Criptografía y función HASH

Questions and Answers

¿Cuál es la implicación de la longitud fija del valor hash de salida en el contexto de las funciones HASH en criptografía, considerando escenarios con volúmenes de datos de entrada extremadamente variables?

• Permite la indexación eficiente de grandes conjuntos de datos utilizando el valor hash como clave en estructuras de datos como las tablas hash, sin importar el tamaño de los datos originales.
• Implica que, con entradas de longitud significativamente mayor que la longitud del hash, la función es inherentemente vulnerable a ataques de preimagen y segunda preimagen. (correct)
• Asegura que el cálculo del hash sea siempre computable en tiempo constante, independientemente de la longitud de la entrada, optimizando así el rendimiento en sistemas embebidos.
• Garantiza que la probabilidad de colisiones (dos entradas diferentes produciendo el mismo hash) es nula, independientemente de la longitud de las entradas.

En el contexto de la criptografía, ¿cómo se mitigan los riesgos asociados con los ataques de fuerza bruta y de diccionario, considerando las limitaciones impuestas por el cumplimiento de regulaciones de privacidad de datos?

• Aplicando el principio de 'security through obscurity' mediante el uso de algoritmos de cifrado propietarios y poco conocidos, complementado con esquemas de ofuscación de código complejos para dificultar la ingeniería inversa.
• Limitando estrictamente el número de intentos de inicio de sesión fallidos permitidos por dirección IP y utilizando técnicas de 'rate limiting' distribuidas que se ajustan dinámicamente en función del tráfico anómalo detectado por sistemas de detección de intrusiones (IDS).
• Diseñando sistemas de autenticación que utilizan 'salts' aleatorios de alta entropía generados por fuentes cuánticas combinados con funciones de derivación de clave (KDFs) adaptativas que incrementan su dificultad computacional con el tiempo. (correct)
• Implementando políticas de rotación de claves extremadamente frecuentes (e.g., cada hora) y utilizando longitudes de clave mínimas que excedan significativamente los estándares de la industria (e.g., 512 bits para AES).

¿Cómo se aborda la vulnerabilidad del intercambio de claves en la criptografía simétrica, considerando las limitaciones inherentes a los canales de comunicación inseguros y la necesidad de escalabilidad en entornos distribuidos?

• Adoptando un enfoque de 'key escrow' donde una tercera parte de confianza genera y distribuye las claves simétricas a las partes comunicantes, asumiendo la responsabilidad de la seguridad de las claves.
• Utilizando algoritmos de cifrado simétrico con longitudes de clave extremadamente grandes (e.g., 4096 bits) para hacer que el descifrado no autorizado sea computacionalmente inviable.
• Implementando un esquema de intercambio de claves Diffie-Hellman efímero (DHE) con curvas elípticas (ECDHE) sobre un canal autenticado mediante una cadena de confianza basada en una infraestructura de clave pública (PKI). (correct)
• Estableciendo canales de comunicación seguros utilizando redes privadas virtuales (VPNs) y túneles SSL/TLS para proteger el intercambio inicial de claves simétricas.

¿Cuál es la función primordial de una Autoridad de Validación (VA) en el contexto de una Infraestructura de Clave Pública (PKI) extendida que soporta millones de certificados a nivel global?

Validar en tiempo real el estado de revocación de los certificados digitales antes de permitir el acceso a recursos protegidos, utilizando protocolos como OCSP 'stapling' para mejorar el rendimiento. (D)

¿Qué implicaciones tiene la no disponibilidad en la criptografía asimétrica, considerando arquitecturas de sistemas distribuidos que requieren alta disponibilidad y tolerancia a fallos?

Requiere la implementación de mecanismos de redundancia y conmutación por error (failover) para las Autoridades de Certificación (CA) y las Autoridades de Validación (VA), así como el uso de 'hardware security modules' (HSMs) replicados geográficamente. (B)

En un escenario donde se utiliza una firma digital para garantizar la integridad y autenticidad de un contrato inteligente ('smart contract') desplegado en una 'blockchain' pública, ¿qué vulnerabilidades específicas deben mitigarse para prevenir la manipulación maliciosa del contrato?

Todas las anteriores. (A)

¿Cómo impacta la elección de una función 'hash' criptográfica en la seguridad de un sistema de autenticación basado en contraseñas almacenadas con 'salts', considerando la evolución constante de las capacidades de cómputo y los ataques de diccionario avanzados?

Las opciones A y B. (D)

En el contexto de la criptografía híbrida utilizada en el protocolo SSH, ¿cuáles son las consideraciones de seguridad más críticas al elegir un algoritmo simétrico para el cifrado de la información transmitida después del intercambio de claves asimétrico inicial?

