💾 Archived View for gamifi.cat › blog › 2015-02-06_seguretat_info_6 › index.html captured on 2024-05-10 at 12:13:58.
⬅️ Previous capture (2024-02-05)
➡️ Next capture (2024-06-16)
-=-=-=-=-=-=-
<!doctype html> <html lang="ca"> <head> <meta charset="utf-8"> <meta name="keywords" content="blog, cultura lliure, internet, programari lliure, snap, gemini, fediverse, llengua catalana, catala"> <title>IntroducciĂł a la Seguretat de la InformaciĂł 6 - Gamifica't!</title> <link rel="stylesheet" href="../../static/style.css"> <link rel="shortcurt icon" type="image/svg" href="../../img/favicon.svg"> </head> <body> <header class="header"> <a href="#main" class="skip">Salt al contingut</a> <a href="../../" class="logo" ><img src="../../img/logo.svg" width="300" alt="Logo Gamifica't"></a> <nav class="header-right"> <a href="../">Blog</a> <a href="../../projectes/">Projectes</a> <a href="../../glossari/">Glossari</a> <a href="../../contacte/">Contacte</a> <a href="../../blog.xml" class="logo" ><img src="../../img/rss.png" width="32" alt="RSS Gamifica't"></a> </nav> </header> <main id="main"> <div class="page"> <div class="blog-post"> <h1>IntroducciĂł a la Seguretat de la InformaciĂł 6</h1> <p class="meta">2015-02-06</p> <p>En aquest sisè modul del curs d’IntroducciĂł a la Seguretat de la InformaciĂł, en Federico ens parlarĂ de criptografia, l’art d’encriptar missatges. Veurem conceptes i elements bĂ sics, tipus de criptografia i els seus usos. A mĂ©s, coneixerem els algoritmes que permeten aquesta criptografia; ens aproparem a protocols de xifrat i protecciĂł de dades. I ens parlarĂ d’esteganografia i la seva part analĂtica, l’esteganálisis.</p> <h2>Algoritme, clau i protocol</h2> <p>La criptografia Ă©s un conjunt de tècniques orientades a l’ocultaciĂł o protecciĂł d’informaciĂł a ulls de persones no autoritzades. Si bĂ© ja existeix la criptografia des de temps immemoriables, ara s’adapta tambĂ© en digital. Encriptant les dades es garanteix la seva integritat i confidencialitat.</p> <p>El criptoanĂ lisi tracta de l’estudi del xifrat per tal de trencar-lo. Tenim diversos elements en un criptosistema: l’algoritme, la clau i el protocol. L’algoritme Ă©s conegut per les dues parts: emisor i receptor. La clau, però, Ă©s la part no es coneix en la comunicaciĂł i tambĂ© s’anomena criptovariable perquè Ă©s la variable dins el sistema criptogrĂ fic. Finalment, el protocol Ă©s la forma en que es posen tots els elements d’acord per tal que es pugui fer aquesta transferència de dades. Pel que diu, i fent una analogia amb els vehicles, el protocol sembla el codi de circulaciĂł :)</p> <p>La criptografia es fa servir per assegurar les comunicacions, garantir els sistemes de firma digital i verificar la integritat de les dades. Respecte a la classificaciĂł dels algoritmes, trobem, que segons la clau utilitzada, poden ser:</p> <ul> <li>Simètrics (una clau) fan servir la mateixa clau per xifrar i per desxifrar.</li> <li>Asimètrics (dues claus) tenen una clau que emet un codi per xifrar i un per desxifra.</li> <li>Irreversibles (sense clau), que perden informaciĂł i no es poden recuperar, Ă©s a dir, que no els podem desxifrar.</li> </ul> <p>En una classificaciĂł mĂ©s matemĂ tica, mĂ©s prĂ ctica a nivell de les dades que viatgen, es poden classificar els algoritmes en funciĂł de la quantitat d’elements que es xifren a l’hora. Hi ha sistemes que:</p> <ul> <li>Treballen per blocs i divideixen el text en fragments iguals per a xifrar-los.