Mildred martinez
Limitaciones de la criptografia:
El que un sistema tenga
seguridad incondicional no quiere decir que su seguridad sea inviolable. Veamos
dos consideraciones
§ 6 Los sistemas son incondicionalmente
seguros desde un punto de vista probabilístico: El oponente siempre tiene una
probabilidad mayor que cero de romper la seguridad. Sin embargo, esta
probabilidad puede ser muy muy pequeña. Esto es lo que sucede con los sistemas
incondicionalmente seguros.
7 En la mayoría de los estudios sobre
la seguridad de un sistema se hace la suposición de que los atacantes tienen
sólo un intento para atacar la seguridad del sistema. El éxito o el fracaso
están determinados por el éxito o fracaso de ese intento. Esta suposición es
válida, por ejemplo, en ciertos problemas de comunicación segura donde el
enemigo no tiene oportunidad de verificar si el mensaje estimado es correcto o
no. Sin embargo hay otros tipos de problemas donde esta suposición no tiene
sentido. Por ejemplo, en un sistema de autenticación con usuario y contraseña
para entrar en una cuenta restringida, el atacante puede realizar varios
intentos. Además, en algunos casos, los intentos fallidos anteriores dan
información para hacer una estimación mejor para los intentos siguientes.
§ 8 Cuando decimos que un sistema
criptográfico es incondicionalmente seguro, nos estamos refiriendo a nivel
teórico. Sin embargo cuando es implementado en la práctica puede no mantenerse
esa seguridad. Hay muchos tipos de ataques que sólo se aplican cuando los
sistemas están implementados en un sistema concreto. Ejemplos:
§ Explotación de canales
ocultos. Los canales ocultos son canales de comunicación no
intencionados y de difícil detección, que permiten la transferencia de
información de forma que viola la política de seguridad del sistema. En un
computador real los procesos al ejecutarse producen una serie de efectos y
fenómenos que pueden ser medidos y explotados para revelar información
relevante que puede ser utilizada para romper el sistema (Ej. pistas sobre la
clave). Este problema es inherente y no puede ser evitado mediante técnicas
criptográficas. Son ejemplos típicos de este tipo de canales los canales
ocultos generados por análisis de temporizaciones, por análisis de consumos de energía o por análisis de consumos de radiaciones electromagnéticas o
poranálisis de consumo de espacio de almacenamiento.
§ Malos diseños o
implementaciones del software o el hardware pueden hacer que la solución
práctica sea insegura. Ejemplos de ataques que se aprovechan de debilidades
producidas por un mal diseño o implementación: desbordamiento de
buffer, Inyección SQL, Cross Site Scripting,
ataques basados en deficiencias del hardware.
Trabajo en un sitio de PBX en la nube y me gusto bastante esta información
ResponderEliminar