Correo Electrónico de esta forma:
“Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>”
Nuestros datos
Nombre y apellidos: Alma Oscura
Dirección de correo electrónico: theliel@almaoscura.com
Importante si deseamos posteriormente cifrar/firmar correo
Comentario: lección de gpg
Está usando el juego de caracteres `CP850′.
Ha seleccionado este ID de usuario:
“Alma Oscura (lección de gpg) <theliel@almaoscura.com>”

¿Cambia (N)ombre, (C)omentario, (D)irección o (V)ale/(S)alir? V
Necesita una frase contraseña para proteger su clave secreta.
Aquí nos solicitara la contraseña de paso para proteger la clave privada

Es necesario generar muchos bytes aleatorios. Es una buena idea realizar
alguna otra tarea (trabajar en otra ventana/consola, mover el ratón, usar
la red y los discos) durante la generación de números primos. Esto da al
generador de números aleatorios mayor oportunidad de recoger suficiente
entropía.
La entropía garantiza una buena clave generada aleatoriamente
………………+++++
…+++++++++++++++

gpg: clave F86191C9 marcada como de confianza absoluta
claves pública y secreta creadas y firmadas.
Creación completada de los dos pares de Keys
gpg: comprobando base de datos de confianza
gpg: 3 dudosa(s) necesarias, 1 completa(s) necesarias,
modelo de confianza PGP
gpg: nivel: 0 validez: 2 firmada: 0 confianza: 0-, 0q, 0n, 0m, 0f, 2u
gpg: siguiente comprobación de base de datos de confianza el: 2011-02-10
pub 2048R/F86191C9 2010-03-01
Huella de clave = 281E 9FBD AE6A 57FF EC65 D77F 57B5 75E8 F861 91C9
uid Alma Oscura (lección de gpg) <theliel@almaoscura.com>
sub 2048R/342B5359 2010-03-01

Nuestro par de claves queda completamente creado. La clave pública queda especificada con el ID F86191C9, mientras que la clave pública para firmar 342B5359. Una vez se ha completado el pequeño asistente, ya dispondremos de todo lo que necesitamos para realizar la tarea que deseemos. Por defecto, las claves creadas son firmadas por nosotros mismos, esto le da a las claves validez completa para nosotros mismos, así como cualquier clave que firmemos.

Después de la creación de las claves, lo normal es crear un certificado de revocación. Un certificado de revocación lo que nos permite es revocar nuestras clave completamente en caso de que esta haya sido perdida, comprometida… y lo que hace es marcar nuestras claves como no válidas. Dado que se requiere de nuestra propia clave privada para ello, lo normal es crearlo después de crear nuestras claves, y mantenerlo en lugar seguro. Cualquiera con nuestro certificado de revocación podría marcar nuestra clave pública como revocada:

C:\Users\Theliel\Desktop>gpg –gen-revoke -o revocar.txt almaos

sec 2048R/F86191C9 2010-03-01 Alma Oscura (lección de gpg) <theliel@almaoscura.com>

¿Crear un certificado de revocación para esta clave? (s/N) s
Por favor elija una razón para la revocación:
0 = No se dio ninguna razón
1 = La clave ha sido comprometida
2 = La clave ha sido reemplazada.
3 = La clave ya no está en uso
Q = Cancelar
(Probablemente quería seleccionar 1 aquí)
¿Su decisión? 0
Introduzca una descripción opcional; acábela con una línea vacía:
>
Razón para la revocación: No se dio ninguna razón
(No se dió descripción)
¿Es correcto? (s/N) s

Necesita una frase contraseña para desbloquear la clave secreta
del usuario: “Alma Oscura (lección de gpg) <theliel@almaoscura.com>”
clave RSA de 2048 bits, ID F86191C9, creada el 2010-03-01

se fuerza salida con armadura ASCII.
Certificado de revocación creado.

“Armadura ASCII” es el término que llama GPG para formatear los datos en BASE64, que como ya dijimos su principal uso es poder interpretar en texto plato archivos binarios. Así pues, si abrimos el archivo de texto revocar.txt, lo que veremos será algo así:

—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v1.4.10 (MingW32)
Comment: A revocation certificate should follow

iQEfBCABAgAJBQJLjPn+Ah0AAAoJEFe1dej4YZHJKC0IAKurWg5Ft9ubYrxyASyL
ISEy5hSfVjslpVnT9qjwnMYPHYwCv7YbpHki6hGYowH3lFoYMaFl4QmrmqoIsiuV
OkrqekCPuGGt/kZCzkOh96lYYp8KWGfxBbjQyU17/yt9qLPlM0vEYNv6QHGKi/5K
flkPE0Y57rtC+Kz6WeCF6e8ao7yqfKJNkbvPLtpYTUzcrFzRiraBwNaIBuyRMod/
fmemqN+QkYf7PgVec0qLe8o5E+OBsHhFnwbYf0jQDmj2ehGpTlwLi2H02Ppfu1Wq
w6/DO33haTvFgXw1UwO4sgWACvO9bhGy711CJBFo4zto6jwHLxf/CIDNOJPTuY0S
Fcc=
=2B98
—–END PGP PUBLIC KEY BLOCK—–

Evidentemente esta clave ha sido creada tan solo para estos fines, luego no me importa publicar el certificado de revocación. Con él, cualquier persona podría revocar dicha key.


-Edición de Keys

Otra acción común es la edición de Keys. Esto tiene como objetivo por ejemplo añadir una identidad nueva a nuestras claves, modificar la expiración, modificar la contraseña de paso… es decir administrar nuestras keys. Para ello tan solo se requierer el comando “gpg –edit-key [CLAVE]” donde “clave” es cualquier identificativo de la Key que deseamos modificar. Por ejemplo podríamos poner el ID de nuestra clave, el correo electrónico, el nomre o apelllidos… cualquier dato es suficiente:

C:\Users\Theliel\Desktop>gpg –edit-key almaos
“almaos” es reconocido por almaoscura.com, que es una key presente

Clave secreta disponible.
especifica que la key a editar disponemos la clave privada

pub 2048R/F86191C9 creado: 2010-03-01 caduca: nunca uso: SC
confianza: absoluta validez: absoluta
sub 2048R/342B5359 creado: 2010-03-01 caduca: nunca uso: E
[ absoluta ] (1). Alma Oscura (lección de gpg) <theliel@almaoscura.com>

Orden> showpref
showpref muestra el orden de preferencias de los algoritmos criptográficos
para simétrico se usará AES256, para Hash SHA256, para compresión ZLIB

[ absoluta ] (1). Alma Oscura (lección de gpg) <theliel@almaoscura.com>
Cifrado: AES256, AES192, AES, CAST5, 3DES, IDEA
Resumen: SHA256, SHA1, SHA384, SHA512, SHA224
Compresión: ZLIB, BZIP2, ZIP, Sin comprimir
Características: MDC, Sevidor de claves no-modificar

Orden>

Con “help” tendremos una lista extensa de todas las posibilidades. Lo más común es la gestión de los identificadores, cambio de contraseña de paso..

 

-Encriptación/Desencriptación:

Como herramientas criptográficas, gpg puede usarse perfectamente para cifrar cualquier archivo o contenido con cifrado simétrico o asimétrico. Hacerlo es simple:

Cifrado simétrico usando AES256: “gpg -c –cipher-alg AES256 -o test_cifrado.txt test.txt”
-c especifica cifrado simétrico, –cipher-alg el algoritmo de cifrado simétrico, -o el archivo de salida, “test.txt” el archivo origen. Nos solicitará una contraseña y nada más

Cifrado asimétrico usando la key pública de AlmaOscura: “gpg -er almaosc –armor -o test_cifrado_a.txt test.txt”
-er especifica encriptación para un destino concreto (con lo que tenemos que tener su clave pública), -armor fuerza la salida en BASE64

Descifrar cualquier contenido: “gpg -d -o test_d test_cifrado.txt”
automáticamente la pantalla nos dirá como se ha cifrado. Si es cifrado simétrico necesitamos la clave, si es asimetrico tener la clave privada y la contraseña de paso:

C:\Users\Theliel\Desktop>gpg -d -o test_d test_cifrado_a.txt

Necesita una frase contraseña para desbloquear la clave secreta
del usuario: “Alma Oscura (lección de gpg) <theliel@almaoscura.com>”
clave RSA de 2048 bits, ID 342B5359, creada el 2010-03-01(ID de clave primaria F86191C9)

gpg: cifrado con clave $s de $u bits, ID $s, creada el $s
“Alma Oscura (lección de gpg) <theliel@almaoscura.com>”

C:\Users\Theliel\Desktop>

 