</li> <li>TambĂ© es pot xifrar per fluxe, Ă©s a dir, bit a bit. Cada bit viatja xifrat.</li> </ul> <p>TambĂ© tenim protocols de xifrat com el PGP/GPG (Pretty Good Privacy), SSH (per establir connexions remotes), SSL o la seva evoluciĂł TLS (nivell de xifrat en capes superiors 5 o 6), Kerberos Ă©s un protocol per les dades que viatgen per la Xarxa i que estĂ basat en algoritmes simètrics, DSS (xifrat per firma digital usat especialment per Estats Units).</p> <p>Els algoritmes simètrics (d’una sola clau) mĂ©s coneguts sĂłn: DES/3DES, IDEA, Blowfish, RC5, AES (que Ă©s l’actual estĂ ndard internacional de xifrat per ser el mĂ©s fort que hi ha fins al moment). Els asimètrics (de dues claus) mĂ©s coneguts sĂłn el de Diffie Hellman, que bĂ sicament s’utilitza per a l’intercanvi de claus, el RSA (pels noms dels seus tres creadors), El Gamal (un algoritme mĂ©s nou), els sistemes de corves elĂptiques.</p> <p>Finalment tenim els algoritmes de Hash, on l’operaciĂł es realitza sobre un conjunt de dades de qualsevol mida i se n’obtĂ© un resum anomenat digest o hash. El resum tindrĂ una mida fixa i independent de l’original, estarĂ associat inequĂvocament a les dades inicials i Ă©s realment difĂcil trobar dos missatges diferents que tinguin el mateix hash. S’utilitzen per tot allò que tingui a veure amb la identitat: contrasenyes, firmes digitals, integritat i autenticaciĂł. Com algoritmes de Hash, trobem el MD5, SHA-1, RIPEMD-160 i HAVAL.</p> <h2>ProtecciĂł de dades</h2> <p>Ara atacarem a la ubicaciĂł de les dades i al seu Ăşs en termes criptogrĂ fics. Per un cantĂł tenim dades emmagatzemades a un sistema; de l’altre, hi ha dades que estĂ n en trĂ nsit, Ă©s a dir, que estan viatjant. Les dades emmagatzemats les trobarem als ordinadors personals, als servidos i en unitats extraĂbles. Els que viatgen estaran per xarxes internes, per Internet o tambĂ© en mitjans extraĂbles.</p> <p>En relaciĂł a la protecciĂł de dades emmagatzemades, tenim dos escenaris:</p> <ul> <li>Discs complets: un disc rĂgid de xifrat Ăşnic. En aquest cas podem fer servir una protecciĂł basada en un sistema d’arxius xifrats (filesystems com NTFS). El xifrat, doncs, es produeix des del propi sistema d’arxius. TambĂ© tenim sistemes d’arxius esteganogrĂ fics, que tot i tenir a veure amb el xifrat, no Ă©s el mateix, com veurem mĂ©s endavant.</li> <li>Arxius i carpetes: un xifrat particular per a cada arxiu o carpeta. El xifrat pot ser simètric o de control d’accessos locals.</li> </ul> <p>Un software que es fa servir molt tan per xifrar discs complets com arxius o carpetes Ă©s Truecrypt, una aplicaciĂł que en Federico recomana per ta de protegir les nostres dades, sobretot quan les volem penjar, per exemple, al NĂşvol sense perdre la confidencialitat de les nostres dades.</p> <p>En relaciĂł a la protecciĂł de les dades en trĂ nsit, es pot donar:</p> <ul> <li>Que el canal no sigui segur però que la dada que viatja estigui xifrada, amb el que no corre perill. Si es perdĂ©s, no passa res, perquè va xifrat i no Ă©s llegible amb el que no es vulnera cap confidencialitat.</li> <li>VPN (Virtual Private Network), una mena de tĂşnel per on viatja la informaciĂł, que va totalment xifrada. Qualsevol intrusiĂł no seria efectiva perquè tot va xifrat i estĂ protegit.</li> <li>Els enllaços dedicats, on el mitjĂ que garanteix la protecciĂł de les dades Ă©s que sigui fĂsic i propi i, per tant, es confia la seguretat al mitjĂ (un servidor propi, per exemple).