CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

jueves, 5 de febrero de 2009

GPG

GPG o GNU privace guard es una herramienta para cifrado y firmas digitales, cuenta con un versátil sistema de gestión de claves, así como módulos de acceso para todo tipo de clave pública directorios. GnuPG, también conocido como GPG, es una herramienta de línea de comandos con las características para una fácil integración con otras aplicaciones.


INSTALACION DE GPG4win


lo primero que debemos hacer es instalar nuestro software de gpg4win el cual es un software de encritiptacion de correo electronico

lo primero que nos aparece es la imagen de bienvenida a este programa le damos next o siguiente para continuar


luego leemos los terminos de contracto y licencia y le daremos next o siguiente para aceptarlos

luego nos paracen una serie de componentes dependiendo de los que necesites los señalas o no en este caso solo me faltaba por señalar gnupg que es el componente de llave para el software los demas los deje por defecto
luego escojeremos la ruta especifica para el software y le damos next o siguiente para continuar
en esta aplicacion nos da una opcion de crear un acceso directo para su ejecuccion rapida en el escritorio la señalamos y le damos next o siguiente
luego nos pide un nombre para la carpeta y el lugar donde la queremos guardar luego le damos next o siguiente

luego esperamos a que se extraigan todos los paquetes necesarios. cuando este termine le damos next o siguiente
cuando este termine de extraer todo los paquetes nos aparecera un cuadro de dialogo donde nos dice que si queremos leer un documento en este caso lo señalamos y acontinuacion le damos next o siguiente


luego lo primero que tenemos que hacer es crear nuestras llaves en este caso por consola lo aremos con le comando gpg --gen-key y enter


luego escojeremos que clase de llave vamos a crear en este caso le damos 1 que es DSA

luego podremos decirle que la llave caduque o expire en este caso le decimos 0 para que no expire

luego nos dice que confirmemos si la opcion elijida e sla correcta le decimos yes para aceptar

luego nos pide que le asignemos un nombre a nuestra llave en este caso fue daniel

luego nos pide una direccion de correo valida en este caso fue daniel10river@gmail.com

luego nos pide un comentario para distinguir nuestra llave

luego nos pide un password o contraseña para nuestra llave

luego nos pide que le repitamos la entrada del password o contraseña

luego esperamos a que se cargue todos los datos que acabamos de ingresar


luego nos muestra la informacion ingresada como es el nombre el id y el correo que ingresamos

y por ultimo nos aparece nuestra llave ya creada

luego subimos nuestra llave al servidor rediris con el comando gpg --send-keys --keyserver pgp.rediris.com

martes, 3 de febrero de 2009

CRIPTOGRAFIA

Entendemos por criptografia (Kritos=ocultar, Graphos=escritura) la tecnica de transformar un mensaje inteligible que es denominado texto claro, en otro que solo lo puedan entender las personas autorizadas para hacerlo, el cual llamaremos criptograma o texto cifrado. El metodo utilizado para encriptar el texto en claro se denomina algoritmo de encriptacion.

CRIPTOGRAFIA CLASICA

El cifrado de textos es una actividad que ha sido ámpliamente usada a lo largo de la historia humana, sobre todo en el campo militar y en aquellos otros en los que es necesario enviar mensajes con información confidencial y sensible a través de medios no seguros.

el primer sistema criptográfico como tal conocido de debe a Julio Cesar. Su sistema consistía en reemplazar en el mensaje a enviar cada letra por la situada tres posiciones por delante en el alfabeto latino. En nuestro alfabeto actual tendríamos la siguiente tabla de equivalencias:

A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z
D E
F G H I J K L M N Ñ O P Q R S T U V W X Y Z A B C

Por lo tanto el mensaje " HOLA MUNDO " se convertiria en "KRÑD OXPGR" para volver al mensaje original desde el texto cifrado tan sólo hay que coger un alfabeto e ir sustituyendo cada letra por la que está tres posiciones antes en el msimo.

LA SUSTITUCION

consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posicion en el alfabeto

A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z
J K L M N Ñ O P Q R S T U V W X Y Z A B C D E F G H I

Ejemplo:

El mensaje a enviar “HOLA MUNDO” se trasformaría en “PXTJ UDVMX”

TRANSPOSICION

Consiste en cambiar los caracteres componentes del mensaje original en otro según la regla determinada Posición en el Orden del Mensaje

LA LETRA: 1 2 3 4 5 6 7 8 9
PASA A SER: 5 1 4 7 8 2 9 3 6

Ejemplo:

La frase “HOLA MUNDO” nos quedaría “OUDL HOAMN”


CRIPTOGRAFIA MODERNA

Como hemos visto en el apartado anterior, los sistemas criptográficos clásicos presentaban una dificultad en cuanto a la relación complejidad-longitud de la clave / tiempo necesario para encriptar y desencriptar el mensaje.

