25 de junio de 2017

Next-Generation Cryptography

En la actualidad se sugiere que se actualicen las herramientas criptográficas que se implementan en las políticas corporativas de protección de la confidencialidad de la información transmitida.
Para esta actualización se propone la adopción de un conjunto de algoritmos denominados "Suite B".

La Suite B se considera como un estándar público avanzado de criptografía que proporciona sistemas de seguridad de al menos 128 bits de longitud o equivalentes, lo que supera claramente los estándares utilizados hasta el momento y brinda un entorno seguro para el intercambio de información corporativa sobre redes públicas como Internet.

Suite B responde a los requerimientos de múltiples certificaciones de seguridad como PCI (Payment Card Industry), HIPAA (Health Insurance Portability and Accountability Act) y FIPS (Federal Information Processing Standards).

La suite B

Ha sido inicialmente definida por la NSA como adecuada para asegurar información clasificada, y ha sido descrita en el RFC 4869 para su utilización con IPsec. Considera 4 algoritmos criptográficos de dominio público:
  • Cifrado basado en AES de 128 o 256 bits en modo Galois/Counter (GCM).
  • Firma digital con ECDSA utilizando curvas de 256 y 384 bits.
  • Para el intercambio de llaves se utiliza método ECDH.
  • Algoritmo de hash se basa en SHA-2.
Para asegurar compatibilidad e interoperabilidad los dispositivos que incorporan Suite B están sometidos a las mismas regulaciones y certificaciones que los que brindan el soporte IPsec tradicional incluyendo FIPS y Common Criteria.

La Suite B evoluciona el conjunto de algoritmos típicamente soportado para la implementación de IPsec:
  • Para el cifrado simétrico:
    Inicialmente se sugería DES o 3DES.
    Ahora AES 128 o AES 256.
  • Para la firma digital:
    Inicialmente se sugería RSA de 2048 bits.
    Ahora ECDSA.
  • Como algoritmo de hash:
    Inicialmente se sugería MD5 o SHA-1
    Ahora SHA-2 (256, 384 o 512 bits)
  • Para el intercambio de llaves:
    Se sugería DH
    Ahora ECDH
Suite B en Cisco
Cisco ha participado del desarrollo de esta suite de algoritmos de cifrado desde el inicio, particularmente trabajando en el desarrollo y estandarización del modo de operación Galois/Counter de AES utilizado en el cifrado simétrico de esta suite.
Actualmente la Suite B está incorporada en los principales productos Cisco de manera tal que pueden aplicarse en soluciones VPN IPsec o DMVPN. 

Estos algoritmos están disponibles para su implementación en los routers ISR G2 desde IOS 15.1 o 15.2 según la plataforma. 
También se introdujo en IOS-XE 3.7, con lo que está disponible en CSR 1000v con IOS-XE 3.12 y en ISR 4400 desde IOS-XE 3.9, ISR 4300 desde IOS-XE 3.13.
En Cisco ASA la suite B está disponible a partir de versión 9.0. Requiere AnyConnect 3.1 o superior con licencia Premium.


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.