[HACK] Cripto practica II

merce at grn.es merce at grn.es
Fri Mar 1 00:21:24 CET 2002 

19:13 09/01/02


¿QUÉ ES?


La criptología es la unión de dos ciencias: la criptografía, que cifra
y  descifra  la  información,  y  el  criptoanálisis, que estudia cómo
atacarla.  Antiguo  arte militar, no fue hasta las guerras mundiales y
la  aparición  de  la  radio  cuando  vivió  su impulso. Explica Jaime
Suárez,  en  MundoCripto:  "La  segunda  mitad  del siglo XX ha visto,
paralelo  a  los avances de la informática, un desarrollo inusitado de
la   criptología   obligado   por  la  gran  cantidad  de  información
confidencial que circula por las redes y facilitado por la potencia de
cálculo de los ordenadores que vemos crecer exponencialmente".

La   inflexión  se  produjo  con  el  nacimiento  de  la  criptografía
asimétrica  en  1976, de la mano de Whitfield Diffie y Martin Hellman,
en  la  que  se  basan  la  mayoría  de sistemas actuales. Frente a la
criptografía  simétrica,  que precisa que los interlocutores tengan la
misma  clave secreta, difícil de intercambiar en canales inseguros; la
criptografía  asimétrica  combina  dos  claves:  la pública, que puede
darse  a  todo el mundo, y la privada, que se guarda celosamente. Para
cifrar   un   mensaje   es  suficiente  tener  la  clave  pública  del
destinatario, pero sólo se descifra con su clave privada.

Un  sistema  criptográfico es, básicamente, un algoritmo, una ecuación
que  realiza las operaciones de cifrado y descifrado. Para esconder un
texto,  se  introducen  éste  y la clave adecuada en el algoritmo, que
devuelve   una   papilla  de  números  y  letras.  Los  algoritmos  de
criptografía  asimétrica  suelen  ser  de  código fuente público, para
verificar  que  no hay fallos. El único secreto es la clave, resultado
de  la  combinación  de  dos  números  primos.  Cuanto más grande, más
difícil  será  hacer  la  operación  inversa  y  descubrir los números
originarios.  Hoy,  el  tamaño  de  clave  recomendado en criptografía
asimétrica es de 1024 bits, un número de 308 cifras.

Se  necesitarían  miles  de  años y ordenadores trabajando en paralelo
para  "romper"  esta  clave.  Por  eso  los  criptólogos prestan tanta
atención  a  los  avances  en  computación  cuántica.  La velocidad de
procesamiento  y  capacidad  de  un ordenador cuántico, usadas para el
criptoanálisis,  dejarían  en  fuera de juego a los bancos y gobiernos
más  inexpugnables. En fase de prototipo, el ordenador cuántico podría
ser una realidad en menos de diez años, aunque se especula con que los
servicios  secretos  norteamericanos  ya  los  estén usando. Además de
"romper"  claves, permitirían crear otras más seguras, lo que sería un
salto realmente cuántico para la criptología.

A  su  lado,  la  esteganografía, que consiste en esconder información
dentro  de fotos, archivos de vídeo y audio, textos, etc, ocultando su
presencia  en  el  mensaje.  Las  "marcas de agua" de las protecciones
anticopia  usan esta técnica, combinada con criptografía, de la que es
prima hermana. La esteganografía funciona muy bien para comunicaciones
en redes vigiladas, ya que nadie sospecha de una foto y sí de un texto
cifrado.  Jorge  Ramió,  fundador  de  CriptoRed,  destaca también los
avances  en criptografía visual, que "permite reconstruir un documento
a partir de otros, todos distintos y en apariencia inofensivos".


Esteganografía
http://www.arnal.es/free/cripto/estega/estegind.htm
Criptografía visual
http://www.cacr.math.uwaterloo.ca/~dstinson/visual.html





UNA VIEJA HISTORIA


Julio  César utilizaba uno de los sistemas criptográficos considerados
más antiguos (cambiar letras de sitio) aunque hubo otros, como afeitar
la  cabeza  del mensajero, escribir un mensaje en ella y esperar a que
le  crezca el pelo, pura esteganografía. Los copistas medievales y sus
señores usaban criptografía para la diplomacia y en tiempos de guerra,
cambiando  vocales  por  puntos  o  letras  por  números romanos. Está
documentado  que  los Reyes Católicos enviaban cifrados sus mensajes a
América, en previsión de ataques pirata.

El auge de las telecomunicaciones, desde el telégrafo en el siglo XIX,
abre  las  puertas  de la modernidad criptográfica, que jugará grandes
papeles  en  la  Guerra  Civil  española  y  la II Guerra Mundial, con
novelescos  robos  de  códigos  entre  espías  y una criptoleyenda: el
sistema  alemán  de cifrado Enigma. Los aliados sólo pudieron romperlo
capturando  un  submarino que transportaba una máquina Enigma, con sus
correspondientes claves.

La   aparición,   en   1949,  del  artículo  de  Claude  Shannon  "The
Communication  Theory  of  Secrecy  Systems",  marca  el  paso de arte
militar a ciencia, emparentada con la estadística, la matemática y las
teorías  de la información y la complejidad. En 1976, la informática y
la criptografía asimétrica marcan otro hito mientras, en la calle, los
estudiantes  de  Telecomunicaciones de Madrid rompen el cifrado de las
radios  policiales.  En  los  90,  Internet  y el programa Pretty Good
Privacy   (PGP)   llevan  la  criptología  de  la  universidad  a  los
ordenadores personales, donde florece.



COMPRA SEGURA

(esquema de uso de criptografía en una compra por Internet)

1.  El  usuario  se  conecta  a  Internet y abre su navegador. Escribe
http://www.micompra.com

2.  Un programa instalado en su proveedor de acceso busca la dirección
y  la  verifica,  usando  un  sistema  de  certificados  digitales (no
siempre).

3.  Una  vez  en  la  web y hechas las compras, el usuario entra en la
página  de  pago  y  datos  personales y se activa el protocolo Secure
Sockets Layer (SSL), que comprueba la autenticidad del sitio y abre un
túnel  cifrado  entre  cliente  y  vendedor,  usando  los  módulos  de
criptografía  y  firma digital del navegador del usuario y el servidor
de la empresa.

4.  A  ojos  del  usuario, el navegador cambia ligeramente de aspecto,
mostrando  un  pequeño  icono  de  llave  o  candado  cerrado.  Si  se
selecciona,  muestra la información del certificado utilizado: entidad
que lo avala, fecha de caducidad y clave pública de su dueño.

5a. DATOS: Los datos introducidos en el formulario viajan cifrados. Si
el  cliente es habitual, la empresa puede tener ya los datos guardados
en su servidor, protegidos con contraseña.

5b.  NÚMERO  DE  TARJETA:  La  mayoría  de tiendas electrónicas tienen
instalado  un  sistema de Terminal Privado Virtual (TPV), que envía el
número  de  tarjeta  directamente  del ordenador del cliente al banco,
usando el protocolo de cifrado SSL.


Fuentes: GRN Serveis Telemàtics, CriptoRed

More information about the hacking mailing list