PGP

       Antecedentes
Pretty Good Privacy o PGP (privacidad bastante buena) es un programa desarrollado por Phil Zimmermann en 1991, cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales.


Funcionamiento
PGP es un sistema de criptografía híbrido que usa una combinación de funciones tomadas de la criptografía asimétrica y de la criptografía simétrica.
Cuando un usuario cifra un texto con PGP, los datos primero se comprimen. Esta compresión de datos permite reducir el tiempo de transmisión a través del canal de comunicación, ahorra espacio en disco y, lo más importante, aumenta la seguridad criptográfica.
Las claves empleadas en el cifrado asimétrica se guardan cifradas protegidas por contraseña en el disco duro. PGP guarda dichas claves en dos archivos separados llamados llaveros; uno para las claves públicas y otro para las claves privadas.

Cifrado

El cifrado se realiza, principalmente, en dos fases:

• PGP crea una clave secreta IDEA o Triple DES en forma aleatoria y cifra los datos con esta clave.

• El PGP cifra la clave secreta IDEA o Triple DES y la envía usando la clave pública RSA del receptor.

Descifrado

El descifrado también se produce en dos fases:

• PGP descifra la clave secreta IDEA o Triple DES usando la clave privada RSA.

• PGP descifra los datos con la clave secreta IDEA O Tres DES obtenida previamente.

Autentificación / Firmado
El proceso es muy parecido en realidad ya que tenemos la opción de firmar el archivo aunque no lo tengamos cifrado, usando la clave privada agrega lo que es la firma en el archivo y cuando llega al receptor, él puede verificar con la clave pública del emisor, si el archivo que recibió esta íntegro y es correcto.

Aplicaciones de PGP 

• Firmas digitales
• Cifrado de archivos locales 
• Generación de claves publicas o privadas 
• Administración de claves 
• Certificación de claves 
• Revocación, desactivación y registro de claves 

Derechos de PGP La empresa Symantec compro los derechos de PGP y ahora vende el software bajo el nombre de Symantec Drive Encryption a un costo de UDS110 por licencia. Pero existen versiones libres, una de ellas y la más usada es GNUPG que está disponible en varias plataformas.

Ley Federal de Protección de Datos Personales

En manos de particulares.

Dato personal: Un dato personal es cualquier información concerniente a una persona física identificada o identificable.

Dato personal sensible: Aquellos datos personales que afecten a la esfera más intima de su titular, o cuya utilización indebida pueda ser origen a discriminación o conlleve un riesgo grave para esté (Origen racial o étnico, Estado de salud presente y futuro, Información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencias sexual). 

Manejo de tus datos: 

Articulo 7: "Los datos personales deberán recabarse y tratarse de manera licita con forme a las disposiciones establecidas por esta Ley y demás normatividad aplicable". La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos.

En todo tratamiento de datos personales, se presume que exista la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en otra, respecto de que los datos personales proporcionados entre ellos serán tratados conforme a lo que acordaron las partes en los términos establecidos por esta Ley

Articulo 9: "Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca".

No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legitimas, concretas y acordes con las actividades o fines explicitos que persigue el sujeto regulado.

Derechos ARCO: La ley otorga a los titulares de los datos personales el derecho a ACCEDER, RECTIFICAR Y CANCELAR  su información personal en posesión de terceros, así como OPONERSE a su uso. A estos se les conoce como derechos ARCO.

• Derecho de acceso: Los titulares tienen derecho a acceder a su información personal que este en posesión de terceros, a fin de conocer cual es el estado en que se encuentra, es decir, si es correcta y utilizada o para conocer con que fines se utiliza.
• Derecho de rectificación: Los titulares tienen derecho a rectificar su información personal, cuando ésta resulte ser incompleta o inexacta con el fin de que sean corregidos.
• Derecho de Cancelación: Los titulares pueden solicitar que se cancelen, es decir, se eliminen sus datos personales cuando consideren que no están siendo utilizados o tratados conforme a las obligaciones y deberes que se tiene el responsable y que se encuentran contenidos tanto en la Ley como en su Reglamento.
• Derecho de Oposición: Los titulares tienen derecho a oponerse al uso de su información personal o exigir el cese del mismo cuando, por una causa legitima sea necesario para el uso de los datos personales, a fin de evitar un daño a su persona; o no quieran que su información personal sea utilizada para ciertos fines o por ciertas personas, empresas, negocios, asociaciones o cualquier tercero.