-Envío o recepción de Keys a un repositorio

Para acabar, otra función igualmente importante es poder exportar nuestras claves públicas para que todos puedan tener acceso a ellas. Una vez realizado, nuestras keys serán enviadas a uns ervidor público, y de este a otras réplicas a lo largo de todo el mundo, para aque así pueda cualquier persona del mundo poder enviarnos un mensaje cifrado o firmado hacia nosotros:

gpg –keyserver gpg.mit.edu –send-key theliel@almaoscura.com

Del mismo modo, si se especifica –recv-key en vez de enviar al servidor la key especificada, se obtiene de él la clave pública especificada, necesaria si deseamos cifrar un mensaje para dicha persona o enviar un correo seguro o…

Aunque existen muchas más posibilidades para GPG, enumerarlas una tras otra todas las opciones sería realmente poco práctico, dado que para ello está el manual de usuario de GPG, y aquí no pretendemos crear un manual de uso de GPG, sino comprender como funciona GPG y como poderlo usar, sobre todo en el siguiente punto, “Correo electrónico”

 

Correo Electrónico

Si TLS/SSL es la aplicación práctica predominante al uso de certificados digitales o firmas, el correo electrónico sería la segunda aplicación práctica más usada. La idea de cifrar y/o firmar el correo es lo más lógico. En todo momento hemos estado hablando de A envía un mensaje a B. En realidad el correo electrónico es esto a groso modo. Luego no es extraño que existan funciones más que extendidas para poder realizar este tipo de prácticas. Cuando hablamos de TLS/SSL dijimos que muchos proveedores de correo electrónico usan estos protocolos para evitar que un tercero pueda leer el correo. Esto es cierto, pero esto no significa que el correo en sí esté cifrado. Por ejemplo, si envío un correo sin cifrar por medio de gmail que usa para SMTP TLS, el correo se envía de forma cifrada desde el origen (mi ordenador) hasta el destino (el servidor de Gmail). Cualquier usuario que acceda al correo podrá leerlo. SSL/TLS no garantiza de modo alguno que el mensaje sea leído únicamente por el destinatario concreto, simplemente que el envío (o recepción en caso de IMAP o POP) se realiza de forma encriptada.

A día de hoy existe un estándar mayoritario, soportado por prácticamente todos los gestores de correo electrónico llamado S/MIME. S/MIME nos permite poder cifrar o firmar mensajes de correo electrónico si disponemos de un certificado para ello. Recordemos que no todos los certificados valen para todo, tendremos que tener un certificado que nos permita firmar y/o cifrar correo. En el caso concreto del DNI-e, nos permite por ejemplo tan solo firmar, dado que nuestro DNI-e no se le asocia ningún correo electrónico. En caso de los certificados CERES si que se le añade la opción de firmar o cifrar.

Para poder firmar un correo no se requiere nada en realidad, tan solo disponer de un certificado que permita la firma de correo y la clave privada de él evidentemente. En cambio para poder cifrar un mensaje lo que se requiere es la clave pública del destinatario, con lo que se depende de que este tenga o no tenga un certificado y que sea válido. Es una pena no obstante que el DNI-e expedido en españa no tenga la opción a la hora de expedirlo de asociarlo a un correo electrónico. Supongo que es solo cuestión de tiempo que esto se permita.

Del mismo modo que podemos usar S/MIME para firmar o cifrar mensajes por medio de certificados, dependiendo de la versión que tengamos de GPG podremos hacer lo mismo o necesitaremos tener instalado en nuestro gestor de correo alguna aplicación (addon) para hacerlo, es el caso de EnigMail para Thunderbird. Su funcionalidad es prácticamente la misma a la de S/MIME, lo que sucede es que en este caso no se trabajará con certificados, sino con el administrador de claves de GPG.

Vamos a ver algunos ejemplos de cifrado y firma a través de S/MIMI y a través de EnigMail. No hay que decir que es posible tan solo firmar, firmar y encriptar o tan solo encriptar.

 

-S/MIME

Usando Thunderbird, es muy fácil configurarlo para que por defecto se firme todos los correos redactados por una cuenta concreta. Tan solo es necesario especificar el certificado que será usado por dicha cuenta:

Una vez se han especificado los certificados a usar, tan solo es necesario redactar el correo deseado y en S/MIME seleccionar firmar. El mensaje se enviará sin problema alguno. La firma no deja de ser un archivo adjunto. Dependiendo de como sea abierto el correo, este nos verificará o no la firma adjunta. Por ejemplo, si el correo se abre con gmail, este tan solo verá que existe un archivo adjunto, si se abre con Thunderbird, directamente intentará verificar la firma del origen, con lo que el equipo deberá de tener los certificados pertinentes. Si es un mensaje tan solo firmado, la extensión será P7S, y P7M si el mensaje está cifrado o cifrado y firmado, siendo el adjunto en este caso el cuerpo del mensaje o cualquier adjunto que también contenga.

Si vemos el mensaje desde el punto de vista de gmail, tendremos algo así:

En cambio, de cara a un gestor de correo, lo que tendríamos sería algo así (No es el mismo correo):

En este caso, se puede ver en la esquina superior izquierda dos iconos. El primero significa que existe una firma, pero no se ha podido verificar. El segundo que el mensaje está cifrado. En pantalla, el texto “probando probando” es mostrado automáticamente ya desencriptado. ¿Por qué existe un error en la firma en este caso? Porque fue firmado por un remitente (correo electrónico) que no coincide con el correo electrónico especificado en el mismo certificado. Esto sucede si por ejemplo firmamos un correo enviado por otra cuenta con el certificado que poseemos pero que en dicho certificado lo creamos para otro correo. En cambio, el cifrado es válido, dado que para cifrar tan solo se requiere el certificado, la clave pública del destinatario, claro que tan solo el destinatario, que posee la clave privada, puede desencriptarlo.

Las claves privadas de los certificados almacenados en el propio sistema no suelen estar protegidas por una clave de paso, en cambio los certificados almacenados en una Smart Card como el propio DNI-e suelen estar protegidos por un PIN que es necesario introducir correctamente para tener acceso a nuestra clave privada.

Debería ser posible desencriptar cualquier archivo p7m directamente con OpenSSL especificando la key:

“openssl smime -decrypt -in smime.p7m -recip my.pem”

Siendo my.pem el certificado con la clave privada exportado y smime.p7m el mensaje cifrado/firmado

 

-GPG

El procedimiento en realidad es exactamente igual que el visto para S/MIME. Lo primero es asociar nuestras claves a la cuenta que desamos, al igual que se hizo para asociar a una cuenta los certificados correspondientes:

Y la recepción o envío de este tipo de correos es exactamente igual que con un certificado. Al firmar el correo lo normal será introducir la clave de paso para desproteger la clave privada y con ella poder realizar la firma:

A diferencia de S/MIME, PGP/MIME no cifra los mensajes o los firma adjuntando al correo el mensaje cifrado, sino que directamente suele cifrar el mensaje. Si nuestro gestor de correos reconoce que está firmado y/o cifrado por OpenPGP, nos mostrará el mensaje o nos dará un error de apertura, no obstante si no reconoce el formato o es abierto desde cualquier gestor online, lo normal es encontrar como es ya costumbre el mensaje y/o contenido en BASE64. Para el mensaja enterior sería:

—–BEGIN PGP MESSAGE—–
Version: GnuPG v1.4.10 (MingW32)

hQIMA0n/

fXfs2GxwARAAyJCLgdeCtg8f53jwWPSc+MZuJ15Kw/9dUEacIP79+WZl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=wSZC
—–END PGP MESSAGE—–

En realidad, ese mismo “texto” podría ser procesado directamente por GPG por linea de comandos para desencriptar y verificar la firma. Si copiamos dicho texto a un documento txt por ejemplo y procesamos gpg de la siguiente forma:

C:\Users\Theliel\Desktop>gpg -d 1.txt

Necesita una frase contraseña para desbloquear la clave secreta
del usuario: “Pepito Grillo <theliel@almaoscura.com>”
clave RSA de 4096 bits, ID XXXXXXXX, creada el 2008-07-16(ID de clave primaria XXXXXXX)

gpg: cifrado con clave $s de $u bits, ID $s, creada el $s
“Pepito Grillo <theliel@almaoscura.com>”

Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

prueba

gpg: Firmado el 03/02/10 15:10:00 usando clave RSA ID XXXXXXXX
gpg: Firma correcta de “Pepito Grillo <theliel@almaoscura.com>”
gpg: alias “Pepito Grillo <theliel@almaoscura.com>”

 

Y efectivamente, “Prueba” era el texto del mensaje. Del mismo modo, al desencriptar el mensaje, se puede verificar que este estaba también firmado, y que la firma es válida. Esto quiere decir que el uso de PGP/MIME en realidad no es más que una interfaz sencilla para poder encriptar y cifrar el contenido que sea necesario.

