Tema 3. PDF

Summary

This document introduces different types of cryptography, focusing on the methods of ciphers, such as symmetric and asymmetric cryptography and the concept of hashing. It explains the advantages, disadvantages, and processes involved. The document also discusses related concepts like integrity and confidentiality.

Full Transcript

UNIDAD 3. LA CRIPTOGRAFÍA. MÉTODOS DE
CIFRADOS
MAPA CONCEPTUAL
DEFICICIÓN
SIMÉTRICOS O DE
CLAVE PRIVADA

MÉTODOS DE
CIFRADOS CIFRADO HIBRIDO

ASIMÉTRICOS O
DE CLAVE
CRIPTOGRAFÍA EL HASHING PÚBLICA

HERRAMIENTAS DE AUTORIDADES
ENCRIPTADO CERTIFICDORAS

CERTIFICADO ALMACEN DE
DIGITAL CERTIFICADOS

PROTOCOLOS DE INFRAESTRUCTUR
AUTENTICACIÓN A DE CLAVE
PÚBLICA
 GLOSARIO
Autenticidad: Garantía de que el remitente de un
mensaje no es un suplantador.
Criptoanálisis: Estudio de los sistemas criptográficos
con el fin de encontrar debilidades y romper su
seguridad.
Función hash: Operación realizada sobre un conjunto
de datos de cualquier tamaño, cuyo resultado es otro
conjunto de datos de tamaño fijo, con la
particularidad de que es prácticamente imposible
encontrar dos conjuntos originales de datos que
generen el mismo resultado al aplicar la función hash.
 GLOSARIO
Confidencialidad: Garantía de que la información solo
puede ser leída por la persona u organismo
autorizado a hacerlo.
Texto plano (plain text): En el ámbito de la
criptografía, mensaje sin cifrar. En otros ámbitos suele
hacerse referencia a textos sin formato.
Texto cifrado (cipher text): Resultado de aplicar algún
algoritmo de cifrado a un texto plano.
Integridad: garantía de que un mensaje no ha sido
alterado desde su creación hasta la entrega.
 3.1. INTRODUCCIÓN
La criptografía estudia los métodos en virtud de los
cuales es posible transformar un mensaje legible en
otro ilegible (mensaje cifrado) mediante el uso de una
clave, la cual es necesaria para transformar el mensaje
ilegible, nuevamente en el original. De este modo el
mensaje cifrado puede ser transmitido por un canal
inseguro, con la confianza de que, si es interceptado, no
podrá ser interpretado.
Precisamente, gracias al uso de la criptografía se puede
obtener una serie de ventajas en el ámbito de la
seguridad informática que garantizarán la
confidencialidad, la integridad, la autenticidad y el no
repudio.
CRIPTOGRAFÍA:
Es la técnica que altera las representaciones lingüísticas
de un mensaje, para hacerlo más seguro y confidencial.
Gracias al uso de la criptografía se puede obtener una
serie de ventajas de gran utilidad en el ámbito de la
seguridad informática como son:
La confidencialidad, la integridad, la autenticidad y
el No repudio.
ELEMENTOS QUE INTERVIENEN EN UNA
COMUNICACIÓN CIFRADA:
 Emisor
 Mensaje
 Canal
 Receptor
 Mensaje original no Mensaje
cifrado descifrado original

Envío del
mensaje
Emisor Cifrado Descifrado Receptor
cifrado
por canal
inseguro

Mensaje cifrado
Mensaje cifrado
 3.1.1. ALGORITMOS DE CIFRADOS

Los algoritmos de cifrados de la información se
utilizan para garantizar la confidencialidad de la
misma, estos pueden ser:
1. Encriptación Simétrica
2. Encriptación Asimétrica
3. Hashing
La diferencia entre las dos encriptaciones radica en
el número de claves que se emplea para cifrar y
descifrar los mensajes que se transmiten a través de
un medio de comunicación como es Internet.
 3.1.2. La Criptografía Simétrica
En este tipo de cifrado se emplea una única clave,
conocida como clave pública que será previamente
pactada por ambos comunicantes, de forma segura.

