Hablaremos de "Code search"
A diferencia del popular Google podemos utilizar Google code search, que tiene la diferencia de que puedes acceder directamene a las lineas de código publicas
Es comoda para aquellos que desean programar o dominar las estructuras webs
www.Google. com/codesearch
viernes, 4 de noviembre de 2011
lunes, 31 de enero de 2011
Firewall
1. UltraSurf ( Link )
UltraSurf es el producto de software insignia de UltraReach para Internet de lucha contra la censura. Permite a los usuarios dentro de los países con fuerte censura en Internet para visitar sitios web públicos en el mundo con seguridad y libertad. Permite a los usuarios ver cualquier página web libremente lo mismo que con el navegador habitual mientras busca automáticamente los servidores proxy de mayor velocidad en el fondo.
2. GPass ( Link )
Ocultar su dirección IP durante la navegación por Internet. Soporte de audio streaming o vídeo, correo electrónico, mensajería instantánea, gestores de descarga, etc Rotura por el bloqueo de Internet. Fácil de usar interfaz gráfica de usuario.
3. FreeGate ( Link )
FreeGate es un software de cliente de lucha contra la censura de Internet seguro y más rápido. Usuarios acceder a sitios web en el extranjero lo más rápido que sus seres locales. No requiere instalación o cambio en la configuración del sistema. FreeGate trabaja en conjunto con DynaWeb, un sistema de proxy de la red P2P-como.
4. Jardín GTunnel ( Link )
GTunnel es una aplicación para Windows que funciona como un local de un servidor HTTP o SOCKS. Después de configurar proxy para GTunnel en el navegador web u otras aplicaciones de Internet, el tráfico pasará a través de GTunnel y nuestra granja de servidores antes de que llegue a su destino original.
5. JAP ( Link )
JAP permite navegar por Internet de forma anónima y unobservably. En lugar de conectar directamente a un servidor web, los usuarios tomar un desvío, la conexión con el cifrado a través de varios intermediarios, mezcla llamada. JAP utiliza una secuencia predeterminada para las mezclas. Esta secuencia de vinculados mezcla se denomina cascada de mezcla. Los usuarios pueden elegir entre cascadas mezcla diferente.
6. La Libertad ( Link )
Sus servicios Libertad hace accesible lo que es inaccesible para usted, y que oculta su dirección de red desde los que no necesitan saber. Convierte tu propio PC en un proxy sin censura, la web un proxy anónimo y sin censura, CALCETINES anónimo que sus aplicaciones pueden utilizar, e incluso puede que puedas estar conectado a Internet como si estuviera usando un DSL o de cable sin restricciones.
7. Hopster ( Link )
Hopster es todo acceso a Internet sobre abierto, seguro y sin censura. En el hogar, escuelas, universidades y oficinas en todo el mundo, incluso en países donde la libertad de expresión es un desafío político. Ocultar su dirección IP real y protegerse de los curiosos y los aspirantes a los piratas informáticos.
8. Freenet ( Link )
Freenet es un software gratuito que te permite publicar y obtener información en Internet sin temor a la censura. Para lograr esta libertad, la red es totalmente descentralizada y los editores y consumidores de información son anónimos. Sin el anonimato no puede haber verdadera libertad de expresión, y sin la descentralización de la red será vulnerable a los ataques.
9. Tor ( Link )
Tor es un proyecto de software que le ayuda a defenderse contra el análisis de tráfico, una forma de vigilancia que amenaza la libertad personal y la privacidad, la confidencialidad en los negocios y relaciones, y la seguridad del Estado. Tor trabaja con muchas de sus aplicaciones existentes, incluyendo navegadores web, clientes de mensajería instantánea, acceso remoto, y otras aplicaciones basadas en el protocolo TCP.
10. Hotspot Shield ( Link )
HotSpot Shield crea una conexión segura de red privada virtual (VPN) a través de la conexión que le permite eludir cualquier proveedor de Internet y servidores de seguridad le permite visitar incluso los sitios web que están bloqueados por su proveedor de Internet. También se puede utilizar para visitar los sitios web que están específicamente destinados a los usuarios de EE.UU. por ejemplo, Pandora, Hulu, etc
Estas herramientas también pueden ser utilizados por estudiantes y trabajadores en sus escuelas / colegios y oficinas, respectivamente, para eludir los firewalls de red.
UltraSurf es el producto de software insignia de UltraReach para Internet de lucha contra la censura. Permite a los usuarios dentro de los países con fuerte censura en Internet para visitar sitios web públicos en el mundo con seguridad y libertad. Permite a los usuarios ver cualquier página web libremente lo mismo que con el navegador habitual mientras busca automáticamente los servidores proxy de mayor velocidad en el fondo.
2. GPass ( Link )
Ocultar su dirección IP durante la navegación por Internet. Soporte de audio streaming o vídeo, correo electrónico, mensajería instantánea, gestores de descarga, etc Rotura por el bloqueo de Internet. Fácil de usar interfaz gráfica de usuario.
3. FreeGate ( Link )
FreeGate es un software de cliente de lucha contra la censura de Internet seguro y más rápido. Usuarios acceder a sitios web en el extranjero lo más rápido que sus seres locales. No requiere instalación o cambio en la configuración del sistema. FreeGate trabaja en conjunto con DynaWeb, un sistema de proxy de la red P2P-como.
4. Jardín GTunnel ( Link )
GTunnel es una aplicación para Windows que funciona como un local de un servidor HTTP o SOCKS. Después de configurar proxy para GTunnel en el navegador web u otras aplicaciones de Internet, el tráfico pasará a través de GTunnel y nuestra granja de servidores antes de que llegue a su destino original.
5. JAP ( Link )
JAP permite navegar por Internet de forma anónima y unobservably. En lugar de conectar directamente a un servidor web, los usuarios tomar un desvío, la conexión con el cifrado a través de varios intermediarios, mezcla llamada. JAP utiliza una secuencia predeterminada para las mezclas. Esta secuencia de vinculados mezcla se denomina cascada de mezcla. Los usuarios pueden elegir entre cascadas mezcla diferente.
