Zusammenfassung der Ressource
Modelos de Seguridad
- Modelos de software de seguridad de la información
- Pueden describirse de manera formal o
semi-formal.
- Los modelos de seguridad son más
precisos y detallados que la
expresión de las políticas.
- Pueden ser obligatorios
o discrecionales.
- Una clasificación divide a los modelos:
- La matriz de acceso
- Acceso basado en funciones de Control
- Los modelos multinivel
- Procesos de certificación y
acreditación
- Norma ISO/IEC 15408, Common Criteria
- Esta norma desarrolla lo que se llama Criterios comunes
". Permite a muchos productos de software y hardware
ser integrados y probados de forma segura.
- La ISO/IEC 15408, también denominada Common Criteria
(CC) o Criterios Comunes, es un estándar orientado al
producto o sistema (no tanto al proceso como la serie ISO
27000) y establece las siguientes verificaciones:
- Enfoque en la correcta definición
de los requisitos de producto.
- Implementación satisfactoriamente
y verificación.
- El desarrollo y proceso de documentación
deben seguir una directriz estructurada.
- Seguridad de sistemas distribuidos
- El objetivo del arquitecto es excluir
todos los posibles ataques y backdoors
que comprometan a la Insititución.
- En ningún caso existe un método concreto
para asegurar las metas durante el diseño,
solo aplicación de buenas prácticas.
- Cada uno diseña con los mejores
estándares disponibles y aplica un
análisis informal y comprobaciones
- Una vez que un diseño esté completo,
una opción es la validación formal.
- Cuando se diseña para seguridad es necesario
pensar siempre en lo peor, generando
conceptos de defensa en profundidad.
- Componentes de criptografía y
sus relaciones
- Criptografía
- La criptografía proporciona la base
para la mayoría de los sistemas de
seguridad de los computadores.
- La encriptación es el proceso de
codificación de un mensaje de forma
que queden ocultos sus contenidos
- La criptografía moderna incluye algunos algoritmos seguros
de encriptación y desencriptación de mensajes. Todos ellos
se basan en el uso de ciertos secretos llamados claves.
- Una clave criptográfica es un parámetro empleado
en un algoritmo de encriptación de manera que no
sea reversible sin el conocimiento de una clave
- Clases principales de algoritmos de encriptación
- Claves secretas compartidas
- El emisor y el receptor deben
compartir el conocimiento de una clave y
ésta no debe ser revelada a ningún otro.
- Claves pública/privada
- El emisor de un mensaje emplea una clave pública,
difundida previamente por el receptor para encriptar
el mensaje, es decir, el receptor emplea la clave
privada correspondiente para desencriptar el mensaje
- Fines de la Criptografía
- Secreto e integridad
- para mantener el secreto y la integridad de la
información en cualquier escenario que
pueda estar expuesta a ataques potenciales
- Autenticación
- como base de los mecanismos
para autenticar la comunicación
entre pares de principales
- Firmas digitales
- emula el papel de las firmas convencionales,
verificando a una tercera parte que un
mensaje o un documento es una copia
inalterada producida por el firmante
- Algoritmos simétricos
- Si eliminamos de la consideración el parámetro de la clave y definimos Fk([M]) = E(K, M),
una propiedad de las funciones de encriptación robustas es que Fk([M])
- TEA, DES, IDEA, AES
- Algoritmos asimétricos
- Cuando se emplea un par de claves pública / privada, las
funciones de un solo sentido se explotan de otra forma.
- Cifradores de bloque
- La mayoría de los algoritmos de encriptación operan sobre bloques de
datos de tamaño fijado: 64 bits es un tamaño de bloque popular.
- Esteganografía
- Es la técnica de ocultar la comunicación real en el
cuerpo de una frase poco visible o un párrafo.
- A diferencia de la encriptación en el que el texto cifrado transmitido es
incomprensible y sin sentido para un extraño, el texto transmitido en
esteganografía tiene un significado válido, pero diferente