3. Criptografía
77
Criptografía
La ciencia y la práctica de alterar datos para hacerlos ininteligibles para terceros no autorizados.
78
Texto sin formato
Datos no cifrados que deben cifrarse antes de transmitirse, o el resultado del descifrado de datos cifrados.
79
Texto cifrado
Datos que han sido cifrados y no se pueden leer sin la clave de cifrado.
80
Algoritmo
Operaciones que transforman un texto simple en un texto cifrado con propiedades criptográficas, también llamado cifrado. Existen tipos de cifrados simétricos, asimétricos y hash.
81
Criptoanálisis
La ciencia, el arte y la práctica de descifrar códigos y cifras.
82
cifrado
Cifrado: codificación de los caracteres utilizados en un mensaje para que éste pueda verse, pero no entenderse ni modificarse a menos que pueda descifrarse. El cifrado proporciona un medio seguro para transmitir datos y autenticar a los usuarios. También se utiliza para almacenar datos de forma segura. El cifrado utiliza distintos tipos de cifrado y una o más claves. El tamaño de la clave es un factor que determina la solidez del producto de cifrado.
83
llave
En criptografía, una pieza específica de información que se utiliza junto con un algoritmo para realizar el cifrado y descifrado.
84
Cifrado simétrico
Esquema de cifrado bidireccional en el que tanto el cifrado como el descifrado se realizan con la misma clave. También conocido como cifrado de clave compartida.
85
longitud de la clave
Tamaño de una clave criptográfica en bits. Las claves más largas suelen ofrecer mayor seguridad, pero las longitudes de claves para distintos cifrados no son directamente comparables.
86
algoritmo asimétrico
Cifrado que utiliza claves públicas y privadas. Las claves están vinculadas matemáticamente, utilizando algoritmos de criptografía de curva elíptica (ECC) o Rivel, Shamir, Adleman (RSA), pero la clave privada no se puede derivar de la pública. Una clave asimétrica no puede revertir la operación que realiza, por lo que la clave pública no puede descifrar lo que ha cifrado, por ejemplo.
87
público
Durante el cifrado asimétrico, esta clave se distribuye libremente y puede utilizarse para realizar la operación de cifrado o descifrado inverso de la clave privada vinculada en el par.
88
claves privadas
En el cifrado asimétrico, la clave privada es conocida únicamente por el titular y está vinculada a una clave pública distribuida a aquellos con quienes el titular desea comunicarse de forma segura, pero no puede derivarse de ella. Una clave privada puede utilizarse para cifrar datos que pueden descifrarse mediante la clave pública vinculada o viceversa.
89
Hash
Una función que convierte una entrada de cadena de longitud arbitraria en una salida de cadena de longitud fija. Una función hash criptográfica hace esto de una manera que reduce la posibilidad de colisiones, donde dos entradas diferentes producen la misma salida.
90
Algoritmo de hash seguro (SHA)
Un algoritmo de hash criptográfico creado para solucionar posibles debilidades en MDA. La versión actual es SHA-2.
91
Algoritmo de resumen de mensajes n.° 5 (MD5)
Una función hash criptográfica que produce una salida de 128 bits.
92
primitivo criptográfico
Es probable que un sistema o producto criptográfico completo utilice múltiples primitivos criptográficos dentro de un conjunto de cifrados. Las propiedades de los diferentes tipos de cifrados simétricos, asimétricos y hash y de los cifrados específicos para cada tipo imponen limitaciones a su uso en diferentes contextos y para diferentes propósitos.
93
firma digital
Un resumen de mensaje cifrado utilizando la clave privada del remitente que se adjunta a un mensaje para autenticar al remitente y demostrar la integridad del mensaje.
94
Infraestructura de clave pública (PKI)
Un marco de autoridades de certificación, certificados digitales, software, servicios y otros componentes criptográficos implementados con el propósito de validar las identidades de los sujetos.
95
autoridad certificadora (CA)
Un servidor que garantiza la identidad de los sujetos mediante la emisión de certificados digitales firmados para sus claves públicas
96
CA de terceros
En PKI, una CA pública que emite certificados para múltiples dominios y que goza de amplia confianza como raíz de confianza entre los sistemas operativos y navegadores.
97
certificado digital
Información de identificación y autenticación presentada en formato X.509 y emitida por una autoridad de certificación (CA) como garantía de que un par de claves (identificado por la clave pública incorporada en el certificado) es válido para un sujeto particular (usuario o host).