Las opciones B y C. (B)

Considere un escenario en el que una Autoridad de Certificación (CA) ha sido comprometida y un atacante ha emitido certificados digitales fraudulentos. ¿Cuáles son las medidas más efectivas que se pueden tomar para mitigar el impacto de este incidente y restaurar la confianza en el sistema?

Todas las anteriores. (A)

¿Cómo se aborda la gestión de claves en la criptografía asimétrica, considerando los desafíos inherentes a la protección de la clave privada del usuario y la necesidad de facilitar el acceso a la clave pública para la verificación de firmas digitales?

Las opciones A y B. (A)

¿Cuál de las siguientes afirmaciones describe con mayor precisión el concepto de 'No Repudio' en el contexto de la seguridad informática y la criptografía?

Es la imposibilidad de que el emisor de un mensaje o una transacción niegue haberla enviado. (D)

En el contexto de la criptografía, ¿cuál es la diferencia fundamental entre un ataque de 'preimagen' y un ataque de 'segunda preimagen' contra una función 'hash' criptográfica?

Un ataque de 'preimagen' intenta encontrar una entrada que produzca un 'hash' específico, mientras que un ataque de 'segunda preimagen' intenta encontrar una entrada diferente que produzca el mismo 'hash' que una entrada dada. (B)

En el contexto de la criptografía, ¿cuál es la principal ventaja de utilizar un algoritmo de cifrado asimétrico en comparación con un algoritmo de cifrado simétrico al proteger las comunicaciones a través de una red pública?

Los algoritmos de cifrado asimétrico eliminan la necesidad de intercambiar una clave secreta entre las partes comunicantes, mitigando el riesgo de interceptación de la clave durante la transmisión. (A)

¿Cuáles son las implicaciones de la computación cuántica para la seguridad de los algoritmos de cifrado asimétrico actualmente en uso, como RSA y ECC?

La computación cuántica representa una amenaza significativa para la seguridad de RSA y ECC, ya que el algoritmo de Shor puede factorizar números grandes y resolver el problema del logaritmo discreto de curva elíptica de manera eficiente. (C)

En el proceso de firma digital, ¿cuál es el propósito de utilizar una función 'hash' antes de cifrar el mensaje con la clave privada del emisor?

Para crear una 'huella digital' del mensaje que representa su contenido de manera única y concisa, permitiendo verificar la integridad del mensaje. (B)

¿Cómo se aborda la seguridad en sistemas que requieren el uso de certificados digitales autofirmados, considerando que estos certificados no están respaldados por una Autoridad de Certificación (CA) de confianza?

Los certificados autofirmados pueden utilizarse en entornos de prueba o en sistemas donde la confianza se establece por otros medios, pero requieren una verificación manual y cuidadosa de la identidad del emisor. (D)

¿Qué rol desempeña una Autoridad de Registro (RA) en una Infraestructura de Clave Pública (PKI) y cómo se diferencia de una Autoridad de Certificación (CA)?

La RA verifica la identidad de los solicitantes de certificados en nombre de la CA y puede realizar otras funciones administrativas, mientras que la CA es responsable de emitir y revocar certificados. (D)

¿Cuál de las siguientes técnicas se utiliza para mitigar el riesgo de ataques de 'replay' en sistemas de autenticación que utilizan criptografía?

Utilizar 'nonces' (números aleatorios únicos) o 'timestamps' en los mensajes de autenticación. (D)

¿Cuál es el propósito de un 'hardware security module' (HSM) en el contexto de la criptografía y la seguridad informática?

Almacenar y gestionar claves criptográficas de forma segura, protegiéndolas contra el acceso no autorizado y la manipulación. (D)

¿Cuál es el principal desafío asociado con la gestión de claves en un sistema de cifrado de extremo a extremo (E2EE) donde los usuarios controlan sus propias claves?

Facilitar la recuperación de claves perdidas u olvidadas sin comprometer la seguridad del sistema. (A)

En un escenario donde se utiliza la criptografía para proteger datos almacenados en la nube, ¿qué medidas adicionales se deben considerar para mitigar el riesgo de acceso no autorizado por parte del proveedor de la nube o de terceros?

Todas las anteriores son medidas importantes. (D)

Considerando un ataque de canal lateral ('side-channel attack') contra una implementación de un algoritmo criptográfico, ¿cuál de las siguientes contramedidas sería más efectiva para proteger contra la fuga de información sensible?

Utilizar una implementación del algoritmo criptográfico que sea resistente a ataques de tiempo, ataques de consumo de energía y ataques electromagnéticos. (B)

¿Cuál es la diferencia fundamental entre la confidencialidad, la integridad y la disponibilidad en el contexto de la seguridad de la información?