Si no se hace de forma segura, puede poner en riesgo
el sistema.
 El Emisor cifra el mensaje con esa clave pública y se lo envía
al Receptor que lo va a descifrar con esa misma clave.
Este tipo de cifrado tiene entre sus desventajas principales
el hecho de que si uno de los dos comunicadores es
atacado por un ciberdelincuente, la información que posee
el otro también se verá expuesta.
3.1.3. La criptografía Asimétrica. Funcionamiento,
ventajas y desventajas.
Este tipo de cifrado está basado en el uso de dos claves:
1. Una clave pública: que será de un conocimiento general por
parte de usuarios y equipos implicados en la comunicación.
2. Una clave privada: que se mantendrá en la más absoluta
confidencialidad y no debe ser publicada, ni revelada a
nadie.
Su funcionamiento consiste en cifrar con la clave
pública del destinatario el contenido del mensaje
transmitido, el cual solo se podrá descifrar con la
correspondiente clave privada. Pero es preciso
destacar que este proceso también se puede realizar
a la inversa. Es decir podemos cifrar con la clave
privada el contenido del mensaje que luego podrá ser
descifrado con la clave pública del emisor (caso 2).
La principal ventaja de los cifradores asimétricos
frente a los simétricos es que no requieren de un
mecanismo seguro de intercambio previo de claves
ya que compartir sobre un canal hostil la clave pública
no genera inconvenientes de seguridad.
En el segundo caso a pesar de que se garantiza la
autenticidad del mensaje, no se puede considerar
que goce de confidencialidad, ya que cualquiera que
tenga conocimiento de la clave pública del emisor
puede tener acceso al contenido del mensaje
transmitido.
Estos métodos de cifrados de la información no son
excluyentes, por lo que hoy en día se utilizan
esquemas híbridos de cifrado, es decir para
proteger cierta parte de la información se utiliza la
criptografía simétrica y para proteger otras partes
se utiliza la asimétrica.
Como principales desventajas se puede mencionar
que:
1. Los algoritmos asimétricos consumen más
tiempo de procesamiento que los simétricos, por
lo que, para cifrar grandes cantidades de tráfico
(como el intercambiado generado por una VPN) un
algoritmo asimétrico no sería recomendable.

2. Los algoritmos asimétricos, por sus
características intrínsecas, son vulnerables al
criptoanálisis cuántico, es decir, al criptoanálisis
realizado desde ordenadores cuánticos.
 EJEMPLOS DE ALGORITMOS Y LA ENCRIPTACIÓN QUE EMPLEAN

SIMÉTRICA ASIMÉTRICA
DES: Clave de 52 bits. Puede romperse en menos RSA: longitud de clave de 128 bits, 256, 1024, 2048,
de 24 h 3072, 7680 y 15360 bits. Se usa para encriptar
comunicaciones, firmas digitales e intercambio de
claves.
3DES (TDES): Claves de 192 bits, equivale a aplicar Diffie-Hellman: Se emplea generalmente como medio
tres veces consecutivas el DES para acordar claves simétricas que serán empleadas
para el cifrado de una sesión.

AES: Claves de 128, 192, 256 bits. Es muy utilizado DSA: Clave entre 1024 y 3072 bits, fue creado para
en la actualidad generar firmas digitales, ofrece el mismo nivel de
seguridad que RSA, aunque sigue en constante
desarrollo
RC4: Más rápido y seguro que DES Curva Elíptica (ECC): se basa en las matemáticas de las
curvas elípticas, se considera un sucesor moderno de
RSA, porque utiliza claves y firmas más pequeñas para
un mismo nivel de seguridad, siendo mucho más
rápido. Menos vulnerable a Quantum Computing
IDEA: Clave de 128 bits. Está considerado como
uno de los más seguros actualmente
 EJEMPLOS DE ALGORITMOS Y LA ENCRIPTACIÓN QUE EMPLEAN

SIMÉTRICA
Chacha20: es un cifrado de flujo lo que lo diferencia de AES que es un cifrado por bloques.
Soporta claves de 128 y 256 bits y sus características son similares a su predecesor salsa20,
pero con una función primitiva de 12 o 20 rondas distintas. Se utiliza mucho en las
conexiones HTTPS.
TwoFish: dispone de un tamaño de bloque de 128 bits, lo que lo hace seguro ante ataques
de fuerza bruta. La longitud de su clave puede estar entre 128, 192 o 256 bits. Su uso está
pensado para unidades de procesamiento de 32 bits, tanto en entornos de hardware como
de software.

Otro método de cifrado:
IBM propone al cifrado pervasivo, que puede ser accesible
mediante una plataforma denominada IBM z15, éste es uno
de los cifrados más seguro, el cual permite proteger los datos
en todos los puntos por donde viaja a través de la red. No
sólo se aplica cuando los datos están en tránsito, sino
también cuando están almacenados.
 3.1.4. EL ALGORITMO RSA. GENERACIÓN DE
CLAVES, CIFRADO Y DESCIFRADO
El nombre RSA proviene de las iniciales de sus tres
creadores, Rivest, Shamir y Adleman. Es un
algoritmo de cifrado asimétrico de gran uso. La
mayor parte de los sitios web, en la actualidad
integran seguridad SSL/TLS y permiten la
autenticación mediante RSA.
El procedimiento general de generación de claves,
cifrado y descifrado utilizando este algoritmo se
explica de la siguiente forma:
 GENERACIÓN DE CLAVES:
1. Se seleccionan dos números primos: p , q
2. Se calcula n=p*q
3. Se calcula z=(p -1)*(q -1)
4. Seleccionar un número entero k que debe
cumplir la siguiente condición:
El MCD(z , k)=1; donde 1 < k < z
El resultado de n y k conforman la clave pública
(n,k)
5. Elegir un número j entero que verifique:
j = (1 + x * z)/k; para algún valor entero de k
El resultado ( j ) sería la clave privada.
K * j =1 (mod z)
 CIFRADO
Texto cifrado: C, que verifica:
M^k = C (mod n)
Se calcula de la siguiente manera:
C = M ^k % n, donde % calcula el módulo.

