Seguridad Informática : TrueCrypt vs Cryptainer : Encriptacion : Cifrado : Datos

Introducción

Recordando la orgánica del último tiempo, con nuestros vecinos del Perú, se ha puesto hincapié nuevamente en la seguridad, ya sea, del “supuesto” espía o los “supuestos cómplices”. Cabe destacar que ahora más que nunca se están usando las herramientas de IT, como parte de acusaciones o resguardos de datos. En el caso puntual se pudo llegar supuestamente a la información, pues se hizo un trackeo de rutas y revisión del Computadores, y medios removibles de parte del supuesto espía. Ahora bien, si fueron examinados con lupa forense los mails, los documentos que se enviaron y recibieron, podríamos cuestionarnos como se llego a la Data Dura, si más que mal el supuesto agente Peruano Victor Ariza era miembro del departamento de seguridad de la FAP y más que mal algo le habrán enseñado, y sino a él, a los supuestos cómplices algo deben saber de este tema. Pero dado que no existe más información relevante al hacer este informe, podemos inferir que si no es un TONGO, necesitan rápido algún tipo de noción de Criptografía y las Herramientas que hacen posibles el resguardo de la información.

Por fines de claridad conceptual y ajustándonos al tiempo, pues esto da para mucho más, veremos someramente algunas herramientas de encriptación de datos,  como Cryptainer y TrueCrypt , y antes de eso daremos un esbozo de los conceptos fundamentales de Seguridad y Criptografía necesarios para un mejor entendimiento de las herramientas planteadas.

Seguridad de redes

Seguridad, en términos simples y globales, es la disminución del riesgo (a menor riesgo mayor seguridad). Sin embargo, el espectro de significaciones particulares de seguridad es bastante amplio.

Desde un punto de vista de sociedad, podemos suponer que seguridad se refiere, en un sentido físico y moral, a que no se será ultrajado; en un sentido de esperanza, a que algo sucederá (“estoy seguro que me irá bien”), en un sentido afirmativo, a que se tiene convencimiento (“estoy seguro que sucedió así”); etc.

Desde el campo de la informática, también tiene un amplio significado. Seguridad se refiere a la conservación de datos (que no fallarán los discos de almacenamiento), a que no se sufrirá la infección de un virus, no fallará un servicio, no robarán información, e inclusive un aspecto físico de acceso a servidores sensibles, medidas contra incendio, etc.

En redes de computadoras, seguridad es impedir que personas deseadas no puedan leer, o peor aún, modificar mensajes destinados a otros receptores, es impedir que personas accedan a servicios no autorizados, es verificar que un mensaje es realmente de quién dice ser, etc.

Confidencialidad, autenticación, integridad y no repudiación son los aspectos que interesan estudiar  en este informe y que corresponden a los aspectos en que la criptografía propone soluciones.

Confidencialidad

Es mantener la información fuera del alcance de a quienes no está destinada. Desde tiempos remotos esto ha sido sinónimo de ocultar la información físicamente. Hoy en día, si bien persiste aún fuerte la idea de ocultar la información físicamente, la criptografía nos brinda una solución simple y segura mediante el cifrado de los datos, que consiste en hacer los datos ilegibles, excepto para quienes está destinada.

Autenticación

Se refiere a cómo asegurar que alguien es realmente quien dice ser, en otras palabras, es la prueba de la identidad. La identificación es un proceso simple y no hay nada secreto al respecto, un buen ejemplo de identificación usado en Chile, es el Rol Único Nacional (RUN). Autenticación es la verificación de la identificación.

Siempre han sido tres las formas de verificar la identidad de las personas:

• Por algo que saben: Las personas conocen palabras claves, frases secretas, números de identificación personal (conocidos como PIN, usado en las tarjetas bancarias), datos acerca de ellas mismas o sus familiares.
• Por algo que tienen: Las personas pueden tener llaves físicas o electrónicas, tarjetas bancarias, sellos, timbres, etc. En el caso de las tarjetas bancarias, usan un doble sistema de autenticación donde además de conocer la clave de la tarjeta, se debe poseer la tarjeta físicamente.
• Por algo que son: No existen dos seres humanos iguales. Se usa esta propiedad como una medida de autenticación de personas. Ejemplos son la huella dactilar, patrones de DNA, retina del ojo o la geometría de la mano.

