sábado, 16 de marzo de 2019

10 términos básicos sobre cifrado que debes conocer y comprender

Lo más probable es que estés familiarizado con la palabra cifrado. Probablemente hayas escuchado acerca de lo importante que es, así como lo vital que es para mantener una gran parte de nuestra vida en línea segura.




¿Usas WhatsApp? Estás utilizando cifrado. ¿Entras en la banca en línea? También usas cifrado. ¿Tienes que pedirle al mesero la contraseña del wifi? Esto se debe a que te estás conectando a una red mediante cifrado, la contraseña es la clave.



Pero a pesar de que utilizamos el cifrado en nuestras vidas cotidianas, mucha terminología sigue siendo un misterio. Aquí hay una lista de 10 términos básicos de cifrado que debes comprender.

1. Texto plano(Plaintext)/Texto sin formato
Comencemos con el término más básico de saber, que es simple pero tan importante como los demás: el texto plano es un mensaje legible y sencillo que cualquiera puede leer.

2. Texto cifrado
El texto cifrado es el resultado del proceso de cifrado. El texto plano cifrado aparece como cadenas de caracteres aparentemente aleatorias, lo que las hace inútiles. Un cifrado es otra forma de referirse al algoritmo de cifrado que transforma el texto plano, de ahí el término texto cifrado.

El cifrado es el proceso de aplicar una función matemática a un archivo que hace que su contenido sea ilegible e inaccesible, a menos que tengas la clave de descifrado.
Por ejemplo, digamos que tienes un documento de Microsoft Word. Tú le aplicas una contraseña utilizando la función de cifrado incorporada de Microsoft Office. El archivo ahora es ilegible e inaccesible para cualquier persona sin la contraseña.
claves publicas y privadas criptografia
Descifrado
Si el cifrado bloquea el archivo, el descifrado invierte el proceso, volviendo el texto cifrado a texto plano. El descifrado requiere dos elementos: la contraseña correcta y el algoritmo de descifrado correspondiente.

4. Claves
El proceso de cifrado requiere una clave criptográfica que le indique al algoritmo cómo transformar el texto simple en texto cifrado. El principio de Kerckhoffs dice que “solo el secreto de la clave proporciona seguridad”, mientras que la máxima de Shannon continúa "”el enemigo conoce el sistema”.

Estas dos afirmaciones influyen en el papel del cifrado y las claves dentro de eso.

Mantener en secreto los detalles de un algoritmo de cifrado completo es extremadamente difícil; Mantener una clave mucho más pequeña en secreto es más fácil. La clave bloquea y desbloquea el algoritmo, permitiendo que el proceso de cifrado o descifrado funcione.

¿Es una clave una contraseña?

No, al menos no del todo. La creación de claves es el resultado del uso de un algoritmo, mientras que una contraseña suele ser una opción del usuario. La confusión surge ya que rara vez interactuamos específicamente con una clave criptográfica, mientras que las contraseñas son parte de la vida cotidiana.

Las contraseñas son a veces parte del proceso de creación de claves. Un usuario ingresa su contraseña súper segura utilizando todo tipo de caracteres y símbolos, y el algoritmo genera una clave utilizando su entrada.

5. Hash
Entonces, cuando un sitio web cifra tu contraseña, utiliza un algoritmo de encriptación para convertir tu contraseña de texto plano en un hash. Un hash es diferente del cifrado en que, una vez que los datos están en hash, no se pueden eliminar. O más bien, es extremadamente difícil.

El hash es realmente útil cuando necesitas verificar la autenticidad de algo, pero no volver a leerlo. En esto, el hashing de contraseñas ofrece cierta protección contra ataques de fuerza bruta (donde el atacante intenta cada combinación de contraseñas posible).

Es posible que inclusos hayas oído hablar de algunos de los algoritmos comunes de hash, como MD5, SHA, SHA-1 y SHA-2. Algunos son más fuertes que otros, mientras que otros, como el MD5, son absolutamente vulnerables. Por ejemplo, si te diriges al sitio MD5 Online , notarás que tienen 1,154,869,547,137 palabras en su base de datos de hash MD5. Adelante, inténtalo.
  • Selecciona MD5 Encrypt en el menú superior.
  • Escribe tu contraseña, presiona Encrypt y observa el hash MD5.
  • Selecciona el hash, presiona Ctrl + C para copiar el hash y selecciona MD5 Decrypt en el menú superior.
  • Selecciona la casilla y presiona Ctrl + V para pegar el hash, completa el CAPTCHA y presiona Decrypt.

Como puedes ver, una contraseña con hash no significa automáticamente que sea segura (dependiendo de la contraseña que elegiste, por supuesto). Pero hay funciones de cifrado adicionales que aumentan la seguridad.

6. Salt (sal)
Cuando las contraseñas forman parte de la creación de claves, el proceso de cifrado requiere pasos de seguridad adicionales. Uno de esos pasos es “saltear” las contraseñas. En un nivel básico, una Sal agrega datos aleatorios a una función hash de una sola vía. Examinemos lo que eso significa usando un ejemplo.

Hay dos usuarios con la misma contraseña exacta: hunter2.
Corremos Hunter2 través de un generador de hash SHA256 y obtenemos f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.