DESCIFRADO
Texto plano: M, que verifica:
C ^j = M (mod n)
Se calcula de la siguiente manera:
M = C ^j % n, donde % calcula el módulo.
 Generando las claves RSA
Antes de que se envíe un mensaje a alguien, el
destinatario habrá generado las claves.
Matemáticamente, éste proceso se realiza de la
siguiente forma:
1. Se eligen dos números primos, por ejemplo, p=3 y
q=11
2. Calcula el producto n=p*q.
En nuestro caso: n = 3 * 11 = 33
3. Calcula z=(p-1)*(q-1).
En nuestro caso: z=( 3 - 1 ) * ( 11 - 1 ) = 20
4. Elige un número primo k, tal que k sea coprimo a z,
es decir, que el máximo común divisor de ambos
sea 1, esto es: gcd(k,z) = 1 para algún valor de k.
Tenemos varias opciones en este ejemplo, los valores
de k pueden ser 3, 7, 11, 13, 17 o 19. 5 es primo, pero
no es coprimo de z puesto que 20 (z) 5 (k) son
divisibles por 5.
Elijamos a k=7, por ejemplo, para simplificarnos los
cálculos con un número pequeño.
5. La clave pública va a ser el conjunto de los números
(n,k), es decir, (33,7) en nuestro ejemplo. A n se lo
conoce como módulo, y a k como el exponente
público.
6. Ahora se calcula la clave privada. Para ello, se elige
un número j entero, que verifique la siguiente
ecuación (congruencia lineal): k*j = 1 (mod z).
En la práctica esto puede resolverse buscando un j
que sea entero, y que verifique j = (1+x*z)/k, para
algún valor entero de x.
Esta ecuación de congruencia tiene infinitos
resultados. Podríamos probar para distintos valores
de x (1, 2, 3, 4, etc), realizar la operación, y verificar
que el resultado, j, sea entero. Para este caso elijamos
el caso más sencillo: j=3 para un valor x=1.
A j se lo conoce como exponente privado.
 EJEMPLO DE CIFRADO Y DESCIFRADO
Suponiendo que tenemos un mensaje en texto plano
(sin cifrar) denotado por M, y cuyo valor es M=14,
vamos a cifrarlo utilizando esta ecuación matemática:
C = M^k mod n
Haciendo la sustitución por los valores que tenemos
que cifrar y teniendo en cuenta que el módulo (mod) se
calcula con el operador %, tenemos que el texto cifrado,
denotado por C, es:
C = (14^7) % 33 = 20, donde 20 es el texto cifrado
Esto significa que el mensaje original que es el número
14 sin cifrar, cuando se cifra con RSA se enviará el
número 20 utilizando la clave pública del destinatario.
Ahora, suponiendo que el destinatario, que posee
su clave privada (j=3), recibe el mensaje cifrado
C=20.
Se utilizará la siguiente ecuación matemática para
descifrar el mensaje:
M = C^j mod n
Sustituyendo los valores por los datos que
tenemos, se verificará que el texto plano va a ser
igual al original:
M = 20^3 % 33 = 14
 3.1.4. ALGORITMO DE HASH SEGURO
Los algoritmos de hash criptográfico generan hashes
irreversibles y únicos. Cuanto mayor sea la cantidad
de hashes posibles, menor será la probabilidad de que
dos valores creen el mismo hash. El hashing es como
se conoce a la función matemática que no cuenta con
inversa, de modo que da un resultado de longitud fija.
Mientras que el principal objetivo del cifrado tanto
simétrico como asimétrico es garantizar la
confidencialidad de la información, el hashing se
utiliza para garantizar la integridad de la información
compartida.
 Mediante la función de integridad, se garantiza que un mensaje
no haya sido alterado en ningún punto durante el periodo
transcurrido entre la emisión y la recepción del mismo.
Dos de los algoritmos que se utilizan con mayor frecuencia a día
de hoy son:
MD5
Este algoritmo no funciona correctamente y puede ocurrir una
situación en la que la función produzca el mismo resumen para
dos cadenas diferentes. Este defecto hace que la función MD5
no sea aconsejada para la criptografía, ya que conduce a una
serie de agujeros de seguridad. Pero sigue utilizándose para
verificar la integridad de los datos en aplicaciones simples y no
críticas. MD5 no tiene un método de descifrado especifico.
SHA-1
Ejemplo: Como resultado de escribir polonio esteban, al pulsar
