UNIVERSIDAD TECNOLGICA DE DURANGO

TECNOLOGAS DE LA INFORMACIN



SEGURIDAD DE LA INFORMACIN

INVESTIGACIN PRIMER PARCIAL

POR:
ALCLA ESCRCEGA MARIO GIL
MORALES VZQUEZ ANDRS
SALINAS AMPARAN JESUS MANUEL
SIMENTAL BELTRN CSAR OCTAVIO
VELA OLIVEROS ALAN ANTONIO


ASESOR: LIC.ALFREDO ORRICO SANCHEZ





VICTORIA DE DURANGO, DGO. SEPTIEMBRE 2014


Pgina 2

Contenido
INTRODUCCIN ...................................................................................................................... 3
RESUMEN ................................................................................................................................ 4
CRIPTOGRAFA ........................................................................................................................ 6
CIFRADO SIMTRICO ........................................................................................................... 6
RC5 ...................................................................................................................................... 7
AES ...................................................................................................................................... 8
CIFRADO ASIMTRICO ....................................................................................................... 10
DES .................................................................................................................................... 11
3DES .................................................................................................................................. 13
RSA .................................................................................................................................... 15
EJEMPLO DE CONFIGURACIN ............................................................................................. 17
NUEVOS ALGORITMOS BREVE DESCRIPCIN Y USO. ........................................................... 23
IDEA ................................................................................................................................... 23
RC4 .................................................................................................................................... 24
MD5 ................................................................................................................................... 25
SHA .................................................................................................................................... 25
CONCLUSIONES ..................................................................................................................... 27
BIBLIOGRAFIA ....................................................................................................................... 28








Pgina 3

INTRODUCCIN

Hoy en da, proteger la informacin es algo bsico para cualquier caso, ya sea
datos de empresas importantes o de empresas pequeas, alguna empresa que no
cuente con algn tipo de seguridad ser altamente propensa a ataques
informticos, lo cual la llevara a un problema quizs irreversible.
El presente trabajo contiene una investigacin hecha para dar a conocer algn tipo
de seguridad, que es la criptografa, la cual ayuda a proteger cierta informacin,
este tema incluye los tipos de criptografa, sus orgenes y cmo hacerlo.
El trabajo de investigacin tambin contiene el tema de algoritmo de criptografa,
que es un algoritmo que modifica los datos de un documento con el objetivo de
alcanzar caractersticas de seguridad bsica como la autenticacin, integridad y
confidencialidad, tambin contiene el listado de algoritmos criptogrficos y su
clasificaciones que son criptografa simtrica y asimtrica y Hash (clave secreta,
clave pblica y de resumen).













Pgina 4

RESUMEN
CRIPTOGRAFA
Es la ciencia que hace uso de mtodos y tcnicas con el objetivo de cifrar y
proteger la informacin de usos no autorizados, mediante la utilizacin de
algoritmos usando una o ms claves.
Algunos tipos de criptografa son:
CIFRADO SIMTRICO
Es un mtodo criptogrfico que se usa para cifrar un mensaje utilizando una nica
clave conocida por los dos interlocutores, de manera que el documento cifrado
slo pueda descifrarse conociendo dicha clave secreta.
CIFRADO ASIMTRICO
Estos criptosistemas estn basados en propiedades matemticas de los nmeros
primos, que permite que cada interlocutor tenga una pareja de claves propias.
La propiedad fundamental de esta pareja de claves es que lo que se cifra con una
de estas claves, se descifra con la otra.
DES
DES cifra bloques de 64 bits, mediante permutacin y sustitucin y usando una
clave de 64 bits, de los que 8 son de paridad (esto es, en realidad usa 56 bits),
produciendo as 64 bits cifrados.
3DES
En criptografa el Triple DES se llama al algoritmo que hace triple cifrado del DES.
Tambin es conocido como TDES o 3DES, fue desarrollado por IBM en 1998.
TDES (en castellano: Triple Estndar de Cifrado de Datos), una alternativa para
DES.



Pgina 5

RSA
El sistema criptogrfico con clave pblica RSA es un algoritmo asimtrico cifrador
de bloques, que utiliza una clave pblica, la cual se distribuye (en forma
autenticada preferentemente), y otra privada, la cual es guardada en secreto por
su propietario.
En la actualidad existen nuevos algoritmos como:

IDEA (International Data Encryption Algorithm)
Algoritmo de libre uso desarrollado y liberado en 1991 por Xuejia Lai y James L.
Massey del Politcnico de Zurich. Opera con bloques de 64 bits y una clave de
128 bits realizando un total de 8 iteraciones.
MD5
MD5 es uno de los algoritmos de reduccin criptogrficos diseados por el
profesor Ronald Rivest del MIT (Massachusetts Institute of Technology, Instituto
Tecnolgico de Massachusetts). Fue desarrollado en 1991 como reemplazo del
algoritmo MD4 despus de que Hans Dobbertin descubriese su debilidad.