6. La Libertad ( Link )
Sus servicios Libertad hace accesible lo que es inaccesible para usted, y que oculta su dirección de red desde los que no necesitan saber. Convierte tu propio PC en un proxy sin censura, la web un proxy anónimo y sin censura, CALCETINES anónimo que sus aplicaciones pueden utilizar, e incluso puede que puedas estar conectado a Internet como si estuviera usando un DSL o de cable sin restricciones.
7. Hopster ( Link )
Hopster es todo acceso a Internet sobre abierto, seguro y sin censura. En el hogar, escuelas, universidades y oficinas en todo el mundo, incluso en países donde la libertad de expresión es un desafío político. Ocultar su dirección IP real y protegerse de los curiosos y los aspirantes a los piratas informáticos.
8. Freenet ( Link )
Freenet es un software gratuito que te permite publicar y obtener información en Internet sin temor a la censura. Para lograr esta libertad, la red es totalmente descentralizada y los editores y consumidores de información son anónimos. Sin el anonimato no puede haber verdadera libertad de expresión, y sin la descentralización de la red será vulnerable a los ataques.
9. Tor ( Link )
Tor es un proyecto de software que le ayuda a defenderse contra el análisis de tráfico, una forma de vigilancia que amenaza la libertad personal y la privacidad, la confidencialidad en los negocios y relaciones, y la seguridad del Estado. Tor trabaja con muchas de sus aplicaciones existentes, incluyendo navegadores web, clientes de mensajería instantánea, acceso remoto, y otras aplicaciones basadas en el protocolo TCP.
10. Hotspot Shield ( Link )
HotSpot Shield crea una conexión segura de red privada virtual (VPN) a través de la conexión que le permite eludir cualquier proveedor de Internet y servidores de seguridad le permite visitar incluso los sitios web que están bloqueados por su proveedor de Internet. También se puede utilizar para visitar los sitios web que están específicamente destinados a los usuarios de EE.UU. por ejemplo, Pandora, Hulu, etc
Estas herramientas también pueden ser utilizados por estudiantes y trabajadores en sus escuelas / colegios y oficinas, respectivamente, para eludir los firewalls de red.
lunes, 6 de diciembre de 2010
Vulneravilidad
"Errare humanum est" (" Errar es humano.")
Marcus Tullius Cicero, filósofo, estadista y escritor romano
"Errar es humano, pero hacer las cosas realmente mal, es necesario usar un ordenador"
Paul Ehrlich
El término ‘vulnerabilidad’ es se menciona a menudo en conexión con la seguridad de los ordenadores en muchos diferentes contextos.
En su sentido más amplio, el término ‘vulnerabilidad’ se refiere a la violación de una política de seguridad . Esto puede deberse a reglas de seguridad inadecuadas o a problemas dentro del mismo software. En teoría , todos los sistemas de ordenadores tienen vulnerabilidades, de cuya seriedad depende que sean o no usados para causar un daño al sistema.
Han habido muchos intentos de definir claramente el término ‘vulnerabilidad’ y separar los dos significados. MITRE, un grupo de investigación y desarrollo fundado en Estados Unidos, que se concentra en el análisis y la solución de situaciones críticas de seguridad. El grupo propone las siguientes definiciones:
Según la Terminología de MITRE's CVE :
[...] Una vulnerabilidad universal es un estado en un sistema de ordenadores o un grupo de sistemas que:
permite que un atacante ejecute órdenes como otro usuario
permite que un atacante tenga acceso a los datos de acceso restringido
permite que un atacante hacerse pasar por otra entidad
permite que un atacante conduzca un denegación de servicio.
MITRE cree que cuando un ataque se hace posible por una debilidad o una política de seguridad inapropiada, es mejor descrita como "exposición"
Una exposición es un estado en un sistema de ordenadores ( o grupo de sistemas) que no es una vulnerabilidad universal, pero:
permite que un atacante reúna información sobre las actividades del sistema
permite que un atacante disimule sus actividades
Incluye una función que se comporta como se espera, pero puede ser fácilmente puesta en peligro
Es un punto primario de entrada que un atacante puede intentar usar para obtener acceso al sistema o a los datos.
Es considerado un problema de acuerdo a alguna política de seguridad razonable.
Cuando se trata de obtener acceso no autorizado al sistema, un intruso usualmente primero realiza un escaneo de rutina (o investigación) del blanco, reúne cualquier dato ‘expuesto’ y luego explota las debilidades o vulnerabilidades de las políticas de seguridad.
Por esta razón, las vulnerabilidades y exposiciones son aspectos importantes que deben ser considerados cuando se asegura un sistema contra el acceso no autorizado.
Marcus Tullius Cicero, filósofo, estadista y escritor romano
"Errar es humano, pero hacer las cosas realmente mal, es necesario usar un ordenador"
Paul Ehrlich
El término ‘vulnerabilidad’ es se menciona a menudo en conexión con la seguridad de los ordenadores en muchos diferentes contextos.
En su sentido más amplio, el término ‘vulnerabilidad’ se refiere a la violación de una política de seguridad . Esto puede deberse a reglas de seguridad inadecuadas o a problemas dentro del mismo software. En teoría , todos los sistemas de ordenadores tienen vulnerabilidades, de cuya seriedad depende que sean o no usados para causar un daño al sistema.
Han habido muchos intentos de definir claramente el término ‘vulnerabilidad’ y separar los dos significados. MITRE, un grupo de investigación y desarrollo fundado en Estados Unidos, que se concentra en el análisis y la solución de situaciones críticas de seguridad. El grupo propone las siguientes definiciones:
Según la Terminología de MITRE's CVE :
[...] Una vulnerabilidad universal es un estado en un sistema de ordenadores o un grupo de sistemas que:
permite que un atacante ejecute órdenes como otro usuario
permite que un atacante tenga acceso a los datos de acceso restringido
permite que un atacante hacerse pasar por otra entidad
permite que un atacante conduzca un denegación de servicio.
MITRE cree que cuando un ataque se hace posible por una debilidad o una política de seguridad inapropiada, es mejor descrita como "exposición"
Una exposición es un estado en un sistema de ordenadores ( o grupo de sistemas) que no es una vulnerabilidad universal, pero:
permite que un atacante reúna información sobre las actividades del sistema
permite que un atacante disimule sus actividades
Incluye una función que se comporta como se espera, pero puede ser fácilmente puesta en peligro
Es un punto primario de entrada que un atacante puede intentar usar para obtener acceso al sistema o a los datos.