Para ejercer tus derechos ARCO, tienes que presentar tu solicitud correspondiente al derecho o derechos a aplicar directamente con el responsable del manejo de tus datos personales. Para mas información te invito a dar clic en el siguiente enlace para conocer a detalle todo sobre tus derechos ARCO.

http://inicio.ifai.org.mx/Publicaciones/01GuiaPracticaEjercerelDerecho.pdf

IFAI: (Intitulo Federal de Acceso a la Información) Es un organismo descentralizado y no sectorizado de la Administración Pública Federal de México que cuenta con autonomía presupuestaria y de decisión, con el fin de garantizar el derecho de los ciudadanos a la información pública gubernamental y a la privacidad de sus datos personales, así como para promover en la sociedad y en el gobierno. 

Tiene como primer objetivo facilitar y garantizar el acceso de las personas a la información publica y al acceso y protección de los datos personales, así como contribuir a la organización de los archivos naciones.

El segundo objetivo consiste en promover la cultura de la transparencia en la gestión pública y la rendición de cuentas del gobierno a la sociedad, así como el ejercicio de los derechos de los gobernados en materia de acceso a la información y protección de datos personales.

El tercer objetivo se trata de contribuir en los procesos de análisis deliberación, diseño y expedición de las norma jurídicas necesarias en materia de archivos y datos personales, así como en los procedimientos legislativos dirigidos a perfeccionar y consolidar el marco normativo e institucional en materia de transparencia y acceso a la información pública.

Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición de titular, previo al tratamiento de sus datos personales, de conformidad con el Articulo 15 de la presente Ley: "El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad".

El aviso de privacidad deberá contener, al menos la siguiente información:

• La identidad y domicilio del responsable que los recaba.
• Las finalidades del tratamiento de datos
• Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
• Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley.
• En su caso, las transferencias de datos que se efectúen.
• El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

Cuando los datos personales hayan sido obtenidos personalmente del titular, el aviso de privacidad deberá ser facilitado en el momento en que se recaba el dato de forma clara y fehaciente, a través de los formatos por los que se recaban, salvo que se hubiera facilitado el aviso de privacidad con anterioridad.

REFERENCIAS.

* http://www.diputados.gob.mx/LeyesBiblio/ref/lfpdppp.htm

* http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

* http://inicio.ifai.org.mx/Publicaciones/01GuiaPracticaEjercerelDerecho.pdf

* http://inicio.ifai.org.mx/_catalogs/masterpage/misionViosionObjetivos.aspx

ATAQUE HEARTBLEED

Comencemos primero con que es Heartbleed:

Heartbleed es un vulnerabilidad que afecta a las versiones de OpenSSL (versiones 1.0.1 y 1.0.1f), donde permite que un hacker pueda desarrollar un código para aprovechar esta vulnerabilidad y así robar la información de los usuarios. Heartbleed pertenece a la categoría de bugs, que sin duda es un gran hueco en la seguridad.

Open SSL en una versión de código abierto de SSL que son protocolos criptográficos que proporcionan comunicaciones seguras en la red. La versión Open SSL se usa para cifrar las comunicaciones entre nuestro navegador de Internet y el servidor que nos esta atendiendo, al ser de código abierto, dos terceras partes de las páginas y servidores web están comprometidas por esta vulnerabilidad, así lo determino Netcraf que es una empresa que dedica a prestar servicios de seguridad en Internet.