Pgina 6

CRIPTOGRAFA

QU ES LA CRIPTOGRAFA?
La palabra criptografa proviene de las races griegas kryptos (ocultar) y graphos
(escribir), por lo que literalmente significa esconder escritura.
Es la ciencia que hace uso de mtodos y tcnicas con el objetivo de cifrar y
proteger la informacin de usos no autorizados, mediante la utilizacin de
algoritmos usando una o ms claves.

ORGENES DE LA CRIPTOGRAFA?
Antiguamente la criptografa estaba vinculada con secretos de estado, asuntos
militares, de espionaje, etc. Ya en el siglo V antes de J.C. los lacedemonios
utilizaban un mecanismo conocido como la Esctala. A mediados del siglo II antes
de J.C., encontramos el cifrador por sustitucin ms antiguo que se conoce
atribuido a Polybios, el cifrador de Polybios. En el siglo I antes de J.C., aparece el
cifrador del Csar en honor al emperador Julio Csar. A partir del siglo XVI
encontramos diversas Mquinas de cifrar.
TIPOS DE CRIPTOGRAFA
CIFRADO SIMTRICO
Es un mtodo criptogrfico que se usa para cifrar un mensaje utilizando una nica
clave conocida por los dos interlocutores, de manera que el documento cifrado
slo pueda descifrarse conociendo dicha clave secreta.



Cifrado Simtrico
Pgina 7

Algunas de las caractersticas ms destacadas de este tipo de algoritmos son las
siguientes:
o Se utiliza la misma clave para cifrar el mensaje original que para descifrar el
mensaje codificado.

o Emisor y receptor deben haber acordado una clave comn por medio de un
canal de comunicacin confidencial antes de poder intercambiar
informacin confidencial por un canal de comunicacin inseguro.

El esquema general de cifrado y descifrado mediante algoritmos de clave privada,
a partir de un documento original se obtiene un documento cifrado al aplicar una
clave secreta; esa misma clave secreta se utiliza posteriormente para volver a
obtener el documento original.
Este sistema de cifrado tiene la ventaja de que es altamente eficiente, dado que
los algoritmos utilizados son muy rpidos al poder implementarse tanto en
hardware como en software de una forma fcil.
El mayor inconveniente de la criptografa simtrica es que esta clave, al ser
compartida, ha de ser comunicada de forma segura entre las dos partes de la
comunicacin (por telfono, correo certificado, etc.), previamente a sta. Si este
secreto fuese enviado por un canal inseguro, como por ejemplo Internet, la
seguridad del sistema sera bastante pobre, dado que cualquiera podra
interceptarla y comprometer todo el sistema. Tambin hay que tener en cuenta la
frecuencia con la que esta clave debe ser renovada para evitar que sea
desvelada.
Estos son algunos algoritmos que se basan en el cifrado simtrico:
DES, 3DES, RC5, AES, Blowfish, IDEA.
RC5 creado por Ron Rivest, publicado en 1994. Se trata de un algoritmo de
cifrado por bloques, que utiliza claves de tamao variable. Se caracteriza por la
sencillez del algoritmo, que lo hacen muy rpido y fcil de implementar tanto en
software como en hardware.

Pgina 8

Es la combinacin entre el cifrado de Alberti y el cifrado de Vigenre pero
implementado en software. Estas son algunas caractersticas:
RC5 es un cifrador en bloque de tamao variable de Ron Rivest.
Cifra bloques de texto de 32, 64 128 bits.
Tamao de clave hasta 2.048 bits, en funcin nmero de vueltas.
Nmero de vueltas de 0 a 255.
Muy rpido, arquitectura simple, bajos requisitos de memoria y alta
seguridad. Las rotaciones dependientes de los datos le fortalecen ante el
criptoanlisis diferencial.

AES (Advanced Encryption Standard), es el estndar para cifrado simtrico del
NIST desde el 26 de mayo de 2002 en sustitucin de DES. AES tambin es
conocido por Rijndael, nombre original del algoritmo propuesto en 1999, que
cambi al ser seleccionado por NIST y convertirse en el estndar.

Fue desarrollado por dos criptgrafos Belgas, Joan Daemen y Vincent Rijmen, Es
un algoritmo de cifrado por bloques con longitud de bloque y longitud de clave
variables. Los valores adoptados para el estndar son bloques de 128 bits, y
claves de longitud 128, 192 256 bits.
Algunas caractersticas son:

La mayora de los clculos del algoritmo AES se hacen en un campo finito
determinado.
AES opera en una matriz de 44 bytes, llamada state (algunas versiones de
Rijndael con un tamao de bloque mayor tienen columnas adicionales en el
state). Bsicamente tiene 4 rondas o procesos hasta llegar al texto cifrado.