 

Gracias tanto a PGP/MIME o S/MIME es simple y eficaz poder firmar o enviar archivos cifrados. Aunque es cierto que no es una práctica muy común el hacerlo, sí que es una práctica completamente recomendada si se desea evitar el eMail Spoofing o ataques para interceptar el contenido de los correos. En el tema de Sniffing, veremos la importancia de esto, tanto de usar TLS/SSL como el cifrado o firma de mensajes. Lo que puede parecer desde un punto de vista doméstico algo sin importancia, si que la tiene si los usuarios supiesen en realidad los peligros que entraña Internet simplemente por el desconocimiento de las propias tecnologías.

 

Firmas

Para acabar con las aplicaciones prácticas (aunque no son ni mucho menos las únicas), vamos a hablar del firmado de aplicaciones. En realidad, no es más que una extensión a la firma que ya hemos visto en los correos electrónicos o las firmas usadas por GPG para archivos. Lo cierto es que cada vez más programas permiten la firma de los documentos. Con la llegada del DNI-e, del cual hablaremos un poco al final de este capítulo, muchos trámites burocráticos son posibles hacerlo simplemente con el DNI-e. Esto es debido a la posibilidad que tenemos de firmar documentos ya no solo con nuestra firma manuscrita, sino también a los certificados digitales de firma que nuestro DNI-e posee.

Con el tiempo, veremos cada vez más programas que permiten el firmado de documentos. El correo electrónico tan solo es una de esas aplicaciones, pero no la única. Vamos a ver por ejemplo lo sencillo que podría ser dar validez legal a un documento Word o PDF. Y digo validez legal porque si realizamos una firma con nuestro DNI-e, es igual como hemos dicho como si firmamos con nuestra firma manuscrita cualquier documento. Recordar el término de “No Repudio”.

Para documentos PDF tan solo se debe acudir a la función “Firmar” y selccionar el tipo de firma, si queremos que sea incrustrada o simplemente certificar el documento. En Office, esto se hace de forma análoga a través del menú: “Colocar Firma”. En un caso o en el otro, en el momento que se accede al formulario de firma se nos mostrará la lista de certificados disponibles para ello, si tenemos el DNI-E en su lector podremos acceder a nusetros certificados de él. En caso de ser un certificado instalado en el sistema podremos seleccionarlo igualmente:

En el desplegable tan solo tendremos que seleccionar el certificado que deseamos utilizar, en este caso he optado por el certificado de Firma de mi DNI-e. Por seguridad, el software del DNI-e pide una segunda confirmación cada vez que el certificado de firma va a utilizarse, especificando la peligrosidad de ello. Peligrosidad que es exactamente la misma que puede tener nuestra firma en un papel. Nadie firmaría un papel sin leerlo. Esto es exactamente igual. En Acrobat, al terminar el proceso se colocará de forma visible (o no) nuestra firma, exactamente igual que en Word o en la mayoría de los programas que permitan realizar firmas.

 

 

DNI Electrónico

Para acabar vamos a dedicarle algunas palabras al DNI-e, expedido aquí en esta España nuestra, que empezó hace ya unos años a imponerse. Se ha hablado mucho del DNI-e y de todas las supuestas maravillas que es posible hacer con él. Del mismo modo no han sido pocos los que lo han criticado. ¿Qué hay de verdad en todo ello?

El DNI-e es una iniciativa pionera y hay que verla como tal. Ello implica que no podemos esperar que todas las maravillas que promete puedan ser visibles en el poco tiempo que lleva en funcionamiento. Si bien es cierto que el sistema de funcionamiento del DNI-e no es más que un par de certificados para validar nuestra identidad, no es facil de un día a otro tener toda la infraestructura necesaria para que estos certificados sean realmente útiles de cara a la burocracia.

La idea principal del DNI-e es sin duda el poder realizar cualquier trámite con la administración de forma remota. A fin de cuenta la necesidad de personalización física en una entidad o administración es para garantizar la identidad de dicha persona. En cambio, lo cierto es que para el 99% de todos los trámites no sería necesario movernos de la pantalla de nuestro ordenador si existiese una forma que garantice nuestra identidad. Y ese es el Alma del DNI-e. Es por ello por el que se incluyen dos certificados, uno para autentificación y otro para firma, que son los dos tipos de certificados que podríamos necesitar a la hora de hacer cualquier gestión a través de internet.

El problema es que las instituciones, administraciones y otros tienen que adaptarse a este nuevo modelo. A esto surge otro problema, que cada cual usa el sistema que más le place. Esto se refleja en problema con los navegadores a fin de cuentas. Todos estas gestiones son posibles gracias a conexiones TLS mutuamente autentificadas y, en caso de ser necesario, la firma de algún documento del que se requiera validez legal. Luego un peso importante recae en los navegadores, en los protocolos TLS/HTTPS… en como esas comunicaciones son realizadas. Al no existir un consenso de como realizar las comprobaciones, de si es mejor usar JAVA o si es mejor usar PHP, o si es mejor usar… provoca lo que son las mayores quejas de todo el sistema: “Me funciona con IE, pero no con Firefox” “Me funciona con Firefox, pero no con IE”, “A la tercera que intento funciona, pero las otras dos veces nada…”. Esto son errores comunes para cualquiera que haya intentado realizar trámites por el DNI-e.

No obstante, con el paso de los días, cada vez son más las instituciones que quedan recogidas para hacer uso del DNI-e. Es solo cuestión de tiempo que prácticamente todas las gestiones burocráticas sean posible realizarlas sin movernos del asiento, simplemente identificándonos ante la administración con nuestros certificados. Actualmente es posible realizar gestiones como el acceso a la banca electrónica, permiso por puntos, matrículas de la universidad, certificaciones estatales, becas, oposiciones, SAS, vida laboral…

 

El DNI-e no es más que una Smart Card de las que hemos estado hablando, una tarjeta de plástico con un microprocesador criptográfico, similar en parte a lo dijimos quera un módulo TPM. Dicho procesador criptográfico posee funciones para generar números aleatorios, generar claves RSA por sí mismo, generar Hash, almacenar certificados, realizar cifrado Triple DES… las especificaciones completas pueden encontrarse en la web del DNI-e, tan solo hay que conocer que dicho procesador criptográfico es un ST19wl34

Básicamente es una tarjeta de memoria que costa de tres zonas independientes: 6KB RAM, 224KB ROM, 34KB FLASH. Lo que sucede que cada una de dichas zonas de memoria está protegida por un Firewall interno con reglas de acceso a cada una de ellas, y además cada zona de memoria puede particionarse. Es decir, se pueden crear “reglas” en el firewall interno de modo que tan solo ante ciertas operaciones y ciertas validaciones, se permita el acceso a ciertas particiones de la zona de memoria que sea. De las tres zonas de memoria podemos inferior que en los 224KB destinados a la ROM se encuentra el “sistema operativo” del DNIe, llamado amigablemente DNIe v1.1. En los 34KB de la memoria flash se encontrarían los datos de nuestra propia tarjeta, es decir nombre, apellidos, dni, certificados, claves… y evidentemente la memoria RAM para las operaciones en activa que pueda necesitar.

Evidentemente la memoria flash está particionada en diferentes regiones de seguridad. Tan solo podemos hacer una idea de como es ello en relación a los datos aportados por la propia administración:

ZONA PÚBLICA: Accesible en lectura sin restricciones, contenido:

  • Certificado CA intermedia emisora.
  • Claves Diffie-Hellman.
  • Certificado x509 de componente.

ZONA PRIVADA: Accesible en lectura por el ciudadano, mediante la utilización de la Clave Personal de Acceso o PIN, conteniendo:

  • Certificado de Firma (No Repudio).
  • Certificado de Autenticación (Digital Signature).

ZONA DE SEGURIDAD: Accesible en lectura por el ciudadano, en los Puntos de Actualización del DNIe.

  • Datos de filiación del ciudadano (los mismos que están en el soporte físico).
  • Imagen de la fotografía.
  • Imagen de la firma manuscrita.

DATOS CRIPTOGRÁFICOS: Claves de ciudadano

  • Clave RSA pública de autenticación (Digital Signature).
  • Clave RSA pública de no repudio(ContentCommitment).
  • Clave RSA privada de autenticación (Digital Signature).
  • Clave RSA privada de firma (ContentCommitment).
  • Patrón de impresión dactilar.
  • Clave Pública de root CA para certificados card-verificables.
  • Claves Diffie-Hellman.

