Mecanismos de seguridad
No existe un único mecanismo capaz de proveer todos los servicios
anteriormente citados, pero la mayoría de ellos hacen uso de técnicas
criptográficas basadas en el cifrado de la información. Los
más importantes son los siguientes:
-
Intercambio de autenticación: corrobora que una entidad, ya sea
origen o destino de la información, es la deseada, por ejemplo,
A envía un número aleatorio cifrado con la clave pública
de B, B lo descifra con su clave privada y se lo reenvía a A, demostrando
así que es quien pretende ser. Por supuesto, hay que ser cuidadoso
a la hora de diseñar estos protocolos, ya que existen ataques para
desbaratarlos.
-
Cifrado: garantiza que la información no es inteligible para
individuos, entidades o procesos no autorizados (confidencialidad). Consiste
en transformar un texto en claro mediante un proceso de cifrado en un texto
cifrado, gracias a una información secreta o clave de cifrado. Cuando
se emplea la misma clave en las operaciones de cifrado y descifrado, se
dice que el criptosistema es simétrico. Estos sistemas son mucho
más rápidos que los de clave pública, resultando apropiados
para funciones de cifrado de grandes volúmenes de datos. Se pueden
dividir en dos categorías: cifradores de bloque, que cifran los
datos en bloques de tamaño fijo (típicamente bloques de 64
bits), y cifradores en flujo, que trabajan sobre flujos continuos de bits.
Cuando se utiliza una pareja de claves para separar los procesos de cifrado
y descifrado, se dice que el criptosistema es asimétrico o de clave
pública. Una clave, la privada, se mantiene secreta, mientras que
la segunda clave, la pública, puede ser conocida por todos. De forma
general, las claves públicas se utilizan para cifrar y las privadas,
para descifrar. El sistema tiene la propiedad de que a partir del conocimiento
de la clave pública no es posible determinar la clave privada. Los
criptosistemas de clave pública, aunque más lentos que los
simétricos, resultan adecuados para las funciones de autenticación,
distribución de claves y firmas digitales.
-
Integridad de datos: este mecanismo implica el cifrado de una cadena
comprimida de datos a transmitir, llamada generalmente valor de comprobación
de integridad (Integrity Check Value o ICV). Este mensaje se envía
al receptor junto con los datos ordinarios. El receptor repite la compresión
y el cifrado posterior de los datos y compara el resultado obtenido con
el que le llega, para verificar que los datos no han sido modificados.
-
Firma digital: este mecanismo implica el cifrado, por medio de la clave
secreta del emisor, de una cadena comprimida de datos que se va a transferir.
La firma digital se envía junto con los datos ordinarios. Este mensaje
se procesa en el receptor, para verificar su integridad. Juega un papel
esencial en el servicio de no repudio.
-
Control de acceso: esfuerzo para que sólo aquellos usuarios autorizados
accedan a los recursos del sistema o a la red, como por ejemplo mediante
las contraseñas de acceso.
-
Tráfico de relleno: consiste en enviar tráfico espurio
junto con los datos válidos para que el atacante no sepa si se está
enviando información, ni qué cantidad de datos útiles
se está transmitiendo.
-
Control de encaminamiento: permite enviar determinada información
por determinadas zonas consideradas clasificadas. Asimismo posibilita solicitar
otras rutas, en caso que se detecten persistentes violaciones de integridad
en una ruta determinada.
-
Unicidad: consiste en añadir a los datos un número de
secuencia, la fecha y hora, un número aleatorio, o alguna combinación
de los anteriores, que se incluyen en la firma digital o integridad de
datos. De esta forma se evitan amenazas como la reactuación o resecuenciación
de mensajes.
Los mecanismos básicos pueden agruparse de varias formas para
proporcionar los servicios previamente mencionados. Conviene resaltar que
los mecanismos poseen tres componentes principales:
-
Una información secreta, como claves y contraseñas, conocidas
por las entidades autorizadas.
-
Un conjunto de algoritmos, para llevar a cabo el cifrado, descifrado,
hash y generación de números aleatorios.
-
Un conjunto de procedimientos, que definen cómo se usarán
los algoritmos, quién envía qué a quién y cuándo.
Asimismo es importante notar que los sistemas de seguridad requieren
una gestión de seguridad. La gestión comprende dos campos
bien amplios:
-
Seguridad en la generación, localización y distribución
de la información secreta, de modo que sólo pueda ser accedida
por aquellas entidades autorizadas.
-
La política de los servicios y mecanismos de seguridad para detectar
infracciones de seguridad y emprender acciones correctivas.
volver atras