Capa de aplicacion

Contenido:

La Capa de Aplicación.

Es la última de las capas del modelo OSI. La capa de aplicación contiene los programas del usuario, en esta capa se necesitan también de protocolos de apoyo que permitan el funcionamiento de las aplicaciones reales. Estos protocolos son: el área de seguridad de la red, el DNS, y el protocolo para la administración de la red. Esta capa no solo tiene protocolos sino también tiene varias aplicaciones las cuales son: el correo electrónico, USENET, World Wide Web, y Multimedia.

Protocolos de la Capa de Aplicación.

SEGURIDAD DE LA RED

La seguridad se ocupa de garantizar que lo curiosos no puedan leer o modificar mensajes dirigidos a otros destinatarios; se preocupa por la gente que intenta acceder a servicios remotos no autorizados. La seguridad también se ocupa del problema de la captura y reproducción de mensajes legítimos y de la gente que intenta negar que envió ciertos mensajes.

Los problemas de seguridad de las redes pueden dividirse en 4 áreas interrelacionadas: secreto, validación de identificación, no repudio y control de integridad.

  • El secreto y la integridad tiene que ver con mantener la información fuera de las manos de los usuarios no autorizados.
  • La validación de identificación se encarga de determinar con quién se está hablando antes de revelar información delicada o hacer un trato de negocios.
  • El no repudio se encarga de las firmas: ¿Cómo puede asegurarse de que un mensaje recibido fue realmente enviado, y no algún adversario modificó en el camino su propia cuenta?.

Para atacar estos problemas las soluciones deben implementarse en esta capa. Estas pueden ser:

Cifrado Tradicional: Los mensajes a cifrar, conocidos como texto normal, se transforman mediante una función parametrizada por un clave. La salida del proceso de cifrado se conoce como texto cifrado, la cual se transmite después de muchas veces mediante un mensajero o radio.

La clave consiste en una cadena corta que selecciona uno de muchos cifrados. Para evitar que lean su correo electrónico las claves de 64 bits son suficientes, para mantener a raya gobiernos poderosos se requieren claves de hasta 256 bits.

Los modelos de cifrado se dividen en 2 categorías: cifrados por sustitución y cifrados por transposición.

Cifrados por Sustitución: Cada letra o grupo de letras se reemplaza por otra letra o grupo de letras para descifrarla. Uno de los cifrados viejos conocidos es el cifrado de Cesar. En este método a se vuelve D, b se vuelve E, ................ y z se vuelve C Por ejemplo la palabra ataque se vuelve DWDTXH.

Luego se hicieron mejoras para que cada una de las 26 letras del abecedario tenga alguna correspondencia con alguna otra letra. Por Ejemplo:

  • Texto Normal:a b c d e f g h i j k l m n o p q r s t u v w x y z
  • Texto Cifrado:Q W E R T Y U I O P A S D F G H J K L Z X C V B N M

Este sistema general se llama sustitución monoalfabetica. Para la clave anterior la palabra ataque se transformaría en el texto cifrado QZQJXT.

Cifrados por Transposición: Los cifrados por transposición reordenan las letras pero no las disfrazan. En el siguiente grafico se presenta un cifrado de transposición común:

capaP_y_capaS

La clave del cifrado es una palabra o frase que no contiene letras repetidas. En este ejemplo es MEGABUCK. El propósito de la clave es numerar las columnas. Estando la columna 1 bajo la letra clave más cercana al inicio del alfabeto. El texto normal se escribe horizontalmente en filas. El texto cifrado se lee por columnas, comenzando por la columna cuya letra clave es la más baja.

Dos Principios Criptográficos Fundamentales: El primer principio es que todos los mensajes cifrados deben contener redundancia, es decir, información no necesaria para entender el mensaje.>

El segundo principio criptográfico es que deben tomarse algunas medidas para evitar que los intrusos reproduzcan mensajes viejos. Una de las medidas es la inclusión en cada mensaje de una marca de tiempo valida durante supongamos 5 minutos. Entonces en receptor puede guardar los mensajes unos 5 minutos, para compararlos con los mensajes nuevos y filtrar los duplicados. Los mensajes con mayor antigüedad que 5 minutos pueden descartarse.