DATOS DE GESTIÓN:

  • Traza de fabricación.
  • Número de serie del soporte.

De estos datos podemos imaginar que la flash está dividida en cuatro partes. Una de ella de acceso no restringido, donde se encontrarían el Certificado de la CA intermedia (no el certificado CA raiz), que sería en este caso “AC DNIE 003”, el certificado raiz CA recae sobre “AC RAIZ DNIE”. En la misma zona se encontrarían las claves DH. DH es un algoritmo usado para comenzar a intercambiar claves. Por último se encuentra el certificado x509 de componentes, que se refiere a algunos de nuestros datos, como lo es Nombre y apellidos, DNI o equipo de expedición.

La segunda zona de la memoria es usada para almacenar los dos certificados que posee, el certificado de firma y el de autentificación, que aunque los dos pueden ser usados para firmar, tan solo el de firma tiene habilitada la función de “No repudio”, la cual ya hemos hablado de ella, lo cual hace que una firma digital con él tenga el mismo valor que un documento firmado manuscrito.

En la zona de seguridad tan solo se encontrarían los datos expuestos, los datos de la persona física, imagen de la fotografía, la firma.

Quedaría por pensar donde se encuentran alojados los datos criptográficos. Por su seguridad, podríamos pensar que se encontrarían en una zona especial del mismo procesador criptográfico, pero esto no es así. Luego podemos pensar que se encuentran en una zona de memoria Flash, la cual tiene unas reglas de acceso muy limitadas. Por ejemplo, una zona de memoria marcada tan solo para lectura interna. Es decir, los datos almacenados en ella tan solo pueden ser leído por el mismo OS de la propia Smart Card, sin que existe posiblidad de lectura desde el exterior. Si nos damos cuenta, las tres zonas de memoria anteriormente especificadas pueden ser extraídas o modificadas desde el exterior. En cambio, estas zonas de memoria no. Tan solo existirá seguramente un protocolo configurado en el propios OS del DNIe para generar, borrar, crear, eliminar nuevas claves, pero nunca para extraerlas.En esta zona especial se encontraría la información más sensible, comenzando por las claves privadas de los propios certificados.

El resto del hardware del DNI-e son algunos módulos aceleradores para las operaciones criptográficas y una memoria ROM que incluyen librerías y software ya creado por ST para ser usado por el OS introducido en la ROM de usuario. Posee a parte algún generador de números aleatorios y el resto es prácticamente electrónica pura y dura.

Visto así, es más fácil comprender que es en realidad el chip de nuestro DNIe, que no es algo tan raro o tan complicado de comprender. Por supuesto, esto tan solo es todo especulativo, dado que tan solo podemos imaginar en función de los datos que han sido publicados. Quizás sería posible desgranar un poco más el DNIe y ver realmente como está diseñado, los comandos APDU de acceso… pero requeriría paciencia y tiempo, y tampoco este capítulo trata sobre ello, tan solo un repaso general de lo que es el DNIe y de como funciona.

 

Para terminar todo este capítulo, recordar que la tecnología está para usarse. Un sistema usado responsablemente y sabiendo de que se trata, otorga un índice de seguridad muy muy alto. No implica que tengamos que ser neuróticos en cuanto a seguridad se refiere, pero como veremos en otros temas como el Sniffing, Spoofing… nunca puedes fiarte de quien pueda estar al otro lado, y mucho menos de las intenciones que puede tener. A quien esto le parezca desmesurado, que se comience a preguntar por qué hay tantos problemas de seguridad a día de hoy.

Seguridad: Encriptación y Autentificación. Capítulo Tercero -> Certificados y Firmas Digitales

ATENCION: Los ejemplos que se van a mostrar y “tutoriales” tan solo tienen carácter educativo. En ningún aspecto comparto filosofías de invasión a la intimidad, ataques contra un sistema informático o cuestiones similares. En la medida que sea posible siempre se usarán ejemplos y formas que puedan ser usados por cualquier persona, de forma que pueda verificar los contenidos escritos. No obstante, por motivos más que obvios, materiales como contraseñas, nombres de usuarios o de hosts, serán omitidos o modificado en las capturas de pantallas realizadas (o las lineas escritas). Es decir, los ejemplos serán completamente reales, los datos mostrados a vosotros necesarios para poder pertrechar estos ejemplos no siempre lo serán (Sí lo serán los resultados). Para que esto conste de forma clara, todo material sensible modificado o falso estará resaltado en ROJO. Por motivos de seguridad, todo el material que sea expuesto aquí (exceptuando software propietario o libre, citaciones expresas o código de terceros) tanto texto, imágenes y código son propiedad del autor y está completamente prohibido su reproducción completa o parcial en otros lugares, espero que se comprenda.

 

Certificados y Firmas Digitales

El cifrado de datos es un mecanismo que garantiza que nuestros datos, aun cuando puedan ser interceptados por otros, permanecerán seguros. Por otro lado, los Hash nos dan un mecanismo para poder garantizar la integridad de un mensaje. Fue hace ya tiempo cuando se pensó en una aplicación práctica sencilla de estas dos tecnologías, y comenzó a hablar de Certificados digitales. Pronto fue igualmente necesario el concepto de firma digital, un sistema de autentificar algo.

Una tecnología se crea fundamentalmente pensando en algo. Así, el fundamento del cifrado de datos es simple, que cuando un mensaje sea interceptado no pueda ser leído o comprendido por una tercera persona a la cual no está destinado. Pero esto no impide que el mensaje pueda ser modificado, deteriorado, falseado… Imaginar una carta postal que se escribe con “tinta invisible”. Alguien que la intercepte quizás no pueda leer el contenido real de esta, pero puede coger otra carta, rellenarla con la información que desee y enviarla de nuevo al destino de esta. La pregunta es ¿Como podrá el destino saber si dicha carta ha sido modificada? En el caso de la carta quizás con un sello, una firma… aquí el concepto será el mismo, y podríamos decir que el fundamento de un Hash criptográfico es precisamente la integridad.

A raíz de la necesidad tanto de proteger el contenido de los datos en las comunicaciones, como de autentificar el emisor y el destino, como garantizar la integridad del mensaje, se creó el concepto de “Infraestructura de Clave Pública” (PKI). Este concepto no es más que la aplicación práctica en las comunicaciones de los conceptos que hemos visto anteriormente (y alguno más que veremos en este capítulo): Hash, Cifrado Simétrico y Cifrado Asimétrico.

En este capítulo vamos a intentar comprender básicamente cada uno de los elementos que constituye una infraestructura de clave pública (PKI), y veremos como cada siguiente elemento se hace necesario para el correcto funcionamiento de todo el sistema:

  • Infraestructura básica
  • Certificado: Necesidad de asociación usuario/empresa – Claves
  • Firma: Necesidad de autentificación de todas las partes e integridad


Infraestructura básica

Vamos a intentar aplicar todos los conceptos explicados a un entorno real que deseamos que sea completamente seguro. Para hacer esto tenemos que tener una serie de consideraciones, tendremos que crear una infraestructura en la cual podamos aplicar y hacer viable nuestras necesidades. Hemos dicho que el objetivo será triple a la hora de desear crear un canal de comunicación seguro entre dos partes: El cifrado, la autentificación y la integridad. Empezemos por lo tanto por la primera de las partes, el cifrado.

Lo primero que deseamos es que nuestros datos sean interceptados o no por una tercera persona, esta no pueda acceder a ellos. Hemos dicho que para ello disponemos de dos sistemas muy buenos, el cifrado simétrico y el cifrado asimétrico. Cada uno de ellos tiene ventajas e inconvenientes. ¿Cual es más factible de usar? En principio vamos a pensar que el cifrado asimétrico por una razón muy simple: Además de ser más seguro tan solo requiere de un par de claves (publica y privada) para el número que sea de canales de comunicación a entablar. Realizar esto por medio de un cifrado simétrico sería muy costodo en cuanto a infraestructura, dado que ¿Como crearías una base de datos en la cual se pudiese almacenar cada usuario un número sin fin de keys asociada cada una de ellas a un usuario o entidad diferente? Sería impensable. En cambio mediante el cifrado por clave pública esto podría simplificarse, dado que tan solo es necesario hacer pública una sola key para todos los canales de comunicación posibles, no una para cada canal. En realidad el sistema actual usado es híbrido, pero esto se verá más adelante, para nosotros simplemente decir que se opta de momento por el cifrado asimétrico, en nuestro caso RSA.