Pgina 9

AES proporciona una encriptacin segura y ha sido elegida por NIST como un
Estndar de Proceso de Informacin Federal en Noviembre del 2001 (FIPS-197), y
en Junio del 2003 el Gobierno de EEUU (NSA) anunci que AES es lo
suficientemente seguro para proteger la informacin clasificada hasta el
nivel ALTO SECRETO, que es el nivel ms alto de seguridad y que se definen
como informacin que pudiera causar "daos excepcionalmente graves" a la
seguridad nacional en caso de ser divulgada al pblico.
Blowfish es un algoritmo de cifrado por bloques de 64 bits diseado por Bruce
Schneier en 1993. Utiliza claves de longitud variable entre 32 y 448 bits. A pesar
de utilizar un tamao de bloque pequeo, que podra facilitar su vulnerabilidad al
procesar textos largos, se considera un algoritmo seguro y es ms rpido que
DES.

Algunas caractersticas son:

Cifrador tipo Feistel de clave variable (Bruce Schneier).
Cifra bloques de texto de 64 bits.
Tamao de clave: de 32 hasta 448 bits. Se generan 18 subclaves de 32
bits.
Nmero de vueltas: 16, en cada una de ellas se realiza una permutacin
funcin de la clave y una sustitucin que es funcin de la clave y los datos.
Operaciones bsicas: or exclusivo y suma mdulo 232.
Cajas S: en cada vuelta hay cuatro con 256 entradas cada una.
Compacto porque necesita slo 5 Kb de memoria, es muy rpido (5 veces
ms veloz que DES), es conceptualmente simple y su fortaleza puede
variarse segn longitud de la clave. Usa una funcin F con las cuatro cajas
S y operaciones bsicas de suma y por exclusivo que provocan un efecto
de avalancha.


Pgina 10

CIFRADO ASIMTRICO
En 1976 Diffie y Hellman describieron el primer criptosistema de clave pblica
conocido como el cambio de clave Diffie-Hellman. Estos criptosistemas estn
basados en propiedades matemticas de los nmeros primos, que permite que
cada interlocutor tenga una pareja de claves propias. De esta pareja de claves,
una se denomina privada o secreta y la otra, pblica. La clave privada no se
transmite nunca y se mantiene secreta. La clave pblica, por el contrario, se puede
y se debe poner a disposicin de cualquiera, dado que es imposible deducir la
clave privada a partir de la pblica.


La propiedad fundamental de esta pareja de claves es que lo que se cifra con una
de estas claves, se descifra con la otra. Esta potente caracterstica asimtrica es
la que permite a esta tecnologa servir de base el diseo de sistemas de
comunicacin segura.
La principal ventaja de este tipo de criptosistemas es que la clave secreta ya no
tiene que transmitirse entre los interlocutores y tampoco es necesario tener claves
diferentes para cada pareja de interlocutores, es suficiente con que cada usuario
tenga su clave doble con componente pblica y privada. Por lo tanto el nmero
total de claves asimtricas en una red se reduce a 2n, esto supone ahora slo 200
claves en una red de cien usuarios, 2000 en una de mil, y varios miles en una red
tan grande como el sistema de telefona convencional de cualquier pas
desarrollado.
Cifrado Asimtrico
Pgina 11

Algunas de las caractersticas ms destacadas de este tipo de algoritmos son las
siguientes:
Se utilizan una pareja de claves denominadas clave pblica y clave privada,
pero a partir de la clave pblica no es posible descubrir la clave privada.
A partir del mensaje cifrado no se puede obtener el mensaje original,
aunque se conozcan todos los detalles del algoritmo criptogrfico utilizado y
aunque se conozca la clave pblica utilizada para cifrarlo.
Emisor y receptor no requieren establecer ningn acuerdo sobre la clave a
utilizar. El emisor se limita a obtener una copia de la clave pblica del
receptor, lo cual se puede realizar, en principio, por cualquier medio de
comunicacin aunque sea inseguro.

Comparando Cifrado Simtrico contra Cifrado Asimtrico
DES
DES (Data Encryption Standard, estndar de cifrado de datos) es un algoritmo
desarrollado originalmente por IBM a requerimiento del NBS (National Bureau of
Pgina 12

Standards, Oficina Nacional de Estandarizacin, en la actualidad denominado
NIST, National Institute of Standards and Technology, Instituto Nacional de
Estandarizacin y Tecnologa) de EE.UU. y posteriormente modificado y adoptado
por el gobierno de EE.UU. en 1977 como estndar de cifrado de todas las
informaciones sensibles no clasificadas. Posteriormente, en 1980, el NIST
estandariz los diferentes modos de operacin del algoritmo. Es el ms estudiado
y utilizado de los algoritmos de clave simtrica.
El nombre original del algoritmo, tal como lo denomin IBM, era Lucifer. Trabajaba
sobre bloques de 128 bits, teniendo la clave igual longitud. Se basaba en
operaciones lgicas booleanas y poda ser implementado fcilmente, tanto en
software como en hardware. Tras las modificaciones introducidas por el NBS,
consistentes bsicamente en la reduccin de la longitud de clave y de los bloques,
DES cifra bloques de 64 bits, mediante permutacin y sustitucin y usando una
clave de 64 bits, de los que 8 son de paridad (esto es, en realidad usa 56 bits),
produciendo as 64 bits cifrados.