98
Estándares de criptografía de clave pública (PKCS)
Un conjunto de normas para promover el uso de la infraestructura de clave pública.
99
certificado raíz
En PKI, una CA que emite certificados a CA intermedias en una estructura jerárquica.
100
encadenamiento de certificados
Un método para validar un certificado mediante el seguimiento de cada CA que firma el certificado, a lo largo de la jerarquía hasta la CA raíz. También se denomina cadena de confianza.
101
certificado autofirmado
Un certificado digital que ha sido firmado por la entidad que lo emitió, en lugar de por una CA.
102
Solicitud de firma de certificado (CSR)
Un archivo ASCII Base64 que un sujeto envía a una CA para obtener un certificado.
103
nombre común (CN)
Un atributo X500 que expresa un host o nombre de usuario, también utilizado como identificador de sujeto para un certificado digital.
104
nombre alternativo del sujeto (SAN)
Un campo en un certificado digital que permite identificar un host mediante múltiples nombres de host/subdominios.
105
dominio comodín
En PKI, un certificado digital que coincidirá con múltiples subdominios de un dominio principal.
106
lista de revocación de certificados (CRL)
Una lista de certificados que fueron revocados antes de su fecha de vencimiento.
107
Protocolo de estado de certificado en línea (OCSP)
Permite a los clientes solicitar el estado de un certificado digital, para comprobar si está revocado.
108
sistema de gestión de claves
En PKI, procedimientos y herramientas que centralizan la generación y el almacenamiento de claves criptográficas.
109
entropía
Una medida de desorden. Los sistemas criptográficos deben exhibir una alta entropía para resistir mejor los ataques de fuerza bruta.
110
generador de números aleatorios pseudo (PRNG)
El proceso mediante el cual un algoritmo produce números que se aproximan a la aleatoriedad sin ser verdaderamente aleatorios.
111
generador de números aleatorios verdaderos (TRNG)
Un método para generar valores aleatorios mediante el muestreo de fenómenos físicos que tienen una alta tasa de entropía.
112
Módulo de plataforma confiable (TPM)
Especificación para el almacenamiento seguro basado en hardware de claves de cifrado, contraseñas en hash y otra información de identificación de usuarios y plataformas.
113
Módulo de seguridad de hardware (HSM)
Dispositivo para generar y almacenar claves criptográficas. Este tipo de solución puede ser menos susceptible a la manipulación y a las amenazas internas que el almacenamiento basado en software.
114
Interfaz de programación de aplicaciones (API)
Métodos expuestos por un script o programa que permiten que otros scripts o programas lo utilicen. Por ejemplo, una API permite a los desarrolladores de software acceder a funciones de la pila de red TCP/IP en un sistema operativo en particular.
115
enclave seguro
Extensiones de CPU que protegen los datos almacenados en la memoria del sistema para que un proceso no confiable no pueda leerlos.
116
Depósito
En la gestión de claves, el almacenamiento de una clave de respaldo con un tercero.
117
Datos en reposo
Información que se almacena principalmente en medios específicos, en lugar de trasladarse de un medio a otro.
118
Datos en tránsito (o datos en movimiento)
Información que se transmite entre dos hosts, como a través de una red privada o Internet.
119
Datos en uso (o datos en procesamiento)
Información que está presente en la memoria volátil de un host, como la memoria del sistema o el caché.
120
niveles de cifrado
Objetivo para el cifrado de datos en reposo, que va desde más granular (archivo o fila/registro) a menos granular (volumen/partición/disco o base de datos).
121
Cifrado de transporte/comunicación
Esquema de cifrado aplicado a datos en movimiento, como WPA, IPsec o TLS.
122
intercambio de claves
Cualquier método mediante el cual se transfieren claves criptográficas entre usuarios, permitiendo así el uso de un algoritmo criptográfico.
123
Código de autenticación de mensajes basado en hash (HMAC)
Un método utilizado para verificar tanto la integridad como la autenticidad de un mensaje combinando un hash criptográfico del mensaje con una clave secreta.
124
Secreto perfecto hacia adelante (PFS)
Una característica del cifrado de transporte que garantiza que si una clave se ve comprometida, el compromiso solo afectará a una única sesión y no facilitará la recuperación de datos de texto simple de otras sesiones.
125
Diffie-Hellman (bateador designado)
Una técnica criptográfica que proporciona un intercambio de claves seguro.