Es considerado un problema de acuerdo a alguna política de seguridad razonable.
Cuando se trata de obtener acceso no autorizado al sistema, un intruso usualmente primero realiza un escaneo de rutina (o investigación) del blanco, reúne cualquier dato ‘expuesto’ y luego explota las debilidades o vulnerabilidades de las políticas de seguridad.
Por esta razón, las vulnerabilidades y exposiciones son aspectos importantes que deben ser considerados cuando se asegura un sistema contra el acceso no autorizado.
miércoles, 10 de noviembre de 2010
Si estás borracho, no podrás escribir en las redes sociales
Un grupo de seguridad informática en Internet creó una nueva herramienta destinada a impedir a los adeptos de las redes sociales escribir, cuando estén ebrios, en sitios como Facebook, Myspace o Twitter, lo que podrían lamentar al día siguiente.
Partiendo del principio que "nada bueno ocurre después de la una de la madrugada", el programa de la empresa Webroot, con sede en el estado de Colorado (oeste de Estados Unidos) promete "poner fin a la pesadilla que sigue al envío de mensajes tardíos de los que uno se arrepiente".
La herramienta, llamada "Test de sobriedad para redes sociales" es gratuita para los usuarios del navegador Firefox. Requiere que los internautas se sometan a un examen de coordinación antes de acceder a sus sitios de socialización predilectos.
La prueba implica entre otros que la persona logre mantener el cursor del ratón en el centro de un círculo en constante movimiento o que identifique correctamente una serie de luces intermitentes. Si el usuario fracasa, no puede acceder a dichos sitios.
El gigante estadounidense en internet Google propone una herramienta similar a los usuarios de Gmail, "Mail Goggles", que los obliga a resolver cinco problemas matemáticos simples en menos de un minuto para poder enviar un correo.
FUENTE :http://www.laflecha.net/canales/blackhats/noticias/si-estas-borracho-no-podras-escribir-en-las-redes-sociales
Partiendo del principio que "nada bueno ocurre después de la una de la madrugada", el programa de la empresa Webroot, con sede en el estado de Colorado (oeste de Estados Unidos) promete "poner fin a la pesadilla que sigue al envío de mensajes tardíos de los que uno se arrepiente".
La herramienta, llamada "Test de sobriedad para redes sociales" es gratuita para los usuarios del navegador Firefox. Requiere que los internautas se sometan a un examen de coordinación antes de acceder a sus sitios de socialización predilectos.
La prueba implica entre otros que la persona logre mantener el cursor del ratón en el centro de un círculo en constante movimiento o que identifique correctamente una serie de luces intermitentes. Si el usuario fracasa, no puede acceder a dichos sitios.
El gigante estadounidense en internet Google propone una herramienta similar a los usuarios de Gmail, "Mail Goggles", que los obliga a resolver cinco problemas matemáticos simples en menos de un minuto para poder enviar un correo.
FUENTE :http://www.laflecha.net/canales/blackhats/noticias/si-estas-borracho-no-podras-escribir-en-las-redes-sociales
domingo, 26 de septiembre de 2010
Alerta mundial posible activacion del peligroso virus informatico
Según IBM Internet Security Systems, un 45% de los PCs ya está infectado en Asia, un 31 en Europa, un 14 en Latinoamérica y un 6 en Norteamérica.
SAN FRANCISCO.- La última versión de Conficker, el virus informático que trae de cabeza a los expertos en seguridad en Internet, podría activarse hoy, lo que ha puesto en alerta a empresas, gobiernos y usuarios de todo el mundo.
Los expertos del sector han advertido que esta nueva y dañina versión de Conficker, también conocida como “Conficker.C”, "Downadup” o “Kido”, ya ha infectado a millones de computadores y empezará a recibir nuevas órdenes mañana.
El propio FBI ha emitido una alerta en la que pide a los internautas que extremen la vigilancia y, sobre todo, no abran emails sospechosos o procedentes de fuentes desconocidas.
Según la firma de seguridad IBM Internet Security Systems, un 45 por ciento de los PCs ya infectados está en Asia, un 31 por ciento en Europa, un 14 por ciento en Latinoamérica y sólo un 6 por ciento en Norteamérica.
La nueva modalidad del virus, consideran los analistas, provocará que las computadoras infectadas se conecten con los servidores de los hackers, pero no está muy claro cuáles serán las consecuencias.
El gusano tiene la capacidad de crear lo que se conoce como red de “zombies”, computadoras conectadas a servidores remotos sin el conocimiento de sus dueños y en las que los hacker pueden operar a su antojo.
La llegada de la última generación de Conficker coincidirá en los países anglosajones con el Día de los Inocentes, lo que posiblemente añadirá algo de confusión para muchos usuarios.
En sus anteriores versiones, el virus ha afectado a unos 15 millones de ordenadores de todo el mundo sin que las autoridades hayan logrado dar con los responsables, a pesar de la recompensa de 250 mil dólares ofrecida por Microsoft.
El gigante del software lanzó el pasado octubre el parche MS08-067 que repara la vulnerabilidad de Windows.
De cara a la jornada de hoy, los expertos recomiendan tener instalado este parche, contar con antivirus y Windows actualizado, instalar cortafuegos, reforzar las contraseñas y desactivar la reproducción automática de los dispositivos extraíbles (USB, discos duros o MP3).
sábado, 18 de septiembre de 2010
Bases de datos
Bueno gente el concepto es mas fácil de lo que parece, antes que nada tenemos que tener un concepto medio medio-alto de sql y programación en general si no bueno espero que consigan algún manual y después se fijen en este post.
1) Buscando objetivos: La joda es la siguiente, todo programa al conectarse a una base de datos sql o access lo hace mediante lo que se denomina STRING DE CONEXIÓN, esto es básicamente una cadena de caracteres en la cual aparecen con detalle el usuario , contraseña y host de la base de datos. Tenemos que buscar estos objetivos utilizando los métodos conocidos.