Los principales servicios que se ven afectador por esta vulnerabilidad es el correo de Yahoo, Facebook, Google, Flickr que proporciona a sus usuarios servicios de fotografía, XDA Developers, Imgur, etc en el siguiente enlace podrán ustedes conocer un listado completo de las web vulnerables y las que no.

https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt

Si tu pagina favorita no se encuentra dentro del listado y tienes dudas sobre la seguridad de dicha pagina en el siguiente enlace podrás corroborar si fue afectada o no: https://lastpass.com/heartbleed/ o si ya corrigio el error: http://filippo.io/Heartbleed/

Como protegernos de Heartbleed

Lo mas importante es reconocer esta vulnerabilidad ya pudo ser aprovechada y se recomienda que se cambie la contraseña de los sitios antes señalados con el fin de no comprometer más la seguridad de nuestra información, muchos sitios se apresuraron solucionar el problema aplicando un parche o actualizando la versión de OpenSSL.

Se recomienda también dejar de usar por un tiempo aquellas páginas que no han confirmado corregir esta brecha de seguridad y una vez que lo hayan hecho cambiar nuestra contraseña.

REFERENCIAS

http://heartbleed.com/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html

Maquina Enigma

MAQUINA ENIGMA

Era el nombre de una maquina electromecánica de cifrado rotatorio. Dichas maquinas fueron usadas en los años 1920, en gran parte de Europa, en 1930 militares Alemanes las usaban durante la segunda guerra mundial y se atribuye que se haya logrado descifrar su algoritmo para leer los mensajes codificados que acabaron la guerra años antes de lo previsto.

La maquina funcionaba con un teclado similar al de las maquinas de escribir, al presionar las teclas se activaban interruptores eléctricos, la maquina era alimentada por una batería, la misma batería alimentaba a su vez una serie de lamparas que representaban las letras del alfabeto. En su interior la maquina enigma tenia varios discos planos que tenían 26 contactos eléctricos en cada cara del disco, cada contacto esta conectado a un contacto diferente de la cara contraria, los discos reciben el nombre de rotores.

Al presionar una tecla el primer rotor en el contacto correspondiente a esa letra pasa a la otra cara del disco en el contacto de esa cara, el pulso pasa de esa cara al siguiente contacto del segundo rotor que representa una letra diferente a la que se presiono en el teclado, a su vez pasa el pulso a la otra cara y este al otro rotor y así hasta que llega finalmente a un reflector para realizar el mismo proceso pero en sentido contrario. Este elemento daba la clave de cifrado para que se pudiera usar en el descifrado del mensaje.

Cada vez que se introduce una letra del mensaje original en el teclado, la posición de los rotores varia. En la mayoría de las versiones de la maquina enigma, cuando se presiona un letra avanza una posición del primer rotor y cuando se han introducido las 26 letras, se avanza una posición el segundo rotor y cuando este ha terminado su vuelta, se mueve una posición el tercer rotor; Debido a esta variación, dos letras idénticas en el mensaje original, por ejemplo AA, les corresponde dos letras diferentes en el mensaje cifrado, por ejemplo PH. Esto era un gran avance que impedía a los criptoanalistas descifrar el mensaje mediante un análisis estadístico. 

Ahora había un problema establecer la configuración inicial de la maquina enigma para poder cifrar y descifrar los mensajes, los alemanes les daban a los operadores de la maquina enigma un libro que contenía las configuraciones y cuantos giros deberán configurar los rotores

Un operador en particular podría seleccionar ABC, y éstos se convierten en la configuración del 'mensaje para esa sesión de cifrado'. Entonces teclearon la configuración del mensaje en la máquina que aún está con la configuración inicial. Los alemanes, creyendo que le otorgaban más seguridad al proceso, lo tecleaban dos veces, pero esto se desveló como una de las brechas de seguridad con la que "romper" el secreto de Enigma. Los resultados serían codificados para que la secuencia ABC tecleada dos veces podría convertirse en XHTLOA. El operador entonces gira los rotores a la configuración del mensaje, ABC. Entonces se teclea el resto del mensaje y lo envía por la radio.