La forma más segura de autenticación es la última, “por algo que son”, debido a que, tanto algo que se sabe como que algo se posee, puede ser interrogado y robado por otra persona. Este método, conocido como biométrica, si bien es relativamente reciente, ha comenzado a ser cada vez más usado. La gran desventaja de este método, es que requiere presencia física al utilizarlo como único método, lo que hace su uso extremadamente complejo en redes de computadores donde la característica principal es la ausencia de la presencia física.

Sin embargo, la combinación de algunos o de todos estos métodos, permite reducir considerablemente el riesgo. Algunos ejemplos en uso, a la fecha de este informe, es la combinación tarjeta clave en el uso de tarjetas bancarias como se mencionó anteriormente, la combinación RUN-huella dactilar, usado en la clínica Santa María de Santiago, y el potencial uso de carné-huella dactilar gracias al nuevo sistema de carné de identidad chileno que incluye la información de la huella dactilar en un código de barras.

La criptografía moderna, como veremos más adelante, se basa en la propiedad de que algo se posee, aunque generalmente va acompañada de algo que se sabe al usarse claves para almacenar lo  que se posee. 

Integridad

Consiste en asegurar que un mensaje no ha sido modificado después de su origen. Es decir, que no se han alterado sus valores después que el autor lo ha confeccionado. En el mundo físico, esto no ha sido nunca fácil de solucionar. Algunos de estos son el uso de sellos de lacra, holografías, papeles especiales o sellos al agua. Gracias a la criptografía como veremos más adelante, es un problema que ya cuenta con una solución simple y efectiva.

No repudiación

Consiste en evitar, que un mensaje, una vez emitido por algún autor, pueda posteriormente negar su confección. Al respecto, históricamente se ha usado la firma tradicional, existiendo inclusive peritos capaces de dar un cierto nivel de seguridad de que una firma es válida o no. Sin embargo, aún en nuestros días sigue siendo un gran dolor de cabeza este problema en las estafas con cheques, tarjetas de crédito robadas y otros.

Algoritmos de Encriptación

De los variados algoritmos que existen en la comunidad, estriba la pregunta de ¿cuál es el más seguro? No una única respuesta a esta, pues depende en gran medida de la rapidez o la seguridad.

Los algoritmos Simétricos son muy rápidos, y rara vez causan sobrecarga en el procesamiento. Estos usan una única llave para encriptar y desencriptar la data, lo cual es considerado muy seguro. Eso si, esto es muy seguro si tu proteges la llave apropiadamente, pero si tu almacenas la clave con los datos, todo mal. Es como si colocaras la llave de tu casa bajo un macetero fuera de la casa, este será uno de los primeros lugares donde el posible ladrón hurgue.

Los Algoritmos de clave simétrica, tienen 2 subtipos: block ciphers y stream cipher. Estos es, los block ciphers cortan la data en trozos del mismo tamaño y lo encriptan en un lote, luego preparan otro y así sucesivamente. Los Stream ciphers no  hacen esto, ellos encriptan la data un byte después del otro. 

Algoritmos Simetricos:

• AES
• 3DES
• IDEA
• CAST
• RC5
• Twofish
• Blowfish

El nombre completo de AES es Rijndael Advanced Encryption Standard. Rijndael es pronunciado rine-doll y es la combinación de los apellidos de los dos creadores del algoritmo: Vincent Rijmen and Joan Daeman. Es el primer algoritmo elegido usando la vía de la competencia directa. 

Algoritmos Asimétricos

Como su nombre lo dice, estos usan diferentes llaves en vez de una única para la encriptación. Estos algoritmos son también conocidos como Algoritmos de llave publica/privada, porque ellos consisten de una parte que se mantiene privada, solo para el dueño, y la otra que es pública, se intercambia con otros.