2) Leyendo el código: Cuando nos encontremos con el fuente del programa tendremos que buscar la siguiente declaración (por ejemplo en un VB6.0)
Set mdb = New ADODB.Connection
mdb.Open "DRIVER={PostgreSQL+};SERVER=XXX;port=XXX;DATABASE=XXX;UID=postgres;PWD=postgres;", "postgres", "postgres"
3) Si hemos encontrado ese código bueno significa que vamos bien, lo siguiente es entender que tipo de host tiene esta base por ejemplo localhost es solo para conexiones desde el host tmb para ip del estilo 192.XXX.XXX.XXX , lo que nos interesa es el bug siguiente una ip del estilo 200.XXX.XXX.XXX o algun texto indicativo de que se puede conectar desde cualquier pc a esta base de datos mediante esa contraseña y nombre de usuario.
4) Por ultimo nos bajamos cualquier programita para conectarnos a una base de datos y listo a disfrutar
1) Buscando objetivos: La joda es la siguiente, todo programa al conectarse a una base de datos sql o access lo hace mediante lo que se denomina STRING DE CONEXIÓN, esto es básicamente una cadena de caracteres en la cual aparecen con detalle el usuario , contraseña y host de la base de datos. Tenemos que buscar estos objetivos utilizando los métodos conocidos.
2) Leyendo el código: Cuando nos encontremos con el fuente del programa tendremos que buscar la siguiente declaración (por ejemplo en un VB6.0)
Set mdb = New ADODB.Connection
mdb.Open "DRIVER={PostgreSQL+};SERVER=XXX;port=XXX;DATABASE=XXX;UID=postgres;PWD=postgres;", "postgres", "postgres"
3) Si hemos encontrado ese código bueno significa que vamos bien, lo siguiente es entender que tipo de host tiene esta base por ejemplo localhost es solo para conexiones desde el host tmb para ip del estilo 192.XXX.XXX.XXX , lo que nos interesa es el bug siguiente una ip del estilo 200.XXX.XXX.XXX o algun texto indicativo de que se puede conectar desde cualquier pc a esta base de datos mediante esa contraseña y nombre de usuario.
4) Por ultimo nos bajamos cualquier programita para conectarnos a una base de datos y listo a disfrutar
sábado, 21 de agosto de 2010
Algoritmos
Hoy os hablare de uno de los algoritmos que comprenden internet
Advanced Encryption Standard (AES), también conocido como Rijndael (pronunciado "Rain Doll" en inglés), es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos. El AES fue anunciado por el Instituto Nacional de Estándares y Tecnología (NIST) como FIPS PUB 197 de los Estados Unidos (FIPS 197) el 26 de noviembre de 2001 después de un proceso de estandarización que duró 5 años (véase proceso de Advanced Encryption Standard para más detalles). Se transformó en un estándar efectivo el 26 de mayo de 2002. Desde 2006, el AES es uno de los algoritmos más populares usados en criptografía simétrica.
El cifrador fue desarrollado por dos criptólogos belgas, Joan Daemen y Vincent Rijmen, ambos estudiantes de la Katholieke Universiteit Leuven, y enviado al proceso de selección AES bajo el nombre "Rijndael".
Historia
En 1997, el Instituto Nacional de Normas y Tecnología (NIST) decidió realizar un concurso para escoger un nuevo algoritmo de cifrado capaz de proteger información sensible durante siglo XXI. Este algoritmo se denominó Advanced Encryption Standard (AES).
El 2 de enero de 1997 el NIST anunció su intención de desarrollar AES, con la ayuda de la industria y de la comunidad criptográfica. El 12 de septiembre de ese año se hizo la convocatoria formal. En esta convocatoria se indicaban varias condiciones para los algoritmos que se presentaran:
Ser de dominio público, disponible para todo el mundo.
Ser un algoritmo de cifrado simétrico y soportar bloques de, como mínimo, 128 bits.
Las claves de cifrado podrían ser de 128, 192 y 256 bits.
Ser implementable tanto en hardware como en software.
El 20 de agosto de 1998 el NIST anunció los 15 algoritmos admitidos en la primera conferencia AES:
CAST-256 (Entrust Technologies, Inc.)
CRYPTON (Future Systems, Inc.)
DEAL (Richard Outerbridge, Lars Knudsen)
DFC (CNRS – Centre National pour la Recherche Scientifique – Ecole Normale Superieure)
E2 (NTT – Nippon Telegraph and Telephone Corporation)
FROG (TecApro International, S.A.)
HPC (Rich Schroeppel)
LOKI97 (Lawrie Brown, Josef Pieprzyk, Jennifer Seberry)
MAGENTA (Deutsche Telekom AG)
MARS (IBM)
RC6 (RSA Laboratories)
RIJNDAEL (John Daemen, Vincent Rijmen)
SAFER+ (Cylink Corporation)
SERPENT (Ross Anderson, Eli Biham, Lars Knudsen)
TWOFISH (Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall, Niels Ferguson)
La segunda conferencia AES tuvo lugar en marzo de 1999 donde se discutieron los análisis a los que fueron sometidos los candidatos por la comunidad criptográfica internacional. Se admitieron comentarios hasta el 15 de abril. El NIST decidió en agosto de 1999 cuales serían los 5 finalistas:
MARS
RC6
RIJNDAEL
SERPENT
TWOFISH
Estos algoritmos fueron sometidos a una segunda revisión, más exhaustiva, que duró hasta el 15 de mayo de 2000. Durante este periodo el NIST admitió análisis de los algoritmos finalistas.
Durante los días 13 y 14 de abril de 2000 tuvo lugar la tercera conferencia AES donde se discutieron los últimos análisis de los algoritmos finalistas. En ella estuvieron presentes los desarrolladores de los algoritmos finalistas.
El 15 de mayo de 2000 finalizó el periodo público de análisis. El NIST estudió toda la información disponible para decidir cual sería el algoritmo ganador. El 2 de octubre de 2000 se votó cual sería el algoritmo que finalmente ganaría el concurso. El resultado fue el siguiente:
MARS: 13 votos
RC6: 23 votos
RIJNDAEL: 86 votos
SERPENT: 59 votos
TWOFISH: 31 votos
El algoritmo Rijndael ganó el concurso y en noviembre de 2001 se publicó FIPS 197 donde se asumía oficialmente.
[editar]Desarrollo
Rijndael fue un refinamiento de un diseño anterior de Daemen y Rijmen, Square; Square fue a su vez un desarrollo de Shark.