el generador obtendremos:
SHA-1: es una función criptográfica hash que toma
una entrada y produce un valor hash de 160 bits (20
bytes) conocido como resumen de mensaje,
generalmente representado como un número
hexadecimal, 40 dígitos de largo. SHA-1 no se
considera seguro contra oponentes bien financiados,
y desde 2010 muchas organizaciones han
recomendado su reemplazo por SHA-2 o SHA-3
SHA-2: incluye cambios significativos de su
predecesor, SHA-1. La familia SHA-2 consta de seis
funciones hash con resúmenes (valores hash) que son
224, 256, 384 o 512 bits.
 Ejemplos de encriptado
85dd1609e77939dc69db3e9c0055c13e45246e
3d
“somos el mundo” encriptado con SHA1 Hash
005a11783cd2fd04a4a469333043f9a7
“somos el mundo” encriptado con md5
Funciones principales de MD5
F(B,C,D)=(B C) (¬B D)
G(B,C,D)=(B D) (C ¬D)
H(B,C,D)=B C D
I(B,C,D)=C (B ¬D)
Debido a que el hashing da un resultado único
de longitud fija, si algún bit de información es
modificado de algún modo, este produce un
hash distinto al original. De este modo, el
receptor puede comparar el hash original y el
producido en el momento de recibir y
descifrar la información, teniendo así la
certeza de que la información ha sido alterada
 DESENCRIPTANDO HASHES
También se puede realizar el proceso inverso, a través de la siguiente
URL: https://hashes.com/es/decrypt/hash
Se copia el código hashes, generado previamente y como resultado
obtendremos el dato original.
 3.2. HERRAMIENTAS DE ENCRIPTADO
Microsoft incluyó a partir de su sistema Windows 2000, y posteriores, el
método de archivos encriptados conocido como EFS (Encrypted File
System) que cumple este propósito.
EFS(Encrypted File System )
Es un sistema de archivos que, trabajando sobre NTFS,
permite cifrado de archivos a nivel de sistema.
Permite a los archivos administrados por el sistema operativo ser
cifrados en las particiones NTFS en donde esté habilitado, para proteger
datos confidenciales
En la actualidad existen memorias USB con
teclados integrados que permiten elegir una
contraseña de 4 o más dígitos.
Además, otra de las funciones más interesantes
de las memorias encriptadas es que pueden
bloquearse a distancia en caso de que se
pierdan o sean robadas.
3.2.1. AÑADIR CONTRASEÑA A UNA MEMORIA USB
CONVENCIONAL
Posibilita proteger los pendrive convencionales
con contraseña de acceso, con el propósito de
impedir el acceso a los datos que en ellos se
almacenan.
Desde ordenadores con sistema operativo
Windows, esta encriptación se lleva a cabo a
través de la herramienta BitLocker, que formaba
parte del paquete de “software” del sistema en
sus versiones, Vista, 7 y ahora en Windows 10
Pro.
 3.2.2. ENCRIPTAR CARPETA O ARCHIVO
1. Crear un archivo de texto plano (no cifrado) con una
información confidencial en su interior.
2. Seleccionaremos el archivo (o carpeta) a encriptar y con el
botón derecho accederemos a la ventana de Propiedades.
3. En su pestaña General pulsaremos sobre Opciones
Avanzadas y en Atributos de compresión y cifrado
marcaremos la opción de Cifrar contenido para proteger
datos.
Nota: En caso de no tener habilitada dicha opción se deberá
ejecutar gpedit.msc (editor de directivas de grupo) y
habilitar la directiva local,
Directiva de equipo local\Configuración de Windows\
Configuración de seguridad\ Directivas de clave
pública\Sistema de cifrado de archivos.
Al establecer una comparativa con otros métodos
de encriptado, vemos que los métodos antes
mencionados son más costosos que el uso de la
herramienta que nos ofrece el propio Sistema
Operativo.
Gpedit no se encuentra preinstalado en las versiones Home
de los sistemas operativos Windows.
Se podrá descargar desde:
https://www.emibin.com/activar-gpedit-msc-windows-10-
home/
Si el sistema operativo es de 64 bits hay que ir a la
carpeta C:\Windows\SysWOW64 y copiar las
carpetas “GroupPolicy“, “GroupPolicyUsers” y el
archivo “gpedit.msc” para después pegarlo en
C:\Windows\system32