En el extremo receptor, el funcionamiento se invierte. El operador pone la máquina en la configuración inicial e introduce las primeras seis letras del mensaje. Al hacer esto él verá ABCABC en la máquina. Entonces gira los rotores a ABC e introduce el resto del mensaje cifrado, descifrándolo. Este sistema era excelente porque el criptoánalis se basa en algún tipo de análisis de frecuencias. Aunque se enviaran muchos mensajes en cualquier día con seis letras a partir de la configuración inicial, se asumía que esas letras eran al azar. Mientras que un ataque en el propio cifrado era posible, en cada mensaje se usó un cifrado diferente, lo que hace que el análisis de frecuencia sea inútil en la práctica.

La Enigma fue muy segura. Tanto que los alemanes se confiaron mucho en ella. El tráfico cifrado con Enigma incluyó de todo, desde mensajes de alto nivel sobre las tácticas y planes, a trivialidades como informes del tiempo e incluso las felicitaciones de cumpleaños.

El secreto del cifrado de la maquina enigma se descubrió en 1929 cuando los polacos interceptaron una máquina Enigma enviada de Berlín a Varsovia que no estaba declarada como equipaje diplomático. No era una versión militar, pero proporcionó una pista de que los alemanes podrían estar utilizando una máquina de tipo Enigma. Los polacos intentaron "romper el sistema" buscando el cableado de los rotores usados en la versión del Ejército y encontrando una manera de recuperar las configuraciones usadas para cada mensaje en particular.

Un joven matemático polaco, Marian Rejewski, hizo uno de los mayores descubrimientos significativos en la historia del criptoanálisis usando técnicas fundamentales de matemáticas y estadística al encontrar una manera de combinarlas. Rejewski notó un patrón que probó ser vital; puesto que el código del mensaje se repitió dos veces al principio del mensaje, podría suponerse el cableado de un rotor no por las letras, sino por la manera que estas cambiaban.

Los polacos colegas de Rejewski, Jerzy Rozycki y Henryk Zygalski), desarrollaron un número de métodos de ayuda. Una técnica utilizaba unas tiras en blanco para cada rotor mostrando cuáles letras podrían encadenarse, bloqueando las letras que no podrían encadenarse. Los usuarios tomarían las tiras sobreponiéndolas, buscando las selecciones donde estaban completamente claras las tres letras. Los británicos también habían desarrollado tal técnica cuando tuvieron éxito en romper la Enigma comercial, aunque intentaron (y no lograron) romper las versiones militares del Enigma.

Por supuesto, unos cuantos miles de posibilidades eran aún muchas por probar. Para ayudar con esto, los polacos construyeron máquinas que consistían en "enigmas en paralelo" que llamaron bomba kryptologiczna (bomba criptológica). Es posible que el nombre fuera escogido de un tipo de un postre helado local, o del tictac que hacían las máquinas cuando generaban las combinaciones; los franceses cambiaron el nombre a bombe y los angloparlantes a bomb (nada apunta a algo explosivo). Entonces se cargarían juegos de discos posibles en la máquina y podría probarse un mensaje en las configuraciones, uno tras otro. Ahora las posibilidades eran sólo centenares. Esos centenares son un número razonable para atacar a mano.

Los polacos pudieron determinar el cableado de los rotores en uso por aquel entonces por el ejército alemán y, descifrando buena parte del tráfico del Ejército alemán en los años 1930 hasta el principio de la segunda guerra mundial. 

Sin embargo, en 1939 el ejército alemán aumentó la complejidad de sus equipos Enigma. Mientras que en el pasado utilizaban solamente tres rotores y los movían simplemente de ranura en ranura, ahora introdujeron dos rotores adicionales, usando así tres de cinco rotores a cualquier hora. Los operadores también dejaron de enviar dos veces las tres letras correspondientes a la configuración individual al principio de cada mensaje, lo que eliminó el método original de ataque.

Este gran desafío no puede ser resuelto por los británicos con los métodos actualmente existentes por varios motivos. Entre otros, la máquina Bombe diseñada para descifrar códigos de tres rotores, tardaría entre 50 y 100 veces más tiempo en descifrar cada mensaje, algo completamente inmanejable. Por lo tanto, la única solución es desarrollar una nueva Bombe de cuatro rotores y de alta velocidad.

Este es el funcionamiento de la maquina enigma y lo demas es historia; en el siguiente link encontraran un simulador de la maquina enigma para que puedan jugar con ella.