Pgina 13

3DES
En criptografa el Triple DES se llama al algoritmo que hace triple cifrado del DES.
Tambin es conocido como TDES o 3DES, fue desarrollado por IBM en 1998.
TDES (en castellano: Triple Estndar de Cifrado de Datos), una alternativa para
DES.
Las partes principales del algoritmo DES son las siguientes:
1. Fraccionamiento del texto en bloques de 64 bits (8 bytes)
2. Permutacin inicial de los bloques,
3. Particin de los bloques en dos partes: izquierda y derecha,
denominadas I y D respectivamente,
4. Fases de permutacin y de sustitucin repetidas 16 veces
(denominadas rondas),
5. Reconexin de las partes izquierda y derecha, seguida de la permutacin
inicial inversa.
La variante ms simple del Triple DES funciona de la siguiente manera:

Triple DES
Pgina 14

Donde M es el mensaje a cifrar K1 y K2 y K3 las respectivas claves DES. En la
variante 3TDES las tres claves son diferentes; en la variante 2TDES, la primera y
tercera clave son iguales.
El TDES permite aumentar de manera significativa la seguridad del DES, pero
posee la desventaja de requerir ms recursos para el cifrado y descifrado.
Por lo general, se reconocen diversos tipos de cifrado triple DES:
DES-EEE3: Cifrado triple DES con 3 claves diferentes,
DES-EDE3: una clave diferente para cada una de las operaciones de triple
DES (cifrado, descifrado, cifrado),
DES-EEE2 y DES-EDE2: una clave diferente para la segunda operacin
(descifrado).
TIPOS DE MODO DE CIFRADO 3DES

o DES-EEE3: Utiliza 3 claves diferentes, es decir los datos se
encriptan, encriptan, encriptan.
o DES-EDE3: Se utiliza una clave diferente para cada una de las operaciones
3des, es decir los datos se encriptan, desencriptan, encriptan.
o DES-EEE2: Solo se usan dos claves y el primer y tercer paso de
encriptacin usan la misma clave, y la segunda utiliza una clave diferente.
o DES-EDE2: Solamente usa dos claves, y el primer y tercer proceso de
encriptacin usan la misma clava, la segunda usa una clave diferente.
USOS:
El Triple DES est desapareciendo lentamente, siendo reemplazado por el
algoritmo AES. Sin embargo, la mayora de las tarjetas de crdito y otros medios
de pago electrnicos tienen como estndar el algoritmo Triple DES (anteriormente
usaban el DES). Por su diseo, el DES y por lo tanto el TDES son algoritmos
lentos. AES puede llegar a ser hasta 6 veces ms rpido y a la fecha no se ha
encontrado ninguna vulnerabilidad.
Pgina 15

RSA
El sistema criptogrfico con clave pblica RSA es un algoritmo asimtrico
cifrador de bloques, que utiliza una clave pblica, la cual se distribuye (en forma
autenticada preferentemente), y otra privada, la cual es guardada en secreto por
su propietario.
Una clave es un nmero de gran tamao, que una persona puede conceptualizar
como un mensaje digital, como un archivo binario o como una cadena de bits o
bytes. Cuando se enva un mensaje, el emisor busca la clave pblica de cifrado
del receptor y una vez que dicho mensaje llega al receptor, ste se ocupa de
descifrarlo usando su clave oculta.
Los mensajes enviados usando el algoritmo RSA se representan mediante
nmeros y el funcionamiento se basa en el producto de dos nmeros primos
grandes (mayores que 10
100
) elegidos al azar para conformar la clave de
descifrado.
Emplea expresiones exponenciales en aritmtica modular.
La seguridad de este algoritmo radica en que no hay maneras rpidas conocidas
de factorizar un nmero grande en sus factores primos utilizando computadoras
tradicionales.
La computacin cuntica podra proveer una solucin a este problema de
factorizacin.
El algoritmo RSA es un algoritmo de clave pblica desarrollado en 1977 en el MIT
por Ronald Rivest, Adi Shamir y Leonard Adelman.
Fue registrado el 20 de Septiembre de 1983. El 20 de Septiembre del 2000, tras
17 aos, expir la patente RSA, pasando a ser un algoritmo de dominio pblico.
Este popular sistema se basa en el problema matemtico de la factorizacin de
nmeros grandes.

Pgina 16

El algoritmo RSA funciona de la siguiente manera:
1. Inicialmente es necesario generar aleatoriamente dos nmeros primos grandes, a
los que llamaremos p y q.
2. A continuacin calcularemos n como producto de p y q: n = p * q
3. Se calcula fi: fi(n)=(p-1)(q-1)
4. Se calcula un nmero natural e de manera que MCD(e, fi(n))=1 , es decir e debe
ser primo relativo de fi(n).
Es lo mismo que buscar un nmero impar por el que dividir fi(n) que de cero como
resto.
5. Mediante el algoritmo extendido de Euclides se calcula d: e.d mod fi(n)=1 Puede
calcularse d=((Y*fi(n))+1)/e para Y=1,2,3, hasta encontrar un d entero.
6. El par de nmeros (e,n) son la clave pblica.
7. El par de nmeros (d,n) son la clave privada.
8. Cifrado: La funcin de cifrado es C = M^e mod n
9. Descifrado: La funcin de descifrado es M = C^d mod n
TABLA COMPARATIVA

