Lo
más probable es que estés familiarizado con la palabra cifrado. Probablemente
hayas escuchado acerca de lo importante que es, así como lo vital que es para
mantener una gran parte de nuestra vida en línea segura.
¿Usas
WhatsApp? Estás utilizando cifrado. ¿Entras en la banca en
línea? También usas cifrado. ¿Tienes que pedirle al mesero la
contraseña del wifi? Esto se debe a que te estás conectando a una red
mediante cifrado, la
contraseña es la clave.
Términos básicos sobre cifrado
Pero
a pesar de que utilizamos el cifrado en nuestras vidas cotidianas, mucha
terminología sigue siendo un misterio. Aquí hay una lista de 10 términos
básicos de cifrado que debes comprender.
1. Texto plano(Plaintext)/Texto sin formato
Comencemos
con el término más básico de saber, que es simple pero tan importante como los
demás: el texto plano es un mensaje
legible y sencillo que cualquiera puede leer.
2. Texto cifrado
El
texto cifrado es el resultado del
proceso de cifrado. El texto plano cifrado aparece como cadenas de
caracteres aparentemente aleatorias, lo que las hace inútiles. Un cifrado
es otra forma de referirse al algoritmo de cifrado que transforma el texto plano,
de ahí el término texto cifrado.
3. Cifrado
El
cifrado es el proceso de aplicar
una función matemática a un archivo que hace que su contenido sea ilegible e
inaccesible, a menos que tengas la clave de descifrado.
Por
ejemplo, digamos que tienes un documento de Microsoft Word. Tú le aplicas
una contraseña utilizando la función de cifrado incorporada de Microsoft
Office. El archivo ahora es ilegible e inaccesible para cualquier persona
sin la contraseña.
Descifrado
Si
el cifrado bloquea el archivo, el descifrado invierte el proceso, volviendo el
texto cifrado a texto plano. El descifrado requiere dos
elementos: la contraseña correcta y el algoritmo de descifrado correspondiente.
4. Claves
El
proceso de cifrado requiere una clave criptográfica que le
indique al algoritmo cómo transformar el texto simple en texto cifrado. El principio de Kerckhoffs dice que “solo el secreto de la clave
proporciona seguridad”, mientras que la máxima de Shannon continúa "”el
enemigo conoce el sistema”.
Estas
dos afirmaciones influyen en el papel del cifrado y las claves dentro de eso.
Mantener
en secreto los detalles de un algoritmo de cifrado completo es extremadamente difícil; Mantener una clave mucho más pequeña en
secreto es más fácil. La clave bloquea y desbloquea el algoritmo,
permitiendo que el proceso de cifrado o descifrado funcione.
¿Es una clave una contraseña?
No,
al menos no del todo. La creación de claves es el resultado del uso de un
algoritmo, mientras que una contraseña suele ser una opción del
usuario. La confusión surge ya que rara vez interactuamos específicamente
con una clave criptográfica, mientras que las contraseñas son parte de la vida
cotidiana.
Las
contraseñas son a veces parte del proceso de creación de claves. Un
usuario ingresa su
contraseña súper segura utilizando todo tipo de caracteres y
símbolos, y el algoritmo genera una clave utilizando su entrada.
5. Hash
Entonces,
cuando un sitio web cifra tu contraseña, utiliza un algoritmo de encriptación
para convertir tu contraseña de texto plano en un hash. Un hash es
diferente del cifrado en que, una vez que los datos están en hash, no se pueden
eliminar. O más bien, es extremadamente difícil.
El
hash es realmente útil cuando necesitas verificar la autenticidad de algo, pero
no volver a leerlo. En esto, el hashing
de contraseñas ofrece cierta protección contra ataques
de fuerza bruta (donde el
atacante intenta cada combinación de contraseñas posible).
Es
posible que inclusos hayas oído hablar de algunos de los algoritmos comunes de
hash, como MD5, SHA, SHA-1 y SHA-2. Algunos son más fuertes que otros, mientras que otros, como
el MD5, son absolutamente vulnerables. Por ejemplo, si
te diriges al sitio MD5 Online , notarás que tienen 1,154,869,547,137
palabras en su base de datos de hash MD5. Adelante, inténtalo.
- Selecciona MD5
Encrypt en el menú superior.
- Escribe tu
contraseña, presiona Encrypt y observa el hash MD5.
- Selecciona el
hash, presiona Ctrl + C para copiar el hash y selecciona MD5
Decrypt en el menú superior.
- Selecciona la
casilla y presiona Ctrl + V para pegar el hash, completa
el CAPTCHA y presiona Decrypt.
Como
puedes ver, una contraseña con hash no significa automáticamente que sea segura
(dependiendo de la contraseña que elegiste, por supuesto). Pero hay
funciones de cifrado adicionales que aumentan la seguridad.
6. Salt (sal)
Cuando
las contraseñas forman parte de la creación de claves, el proceso de cifrado
requiere pasos de seguridad adicionales. Uno de esos pasos es “saltear”
las contraseñas. En un nivel básico, una Sal agrega datos aleatorios a
una función hash de una sola vía. Examinemos lo que eso significa usando
un ejemplo.
Hay
dos usuarios con la misma contraseña exacta: hunter2.
Corremos Hunter2 través
de un generador de hash SHA256 y obtenemos f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.