Al contrario que su predecesor DES, Rijndael es una red de sustitución-permutación, no una red de Feistel. AES es rápido tanto en software como en hardware, es relativamente fácil de implementar, y requiere poca memoria. Como nuevo estándar de cifrado, se está utilizando actualmente a gran escala.
Descripción del cifrado
En la fase de SubBytes, cada byte en el state es reemplazado con su entrada en una tabla de búsqueda fija de 8 bits, S; bij = S(aij).
En el paso ShiftRows, los bytes en cada fila del state son rotados de manera cíclica hacia la izquierda. El número de lugares que cada byte es rotado difiere para cada fila.
En el paso MixColumns, cada columna del state es multiplicada por un polinomio constante c(x).
En el paso AddRoundKey, cada byte del state se combina con un byte de la subclave usando la operación XOR (⊕).
Estrictamente hablando, AES no es precisamente Rijndael (aunque en la práctica se los llama de manera indistinta) ya que Rijndael permite un mayor rango de tamaño de bloques y longitud de claves; AES tiene un tamaño de bloque fijo de 128 bits y tamaños de llave de 128, 192 ó 256 bits, mientras que Rijndael puede ser especificado por una clave que sea múltiplo de 32 bits, con un mínimo de 128 bits y un máximo de 256 bits.
La mayoría de los cálculos del algoritmo AES se hacen en un campo finito determinado.
AES opera en una matriz de 4×4 bytes, llamada state (algunas versiones de Rijndael con un tamaño de bloque mayor tienen columnas adicionales en el state).
Pseudo-código
Expansión de la clave usando el esquema de claves de Rijndael.
Etapa inicial:
AddRoundKey
Rondas:
SubBytes — en este paso se realiza una sustitución no lineal donde cada byte es reemplazado con otro de acuerdo a una tabla de búsqueda.
ShiftRows — en este paso se realiza una transposición donde cada fila del «state» es rotada de manera cíclica un número determinado de veces.
MixColumns — operación de mezclado que opera en las columnas del «state», combinando los cuatro bytes en cada columna usando una transformación lineal.
AddRoundKey — cada byte del «state» es combinado con la clave «round»; cada clave «round» se deriva de la clave de cifrado usando una iteración de la clave.
Etapa final:
SubBytes
ShiftRows
AddRoundKey
En el paso ShiftRows, los bytes en cada fila del state son rotados de manera cíclica hacia la izquierda. El número de lugares que cada byte es rotado difiere para cada fila.
En el paso MixColumns, cada columna del state es multiplicada por un polinomio constante c(x).
Etapa SubBytes- Substitución de bits
En la etapa SubBytes, cada byte en la matriz es actualizado usando la caja-S de Rijndael de 8 bits. Esta operación provee la no linealidad en el cifrado. La caja-S utilizada proviene de la función inversa alrededor del GF(28), conocido por tener grandes propiedades de no linealidad. Para evitar ataques basados en simples propiedades algebraicas, la caja-S se construye por la combinación de la función inversa con una transformación afín inversible. La caja-S también se elige para evitar puntos estables (y es por lo tanto un derangement), y también cualesquiera puntos estables opuestos.
La caja-S es descrita en mayor profundidad en el artículo caja-S de Rijndael.
[editar]Etapa ShiftRows-Desplazar filas
El paso ShiftRows opera en las filas del state; rota de manera cíclica los bytes en cada fila por un determinado offset. En AES, la primera fila queda en la misma posición. Cada byte de la segunda fila es rotado una posición a la izquierda. De manera similar, la tercera y cuarta filas son rotadas por los offsets de dos y tres respectivamente. De esta manera, cada columna del state resultante del paso ShiftRows está compuesta por bytes de cada columna del state inicial. (variantes de Rijndael con mayor tamaño de bloque tienen offsets distintos)
En el paso AddRoundKey, cada byte del state se combina con un byte de la subclave usando la operación XOR (⊕).
Etapa MixColumns- Mezclar columnas
En el paso MixColumns, los cuatro bytes de cada columna del state se combinan usando una transformación lineal inversible. La función MixColumns toma cuatro bytes como entrada y devuelve cuatro bytes, donde cada byte de entrada influye todas las salidas de cuatro bytes. Junto con ShiftRows, MixColumns implica difusión en el cifrado. Cada columna se trata como un polinomio GF(28) y luego se multiplica el módulo x4 + 1 con un polinomio fijo c(x). El paso MixColumns puede verse como una multiplicación matricial en el campo finito de Rijndael.
[editar]Etapa AddRoundKey- Cálculo de las subclaves
En el paso AddRoundKey, la subclave se combina con el state. En cada ronda se obtiene una subclave de la clave principal, usando la iteración de la clave; cada subclave es del mismo tamaño del state. La subclave se agrega combinando cada byte del state con el correspondiente byte de la subclave usando XOR.
[editar]Optimización del cifrado
En sistemas de 32 bits o de mayor tamaño de palabra, es posible acelerar la ejecución de este algoritmo mediante la conversión de las transformaciones SubBytes, ShiftRows y MixColumn en tablas. Se tienen cuatro tablas de 256 entradas de 32 bits que utilizan un total de 4 kilobytes (4096 bytes) de memoria, un Kb cada tabla. De esta manera, una ronda del algoritmo consiste en 16 búsquedas en una tabla seguida de 16 operaciones XOR de 32 bits en el paso AddRoundKey. Si el tamaño de 4 kilobytes de la tabla es demasiado grande para una plataforma determinada, la operación de búsqueda en la tabla se puede realizar mediante una sola tabla de 256 entradas de 32 bits mediante el uso de rotaciones circulares.