Una vez definida la necesidad de un sistema de clave pública y las ventajas que esta nos aporta, aparece el primer problema: Distribución. Hemos explicado que el sistema de cifrado asimétrico es muy eficiente e increíblemente versátil, lo que encripta una key privada lo desencripta la pública, lo que encripta la pública lo desencripta la privada. De ahí la necesidad de que la clave pública sea exactamente eso: Pública. ¿Pero como podemos hacer que cualquier usuario del planeta pueda tener acceso a dicha Key? Aquí es donde comienza a crearse la verdadera PKI, de la necesidad de ir solventando los por menores del camino. La única forma de que cualquier usuario conozca nuestra key pública es disponer de bases de datos en las que se encuentren almacenadas las claves públicas de todos los usuarios. A esto se le conoce como repositorios de claves públicas. Ahora, cualquier usuario puede enviar su clave pública asociada a un correo electrónico, nombre, apellidos… Pero de forma pareja aparece la necesidad de algún control sobre dichas bases de datos. ¿Que sucede si una key ha sido comprometida o ya no es válida? Es necesario por tanto otro Repositorio , en este caso un Repositorio de Revocación de claves públicas. Con estos dos sistemas podríamos garantizar el funcionamiento correcto del cifrado de datos entre dos usuarios. Estos repositorios existen a día de hoy, la mayoría de ellos se encuentran sincronizados con los otros para que todos tengan los mismos datos. Por ejemplo podemos visitar uno de ellos:

Repositorio de Claves Publicas del MIT

En dicho repositorio podemos buscar cualquier cadena de texto, ya sea nombre, apellidos, correo electrónico o ID de la clave:

 

Type bits/keyID     Date       User ID

pub  4096R/B9A35B9C 2009-12-02 Carmen Mendes <cmendes@transnumeric.com>

pub  2048R/F4D68EB5 2009-11-07 María del Carmen Rodríguez Sardiña <mariadelcarmen@gens-osorio.es>

pub  1024D/9BC23DEF 2009-10-15 carmenalves (ola) <carmen.alves.05@formando.gti.pt>
...

Por supuesto si continuamos el link de la KeyID nos topamos directamente con la clave pública de Carmen:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: SKS 1.1.0
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==
=PqHr
-----END PGP PUBLIC KEY BLOCK-----

Ana desea enviar un mensaje cifrado a Carmen:

a) Ana accede a un Repositorio de Claves pública para obtener la Clave pública de Carmen, para ello busca en la base de datos por “Carmen”. Es posible que haya más de una (puesto que alguna puede estar revocada)
b) Ana con la clave en su poder verifica que esta key no se encuentre en la lista de Revocación. Dado que no está, considera que la key está en uso y es válida.
c) Ana encripta el mensaje con la clave pública de Carmen y le envía el mensaje
d) Carmen desencripta el mensaje con su clave privada.

De este modo Ana puede enviar un mensaje cifrado a cualquier usuario del mundo que esté usando un sistema de clave publica, sin necesidad siquiera que el emisor use dicho sistema, y con la garantía de que dicho mensaje tan solo podrá ser desencriptado por el poseedor de la key privada pareja a la key pública del repositorio. Este sistema logra el objetivo del cifrado de datos. ¿Pero que sucede ahora con la autenficicación?

En el ejemplo expuesto, Ana no puede asegurar de ninguna forma que la clave pública obtenida del repositorio accedido proceda de “Carmen”. Sí, es posible incluso que en dicho repositorio quedase indicado nombre, apellidos, dirección, DNI… pero dado que son repositorios a los que todos tienen acceso, cualquiera podría introducir datos falsos en ellos. Por ejemplo, podría crear una key publica/privada a nombre de otra persona, de esta forma cuando alguien quisiese enviarle a dicha persona un mensaje, lo encriptaría con mi pública. Aquí es donde nace la necesidad de autentificación, de algún sistema por el cual Ana pueda estar convencida que la clave pública obtenida pertenezca a Carmen. Para esto se opta por dos sistemas diferentes, aunque ambos se basan en la misma premisa: Cadena de confianza.

Imaginar que de algún modo se pudiese dar un punto positivo a una clave pública, de forma que cuantos más puntos positivos tenga una Key pública de un repositorio indicase a terceras personas que dicha key es válida. Así por ejemplo yo podría dar un punto positivo a la clave púplica de mis hermanos, puesto se fehacientemente cual es la que pertenece a cada uno de ellos. De este modo, si una tercera persona desease enviarme un mensaje cifrado a mí, se fiaría en caso de duda más de aquella clave pública que tenga más puntos positivos de personas diferentes. Ahora imaginemos que Ana desea enviar un mensaje cifrado al mismísimo Linus Torvalds (El cual espero no le importe que use su nombre para estos ejemplos) para consultarle un bug crítico en el kernel de linux. Lo primero que haría sería acceder al repositorio y buscar por “Linus Torvalds”, dado que ni siquiera conoce su correo electrónico. El repositorio le devolvería lo siguiente:

Type bits/keyID     Date       User ID

pub  1024D/825D2E82 2008-09-03 Linus Torvalds (Teste) <linus@linux.org>

pub  1024D/D080B7A0 2008-07-26 *** KEY REVOKED *** [not verified]
                               Big Gay Al (kay) <letsseesomelove@love.com>
                               REVOKED KEY (u suck) <FUNBO@T>
                               Linus Torvalds (revoke revoke revoke) <werfsdfasdf@fakefakefake.com>

pub  1024D/006D1B6D 2005-11-11 *** KEY REVOKED *** [not verified]
                               Danilo G. Magrini <danilo.magrini@gmail.com>
                               Danilo G. Magrini <danilomagrini@uol.com.br>
                               Danilo G. Magrini <danilo@onclicksistemas.com.br>
                               Danilo Gustavo Magrini (Linus Torvalds) <danilomagrini@uol.com.br>

pub  1024D/8BC6EDEF 2005-11-10 Danilo Gustavo Magrini (Linus Torvalds) <magrini_sp@superig.com.br>

pub  1024D/76E21CBB 2005-04-23 Linus Torvalds (tag signing key) <torvalds@osdl.org>

pub  1024D/CE904A82 1999-11-21 Linus Torvalds <vnixroot@netscape.com>

pub  1024D/449FA3AB 1999-10-05 Linus Torvalds <torvalds@transmeta.com>

pub  1024R/A86B35C5 1996-06-08 Linus Torvalds <Linus.Torvalds@Helsinki.FI>

 

Ana es una chica lista, pero según el repositorio existen 8 posibles claves públicas supuestamente todas correspondientes al bueno de Linus. Sin dificultad Ana descartaría de forma automática las que están marcadas como Revocadas, lo que deja el listado con 6. La primera se podría descartar dado que aunque el correo podría ser legítimo, pone (Test)… podemos imaginar que fue creados con fines de testeo, además, la fecha de la clave es relativamente nueva. La cuarta la excluimos porque el nombre ni siquiera pertenece al de Linus. De este modo tan solo nos quedarían como posibles las 4 últimas. la quinta no obstante puede leerse como (tag signing key) que podríamos suponer que se trata de una clave tan solo para firmas (esto se verás más adelante), así que de momento la descartamos también. Las otras tres restantes podría parecer legítimas a simple vista. Como Ana quiere asegurarse, quiere ver lo que hemos llamado como “votos positivos” de ellas. Si accedemos a la sexta obtenemos la siguiente información:

pub  1024D/CE904A82 1999-11-21            

uid Linus Torvalds <vnixroot@netscape.com>
sig  sig   CE904A82 1999-11-21 __________ __________ [selfsig]
sig  sig   8061A830 2005-05-30 __________ __________ Dan Mundy <harob02@earthlink.net>

sub  2048g/1EEE5A92 1999-11-21
sig sbind  CE904A82 1999-11-21 __________ __________ []

Los votos positivos que hemos nombrado en realidad son firmas, dado que aun no hemos hablado de ellas tan solo imaginamos que son algo así como voto de confiabilidad. En este caso vemos que tan solo posee una firma creada por él mismo “selfsig” y otra firma (voto) creado por un tal Dan Mundy. Ana, que no es tonta, imagina que una persona como Linus, de tener una clave pública en estos repositorios tendrá seguro bastantes votos de confiabilidad. Luego la rechaza.

