💾 Archived View for gamifi.cat › blog › 2015-02-06_seguretat_info_6 captured on 2023-03-20 at 18:34:52. Gemini links have been rewritten to link to archived content
-=-=-=-=-=-=-
En aquest sisè modul del curs d’IntroducciĂł a la Seguretat de la InformaciĂł, en Federico ens parlarĂ de criptografia, l’art d’encriptar missatges. Veurem conceptes i elements bĂ sics, tipus de criptografia i els seus usos. A mĂ©s, coneixerem els algoritmes que permeten aquesta criptografia; ens aproparem a protocols de xifrat i protecciĂł de dades. I ens parlarĂ d’esteganografia i la seva part analĂtica, l’esteganálisis.
La criptografia és un conjunt de tècniques orientades a l’ocultació o protecció d’informació a ulls de persones no autoritzades. Si bé ja existeix la criptografia des de temps immemoriables, ara s’adapta també en digital. Encriptant les dades es garanteix la seva integritat i confidencialitat.
El criptoanà lisi tracta de l’estudi del xifrat per tal de trencar-lo. Tenim diversos elements en un criptosistema: l’algoritme, la clau i el protocol. L’algoritme és conegut per les dues parts: emisor i receptor. La clau, però, és la part no es coneix en la comunicació i també s’anomena criptovariable perquè és la variable dins el sistema criptogrà fic. Finalment, el protocol és la forma en que es posen tots els elements d’acord per tal que es pugui fer aquesta transferència de dades. Pel que diu, i fent una analogia amb els vehicles, el protocol sembla el codi de circulació :)
La criptografia es fa servir per assegurar les comunicacions, garantir els sistemes de firma digital i verificar la integritat de les dades. Respecte a la classificaciĂł dels algoritmes, trobem, que segons la clau utilitzada, poden ser:
En una classificació més matemà tica, més prà ctica a nivell de les dades que viatgen, es poden classificar els algoritmes en funció de la quantitat d’elements que es xifren a l’hora. Hi ha sistemes que:
També tenim protocols de xifrat com el PGP/GPG (Pretty Good Privacy), SSH (per establir connexions remotes), SSL o la seva evolució TLS (nivell de xifrat en capes superiors 5 o 6), Kerberos és un protocol per les dades que viatgen per la Xarxa i que està basat en algoritmes simètrics, DSS (xifrat per firma digital usat especialment per Estats Units).
Els algoritmes simètrics (d’una sola clau) mĂ©s coneguts sĂłn: DES/3DES, IDEA, Blowfish, RC5, AES (que Ă©s l’actual estĂ ndard internacional de xifrat per ser el mĂ©s fort que hi ha fins al moment). Els asimètrics (de dues claus) mĂ©s coneguts sĂłn el de Diffie Hellman, que bĂ sicament s’utilitza per a l’intercanvi de claus, el RSA (pels noms dels seus tres creadors), El Gamal (un algoritme mĂ©s nou), els sistemes de corves elĂptiques.
Finalment tenim els algoritmes de Hash, on l’operaciĂł es realitza sobre un conjunt de dades de qualsevol mida i se n’obtĂ© un resum anomenat digest o hash. El resum tindrĂ una mida fixa i independent de l’original, estarĂ associat inequĂvocament a les dades inicials i Ă©s realment difĂcil trobar dos missatges diferents que tinguin el mateix hash. S’utilitzen per tot allò que tingui a veure amb la identitat: contrasenyes, firmes digitals, integritat i autenticaciĂł. Com algoritmes de Hash, trobem el MD5, SHA-1, RIPEMD-160 i HAVAL.
Ara atacarem a la ubicaciĂł de les dades i al seu Ăşs en termes criptogrĂ fics. Per un cantĂł tenim dades emmagatzemades a un sistema; de l’altre, hi ha dades que estĂ n en trĂ nsit, Ă©s a dir, que estan viatjant. Les dades emmagatzemats les trobarem als ordinadors personals, als servidos i en unitats extraĂbles. Els que viatgen estaran per xarxes internes, per Internet o tambĂ© en mitjans extraĂbles.
En relaciĂł a la protecciĂł de dades emmagatzemades, tenim dos escenaris:
Un software que es fa servir molt tan per xifrar discs complets com arxius o carpetes Ă©s Truecrypt, una aplicaciĂł que en Federico recomana per ta de protegir les nostres dades, sobretot quan les volem penjar, per exemple, al NĂşvol sense perdre la confidencialitat de les nostres dades.
En relaciĂł a la protecciĂł de les dades en trĂ nsit, es pot donar:
Un exemple de software per fer viatjar dades per xarxes és un protocol anomenat PGP (de l’anglès, Pretty Good Privacy). Amb ell podem protegir la informació a nivell local i la distribuïda. La idea del PGP és integrar-la als sistemes de correu electrònic per manegar tots els algoritmes.
La cosa és que protegeix les dades a través de xifrat simètric i asimètric, facilita l’autenticació de documents amb firma digital i fins i tot, té un sistema de borrat segur per tal que les dades siguin irrecuperables. El PGP té està ndard propi, el IETF OpenPGP (RFC-4880). I té diferentes versions, la versió lliure és GPG (Gnu Privacy Guard).
Relacionada, però no sent exactament el mateix, trobem l’esteganografia i la seva part analĂtica, l’esteganálisis. Es vincula a la criptografia per la manera d’encriptar les dades però no Ă©s el mateix. Per definiciĂł, l’esteganografia Ă©s una tècnica per ocultar informaciĂł dins d’una altra informaciĂł, com una matrioska, hehe. Imaginem, per exemple, una fotografia que, a dins del seu codi, guarda informaciĂł que va mĂ©s enllĂ de la pròpia imatge. Podria ser un arxiu de text guardat a dins d’una imatge.
La cosa Ă©s que l’efectivitat Ă©s molt alta perquè una foto o vĂdeo, com sĂłn arxius pesats, permeten colar un text que no pesa gairebĂ© res. Qualsevol imatge que contemplem i compartim, podria portar missatges esteganografiats dins del seu propi codi. “CuidadĂn” amb les fotos de “gatitos”… Cuidadin als clics indiscriminats…Podriem, sense voler-ho, estar fent propaganda terrorista…
Abans d’utilitzar-se en computació digital, l’esteganografia ja s’utilitzava en sistema analògic mitjançant l’escriptura amb tintes invisibles, per exemple. Si bé és possible saber si hi ha informació “de més” en un arxiu, la conya és que aquesta informació podria venir xifrada, amb el que no podriem saber què hi ha…
L’esteganálisis, doncs, seria la tècnica de detecció d’aquests missatges esteganografiats. Aquesta tecnica permet saber si hi ha dades amagades a més de les que es transmeten i determinar si són perilloses, a més d’intentar recuperar-les. La complexitat és molt alta, lògicament.