[editar]Seguridad
Hasta 2005, no se ha encontrado ningún ataque exitoso contra el AES. La Agencia de Seguridad Nacional de los Estados Unidos (NSA) revisó todos los finalistas candidatos al AES, incluyendo el Rijndael, y declaró que todos ellos eran suficientemente seguros para su empleo en información no clasificada del gobierno de los Estados Unidos. En junio de 2003, el gobierno de los Estados Unidos anunció que el AES podía ser usado para información clasificada:
"The design and strength of all key lengths of the AES algorithm (i.e., 128, 192 and 256) are sufficient to protect classified information up to the SECRET level. TOP SECRET information will require use of either the 192 or 256 key lengths. The implementation of AES in products intended to protect national security systems and/or information must be reviewed and certified by NSA prior to their acquisition and use.1 "
Este hecho marca la primera vez que el público ha tenido acceso a un cifrador aprobado por la NSA para información super secreta (TOP SECRET). Es interesante notar que muchos productos públicos usan llaves de 128 bits por defecto; es posible que la NSA sospeche de una debilidad fundamental en llaves de este tamaño, [cita requerida] o simplemente prefieren tener un margen de seguridad para documentos super secretos (que deberían conservar la seguridad durante décadas en el futuro).
El método más común de ataque hacia un cifrador por bloques consiste en intentar varios ataques sobre versiones del cifrador con un número menor de rondas. El AES tiene 10 rondas para llaves de 128 bits, 12 rondas para llaves de 192 bits, y 14 rondas para llaves de 256 bits. Hasta 2005, los mejores ataques conocidos son sobre versiones reducidas a 7 rondas para llaves de 128 bits, 8 rondas para llaves de 192 bits, y 9 rondas para llaves de 256 bits (Ferguson et al, 2000).
Algunos criptógrafos muestran preocupación sobre la seguridad del AES. Ellos sienten que el margen entre el número de rondas especificado en el cifrador y los mejores ataques conocidos es muy pequeño. El riesgo es que se puede encontrar alguna manera de mejorar los ataques y de ser así, el cifrado podría ser roto. En el contexto criptográfico se considera "roto" un algoritmo si existe algún ataque más rápido que una búsqueda exhaustiva (ataque por fuerza bruta). De modo que un ataque contra el AES de llave de 128 bits que requiera 'sólo' 2120 operaciones sería considerado como un ataque que "rompe" el AES aun tomando en cuenta que por ahora sería un ataque irrealizable. Hasta el momento, tales preocupaciones pueden ser ignoradas. El ataque de fuerza bruta más largamente publicitado y conocido ha sido contra una clave de 64 bits RC5 por distributed.net.
Otra preocupación es la estructura matemática de AES. A diferencia de la mayoría de cifradores de bloques, AES tiene una descripción matemática muy ordenada.2 3 Esto no ha llevado todavía a ningún ataque, pero algunos investigadores están preocupados que futuros ataques quizá encuentren una manera de explotar esta estructura.
En 2002, un ataque teórico, denominado "ataque XSL", fue anunciado por Nicolas Courtois y Josef Pieprzyk, mostrando una potencial debilidad en el algoritmo AES. Varios expertos criptográficos han encontrado problemas en las matemáticas que hay por debajo del ataque propuesto, sugiriendo que los autores quizá hayan cometido un error en sus estimaciones. Si esta línea de ataque puede ser tomada contra AES, es una cuestión todavía abierta. Hasta el momento, el ataque XSL contra AES parece especulativo; es improbable que nadie pudiera llevar a cabo en la práctica este ataque.
[editar]Ataques de canal auxiliar
Los ataques de canal auxiliar no atacan al cifrador en sí, sino a las implementaciones del cifrador en sistemas que revelan datos inadvertidamente.
En abril de 2005, Daniel J. Bernstein anunció un ataque temporizado de cache4 que solía romper un servidor a medida que usaba el cifrado AES para OpenSSL. Este servidor fue diseñado para dar la mayor cantidad de información acerca de los tiempos de ejecución como fuera posible, y el ataque requería cerca de 200 millones de ficheros de texto en claro. Se dice que el ataque no es práctico en implementaciones del mundo real;5 Bruce Schneier llamó a esta investigación un "bonito ataque de tiempos".6
En octubre de 2005, Adi Shamir y otros dos investigadores presentaron un artículo demostrando varios ataques de tiempos de cache7 contra AES. Uno de los ataques obtuvo una clave de AES entera después de tan sólo 800 escrituras, en 65 milisegundos. Este ataque requiere que el atacante pueda ejecutar programas en el mismo sistema que realiza el cifrado de AES.
Y esto seria todo espero que os guste
Y si es posible dadme temas para publicar en mi blog
Advanced Encryption Standard (AES), también conocido como Rijndael (pronunciado "Rain Doll" en inglés), es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos. El AES fue anunciado por el Instituto Nacional de Estándares y Tecnología (NIST) como FIPS PUB 197 de los Estados Unidos (FIPS 197) el 26 de noviembre de 2001 después de un proceso de estandarización que duró 5 años (véase proceso de Advanced Encryption Standard para más detalles). Se transformó en un estándar efectivo el 26 de mayo de 2002. Desde 2006, el AES es uno de los algoritmos más populares usados en criptografía simétrica.
El cifrador fue desarrollado por dos criptólogos belgas, Joan Daemen y Vincent Rijmen, ambos estudiantes de la Katholieke Universiteit Leuven, y enviado al proceso de selección AES bajo el nombre "Rijndael".
Historia
En 1997, el Instituto Nacional de Normas y Tecnología (NIST) decidió realizar un concurso para escoger un nuevo algoritmo de cifrado capaz de proteger información sensible durante siglo XXI. Este algoritmo se denominó Advanced Encryption Standard (AES).
El 2 de enero de 1997 el NIST anunció su intención de desarrollar AES, con la ayuda de la industria y de la comunidad criptográfica. El 12 de septiembre de ese año se hizo la convocatoria formal. En esta convocatoria se indicaban varias condiciones para los algoritmos que se presentaran:
Ser de dominio público, disponible para todo el mundo.
Ser un algoritmo de cifrado simétrico y soportar bloques de, como mínimo, 128 bits.
Las claves de cifrado podrían ser de 128, 192 y 256 bits.
Ser implementable tanto en hardware como en software.
El 20 de agosto de 1998 el NIST anunció los 15 algoritmos admitidos en la primera conferencia AES:
CAST-256 (Entrust Technologies, Inc.)
CRYPTON (Future Systems, Inc.)
DEAL (Richard Outerbridge, Lars Knudsen)
DFC (CNRS – Centre National pour la Recherche Scientifique – Ecole Normale Superieure)
E2 (NTT – Nippon Telegraph and Telephone Corporation)
FROG (TecApro International, S.A.)