Comparando Algoritmos
Pgina 17

EJEMPLO DE CONFIGURACIN

Este documento describe cmo configurar un FlexVPN entre dos Routers que
soporte el cifrado de la ltima generacin de Cisco (NGE) fije de los algoritmos.
Cifrado de la ltima generacin
La criptografa del cifrado de la ltima generacin de Cisco asegura la informacin
que viaja sobre las redes que utilizan cuatro configurables, establecido, y los
algoritmos criptogrficos del public domain:
Cifrado basado en el Advanced Encryption Standard (AES) que utiliza el 128-bit o
las claves del 256-bit
Firmas digitales con el Digital Signature Algorithm elptico de la curva (ECDSA)
que ese uso curva con el 256-bit y los mdulos primeros del 384-bit
Intercambio de claves que utiliza el mtodo elptico de Diffie Hellman de la curva
(ECDH)
El desmenuzar (huellas dactilares digitales) basado en el algoritmo de troceo
seguro 2 (SHA-2)
Los estados del National Security Agency (NSA) que estos cuatro algoritmos en la
combinacin ofrecen la garanta de la informacin adecuada para la informacin
clasificada. La criptografa de la habitacin B NSA para el IPSec se ha publicado
como estndar en el RFC 6379, y ha ganado la aceptacin en la industria.
Habitacin Suite-B-GCM-128
Segn el RFC 6379, estos algoritmos se requieren para la habitacin Suite-B-
GCM-128.
Esta habitacin proporciona la proteccin y la confidencialidad de la integridad del
Encapsulating Security Payload (ESP) con el 128-bit AES-GCM (vase
el RFC4106). Esta habitacin debe ser utilizada cuando se necesitan la proteccin
y el cifrado ambas de la integridad ESP.
Pgina 18

ESP
Cifrado
AES con las claves y el valor de
la verificacin de la integridad 16-
octet (ICV) del 128-bit en
Galois/el modo contrario (GCM)
(RFC4106)
Integridad NULO
IKEv2
Cifrado
AES con las claves del 128-
bit en el modo del Cipher
Block Chaining (CBC)
(RFC3602)
Funcin
pseudoaleatoria
HMAC-SHA-256 (RFC4868)
Integridad
HMAC-SHA-256-128
(RFC4868)
Grupo Diffie-
Hellman
grupo al azar del 256-bit ECP
(RFC5903)
Ms informacin sobre la habitacin B y el cifrado de la ltima generacin se
puede encontrar en el cifrado de la ltima generacin.
Nota: Contribuido por Graham Bartlett, Advanced Services.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
FlexVPN
IKEv2
IPSec

Pgina 19

Componentes Utilizados
La informacin que contiene este documento se basa en las siguientes versiones
de software y hardware.
Hardware Ese de la generacin 2 (G2) del Routers de los Servicios integrados
(ISR) ejecutado la licencia de la Seguridad.
Software: Software Release 15.2.3T2 de Cisco IOS. Cualquier versin de la
versin de Cisco IOS Software puede ser utilizada M o 15.1.2T o ms adelante
puesto que es sta cuando GCM fue introducido.
Para los detalles, refiera al navegador de la caracterstica.
Certificate Authority
El Cisco IOS Software no soporta actualmente un servidor local del Certificate
Authority (CA) que ejecute ECDH, que se requiere para el paquete B. Un servidor
de las de otras compaas CA debe ser implementado. Por este ejemplo,
utilizamos Microsoft CA basado en el paquete B PKI.
La informacin que contiene este documento se cre a partir de los dispositivos en
un ambiente de laboratorio especfico. Todos los dispositivos que se utilizan en
este documento se pusieron en funcionamiento con una configuracin verificada
(predeterminada). Si la red est funcionando, asegrese de haber comprendido el
impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones de Consejos Tcnicos de Cisco para obtener ms
informacin sobre las convenciones sobre documentos.
Configurar
En esta seccin encontrar la informacin para configurar las funciones descritas
en este documento.
Nota: Utilice la herramienta Command Lookup Tool (clientes registrados
solamente) para obtener ms informacin sobre los comandos utilizados en esta
seccin.
Topologa de red
Esta gua se basa en la topologa ilustrada abajo. Los IP Addresses se deben
enmendar para adaptarse a sus requisitos.
Pgina 20


