Seguridad - Criptografia, autenticacion y #NGE



La criptografia (cifrado) provee confidencialidad, integridad, autenticacion y evita el repudio de las comunicaciones en redes publicas, de almacenamiento, entre otras. Algunas aplicacines del mundo real incluyen protocolos y tecnologias como redes VPN, trasacciones web HTTPS y administracion a traves de SSH.

A travez de los años, algunos protocolos critpgraficos han sido despreciados, rotos, atacados o probados de ser inseguros. Los avances de la tecnologia de la informacion reduce el costo del proceasmiento y almacenamiento de datos para conseguir seguridad efectiva. Y debido a  que la ley de Moor y leyes empiricas similares de costos de almacenamiento, llaves de criptografia simetricas crecen 1 bit cada 18 meses. Para que un sistema de encripcion tenga una vida util e interoperacion segura con otros dispositivos, debe proveer seguridad 10 o mas años. El uso de una buena criptografia es mas importante ahora que nunca debido a las amenazas reales de atacantes con buenos y fuertes conocimentos.

Los algoritmos critograficos, en general, se dividen en los siguientes:

   Algoritmos de llaves simetricas: (Symmetric key algorithms) Estos algoritmos comparten la misma llave para cifrado y decifrado. Ejemplos: 3DES (Triple Data Encryption Standard) y AES (Advanced Encryption Standard).

   Algoritmos de llave publica: (Public key algorithms) Estos algoritmos usan llaves distintas para cifrado y descifrado que se relacionan matematicamente. Ejemplos: DSA (Digital Signature Algorithm) y RSA (Rivest-Shamir-Adleman algorithm).



El Token que usa el Banco Popular es un RSA SID700 que usa la tecnologia de encriptacion AES, la cual cambia el codigo cada 60 segundos. Solo se puede usar en combinacion con RSA Authentication Manager 5.1.



Algoritmo de curva eliptica: (Elliptic curve algorithms) Estos algoritmos funcionan sobre puntos pertenecientes a curvas elipticas. Ejemplos: Elliptic Curve Diffie-Hellman (ECDH) and Elliptic Curve Digital Signature Algorithm (ECDSA).

   Algoritmo Hash: Estos algoritmos proveen una salida de tamaño constante a caulquier entrada, y su propiedad mas importante es que son irreversibles.


Encriptacion (Cifrado) de la Nueva Generacion (NGE).

A travez de los años numerosos algoritmos criptograficos han sido desarrollados y utilizados en muchos diferentes protocolos y funciones. La criptografia no es de ninguna manera estatica. Los avances en las tecnologias de la informacion y en la ciencia de la criptografia han hecho necesario adoptar algoritmos nuevos y mas fuertes, asi como llaves mas largas.

Algotimos mas viejos se mantienen en equipos actuales, con la unica finalidad de asegurar compatibilidad e interoperatividad. Aun asi, algunos viejos algoritmos y longitudes de llaves no ofrecen mas proteccion adecuada ante las amenazas modernas y deben reemplazarse de inmediato.

Utilizarlos es como cerrar las compuertas de un submarino con un cordon de zapatos y el algorimo es el nudo.

Las tecnologias de encriptacion de la nueva generacion (NGE) satisfacen los requerimientos de encriptacion, autenticacion, algoritmos de llaves e integridad, mientras son mejormente escalables. Ofrecen las mejores tecnologias para critpgrafia sostenible en los años por venir y estan definiendo la tendencia de la industria. stos son los mejores estandares que se pueden implementar para satisfacer  los requerimientos de seguridad y escalabilidad para los proximos 10 años u operara con las tecnologias que existan en ese entonces.

La agencia Naional de los Estados Unidos (NSA) ha identificado un paquete de algoritmos que, usados en combinacion, son el metodo preferido para asegurar la seguridad y la integridad de la informacion que tendra contacto con las redes publicas como la internet. Este paquete es clasificado como Suite B. Entre esta Suite B esta los NGE. Adicionalmente, estos estan integrados en los estanadres de la IETF, haciendo mas facil colaborar en ambientes donde los costos o logisticas tradicionalmente dificultan la colaboracion y comparimiento de informacion.