Rellenos de una sola vez: La construcción de una mensaje inviolable es de la siguiente forma: primero se escoge una cadena de bits al azar como clave, luego se convierte el texto normal en una cadena de bits, finamente se calcula el OR exclusivo de estas dos cadenas bit por bit ; Pero tiene varias desventajas prácticas: La clave no puede memorizarse, la cantidad total de datos que pueden transmitirse esta limitada a la cantidad de clave disponible.

Debido a esto se han creado algoritmos modernos de cifrado que pueden procesar cantidades grandes de texto normal estos son:

Algoritmos de Clave Secreta: Las transposiciones y las sustituciones pueden implantarse mediante circuitos sencillos. En el siguiente grafico se muestra un dispositivo conocido como Caja P (permutación) que se usa para efectuar una transposición de una entrada de 8 bits. Por ejemplo si se designan los 8 bits de arriba hacia abajo 01234567, la salida en esta caja es 36071245.

Algoritmos_de_clave_secreta

Las sustituciones se llevan mediante la Caja S (sustitución), la entrada de 8 bits selecciona una de las 8 líneas de salida de la primera etapa y la establece en 1 las demás líneas son 0; la segunda etapa es una Caja P y la tercera codifica en binario nuevamente la línea de entrada seleccionada.

DES: El DES es un estándar de cifrado de datos; en la cual el texto normal se cifra en bloques de 64 bits, produciendo 64 bits de texto cifrado.

También existen otros algoritmos como: IDEA(algoritmo internacional de cifrado de datos) , algoritmos de clave pública, algoritmo RSA.

Protocolos de Validación de Identificación: La validación de identificación es la técnica mediante la cual un proceso comprueba que su compañero de comunicación es quien se supone que es y no un impostor.

El modelo general que usan todos los protocolos de validación es el siguiente: un usuario1 quiere establecer una conexión segura con el usuario2. El ususario1 comienza por enviar un mensaje al usuario2 o a un centro de distribución de claves(KDC) . Una vez que se ha completado el protocolo, el usuario1 esta seguro de que esta hablando con el usuario2 y viceversa. En la mayoría de los protocolos los 2 habrán establecido una clave de sesión secreta para usarla durante la conversación siguiente. El objetivo de usar una clave de sesión nueva para cada nueva conexión es reducir la cantidad de texto cifrado que puede obtener un intruso y reducir al mínimo el daño provocado por la caída de un proceso.

Validación de Identificación usando un Centro de Distribución de Claves.

En un principio para hablarle a n personas se requerían de n claves. Luego se creó una manera diferente que es introducir un centro de distribución de claves confiable (KDC). En este modelo cada usuario tiene una sola clave compartida con el KDC. La validación de identificación y la administración de las claves de sesión ahora pasan a través del KDC.

Además existen otros protocolos como: validación de identificación basada en una clave secreta compartida, validación de identificación usando criptografía de clave pública.>

Como se dijo anteriormente el no repudio se encarga de las firmas estas pueden ser:

Firmas Digitales.

La validación de muchos documentos legales, financieros y de otros tipos se determina por la presencia o ausencia de una forma manuscrita autorizada. Para que los sistemas computarizados reemplacen el transporte físico de papel y tinta ; se requiere básicamente de un sistema mediante el cual una parte pueda enviar una mensaje "firmado" a otra parte de modo que:

  1. El receptor puede verificar la identidad proclamada del transmisor.
  2. El transmisor no pueda repudiar después el contenido del mensaje.
  3. El receptor no haya podido confeccionar el mensaje el mismo.

El primer requisito es necesario , por ejemplo en los sistemas financieros. Cuando la computadora de un cliente ordena a la computadora de un banco que se compre una tonelada de oro, la computadora del banco necesita asegurarse de que la computadora que da la orden realmente pertenece a la compañía a la que se le aplicará el debito. El segundo requisito es necesario para proteger al banco contra fraudes. El tercer requisito es necesario para proteger al cliente en el caso de que el precio del oro suba mucho y que el banco trate de falsificar un mensaje firmado en el que el cliente solicitó un lingote de oro en lugar de una tonelada.

Firmas de Clave Secreta.

Un enfoque de las firmas digitales sería tener una autoridad central que lo sepa todo y en quien todos confíen un Big Brother. Cada usuario escoge entonces una clave secreta y la lleva personalmente a las oficinas del Big Brother. Por lo tanto solo el usuario y el Big Brother conocen la clave secreta de ese usuario, etc.