![[Anterior]](doorin2.gif){kind=small} |
|
![[Siguiente]](doorin.gif){kind=small} |
|
|
|
Una varieante de DES es el Triple DES o 3DES que se base en el uso del Algoritmo DES tres veces (normalmente con la secuencia encrypt-decrypt-encrypt con claves diferentes no relacionadas).
Es un modo de operación de un encriptador por bloques, donde la entrada al algoritmo de encriptación es el XOR del proximo bloque de datos a encriptar con el previo bloque de datos ya encriptados.
Ver Certificado X.509.
Como parte del protocolo X.509, los certificados están asociados a cada usuario y son creados por una Autoridad de Certificados (ó Certificate Authority, ó CA) confiable (trusted) y publicados en el directorio (X.500 o LDAP) por el usuario con el fin de que otros usuarios puedan hallarlo. Un certificado X.509 está compuesto por la siguiente información: La versión del formato del certificado, un número de serie único dentro del CA que lo emitió, el identificador del algoritmo usado para firmar el certificado (con sus parámetros) , el CA emisor, el período de validez (son 2 fechas), el usuario al cual se refiere el certificado, la información de clave pública del usuario (la clave misma, la longitud, otros parámetros), y la firma (consistiendo de un hash code) que cubre todos los anteriores campos.
Son entidades que validan identidades y emiten certificados. Las CA pueden terceras partes independientes u organizaciones corriendo su propio software server emisor de certificados. Una lista de CAs de terceros esta disponible en Certificate Authority Services.
DES encriptador por bloques de 64 bits de longitud. Usa claves de 56 bits. DES es lo suficientemente seguro como para dejar fuera a hackers casuales, sin embargo puede ser quebrado con harware especial, por organizaciones criminales o corporaciones más importantes.
Diffie-Hellman es un algoritmo de clave público comunmente usado para realizar intercambio de clave. Generalmente se considera seguro cuando las claves son largas y se usan generadores apropiados. La seguridad recae sobre la dificultad de problema del logaritmo discreto, ( el cuál es equivalente computacionalmente al problema de la factorización de enteros largos). Existe un nuevo timing attack que puede usarse para quebrar muchas implementaciones de Diffie-Hellman.
El DN es un string que sirve para referenciar unívocamente una entrada (entry) de un directorio LDAP.
El DSA es el algoritmo de firma descripto en el standard DSS. DSA usa una clave privada para formar la firma digital y la correspondiente clave pública para verificar la firma. A diferencia de la encriptación, la operación de firma no es reversible. El DSA no hace encriptación de clave pública, y el standard DSS no provee capacidades para distribución ni intercambio de claves.
Un standard para firmas digitales, incluyendo DSA, aprovado por National Institute of Standards and Technology. Se han encontrado algunos problemas con este método.
El diseño de FORTEZZA, es clasificado, pero a nivel de protocolo es similar a Diffie Hellman, con valores públicos fijos contenidos en certificados.
HMAC es un mecanismo para la autenticación de mensajes que utiliza funciones criptográficas de hash tales como MD5 o SHA-1, en combinación con la clave compartida secreta, que en realidad se utiliza como secreto compartido con la función de hashing.
IDEA usa una clave de 128 bits, y esto es generalmente considerado como muy seguro. Esto lo transforma en uno de los mejores algoritmos conocidos de dominio público.
Cuando un block cipher se usa en modo CBC, se hace un XOR entre el vector de inicialización y el primer bloque de plaintext antes de la encriptación.
LDAP es un protocolo de servicio de directorio que corre sobre
TCP/IP. Esta definido en la RFC 1777.
El modelo de servicio de directorio de LDAP esta basado en entries.
Un entry es una colección de atributos, y tiene un
nombre, el cual es llamado un distinguished name (DN).
El DN se usa para referenciar unívocamente a un entry. Los
atributos pueden ser una dirección de e-mail, una imagen JPEG,
etc.
Las entradas de directorio se ubican en una estructura de árbol.
Cada entrada podría representar un país, provincias,
organizaciones, unidades organizacionales de una empresa, gente,
impresoras, documentos, o cualquier otra cosa.
Otro protocolo, el X.500, provee más
funcionalidad, pero necesita correr sobre protocolos de la OSI y consume más recursos.
Un autenticador que es una función criptográfica del dato a ser autenticado junto con una clave secreta. Tambien referido como Criptographic Checksum.
ver Secreto del MAC.
Dato secreto seguro que se usa para generar las claves de encriptación (session keys), MAC secrets, e IVs.
MD5 es una función de hashing segura que convierte una secuencia de datos larga en un resumen (digest) de longitud fija (16 bytes).
El pre-master secret es un valor aleatorio que es generado (y enviado en forma segura al server) por el cliente y se usa para generar (y concordar en) el master secret. Una vez generada ésta última, el pre-master secret debe ser borrado.
Se trata de una función que toma como entrada un secreto, una semilla, y una etiqueta identificatoria, y produce una salida de longitud arbitraria de valores random. Para implementar la PRF en forma segura, el protocolo utiliza dos algoritmos de hash. Esta función se crea por la subdivisión del secreto en dos mitades usando la primera parte para generar datos con MD5 y la otra parte para generar datos con SHA, provocando como salida un XOR de las dos funciones.
RC4 es un encriptador diseñado por RSA Data Security, Inc. El algoritmo es muy rápido. Su seguridad no es conocida, pero quebrarlo no parece ser trivial. Puede aceptar claves de longitud arbitraria.RC4 es esencialmente un generador de números aleatorios, y su salida es un XOR con la secuencia de datos. .Por esta razón es muy importante que la clave no sea encriptada con secuencias distintas de datos.
RSA (Rivest-Shamir-Adelman) es el algoritmo de clave pública más comunmente usado. Puede utilizarse tanto para encriptación como para firmado. Generalmente se considera lo suficientemente segura con claves largas (512 bits es inseguro, 768 bits es moderadamente seguro, y 1024 bits es bueno). La seguridad de RSA se sustenta en la dificultad de factorear enteros grandes. RSA es muy vulnerable frente a ataques de Plaintext. Existe también un timing attack que puede usarse para quebrar muchas implementaciones de RSA.
Dato secreto usado para autenticar la escritura de datos por parte del cliente o del servidor. El dato es compartido por ambos.
SHA es una función de hashing segura que convierte una secuencia de datos larga en un resumen (digest) de longitud fija (20 bytes). Note que todas referencias a SHA realmente usan el algoritmo SHA-1 modificado.
S/MIME es un standard de mensajeria electronica. Usa tecnología de encriptación de clave pública para proteger los mensajes de la interceptación y falsificación no autorizada. El protocolo S/MIME garantiza la segura transmision, almacenamiento, autenticación y forwarding de los datos secretos.
Es el servicio de directorio de la OSI. X.500 define el Directory
Access Protocol (DAP) para que usen los clientes cuando contactan
los servers de directorio. DAP es un protocolo que corre sobre
los protocolos OSI y requiere un gran monto de recursos para
funcionar.
Otro protocolo, el LDAP,
corre directamente sobre TCP y provee mucha de la funcionalidad
de DAP a un costo menor.
Esta recomendación de la ITU es parte de la serie de recomendaciones X.500 que define un servicio de directorio. X.509 define un framework para la provisión de servicios de autenticación para el directorio X.500 a sus usuarios. El directorio podria servir como un repositorio de certificados que tengan la clave pública de los usuarios (ver Certificado X.509).
|
|
|
![[Tabla de Contenidos]](homejump.gif){kind=small}