Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
TECNOLÓGICO NACIONAL DE MÉXICO. INSTITUTO TECNOLÓGICO DE ACAPULCO. Ingeniería en sistemas computacionales. Materia: Seguridad en TIC’S. Actividad: PRÁCTICA: USO DE LA APLICACIÓN PGP EN EL EMAIL. Profesor: Dr. Eduardo De La Cruz Gámez Alumno: López Anselmo Mauricio Axel No. de control: 18320904 Horario: 13:00pm – 14:00pm Ciclo escolar: Agosto – Diciembre 2021 ACTIVIDADES SOBRE CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA PRÁCTICA: USO DE LA APLICACIÓN PGP EN EL EMAIL. PGP es una aplicación que ofrece protección de confidencialidad a los datos mediante técnicas de cifrado. PGP combina algunas de las mejores características de la criptografía simétrica y la criptografía asimétrica. PGP es un cripto sistema híbrido. Instrucciones: • Descargar la herramienta PGP del enlace: http://www.pgpi.org/. • Instalar y probar las características ofrecidas de protección y secreto a los datos. • Realizar un reporte de las observaciones. Después de instalar la herramienta, se abrirá la interfaz de KLEOPATRA Lo primero que debemos hacer es crear un nuevo de par de claves, donde crearemos un nombre y pondremos el correo que nosotros decidamos, y le damos check en la casilla que dice “proteger la clave generada con una frase de contraseña, todo esto para tener más protección. http://www.pgpi.org/ Si nos vamos a la opción de configuración avanzada, nos van a salir los detalles técnicos, como lo son el RSA y el uso de certificado. Cuanto más alto sea la cantidad de bits en el RSA más difícil será romper el cifrado, Después de esto nos pedirá que creemos nuestra contraseña y saldrá la pestaña de que se ha creado el par de claves satisfactoriamente. Le damos en la opción de hacer una copia de respaldo del par de claves , que es muy importante, este se guardara como un archivo “PGP” Ahora lo que vamos a hacer será un cifrado de un mensaje. Lo primero que debemos de hacer es implementar a las personas que yo quiera manderle un mensaje cifrado. aquí tenemos una clave publica de una persona ”lunatic”, ahora lo que debemos sera importar ese certificado en kleopatra Y demos introducir nuestra contraseña Y saldrá que es correcta Desde la misma interfaz de KLEOPATRA podemos ir al apartado de bloc de notas e introducir el texto que queremos cifrar. Y en el apartado de destinatarios podemos decidir para quien cifrar el mensaje. Ahora escribimos un mensaje y le damos en cifrar bloc de notas. • Contestar las siguientes preguntas: ¿Qué algoritmos de cifrado son soportados por PGP? -GnuPG también soporta algoritmos de cifrado simétricos, por ejemplo CASTS. -GPG no usa algoritmos de software que están restringidos por patentes. En su lugar usa una serie de algoritmos no patentados como ElGamal, CAST5, Triple DES (3DES), AES y Blowfish. -GPG es un software de cifrado híbrido que usa una combinación convencional de criptografía de claves simétricas para la rapidez y criptografía de claves públicas para el fácil compartimiento de claves seguras, típicamente usando recipientes de claves públicas para cifrar una clave de sesión que es usada una vez. Este modo de operación es parte del estándar OpenPGP y ha sido parte del PGP desde su primera versión. ¿Existe evidencias de ataque exitosos para esos algoritmos de cifrado? Investigue y documente Una investigación de la Universidad de Ciencias Aplicadas de Munster reveló que los hackers podrían atacar al PGP/GPG y S/MIME debido a una vulnerabilidad que afecta al protocolo central de esta tecnología. Dicho de otro modo: si alguien aprovechara este agujero de seguridad, todos los demás usos de este sistema de encriptado se verían expuestos. OpenPGP ofrece encriptación de extremo a extremo específicamente para comunicaciones sensibles, mientras que S / MIME es un estándar alternativo para el cifrado de extremo a extremo del correo electrónico que normalmente se utiliza para proteger la comunicación del correo electrónico corporativo. Por eso, este hallazgo -que ha quedado plasmado en una página web (efail.de)- es de tan enorme gravedad. En concreto, los ataques podrían abusar del contenido activo de los correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas. Para crear estos canales de exfiltración, el atacante primero necesita acceso a los correos electrónicos encriptados, por ejemplo, interceptando el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo o computadoras cliente. Los correos electrónicos incluso podrían haber sido recopilados hace años. El atacante cambia un correo electrónico cifrado de una manera particular y envía este correo electrónico cifrado modificando a la víctima. El cliente de correo electrónico de la víctima descifra el correo electrónico y carga cualquier contenido externo, lo que exfiltra el texto sin formato al atacante. Existe bastante confusión acerca del calado de esta amenaza. Mientras que algunos expertos aseguran que el agujero de seguridad no tiene solución, otros afirman que está perfectamente parcheado por las últimas versiones de GnuPG. Igualmente, se comparten en la Red supuestos parches que solventan este problema para