HPC (Rich Schroeppel)
LOKI97 (Lawrie Brown, Josef Pieprzyk, Jennifer Seberry)
MAGENTA (Deutsche Telekom AG)
MARS (IBM)
RC6 (RSA Laboratories)
RIJNDAEL (John Daemen, Vincent Rijmen)
SAFER+ (Cylink Corporation)
SERPENT (Ross Anderson, Eli Biham, Lars Knudsen)
TWOFISH (Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall, Niels Ferguson)
La segunda conferencia AES tuvo lugar en marzo de 1999 donde se discutieron los análisis a los que fueron sometidos los candidatos por la comunidad criptográfica internacional. Se admitieron comentarios hasta el 15 de abril. El NIST decidió en agosto de 1999 cuales serían los 5 finalistas:
MARS
RC6
RIJNDAEL
SERPENT
TWOFISH
Estos algoritmos fueron sometidos a una segunda revisión, más exhaustiva, que duró hasta el 15 de mayo de 2000. Durante este periodo el NIST admitió análisis de los algoritmos finalistas.
Durante los días 13 y 14 de abril de 2000 tuvo lugar la tercera conferencia AES donde se discutieron los últimos análisis de los algoritmos finalistas. En ella estuvieron presentes los desarrolladores de los algoritmos finalistas.
El 15 de mayo de 2000 finalizó el periodo público de análisis. El NIST estudió toda la información disponible para decidir cual sería el algoritmo ganador. El 2 de octubre de 2000 se votó cual sería el algoritmo que finalmente ganaría el concurso. El resultado fue el siguiente:
MARS: 13 votos
RC6: 23 votos
RIJNDAEL: 86 votos
SERPENT: 59 votos
TWOFISH: 31 votos
El algoritmo Rijndael ganó el concurso y en noviembre de 2001 se publicó FIPS 197 donde se asumía oficialmente.
[editar]Desarrollo
Rijndael fue un refinamiento de un diseño anterior de Daemen y Rijmen, Square; Square fue a su vez un desarrollo de Shark.
Al contrario que su predecesor DES, Rijndael es una red de sustitución-permutación, no una red de Feistel. AES es rápido tanto en software como en hardware, es relativamente fácil de implementar, y requiere poca memoria. Como nuevo estándar de cifrado, se está utilizando actualmente a gran escala.
Descripción del cifrado
En la fase de SubBytes, cada byte en el state es reemplazado con su entrada en una tabla de búsqueda fija de 8 bits, S; bij = S(aij).
En el paso ShiftRows, los bytes en cada fila del state son rotados de manera cíclica hacia la izquierda. El número de lugares que cada byte es rotado difiere para cada fila.
En el paso MixColumns, cada columna del state es multiplicada por un polinomio constante c(x).
En el paso AddRoundKey, cada byte del state se combina con un byte de la subclave usando la operación XOR (⊕).
Estrictamente hablando, AES no es precisamente Rijndael (aunque en la práctica se los llama de manera indistinta) ya que Rijndael permite un mayor rango de tamaño de bloques y longitud de claves; AES tiene un tamaño de bloque fijo de 128 bits y tamaños de llave de 128, 192 ó 256 bits, mientras que Rijndael puede ser especificado por una clave que sea múltiplo de 32 bits, con un mínimo de 128 bits y un máximo de 256 bits.
La mayoría de los cálculos del algoritmo AES se hacen en un campo finito determinado.
AES opera en una matriz de 4×4 bytes, llamada state (algunas versiones de Rijndael con un tamaño de bloque mayor tienen columnas adicionales en el state).
Pseudo-código
Expansión de la clave usando el esquema de claves de Rijndael.
Etapa inicial:
AddRoundKey
Rondas:
SubBytes — en este paso se realiza una sustitución no lineal donde cada byte es reemplazado con otro de acuerdo a una tabla de búsqueda.
ShiftRows — en este paso se realiza una transposición donde cada fila del «state» es rotada de manera cíclica un número determinado de veces.
MixColumns — operación de mezclado que opera en las columnas del «state», combinando los cuatro bytes en cada columna usando una transformación lineal.
AddRoundKey — cada byte del «state» es combinado con la clave «round»; cada clave «round» se deriva de la clave de cifrado usando una iteración de la clave.
Etapa final:
SubBytes
ShiftRows
AddRoundKey
En el paso ShiftRows, los bytes en cada fila del state son rotados de manera cíclica hacia la izquierda. El número de lugares que cada byte es rotado difiere para cada fila.
En el paso MixColumns, cada columna del state es multiplicada por un polinomio constante c(x).
Etapa SubBytes- Substitución de bits
En la etapa SubBytes, cada byte en la matriz es actualizado usando la caja-S de Rijndael de 8 bits. Esta operación provee la no linealidad en el cifrado. La caja-S utilizada proviene de la función inversa alrededor del GF(28), conocido por tener grandes propiedades de no linealidad. Para evitar ataques basados en simples propiedades algebraicas, la caja-S se construye por la combinación de la función inversa con una transformación afín inversible. La caja-S también se elige para evitar puntos estables (y es por lo tanto un derangement), y también cualesquiera puntos estables opuestos.
La caja-S es descrita en mayor profundidad en el artículo caja-S de Rijndael.
[editar]Etapa ShiftRows-Desplazar filas
El paso ShiftRows opera en las filas del state; rota de manera cíclica los bytes en cada fila por un determinado offset. En AES, la primera fila queda en la misma posición. Cada byte de la segunda fila es rotado una posición a la izquierda. De manera similar, la tercera y cuarta filas son rotadas por los offsets de dos y tres respectivamente. De esta manera, cada columna del state resultante del paso ShiftRows está compuesta por bytes de cada columna del state inicial. (variantes de Rijndael con mayor tamaño de bloque tienen offsets distintos)
En el paso AddRoundKey, cada byte del state se combina con un byte de la subclave usando la operación XOR (⊕).
