Holas a todos, estuve preparando un tutorial de unas clases propias del framework pero me levante soñando esto y que la verdad es importante y es la criptografía simétrica:
“La criptografía simétrica es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma.”
Para aquellos que migraron de “vb6” sabran que ya había por la internet muchos “módulos y clases” de varios algoritmos, pues ahora nuestro querido “.NET” ya nos proporciona unas clases echas para que nosotros “disfrutemos” de esto sin problemas jejeje.
Vamos a suponer un ejemplo para poder empezar con esto que a muchos estará interesado.
“Suponemos que Alejandro y Mauro quieren comunicarse por un canal y deciden utilizar la criptografía para evitar que puedan ver su comunicación.Alejandro le envía a Mauro la clave que van a utilizar para establecer el canal seguro.Alejandro cifra los datos que quiere enviar y Mauro los recibe y así mismo con la clave que Alejandro cifro los datos Mauro los va a descifrar para poder saber que es lo que le fue enviado.”
Con esto queda a destacar 3 puntos importantes en esto de la criptografía simétrica y es que ambas partes deben garantizar que los datos comunicados:
- no puedan ser comprendidos por nadie que pueda estar escuchando: Confidencialidad.
- no han sido modificados durante la transmisión: Integridad.
- provienen realmente de quien provienen y no de nadie que haya suplantado la identidad de una de las dos partes: Autenticación.
La criptografía se utiliza para lograr estos objetivos, pero no nos centraremos en saber como funcionan los algoritmos de encriptación, solo a saber usarlos y evitar malas prácticas en ello.
1ª La encriptación simétrica o cifrado de clave secreta:
En la encriptación simétrica se utiliza una única clave secreta para cifrar y descifrar los datos. Son algoritmos muy rápidos, por eso se utilizan para grandes secuencias de datos.
Dentro de los algoritmos de encriptación simétrica podemos encontrar los siguientes:
- DES ( Digital Encryption Standard )
- 3DES ( Three DES o Triple DES )
- IDEA ( International Data Encryption Algorithm )
- AES ( Advanced Encryption Standard )
AES es de amplia aceptación a nivel mundial. Hoy en día es el más seguro y rápido.
Cualquiera de estos algoritmos utiliza los siguientes dos elementos los cuales debemos darle su importancia y no pasarlo por alto:
- ·Vector de inicialización.-
No se puede encriptar sin él. Es de 16 bytes de longitud para el algoritmo de Rijndael. No es una 2ª llave, por lo tanto, no se trata de una dato que haya que esconder, únicamente hay que considerar que hay que usar el mismo IV para encriptar/desencriptar un mensaje concreto. Un error común es utilizar el mismo vector de inicialización en todas las encriptaciones. Utilizar siempre un mismo IV es equivalente en seguridad a no utilizar encriptación.
Esta es la principal información para encriptar/descifrar en los algoritmos simétricos. Toda la seguridad de un sistema simétrico depende de dónde esté esta llave, cómo esté compuesta y quién tiene acceso. Éste es un dato que debe conocerse única y exclusivamente por los interlocutores de la comunicación. De otra forma, la seguridad en la comunicación se vería comprometida.
Consideraciones acerca de la clave
Cuanto más grande sea el tamaño de la llave, más difícil será obtenerla mediante un ataque por fuerza bruta. Para el algoritmo de AES, las claves pueden ser de 128, 192 y 256 bits de longitud. Por ejemplo, para una clave de 64 bits de longitud, a un ritmo de comprobación de 50 claves por segundo, podría llevar unos 11,6 billones de años en comprobar todos los valores posibles de la clave (unas 750 veces la edad de la tierra), aunque también hay que considerar que, comprobados la mitad de los valores posibles de la clave, existen un 50% de probabilidades de haberla encontrado ya. Por tanto, el éxito de un ataque por fuerza bruta o el nivel de seguridad que ofrece una clave, están sujetos a las leyes de la probabilidad y considerar que un atacante debería comprobar todos los valores posibles de una clave para poder encontrarla es una suposición demasiado optimista. No se puede afirmar categóricamente que una tercera parte que intercepte un mensaje cifrado simétricamente en un canal de comunicaciones inseguro no sea capaz nunca de encontrar la clave secreta. Entonces, la seguridad de un algoritmo simétrico debe basarse en utilizar una clave lo suficientemente bien formada como para que, independientemente del ritmo de comprobación de claves que un atacante pudiera mantener, cuando ésta sea descubierta, los datos que se protegen hayan quedado ya obsoletos.