Nota: La configuracin consiste en dos Routers conectado directamente, que
pudieron ser separados por muchos saltos. Si es as asegrese de que haya una
ruta a conseguir al IP Address de Peer. Esta configuracin detalla solamente el
cifrado usado. La encaminamiento IKEv2 o un Routing Protocol se debe
implementar sobre el IPSec VPN.
Pasos requeridos para permitir al router para utilizar el Digital Signature Algorithm
elptico de la curva
Cree el Domain Name y el nombre de host, que son requisitos previos para crear
un keypair EC.
1. ip domain-name cisco.com
2. hostname Router1
3. crypto key generate ec keysize 256 label Router1.cisco.com
4. Cree un trustpoint local para ganar un certificado de CA.
5. crypto pki trustpoint ecdh
6. enrollment terminal
7. revocation-check none
8. eckeypair Router1.cisco.com
Nota: Puesto que CA era offline, inhabilitamos los controles de la revocacin. Los
controles de la revocacin se deben habilitar para la seguridad mxima en un
entorno de produccin.
Autentique el trustpoint (esto obtiene una copia del certificado de CA que contiene
el clave pblica).
9. crypto pki authenticate ecdh
10. Ingrese el certificado codificado base64 del Certificate Authority en el prompt. Ingrese salido y
despus ingrese s para validar.
11. Aliste al router en el PKI en CA.
12. crypto pki enrol ecdh
13. La salida visualizada se utiliza para presentar un pedido de certificado a CA. Para Microsoft CA,
conecte con la interfaz Web de CA y selecto presente un pedido de certificado.
14. Importe el certificado recibido de CA en el router. Ingrese salido una vez que se importa el
certificado.
15. crypto pki import ecdh certificate
Configuracin
Pgina 21

La configuracin proporcionada abajo est para el router1. El router2 requiere un
espejo de la configuracin con apenas los IP Addresses en la interfaz del tnel
que es nica.
Cree una correspondencia del certificado para hacer juego el certificado del
dispositivo de peer.
1. crypto pki certificate map certmap 10
2. subject-name co cisco.com
3. Configure la oferta IKEv2 para la habitacin B.
4. crypto ikev2 proposal default
5. encryption aes-cbc-128
6. integrity sha256
7. group 19
Nota: Los valores por defecto elegantes IKEv2 implementan varios algoritmos
preconfigurados dentro de la oferta del valor por defecto IKEv2. Mientras que aes-
cbc-128 y sha256 se requiere para la habitacin Suite-B-GCM-128, usted necesita
quitar aes-cbc-256, sha384, y sha512 dentro de estos algoritmos. La razn es que
IKEv2 elige el algoritmo ms fuerte cuando est presentado con una opcin. Para
la seguridad mxima, utilice aes-cbc-256 y sha512. Sin embargo, esto no se
requiere para Suite-B-GCM-128. Para ver la oferta configurada IKEv2, ingrese el
comando crypto de la oferta ikev2 de la demostracin.
Configure el perfil IKEv2 para hacer juego la correspondencia del certificado y para
utilizar ECDSA con el trustpoint definido anterior.
8. crypto ikev2 profile default
9. match certificate certmap
10. identity local dn
11. authentication remote ecdsa-sig
12. authentication local ecdsa-sig
13. pki trustpoint ecdh
14. Configure el IPSec transforman para utilizar GCM.
15. crypto ipsec transform-set ESP_GCM esp-gcm
16. mode transport
17. Configure el perfil de ipsec con los parmetros configurados anterior.
18. crypto ipsec profile default
19. set transform-set ESP_GCM
20. set pfs group19
21. set ikev2-profile default
22. Configure la interfaz del tnel.
23. interface Tunnel0
24. ip address 172.16.1.1 255.255.255.0
25. tunnel source Gigabit0/0
26. tunnel destination 10.10.10.2
27. tunnel protection ipsec profile default
Pgina 22

Verificacin
Use esta seccin para confirmar que su configuracin funciona correctamente.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT)
soporta ciertos comandos show. Utilice la OIT para ver un anlisis del resultado
del comando show.
1. Verifique que las claves ECDSA fueran generadas con xito.
2. Router1#show crypto key mypubkey ec
3. % Key pair was generated at: 04:05:07 JST Jul 6 2012
4. Key name: Router1.cisco.com
5. Key type: EC KEYS
6. Storage Device: private-config
7. Usage: Signature Key
8. Key is not exportable.
9. Key Data:
10. 30593013 06072A86 48CE3D02 0106082A 8648CE3D 03010703
4200048F 2B0B5B5E
11. (...omitted...)
12. Verifique que el certificado fuera importado con xito y que ECDH est utilizado.
13. Router1#show crypto pki certificates verbose ecdh
14. Certificate
15. Status: Available
16. Version: 3
17. Certificate Serial Number (hex): 6156E3D5000000000009
18. (...omitted...)
19. Verifique que IKEv2 SA fuera creado con xito y utiliza los algoritmos de la habitacin B.
20. Router1#show crypto ikev2 sa
21. IPv4 Crypto IKEv2 SA
22.
23. Tunnel-id Local Remote
fvrf/ivrf Status
24. 1 10.10.10.1/500 10.10.10.2/500
none/none READY
25. Encr: AES-CBC, keysize: 128, Hash: SHA256, DH
Grp:19, Auth sign: ECDSA,
26. Auth verify: ECDSA
27. Life/Active Time: 86400/20 sec
28. Verifique que IKEv2 SA fuera creado con xito y utiliza los algoritmos de la habitacin B.
29. Router1#show crypto ipsec sa
30.
31. interface: Tunnel0
32. Crypto map tag: Tunnel0-head-0, local addr 10.10.10.1
33.
34. (...omitted...)
35.
Pgina 23