Esto deja a Ana con dos opciones, las dos últimas. Ana conoce un poco la vida de Linus y le suena que trabajó o tubo relación con trasmeta.com, luego parece un buen punto de partida. No obstante sabe también que Linus es finlandés, nacido en Helsinki, lo que quiere decir que las dos claves que aparecen podrían ser completamente legítimas. Y en este caso las dos pertenecen a él. No obstante, si nos adentramos en la última de ellas, generada nada más y nada menos que en 1996!!, esto es lo que obtenemos:

pub  1024R/A86B35C5 1996-06-08 __________ 

uid Linus Torvalds <Linus.Torvalds@Helsinki.FI>
sig  sig   A86B35C5 1996-06-08 __________ __________ [selfsig]
sig  sig   2A960705 1997-04-24 __________ __________ H. Peter Anvin <hpa@zytor.com>
sig  sig   29BC0185 1998-01-24 __________ __________ george a. r. hill <9x>
sig  sig   0C00E6AD 1998-08-21 __________ __________ Alexander Smith <Sabin84@usa.net>
sig  sig   CCBEA8D2 1998-09-02 __________ __________ Kenyon Ralph <kenyon@san.rr.com>
sig  sig   ACF5A545 1998-12-17 __________ __________ H. Peter Anvin <hpa@zytor.com>
sig  sig   A4679654 1999-01-30 __________ __________ Drizuid <drizuid@drizuid.net>
sig  sig   F0C36E09 1999-01-30 __________ __________ Drizuid <dark-druid@geocities.com>
sig  sig   29B0C351 1999-06-18 __________ __________ Jens S�lwald <j.suelwald@gmx.de>
sig  sig   FEEFE90B 1999-09-15 __________ __________ []
sig revok  FEEFE90B 1999-09-15 __________ __________ []
sig  sig   6470AB26 2000-03-02 __________ __________ Cedric Blancher <cblancher@cmc.fr>
sig  sig   A4C70528 2000-03-15 __________ __________ Alexander Smith <sentinel@freshshell.de>
sig  sig   A24D8B4E 2000-08-10 __________ __________ C�dric Blancher <cblancher@startem.net>
sig  sig   24901EE8 2001-05-31 __________ __________ Simon A Soanes <simon@nullifynetwork.com>
sig  sig   9CD30D3D 2001-10-09 __________ __________ ZC Wong <zcwong@hotmail.com>
sig  sig   01B45CE2 2001-10-09 __________ __________ ZC Wong <zcwong@hotmail.com>
sig  sig   D925418D 2004-04-18 __________ __________ Kevin W. Peters (Guitarman) <guitarman@ntdf.com>
sig  sig   6422D07C 2004-05-23 __________ __________ Fabian Foerster (Root CA) <fabian_foerster@web.de>
sig  sig   0C877B34 2004-05-23 __________ __________ The Root Networks (Root CA) <root-networks@web.de>
sig  sig   FA81F1E6 2004-06-14 __________ __________ Thomas Shea <lrmm@comcast.net>
sig  sig   AAE6022E 2004-12-28 __________ __________ Karlheinz Geyer (RBOS) <karlheinz.geyer@lhsystems.com>
sig  sig   4D34B354 2004-12-28 __________ __________ Karlheinz Geyer (DKB) <karlheinz.geyer@lhsystems.com>
sig  sig   8061A830 2005-05-30 __________ __________ Dan Mundy <harob02@earthlink.net>
sig  sig3  099A79AC 2005-07-12 __________ __________ Konstantin Vinakovsky <kvinakovsky@earthcam.com>
sig revok  AAE6022E 2005-07-28 __________ __________ Karlheinz Geyer (RBOS) <karlheinz.geyer@lhsystems.com>
sig revok  4D34B354 2005-07-28 __________ __________ Karlheinz Geyer (DKB) <karlheinz.geyer@lhsystems.com>
sig  sig   6BEEAF8D 2008-08-02 __________ __________ Kristoffer Warming <heavyhenning@gmail.com>

 

Ana comprende que efectivamente no solo ese puede ser un correo válido de Linus, sino que también lo es su clave pública. Puede comprobar que tiene una serie de firmas en su clave que de un modo reafirman que dicha clave pertenece a él. Se puede observar que 3 de las firmas (votos) están igualmente revocados, pero aun así parece claro que esta es una clave válida y legítima. La última forma pertenece a 2008, lo que nos puede hacer pensar que la cuenta está aun en activo.

pub  1024D/76E21CBB 2005-04-23 Linus Torvalds (tag signing key) <torvalds@osdl.org>

Pertenece también a él, es un correo que es más que conocido por programadores y otros que frecuentan listas de correos del kernel de linux, lo que sucede es que aparentemente por ese nombre podemos deducir que Linus la usa tan solo para firmar, y no para encriptar (esto se verá como he dicho más adelante)

Llegados a este punto, Ana ha logrado dos objetivos. El primero cifrar los datos y el segundo asegurarse que dichos datos están cifrados efectivamente y tan solo para Linus Tolvards, gracias al anillo de confianza que generan estos votos (que no son sino firmas digitales). Pero aun le queda a Ana un problema. La integridad. Como puede estar Ana convencida que el mensaje que reciba Linus no haya sido modificado por un tercero. Ana desea que en el peor de los casos y que este haya sido modificado, Linus pueda conocer que este ha sido modificado, así pueda contactar de nuevo con Ana y solicitarle de nuevo el envío del mensaje legítimo.

Después de un rato de meditación, Ana recuerda la funcionalidad del Hash criptográfico. Ana no podrá garantizar nunca que el mensaje llegue sin modificación alguna, pero puede garantizar que de ser modificado Linus se percatará de ello. ¿Como? Ana recuerda que si aplica por ejemplo un Hash SHA-1 al mensaje cifrado y envia tanto el hash como el mensaje cifrado, Linus podría verificar si el hash especificado por Ana y si coincide con el Hash real del mensaje. Una tercera persona sino, podría interceptar el mensaje, crear un mensaje nuevo, cifrarlo con la key Pública de Linus y enviárselo en nombre de Ana. No obstante, según este esquema una tercera persona podría igualmente interceptarlo, y como conoce el Hash que ha usado Ana, tan solo tendría que redactar el mensaje, encriptarlo, calcularle el nuevo Hash y enviar los datos a Linus. Es aquí donde aparece la necesidad de la firma digital.

Ana ha comprendido las técnicas de los hackers que quieren modificar su mensaje cifrado (sin saber siquira que hay dentro de dicho mensaje) así que ha descubierto la solución definitiva. Ana, que también tiene usa sistemas de clave pública tiene su propia clave pública y privada:

a) Ana redacta el mensaje y lo encripta usando la clave pública de Linus
b) Ana calcula un Hash SHA-1 al mensaje encriptado y este mismo hash lo encripta con su clave privada (A esto se le llama firma digital)
c) Ana envía tanto el mensaje cifrado como la firma a Linus.
d) Linus accede al repositorio de claves públicas y busca la correspondiente a Ana y a dicha dirección de correo (del mismo modo que hizo Ana). Encuentra la que busca con muchos “votos” a su favor, y con la clave pública de Ana es capaz de desencriptar el hash de Ana. Linus calcula el Hash SHA-1 al mensaje cifrado y verifica que ambos valores coinciden!! Luego el mensaje ha conservado su integridad y tanto Ana como Linus han sido autentificados el uno al otro y establecido un canal seguro cifrado.

Si un tercero intentase de nuevo interceptar el mensaje de Ana, cualquier cambio que produjese en él destruiría el hash del mensaje, Linus al descifrar el Hash de Ana comprobaría que este no coincide con el Hash del mensaje, luego comprende que el mensaje ha sido comprometido y rechaza la comunicación. El atacante podria redactar un nuevo mensaje, cifrarlo, calcularle el hash y firmarlo (encriptarlo con su clave pública), pero entonces Linus sabría perfectamente que la clave pública necesaria para desecifrarlo no correspondería a la Ana!! Sino a la del atacante, con lo que jamás la aceptaría. Es aquí donde radica la importancia del círculo de seguridad, la necesidad de saber fehacientemente que una clave pública pertenece a quien dice pertenecer.

Este esquema PKI es básicamente lo que se lleva a cabo en los sistemas de clave pública PGP/GPG, pero ahora veremos las herramientas para el esquema SSL/TLS.

 

Certíficado Digital

Ahora sí es la primera vez que lo nombramos. Un certificado digital no es más que un documento, un archivo que identifica/asocia a un usuario con su clave pública. Cuando veíamos los repositorios de claves públicas y realizábamos una búsqueda, cada entrada tenía asociada un nombre, descripción, clave pública y firmas (los votos que hablábamos) de verificación de otras personas. Un certificado es lo mismo (con algunos matices).