</li> <li>Transport segur de dades en mitjans extraĂbles: en aquest cas, la persona mateixa pot ser la portadora de la informaciĂł a travĂ©s d’un pendrive. Instal·lant un software a algun lloc, per exemple, la persona fa viatjar la informaciĂł, amb el que Ă©s el canal de les dades en trĂ nsit. En aquest cas, hi ha d’haver protocols o procediments que estableixin com assegurar la informaciĂł de l’emissor al receptor.</li> </ul> <p>Un exemple de software per fer viatjar dades per xarxes Ă©s un protocol anomenat PGP (de l’anglès, Pretty Good Privacy). Amb ell podem protegir la informaciĂł a nivell local i la distribuĂŻda. La idea del PGP Ă©s integrar-la als sistemes de correu electrònic per manegar tots els algoritmes.</p> <p>La cosa Ă©s que protegeix les dades a travĂ©s de xifrat simètric i asimètric, facilita l’autenticaciĂł de documents amb firma digital i fins i tot, tĂ© un sistema de borrat segur per tal que les dades siguin irrecuperables. El PGP tĂ© estĂ ndard propi, el IETF OpenPGP (RFC-4880). I tĂ© diferentes versions, la versiĂł lliure Ă©s GPG (Gnu Privacy Guard).</p> <h2>Esteganografia</h2> <p>Relacionada, però no sent exactament el mateix, trobem l’esteganografia i la seva part analĂtica, l’esteganálisis. Es vincula a la criptografia per la manera d’encriptar les dades però no Ă©s el mateix. Per definiciĂł, l’esteganografia Ă©s una tècnica per ocultar informaciĂł dins d’una altra informaciĂł, com una matrioska, hehe. Imaginem, per exemple, una fotografia que, a dins del seu codi, guarda informaciĂł que va mĂ©s enllĂ de la pròpia imatge. Podria ser un arxiu de text guardat a dins d’una imatge.</p> <p>La cosa Ă©s que l’efectivitat Ă©s molt alta perquè una foto o vĂdeo, com sĂłn arxius pesats, permeten colar un text que no pesa gairebĂ© res. Qualsevol imatge que contemplem i compartim, podria portar missatges esteganografiats dins del seu propi codi. “CuidadĂn” amb les fotos de “gatitos”… Cuidadin als clics indiscriminats…Podriem, sense voler-ho, estar fent propaganda terrorista…</p> <p>Abans d’utilitzar-se en computaciĂł digital, l’esteganografia ja s’utilitzava en sistema analògic mitjançant l’escriptura amb tintes invisibles, per exemple. Si bĂ© Ă©s possible saber si hi ha informaciĂł “de mĂ©s” en un arxiu, la conya Ă©s que aquesta informaciĂł podria venir xifrada, amb el que no podriem saber què hi ha…</p> <p>L’esteganálisis, doncs, seria la tècnica de detecciĂł d’aquests missatges esteganografiats. Aquesta tecnica permet saber si hi ha dades amagades a mĂ©s de les que es transmeten i determinar si sĂłn perilloses, a mĂ©s d’intentar recuperar-les. La complexitat Ă©s molt alta, lògicament.</p> <h2>Conclusions</h2> <ul> <li>La criptografia permet transformar una dada llegible en un criptograma</li> <li>Per desxifrar una dada s’ha de conèixer la clau i l’algoritme</li> <li>Es poden protegir dades emmagatzemades o en trĂ nsit</li> <li>En funciĂł del seu Ăşs existeixen diversos algoritmes (blocs, fluxe, simètrics, asimètrics, de Hash)</li> <li>A mĂ©s de la criptografia, tenim altres tècniques d’ocultaciĂł de dades com l’esteganografia, que tracta dades dins de dades.</li> </ul> <p><a href="../2015-02-09_seguretat_info_7/index.html">Part 7 Ethical Hacking</a></p> </div> </div> </main> <footer> Internets duals: gemini://gamifi.cat<br> <a href="../../llicencies/">Diverses llicències</a> / <a href="../../kukis/">PolĂtica de Kukis</a><br> ♥ Fet amb paciència i tecnologies lliures ♥ </footer> </body> </html>