 

Algoritmos
Este post de ELTECNIQUITO tiene la intencion de proporcionarles una relacion de los algoritmos de encriptacion y autenticacion y su condicion o estatus de actualidad, asi como sus alternativas de uso. Con esta relacion se puede planificar como migrar para actualizar o fortalecer nuestra seguridad en nuestros equipos  de comunicacion y seguridad sean de Cisco o de otras marcas, segun las recomendaciones de la industria.

Solo una cosa con relacion a las condiciones provistas en esta relacion de Algoritmos. Lo comparare a jugadores de beisbol dominicanos.

    Cuando en la condicion digo, NO LO USE, es porque el mismo no provee un nivel de seguridad adecuado ante las amenazas modernas y no debe utilizarse para proteger informacion sensitiva. Seria como poner a batear y a jugar a Juan Marichal. Si usted los quiere usar, eso es problema suyo.

   Cuando en la condicion digo, Legacy, es porque el algoritmo es viejo, funcional y provee una proteccion de un nivel, digamos, marginal. Se podria seguir usando pero yo no lo recomiendo. Es como poner a pitchar hoy a Jose Rijo. Podria hacerlo pero ya usted sabe, es a su propio riesgo.

   Cuando en la condicion digo, Aceptable, es porque el algoritmo esta como David Ortiz, o Manny Ramirez. Me entienden? Son actuales, y proveen un nivel de seguridad aceptable.

   Pero cuando en la condicion digo, NGE, (Next Generation Encryption) es que son de la nueva de generacion de encriptacion y/o autenticacion. De estos se espera tambien que puedan alcanzar los requrimientos de seguridad y escalabilidad durante muchos años. Si pueden, migren a estos.

   Y cuando digo en las razones que los tiempos de vida de la llave son mas cortos, es que el algoritmo recomendado como alternativa mejora la seguridad de cifradores de seguridad que son utilizados en conexiones de alta velocidad. En IP-Sec un tiempo de vida de 24 horas es tipico. Un tiempo de vida de 30 minutos  mejora la velocidad en algoritmos viejos (legacy) y es lo mas recomendado.


Algoritmo: DES
Se usa para: Encriptacion
Condicion: NO LO USE
Alternativa: Migre a AES
Razon: Extremadamente viejo e inseguro. Ya abusan del pobrecito.

Algoritmo: 3DES
Se usa para: Encriptacion
Condicion: Legacy (O sea, es viejo)
Alternativa: Migre a AES
Razon: Tiempo de vida de la llave mas corto.

Algoritmo: RC4
Se usa para: Encriptacion
Condicion: Legacy (O sea, es viejo)
Alternativa: Migre a AES
Razon: La calendarizacion de la llave es importante.

Algoritmo: AES-CBC
Se usa para: Encriptacion
Condicion: Aceptable
Alternativa: Se puede seguir usando pero vaya pensando en migrar a AES-GCM
Razon: AES-GCM es la proxima generacion de Encriptacion.

Algoritmo: AES-GCM
Se usa para: Encriptacion autenticada
Condicion: NGE (Next Generation Encription)
Alternativa: Como la va a haber? O al menos, por ahora no hay nada mejor.
Razon: AES-GCM es la proxima generacion de Encriptacion.

Algoritmo: DH-768, -1024
Se usa para: Intercambio de llaves
Condicion: NO LO USE
Alternativa: Migre a DH-2048 (Group 14)
Razon: Viejo e inseguro.

Algoritmo: RSA-768, -1024
Se usa para: Encriptacion
Condicion: NO LO USE
Alternativa: Migre a RSA-2048
Razon: Viejo e inseguro.

Algoritmo: DSA-768, -1024
Se usa para: Autenticacion
Condicion: NO LO USE
Alternativa: Migre a DSA-2048
Razon: Viejo e inseguro.