Simulador: http://enigmaco.de/enigma/enigma.swf

REFERENCIAS

http://es.wikipedia.org/wiki/Enigma_(m%C3%A1quina)

http://ww2diario.blogspot.mx/2012_02_01_archive.html

Factura Electrónica o Digital

Las personas físicas y morales que cuenten con un certificado de firma digital avanzada vigente y lleven su contabilidad en un sistema electrónico, podrán emitir comprobantes mediante documentos digitales. La factura digital cumple con los requisitos legales de las facturas tradicionales y es por tanto la versión digital de las tradicionales en papel y para que sea totalmente valida debe de contar con una firma digital que sustente legitimidad y validez legal.

Una de las principales razones por la que se esta migrando a facturas electrónicas es la seguridad, había la posibilidad de que las facturas físicas se pudieran manipular, extraviar,  emitir de forma extemporánea, o falsos. De estos motivos surgió una iniciativa de varios años atrás para cambiarse a facturas electrónicas, A partir del 1 de Enero del 2014 es obligatorio para todos los contribuyentes el uso de facturas electrónicas, con esto se ayuda a contribuir a la reducción de papel y a agilizar los proceso que antes por una u otra razón tardaban mucho tiempo.

En el sitio web del SAT se ofrecen servicios de validación de esas cadenas, el cual se llama validador de forma y sintaxis de comprobantes fiscales. En cualquier momento se puede hacer esta validación, dando así la seguridad tanto al que emite la factura como al que recibe que su operación es legítima y valida.

También existe el CBBI, que es el verificador de las facturas donde se pueden validar las facturas teniendo simples datos como son:

* El número consecutivo.

* El RFC del emisor.

* Tipo de comprobante fiscal.

* La serie.

* El número de comprobante

* El número de aprobación.

Ambos verificadores son de fácil uso, disponibles para cualquier usuario, gratuitos y seguros.

Firma Digital Avanzada.

¿Qué es?

Es un conjunto de datos que están asociados a un mensaje, que nos permiten asegurar la identidad del contribuyente y la integridad del mensaje, haciéndolo imposible su modificación posteriormente.

La firma digital es equiparable a la firma autógrafa, teniendo el mismo valor legal y produce los mismo efectos en cualquier documento.

La Firma Electrónica Avanzada (FEA) está basada plenamente en los conceptos y fundamentos de la infraestructura de llave pública, con la finalidad de que las comunicaciones en Internet sean seguras.

La llave publica o también conocida como clave publica es un método criptográfico que usa un par de llaves/claves para el envió de información a través de Internet, una de las llaves es publica mientras que la otra es privada. Su funcionamiento es de esta manera:

          1. David redacta un mensaje
          2. David firma digitalmente el mensaje con su clave privada
          3. David envía el mensaje firmado digitalmente a Ana a través de internet, ya sea por      correo electrónico, mensajería instantánea o cualquier otro medio

          4. Ana recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la      clave pública de David
          5. Ana ya puede leer el mensaje con total seguridad de que ha sido David el remitente

Un mensaje firmado con la clave privada del remitente puede ser verificado por cualquier persona que tenga acceso a la clave pública del remitente, lo que demuestra que el remitente tenía acceso a la clave privada y la parte del mensaje que no se ha manipulado.

Algunos algoritmos y tecnologías de clave asimétrica son:
* Diffie-Hellman
* RSA
* DSA

Algunos protocolos que usan los algoritmos antes citados son:
* DSS ("Digital Signature Standard") con el algoritmo DSA ("Digital Signature Algorithm")
* PGP
* GPG, una implementación de OpenPGP
* SSH
* SSL, ahora un estándar del IETF
* TLS

El certificado digital, es emitido por el SAT (Servicio de Administración Tributaria) o por un prestador de servicios de certificación autorizado.

REFERENCIAS

* http://www.sat.gob.mx/informacion_fiscal/factura_electronica/Paginas/default.aspx

* http://es.wikipedia.org/wiki/Factura_electr%C3%B3nica

* http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica


México, 26 de Febrero del 2014