En la era moderna esta barrera clásica se rompió, debido principalmente a los siguientes factores:

  • velocidad de cálculo: con la aparición de los computadores se dispuso de una potencia de cálculo muy superior a la de los métodos clásicos.
  • avance de las matemáticas : que permitieron encontrar y definir con claridad sistemas criptográficos estables y seguros.
  • necesidades de seguridad: surgieron muchas actividades nuevas que precisaban la ocultación de datos, con lo que la Criptología experimentó un fuerte avance.
CRIPTOGRAFIA SIMETRICA

Incluye los sistemas clásicos, y se caracteriza por que en ellos se usa la misma clave para encriptar y para desencriptar, motivo por el que se denomina simétrica.

La seguridad de este sistema está basada en la llave simétrica, por lo que es misión fundamental tanto del emisor como del receptor conocer esta clave y mantenerla en secreto. Si la llave cae en manos de terceros, el sistema deja de ser seguro, por lo que habría que desechar dicha llave y generar una nueva.

Para que un algoritmo de este tipo sea considerado fiable debe cumplir varios requisitos básicos:

  1. conocido el criptograma (texto cifrado) no se pueden obtener de él ni el texto en claro ni la clave.
  2. conocidos el texto en claro y el texto cifrado debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros.

Los algoritmos simétricos encriptan bloques de texto del documento original, y son más sencillos que los sistemas de clave pública, por lo que sus procesos de encriptación y desencriptación son más rápidos.

Las principales desventajas de los métodos simétricos son la distribución de las claves, el peligro de que muchas personas deban conocer una misma clave y la dificultad de almacenar y proteger muchas claves diferentes.

CRIPTOGRAFIA DE CLAVE PUBLICA

También llamada asimétrica, se basa en el uso de dos claves diferentes, claves que poséen una propiedad fundamental: una clave puede desencriptar lo que la otra ha encriptado.

Generalmente una de las claves de la pareja, denominada clave privada, es usada por el propietario para encriptar los mensajes, mientras que la otra, llamada clave pública, es usada para desencriptar el mensaje cifrado.

Las claves pública y privada tienen características matemáticas especiales, de tal forma que se generan siempre a la vez, por parejas, estando cada una de ellas ligada intrínsecamente a la otra, de tal forma que si dos llaves públicas son diferentes, entonces sus llaves privadas asociadas también lo son, y viceversa.

Los algoritmos asimétricos están basados en funciones matemáticas fáciles de resolver en un sentido, pero muy complicadas de realizar en sentido inverso, salvo que se conozca la clave privada, como la potencia y el logaritmo. Ambas claves, pública y privada, están relacionadas matemáticamente, pero esta relación debe ser lo suficientemente compleja como para que resulte muy dificil obtener una a partir de la otra. Este es el motivo por el que normalmente estas claves no las elige el usuario, si no que lo hace un algoritmo específico para ello, y suelen ser de grán longitud.



domingo, 1 de febrero de 2009

INFRAESTRUCTURA DE CLAVE PUBLICA (PKI)

La infraestructura de clave publica, es la combinacion de software , tecnologias de encriptacion y servicios que posibilitan a las empresas u organismos otorgar seguridad a sus comunicaciones y transacciones por internet.

- El proposito es proveer claves y manejos de certificados confiables y eficientes para lograr la habilitacion de la autenticacion, la no repudacion y la confidencialidad

- Logra la confianza basada en el uso de certificados de clave publica, los cuales son estructuras de datos que ligan los valores de clave publica a los sujetos

- La ligadura se realiza a traves de una autoridad de certificacion, la cual verifica la identidad del sujeto y firma digitalmente el certificado

COMPONENTES PKI

- AUTORIDADES DE CERTIFICACION: Emiten y revocan certificados

- AUTORIDADES DE REGISTRACION: Atestiguan la ligadura entre las claves publicas y las entidades propietarias de los certificados

- POSEEDORES DE LOS CERTIFICADOS: Pueden firmar documentos digitales

- REPOSITORIOS: Guardan y hacen posible los certificados

CERTIFICADOS E INFRAESTRUCTURA DE LA LLAVE PUBLICA

AUTENTICACION: Es un proceso que tiene como finalidad verificar la informacion referente a un determinado objeto, por ejemplo:

- La identidad del remitente (ya sea un dispositivo electronico y un usuario)
- La integridad de la informacion enviada
- El momento de envio de la informacion
- La validez de la firma

MECANSIMOS DE AUTENTICACION

La autenticacion asegura que la identidad de los partcipantes sea verdadera, se pueden evaluar 3 aspectos para autenticar usuarios

