Mecanismos de seguridad
No existe un único mecanismo capaz de proveer todos los
servicios anteriormente citados, pero la mayoría de ellos
hacen uso de técnicas criptográficas basadas en el
cifrado de la información. Los más importantes son
los siguientes:
- Intercambio de autenticación: corrobora que una entidad,
ya sea origen o destino de la información, es la deseada,
por ejemplo, A envía un número aleatorio cifrado
con la clave pública de B, B lo descifra con su clave privada
y se lo reenvía a A, demostrando así que es quien
pretende ser. Por supuesto, hay que ser cuidadoso a la hora de
diseñar estos protocolos, ya que existen ataques para desbaratarlos.
- Cifrado: garantiza que la información no es inteligible
para individuos, entidades o procesos no autorizados (confidencialidad).
Consiste en transformar un texto en claro mediante un proceso
de cifrado en un texto cifrado, gracias a una información
secreta o clave de cifrado. Cuando se emplea la misma clave en
las operaciones de cifrado y descifrado, se dice que el criptosistema
es simétrico. Estos sistemas son mucho más rápidos
que los de clave pública, resultando apropiados para funciones
de cifrado de grandes volúmenes de datos. Se pueden dividir
en dos categorías: cifradores de bloque, que cifran los
datos en bloques de tamaño fijo (típicamente bloques
de 64 bits), y cifradores en flujo, que trabajan sobre flujos
continuos de bits. Cuando se utiliza una pareja de claves para
separar los procesos de cifrado y descifrado, se dice que el criptosistema
es asimétrico o de clave pública. Una clave, la
privada, se mantiene secreta, mientras que la segunda clave, la
pública, puede ser conocida por todos. De forma general,
las claves públicas se utilizan para cifrar y las privadas,
para descifrar. El sistema tiene la propiedad de que a partir
del conocimiento de la clave pública no es posible determinar
la clave privada. Los criptosistemas de clave pública,
aunque más lentos que los simétricos, resultan adecuados
para las funciones de autenticación, distribución
de claves y firmas digitales.
- Integridad de datos: este mecanismo implica el cifrado de una
cadena comprimida de datos a transmitir, llamada generalmente
valor de comprobación de integridad (Integrity Check Value
o ICV). Este mensaje se envía al receptor junto con los
datos ordinarios. El receptor repite la compresión y el
cifrado posterior de los datos y compara el resultado obtenido
con el que le llega, para verificar que los datos no han sido
modificados.
- Firma digital: este mecanismo implica el cifrado, por medio
de la clave secreta del emisor, de una cadena comprimida de datos
que se va a transferir. La firma digital se envía junto
con los datos ordinarios. Este mensaje se procesa en el receptor,
para verificar su integridad. Juega un papel esencial en el servicio
de no repudio.
- Control de acceso: esfuerzo para que sólo aquellos usuarios
autorizados accedan a los recursos del sistema o a la red, como
por ejemplo mediante las contraseñas de acceso.
- Tráfico de relleno: consiste en enviar tráfico
espurio junto con los datos válidos para que el atacante
no sepa si se está enviando información, ni qué
cantidad de datos útiles se está transmitiendo.
Control de encaminamiento: permite enviar determinada información
por determinadas zonas consideradas clasificadas. Asimismo posibilita
solicitar otras rutas, en caso que se detecten persistentes violaciones
de integridad en una ruta determinada.
- Unicidad: consiste en añadir a los datos un número
de secuencia, la fecha y hora, un número aleatorio, o alguna
combinación de los anteriores, que se incluyen en la firma
digital o integridad de datos. De esta forma se evitan amenazas
como la reactuación o resecuenciación de mensajes.
Los mecanismos básicos pueden agruparse de varias formas
para proporcionar los servicios previamente mencionados. Conviene
resaltar que los mecanismos poseen tres componentes principales:
- Una información secreta, como claves y contraseñas,
conocidas por las entidades autorizadas.
- Un conjunto de algoritmos, para llevar a cabo el cifrado, descifrado,
hash y generación de números aleatorios.
- Un conjunto de procedimientos, que definen cómo se usarán
los algoritmos, quién envía qué a quién
y cuándo.
Asimismo es importante notar que los sistemas de seguridad requieren
una gestión de seguridad. La gestión comprende dos
campos bien amplios:
- Seguridad en la generación, localización y distribución
de la información secreta, de modo que sólo pueda
ser accedida por aquellas entidades autorizadas.
- La política de los servicios y mecanismos de seguridad
para detectar infracciones de seguridad y emprender acciones correctivas.
Volver a Seguridad
Miguel A. Ruz
miguelruz@delitosinformaticos.com
|