http://www.instisec.com/publico/articulos.asp?id=4 SEGURIDAD Grandes compañías y gobiernos en todo el mundo se empeñan en perseguir la seguridad a través de la oscuridad: consideran que ocultando los detalles de cómo funcionan sus algoritmos criptográficos conseguirán aumentar la seguridad global de sus sistemas. Sin embargo, para contar con mayores garantías de que un algoritmo o protocolo es seguro, no basta con que sea revisado por un equipo de seguridad a sueldo. Es imprescindible que se publique en revistas científicas, siendo accesible a todo aquel interesado en estudiar su robustez. Sólo así se puede reunir un equipo de investigación de cientos o miles de expertos que trabajarán durante meses o años en la búsqueda de fallos y vulnerabilidades. Ninguna gran empresa ni gobierno puede permitirse una fuerza humana de semejantes dimensiones. Lo que quiere decir que sólo los algoritmos de dominio público que superan durante años el análisis e indagación de profesionales de la criptografía se pueden considerar "seguros", suponiendo que no exista ningún medio de atacarlos (que no quiere decir que no lo haya, sino que actualmente no se conoce). * Método para tener seguridad: En los últimos años, el crecimiento acelerado de las redes de comunicaciones y el aumento de usuarios de estas, está conllevando nuevos problemas a los cuales no les sirven las soluciones obtenidas hasta el momento. Un ejemplo claro lo encontramos en la seguridad. Cuando las redes de comunicaciones informáticas eran privilegio de unos pocos, estos podían intercambiar información entre ellos de un modo seguro utilizando lo que hoy conocemos como sistemas de clave simétrica, es decir, haciendo uso de una clave secreta que solo ellos conocían. Este hecho no constituía ningún problema antaño pero si ahora, con la cantidad de usuarios que existen en las redes se convierte en impracticable e implica nuevas respuestas para el problema de la comunicación segura. Como solución a estos problemas nace lo que se conoce como criptografía de clave pública. La idea general es proveer a cada usuario de un solo par de claves (una pública y una privada) independientemente del número de usuarios con los que desee comunicarse. Estas claves tienen la asombrosa propiedad que cada una de ellas invierte la acción de la otra pero, y aquí está el punto más importante, a partir de una no se puede obtener la otra. De este modo se puede definir un método de cifrado que es el que se denomina cifrado de clave pública, que consiste en fijar una de las dos claves de cada usuario como pública y la otra como privada. La clave privada deberá ser custodiada por el usuario y es imprescindible que se mantenga en secreto. La clave pública, por el contrario, se publicará junto con la identidad del usuario. Así cuando se quiera enviar un mensaje seguro a un usuario se cogerá la clave pública de este y se utilizará para cifrar el mensaje que se quiera enviar. El resultado de esta operación será el texto cifrado que sólo el propietario de la clave privada correspondiente a esa clave pública podrá descifrar. Existen diferentes sistemas de clave pública pero el más extendido y el que se considera un estándar de facto es el RSA. Este criptosistema, fue creado en 1978 por Rivest Shamir y Adleman. La clave pública no ha resuelto del todo el problema de la seguridad, pero ha contribuido a reducir el número de claves necesarias para comunicarse con múltiples usuarios. * Problemas de las claves criptográficas: La incorporación de técnicas criptográficas a los sistemas de comunicación ha propiciado que la criptografía y sus métodos dejen de ser teorías oscuras, conocidas por unos pocos, para convertirse en elementos tecnológicos de dominio público. Sin embargo, dicha difusión ha provocado también que muchos de los términos relacionados con el tema sean malinterpretados y confundidos. La confusión suele venir propiciada, normalmente, por el conocimiento parcial de la compleja teoría que envuelve a la criptografía. En concreto, en un error cometido frecuentemente, y que es fuente de confusión para los principiantes de la criptografía, como es el tamaño y tipo de las claves, aplicado en este caso al protocolo SSL. SSL es un protocolo de comunicación que proporciona principalmente tres servicios básicos de seguridad: confidencialidad, autenticación e integridad. Con el fin de garantizar dichos servicios, SSL hace uso tanto de la criptografía asimétrica (basada en las claves pública y privada) como de la criptografía simétrica (basada en la utilización de una única clave secreta). SSL negocia en una primera fase utilizando criptografía asimétrica (p.e. RSA), y cifra posteriormente la comunicación utilizando criptografía simétrica (RC4, RC5, IDEA...). Pues bien, la confusión viene provocada por esta combinación de técnicas que utiliza distintos tipos de claves. Las claves empleadas en criptografía asimétrica tienen justificación matemática, mientras que las que se utilizan en criptografía simétrica suelen ser simples cadenas de bytes aleatorios.