Conceptos claves en cifrado
Última actualización: November 26, 2018
En algunas circunstancias, el cifrado puede ser automático y sencillo. Pero hay formas en que el cifrado puede fracasar. Cuanto más lo entienda, más seguro estará contra tales situaciones. Recomendamos leer primero la guía “¿Qué debo saber sobre el cifrado?" si no lo ha hecho ya.
En esta guía, examinaremos cinco ideas principales. Estos son conceptos importantes para entender el cifrado en tránsito:
- Un cifrado, una clave
- Cifrado simétrico y asimétrico
- Llave privada y pública
- Verificación de identidad para personas (huellas dactilares de clave pública)
- Verificación de identidad para sitios web (certificados de seguridad)
Un Cifrado, Una Llave anchor link
Probablemente ha visto algo que, en aparentemente, no es comprensible para usted. Tal vez parezca que está en otro idioma, o como si fuera un galimatías; hay algún tipo de barrera para poder leerlo y entenderlo. Esto no significa necesariamente que esté cifrado.
¿Qué diferencia algo que no es comprensible de algo que está cifrado ?
El Cifrado es un proceso matemático utilizado para distorsionar la información, de modo que sólo se puede descifrar con conocimientos especiales. El proceso implica un cifrado y una clave
A Cifrar es un juego de reglas (un algoritmo)para cifrar y descifrar. Estos son pasos bien definidos que pueden seguirse como una fórmula.
A Llave es un fragmento de información que indica al cifrado cómo encriptar y descifrar. Las claves son uno de los conceptos más importantes para entender el cifrado.
¿Una o muchas llaves? anchor link
En hay una sola llave para cifrar y descifrar la información.
Las formas más antiguas de cifrado eran simétricas. Para el "Cifrado César" utilizado por Julio César, la llave para cifrar y descifrar un mensaje era un desplazamiento de tres. Por ejemplo, "A" cambiaría a "D." El mensaje "ENCRYPTION IS COOL" se cifraría en "HQFUBSWLRQ LV FRRO" usando la llave de tres. Esa misma llave se usaría para descifrar el mensaje original. |
El cifrado simétrico todavía se usa hoy en la actualidad; a menudo se presenta en forma de "cifrado de flujo" y "cifrado de bloque", que se basan en complejos procesos matemáticos para hacer que su cifrado sea difícil de descifrar. El cifrado hoy en día incluye muchos pasos de codificación de datos para dificultar la revelación del contenido original sin la llave correcta. Los modernos algoritmos de cifrado simétrico, como el Advanced Encryption Standard (AES), son fuertes y rápidos. El cifrado simétrico es muy usado por los computadores para tareas como cifrar archivos, cifrar particiones en un computador, cifrar completamente dispositivos y computadores usando el cifrado de disco completo , y cifrar bases de datos como las de administradores de contraseñas. Para descifrar esta información cifrada simétricamente, a menudo se le pedirá una contraseña . Por eso recomendamos usar contraseñas seguras, y proveemos tutoriales para generar contraseñas seguras para proteger esta información cifrada.
Tener una sola clave puede ser genial si usted es la única persona que necesita acceder a esa información. Pero hay un problema con tener una sola clave: ¿qué pasa si quisiera compartir información cifrada con una amistad que se encuentra lejos? ¿Qué pasa si no se puede reunir con su amigo o amiga en persona para compartir la clave privada? ¿Cómo podría compartir la clave con su amigo o amiga a través de una conexión abierta a Internet?
Cifrado asimétrico , también conocido como cifrado de llave pública , aborda estos problemas. El cifrado asimétrico implica dos llaves: una llave privada (para el descifrado ) y una llave pública (para el cifrado).
Cifrado simétrico |
Cifrado asimétrico |
---|---|
|
|
|
|
|
|
|
|
|
|
El cifrado simétrico y asimétrico a menudo se usan juntos para cifrar los datos en tránsito.
Cifrado asimétrico: Llaves privadas y públicas anchor link
Las llaves privadas y públicas vienen en forma de parejas coincidentes, ya que la llave privada y la llave pública están unidas de forma matemática. Se puede pensar que es como una roca que está partida por la mitad. Cuando se mantienen juntas, las dos mitades encajan en su lugar para formar el todo. Ninguna otra mitad de roca servirá. Los archivos de clave pública y de clave privada son muy parecidos, pero en última instancia se componen de representaciones legibles por ordenador de números muy grandes.
