Criptografía (del griego κρύπτω krypto, «oculto», y γράφως graphos, «escribir», literalmente «escritura oculta») tradicionalmente se ha definido como la parte de la criptología que se ocupa de las técnicas, bien sea aplicadas al arte o la ciencia, que alteran las representaciones lingüísticas de mensajes, mediante técnicas de cifrado y/o codificado, para hacerlos ininteligibles a intrusos (lectores no autorizados) que intercepten esos mensajes. Por tanto el único objetivo de la criptografía era conseguir la confidencialidad de los mensajes. Para ello se diseñaban sistemas de cifrado y códigos. En esos tiempos la única criptografía que había era la llamada criptografía clásica.
La aparición de la Informática y el uso masivo de las comunicaciones digitales han producido un número creciente de problemas de seguridad. Las transacciones que se realizan a través de la red pueden ser interceptadas. La seguridad de esta información debe garantizarse. Este desafío ha generalizado los objetivos de la criptografía para ser la parte de la criptología que se encarga del estudio de los algoritmos, protocolos (se les llama protocolos criptográficos) y sistemas que se utilizan para proteger la información y dotar de seguridad a las comunicaciones y a las entidades que se comunican. Para ello los criptógrafos investigan, desarrollan y aprovechan técnicas matemáticas que les sirven como herramientas para conseguir sus objetivos.
Los grandes avances que se han producido en el mundo de la criptografía han sido posibles gracias a los grandes avances que se ha producido en el campo de las matemáticas y la informática.
La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y a las entidades que se comunican.1 El objetivo de la criptografía es diseñar, implementar, implantar, y hacer uso de sistemas criptográficos para dotar de alguna forma de seguridad. Por tanto el tipo de propiedades de las que se ocupa la criptografía son por ejemplo:
Confidencialidad. Es decir garantiza que la información está accesible únicamente a personal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado.
Integridad. Es decir garantiza la corrección y completitud de la información. Para conseguirlo puede usar por ejemplo funciones hash criptográficas MDC, protocolos de compromiso de bit, o protocolos de notarización electrónica.
No repudio. Es decir proporcionar protección frente a que alguna de las entidades implicadas en la comunicación, pueda negar haber participado en toda o parte de la comunicación. Para conseguirlo se puede usar por ejemplo firma digital. En algunos contextos lo que se intenta es justo lo contrario: Poder negar que se ha intervenido en la comunicación. Por ejemplo cuando se usa un servicio de mensajería instantánea y no queremos que se pueda demostrar esa comunicación. Para ello se usan técnicas como el cifrado negable.
Autenticación. Es decir proporciona mecanismos que permiten verificar la identidad del comunicante. Para conseguirlo puede usar por ejemplo función hash criptográfica MAC o protocolo de conocimiento cero.
Soluciones a problemas de la falta de simultaneidad en la telefirma digital de contratos. Para conseguirlo puede usar por ejemplo protocolos de transferencia inconsciente.
Un sistema criptográfico es seguro respecto a una tarea si un adversario con capacidades especiales no puede romper esa seguridad, es decir, el atacante no puede realizar esa tarea específica.
En el campo de la criptografía muchas veces se agrupan conjuntos de funcionalidades que tienen alguna característica común y a ese conjunto lo denominan 'Criptografía de' la característica que comparten. Veamos algunos ejemplos:
Criptografía simétrica.- Agrupa aquellas funcionalidades criptográficas que se apoyan en el uso de una sola clave.
Criptografía de clave pública o Criptografía asimétrica.- Agrupa aquellas funcionalidades criptográficas que se apoyan en el uso de parejas de claves compuesta por una clave pública , que sirve para cifrar, y por una clave privada , que sirve para descifrar.
Criptografía con umbral.- Agrupa aquellas funcionalidades criptográficas que se apoyan en el uso de un umbral de participantes a partir del cual se puede realizar la acción.
Criptografía basada en identidad.- Es un tipo de Criptografía asimétrica que se basa en el uso de identidades.
Criptografía basada en certificados
Criptografía sin certificados
Criptografía de clave aislada
Al evaluar la seguridad un sistema criptográfico se puede poner de manifiesto sus debilidades. Si estas debilidades se hacen públicas entonces se dispara el riesgo a que esas debilidades sean aprovechadas por un atacante. Por eso hay mucha polémica en relación a hacer públicos o no los entresijos de los sistemas criptográficos. Si se hace público el funcionamiento del sistema cualquier persona puede evaluar la seguridad (con lo que mejora la evaluación de la seguridad) lo que provoca una mayor exposición a ataques. Si no se publica el funcionamiento del sistema entonces se restringen las personas que pueden evaluar el sistema (los resultados pueden no haber detectado ciertas debilidades) pero como contraprestación se tiene de que los posibles atacantes no tienen disponibles toda la información disponible para utilizarla en un ataque.
Se considera que la seguridad de un sistema criptográfico debe descansar sobre el tamaño de la claves utilizadas y no sobre el secreto del algoritmo. Esta consideración se formaliza en el llamado principio de Kerckhoffs. Esto no quiere decir que cuando usemos criptografía tengamos que revelar los algoritmos, lo que quiere decir es que el algoritmo tiene que ser seguro aunque éste sea difundido.
La difusión del algoritmo permite que la comunidad criptográfica evalúe la seguridad de dicho algoritmo y por tanto verifique si el algoritmo en sí es seguro. Evidentemente si un sistema criptográfico es seguro aún revelando su algoritmo, entonces será aún más seguro si no lo revelamos. Sin embargo si un sistema tiene una debilidad latente, si no se hace público el funcionamiento interno, se dificulta al atacante el descubrimiento de dicha debilidad. Es decir, se consigue la seguridad por oscuridad, no por el sistema en sí. Por esta razón algunas organizaciones (Ej. NSA o MI6) disponen de algoritmos criptográficos no revelados (que pueden aprovechar algunos conocimientos de otros algoritmos públicos) que sólo han sido sujetos a una verificación interna. Los consideran seguros y no quieren revelarlos para que no puedan ser estudiados por criptoanalistas y de esa forma no sean hechas públicas sus posibles debilidades.
No hay comentarios:
Publicar un comentario