36. local crypto endpt.: 10.10.10.1, remote crypto
endpt.: 10.10.10.2
37. plaintext mtu 1466, path mtu 1500, ip mtu 1500, ip
mtu idb Ethernet0/0
38. current outbound spi: 0xAC5845E1(2891466209)
39. PFS (Y/N): N, DH group: none
40.
41. inbound esp sas:
42. spi: 0xAEF7FD9C(2935487900)
43. transform: esp-gcm ,
44. in use settings ={Transport, }
45. conn id: 6, flow_id: SW:6, sibling_flags
80000000,
46. crypto map: Tunnel0-head-0
47. sa timing: remaining key lifetime (k/sec):
(4341883/3471)
48. IV size: 8 bytes
49. replay detection support: N
50. Status: ACTIVE(ACTIVE)
Troubleshooting
Actualmente, no hay informacin especfica de troubleshooting disponible para
esta configuracin.
Conclusin
Los algoritmos criptogrficos eficientes y fuertes definidos en el cifrado de la ltima
generacin ofrecen la garanta a largo plazo que los datos confidencial y la
integridad est proporcionados y mantenidos en un costo bajo para procesar. El
cifrado de la ltima generacin se puede implementar fcilmente con FlexVPN,
que proporciona la criptografa del estndar de la habitacin B.

NUEVOS ALGORITMOS BREVE DESCRIPCIN Y USO.

IDEA (International Data Encryption Algorithm)
Algoritmo de libre uso desarrollado y liberado en 1991 por Xuejia Lai y James L.
Massey del Politcnico de Zurich. Opera con bloques de 64 bits y una clave de
128 bits realizando un total de 8 iteraciones. Una iteracin del cifrado IDEA as
como la transformacin de salida final se muestra en la siguiente figura:
Pgina 24


Algoritmo de cifrado IDEA
En cada una de las iteraciones se utilizan 6 subclaves de cifrado (en la figura
4.1.13 identificadas como Z
n
(i)
y cuatro en la transformacin de salida haciendo un
total de 52 subclaves en un cifrado (seis en cada una de las ocho iteraciones y
cuatro de la transformacin de salida) dichas subclaves son obtenidas a partir de
la clave inicial de 128 bits de la siguiente manera:
La clave inicial se divide en bloques de 16 bits formando as las primeras 8
subclaves.
La clave inicial se desplaza 25 posiciones a la izquierda y se divide nuevamente
en bloques de 16 bits para obtener las siguientes 8 subclaves.
El paso anterior se repite hasta obtener las 52 subclaves.
RC4
En criptografa RC4 (ARCFOUR) es un cifrador simtrico de flujo diseado por
Ron Rivest de RSA Security en 1987. Aunque en trminos oficiales de RSA el
trmino RC4 son las iniciales de Rivest Cipher 4, el acrnimo RC es
comnmente entendido como el cdigo de Ron. Tambin son del dominio pblico
sus cifradores por bloque RC2 y RC5.
RC4 fue inicialmente un algoritmo comercializado como secreto, esto quiere
decir que, solo se tena acceso al binario del algoritmo y no se saba como
estaba implementado ni su algoritmo terico; pero en septiembre de 1994 una
descripcin de ste fue annimamente publicada en la lista de correo
Cypherpunk.
El algoritmo fue publicado rpidamente en el grupo de noticias de sci.crypt y de
ah a muchos otros sitios en la Internet. Al publicarse el algoritmo ste dejo
de comercializarse como algoritmo secreto. El nombre RC4 es una marca
registrada. Al algoritmo se le llama tambin ARCFOUR para evitar problemas
Pgina 25

legales con la marca registrada, adems se ha convertido en parte comn de
algunos protocolos de cifrado y estndares utilizados frecuentemente, incluyendo
WEP y WAP para tarjetas wireless y SSL.
RC4 es uno de los cifradores ms rpidos utilizados en aplicaciones serias y
comerciales, siendo un cifrador de flujo, y como tal es bsicamente un
generador de nmeros pseudo aleatorios inicializado desde una llave secreta por
arriba de los 256 bytes (para el caso de ssl y para evitar el ataque Fluhrer,
Martin, Shamir).
El algoritmo RC4, genera una clave de flujo la cual es simplemente pasada por
la funcin XOR para producir el flujo cifrado. Para descifrar se utiliza
exactamente la misma funcin de cifrado. Una de las razones a las que
debe su popularidad es su sencillez.
El algoritmo puede ser memorizado y rpidamente implementado, adicionalmente
es ideal para implementaciones de software, pues requiere solamente
manipulaciones de longitudes de un byte.
MD5
En criptografa, MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de
Resumen del Mensaje 5) es un algoritmo de reduccin criptogrfico de 128 bits
ampliamente usado. . MD5 es uno de los algoritmos de reduccin criptogrficos
diseados por el profesor Ronald Rivest del MIT (Massachusetts Institute of
Technology, Instituto Tecnolgico de Massachusetts). Fue desarrollado en 1991
como reemplazo del algoritmo MD4 despus de que Hans Dobbertin descubriese
su debilidad.
SHA
SHA-1
Es parecido al famoso MD5, pero tiene un bloque de 160bits en lugar de los
128bits del MD5. La funcin de compresin es ms compleja que la funcin de
MD5. SHA-1 es ms lento que MD5 porque el nmero de pasos son de 80 (64 en
Pgina 26

