CRIPTOGRAFÍA
Y
SEGURIDAD

Protocolos

Calculos

Correo electrónico

S/MIME

PGP

PEM

  • Estandar más reciente
  • Certificado basado en X.509
  • El menos usuado (no preparado para correos MIME)
  • Formato propia de certificado y de libre distribución
  • No requiere gerarquía de autoridades de certificación
  • Autenticación origen y privacidad de datos

CRYPTOSEC

  • Seguridad lógica de la información que usa técnicas criptográficas

Algoritmos, [2]

Simétricos

IDEA

AES ó rijndael
(Advanced Encryption Standard)

Triple DES (TDES, 3DES o TDEA)

RC2

DES

RC4

RC5

SAFER

Blowfish

Asimétricos

RSA
(Rivest, Shamir y Adleman)

DSS ó
DSA (Digital Signature Standard/Algorithm)

CA
(Autoridades de certificación)

Verisign

CERES

Modos de cifrado

Cifrado por bloque

  • ECB (Electronic codebook)
  • CBC (Cipher-block chaining)
  • PCBC (Propagating cipher-block chaining)
  • OFB (Output feedback)

De reducción

MD5
(Message-Digest Algorithm 5)

SHA-1

Diffie-Hellman

Claves necesarias
para intercambiar
información entre
un número determinado
de usuarios (n)

claves simétricas

claves asimétricas

n(n-1)/2

2n

Autenticación

Kerberos, [2]

UTM

Unified Threat Management

  • Dispositivo de red con múltiples funciones
    • Antivirus
    • Firewall
    • Sistemas detección intrusos

Análisis forense digital

  • Extre información valiosa de los discos sin alterar su estado

Protecciones

SPF
(Sender Policy Framework)

  • protección falsificación direcciones en envío correo electrónico

Herramientas

Suricata

  • Controla tráfico red
  • Rastrea o busca eventos seguridad que pueden indicar ataque o posible intrusión

Yara

  • ayudar a los investigadores de malware a identificar y clasificar las muestras del mismo

LAPS

  • Local Administrator Password Solution
  • repositorio central para passwords de administradores locales en equipos miembros del dominio

Control
Accesos

Token físico de seguridad

  • Dispositivo electrónico
  • Facilita autenticación

Aplicaciones

de firma electrónica

Autofirma

ECIES
(Elliptic curve integration scheme)

Certificados

Tipos, [2]

según las comprobaciones que realizan

Extensiones y codificaciones de los archivos, [2]

Codificaciones

  • DER ==> binaria.
  • PEM ==> Base64 / ASCII
  • P7B/PKCS#7 ==> Base64 / ASCII
  • PFX/P12/PKCS#12 ==> binario

Codificaciones

DER
PEM

Criptograma

  • Fragmento de mensaje cifrado

Principios de Kerckhoffs

ISO/IEC 27000-series

  • Estandares de seguridad

campos criptografía

  • criptografía
    • cifrado y descifrado
  • esteganografia
    • ocultar información en medios poco seguros en fotos, videos, words, etc
  • criptoanalisis
    • descifraf mensajes y buscar vulnerabilidades

Firma

pivoting

  • También conocido como movimiento lateral en ciberseguridad
  • cuando se está atacando a un target (objetivo) y haces uso de otros dispositivos para llegar al punto que se desea atacar

familias de
esquema de autenticación

  • algo que sabemos: codigo PIN
  • algo que poseemos: tarjeta crédito, token rsa
  • algo que somos: autenticación biométrica

ws-security, [2], [3]

BinarySecurityToken

  • Señal de seguridad binaria.Define token de seguridad codificado en binario
  • ValueType ==> identifica el tipo de señal de seguridad
  • EncodingType ==> indica cómo se codifica la señal de seguridad
  • BinarySecurityToken ==> define una señal de seguridad que está codificada en binario

CSRF

Cross-site request forgery

  • falsificación de petición en sitios cruzados
  • Exploit malicioso en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía

formatos de ficheros, [2]

  • Ades ==> Forma genérica de llamar a CAdES, XAdES y PAdES. Permite validar el certificado incluso si éste ya a caducado
    • CAdES (CMS)
    • XAdES (XML)
    • PAdES (PDF)
  • OOXML y ODF (Microsoft Office y Open Office)

