Seguridad Informática: Criptografía, Certificados y Gestión de Riesgos

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 5,21 KB

PGP

Se hace hashing de P cifrando la dispersión resultante de la clave RSA privada de A firmando el mensaje. El hashing cifrado y el mensaje se concatenan dando lugar a P1. PGP solicita al azar una entrada, km, que se utiliza para generar una clave IDEA. km se cifra con la clave pública de B. P1, zip y km se concatenan y convierten a base 64.
Cuando B recibe el mensaje, invierte la codificación y descifra km con la clave privada RSA de B.
Con la clave, B puede descifrar el mensaje y obtener P1.zip, tras descomprimir separa el hashing cifrado del texto normal y descifra el hashing con la clave pública de A.

Autorización

Es el acto de determinación de los permisos de acceso de un sujeto identificado y autenticado sobre un objeto. Se implementa mediante el control de acceso (sujeto-monitor de referencia-objeto)
Existen diferentes modelos de control de acceso:
  • DAC (Discretionary Access Control): El propietario del recurso decide quién accede.
  • MAC (Mandatory Access Control): La empresa define las reglas, los sujetos solo tienen acceso a objetos que pertenezcan a su mismo nivel de seguridad.
  • RBAC (Role-Based Access Control): Basado en roles, los permisos se asignan a roles y los usuarios a esos roles.
  • OCAC (Originator Controlled Access Control): Controlado por la entidad origen de la información.
  • TRBAC (Task-Based Role-Based Access Control): Basado en tareas y roles.

Certificados Digitales

Un certificado digital es una credencial que relaciona un nombre con una clave pública en un paquete firmado por una tercera parte confiable, con un tiempo de validez. Está constituido por una clave pública, la identidad del implicado y la firma de la entidad certificadora. Una ruta de certificación define un algoritmo de validación del camino para certificados.

PKI (Infraestructura de Clave Pública)

Una PKI, o infraestructura de clave pública, proporciona todo lo necesario, tanto de hardware como de software, para las comunicaciones seguras mediante el uso de certificados digitales y firmas digitales.

Componentes de una PKI:

  • Autoridad de certificación (CA): Entidad de confianza encargada de emitir y revocar los certificados digitales.
  • Autoridad de registro (RA): Controla la generación de certificados y verifica el enlace entre los certificados y la identidad de sus titulares.
  • Autoridad de validación (VA): Comprueba la validez de los certificados digitales.
  • Repositorios: Almacenan los certificados emitidos y los revocados.
  • Software: Herramientas para utilizar los certificados digitales.
  • Política de seguridad: Define las reglas para las comunicaciones seguras.

Fases del Análisis de Riesgos

Las fases del análisis de riesgos son:

1. Establecer el Contexto

Esta fase define el alcance del análisis, los activos a proteger, los criterios de riesgo y las partes interesadas. El objetivo es establecer una base sólida para el análisis.

2. Identificación de Riesgos

En esta fase se identifican las amenazas potenciales, las vulnerabilidades existentes y los activos que podrían verse afectados. Se utilizan diversas técnicas como la lluvia de ideas, entrevistas y análisis de registros.

3. Estimación de Riesgos

Se evalúa la probabilidad de ocurrencia de cada riesgo y su impacto potencial. Se pueden utilizar métodos cualitativos (basados en opiniones), cuantitativos (basados en datos) o híbridos.

4. Evaluación de Riesgos

Se compara el nivel de riesgo estimado con los criterios de riesgo establecidos en la fase de contexto. Se priorizan los riesgos en función de su gravedad.

5. Tratamiento de Riesgos

Se desarrollan e implementan estrategias para mitigar, transferir, aceptar o evitar los riesgos prioritarios. Las estrategias deben ser rentables y efectivas.

6. Aceptación del Riesgo Residual

Después de implementar las medidas de tratamiento, siempre queda un nivel de riesgo residual. Este riesgo debe ser documentado y aceptado por la dirección.

Tipos de Amenazas

Existen diferentes tipos de amenazas:
  • Desastres naturales: Inundaciones, terremotos, incendios, etc.
  • Amenazas humanas: Errores humanos, sabotaje, robo, etc.
  • Amenazas del entorno: Fallos en el suministro eléctrico, ataques de denegación de servicio, etc.
  • Amenazas deliberadas: Ataques de malware, phishing, ingeniería social, etc.

Ejemplos de Ataques y Mitigaciones

  • Data Tampering: Manipulación de datos. Se puede mitigar con hashing seguro en el almacenamiento y MAC (Message Authentication Code) en la transmisión.
  • Man-in-the-Middle: Intercepción de la comunicación. Se puede mitigar con protocolos de seguridad como TLS/SSL y el uso de MAC.
  • Replay Attack: Repetición de un mensaje válido. Se puede mitigar con el uso de nonces (números aleatorios utilizados una sola vez).
  • Multiple Forgery Attack: Creación de múltiples mensajes válidos con el mismo hash. Se puede mitigar utilizando funciones hash resistentes a colisiones.
Karma: -38%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Seguridad Informática Criptografía PGP Certificados Digitales