Modelos de software de seguridad de la información
Pueden describirse de manera formal o
semi-formal.
Los modelos de seguridad son más
precisos y detallados que la
expresión de las políticas.
Pueden ser obligatorios
o discrecionales.
Una clasificación divide a los modelos:
La matriz de acceso
Acceso basado en funciones de Control
Los modelos multinivel
Procesos de certificación y
acreditación
Norma ISO/IEC 15408, Common Criteria
Esta norma desarrolla lo que se llama Criterios comunes
". Permite a muchos productos de software y hardware
ser integrados y probados de forma segura.
La ISO/IEC 15408, también denominada Common Criteria
(CC) o Criterios Comunes, es un estándar orientado al
producto o sistema (no tanto al proceso como la serie ISO
27000) y establece las siguientes verificaciones:
Enfoque en la correcta definición
de los requisitos de producto.
Implementación satisfactoriamente
y verificación.
El desarrollo y proceso de documentación
deben seguir una directriz estructurada.
Seguridad de sistemas distribuidos
El objetivo del arquitecto es excluir
todos los posibles ataques y backdoors
que comprometan a la Insititución.
En ningún caso existe un método concreto
para asegurar las metas durante el diseño,
solo aplicación de buenas prácticas.
Cada uno diseña con los mejores
estándares disponibles y aplica un
análisis informal y comprobaciones
Una vez que un diseño esté completo,
una opción es la validación formal.
Cuando se diseña para seguridad es necesario
pensar siempre en lo peor, generando
conceptos de defensa en profundidad.
Componentes de criptografía y
sus relaciones
Criptografía
La criptografía proporciona la base
para la mayoría de los sistemas de
seguridad de los computadores.
La encriptación es el proceso de
codificación de un mensaje de forma
que queden ocultos sus contenidos
La criptografía moderna incluye algunos algoritmos seguros
de encriptación y desencriptación de mensajes. Todos ellos
se basan en el uso de ciertos secretos llamados claves.
Una clave criptográfica es un parámetro empleado
en un algoritmo de encriptación de manera que no
sea reversible sin el conocimiento de una clave
Clases principales de algoritmos de encriptación
Claves secretas compartidas
El emisor y el receptor deben
compartir el conocimiento de una clave y
ésta no debe ser revelada a ningún otro.
Claves pública/privada
El emisor de un mensaje emplea una clave pública,
difundida previamente por el receptor para encriptar
el mensaje, es decir, el receptor emplea la clave
privada correspondiente para desencriptar el mensaje
Fines de la Criptografía
Secreto e integridad
para mantener el secreto y la integridad de la
información en cualquier escenario que
pueda estar expuesta a ataques potenciales
Autenticación
como base de los mecanismos
para autenticar la comunicación
entre pares de principales
Firmas digitales
emula el papel de las firmas convencionales,
verificando a una tercera parte que un
mensaje o un documento es una copia
inalterada producida por el firmante
Algoritmos simétricos
Si eliminamos de la consideración el parámetro de la clave y definimos Fk([M]) = E(K, M),
una propiedad de las funciones de encriptación robustas es que Fk([M])
TEA, DES, IDEA, AES
Algoritmos asimétricos
Cuando se emplea un par de claves pública / privada, las
funciones de un solo sentido se explotan de otra forma.
Cifradores de bloque
La mayoría de los algoritmos de encriptación operan sobre bloques de
datos de tamaño fijado: 64 bits es un tamaño de bloque popular.
Esteganografía
Es la técnica de ocultar la comunicación real en el
cuerpo de una frase poco visible o un párrafo.
A diferencia de la encriptación en el que el texto cifrado transmitido es
incomprensible y sin sentido para un extraño, el texto transmitido en
esteganografía tiene un significado válido, pero diferente