El esquema PKI anterior (llamado Web of Trust) tiene el problema de la confianza, de la legitimidad. Es un buen paso hacia delante el firmar las claves ajenas para avalar su legitimidad, y está bien para trámites particulares, personales, encriptar archivos, correos a familias y amigos… pero si una organización mundial, un gobierno, un particular o una empresa quieren garantizar que dicha clave pública pertenece sin lugar a dudas a quien dice pertenecer, es necesario un sistema más fiable. Es aquí donde aparece la “Autoridad de Certificación” (CA). Se van a continuar firmando los certificados sí, pero no por cualquier persona o grupo de ellas. Un certificado Digital asocia una serie de datos personales a una clave pública, y será un tercero, llamado Autoridad de Certificación, quien garantice que esos datos corresponden a dicha clave pública. Visto de otro modo, se trata de eliminar todas las firmas y sustituirla tan solo por una, una entidad, empresa, gobierno… cuya firma tendrá mucho más valor que cualquier otra, dado que posiblemente se ha encargado previamente de verificar y asegurar que los datos son correctos.

Los CA de máximo nivel se les llama CA raíces o root. Existen CA que delegan autoridad a otros CA secundarios para permitirles otorgar y firmar otros certificados. Esto se debe a la cadena de confianza. Yo como máxima autoridad certifico a una empresa como CA secundaria de la cual tengo plena confianza, permitiéndole emitir y firmar certificados a ellos mismos. Si cualquiera quiere verificar un certificado emitido por un CA secundario o terciario, se realizará una verificación ascendente, primero al CA superior, el certificado de dicha CA se verificará por el CA por encima… hasta llegar al CA raíz, el cual emite él mismo su propio certificado.

Los CA son los que emiten los certificados, y al firmarlos les otorgan plena legitimidad dado que todos nos fiamos de ellos, dado que son la máxima autoridad de certificación. Podemos decir que los CA son también esas bases de datos de claves públicas/certificados de cada usuario. Pero el CA no es la única autoridad que existe. Por otro lado suele ser necesaria (no obligatoria) la presencia de la “Autoridad de Registro” (RA). El papel de un CA puede acabar aquí, y encargarse tan solo de la emisión y firmado. Muchas veces cuando se desea cotejar/verificar si un certificado es correcto, es el RA quien se encarga de verificar dicho certificado, siendo él el que conecta con el CA. Otra figura menos usada es la “Autoridad de Validación” (VA), la cual tendría un papel similar, verificar si el certificado es válido atendiendo a fechas de tiempo y otros datos. Aun así, como digo, lo normal es ir unificando las autoridades de verificación, y de paso las comunicaciones son más eficientes. Así el mismo CA actúa como RA y como VA. Hace unos años los CA raíces eran muy pocos, lo que hacía muy útil estas autoridades intermedias. Cada vez son más los CA raíces y los sistemas más eficientes, siendo innecesaria la presencia de otras autoridades intermedias. Muchos de los lectores conocerán el nombre de algunos de ellos, actualmente el listado de CA raíces debe de rondar las 90 entidades (sin contar con los CA estatales, como CA de países, aunque estos no suelen considerarse como “universales”. Entre ellos los más importante con diferencia son: VeriSign, Thawte, GoDaddy, GeoTrust, RSA Security Inc (la empresa)…

En los tiempos actuales, no es raro ver como gobiernos, grandes instituciones o multinacionales están considerados también como CA, lo que sucede es que normalmente estos CA no emiten certificados a cualquier persona. Por ejemplo, el gobierno español tiene al menos dos Autoridades de Certificación, la FNMT (certificados CERES) y La dirección General de Policía (Certificados para el DNI-e). Pero estas dos instituciones tan solo emiten certificados a los que tenemos nacionalidad española. Otro ejemplo de esto podría ser Intel o Microsoft. Ambos están considerados como CA raíz, pero no se dedican al negocio de los certificados digitales. Esto le permite a estas grandes multinacionales no depender de terceros, ahorrar costes y gestionar ellos mismos sus propios certificados, aunque evidentemente tan solo usan dichos certificados para ellos mismos, sus servidores, sus empleados quizás… por eso podemos dividir estos dos grandes grupos como aquellos CA comerciales y aquellos que no lo son.

Con esto, el esquema anterior PKI se modifica ligeramente y es el CA, el RA o el VA quien valida o garantiza la legitimidad del certificado.

Hay que destacar que no existen dos certificados, uno que sea público y otro que sea privado. El certificado es tan solo el vehículo de la clave pública. Es cierto que los certificados personales almacenados en el equipo se “guardan” con la clave privada junto a este, lo cual es completamente lógico, puesto que sin clave privada no podríamos firmar o desencriptar. En realidad esto no es del todo cierto, dado que las claves privadas de estos certificados suele estar guardadas en un anillo de seguridad del sistema/equipo. Esto no obstante ocasiona un problema de seguridad importante dado que si alguien se hace con la clave privada, el sistema quedaría completamente expuesto. Es por ello que cuando se requierer una seguridad avanzada, tanto certificados personales como las claves privadas, jamás serán almacenados en un equipo, sino en soportes extraíbles como un pendrive (en el peor de los casos) o una SmartCard (Tarjeta Inteligente) en el caso ideal, o incluso un dispositivo TPM. Esto quiere decir que nuestra clave privada residirá en nuestro DNI-e o tarjeta CERES o… protegida además por un PIN por si es extraviada o sustraída. Cuando se requiere su uso es necesario un lector de tarjetas y el software adecuado para tomar de esta la clave privada y el certificado.

El Certificado no solo indica el nombre y apellido de quien representa, sino que incluye información del CA que lo ha emitido, algoritmos de cifrado y hash que usa, fecha de revocación, validez, tipo de certifiado… toda esta información es necesaria. Por ejemplo el certificado de identificación o cifrado de un servidor no tiene nada que ver con un certificado de cliente que podamos usar nosotros, o el certificado raiz de un CA es diferente a los otros dos. Por otro lado no todos los certificados se emiten para todos los propósitos. Lo normal es emitir los certificados con ciertas características. Por ejemplo, si se desea usar un certificado para cifrar correo electrónico será necesario que el certificado especifique una dirección de correo, y este certificado quedará anclado a él. Otro buen ejemplo es un certificado con unas características concretas para el control de acceso de una empresa o para cifrar datos en un equipo. Así, nuestro DNI-e por ejemplo tiene dos funciones principales, autentificación y firma (hablaremos más detenidamente del DNI-e en otro capítulo).

Vamos a ver unos certificados de ejemplos: Un certificado de un servidor para SSL/TLS (Gmail), un certificado CA raíz (VeriSign) y un certificado personal para identificación SSL/TLS, firma y cifrado de correo que no de datos (Mi Certificado CERES):

Hay que decir que estos datos son totalmente públicos, cualquiera que acceda a gMail o descargue el certificado de gMail podrá verlo. Firefox divide el certificado en dos pestañas. La primera es un resumen sobre el emisor, a quien representa y si el certificado es válido para los propósitos marcados (en este caso el propósitos es para un servidor SSL). Recordar que cada vez que un certificado es usado, lo normal es verificarlo. ¿Cómo? Verificando la firma de la entidad firmante. Podemos ver en la primera pestaña que el emisor es Thawte (que es el CA de dicho certificado), que está a nombre de Google Inc para la web mail.google.com (gMail). Se puede ver también la fecha, que aunque no hemos hablado de ella es importante, ya que cuando se emite un certificado este suele tener un tiempo limitado. Tras el cual, el certificado pasa a ser revocado (anulado) y se emite otro (normalmente antes de que expire) con nuevas claves privadas y públicas, esto se hace por seguridad evidentemente.

La segunda pestaña desglosa completamente el contenido del Certificado. En caso de este certificado, Firefox nos muestra en la parte superior la jerarquía de CA que intervienen en dicho certificado, es decir la cadena de confianza. Así, el certificado de google para mail.googl.com es emitido por el CA “Thawte SGC CA”. Este CA no es un CA raíz, sino un CA secundario. El certificado de este CA a su vez es el que ha sido emitido por el CA raíz “Verisign Class 3 Pubblic…”. Por último se muestra la clave pública contenida en dicho certificado.

 

El primer certificado pertenece a un certificado raíz de VeriSign, el mismo que estaría arriba del todo del certificado de gMail para la web. En este caso el uso que se indica es el de “Status Responder Certificate”. Es decir, tan solo es usado prácticamente para atender a las peticiones OCSP que pueda recibir de sus CA secundarios, es decir… verificar si los certificados están o no revocados. En este caso no se considera un CA dado que el papel de verificación de CA lo realizará el CA que esté a su servicio. Este certificado raíz fue el que emitió/validó el certificado de “Thawate SGC CA”, y es este último quein actuó realmente como CA del certificado de mail.google.com. El certificado CA intermedio será por tanto realmente el que en su descripción de uso rece: “SSL Certificate Authority”, puesto que el certificado Raíz tan solo atiende a peticiones de revocaciones. Se puede observar que efectivamente es un certificado raíz dado que el emisor (Issued By) y el destino del certificado (Issued to) no se encuentran presente, es él mismo emisor y destino, está firmado por él mismo.Si vemos la fecha por otro lado de expiración, vemos un intervalo muy grande, un certificado ahora con más de 14 años de antiguedad, que usa un algoritmo de hash MD2, un hash ya muy antiguo.