- Verificar algo que el usuario tiene
- Poner a prueba al usuario sobre algo que sabe, esto es pedir una contraseña
- Verificar algo que el usuario es, por ejemplo, analizar sus huellas dactilares o su retina

FUNCIONES HASH

- Producen huellas digitales de longitud fija para documentos de longitud arbitriaria, de esta manera producen informacion util para detectar modificaciones maliciosas

- Traducen contraseñas a salidas de longitud fija

- Pueden ser utilizadas para producir numeros aleatorios

- Proveen autenticacion basica a traves de la funcionalidad MAC (message authentication code)

- Utilizadas como bloques basicos para firmas digitales


PROBLEMAS CON ALGORITMOS ASIMETRICOS

Los problemas que surgen del uso de algoritmos asimetricos sin el respaldo de infraestructuras adicionales pueden dividirse en cuatro areas

1- autenticacion de llave
2- renovacion de llaves
3- no repudio
4- aplicacion de politicas


ESQUEMA

REGISTRO DIGITAL

Digitalizar es convertir algo en numeros (digitos)

En cuanto a un texto, un codigo de conversacion asigna cada letra o simbolo del alfabeto un numero.
EJ: A= 65, B= 66

En medios magneticos, electronicos y opticos, se utiliza una numeracion binaria, con solo 2 simbolos
EJ: A= 1100001

El codigo o clave de una tarjeta con banda magnetica, se encuentra grabada de esta manera, todo documento o archivo que transita por el ciberespacio, se transmite digitalmente.

FIRMA DIGITAL

se forma aplicando una funcion matematica a un documento electronico cuyo resultado es una unica cadena de bits llamada digesto del mensaje, dicho digesto es encriptado cuando la clave privada del emisor y el resultado es anexado al documento electronico, como la firma manuscrita, acuerda o valida el documento que la contiene, pero ofrece verificar que el firmante y el documento no han sido alterados, es decir, el no repudio.

INTEGRIDAD DE DATOS

En el receptor la aplicacion realiza lo siguiente:

1- usando la misma funcion resumen crea un digesto del mensaje del archivo recibido
2-usando la clave publica del emisor desencripta la firma digital para ver el digesto del mensaje
3-compara los digestos

CONFINCIALIDAD DE DATOS

Un mensaje firmado digitalmente puede ser encriptado cuando la clave publica del receptor. El mensaje es transmitido via internet, luego lo desencripta usando su clave privada.

SISTEMA CRIPTOGRAFICO ASIMETRICO

Para firmar un documento digital, su autor utiliza su propia clave secreta, a la que solo el tiene acceso, lo que impide que pueda despues negar su autoria (no revocacion).
De esta manera, el autor queda vinculado al documento que firma, por ultimo la validez de dicha firma podra ser comprobada por cualquier persona que disponga de la clave publica del autor.

GENERACION DE CLAVES

Utilizando un modulo criptografico el autor genera su propio par de claves, esta operacion se realiza por unica vez

CLAVE PRIVADA: Se almacena en el software (navegador-cliente de correo) o dispositivo criptografico, debe mantenerse en secreto

CLAVE PUBLICA: Debe distribuirse a los correos personales podra posibilitar su verificacion, esto se realiza a traves de un sitio web.

CERTIFICADO DE CLAVE PUBLICA

Los certificados son usados para bloquear intentos de sustituir una clave por otra, un certificado de A contiene algo mas que su clave publica, contiene la informacion sobre A, su nombre, direccion etc, y es firmado por alguien en quien A confia, B (conocido visualmente como la autoridad de certificacion), por la firma de la clave y de la informacion sobre A,B certifica que la informacion sobre A es correcta y que la clave publica pertenece a A.
finalmente, C chequea la firma de B y luego se usa la clave publica, seguro que es de A y de ningun otro.

un certificado de clave publica contiene los siguientes campos:

- version
- # de serie
- identificador de algoritmo
- autoridad de certificacion
- periodo de validez
- usuario
- clave publica de usuario
- firma

CORREO SEGURO

Una vez redactado un documento en el procesador de texto del cliente de correo, se firma digitalmente, la firma no encripta el documento, sino que establece el vinculo con el firmante, para firmar el documento se utiliza un software especifico, el cual exige al autor el ingreso de su clave privada.
Este sotfware efectua el calculo de la firma digital.

VERIFICACION DE LA FIRMA

El corresponsal del documento firmado debe constatar que la clave publica que utilizo para verificar la firma es efectivamente la del autor (este proceso se realiza en forma automatica por el software mencionado) para ello dispondra de un certificado de la autoridad en quien confia.

jueves, 29 de enero de 2009

NORMAS ISO

¿QUE SON LAS NORMAS ISO?

