Este artículo de la serie "Cómo funcionan las VPN" describe cómo funciona el cifrado de clave simétrica. Si ya estás perdido, ¡no entres en pánico! Esta serie de artículos explica los conceptos y métodos detrás de las VPN sin necesidad de profundizar en las matemáticas que las impulsan.
Si es completamente nuevo en el concepto de VPN, consulte esta introducción. Si ya sabes un poco sobre cómo funcionan las VPN y quieres saber un poco más, esta serie es para ti. Cada artículo aborda un aspecto de cómo una VPN ayuda a proteger los datos al contar una historia que sirve como metáfora de los mecanismos lógicos involucrados. Estas historias involucran a Adam y Burt tratando de mantener un secreto y una tercera persona, Cesar, tratando de descubrir su secreto de manera nefasta. Dado que las VPN no tienen un equivalente físico perfecto en el mundo, algunos elementos pueden ampliar los límites de la credibilidad (por ejemplo, César tiene acceso a un rayo duplicador). Recuerda, es solo una historia...
Cada artículo también tiene secciones expandibles (indicadas con el ícono de ajustes), que contienen una explicación un poco más profunda que es algo más técnica pero que evita perderse demasiado en las matemáticas. Estas secciones relacionan un poco más los eventos de la historia con los componentes o pasos de encriptación o autenticación, pero no son necesarias para obtener una comprensión básica del tema.
Cifrado básico de clave simétrica
Supongamos que Adam y Burt están escribiendo un cómic. Como viven en pueblos cercanos y no pueden reunirse en persona con tanta frecuencia, se envían borradores de su libro a través de la oficina de correos del Gran Área Metropolitana. No quieren que nadie eche un vistazo a su libro antes de que esté terminado, por lo que usan una caja de seguridad (cifrado) y hacen una copia de la clave (clave de cifrado) para cada uno de ellos. Ahora, cuando Adam termina un guión, puede enviárselo a Burt en esta caja de seguridad y asegurarse de que solo Burt pueda desbloquearlo cuando lo reciba por correo.
Cómo una caja de seguridad es como el cifrado básico de clave simétrica.
Este mecanismo es análogo a uno de los primeros estándares de cifrado ampliamente utilizados para datos informáticos, DES (Digital Encryption Standard). DES es un algoritmo de cifrado de clave simétrica, lo que significa que la clave que se utiliza para cifrar los datos también se utiliza para descifrarlos. En un nivel simplificado, un algoritmo de cifrado de clave simétrica es un método para aplicar una serie de pasos matemáticos predefinidos, y la clave es una especie de variable fundamental (se podría decir, una variable "clave") que se conecta a ese método para producir Salida única:los datos cifrados. Este proceso también se puede revertir aplicando el mismo método al revés, nuevamente con la misma clave.
La amenaza
Ahora, César entra en escena. Cesar está obsesionado con el cómic de Adam y Burt y no puede esperar para aprender más sobre él. Por el bien de esta historia, César tiene un rayo duplicador. También es un maestro del disfraz, por lo que usa su talento para hacerse pasar por un empleado de correos. Su objetivo final es encontrar una manera de interceptar la caja que Adam y Burt envían de un lado a otro para echar un vistazo dentro. Pronto, César se abre camino lo suficientemente profundo en la Oficina de Correos del Gran Área Metropolitana que obtiene acceso a la sala de clasificación de correo central, y ve la caja de Adam a Burt. César no quiere despertar sospechas ni en Adam ni en Burt por el retraso en la entrega, por lo que usa su rayo duplicador para hacer una copia de la caja. Lamentablemente para César, esta caja también está bloqueada (encriptada), al igual que la original. Pero, entre sus talentos, es un cerrajero oficial, por lo que lleva esta caja duplicada a su guarida para intentar eludir la cerradura.
Ataque de intermediario.
El tráfico de red se envía en unidades discretas denominadas paquetes. Entonces, ya sea que esté enviando algo pequeño (un correo electrónico corto) o algo grande (un video), los datos se segmentarán en paquetes fáciles de administrar antes de transmitirse. Es el equivalente a enviar un rompecabezas a alguien pieza por pieza. Una vez que llegue a su destino, se volverá a montar.
Este proceso de examinar el tráfico de la red en tránsito se denomina "inspección de paquetes" (a veces, de manera más informal, "olfateo de paquetes" o "olfateo del cable"). La inspección de paquetes permite a los administradores de red identificar y bloquear gran parte del tráfico hostil en su red. También puede ser bastante útil para ayudar a solucionar problemas de conectividad dentro de una red.