Aunque se llama "llave pública", puede ser un poco confuso el pensar en la llave pública como una llave real y literal para abrir cosas. No cumple esa función. Para obtener información más detallada sobre las claves públicas y privadas, lea la guía del proyecto SSD Una mirada en profundidad al cifrado de extremo a extremo: ¿Cómo funcionan los sistemas de cifrado de clave pública?
Una llave pública es un archivo que usted puede dar a cualquiera o publicar públicamente. Cuando alguien quiera enviarle un mensaje cifrado de extremo a extremo, necesitará su clave pública para hacerlo. |
Su llave privada le permite descifrar este mensaje cifrado. Debido a que su llave privada le permite leer mensajes cifrados, es muy importante que usted la proteja. Además, su llave privada puede ser usada para firmar documentos para que otros puedan verificar que realmente proceden de usted. |
Dado que la llave privada es, en última instancia, un archivo de un dispositivo que requiere protección, le recomendamos que proteja con contraseña y cifre el dispositivo donde se almacena la llave privada. Sobre la autodefensa frente a la vigilancia, tenemos guías para contraseñas seguras y cifrado de dispositivos.
Llave Pública |
Llave Privada |
---|---|
|
|
|
|
|
|
|
De alguna manera, usted puede pensar en enviar información en tránsito como enviar una postal. En la ilustración de la postal a la izquierda (abajo), un remitente escribe: "HI! :-)" El remitente lo dirige al destinatario del mensaje. Este mensaje no está cifrado, y cualquiera que pase el mensaje por el camino puede leerlo.
A la derecha está la misma postal, con el mensaje cifrado entre el emisor y el receptor. El mensaje sigue transmitiendo el mensaje "¡Hola! :-)" pero ahora parece un bloque de incoherencias cifradas para el resto de nosotros.
¿Cómo se consigue? El remitente ha encontrado la llave pública del destinatario. El remitente dirige el mensaje a la llave pública del destinatario, que lo cifra. El remitente también ha incluido su firma para mostrar que el mensaje cifrado es realmente suyo.
Nótese que los metadatos de quién está enviando y quién está recibiendo el mensaje, así como información adicional como la hora de envío y recepción, por dónde pasó, y así sucesivamente, son todavía visibles. Podemos ver que el remitente y el receptor están usando cifrado, podemos decir que se están comunicando, pero no podemos leer el contenido de su mensaje.
¿A quién está cifrando? Son ellos quienes realmente dicen que son? anchor link
Ahora, tal vez se pregunte: "Entiendo que mi llave pública permite que alguien me envíe un mensaje cifrado, y que mi llave privada me permite leer ese mensaje cifrado. ¿Pero qué pasa si alguien finge ser yo? ¿Qué pasa si crean una nueva llave pública y privada y se hacen pasar por mí?"
Ahí es donde es especialmente útil el cifrado de llave pública: Le permite verificar su identidad y la identidad de su destinatario. Veamos más de cerca las capacidades de la llave privada.
Además de permitirle leer los mensajes cifrados que se envían a su llave pública, su llave privada le permite incluir firmas digitales no falsificables en los mensajes que envía a otras personas, como si dijera "sí, realmente soy yo quien está escribiendo esto".
Su destinatario verá su firma digital junto con su mensaje y la comparará con la información que aparece en su llave pública.
Veamos cómo funciona en la práctica.
Verificación de identidad para personas: Huellas dactilares de llave pública anchor link
Cuando nosotros enviamos cualquier tipo de mensaje, confiamos en la buena fe de las personas que participan. Es como en el mundo real: No esperamos que una persona que reparte correo se inmiscuya en nuestro correo, por ejemplo. No esperamos que alguien intercepte la carta de un amigo o amiga, la abra y modifique, y nos la envíe, haciéndonos creer que no ha cambiado. Pero existe el riesgo de que esto suceda.
Los mensajes cifrados tienen el mismo riesgo de ser modificados, sin embargo, el cifrado de llave pública nos permite una forma de comprobar si la información ha sido manipulada, comprobando la identidad digital de alguien con su identidad real.
La llave pública es un bloque gigante de texto en un archivo. También se representa conmo un atajo legible por el ser humano llamado huella dactilar de la llave .