Es una organizacion no gubernamental que produce normas internacionales, industriales y comerciales con el proposito de facilitar el comercio, el intercambio de informacion y contribuir con unos estandares para el desarrollo y transferencia de tecnologias.

NORMA ISO 17799

Es un conjunto de buenas practicas en seguridad de la informacion contiene 133 controles aplicables, no es certficable, ni fue diseñada para talo fin, la norma que si es certificable es la iso 27001, como tambien lo fu su antecesora bs 7799.2
el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficaz de la gestion de la seguridad. La adaptacion española denminada UNE-ISO/IEC 17799

1995- BS 7799-1: codigo de buenas practicas para la gestion de la seguridad de la informacion.
1998- BS 7799-2:especificaciones para la gestion de la seguridad de la informacion.

Tras una revision de ambas partesde BS 7799 (1999) la primera es adoptada como norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin ap
enas modificacion (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.

ISO 17799 no es una norma tecnologica:

  • ha sido redacrada de forma flexible e independiente de cualquier solucion de seguridad especifica
  • proporciona buenas practicas neutrakes con respecto a la tecnologia y a las soluciones disponibles en el mercado.
NORMA ISO 27001

Esta norma muestra como aplicar los controles propuestod en la iso 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".


COMPARACION NORMA 17799 Y NORMA 27001

- ISO 27001 contiene un anexo a, que considera los controles de la norma iso 17799 para su posible aplicacion en el SGSI que implementa cada organizacion

- ISO 17799 es para ISO 27001, por tanto, una relacion de controles necesarios para garantizar la seguridad de la informacion

- ISO 27701 especifica los requisitos para implementar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente

-ISO 17799 es un conjunto de buenas practicas en seguridad de la informacion contiene 133 controles aplicables

- ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente. ISO 27001 permite auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS (information security management system)



lunes, 26 de enero de 2009

SEGURIDAD INFORMATICA

CONCEPTOS

SEGURIDAD INFORMATICA: Conjunto de sistemas, metodos y herramientas que se destinan a protejer un bien.

Consiste en asegurar que los recursos del sistema de informacion de una organizacion sean utilizados de la manera que se decidiò y que el acceso a la informacion alli contenia sea solo posible a las personas que se encuentren acreditas para tal tarea.

POLITICAS DE SEGURIDAD: El objetivo principal de esta politica es proporcionar a la gerencia la direccion y soporte para la seguridad de la informacion en concordancia con los requerimientos comerciales, las leyes y regulaciones relevantes.

El documento de las politicas de seguridad de la informacion deberia ser aprobado por la gerencia, publicado y comunicado a todos los empleados y las partes externas relevantes

ACTIVO: recurso del sistema de informacion o relacionado con este, necesario para que la organizacion funcione correctamente y alcance los objetivos propuesos

AMENAZA: evento que puede desencadenar un incidente en la organizacion produciendo daños materiales o perdidas en sus activos

IMPACTO: medir la consecuencia al materializarse una amenaza

RIESGO: posibilidad de que se produsca un impacto determinado en un activo, un dominio o en toda la organizacion

VULNERABILIDAD: posibilidad de ocurrencia de la materializacion de una amenaza sobre un activo

ATAQUE: evento exitoso o no, que atenta sobre el buen funcionamiento del sistema

CONTINGENCIA: interrupcion de la capacidad de acceso a la informacion y procesamiento de la misma

CONFIDENCIALIDAD: la informacion solo puede ser vista por usuarios autorizados

INTEGRIDAD: la informacion solo puede ser modificada por quien esta autorizado

DISPONIBILIDAD: la informacion debe estar disponible cuando sea necesaria

NO REPUDIO: no tener la posibilidad de desmentir que se accedio a la informacion

DELITO INFORMATICO: actos delitivos que se cometen con un computador en busqueda de robarse la informacion contenida en ellos

tipos de delitos:

  1. Fraudes cometidos mediante manipulación de computadoras
  2. Manipulación de los datos de entrada
  3. Daños o modificaciones de programas o datos computarizados

SEGURIDAD DE LA INFORMACION

La informacion es un activo que como, otros activos comerciales importantes, es esencial para el negocio de una organizacion y en consecuencia necesita ser protejido adecuadamente.

La informacion puede existir en muchas formas puede estar impresa o escrita en un papel, almacenada electronicamente por correo o utilizando medios electronicos, mostrada en peliculas o hablada en una conversacion cualquiera que sea la informacion o medio por el cual sea almacenada, siempre deberia estar apropiadamente protejida.

La seguridad de la informacion se logra implementando un adecuado conjunto de controles, politicas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware, se necesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplen los objetivos de seguridad y comerciales especificos, esto se deberia realizar en conjuncion con otros procesos de gestion del negocio,