NOTA: Recuerda que no se debe comprimir los
archivos cifrados ya que dejaran de estarlo.
GPEDIT.MSC
El agente de recuperación de datos se puede
configurar en el servidor de Windows. Pero
previamente habrá que activar en el servidor el rol
de servicio de certificados de AD (si está dentro de
un dominio) y la característica de Entidad de
certificación.
Aplicaciones de terceros para encriptar archivos,
carpetas y mensajes de correo electrónico:
1. Anti Folder Locker (Descarga Anvi Folder Locker
1.2.1370.0 para Windows | Uptodown.com)

2. AESCrypt (AES Crypt - Downloads for Windows,
Mac, Linux, Java, JavaScript, Python)
 Cifrar archivo con la ayuda de MySecret Folder
3. My Secret Folder permite ocultar y proteger
cualquier documento o cualquier carpeta existente en
el disco duro del PC, impidiendo así el acceso a los
mismos de terceras personas o de otros usuarios del
mismo equipo. La principal diferencia de My Secret
Folder con otros programas de la misma categoría, es
que tiene dos vías de actuación:
1. Se puede proteger el objeto con una contraseña, para
que nadie sin permiso pueda acceder a su contenido.
2. Se puedes ocultar el objeto haciéndolo invisible a
cualquier persona que esté navegando por el disco
duro.
4. Kleopatra (Gpg4win): es una versión para
Windows de GnuPG que cuenta con una herramienta
de menú contextual, un administrador de criptografía
y un complemento de Outlook para enviar y recibir
Correos PGP/MIME.
La aplicación se puede descargar desde el siguiente
enlace:
https://gnupg.org/download/index.html
Kleopatra es un administrador de certificados y una
Interfaz Gráfica de Usuario (GUI) criptográfica
universal que hace uso de un tipo de cifrado
asimétrico por medio de GnuPG, en el que la llave
que se utiliza para cifrar no es la misma que se utiliza
para descifrar. Esta herramienta permite crear
certificados digitales de clave asimétrica, firmar y
cifrar documentos, lo que facilita mayor seguridad.
1. Una vez instalada la aplicación se procede a
generar un nuevo par de claves. (Se recomienda
realizar el respaldo de las claves generadas y enviar la
clave pública por correo, para que el destinatario del
mensaje pueda desencriptarlo)
Realizando copia
de respaldo
El archivo “respaldo
de claves” al abrirlo
mostrará el
contenido que
aparece en la imagen
que pertenece a la
clave privada
generada por la
aplicación
2. Realizando una prueba de cifrado, para ello se crea
un documento de texto en el escritorio, se escribe
dentro y en la aplicación se pulsa el botón firmar y
cifrar. Se selecciona la configuración necesaria y se
realiza el cifrado
Para descifrarlo solo
basta con hacer
doble clic sobre el
archivo cifrado y
poner la contraseña
configurada.
 3.2.3. REQUISITOS SEGÚN LA FUNCIÓN Y
OPERACIÓN EN CRIPTOGRAFÍA ASIMÉTRICA
En función de como se utilicen las claves ,
empleadas para encriptar los datos, si se hace en
el rol de emisor o en el papel de receptor se
obtendrán unas propiedades criptográficas u
otras.
PROCESOS EL REMITENTE DEBE TENER EL DESTINATARIO DEBE
TENER

PROCESO DE FIRMADO SU PROPIA CLAVE PRIVADA LA CLAVE PÚBLICA DEL
REMITENTE

PROCESO DE CIFRADO LA CLAVE PÚBLICA DEL SU PROPIA CLAVE PRIVADA
DESTINATARIO
3.3. FIRMA ELECTRÓNICA Y CERTIFICADO DIGITAL
La firma electrónica: es el conjunto de datos relativos a una
persona consignados en formato digital, que pueden ser utilizados
como medio de identificación del firmante, teniendo igual valor
que la firma manuscrita.
 La firma electrónica se añade al documento digital firmado,
formando un todo con él.
El certificado digital: es un fichero que contiene datos de la
identidad de un usuario (persona física o jurídica) junto con sus
claves criptográficas para poder firmar electrónicamente.
Características del certificado digital
Garantiza la identidad del dueño.
Tiene fecha de caducidad y ha de ser renovado a los 4 años.
Es emitido por una autoridad certificadora (FNMT), organismo
que genera y firma el certificado respondiendo por su
autenticidad.
Nuevo método para la obtención de un Certificado Electrónico. A
través de la página certificadoelectronico.es se puede obtener de
forma online, sin necesidad de confirmar la entidad
presencialmente, pero no es gratuito.
3.3.1. PROCESO DE VALIDACIÓN DE UN CERTIFICADO
DIGITAL
Solicitar certificado digital

¿Está
firmado por
una CA de
No confianza?

Si

Certificado ¿Está
rechazado caducado?
Si

No
Consultar
con la Certificado
CA:¿está aceptado
Si revocado? No
 3.3.2. ALMACÉN DE CERTIFICADOS EN MICROSOFT
WINDOWS
Todos los sistemas operativos disponen de un
almacén de certificados, para almacenar los
certificados tanto de los usuarios como de los
servidores y también de las aplicaciones
El almacén de los certificados está dividido en
carpetas según el tipo de certificados y el uso que se
va a hacer de ellos (personales, sitios, web, etc.). En
una de esas carpetas se encuentran los certificados de
las CA de confianza.
Windows dispone, dentro de su configuración, de la
herramienta Administrar certificados de equipo, la cual
sirve para gestionar los certificados del sistema operativo
Por otro lado, aplicaciones como Mozilla Firefox,
trabajan con su propio almacén de certificados, lo
cual complica la utilización de los certificados por
parte del usuario, ya que le trae confusión ante
problemas de autenticación en sedes electrónicas.
 3.4. INFRAESTRUCTURA DE CLAVE PÚBLICA,
PKI
PKI: Son las iniciales de Public Key Infraestructure, lo
que se traduce en el conjunto de elementos
(hardware y software) que se necesitan para crear un
sistema de certificación.
El PKI se compone de:
Una o más autoridades de certificación jerarquizadas,
Autoridades de registro,
Servidores Web que publican los certificados revocados,
etc.