La confidencialidad se refiere a la protección de la información contra el acceso no autorizado, la integridad se refiere a la garantía de que la información es precisa y completa, y la disponibilidad se refiere a la garantía de que la información está accesible cuando se necesita. (C)

En el contexto de la criptografía post-cuántica, ¿cuál es el objetivo principal de desarrollar nuevos algoritmos criptográficos?

Desarrollar algoritmos criptográficos que sean resistentes a los ataques de computadoras cuánticas, protegiendo así la información confidencial en el futuro. (A)

En un escenario donde se requiere la autenticación mutua entre un cliente y un servidor, ¿qué protocolo criptográfico sería más adecuado para garantizar la seguridad y la confianza en ambos extremos de la comunicación?

Las opciones B y C. (C)

¿Cuáles son las implicaciones de utilizar un algoritmo de cifrado con una longitud de clave corta en términos de seguridad a largo plazo?

Un algoritmo de cifrado con una longitud de clave corta puede ser seguro a corto plazo, pero se vuelve vulnerable a ataques de fuerza bruta a medida que aumenta la capacidad de cómputo. (B)

En el contexto de la criptografía homomórfica, ¿cuál es la principal ventaja de poder realizar operaciones sobre datos cifrados sin necesidad de descifrarlos?

Permitir el procesamiento de datos confidenciales en entornos no confiables, como la nube, sin exponer los datos subyacentes. (D)

¿Qué es el 'Online Certificate Status Protocol (OCSP)' y cuál es su principal ventaja en comparación con las Listas de Revocación de Certificados (CRL)?

OCSP proporciona información sobre el estado de revocación de un certificado en tiempo real, mientras que CRL requiere la descarga periódica de una lista completa de certificados revocados. (B)

¿Cuál de los siguientes NO es un objetivo principal de la criptografía?

Obscuridad. (C)

Flashcards

¿Qué es la criptografía?

Transformar un documento original en uno ilegible mediante un algoritmo.

¿Qué es la clave en criptografía?

Conjunto de valores que, combinados con el documento original según el algoritmo, producen un documento cifrado.

¿Qué son los ataques de fuerza bruta o de diccionario?

Ataques que intentan adivinar la clave probando todas las combinaciones o usando un diccionario de palabras comunes.

¿Qué es una función HASH?

Algoritmo matemático que transforma datos en una serie de caracteres de longitud fija.

¿Qué es la sustitución en criptografía?

Cambio de significado de las letras, dígitos o símbolos en un mensaje.

¿Qué es la transposición en criptografía?

Reordenamiento de los elementos básicos de un mensaje sin modificarlos en sí mismos.

¿Qué es un algoritmo simétrico?

Algoritmo que utiliza la misma clave para cifrar y descifrar información.

¿Qué es un algoritmo asimétrico?

Algoritmo que usa un par de claves (pública y privada) para cifrar y descifrar información.

¿Qué es un algoritmo híbrido?

Combinación de criptografía asimétrica para el intercambio de claves y criptografía simétrica para la transmisión de datos.

¿Qué es una firma digital?

Función resumen o hash aplicada a un documento para garantizar su integridad y autenticidad.

¿Qué es una Autoridad de Certificación (CA)?

Entidad confiable que emite y gestiona certificados digitales, verificando la identidad del solicitante.

¿Qué es PKI?

Infraestructura de clave pública, sistema que utiliza certificados digitales para la autenticación.

Study Notes

Criptografía

• Consiste en aplicar un algoritmo a un documento original para crear un nuevo documento cifrado que no se puede entender directamente.
• El destinatario aplica el algoritmo para recuperar el documento original.
• La privacidad se logra con una clave, un conjunto de valores que, combinados con el documento original, generan un documento cifrado del que no se puede deducir el original ni la clave.
• Las claves son combinaciones de símbolos (letras, números, signos de puntuación, etc.).
• La seguridad se expone a ataques de fuerza bruta o de diccionario.
• Para evitarlo, se recomienda:
• Usar claves largas
• Cambiar la clave regularmente
• Usar todos los tipos de caracteres posibles
• Evitar palabras identificables
• Detectar e informar intentos fallidos repetidos

Función HASH

• Es un algoritmo matemático que transforma cualquier bloque de datos en una serie de caracteres con longitud fija.
• El valor hash de salida siempre tiene la misma longitud, sin importar la longitud de los datos de entrada.

Técnicas de Cifrado

• Sustitución: Cambia el significado de los elementos básicos de un mensaje, como letras, dígitos o símbolos. Un ejemplo es el Cifrado de Polibios.
• Transposición: Reordena los elementos básicos sin modificarlos. Por ejemplo, la Escítala.

