Hoy en día tenemos la necesidad de preservar la privacidad de nuestras comunicaciones, ya sea por cumplimiento a normas internacionales como ISO/IEC 27001, apego a políticas institucionales, o bien por iniciativa o paranoia propia. Con el afán de satisfacer esta necesidad, en nuestra mente se ilumina la palabra “criptografía”.
Etimológicamente la palabra proviene del griego “crypto”, que significa oculto, y “graphos”, que significa escritura, por lo que criptografía puede definirse como “El arte de la escritura oculta, que consiste en transformar un mensaje de texto claro en un mensaje cifrado, con la finalidad de garantizar que solo las personas o partes autorizadas sean capaces de leer el mensaje y de este modo mantener la confidencialidad, integridad y autenticación del mensaje”.
La necesidad de comunicar información de forma confidencial se ha hecho presente en diferentes épocas de la historia; por ejemplo, en el siglo V a.C. los griegos hacían uso de una técnica que consistía en enrollar cinta de tela o papiro a lo largo de una vara, una vez enrollado, se escribía el mensaje confidencial de forma longitudinal. Al momento de desenrollar la cinta solo se veía una serie de letras sin sentido e interpretación. Para visualizar (descifrar) el mensaje original se requería contar con una vara con las mismas dimensiones físicas de la vara original utilizada para cifrar el mensaje y enrollar nuevamente la cinta con el mensaje cifrado a lo largo de la vara. En esencia, a este tipo de cifrado se le conoce como cifrado por transposición y, dado que tanto para cifrar como para descifrar se requiere contar con una vara con las mismas dimensiones físicas, se asume que utiliza un método de criptografía simétrica.
En el campo de la criptografía identificamos tres principales métodos: criptografía simétrica, asimétrica, e híbrida.
Criptografía simétrica: se refiere al uso de una misma clave tanto para cifrar como para descifrar un mensaje. La principal vulnerabilidad de este método reside en la forma en que ambas partes (remitente y receptor) intercambian o se ponen de acuerdo en la clave de descifrado, por ejemplo, por teléfono diciendo en voz alta “La clave es…” y exponiéndolo a cualquier oyente o, peor aún, escribir la clave de descifrado usando el mismo medio por el que viaja nuestro mensaje confidencial (por ejemplo el típico correo que dice algo tipo “Adjunto encontrará el archivo solicitado, cifrado para su seguridad, y la clave para abrir el archivo es xxx…”).
Lo realmente caótico aparece cuando no existe una cultura de seguridad, y se utiliza la misma clave para tener acceso a diferentes sistemas o servicios informáticos, de tal modo que si la clave se compromete puede ser utilizada para alimentar diccionarios de contraseñas y posteriormente posibilita que un atacante realice ataques de fuerza bruta o ataques de diccionario, con altas probabilidades de éxito contra un acceso no autorizado.
Criptografía asimétrica: se refiere a la generación y uso de dos claves, llamadas clave pública y clave privada, en las que ambas tienen una estrecha relación matemática y entre sus propiedades presentan la capacidad de garantizar no solo la confidencialidad de los mensajes, sino también la integridad, autenticación y no repudio. Uno de los puntos que pretende subsanar la criptografía asimétrica es el intercambio de claves de descifrado de una manera segura, sin caer en los puntos vulnerables del intercambio de claves de la criptografía simétrica.
Criptografía híbrida: se refiere al uso combinado de la criptografía simétrica y asimétrica, como es el caso de PGP (Pretty Good Privacy), aplicación utilizada para cifrado y firmado digital de correos electrónicos. Con este método de cifrado se pretende obtener los beneficios de ambos métodos: rapidez en el cifrado (virtud de la criptografía simétrica) y garantizar la compartición segura de claves (virtud de la criptografía asimétrica).
.
1. Asegurando mis mensajes de correo electrónico
Con la finalidad de dotar de seguridad al intercambio de correos electrónicos es necesario utilizar algún software como PGP, programa desarrollado por Phil Zimmermann en 1991 y que en 2010 fue adquirido por la firma Symantec Corp. Y del cual hay alternativas sin costo como GPG (GNU privacy guard).
Con PGP/GPG obtendremos dos capacidades para el intercambio de correos electrónicos:
- Cifrado de mensajes de correo: permite garantizar la confidencialidad de los mensajes. Esto es, que únicamente las personas o partes que conozcan la clave de descifrado pueden tener acceso al mensaje confidencial.
- Firma digital: permite garantizar dos propiedades: 1.- Autenticación, validar que quien envía un mensaje es quien dice ser y con esto sustentar el no repudio; y 2.- Integridad, validar que el mensaje no ha sufrido alteraciones durante su transmisión, y con ello se garantiza que el mensaje es íntegro.
Durante el proceso inicial de instalación de este tipo de aplicaciones se generará el par de claves (privada y pública) y una frase de paso o passphrase, las cuales serán vitales para el correcto cifrado o firmado digital de los correos electrónicos. La frase de paso es una especie de contraseña que desempeña varias funciones; la más importante es que nos permite tener acceso a nuestra clave privada para hacer uso de ella, ya sea para el descifrado de mensajes o bien para el firmado digital.
.
1.1 Cifrando mis mensajes de correo electrónico
Si la acción que deseamos emprender es cifrar nuestros mensajes de correo electrónico, entonces debemos saber que:
- La clave privada NO se debe compartir con nadie, solo el dueño de la clave la debe tener pues esta se usa durante el proceso de descifrado.
- La clave pública debe ser conocida por todos aquellos que deseen enviarnos correos cifrados. Durante el proceso de cifrado la clave pública se utiliza para cifrar un mensaje hacia un destinatario. Por ejemplo, si Romeo desea enviar un correo cifrado a Julieta, Romeo deberá conocer la clave pública de Julieta para cifrar el mensaje con la clave pública de Julieta, de tal manera que solo Julieta podrá tener acceso al mensaje ya que solo su llave privada puede descifrar algo procesado con su llave pública.
1.2 Firmado digital de mensajes
Si la acción que deseamos emprender es firmar digitalmente nuestros mensajes de correo electrónico, entonces lo que debemos saber es que:
- La clave privada se usa durante el proceso de firma digital. Por ejemplo, si Romeo desea firmar digitalmente un mensaje a Julieta, deberá utilizar su clave privada (clave privada de Romeo) sobre el mensaje.
- La clave pública se usa para la autenticación y no repudio de un mensaje firmado digitalmente: una vez que Julieta recibe un mensaje firmado digitalmente de Romeo, deberá utilizar la clave pública de Romeo sobre el mensaje recibido para estar segura que dicho mensaje es íntegro y realmente proviene de Romeo.
.
PGP Key ID: AAD259C3
.
Referencias:
- http://niccs.us-cert.gov/glossary#letter_c
- Garfinkel, Simson. PGP Pretty Good Privacy O’Reilly & Associates, Inc., 1995. ISBN 1-56592-098-8
- International PGP Home Page – http://www.pgpi.org/
- http://www.australianscience.com.au/technology/a-scytale-cryptography-of-the-ancient-sparta/
Deja tu comentario