Por último tenemos un certificado de CERES. He preferido poner este en vez del DNI-e porque este es más útil, tanto y cuando además de poseer las características de autentificación en internet (Cliente SSL), permite también la firma de correo (Email Signer) y su Encriptación (Email Recipient). Podemos ver que el emisor es la FNMT, y dado que mi navegador tiene instalado el certificado Raíz de estos y considerado fiable, el certificado de CERES lo es también, podemos leerlo arriba: “This Certificate has been verified…” Por motivos de seguridad he eliminado mi nombre, DNI y esas cosillas.

 

Firma Digital

En realidad poco más o menos ya se ha comentado que es y cual es su utilidad. Cuando explicábamos una PKI, exponíamos que cada clave pública se “votaba” para que los otros usuarios pudiesen así garantizar que era legítima. Esto es realmente una firma. Una firma tiene la característica de no repudio, es decir, una vez se ha firmado algo un usuario o una entidad no puede desquitarse de ello, dado que la firma lo identifica a él de forma irreversible, sin que este pueda negar que lo ha hecho.

Las firmas digitales usan de forma conjunta dos tecnologías, la inviolabilidad de un sistema de cifrado asimétrico tipo RSA y la integridad de datos que ofrece un Hash criptográfico como SHA-1 o MD5. Si un usuario desea cifrar un documento o un mensaje para que tan solo podamos ser capaces de descifrarlo nosotros, tan solo tiene que cifrarlo con nuestra clave pública, y tan solo nosotros poseedores de nuestra clave privada podremos descifrarlo. Pero esto puede usarse de manera inversa. Si yo cifro algo con mi clave privada, la clave pública lo descifra. Dado que todos tienen acceso a mi clave pública, todos pueden descifrar aquello que yo cifre con mi clave privada. ¿Pero entonces para que vale esto? Porque un certificado garantiza la asociación de una clave pública a una persona física. Luego quien descifre algo con mi clave pública obtendrá un contenido que tiene la certeza fue cifrado solo por mí. Y por parte del Hash, otorga integridad al mensaje. El proceso es simple:

a) Se calcula un Hash criptográfico al mensaje, documento… a firmar, por ejemplo un Hash SHA-1.
b) Ahora se encripta por medio de nuestra clave privada dicho Hash, lo cual obtenemos un Hash cifrado.
c) A partir de este momento, al documento se le incrusta (adjunta) la firma. El destinatario, se topará con que existe una firma de dicho documento, con su certificado público correspondiente, y por supuesto con las validaciones pertinentes. El destinatario puede descifrar el hash y obtener el Hash que aseguró el remitente que era el idóneo. El destinatario calcula el mismo Hash al mensaje recibido. Si los dos Hash coinciden, el destinatario comprende que el mensaje es legítimo y que no ha sido modificado de ningún modo.

Una forma digital puede usarse para varias tareas. Por ejemplo, evidentemente como sustituto natural de nuestra firma física. No obstante ya hemos hablado que se usa para los certificados. Los certificados que nos emiten los CA deben de estar firmados por estos. La firma de estos en nuestro certificado funciona del mismo modo. Cuando se verifica un certificado, entre otras cosas como comprobar la fecha de validez o las listas de certificados revocados, se verifica que la cadena de confianza es correcta. ¿Esto que implica? Ir verificando uno a uno todos los certificados implicados en un certificado. Esto es verificar la firma del firmante de nuestro certificado, lo cual para ello es necesario verificar que el certificado de este CA está firmado por otra CA que sea igualmente válido… así hasta llegar al CA raíz. Si en cualquier lugar de la cadena falla la verificación, la cadena entera se rompe y el certificado no puede garantizarse como seguro.

Otro uso común es la firma de un código. Esta es una práctica cada vez más expandida en el mundo del software. Un método de proteger un sistema operativo frente a ataques, como pueda tener Windows Vista o Windows 7, es que los drivers deben de estar firmados obligatoriamente por Microsoft (en este caso), de forma que esto garantiza que los drivers no son dañinos y son legítimos. Esto puede verse también en las partes más críticas del sistemas, en las que los archivos o el contenido más sensible para el correcto funcionamiento del sistema se firma de forma que el propio sistema no permite su ejecución si la firma no es válida. El problema que ocasiona esto no obstante es que se puede hacer un uso intensivo de esto para evitar la libertad. Por ejemplo el iPod Touch/iPhone, en el que cualquier contenido que se desee ejecutar, debe de estar obligatoriamente firmado por Apple, si no lo está no se puede ejecutar. Esto implica que (sin JB) tan solo las aplicaciones aprobadas del AppStore pueden ser usadas, al margen de que pudiese ser posible o no instalar otro tipo de aplicaciones, al margen del degradamiento de rendimiento por tener que estar continuamente verificando las firmas. Desde mi punto de vista la diferencia del buen uso y el abuso es la intencionalidad. Proteger con una firma una bios o un bootloader tiene un sentido muy simple, es una parte crucial del sistema y cualquier virus o modificación dañina produciría que el sistema sea inutilizado, lo cual implica que es positivo. Pero debería de ser una opción, no una obligación. Por ejemplo, se dijo mucho sobre los drivers de Windows x64 y que nadie podría crear drivers para ellos dado que todos tienen que estar firmados por Microsoft. Esto no es tampoco tan así. Se pueden instalar drivers firmados por uno mismo si se quiere, lo que pasa es que el sistema nos advertirá sobre la procedencia del certificado y categorizará el driver como no seguro, avisándonos del peligro que ello implica. Pero a fin de cuenta la libertad es del usuario.

Lo habitual por tanto es ver una firma digital como un documento adjunto en un correo (extension p7s), incluida en el mismo cuerpo del mensaje en el caso de usar PKI como PGP/GPGo como un “añadido” a un documento. Al final del todo veremos aplicaciones prácticas de todo ello de todas estas cosas. De cara a un gestor de correos o cualquier otro programa que acepte contenido firmado, simplemente sabrá como interpretarlo y verificar dicho contenido.

 

Visto todo esto podemos hacernos una imagen de lo que es un certificado digital y la firma electrónica:

a) Ana descarga el certificado de Carmen, lo ha descargado del servidor LDAP de la empresa (o de la web de Carmen). Al instalarlo en su equipo (y sin que ella lo sepa) el certificado de carmen es comprobado. Dado que el certificado de Carmen está firmado por VeriSign, el equipo de Ana tan solo tiene que verificar que la firma de VeriSing es válida. Dado que el certificado raiz de VeriSign está incluido en el equipo, el equipo de Ana desencripta la firma de Verisign del certificado de Carmen con la clave pública que se encuentra en el certificado raiz de VeriSign. El equipo de Ana obtiene así el Hash del certificado de Carmen, el cual coincide a la perfección con el propio certificado, luego Ana está convencida de que el certificado que tiene en su poder es sin duda el de Carmen.
b) Ahora que Ana está convencida, redacta el mensaje y lo encripta con el certificado de Carmen y lo firma con su clave privada. Lo envía a Carmen.
C) El mensaje llega a Carmen y lo primero con lo que se topa es la firma. El gestor de correo busca la clave pública perteneciente a dicho correo electrónico accediendo posiblemente al repositorio del CA emisor y el nombre y apellidos de Ana. Carmen no se fia de que sea Ana, pero el certificado que ha encontrado efectivamente tipifica dicho correo electrónico y dichas credenciales, y está emitido y firmado por la FNMT (se verifica la firma de la FNMT, que a su vez verifica el certificado de Ana). Cuando está seguro del certificado de Ana, desencripta la firma con él, dado que la clave pública de Ana desencripta el hash que fue encriptado con la clave privada de esta. Carmen verifica la firma y con su clave privada desencripta el mensaje y lo lee.

Volver a arriba

Sobre Mí

Alma Oscura por Theliel is licensed under a Creative Commons Reconocimiento-No comercial-Sin obras derivadas 3.0 Unported License.
Política de Privacidad.
Para otros permisos que puedan exceder el ámbito de esta licencia, contactar en blog.theliel.es/about/contactar.