Etapa MixColumns- Mezclar columnas
En el paso MixColumns, los cuatro bytes de cada columna del state se combinan usando una transformación lineal inversible. La función MixColumns toma cuatro bytes como entrada y devuelve cuatro bytes, donde cada byte de entrada influye todas las salidas de cuatro bytes. Junto con ShiftRows, MixColumns implica difusión en el cifrado. Cada columna se trata como un polinomio GF(28) y luego se multiplica el módulo x4 + 1 con un polinomio fijo c(x). El paso MixColumns puede verse como una multiplicación matricial en el campo finito de Rijndael.
[editar]Etapa AddRoundKey- Cálculo de las subclaves
En el paso AddRoundKey, la subclave se combina con el state. En cada ronda se obtiene una subclave de la clave principal, usando la iteración de la clave; cada subclave es del mismo tamaño del state. La subclave se agrega combinando cada byte del state con el correspondiente byte de la subclave usando XOR.
[editar]Optimización del cifrado
En sistemas de 32 bits o de mayor tamaño de palabra, es posible acelerar la ejecución de este algoritmo mediante la conversión de las transformaciones SubBytes, ShiftRows y MixColumn en tablas. Se tienen cuatro tablas de 256 entradas de 32 bits que utilizan un total de 4 kilobytes (4096 bytes) de memoria, un Kb cada tabla. De esta manera, una ronda del algoritmo consiste en 16 búsquedas en una tabla seguida de 16 operaciones XOR de 32 bits en el paso AddRoundKey. Si el tamaño de 4 kilobytes de la tabla es demasiado grande para una plataforma determinada, la operación de búsqueda en la tabla se puede realizar mediante una sola tabla de 256 entradas de 32 bits mediante el uso de rotaciones circulares.
[editar]Seguridad
Hasta 2005, no se ha encontrado ningún ataque exitoso contra el AES. La Agencia de Seguridad Nacional de los Estados Unidos (NSA) revisó todos los finalistas candidatos al AES, incluyendo el Rijndael, y declaró que todos ellos eran suficientemente seguros para su empleo en información no clasificada del gobierno de los Estados Unidos. En junio de 2003, el gobierno de los Estados Unidos anunció que el AES podía ser usado para información clasificada:
"The design and strength of all key lengths of the AES algorithm (i.e., 128, 192 and 256) are sufficient to protect classified information up to the SECRET level. TOP SECRET information will require use of either the 192 or 256 key lengths. The implementation of AES in products intended to protect national security systems and/or information must be reviewed and certified by NSA prior to their acquisition and use.1 "
Este hecho marca la primera vez que el público ha tenido acceso a un cifrador aprobado por la NSA para información super secreta (TOP SECRET). Es interesante notar que muchos productos públicos usan llaves de 128 bits por defecto; es posible que la NSA sospeche de una debilidad fundamental en llaves de este tamaño, [cita requerida] o simplemente prefieren tener un margen de seguridad para documentos super secretos (que deberían conservar la seguridad durante décadas en el futuro).
El método más común de ataque hacia un cifrador por bloques consiste en intentar varios ataques sobre versiones del cifrador con un número menor de rondas. El AES tiene 10 rondas para llaves de 128 bits, 12 rondas para llaves de 192 bits, y 14 rondas para llaves de 256 bits. Hasta 2005, los mejores ataques conocidos son sobre versiones reducidas a 7 rondas para llaves de 128 bits, 8 rondas para llaves de 192 bits, y 9 rondas para llaves de 256 bits (Ferguson et al, 2000).
Algunos criptógrafos muestran preocupación sobre la seguridad del AES. Ellos sienten que el margen entre el número de rondas especificado en el cifrador y los mejores ataques conocidos es muy pequeño. El riesgo es que se puede encontrar alguna manera de mejorar los ataques y de ser así, el cifrado podría ser roto. En el contexto criptográfico se considera "roto" un algoritmo si existe algún ataque más rápido que una búsqueda exhaustiva (ataque por fuerza bruta). De modo que un ataque contra el AES de llave de 128 bits que requiera 'sólo' 2120 operaciones sería considerado como un ataque que "rompe" el AES aun tomando en cuenta que por ahora sería un ataque irrealizable. Hasta el momento, tales preocupaciones pueden ser ignoradas. El ataque de fuerza bruta más largamente publicitado y conocido ha sido contra una clave de 64 bits RC5 por distributed.net.
Otra preocupación es la estructura matemática de AES. A diferencia de la mayoría de cifradores de bloques, AES tiene una descripción matemática muy ordenada.2 3 Esto no ha llevado todavía a ningún ataque, pero algunos investigadores están preocupados que futuros ataques quizá encuentren una manera de explotar esta estructura.
En 2002, un ataque teórico, denominado "ataque XSL", fue anunciado por Nicolas Courtois y Josef Pieprzyk, mostrando una potencial debilidad en el algoritmo AES. Varios expertos criptográficos han encontrado problemas en las matemáticas que hay por debajo del ataque propuesto, sugiriendo que los autores quizá hayan cometido un error en sus estimaciones. Si esta línea de ataque puede ser tomada contra AES, es una cuestión todavía abierta. Hasta el momento, el ataque XSL contra AES parece especulativo; es improbable que nadie pudiera llevar a cabo en la práctica este ataque.
[editar]Ataques de canal auxiliar
Los ataques de canal auxiliar no atacan al cifrador en sí, sino a las implementaciones del cifrador en sistemas que revelan datos inadvertidamente.
En abril de 2005, Daniel J. Bernstein anunció un ataque temporizado de cache4 que solía romper un servidor a medida que usaba el cifrado AES para OpenSSL. Este servidor fue diseñado para dar la mayor cantidad de información acerca de los tiempos de ejecución como fuera posible, y el ataque requería cerca de 200 millones de ficheros de texto en claro. Se dice que el ataque no es práctico en implementaciones del mundo real;5 Bruce Schneier llamó a esta investigación un "bonito ataque de tiempos".6
En octubre de 2005, Adi Shamir y otros dos investigadores presentaron un artículo demostrando varios ataques de tiempos de cache7 contra AES. Uno de los ataques obtuvo una clave de AES entera después de tan sólo 800 escrituras, en 65 milisegundos. Este ataque requiere que el atacante pueda ejecutar programas en el mismo sistema que realiza el cifrado de AES.
Y esto seria todo espero que os guste
Y si es posible dadme temas para publicar en mi blog
Suscribirse a:
Entradas (Atom)
Entradas