Estos algoritmos son considerados muy seguros, pues tú necesitas las dos claves para desbloquear la data. Es como si se necesitaran 2 llaves para desbloquear la caja segura que tienes en el banco. EL Banco tienes la llave privada, y tú la llave pública. La llave pública puede ser manejada por cualquiera, pero solo el banco tiene la privada. Si tú quisieras conseguir la llave privada del Banco capaz que terminarías en un pieza angosta, compartiendo con tipos que te tratan como tú y fuman como locos.

Lo único malo estos algoritmos es que son muy lentos. Ellos necesitan un gran cantidad de poder de procesamiento y estos si que pueden hacer un detrimento en el trafico de red.

Algunos algoritmos Asimétricos:

• RSA
• DSA
• ECC (Elliptical Curve Cryptography)

TrueCrypt

Es un sistema de software para el establecimiento y la mantención de un volumen de encriptación On-the-fly de los datos. Encriptación On-the-fly significa que la data es automáticamente encriptada o desencriptada justo antes que esta sea cargada, o guardada, sin cualquier intervención de parte del usuario. Ningún dato almacenado en un volumen encriptado puede ser leído (desencriptado) sin usar el correcto password o llaves de encriptación. El sistema de archivos entero es encriptado, o sea, archivos, carpetas, contenidos de cualquier archivo, espacio libre, meta data, etc.

Los archivos puedes ser copiados desde y hacia un volumen TruCrypt, tal cual como ellos son copiados de cualquier disco normal (por ejemplo, drag-and-drop). Los archivos son automáticamente desencriptados al vuelo (en memoria RAM) mientras que ellos están siendo leídos o copiados desde un volumen encriptado TruCrypt. Similarmente, los archivos que están siendo escritos o copiados al volumen TrueCrypt son automáticamente encriptados al vuelo(justo antes que ellos sean escritos al disco) en la RAM. Nota que esto no significa que el archivo entero que está siendo encriptado o desencriptado deba estar almacenado en la RAM antes que esta sea encriptado o desencriptado. No hay requerimientos extra de RAM para TrueCrypt

TrueCrypt nunca guarda cualquier dato desencriptado a un disco, este solo almacena temporalmente este en la RAM. Incluso cuando el volumen es montado, los datos almacenados en el volumen aun están encriptados. Cuando tu rebooteas tu Sistema operativo, o apagas el computador, el volumen será desmontados y los archivos almacenas serán inaccesibles (encriptados), para revertir la situación tienes que montar nuevamente con la correcta combinación de clave/archivo de clave el volumen.

Algoritmos de Encriptación SOPORTADOS

Cryptainer

Cryptainer es un sistema de software muy parecido al que vimos anteriormente con TrueCrypt. Cryptainer LE es gratuito, usa 128 bit Blowfish para la encriptación.

Este permite encriptar datos hasta 25Mb a la vez. Si uno quisiera más volumen tendría que elegir la versión de pago como PE u otras que encriptan hasta 5 GB a la vez, y usa Blowfish de 448-bit o AES 256



¿CUAL ELEGIR?

Nos quedamos con la versión Free del mundo Open Source como es TrueCrypt, pues tiene todos los algoritmos de encriptación que usan las versiones pagas de Cryptainer, y el volumen de datos no es restrictivo. La única diferencia podría estribar en que Cryptainer si implementa un modo de encriptación para mail, pero esto también se puede obtener con TrueCrypt, pues, ambos lo que hacen es encriptar un archivo (mejor decir un gran archivo), pensémoslo como los archivos descriptores en Linux, y si es así se puede atachar un archivo a un correo, teniendo la otra parte también el software para esto. Capaz que este (el mail) sea el único punto más fuerte de Cryptainer, pero en la Sumatoria, nos quedamos con TrueCrypt. Además TrueCrypt funciona en Linux y OS/X también.

Como última nota, sobre TrueCrypt, podemos tener un Volumen TC dentro de otro TC, entonces tendríamos dos llaves, si alguien, como por ejemplo, el caso del espía, se tortura a este para dar la contraseña, la da, pero solo verán parte de la información, pues se necesita la otra para ver la información oculta.

*FUENTE: edreams.cl