Alguien hackea la base de datos de contraseñas y comprueba este hash; Cada cuenta con el hash correspondiente es inmediatamente vulnerable.

Esta vez, usamos un archivo de salt individual, agregando un valor de datos aleatorios a cada contraseña de usuario:
  • Ejemplo 1 de Sal: hunter2 + sausage: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
  • Ejemplo 2 de Sal: hunter2 + bacon: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Compara rápidamente los hashes para las mismas contraseñas con y sin salt (extremadamente básica):
  • Sin Sal: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
  • Ejemplo 1 con Sal: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
  • Ejemplo 2 con Sal: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Verás que la adición de la sal aleatoriamente es suficiente para que el valor hash de tu contraseña permanezca (casi) completamente seguro durante una vulneración. Y aún mejor, la contraseña aún está vinculada a tu nombre de usuario, por lo que no hay confusión en la base de datos cuando inicias sesión en el sitio o servicio.

7. Algoritmos simétricos y asimétricos
En la computación moderna, hay dos tipos principales de algoritmo de cifrado: simétrico y asimétrico. Ambos cifran los datos, pero funcionan de una manera ligeramente diferente.
  • Algoritmo simétrico: usa la misma clave tanto para el cifrado como para el descifrado. Ambas partes deben ponerse de acuerdo sobre la clave del algoritmo antes de comenzar la comunicación.
  • Algoritmo asimétrico: usa dos claves diferentes: una clave pública y una clave privada. Esto permite el cifrado seguro mientras se comunica sin establecer previamente un algoritmo mutuo. Esto también se conoce como criptología de clave pública (ver la siguiente sección).

La gran mayoría de los servicios en línea que utilizamos en nuestras vidas diarias implementan algún tipo de criptología de clave pública.

8. Claves públicas y privadas
Ahora que entendemos más sobre la función de las claves en el proceso de cifrado, podemos ver las claves públicas y privadas.

Un algoritmo asimétrico utiliza dos claves: una clave pública y una clave privada. La clave pública se puede enviar a otras personas, mientras que la clave privada solo es conocida por el propietario. ¿Cuál es el propósito de esto?

Bueno, cualquier persona con la clave pública del destinatario puede cifrar un mensaje privado para ellos, mientras que el destinatario solo puede leer el contenido de ese mensaje siempre que tenga acceso a la clave privada emparejada. 

Las claves públicas y privadas también desempeñan un papel esencial en las firmas digitales, ya que un remitente puede firmar su mensaje con su clave de cifrado privada. Aquellos con la clave pública pueden verificar el mensaje, con la certeza de que el mensaje original provino de la clave privada del remitente.
Un par de claves es la clave pública y privada vinculada matemáticamente generada por un algoritmo de cifrado.

9. HTTPS
HTTPS (HTTP Secure) es una actualización de seguridad ahora ampliamente implementada para el protocolo de aplicación HTTP que es la base de Internet como la conocemos. Al usar una conexión HTTPS, tus datos se cifran utilizando Transport Layer Security (TLS), protegiendo tus datos mientras están en tránsito.

HTTPS genera claves privadas y públicas a largo plazo que, a su vez, se utilizan para crear una clave de sesión a corto plazo. La clave de sesión es una clave simétrica de un solo uso que la conexión destruye una vez que abandonas el sitio HTTPS (cerrando la conexión y finalizando su cifrado). Sin embargo, cuando vuelvas a visitar el sitio, recibirás otra clave de sesión de uso único para asegurar tu comunicación.

Un sitio debe cumplir completamente con HTTPS para ofrecer a los usuarios seguridad completa. De hecho, en 2018 fue el primer año en que la mayoría de los sitios en línea comenzaron a ofrecer conexiones HTTPS a través de HTTP estándar.

10. Cifrado de extremo a extremo
Una de las palabras de moda de cifrado más importantes es la del cifrado de extremo a extremo. El servicio de plataforma de mensajería social WhatsApp comenzó a ofrecer a sus usuarios cifrado de extremo a extremo (E2EE) en 2016, asegurándose de que tus mensajes sean privados en todo momento.

En el contexto de un servicio de mensajería, EE2E significa que una vez que presionas el botón de enviar, el cifrado permanece lugar hasta que el destinatario recibe los mensajes. ¿Qué está sucediendo aquí? Bueno, esto significa que la clave privada utilizada para codificar y decodificar tus mensajes nunca abandona tu dispositivo, lo que a su vez garantiza que nadie puede enviar mensajes utilizando tu alias.

Cifrado hasta el final
Desafortunadamente, hay muchos gobiernos y otras organizaciones que realmente no les gusta el cifrado. Lo odian por las mismas razones por las que creemos que es fantástico: mantiene tu comunicación privada y, en gran parte, ayuda a la función de Internet.

Sin el cifrado, internet se convertiría en un lugar extremadamente peligroso. Ciertamente, no usarás tu banca en línea, no compraras zapatillas nuevas en Amazon, etc.

En un primer momento, el cifrado parece desalentador. No voy a mentir, los fundamentos matemáticos del cifrado son a veces complicados. Pero aún se puede apreciar el cifrado sin los números, y eso es realmente útil.

¿Te ha sido útil el post? Por favor compártelo en las redes sociales.


Fuente: Makeuseof

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.