La palabra "huella dactilar" significa muchas cosas diferentes en el campo de la seguridad informática.
Un uso del término es una "huella dactilar de la llave", una cadena de caracteres como "65834 02604 86283 29728 27028 37069 98932 73120 14774 81777 73663 16574 23234" que debería permitirle comprobar de forma única y segura que alguien en Internet está utilizando la llave privada correcta.
En algunas aplicaciones, esta información puede representarse como un código QR que usted y su contacto escanean en los dispositivos del otro.
Puede comprobar que la identidad digital de alguien concuerda con la de quien dice ser a través de algo llamado "verificación de huellas dactilares".
La verificación de las huellas dactilares se consigue con mayor facilidad en la vida real. Si puede reunirse con su amigo en persona, tenga a mano su huella digital de llave pública y deje que su amigo compruebe que todos y cada uno de los caracteres de su huella digital de llave pública coinciden con lo que tienen para su huella digital de llave pública. Comprobar una larga cadena de caracteres como "342e 2309 bd20 0912 ff10 6c63 2192 1928" es tedioso, pero vale la pena hacerlo. Si no puede reunirse en persona, puede hacer que su huella dactilar esté disponible a través de otro canal seguro, como otro sistema de mensajería o chat cifrado de extremo a extremo, o publicado en un sitio HTTPS .
La verificación de la huella dactilar de una persona le da un mayor grado de certeza de que es ella misma. Pero no es absoluta porque si las llaves privadas son copiadas o robadas (por ejemplo, si tiene malware en su dispositivo o si alguien accedió físicamente a él y copió el archivo), otra persona podría usar la misma huella dactilar. Por esta razón, si una llave privada es "robada", querrá generar un nuevo par de llaves públicas y privadas, y dar a sus contactos su nueva huella digital de llave pública.
Resumen: Capacidades de cifrado de llave pública anchor link
En general, el uso del cifrado de llave pública puede ofrecer a sus usuarios y usuarias:
Seguridad Un mensaje cifrado con una criptografía de llave pública permite al o la remitente crear un mensaje secreto, de modo que sólo el o la destinatario a quien va dirigido pueda leerlo.
Autenticidad: La persona a la que está destinado un mensaje firmado con cifrado de llave pública puede verificar que el mensaje fue creado por su remitente de forma auténtica si posee su llave pública.
Integridad: Un mensaje firmado o protegido con cifrado de llave pública, en general, no puede ser manipulado, de lo contrario el mensaje no se descifrará o verificará correctamente. Esto significa que incluso la interrupción involuntaria de un mensaje (por ejemplo, debido a un problema temporal de la red) será detectable.
Verificación de identidad para sitios web y servicios: Certificados de seguridad anchor link
Puede que se pregunte: "Puedo verificar las huellas dactilares de llave pública, pero ¿cuál es el equivalente para la web? ¿Cómo puedo comprobar que estoy usando un servicio que realmente es el servicio que dice que es? ¿Cómo puedo estar seguro de que nadie está interfiriendo con mi conexión a un servicio?"
Una persona usando cifrado de extremo a extremo comparte su llave pública ampliamente para que otros puedan verificar que son quienes dicen ser. Del mismo modo, cuando se utiliza el cifrado de la capa de transporte, el equipo comprueba automáticamente si una llave pública para un servicio es la que realmente dice que es, y si se está cifrando para el servicio previsto: esto se denomina certificado de seguridad .
A continuación, puede ver un ejemplo del certificado de seguridad para SSD desde un navegador web genérico. A menudo se puede acceder a esta información haciendo clic en el bloqueo HTTPS de su navegador web y sacando los detalles del certificado.
El navegador web de su computadora puede hacer conexiones cifradas a sitios que utilizan HTTPS. Los sitios web suelen utilizar certificados de seguridad para demostrar a su navegador que tiene una conexión segura con el sitio real, y no con algún otro sistema que esté manipulando su conexión. Los navegadores examinan los certificados para comprobar las llaves públicas de los nombres de dominio (como www.google.com, www.amazon.com, o ssd.eff.org). Los certificados son una forma de tratar de determinar si conoce la llave pública correcta para una persona o sitio web, de modo que pueda comunicarse de forma segura con ellos. Pero, ¿cómo sabe su ordenador cuál es la llave pública correcta para los sitios que visita?