Consideraciones acerca del vector de inicialización
En un esquema de cifrado por bloques (como AES), la secuencia de texto sin cifrar se parte en bloques para su procesamiento. Para una clave secreta determinada, un cifrado que no utilice un vector de inicialización codificará el mismo bloque de entrada de texto sin cifrar en el mismo bloque de salida de texto cifrado. Si hay bloques duplicados dentro la secuencia de texto a cifrar, habrá bloques duplicados en la secuencia de texto cifrado. Si el hacker sabe algo acerca de la estructura de un bloque del texto sin cifrar, puede utilizar esa información para descifrar el bloque de texto cifrado conocido y, posiblemente, recuperar la clave.
Para combatir este problema, la información del bloque anterior se mezcla en el proceso de cifrado del bloque siguiente (como vamos a ver ahora, en el modo de cifrado ECB – Electronic Code Book Mode no se hace eso). Así pues, el resultado de dos bloques idénticos de texto sin cifrar es distinto. Como esta técnica utiliza el bloque anterior para cifrar el bloque siguiente, se utiliza un IV para cifrar el primer bloque de datos. Con este sistema, los encabezados de los mensajes comunes que un hacker podría conocer no pueden utilizarse para aplicar técnicas de ingeniería inversa en una clave.
Consideraciones acerca del modo de cifrado
Los algoritmos de cifrado de bloque como DES o AES separan el mensaje en bloques de tamaño fijo para su procesamiento, por ejemplo 128 bits. La forma en que se gestionan estos bloques se denomina “modo de cifrado”. Los modos de cifrado que soporta .NET Framework son ECB, CBC, y CFB (es preferible usar CBC).
- ECB – Electronic Code Book Mode: Las desventajas de este modo de cifrado son grandes, por lo que se usa cada vez menos (hace posible los ataques de diccionario).
- CBC – Cipher Block Chaining Mode: Es una extensión de ECB que añade cierta seguridad (usa un vector de inicialización IV). Es el modo de cifrado por bloques más usado.
AES permite elegir la longitud de la clave y del bloque individualmente, en el rango de valores {128, 160, 192, 224 y 256 bits}. En realidad, dichas longitudes no tienen por qué coincidir, pero la Publicación oficial del algoritmo AES (FIPS 197) especifica que en AES, la longitud de bloque debe ser siempre 128 bits y que la de la clave puede ser 128, 192, o 256 bits (160 y 224 no son opciones soportadas).
Modos de relleno
La mayoría de los mensajes de texto a cifrar no contienen los bytes necesarios para rellenar totalmente los bloques. A menudo, no hay bytes suficientes para rellenar el último bloque. Cuando esto sucede, se agrega una cadena de relleno al texto. Por ejemplo, si la longitud del bloque es de 64 bits y el último bloque sólo contiene 40 bits, se agregan 24 bits de relleno. .NET Framework soporta dos modos de relleno:
- Zeros: La cadena de relleno consta de bytes establecidos en cero.
- PKCS7: La cadena de relleno PKCS #7 consta de una secuencia de bytes, en la que cada byte es igual al número total de bytes de relleno agregados.
Por ejemplo, para una longitud de bloque de 8 bytes, una longitud de datos de 9 bytes, un número de octetos de relleno igual a 7 bytes y los datos iguales a A1 A1 A1 A1 A1 A1 A1 A1 A1, quedaría:
- Relleno de Zeros: A1 A1 A1 A1 A1 A1 A1 A1 A1 00 00 00 00 00 00 00
- Relleno de PKCS7: A1 A1 A1 A1 A1 A1 A1 A1 A1 07 07 07 07 07 07 07