MD5) y porque tiene mayor longitud que MD5 (160bits contra 128bits). Lo que
convierte a SHA-1 ms robusto y seguro, totalmente apto para VPNs por ejemplo.
SHA-2
Las principales diferencias con SHA-1 radica en en su diseo y que los rangos de
salida han sido incrementados y podemos encontrar:
SHA-224, SHA-256, SHA-384, y SHA-512
El ms seguro, es el que mayor salida de bits tiene, el SHA-512, que tiene 80
rondas (pasos), como el SHA-1 pero se diferencia de ste en:
- Tamao de salida 512 por los 160 de SHA-1.
- Tamao del bloque, tamao de la palabra y tamao interno que es el doble que
SHA-1.
Como ocurre con todos los cifrados y hash, cuanto ms seguro, ms lento su
procesamiento y uso, debemos encontrar un equilibrio entre seguridad y
velocidad.





Pgina 27

CONCLUSIONES
En el transcurso de este documento se explic el funcionamiento y tipos de
algoritmos de cifrado de criptografas con el fin de mantener seguridad en la
informacin, que presentemos en internet tratando de evitar posibles ataques-
Como usuarios de Internet el uso de la criptografa en los sitios web que
visitamos es indispensable ya que hoy en da es de vital importancia tener
seguridad de nuestra informacin personal, nmeros de tarjetas de crdito,
cuentas de banco y contraseas para cuentas en servicios financieros o
de compra en lnea, ya que actualmente, existen muchos intentos de
robo de informacin.
Como usuario, lo nico que veremos son las pantallas que presentamos y
el candadito en la esquina inferior derecha, sin embargo detrs de todo esto, hay
toda una infraestructura que debemos tener alguna idea de cmo funciona para
poder estar seguros de que nuestra informacin est en buenas manos.
Actualmente el mundo de la informacin y tecnologa es cada vez ms
extenso y fascinante, paro ello tenemos que implementar nuevos y mejores
mtodos de seguridad para mantener protegida nuestra informacin y alejada de
interlocutores que nos puedan comprometer o robar informacin de vital
importancia y con ello tener mayor privacidad y confianza en usar la tecnologa
para facilitar procesos, ya que a fin de cuentas ese es el propsito de la tecnologa
beneficiar al usuario mas no afectarlo.






Pgina 28

BIBLIOGRAFIA

Especificaciones de los algoritmos DES, TDES y AES (Sitio Web del NIST). (24 de
10 de 2010). Obtenido de Especificaciones de los algoritmos DES, TDES y
AES (Sitio Web del NIST): http://csrc.nist.gov/encryption/tkencryption.html
Algoritmos de encriptacin simtricos y asimtricos. (5 de 11 de 2012). Obtenido
de Algoritmos de encriptacin simtricos y asimtricos.:
http://itzeelitaa.wordpress.com/2012/11/15/algoritmos-de-encriptacion-
simetricos-y-asimetricos/
Tecnologa. (24 de 09 de 2012). Obtenido de Tecnologa (ALGORITMO DE
CIFRADO 3DES):
http://aaronbernaldezgrande.blogspot.mx/2012/09/algoritmo-de-cifrado-
3des.html
FlexVPN con el ejemplo de la configuracin de encripcin de la ltima generacin.
(31 de 6 de 2013). Obtenido de FlexVPN con el ejemplo de la configuracin
de encripcin de la ltima generacin:
http://www.cisco.com/cisco/web/support/LA/111/1118/1118163_flexvpn-
suiteb-00.html
Kummert, H. (s.f.). El Protocolo de cifrado . Obtenido de El Protocolo de cifrado
Triple DES (3DESE) PPP: http://www.ietf.org/rfc/rfc2420.txt
Snchez, N. G. (27 de 03 de 2013). Seguridad en Redes. Obtenido de Seguridad
en Redes: http://seguridad-en-redes-mimi.blogspot.mx/2012/03/algoritmo-
3des.html
Seguridad, L. d. (2012). Fundamentos de criptografa. Obtenido de Principios de
criptografa: http://redyseguridad.fi-
p.unam.mx/proyectos/criptografia/criptografia/index.php/4-criptografia-
simetrica-o-de-clave-secreta/41-introduccion-a-la-criptografia-simetrica/413-
principales-algoritmos-simetricos?showall=&start=1
WordPress.com, B. d. (27 de 8 de 2013). Seguridad Informtica. Obtenido de
Qu es RSA?: http://seguinfo.wordpress.com/2007/09/14/qu-es-rsa/