126
efímero
En criptografía, clave que se utiliza dentro del contexto de una única sesión.
127
sal
Una contramedida de seguridad que mitiga el impacto de los ataques de tabla hash precalculada agregando un valor aleatorio a ("salting") cada entrada de texto sin formato.
128
Estiramiento de claves
Una técnica que refuerza la entrada potencialmente débil para la generación de claves criptográficas, como contraseñas o frases de contraseña creadas por personas, contra ataques de fuerza bruta.
129
Cadena de bloques
Un concepto en el que una lista en expansión de registros transaccionales que figuran en un libro de contabilidad público se protege mediante criptografía.
130
libro de contabilidad público abierto
Registro público distribuido de transacciones que respalda la integridad de las cadenas de bloques.
131
Ofuscación
Una técnica que esencialmente "oculta" o "camufla" el código u otra información para que sea más difícil de leer para usuarios no autorizados.
132
Esteganografía
Una técnica para ocultar la presencia de un mensaje, a menudo incorporando información dentro de un archivo u otra entidad.
133
Enmascaramiento de datos
Un método de desidentificación en el que se sustituyen etiquetas genéricas o de marcador de posición por datos reales mientras se preserva la estructura o el formato de los datos originales.
134
Tokenización
Un método de desidentificación en el que un token único se sustituye por datos reales.
77
Cryptography
The science and practice of altering data to make it unintelligible to unauthorized parties.
78
Plaintext
Unencrypted data that is meant to be encrypted before it is transmitted, or the result of decryption of encrypted data.
79
Ciphertext
Data that has been enciphered and cannot be read without the cipher key.
80
Algorithm
Operations that transform a plaintext into a ciphertext with cryptographic properties, also called a cipher. There are symmetric, asymmetric, and hash cipher types.
81
Cryptanalysis
The science, art, and practice of breaking codes and ciphers.
82
encryption
Scrambling the characters used in a message so that the message can be seen but not understood or modified unless it can be deciphered. Encryption provides for a secure means of transmitting data and authenticating users. It is also used to store data securely. Encryption uses different types of cipher and one or more keys. The size of the key is one factor in determining the strength of the encryption product.
83
key
In cryptography, a specific piece of information that is used in conjunction with an algorithm to perform encryption and decryption.
84
Symmetric encryption
Two-way encryption scheme in which encryption and decryption are both performed by the same key. Also known as shared-key encryption.
85
key length
Size of a cryptographic key in bits. Longer keys generally offer better security, but key lengths for different ciphers are not directly comparable.
86
asymmetric algorithm
Cipher that uses public and private keys. The keys are mathematically linked, using either Rivel, Shamir, Adleman (RSA) or elliptic curve cryptography (ECC) alogrithms, but the private key is not derivable from the public one. An asymmetric key cannot reverse the operation it performs, so the public key cannot decrypt what it has encrypted, for example.
87
public
During asymmetric encryption, this key is freely distributed and can be used to perform the reverse encryption or decryption operation of the linked private key in the pair.
88
private keys
In asymmetric encryption, the private key is known only to the holder and is linked to, but not derivable from, a public key distributed to those with whom the holder wants to communicate securely. A private key can be used to encrypt data that can be decrypted by the linked public key or vice versa.
89
hashing
A function that converts an arbitrary-length string input to a fixed-length string output. A cryptographic hash function does this in a way that reduces the chance of collisions, where two different inputs produce the same output.
90
Secure Hash Algorithm (SHA)
A cryptographic hashing algorithm created to address possible weaknesses in MDA. The current version is SHA-2.
91
Message Digest Algorithm #5 (MD5)
A cryptographic hash function producing a 128-bit output.
92
cryptographic primitive
A complete cryptographic system or product is likely to use multiple cryptographic primitives within a cipher suite. The properties of different symmetric/asymmetric/hash types and of specific ciphers for each type impose limitations on their use in different contexts and for different purposes.
93
digital signature
A message digest encrypted using the sender's private key that is appended to a message to authenticate the sender and prove message integrity.
94
Public key infrastructure (PKI)
A framework of certificate authorities, digital certificates, software, services, and other cryptographic components deployed for the purpose of validating subject identities.
95
certificate authority (CA)
A server that guarantees subject identities by issuing signed digital certificate wrappers for their public keys
96
third party CAs
In PKI, a public CA that issues certificates for multiple domains and is widely trusted as a root trust by operating systems and browsers.
