Practica sobre la aplicacion PGP en el Email - Mauricio axel 20 (1)

Vista previa del material en texto

TECNOLÓGICO NACIONAL DE MÉXICO. 
INSTITUTO TECNOLÓGICO DE ACAPULCO. 
 
Ingeniería en sistemas computacionales. 
 
Materia: Seguridad en TIC’S. 
 
Actividad: PRÁCTICA: USO DE LA APLICACIÓN PGP EN EL EMAIL. 
Profesor: Dr. Eduardo De La Cruz Gámez 
 
Alumno: López Anselmo Mauricio Axel 
 
 
No. de control: 18320904 
 
Horario: 13:00pm – 14:00pm 
 
Ciclo escolar: Agosto – Diciembre 2021 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ACTIVIDADES SOBRE CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA 
 
 
PRÁCTICA: USO DE LA APLICACIÓN PGP EN EL EMAIL. 
PGP es una aplicación que ofrece protección de confidencialidad a los datos mediante técnicas de cifrado. PGP combina 
algunas de las mejores características de la criptografía simétrica y la criptografía asimétrica. PGP es un cripto sistema 
híbrido. 
 
Instrucciones: 
• Descargar la herramienta PGP del enlace: http://www.pgpi.org/. 
• Instalar y probar las características ofrecidas de protección y secreto a los datos. 
• Realizar un reporte de las observaciones. 
 
Después de instalar la herramienta, se abrirá la interfaz de KLEOPATRA 
 
 
Lo primero que debemos hacer es crear un nuevo de par de claves, donde crearemos un nombre y 
pondremos el correo que nosotros decidamos, y le damos check en la casilla que dice “proteger la 
clave generada con una frase de contraseña, todo esto para tener más protección. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
http://www.pgpi.org/
Si nos vamos a la opción de configuración avanzada, nos van a salir los detalles técnicos, como lo 
son el RSA y el uso de certificado. 
 
Cuanto más alto sea la cantidad de bits en el RSA más difícil será romper el cifrado, 
 
Después de esto nos pedirá que creemos nuestra contraseña y saldrá la pestaña de que se ha 
creado el par de claves satisfactoriamente. 
 
 
 
 
 
 
 
Le damos en la opción de hacer una copia de respaldo del par de claves , que es muy importante, 
este se guardara como un archivo “PGP” 
 
 
 
Ahora lo que vamos a hacer será un cifrado de un mensaje. 
Lo primero que debemos de hacer es implementar a las personas que yo quiera manderle un 
mensaje cifrado. 
 
aquí tenemos una clave publica de una persona ”lunatic”, ahora lo que debemos sera importar ese 
certificado en kleopatra 
 
Y demos introducir nuestra contraseña 
 
 
 
 
Y saldrá que es correcta 
 
 
Desde la misma interfaz de KLEOPATRA podemos ir al apartado de bloc de notas e introducir el 
texto que queremos cifrar. 
Y en el apartado de destinatarios podemos decidir para quien cifrar el mensaje. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Ahora escribimos un mensaje y le damos en cifrar bloc de notas. 
 
 
 
• Contestar las siguientes preguntas: 
¿Qué algoritmos de cifrado son soportados por PGP? 
-GnuPG también soporta algoritmos de cifrado simétricos, por ejemplo CASTS. 
 
-GPG no usa algoritmos de software que están restringidos por patentes. En su lugar usa 
una serie de algoritmos no patentados como ElGamal, CAST5, Triple DES (3DES), AES y 
Blowfish. 
 
-GPG es un software de cifrado híbrido que usa una combinación convencional de 
criptografía de claves simétricas para la rapidez y criptografía de claves públicas para el 
fácil compartimiento de claves seguras, típicamente usando recipientes de claves públicas 
para cifrar una clave de sesión que es usada una vez. Este modo de operación es parte del 
estándar OpenPGP y ha sido parte del PGP desde su primera versión. 
 
 
¿Existe evidencias de ataque exitosos para esos algoritmos de cifrado? Investigue y 
documente 
Una investigación de la Universidad de Ciencias Aplicadas de Munster reveló que los 
hackers podrían atacar al PGP/GPG y S/MIME debido a una vulnerabilidad que afecta al 
protocolo central de esta tecnología. Dicho de otro modo: si alguien aprovechara este 
agujero de seguridad, todos los demás usos de este sistema de encriptado se verían 
expuestos. 
 
OpenPGP ofrece encriptación de extremo a extremo específicamente para comunicaciones 
sensibles, mientras que S / MIME es un estándar alternativo para el cifrado de extremo a 
extremo del correo electrónico que normalmente se utiliza para proteger la comunicación 
del correo electrónico corporativo. 
 
Por eso, este hallazgo -que ha quedado plasmado en una página web (efail.de)- es de tan 
enorme gravedad. En concreto, los ataques podrían abusar del contenido activo de los 
correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para 
filtrar el texto sin formato a través de las URL solicitadas. 
 
Para crear estos canales de exfiltración, el atacante primero necesita acceso a los correos 
electrónicos encriptados, por ejemplo, interceptando el tráfico de la red, comprometiendo 
cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo o 
computadoras cliente. Los correos electrónicos incluso podrían haber sido recopilados hace 
años. 
 
El atacante cambia un correo electrónico cifrado de una manera particular y envía este 
correo electrónico cifrado modificando a la víctima. El cliente de correo electrónico de la 
víctima descifra el correo electrónico y carga cualquier contenido externo, lo que exfiltra el 
texto sin formato al atacante. 
 