Tipos de firmas

  • Firmas simples: un solo firmante
  • Coofirma o firma lineal: firma múltiple con todos los firmante del mismo nivel
  • Contra-firma o firma en cascada: firma múltiple ordenada. Cada firmante refrenda al anterior
  • Tipos de formatos Ades según la validez para comprobar la firma
    • AdES - BES ==> el más básico
    • AdES ­ C ==> Añade Cadena de certificación. (C de Cadena )
    • AdES ­ T ==> Añade sellado de Tiempo. (T de tiempo)
    • AdES ­ X ==>Añade sellos de tiempo al C. ( X de eXtendida. )
    • AdES ­ XL ==> Añade certificados y su revocación para validación a largo plazo (XL de eXtendido Largo)
    • AdES ­ A ==> Añade sellos de tiempo periódicos. (A de Archivo)

Pentest

  • Examen de penetración consistente en un ataque a un sistema informático con la intención de encontrar debilidades de seguridad
  • Software utlizado

64bits con claves de 50

3 encriptaciones seguidas

64bits con claves de 128

128bits con claves de 128, 192 o 256

cifrado de bloque

cifrado de flujo, 10 veces + veloz que DES

cifrado de bloque

Claves 512bits

Puede desplazar a RSA

ECC
(Elliptic curve cryptography)

  • variante de la criptografía asimétrica o de clave pública basada en las matemáticas de las curvas elípticas

128 bits

Sistemas de certificados

X.509, X.509v3

  • Para clave pública
  • En principales protocolos de comunicación y correo electrónico excepto PGP
  • Sintaxis definida con:
    • Lenguaje ASN1
    • Formatos de codificación: DER y PEM
  • Clase 1: nombre y dirección
  • Clase 2: además DNI, Nº SS, fecha nacimiento
  • Clase 3: además crédito de la persona o empresa
  • Clase 4: además cargo ocupado

según su finalidad

  • Certificados SSL para cliente
  • Certificados SSL para servidor
  • Certificados S/MIME
  • Certificados para la firma de código
  • Certificados para AC

Extensiones de los certificados

click to edit

SCEP

  • Simple Certificate Enrollment Protocol
  • Permite la generación y distribución de certificados de manera sencilla y automática

Blockchain

  • Utilizado en criptomonedas
  • Basado en clave simétrica
  • Usa un tercero de confianza
  • Mantiene BBDD secreta
  • Autentica client/servidor y también puede cifran comunicación

Protocolos para validar
estado revocación certificados

Intercambio de archivos

SCP

SFTP

FTP

  • incorpora cifrado con software SSH
  • Intercambio sin cifrar
  • Para solucionarlo usar SFTP o SCP ambos utilizan SSH
  • Secure Copy Protoco
  • incorpora cifrado con software SSH.
  • Es tanto un programa de copiado como un protocolo
  • scp usuario@host:directorio/ArchivoOrigen ArchivoDestino
  • scp ArchivoOrigen usuario@host:directorio/ArchivoDestino

Extenciones

  • DER ==> .cer o .der (NO contienen clave privada)
  • PEM ==> .cer, .crt, .pem, o .key
  • PKCS#7 o P7B ==> .p7b o .p7c
  • PKCS#12 o PFX/P12 ==> .pfx y .p12 (contienen clave privada)

realm

  • Las páginas pertenecientes a un mismo realm comparten las misma credenciales. Puede verse como un área para la cual unas credenciales son usadas

Certificados de persona física

Certificados de Representante

Cryptokit

  • tarjeta criptográfica y el lector de tarjetas inteligentes

Los campos se agrupan en 3 grupos

  • subject: CN (Common Name), OU (Organizational Unit), O (Organization) y C (Country), version, serialNumber, issuer, validity
  • Clave pública: (en notación ASN.1) algoritmo y clave pública utilizados
  • CA: algoritmo y hash de firma y la propia firma digital.

Extensiones, [2]

  • .cer, .crt, .der: Binario
  • .pem: base64
  • .p7b, .p7c/PKCS#7: base64
  • .pfx: PFX: binario
  • .p12/PKCS#12 (evolución de PFX): binario

Importaciones

Thawte

Serpent

PKCS

  • listado de estándares de criptografía de clave pública

Zebedee

  • Cifra y comprime datos (túnel) entre dos sistemas utilizando TCP/IP o UDP
  • Pproteger trafico telnet, ftp y “X” de snooping
  • Mejora rendimiento en redes bajo ancho banda

Exportación certificados, [2]

  • Exportación con clave privada solo para uso personal
  • Exportación sin clave privada para entregarlo a los que se quieran comunicar con migo de forma segura
  • Extensiones .PFX o .P12 contienen clave privada
  • Extensiones .cer NO contienen clave privada

Sal)

  • bits aleatorios usados como una de las entradas en una función derivadora de claves. La otra entrada suele ser una contraseña

FailVault

  • Sistema de encriptación usado en MacOS

ElGamal

Basado en Diffie-Hellman