97
digital certificate
Identification and authentication information presented in the X.509 format and issued by a certificate authority (CA) as a guarantee that a key pair (as identified by the public key embedded in the certificate) is valid for a particular subject (user or host).
98
Public Key Cryptography Standards (PKCS)
A set of standards to promote the use of public key infrastructure.
99
root certificate
In PKI, a CA that issues certificates to intermediate CAs in a hierarchical structure.
100
certificate chaining
A method of validating a certificate by tracing each CA that signs the certificate, up through the hierarchy to the root CA. Also referred to as chain of trust.
101
self-signed certificate
A digital certificate that has been signed by the entity that issued it, rather than by a CA.
102
certificate signing request (CSR)
A Base64 ASCII file that a subject sends to a CA to get a certificate.
103
common name (CN)
An X500 attribute expressing a host or username, also used as the subject identifier for a digital certificate.
104
subject alternative name (SAN)
A field in a digital certificate allowing a host to be identifed by multiple host names/subdomains.
105
wildcard domain
In PKI, a digital certificate that will match multiple subdomains of a parent domain.
106
certificate revocation list (CRL)
A list of certificates that were revoked before their expiration date.
107
Online Certificate Status Protocol (OCSP)
Allows clients to request the status of a digital certificate, to check whether it is revoked.
108
key management system
In PKI, procedures and tools that centralizes generation and storage of cryptographic keys.
109
entropy
A measure of disorder. Cryptographic systems should exhibit high entropy to better resist brute force attacks.
110
pseudo RNG (PRNG)
The process by which an algorithm produces numbers that approximate randomness without being truly random.
111
true random number generator (TRNG)
A method of generating random values by sampling physical phenomena that has a high rate of entropy.
112
Trusted Platform Module (TPM)
Specification for secure hardware-based storage of encryption keys, hashed passwords, and other user- and platform-identification information.
113
Hardware security module (HSM)
An appliance for generating and storing cryptographic keys. This sort of solution may be less susceptible to tampering and insider threats than software-based storage.
114
application programming interface (API)
Methods exposed by a script or program that allow other scripts or programs to use it. For example, an API enables software developers to access functions of the TCP/IP network stack under a particular operating system.
115
secure enclave
CPU extensions that protect data stored in system memory so that an untrusted process cannot read it.
116
Escrow
In key management, the storage of a backup key with a third party.
117
Data at rest
Information that is primarily stored on specific media, rather than moving from one medium to another.
118
Data in transit (or data in motion)
Information that is being transmitted between two hosts, such as over a private network or the Internet.
119
Data in use (or data in processing)
Information that is present in the volatile memory of a host, such as system memory or cache.
120
encryption levels
Target for data-at-rest encryption, ranging from more granular (file or row/record) to less granular (volume/partition/disk or database).
121
Transport/communication encryption
Encryption scheme applied to data-in-motion, such as WPA, IPsec, or TLS.
122
key exchange
Any method by which cryptographic keys are transferred among users, thus enabling the use of a cryptographic algorithm.
123
Hash-based Message Authentication Code (HMAC)
A method used to verify both the integrity and authenticity of a message by combining a cryptographic hash of the message with a secret key.
124
Perfect Forward Secrecy (PFS)
A characteristic of transport encryption that ensures if a key is compromised, the compromise will only affect a single session and not facilitate recovery of plaintext data from other sessions.
125
Diffie-Hellman (D-H)
A cryptographic technique that provides secure key exchange.
126
ephemeral
In cryptography, a key that is used within the context of a single session only.
127
salt
A security countermeasure that mitigates the impact of precomputed hash table attacks by adding a random value to ("salting") each plaintext input.
128
Key stretching
A technique that strengthens potentially weak input for cryptographic key generation, such as passwords or passphrases created by people, against brute force attacks.
129
Blockchain
A concept in which an expanding list of transactional records listed in a public ledger is secured using cryptography.
130
open public ledger
Distributed public record of transactions that underpins the integrity of blockchains.
131
Obfuscation
A technique that essentially "hides" or "camouflages" code or other information so that it is harder to read by unauthorized users.
132
Steganography
A technique for obscuring the presence of a message, often by embedding information within a file or other entity.
133
Data masking
A de-identification method where generic or placeholder labels are substituted for real data while preserving the structure or format of the original data.
134
Tokenization
A de-identification method where a unique token is substituted for real data.