Existe bastante confusión acerca del calado de esta amenaza. Mientras que algunos 
expertos aseguran que el agujero de seguridad no tiene solución, otros afirman que está 
perfectamente parcheado por las últimas versiones de GnuPG. Igualmente, se comparten 
en la Red supuestos parches que solventan este problema para plataformas como Outlook, 
Thunderbird o Apple Mail. 
 
¿Winrar y Zip implementan algoritmos de cifrado? ¿Cuáles son? 
 
Tanto el formato RAR como el ZIP permiten la codificación. Para ficheros, debe especificar 
una contraseña antes de comprimir o hacerlo directamente en el cuadro de diálogo 
Nombre de archivo y parámetros. En la línea de órdenes, se utiliza para esto el parámetro -
p[ctña]. Para introducir una contraseña en el intérprete de órdenes WinRAR, puede pulsar 
Ctrl+P, seleccionar la orden "Contraseña" del Menú Archivo o hacer clic sobre el icono de 
una llave pequeña situado en la esquina inferior izquierda de la ventana WinRAR. Para 
introducir la contraseña en el cuadro de diálogo Nombre de archivo y parámetros, haga 
clic en "Establecer la contraseña" del conjunto de opciones "Avanzado". 
 
A diferencia del formato ZIP, el formato RAR permite además de codificar los datos, 
codificar otras áreas sensibles del archivo: nombres de ficheros, tamaños, atributos, 
comentarios y otros bloques. Si usted desear hacerlo debe activar la opción “Codificar 
nombres de fichero” cuando le pregunte la contraseña o, desde la línea de órdenes, usar la 
opción -hp[contraseña] en vez de p[contraseña]. Sin la contraseña será totalmente 
imposible ver ni siquiera la lista de ficheros en un archivo cifrado de este modo. 
 
Los archivos RAR sólidos y los archivos con nombres de ficheros cifrados solo pueden tener 
una única contraseña para todos los ficheros comprimidos. Los ficheros en archivos RAR no 
sólidos o en archivos sin nombres de ficheros cifrados , así como en archivos ZIP, pueden 
tener diferentes contraseñas. 
 
No olvide eliminar una contraseña introducida cuando no vuelva a necesitarla, ya que, en 
alguna ocasión, podría comprimir con ella algunos ficheros por error. Para eliminar una 
contraseña, introduzca una cadena de caracteres vacía en lugar de una contraseña o cierre 
WinRAR y vuelva a iniciarlo. Mientras exista una contraseña, el icono de la llave será rojo. 
En el caso contrario, se volverá amarillo. De igual modo, cuando usted inicia una operación 
de compresión con contraseña, la barra de título del cuadro de diálogo Nombre de archivo 
y parámetros parpadea dos veces. 
 
Si activó la opción "Usar para todos los archivos" cuando introdujo la contraseña y entró 
una contraseña vacía, las operaciones de extracción y verificación omitirán todos los 
ficheros y archivos cifrados. En este modo no se muestra el icono de la llave en la barra de 
estado deWinRAR. 
 
No necesitará eliminar una contraseña si la introdujo directamente en el cuadro de diálogo 
Nombre de archivo y parámetros. Este tipo de contraseña, al contrario que en otros casos, 
tan sólo es válida para esa operación de compresión y será eliminada automáticamente 
una vez se haya completado. 
 
Cuando se extraen ficheros codificados, no es necesario introducir la contraseña antes de 
comenzar la operación aunque también puede hacerlo. Si no se introdujo la contraseña 
antes de la extracción y WinRAR encuentra un fichero codificado, pedirá la contraseña al 
usuario. 
 
Los archivos RAR están codificados con AES-256 en modo CBC para los archivos con 
formato RAR 5.0 y con AES-128 en modo CBC para RAR 4.x. La función de derivación de la 
clave en archivos RAR 5.0 esta basada en PBKDF2 usando HMAC-SHA256. 
 
Por defecto, los archivos ZIP usan el cifrado AES-256 en modo CTR. Este cifrado puede ser 
incompatible con herramientas de descompresión antiguas. Puede activar la opción 
"Cifrado ZIP tradicional" en el diálogo de cifrado para activar el cifrado tradicional, que es 
menos seguro que el cifrado AES pero proporciona mayor compatibilidad con aplicaciones 
antiguas. 
 
Aunque WinRAR permite usar AES-256 tanto en los formatos RAR como ZIP, los 
parámetros usados en la función de derivación de la clave en el formato RAR preveen que 
el cifrado en el formato RAR tenga una mayor resistencia a los ataques de fuerza bruta. 
Además el formato RAR permite cifrar los nombres de ficheros y otras propiedades suyas. 
Si necesita codificar información importante, es mejor que elija el formato de archivo RAR. 
Para que la seguridad sea efectiva, utilice contraseñas de al menos 8 caracteres. Evite usar 
palabras comunes en la contraseña ya que la hacen mas debil. En las contraseñas se 
diferencia entre mayúsculas y minúsculas. La longitud máxima de la contraseña es de 127 
carácteres. Las contraseñas más largas se cortarán a la longitud máxima permitida. 
 
Si la opción "Cifrar nombres de fichero" está desactivada las sumas de control en ficheros 
cifrados RAR 5.0 se modifican usando un algortitmo que depende de la contraseña. Esto es 
importante porque de otra forma puede ser posible adivinar el contenido del fichero 
basandose solo en la suma de control sin conocer la contraseña. Este riesgo es 
especialmente alto para ficheros pequeños o para la suma de control mas fuerte BLAKE2. 
No espere que estas sumas de control cifradas se parezcan a los valores habituales del 
CRC32 y BLAKE2. Si la opción "Cifrar nombres de fichero" está activada las sumas de 
control se almacenan sin modificación porque solo puede accederse a su valor con la 
contraseña correcta.