Se encuentra en:
Cifrado
Área SEG_Cifrado
Subsistema Desarrollo
Una de las principales medidas para asegurar la integridad y la confidencialidad de la información que se transmite a través de la red es la encriptación o codificación de los mensajes, evitando que, aún interceptando nuestra comunicación, no sea posible su entendimiento. Para ello, se resumen diversas situaciones en las que se debe cifrar la información y los algoritmos a utilizar.
El cifrado de datos es el proceso por el que una información legible se transforma mediante un algoritmo (llamado cifra) en información ilegible, llamada criptograma o secreto.
Esta información ilegible se puede enviar a un destinatario con muchos menos riesgos de ser leída por terceras partes. El destinatario puede volver a hacer legible la información (descifrarla) introduciendo la clave del cifrado.
La seguridad de un buen sistema de cifrado depende enteramente de la clave, y no debe depender del algoritmo de cifrado usado. Es decir, el algoritmo de cifrado a menudo es público, y es conocido por los posibles atacantes, pero si el algoritmo es bueno, esto no debe bastarles para descifrar el mensaje.
Los algoritmos usados en las comunicaciones seguras de Internet son públicos prácticamente siempre, por lo que es necesario centrarse en crear claves suficientemente seguras.
Además, la capacidad computacional de los ordenadores crece constantemente y cada vez son capaces de probar más y más claves por segundo de forma que puedan encontrar la clave simplemente probando una y otra vez.
No debe confundirse la clave del cifrado con las palabras de paso usadas para acceder a algunas aplicaciones: por ejemplo, para acceder a un cliente de correo online es necesaria una contraseña, que es enviada desde la ventana del explorador al servidor para que procese la petición de login. En este caso, la fuerza bruta (probar sucesivamente todas las claves posibles), es inútil, ya que casi todas las aplicaciones tienen limitado el número de intentos. No obstante, esa contraseña que enviamos desde el navegador, se envía cifrada al servidor a través de Internet. Si alguien consiguiera captar la información en la que viaja la contraseña sí podría introducir ese texto cifrado en una aplicación de criptoanálisis e intentar descifrarla y después usarla.
Objetivos
- Asegurar la confidencialidad e integridad de la información
Contenido del área
Pautas
| Código | Título | Tipo | Carácter | |
|---|---|---|---|---|
| LIBP-0270 | Algoritmos de cifrado | Libro de pautas | Directriz | Obligatoria |
| LIBP-0256 | Almacenamiento de claves | Libro de pautas | Directriz | Obligatoria |
| LIBP-0274 | Encriptación de la información sensible | Libro de pautas | Directriz | Obligatoria |
| PAUT-0235 | Espacio de claves apropiado | Pauta | Consejo | |
| PAUT-0202 | Generación de tokens seguros | Pauta | Directriz | Obligatoria |
| PAUT-0200 | Transmisiones de datos | Pauta | Directriz | Obligatoria |
Recursos
| Código | Título | Tipo | Carácter |
|---|---|---|---|
| RECU-0581 | Almacenamiento de las contraseñas en PHP | Ejemplo | Obligatorio |
| RECU-0584 | Almacenar datos encriptados en una base de datos o un fichero en PHP | Ejemplo | Obligatorio |
| RECU-0574 | Código vulnerable con contraseña sin encriptar | Ejemplo | Recomendado |
| RECU-0570 | Conexión sin encriptación de la información | Ejemplo | Obligatorio |
| RECU-0596 | Criptología de empleo en el Esquema Nacional de Seguridad | Especificación | Recomendado |
| RECU-0593 | Encriptación de los identificadores de sesión en PHP | Ejemplo | Obligatorio |
| RECU-0583 | Encriptar y desencriptar datos en PHP | Ejemplo | Obligatorio |
| RECU-0607 | Generar números aleatorios fuertes en Java | Ejemplo | Recomendado |
| RECU-0571 | Guía de referencia sobre la arquitectura de criptografía en Java | Referencia | Recomendado |
| RECU-0554 | Introducción al cifrado | Referencia | Recomendado |
| RECU-0595 | Protección de los datos a direfentes niveles | Referencia | Recomendado |
| RECU-0669 | Uso de claves en el código fuente | Ejemplo | No recomendado |