Alguien
hackea la base de datos de contraseñas y comprueba este hash; Cada cuenta
con el hash correspondiente es inmediatamente vulnerable.
Esta
vez, usamos un archivo de salt individual, agregando un valor de datos aleatorios
a cada contraseña de usuario:
- Ejemplo 1 de Sal: hunter2 + sausage:
3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Ejemplo 2 de Sal: hunter2 + bacon:
728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Compara
rápidamente los hashes para las mismas contraseñas con y sin salt
(extremadamente básica):
- Sin Sal: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
- Ejemplo 1 con Sal: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Ejemplo 2 con Sal: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Verás que la adición de la sal aleatoriamente es suficiente para que el valor hash de tu contraseña permanezca (casi) completamente seguro durante una vulneración. Y aún mejor, la contraseña aún está vinculada a tu nombre de usuario, por lo que no hay confusión en la base de datos cuando inicias sesión en el sitio o servicio.
7. Algoritmos simétricos y asimétricos
En
la computación moderna, hay dos tipos principales de algoritmo de cifrado:
simétrico y asimétrico. Ambos cifran los datos, pero funcionan de una
manera ligeramente diferente.
- Algoritmo
simétrico: usa la misma
clave tanto para el cifrado como para el descifrado. Ambas partes
deben ponerse de acuerdo sobre la clave del algoritmo antes de comenzar la
comunicación.
- Algoritmo
asimétrico: usa dos
claves diferentes: una clave pública y una clave privada. Esto
permite el cifrado seguro mientras se comunica sin establecer previamente
un algoritmo mutuo. Esto también se conoce como criptología
de clave pública (ver la siguiente sección).
La
gran mayoría de los servicios en línea que utilizamos en nuestras vidas diarias
implementan algún tipo de criptología de clave pública.
8. Claves públicas y privadas
Ahora
que entendemos más sobre la función de las claves en el proceso de cifrado,
podemos ver las claves públicas y privadas.
Un
algoritmo asimétrico utiliza dos claves: una clave pública y
una clave privada. La clave pública se puede enviar a otras
personas, mientras que la clave privada solo es conocida por el
propietario. ¿Cuál es el propósito de esto?
Bueno,
cualquier persona con la clave pública del destinatario puede cifrar un mensaje
privado para ellos, mientras que el destinatario solo puede leer el contenido
de ese mensaje siempre que tenga acceso a la clave privada emparejada.
Las
claves públicas y privadas también desempeñan un papel esencial en las
firmas digitales, ya que un remitente puede firmar su mensaje con su clave
de cifrado privada. Aquellos con la clave pública pueden verificar el
mensaje, con la certeza de que el mensaje original provino de la clave privada
del remitente.
Un par
de claves es la clave pública
y privada vinculada matemáticamente generada por un algoritmo de cifrado.
9. HTTPS
HTTPS
(HTTP Secure) es una actualización de
seguridad ahora ampliamente implementada para el protocolo de aplicación HTTP
que es la base de Internet como la conocemos. Al usar una conexión HTTPS,
tus datos se cifran utilizando Transport Layer Security (TLS), protegiendo tus
datos mientras están en tránsito.
HTTPS
genera claves privadas y públicas a largo plazo que, a su vez, se utilizan para
crear una clave de sesión a corto plazo. La clave de sesión es una clave
simétrica de un solo uso que la conexión destruye una vez que abandonas el
sitio HTTPS (cerrando la conexión y finalizando su cifrado). Sin embargo,
cuando vuelvas a visitar el sitio, recibirás otra clave de sesión de uso único
para asegurar tu comunicación.
Un
sitio debe cumplir completamente con HTTPS para ofrecer a los usuarios
seguridad completa. De hecho, en 2018 fue el primer año en que la mayoría
de los sitios en línea comenzaron a ofrecer conexiones HTTPS a través de HTTP
estándar.
10. Cifrado de extremo a extremo
Una
de las palabras de moda de cifrado más importantes es la del cifrado de extremo
a extremo. El servicio de plataforma de mensajería social WhatsApp
comenzó a ofrecer a sus usuarios cifrado de extremo a extremo (E2EE)
en 2016, asegurándose de que tus mensajes sean privados en todo momento.
En
el contexto de un servicio de mensajería, EE2E significa que una vez que
presionas el botón de enviar, el cifrado permanece lugar hasta que el
destinatario recibe los mensajes. ¿Qué está sucediendo aquí? Bueno,
esto significa que la clave privada utilizada para codificar y decodificar tus
mensajes nunca abandona tu dispositivo, lo que a su vez garantiza que nadie puede
enviar mensajes utilizando tu alias.
Cifrado hasta el final
Desafortunadamente,
hay muchos gobiernos
y otras organizaciones que realmente no les gusta el cifrado. Lo
odian por las mismas razones por las que creemos que es fantástico: mantiene tu
comunicación privada y, en gran parte, ayuda a la función de Internet.
Sin
el cifrado, internet se convertiría en un lugar extremadamente
peligroso. Ciertamente, no usarás tu banca en línea, no compraras
zapatillas nuevas en Amazon, etc.
En
un primer momento, el cifrado parece desalentador. No voy a mentir, los
fundamentos matemáticos del cifrado son a veces complicados. Pero aún se
puede apreciar el cifrado sin los números, y eso es realmente útil.
¿Te
ha sido útil el post? Por favor compártelo en las redes sociales.
Fuente:
Makeuseof