NOTA: Cuando un Sistema Windows Server instala el software PKI, el
nombre NETBIOS de ese sistema no puede cambiarse, por lo que debe
configurarse como permanente antes de la instalación del software.
 TIPOS DE AUTORIDADES DE
CERTIFICACIÓN
AUTORIDADES SUBORDINADAS:
AUTORIDADES RAÍZ:
Dependen en la cadena de confianza de otra
No depende de ninguna otra autoridad, autoridad de orden superior, sus certificados
sus certificados son autofirmados. propios están firmados con la clave privada de la
autoridad superior de la que dependen

LA PKI EN EL MUNDO DE LOS
SERVIDORES WINDOWS SE DEFINEN
OFICINA INDEPENDIENTE: OFICINA EMPRESARIAL: Requieren la presencia
de un Directorio Activo. Las peticiones de los
Se establecen sobre servidores que certificados de los usuarios y los equipos, así como
no se relacionan con un Directorio su distribución por la red estarán integrados en los
Activo dominios del Directorio Activo
3.5. OTRAS APLICACIONES CRIPTOGRÁFICAS
3.5.1. PROTOCOLO DE SEGURIDAD SSL/TLS
El SSL (Security Socket Layer) y el TLS (Transport Layer
Security) son los protocolos de seguridad de uso común
que establecen un canal seguro entre dos ordenadores
conectados a través de Internet o de una red interna.
Las conexiones entre un navegador Web y un servidor Web
realizadas a través de una conexión de Internet no segura
emplean tecnología SSL.
Técnicamente, el protocolo SSL
es un método transparente
para establecer una sesión
segura que requiere una
mínima intervención por parte
del usuario final.

Nota: Además del SSL/TLS se pueden implementar los protocolos
OpenSSL o GnuTLS y el EV SSL (que es un SSL de validación extendida, el
cual activa una barra verde en el navegador y muestra indicadores
visibles de confianza. Efectivo contra el Phishing y fraude de correo
electrónico
Un certificado SSL de Validación Extendida, proporciona nivel avanzado
de seguridad y se puede adquirir a través de Internet, por ejemplo en la
siguiente URL: https://www.namecheap.com/security/ssl-
certificates/extended-validation/?gclid=EAIaIQobChMImoTQrIP68gIVg-
hRCh3tggjmEAAYASAAEgLUw_D_BwE
A diferencia de las URL HTTP que comienzan con el
protocolo "http://" y emplean el puerto 80 por
defecto, las URL HTTPS comienzan con el protocolo
"https://" y emplean el puerto 443 por defecto.
El protocolo HTTP es inseguro y susceptible de
ataques por parte de intrusos.
Cuando se emplea un protocolo HTTPS para enviar
información a través de un navegador, tal
información aparece encriptada y protegida, de ahí
que sea mucho más seguro su uso.
 3.5.2. ¿QUÉ PERMITE EL PROTOCOLO SSL?
Proteger transacciones realizadas con tarjetas de
banco.
Ofrecer protección online a los accesos al sistema, la
información confidencial transmitida a través de
formularios Web.
 Proteger el correo web y las aplicaciones como el
acceso web a Outlook o los servidores Exchange y Office
Communications.
 Proteger la conexión entre un cliente de correo como
Microsoft Outlook y un servidor de correo como
Microsoft Exchange.
 Proteger la transferencia de archivos sobre HTTPS y
servicios de FTP, como podrían ser las actualizaciones
de nuevas páginas por parte de un propietario de una
página web o la transmisión de archivos pesados.
 3.5.2.1. Arquitectura del protocolo HTTPS
HTTP IMAP4 FTP LDAP

SSL/TLS

TCP

3.5.2.2. EJEMPLO DE FUNCIONAMIENTO DE SSL/TLS:

Se dispondrá de un cliente que accederá a un
servidor Web de manera segura, por lo que se
requerirá de un cifrado y una autenticación.
SSL/TLS: Utiliza criptografía asimétrica para
comunicar la clave de sesión que se ha generado,
durante el negociado de cifrado (para el negociado se
emplea un algoritmo simétrico). La clave de sesión se
utiliza como una clave simétrica ( ya que no se
requiere autenticación en este caso), mucho más
sencilla y consume menos recursos de cálculo.
NAVEGADOR HOLA DEL CLIENTE
HOLA DEL SERVIDOR
INTERCAMBIO DE CLAVE
CLAVES PÚBLICAS
NEGOCIADO DE CIFRADO