Los navegadores y sistemas operativos modernos incluyen una lista de autoridades de certificación (CA por sus siglas en inglés) de confianza. Las llaves públicas de estas CAs se incluyen previamente cuando usted descarga el navegador o compra una computadora. Las autoridades de certificación firman la llave pública de los sitios web una vez que los han validado como que operan legítimamente un dominio (como www.example.com). Cuando su navegador visita un sitio HTTPS, verifica que el certificado que el sitio entregado ha sido firmado por una CA en la que confía. Esto significa que un tercero de confianza ha verificado que el sitio es quien dice ser.
El hecho de que el certificado de seguridad de un sitio web haya sido firmado por una autoridad de certificación no significa que el sitio web sea necesariamente un sitio seguro. Hay límites a lo que una CA puede confirmar: no puede verificar que un sitio web sea honesto o confiable. Por ejemplo, un sitio web puede estar "protegido" utilizando HTTPS, pero aún así alberga estafas y malware. Esté alerta y aprenda más leyendo nuestra guía sobre malware y phishing.
De vez en cuando, verá mensajes de error relacionados con el certificado en la Web. Lo más común es que la red de un hotel o cafetería intente interceptar su conexión a un sitio web para dirigirle a su portal de acceso antes de acceder a la web, o debido a un error burocrático en el sistema de certificados. Pero ocasionalmente es porque un hacker, ladrón, policía o agencia de espionaje está rompiendo la conexión cifrada. Desafortunadamente, es extremadamente difícil diferenciar entre estos casos.
Esto significa que nunca debe hacer clic más allá de una advertencia de certificado si se refiere a un sitio en el que tiene una cuenta o está leyendo información confidencial.
Poniéndolo todo junto: Llaves Simétricas, Llaves Asimétricas y Huellas Dactilares de Llave Pública. anchor link
El ejemplo de los Intercambios de Seguridad en la Capa de Transporte
Cuando se usa el cifrado de la capa de transporte, el navegador de su computadora y la computadora del sitio web que está visitando están usando algoritmos simétricos y asimétricos;
Examinemos un ejemplo concreto de cómo todas estas ideas trabajan juntas: cuando se conecta a este sitio web HTTPS (https://ssd.eff.org/), ¿qué sucede?
Cuando un sitio web utiliza HTTPS, su navegador y el servidor del sitio web tienen un conjunto muy rápido de interacciones a las que se llama "el apretón de manos". Su navegador -como Google Chrome, Mozilla Firefox, Tor Browser, etc.- está comunicándose con el servidor (computadora) que alberga nuestro sitio web, https://ssd.eff.org.
En el apretón de manos, el navegador y el servidor se envían primero notas para ver si tienen preferencias comunes para los algoritmos de cifrado (conocidos como "suites de cifrado"). Podemos pensar en ello como si nuestro navegador y nuestro servidor ssd.eff.org estuvieran manteniendo una rápida conversación: se preguntan unos a otros qué métodos de cifrado conocen y con los que deberían comunicarse, así como qué métodos de cifrado prefieren. ("¿Sabemos ambos cómo usar un algoritmo asimétrico como el RSA en combinación con un algoritmo simétrico como el AES? Sí, bien. Si esta combinación de algoritmos de cifrado no funciona para nosotros, ¿qué otros algoritmos de cifrado conocemos los dos?)
Entonces, su navegador usa cifrado asimétrico: envía un certificado de llave pública a ssd.eff.org para comprobar que usted es quien dice ser. El servidor del sitio comprueba este certificado de llave pública frente a su llave pública. Esto es para evitar que un equipo malicioso intercepte su conexión.
Una vez confirmada su identidad, el servidor del sitio usa un cifrado simétrico: genera un nuevo archivo de llave secreto simétrico. Luego cifra asimétricamente la llave pública de su navegador y la envía a su navegador. Su navegador utiliza su llave privada para descifrar este archivo.
Si esta llave simétrica funciona, su navegador y el servidor de su sitio web la usarán para cifrar el resto de sus comunicaciones. (Este conjunto de interacciones es el apretón de manos de seguridad de la capa de transporte (TLS).) Así, si todo va bien en el apretón de manos, su conexión a ssd.eff.org aparece como segura, con HTTPS al lado de ssd.eff.org.
Para una inmersión más profunda en llaves públicas y privadas, así como para la verificación, lea nuestra guía sobre cifrado de llaves públicas a continuación.