También se puede utilizar para fines menos constructivos, como escuchar a escondidas. En estas circunstancias, este tipo de uso a menudo se denomina ataque Man-in-the-Middle (MitM). Para alguien como César, que logra insertarse en la ruta de tránsito que toman estos mensajes, este ataque permite que un intruso copie todo el tráfico que pasa (sin demorarlo y potencialmente alertar a cualquiera de los extremos de que algo podría estar mal) para analizarlo más tarde. El tráfico que no está encriptado se puede volver a ensamblar fácilmente, lo que permite que cualquier persona con las herramientas adecuadas lea el correo electrónico o vea la página web solicitada. Los datos cifrados requerirían conocer o descubrir la clave para descifrar cada paquete antes de volver a ensamblarlo.
Grieta de fuerza bruta
Digamos, entonces, que César dedica tiempo a trabajar en esta cerradura y finalmente logra forzar la cerradura. Después de un poco de práctica, aprende a reducir significativamente este tiempo. Luego, intercepta el siguiente paquete que Burt le envía a Adam, lo copia y le envía el original a Adam. Ahora, Cesar puede forzar la cerradura cuando lo desee, y dado que Adam recibió el paquete sin demora, él y Burt no tienen idea de que algo pueda estar mal. Así que imagina su sorpresa y consternación cuando César publique todos los detalles de spoiler de su nuevo cómic en su blog (llamado, naturalmente, "La cesárea").
Adam y Burt se dan cuenta de que tendrán que desarrollar una forma mejor de intercambiar mensajes de forma segura. Si tuvieran que cambiar la llave de la cerradura, probablemente César no tardaría mucho en aprender a forzar esta nueva cerradura. Deciden invertir en una cerradura con una clave mucho más complicada (un algoritmo de cifrado de clave simétrica más fuerte). Pero, ¿cuánto tiempo le tomará a César descifrar este candado?
Estándares modernos de cifrado simétrico.
DES ya no se considera un medio fuerte de encriptación, implementado por sí solo. En 2008, SciEngines GmbH anunció que podía descifrar DES en menos de un día.
Una variación llamada Estándar de cifrado digital triple (abreviado 3DES, generalmente pronunciado "triple-dez") ha suplantado, en muchos casos, a DES. Como su nombre lo indica, funciona con el algoritmo DES pero se ejecuta tres veces. La clave es tres veces más larga y, en su implementación más sólida, se compone de tres claves DES diferentes, una para cada iteración del algoritmo DES. Puede ser útil imaginar este algoritmo funcionando como si fuera una intrincada caja de rompecabezas. La primera clave podría ser la combinación de giros y maquinaciones (como con un cubo de Rubik) necesarios para revelar un rompecabezas de mosaico deslizante que, una vez resuelto (la segunda clave), expondría un ojo de cerradura para su llave (la tercera clave) .
Un algoritmo de cifrado de clave simétrica aún más fuerte es AES (Advanced Encryption Standard, aunque a veces también puede verlo por su nombre original "Rijndael", pronunciado "rain-doll"). La fuerza de este tipo de algoritmos se mide por las longitudes efectivas de sus claves (en bits). 3DES usa claves de 168 bits (en su implementación más sólida), aunque se ha demostrado que ciertos ataques reducen esa fortaleza equivalente a una clave de 80 bits. AES puede usar claves de 128, 192 y 256 bits. A medida que aumenta la longitud de cada una de estas claves, también aumenta su fuerza asociada y los requisitos computacionales.
La evolución del cifrado
Naturalmente, a Adam y Burt les preocupa mantener esta solución de caja de seguridad, incluso si es la mejor. línea, pueden no ser tan seguros como les gustaría. Un inútil como César tiene varios medios para intentar derrotar este sistema. Puede intentar obtener ilícitamente una copia de la llave de Adam o Burt, o de los medios que usaron para intercambiar la llave en primer lugar (especialmente si este intercambio es por un medio no seguro). Finalmente, es posible que, después de la práctica o el avance tecnológico, descubra una manera de "adivinar" la clave de manera más eficiente. Si quieren mantenerse por delante de César, tendrán que encontrar nuevas formas de hacer que sea mucho más difícil para él encontrar una forma de sortear o atravesar.
Más información en la serie Cómo funcionan las VPN:
Parte 2:Criptografía de clave pública
Parte 3:Intercambio de clave compartida
Obtenga más información sobre nuestros servicios de alojamiento de VPS y el precio del alojamiento de VPS.