💾 Archived View for gamifi.cat › blog › 2015-02-06_seguretat_info_6 captured on 2023-03-20 at 18:34:52. Gemini links have been rewritten to link to archived content

View Raw

More Information

-=-=-=-=-=-=-

Inici

Blog

Projectes

Glossari

Contacte

IntroducciĂł a la Seguretat de la InformaciĂł 6

En aquest sisè modul del curs d’Introducció a la Seguretat de la Informació, en Federico ens parlarà de criptografia, l’art d’encriptar missatges. Veurem conceptes i elements bàsics, tipus de criptografia i els seus usos. A més, coneixerem els algoritmes que permeten aquesta criptografia; ens aproparem a protocols de xifrat i protecció de dades. I ens parlarà d’esteganografia i la seva part analítica, l’esteganálisis.

Algoritme, clau i protocol

La criptografia és un conjunt de tècniques orientades a l’ocultació o protecció d’informació a ulls de persones no autoritzades. Si bé ja existeix la criptografia des de temps immemoriables, ara s’adapta també en digital. Encriptant les dades es garanteix la seva integritat i confidencialitat.

El criptoanàlisi tracta de l’estudi del xifrat per tal de trencar-lo. Tenim diversos elements en un criptosistema: l’algoritme, la clau i el protocol. L’algoritme és conegut per les dues parts: emisor i receptor. La clau, però, és la part no es coneix en la comunicació i també s’anomena criptovariable perquè és la variable dins el sistema criptogràfic. Finalment, el protocol és la forma en que es posen tots els elements d’acord per tal que es pugui fer aquesta transferència de dades. Pel que diu, i fent una analogia amb els vehicles, el protocol sembla el codi de circulació :)

La criptografia es fa servir per assegurar les comunicacions, garantir els sistemes de firma digital i verificar la integritat de les dades. Respecte a la classificaciĂł dels algoritmes, trobem, que segons la clau utilitzada, poden ser:

En una classificació més matemàtica, més pràctica a nivell de les dades que viatgen, es poden classificar els algoritmes en funció de la quantitat d’elements que es xifren a l’hora. Hi ha sistemes que:

També tenim protocols de xifrat com el PGP/GPG (Pretty Good Privacy), SSH (per establir connexions remotes), SSL o la seva evolució TLS (nivell de xifrat en capes superiors 5 o 6), Kerberos és un protocol per les dades que viatgen per la Xarxa i que està basat en algoritmes simètrics, DSS (xifrat per firma digital usat especialment per Estats Units).

Els algoritmes simètrics (d’una sola clau) més coneguts són: DES/3DES, IDEA, Blowfish, RC5, AES (que és l’actual estàndard internacional de xifrat per ser el més fort que hi ha fins al moment). Els asimètrics (de dues claus) més coneguts són el de Diffie Hellman, que bàsicament s’utilitza per a l’intercanvi de claus, el RSA (pels noms dels seus tres creadors), El Gamal (un algoritme més nou), els sistemes de corves elíptiques.

Finalment tenim els algoritmes de Hash, on l’operació es realitza sobre un conjunt de dades de qualsevol mida i se n’obté un resum anomenat digest o hash. El resum tindrà una mida fixa i independent de l’original, estarà associat inequívocament a les dades inicials i és realment difícil trobar dos missatges diferents que tinguin el mateix hash. S’utilitzen per tot allò que tingui a veure amb la identitat: contrasenyes, firmes digitals, integritat i autenticació. Com algoritmes de Hash, trobem el MD5, SHA-1, RIPEMD-160 i HAVAL.

ProtecciĂł de dades

Ara atacarem a la ubicació de les dades i al seu ús en termes criptogràfics. Per un cantó tenim dades emmagatzemades a un sistema; de l’altre, hi ha dades que estàn en trànsit, és a dir, que estan viatjant. Les dades emmagatzemats les trobarem als ordinadors personals, als servidos i en unitats extraíbles. Els que viatgen estaran per xarxes internes, per Internet o també en mitjans extraíbles.

En relaciĂł a la protecciĂł de dades emmagatzemades, tenim dos escenaris:

Un software que es fa servir molt tan per xifrar discs complets com arxius o carpetes Ă©s Truecrypt, una aplicaciĂł que en Federico recomana per ta de protegir les nostres dades, sobretot quan les volem penjar, per exemple, al NĂşvol sense perdre la confidencialitat de les nostres dades.

En relaciĂł a la protecciĂł de les dades en trĂ nsit, es pot donar:

Un exemple de software per fer viatjar dades per xarxes és un protocol anomenat PGP (de l’anglès, Pretty Good Privacy). Amb ell podem protegir la informació a nivell local i la distribuïda. La idea del PGP és integrar-la als sistemes de correu electrònic per manegar tots els algoritmes.

La cosa és que protegeix les dades a través de xifrat simètric i asimètric, facilita l’autenticació de documents amb firma digital i fins i tot, té un sistema de borrat segur per tal que les dades siguin irrecuperables. El PGP té estàndard propi, el IETF OpenPGP (RFC-4880). I té diferentes versions, la versió lliure és GPG (Gnu Privacy Guard).

Esteganografia

Relacionada, però no sent exactament el mateix, trobem l’esteganografia i la seva part analítica, l’esteganálisis. Es vincula a la criptografia per la manera d’encriptar les dades però no és el mateix. Per definició, l’esteganografia és una tècnica per ocultar informació dins d’una altra informació, com una matrioska, hehe. Imaginem, per exemple, una fotografia que, a dins del seu codi, guarda informació que va més enllà de la pròpia imatge. Podria ser un arxiu de text guardat a dins d’una imatge.

La cosa és que l’efectivitat és molt alta perquè una foto o vídeo, com són arxius pesats, permeten colar un text que no pesa gairebé res. Qualsevol imatge que contemplem i compartim, podria portar missatges esteganografiats dins del seu propi codi. “Cuidadín” amb les fotos de “gatitos”… Cuidadin als clics indiscriminats…Podriem, sense voler-ho, estar fent propaganda terrorista…

Abans d’utilitzar-se en computació digital, l’esteganografia ja s’utilitzava en sistema analògic mitjançant l’escriptura amb tintes invisibles, per exemple. Si bé és possible saber si hi ha informació “de més” en un arxiu, la conya és que aquesta informació podria venir xifrada, amb el que no podriem saber què hi ha…

L’esteganálisis, doncs, seria la tècnica de detecció d’aquests missatges esteganografiats. Aquesta tecnica permet saber si hi ha dades amagades a més de les que es transmeten i determinar si són perilloses, a més d’intentar recuperar-les. La complexitat és molt alta, lògicament.

Conclusions

Part 7 Ethical Hacking