MÉTODO GET DE HTTP

TRANSFERENCIA DE DATOS

FLUJO DE OPERACIÓN SSL/TLS PARA CIFRADO SIN AUTENTICACIÓN
SSL: Es el acrónimo de Secure Sockets Layer, capa de sockets seguros.
Protocolo para navegadores web y servidores que permite la
autenticación, encriptación y desencriptación de datos enviados a través
de Internet.
1. Hola del cliente
Información que el servidor necesita para comunicarse con el cliente
mediante SSL. Incluye el número de versión de SSL/TLS que admite el
cliente, la configuración de cifrado y datos específicos de la sesión.
2. Hola del servidor
En respuesta al mensaje de “hola del cliente”, el servidor envía un
mensaje que contiene el certificado SSL del servidor, el cifrado que
admite este y una cadena aleatoria de bytes que genera el servidor.
3. Intercambio de clave:
Es el modo en que los usuarios y el servidor establecen de forma segura
el número secreto principal preliminar para una sesión.
Encriptación simétrica: Método de encriptación que implica que la
misma clave se utiliza tanto en el proceso de encriptado como en el
proceso de desencriptado.
Ejemplo de un código utilizado en un protocolo de enlace SSL
 PROTOCOLO SSL CON AUTENTICACIÓN DEL SERVIDOR
EL CLIENTE ENVÍA UNA PETICIÓN DE SESIÓN SEGURA

NAVEGADOR ENVÍO DE CERTIFICADO CON CLAVE PÚBLICA DE
SERVIDOR

EL CLIENTE AUTENTICA EL CERTIFICADO CON UNA
LISTA DE CONOCIDAS Y AUTORIZADAS (CA)

EL CLIENTE GENERA CLAVE SIMÉTRICA ALEATORIA
CIFRADA CON CLAVE PÚBLICA DE SERVIDOR

CANAL SEGURO ESTABLECIDO: TODOS LOS
MENSAJES SON CIFRADOS UTILIZANDO LA CLAVE
SIMÉTRICA QUE AMBOS COMPARTEN

FLUJO DE OPERACIÓN SSL/TLS PARA CIFRADO Y AUTENTICACIÓN
Autenticación y número secreto principal preliminar
El cliente autentica el certificado de servidor, por ejemplo, nombre común / fecha /
emisor, con la autoridad certificadora que lo emitió. El cliente (según el cifrado) crea el
número secreto principal preliminar de la sesión, cifra con la clave pública del servidor
y envía el número secreto principal preliminar cifrado al servidor, que lo descifrará con
su clave privada.
 EJERCICIOS PARA ENTREGAR

ACTIVIDAD 1: ACTIVIDAD 2:
Criptografía simétrica y asimétrica Funciones Hash

Explica cuáles son las analogías y
diferencias entre los sistemas  ¿Qué es el hash de un
criptográficos de llave simétrica y mensaje o documento?
asimétrica.
 ¿Cómo se calcula?
 ¿Para qué se utiliza en
ACTIVIDAD 3: criptografía?
PKI
Confecciona un diagrama de
bloques que describa el
procedimiento seguido por el
usuario para solicitar un certificado
a una autoridad certificadora
CASO PRÁCTICO: CREACIÓN DE UNA FACTURA
ELECTRÓNICA
Conéctate a una de las siguientes direcciones Web:
https://www.facturae.gob.es/Paginas/Index.aspx

https://docuten.com/es/

https://www.b2brouter.net/es/facturacion-electronica-
gratis/

Sigue los pasos necesarios para obtener una factura
electrónica, suponiendo que eres un pequeño empresario
que regenta una tienda de equipos informáticos.
Obtenga un pdf del documento y entrega la tarea al
docente por los canales establecidos.
 3.5.3. PROTOCOLO SSH
SSH (Secure Shell): Colección de protocolos y utilidades
que proveen autenticación y cifrado
en el establecimiento de conexiones
entre dispositivos de red, pero más
orientado a aplicaciones que a
protocolo de la capa de aplicación.
 SSH añade capacidad de cifrado al protocolo telnet.
 SSH puede ejecutar comandos remotos en un host
 SSH puede incluso copiar ficheros desde una localización
remota a otra mediante transporte cifrado.
 SSH cifra los datos transportados mediante la creación de un
túnel de cifrado (en uno de los extremos del túnel se cifran los
datos, que después son descifrados en el otro extremo)
PROBLEMAS QUE EVITA SSH CON EL TIPO DE CIFRADO QUE ESTABLECE:
 Evita la suplantación IP (IP spoofing)
Evita la suplantación de DNS (DNS spoofing)
 Evita que los datos sean interceptados.

Victima
Host confiable
End: 2.2.2.2
End: 3.3.3.3

Ejemplo de IP spoofing
SSH es altamente configurable y para cifrar las
comunicaciones suele utilizar, entre otros, los siguientes
protocolos de cifrados simétricos:
DES
3DES
RC4
KERBEROS

SSH se considera una herramienta muy útil para los
administradores de red por su gran flexibilidad pero por ese
mismo motivo los hackers también se sirven de ella.