Algoritmo Simétrico

• Las partes que se comunican deben acordar de antemano una clave única.
• La seguridad debe depender de la clave, no del algoritmo.
• No se puede descifrar el mensaje sin la clave.
• Características:
• Clave única compartida por emisor y receptor.
• Alta velocidad y baja complejidad, para cifrar grandes volúmenes de información.
• Requiere métodos seguros para la distribución de la clave compartida.
• Vulnerable en el intercambio de claves.
• Implementa Confidencialidad, pero no Integridad, Disponibilidad, Autenticación y No Repudio.
• Ejemplos: AES (Advanced Encryption Standard), DES (Data Encryption Standard) y Blowfish.

Algoritmo Asimétrico

• Usa un par de claves creadas juntas: una pública y una privada.
• La clave pública se comparte libremente, la clave privada se mantiene en secreto.
• Los datos se cifran con la clave pública y solo se descifran con la privada, o viceversa.
• Ofrece seguridad en el intercambio de claves, ya que la clave pública se comparte libremente.
• Implica mayor carga computacional al ser más lento y necesitar más recursos.
• Se usa para la comprobación de identidad y el intercambio de claves, no para cifrar grandes volúmenes de datos.
• Implementa Confidencialidad, Integridad, Autenticación y No Repudio, pero no Disponibilidad.
• Ejemplos: RSA (RivestShamir-Adleman), DSA (Digital Signature Algorithm) y ECC (Elliptic Curve Cryptography).

Comparativa Criptografía Simétrica vs Asimétrica

• Simétrica
• Una clave compartida
• Rápida y eficiente
• Gestión de claves compleja, sobre todo en sistemas grandes
• Depende de la seguridad de la compartición de clave
• Para grandes volúmenes de datos (cifrado de datos, sistemas de archivos, disco)
• Asimétrica
• Dos claves: pública y privada
• Lenta y necesita muchos recursos
• Gestión de claves sencilla gracias a la clave pública
• Segura
• Para intercambio de claves y firma digital

Algoritmo Híbrido

• La mayoría de apps utilizan un cifrado híbrido.
• Utiliza criptografía asimétrica (más segura) para intercambiar claves simétricas.
• Utiliza criptografía simétrica (más eficiente) para la transmisión de la información.
• El protocolo SSH es un ejemplo.

Firma Digital

• Mecanismo que garantiza la identidad del emisor.
• Permite al receptor verificar el origen de la información y que no ha sido modificada.
• Asegura autenticación, integridad y no repudio en origen.
• No se puede argumentar no haber originado un mensaje firmado digitalmente.
• Es un cifrado del mensaje utilizando la clave privada en lugar de la pública
• Proceso:
• El emisor aplica una función resumen o hash al documento, generando una huella digital que garantiza la integridad.
• El documento original (sin cifrar) y la firma digital (el hash cifrado con la clave privada) se envían al destinatario.
• La firma digital está vinculada al documento original y a la identidad del emisor.
• El receptor calcula el hash del documento y descifra la firma digital con la clave pública del emisor.
• Si ambos hashes coinciden, el documento no ha sido alterado y proviene del firmante legítimo.
• Si no coinciden, el documento fue alterado o la firma no es del firmante original.

Certificado Digital

• También se conoce como "Terceras partes de confianza".
• Permite solucionar el problema de las comunicaciones seguras entre máquinas remotas.
• La solución es implementar una PKI (Public Key Infrastructure, infraestructura de clave pública).

Instituciones en el proceso de PKI

• Autoridad de Certificación (CA): Emite y gestiona certificados digitales. Verifica la identidad del solicitante antes de emitir el certificado. (Ej: FNMT).
• Autoridad de Registro (RA): Verifica la identidad del solicitante en nombre de la CA. Realiza comprobaciones de identidad antes de enviar la solicitud a la CA. (Ej: INSS, comisarías).
• Autoridad de Validación (VA): Comprueba la validez de los certificados digitales emitidos. Suele coincidir con la CA.
• Repositorio de Certificados (CR): Base de datos con los certificados emitidos y las listas de revocación de certificados (CRL). Accesible públicamente.
• Lista de Revocación de Certificados (CRL): Permite saber si un certificado ha sido revocado antes de su expiración.
• Es importante verificar quién firma, para quién firma, qué usos tiene la clave, fecha de firma, caducidad, algoritmos, etc.
• Para autenticar una clave pública mediante PKI:
• El servidor ha conseguido que una CA le firme su clave pública.
• El cliente dispone de la clave pública de esa CA en su llavero de claves asimétricas.

Proceso de emisión de un certificado digital

• El usuario entrega los documentos a la Autoridad de Registro.
• Tras aprobar la solicitud, la Autoridad de Registro envía los datos a la Autoridad de Certificación.
• La Autoridad de Registro suministra el certificado al usuario.