Algoritmo: DH-2048
Se usa para: Intercambio de llaves
Condicion: Aceptable
Alternativa: Se puede seguir usando pero vaya pensando en migrar a ECDH-256
Razon: ECDH-256 es de la proxima generacion de Encriptacion.

Algoritmo: RSA-2048
Se usa para: Encriptacion
Condicion: Aceptable
Alternativa: Se tendra que seguir usando hasta que haya algo mejor.
Razon: Es la mejor opcion hasta el momento, aunque no es de la proxima generaion sino de la actual.

Algoritmo: DSA-2048
Se usa para: Autenticacion
Condicion: Aceptable
Alternativa: Se puede seguir usando pero vaya pensando en migrar a ECDAS-256
Razon: ECDSA-256 es de la proxima generacion de Encriptacion/Autenticacion.

Algoritmo: MD5
Se usa para: Integridad
Condicion: NO LO USE MAS
Alternativa: Migre a SHA-256
Razon: Con mucho, Viejo e inseguro.

Algoritmo: SHA-1
Se usa para: Integridad
Condicion: Legacy (O sea, ya esta viejo)
Alternativa: Migre a SHA-256
Razon: Viejo e inseguro. Ademas SHA-256 es NGE.

Algoritmo: SHA-256
Se usa para: Integridad
Condicion: NGE (Next Generation Encription)
Alternativa: Aun siendo NGE, puede fortalecerse usando SHA-384 o SHA-512
Razon: SHA-384 y SHA-512 tambien son NGE con sus niveles de fortaleza correspondientes.

Algoritmo: SHA-384
Se usa para: Integridad
Condicion: NGE (Next Generation Encription)
Alternativa: Aun siendo NGE, puede fortalecerse usando SHA-512
Razon: SHA-512 tambien es NGE con sus niveles de fortaleza correspondientes.

Algoritmo: SHA-512
Se usa para: Integridad
Condicion: NGE (Next Generation Encription)
Alternativa: Como la va a haber? O por ahora, aun no hay.
Razon: SHA-512 es lo mas fuerte hasta el momento en integridad entre los algoritmos de proxima Generacion

Algoritmo: HMAC-MD5
Se usa para: Integridad
Condicion: Legacy (O sea, ya esta viejo)
Alternativa: Migre a HMAC-SHA-1
Razon: Tiempo de vida de la llave mas corto.

Algoritmo: HMAC-SHA-1
Se usa para: Integridad
Condicion: Aceptable
Alternativa: Se tendra que seguir usando hasta que haya algo mejor.
Razon: Es la mejor opcion hasta el momento, aunque no es de la proxima generacion sino de la actual.

Algoritmo: ECDH-256
Se usa para: Intercambio de llave
Condicion: Aceptable
Alternativa: Se puede seguir usando pero vaya pensando en migrar a ECDH-384
Razon: ECDH-384 es de la proxima generacion de Encriptacion/Autenticacion.

Algoritmo: ECDSA-256
Se usa para: Autenticacion
Condicion: Aceptable
Alternativa: Se puede seguir usando pero vaya pensando en migrar a ECDSA-384
Razon: ECDSA-384 es de la proxima generacion de Encriptacion/Autenticacion.

Algoritmo: ECDH-384
Se usa para: Intercambio de llave
Condicion: NGE (Next Generation Encription)
Alternativa: Como la va a haber? O por ahora, aun no hay.
Razon: ECDH-384 es lo mas fuerte hasta el momento en integridad entre los algoritmos de proxima Generacion

Algoritmo: ECDSA-384
Se usa para: Autenticacion
Condicion: NGE (Next Generation Encription)
Alternativa: Como la va a haber? O por ahora, aun no hay.
Razon: ECDSA-384 es lo mas fuerte hasta el momento en integridad entre los algoritmos de proxima Generacion

Fuente: Cisco Security / ELTECNIQUITO Labs

Comentarios