Nota: Si aparecen túneles SSH inesperados en la red,
habrá que sospechar de ellos, porque se puede estar
produciendo actividades no autorizadas.
En la siguiente dirección podemos encontrar la
utilidad PuTTY (es un cliente SSH y telnet de código
abierto que está disponible con código fuente)
https://translate.google.es/translate?hl=es&sl=en&u=
https://www.putty.org/&prev=search

Se puede descargar la
aplicación portable,
saber que el programa
está disponible tanto
para Windows, como
para Linux
Túnel cifrado mediante SSH
 Taller: INSTALACIÓN EN SISTEMA OPERATIVO
WINDOWS 10
Antes de proceder a la instalación de la aplicación
(cliente)PuTTY, se debe configurar el firewall para
permitir el acceso.
La IP que se utilizará será la del servidor SSH y el
puerto se puede dejar el 22 que viene por defecto
o si se ha cambiado el puerto en el servidor SSH, se
utiliza el mismo que se ha configurado en el
servidor.
Cuando se ejecuta el cliente PuTTY recibiremos
una advertencia de seguridad, ejecutamos como
administrador y se abre una consola de comandos,
donde se introducirá el nombre de usuario y la
contraseña creada, se observará que al escribir
la contraseña, no parece nada, pero eso es por
una cuestión de seguridad, se pulsa Intro y la
contraseña escrita, si es correcta será
reconocida, permitiéndonos el acceso al
servidor. Establecida la conexión se puede usar
los comandos para ejecutar ciertas operaciones.
(por ejemplo mkdir para crear una carpeta) o se
puede utilizar el menú desplegable de la
consola.
TAREA: Configura un cliente y un
servidor SSH utilice la aplicación
PuTTY y haga capturas de los
pasos que realice. Entregarlo en
formato pdf para su evaluación.
 TALLER: Instalar servidor SSH en Ubuntu
Como se ha señalado anteriormente, SSH
es un software que permite acceder a otro
PC a través de Internet, así como ejecutar
comandos en remoto e incluso compartir
archivos y ficheros entre dos equipos. Este
comando ofrece una comunicación muy
segura ya que los datos viajan encriptados,
a salvo de cualquier tipo de ataque
cibernético.
Para instalar un servidor SSH en Ubuntu lo
mejor es utilizar OpenSSH.
Un punto a tener en cuenta es que en la gran
mayoría de sistemas Linux de este servidor ya
están disponibles por defecto. Por lo tanto, para
instalarlo simplemente hay que darle la orden al
gestor de paquetes.
Lo más recomendable es que se utilice
#apt o apt-get bajo la distribución Ubuntu.
1. Debes ejecutar el siguiente comando.
#sudo apt update #sudo apt upgrade
#sudo apt install ssh
De esta manera, ya se tiene el servidor SSH
instalado.
2. Para comprobar que el proceso se ha realizado
exitosamente, lo más recomendable es que se
trate de establecer la conexión con el equipo
local.
Debe hacerse de la siguiente forma:
#ssh usuario@localhost.
3. Una manera fantástica de mejorar la
seguridad en servidores Linux es cambiar el
puerto SSH que utiliza el administrador para
así autentificarse mediante el protocolo SSH.
Cómo se configura
En primer lugar debes editar el archivo
ssh_config. Para ello debes utilizar el
siguiente comando: nano
/etc/ssh/sshd_config. Para lo que es necesario
que tener instalado el editor de texto en
línea de comandos para Linux.
Una vez ejecutado el comando, se busca la línea
en la que ponga “#Port 22”.
Lo que se debe hacer es cambiar el 22 por el
número del puerto que se quiera configurar.
Además, hay que eliminar el carácter # para
descomentar la línea de configuración del puerto.
A continuación se guardan todos los cambios
realizados, pulsando las teclas Control + O y
salimos del editor con Control + X
4. El siguiente paso es reiniciar el servicio SSH con
el siguiente comando: /etc/init.d/ssh restart.
A partir de ese momento todas las conexiones se
realizarán por el puerto escogido (2222).
1. Instalación y configuración SSH
2. Comprobando conexión

3. Configurando
puerto dentro del
archivo de
configuración del
servidor ssh:

#nano /etc/ssh/sshd_conf

Cambiar el puerto
22 por el 2222
Reiniciando el servicio y comprobando el estado
 Averiguando la IP del servidor

Estableciendo conexión a través del cliente
SSH Putty (Portable)
Se configura el cliente SSH Putty con la IP del Servidor SSH y
el puerto configurado para la escucha. Se pulsa en Open y se
abre una consola, donde se le indica las credenciales del
usuario con el que se va a establecer conexión.
Una vez conectados se realizará un listado para ver los
ficheros del servidor.
Posicionarse en el Escritorio y crear un directorio llamado
conexión, dentro del mismo, editar un fichero de nombre
control y escribir:
“Esta es una conexión remota desde la máquina anfitriona de
Windows, hacia una máquina virtualizada de Ubuntu”.