plataformas como Outlook, Thunderbird o Apple Mail. ¿Winrar y Zip implementan algoritmos de cifrado? ¿Cuáles son? Tanto el formato RAR como el ZIP permiten la codificación. Para ficheros, debe especificar una contraseña antes de comprimir o hacerlo directamente en el cuadro de diálogo Nombre de archivo y parámetros. En la línea de órdenes, se utiliza para esto el parámetro - p[ctña]. Para introducir una contraseña en el intérprete de órdenes WinRAR, puede pulsar Ctrl+P, seleccionar la orden "Contraseña" del Menú Archivo o hacer clic sobre el icono de una llave pequeña situado en la esquina inferior izquierda de la ventana WinRAR. Para introducir la contraseña en el cuadro de diálogo Nombre de archivo y parámetros, haga clic en "Establecer la contraseña" del conjunto de opciones "Avanzado". A diferencia del formato ZIP, el formato RAR permite además de codificar los datos, codificar otras áreas sensibles del archivo: nombres de ficheros, tamaños, atributos, comentarios y otros bloques. Si usted desear hacerlo debe activar la opción “Codificar nombres de fichero” cuando le pregunte la contraseña o, desde la línea de órdenes, usar la opción -hp[contraseña] en vez de p[contraseña]. Sin la contraseña será totalmente imposible ver ni siquiera la lista de ficheros en un archivo cifrado de este modo. Los archivos RAR sólidos y los archivos con nombres de ficheros cifrados solo pueden tener una única contraseña para todos los ficheros comprimidos. Los ficheros en archivos RAR no sólidos o en archivos sin nombres de ficheros cifrados , así como en archivos ZIP, pueden tener diferentes contraseñas. No olvide eliminar una contraseña introducida cuando no vuelva a necesitarla, ya que, en alguna ocasión, podría comprimir con ella algunos ficheros por error. Para eliminar una contraseña, introduzca una cadena de caracteres vacía en lugar de una contraseña o cierre WinRAR y vuelva a iniciarlo. Mientras exista una contraseña, el icono de la llave será rojo. En el caso contrario, se volverá amarillo. De igual modo, cuando usted inicia una operación de compresión con contraseña, la barra de título del cuadro de diálogo Nombre de archivo y parámetros parpadea dos veces. Si activó la opción "Usar para todos los archivos" cuando introdujo la contraseña y entró una contraseña vacía, las operaciones de extracción y verificación omitirán todos los ficheros y archivos cifrados. En este modo no se muestra el icono de la llave en la barra de estado deWinRAR. No necesitará eliminar una contraseña si la introdujo directamente en el cuadro de diálogo Nombre de archivo y parámetros. Este tipo de contraseña, al contrario que en otros casos, tan sólo es válida para esa operación de compresión y será eliminada automáticamente una vez se haya completado. Cuando se extraen ficheros codificados, no es necesario introducir la contraseña antes de comenzar la operación aunque también puede hacerlo. Si no se introdujo la contraseña antes de la extracción y WinRAR encuentra un fichero codificado, pedirá la contraseña al usuario. Los archivos RAR están codificados con AES-256 en modo CBC para los archivos con formato RAR 5.0 y con AES-128 en modo CBC para RAR 4.x. La función de derivación de la clave en archivos RAR 5.0 esta basada en PBKDF2 usando HMAC-SHA256. Por defecto, los archivos ZIP usan el cifrado AES-256 en modo CTR. Este cifrado puede ser incompatible con herramientas de descompresión antiguas. Puede activar la opción "Cifrado ZIP tradicional" en el diálogo de cifrado para activar el cifrado tradicional, que es menos seguro que el cifrado AES pero proporciona mayor compatibilidad con aplicaciones antiguas. Aunque WinRAR permite usar AES-256 tanto en los formatos RAR como ZIP, los parámetros usados en la función de derivación de la clave en el formato RAR preveen que el cifrado en el formato RAR tenga una mayor resistencia a los ataques de fuerza bruta. Además el formato RAR permite cifrar los nombres de ficheros y otras propiedades suyas. Si necesita codificar información importante, es mejor que elija el formato de archivo RAR. Para que la seguridad sea efectiva, utilice contraseñas de al menos 8 caracteres. Evite usar palabras comunes en la contraseña ya que la hacen mas debil. En las contraseñas se diferencia entre mayúsculas y minúsculas. La longitud máxima de la contraseña es de 127 carácteres. Las contraseñas más largas se cortarán a la longitud máxima permitida. Si la opción "Cifrar nombres de fichero" está desactivada las sumas de control en ficheros cifrados RAR 5.0 se modifican usando un algortitmo que depende de la contraseña. Esto es importante porque de otra forma puede ser posible adivinar el contenido del fichero basandose solo en la suma de control sin conocer la contraseña. Este riesgo es especialmente alto para ficheros pequeños o para la suma de control mas fuerte BLAKE2. No espere que estas sumas de control cifradas se parezcan a los valores habituales del CRC32 y BLAKE2. Si la opción "Cifrar nombres de fichero" está activada las sumas de control se almacenan sin modificación porque solo puede accederse a su valor con la contraseña correcta.
Compartir