[altnet-argentina] Diferencia entre password y clave simetrica?

19 views
Skip to first unread message

Matias Thacker

unread,
Jun 28, 2012, 5:06:21 PM6/28/12
to altnet-a...@googlegroups.com
Hola, quisiera saber si alguien tiene en claro cual es la diferencia entre una password y una clave simetrica? Yo entendia que era lo mismo, pero en algunos lugares se las distingue.

Gracias!

Eugenio Serrano

unread,
Jun 28, 2012, 5:57:09 PM6/28/12
to altnet-a...@googlegroups.com

En realidad son conceptos diferentes.

 

La principal diferencia entre la criptografía simétrica y asimétrica, es que en la simétrica la clave de cifrar y descifrar es la misma, mientras que en la asimétrica se tiene una clave para cifrar y otra diferente para descifrar.

 

Saludos,

Eugenio

Matias Thacker

unread,
Jul 12, 2012, 9:29:17 AM7/12/12
to altnet-a...@googlegroups.com
Si sé esto! mi pregunta es, una password es lo mismo que una clave simétrica? No? cuales son las diferencias?


Leonardo Micheloni

unread,
Jul 12, 2012, 9:55:53 AM7/12/12
to altnet-a...@googlegroups.com
Un password es un código que vos conocés y tiene que conocer el
sistema al cual estás ingresando para validar.
Una clave simétrica se utiliza de ambos lados para cifrar y descifrar
un elemento (tal vez un password)

Una clave asimétrica es más complejo:

Vos tenés dos claves :

- una pública (sólo la conocés vos como emisor)
- una privada (la repartís a todos con quienes querés interactuar)

con tu clave privada cifrás algo y lo envías, esto sólo puede ser
descifrado con la clave pública (por eso se llama asimétrica), o sea
que nadie más que vos conoce la clave privada, esto te permite:

- Autenticación: si el elemento cifrado sólo pudo haber sido generado
con la clave privada indica que fuiste vos quien genero el mensaje.
- No repudio: el emisor no puede negar haber generado el mensaje
- Integridad: asegura que los datos no han sido modificados

Adicionalemente si el receptor cifra algo con la clave pública esto
sólo podrá ser descifrado con la clave privada, con lo cual sólo vos
vas a poder leer el mensaje.

En resumen, sos cosas muy diferentes.

Saludos


2012/7/12 Matias Thacker <matias....@gmail.com>:
> --
> Desuscripción: altnet-argenti...@googlegroups.com



--
Leonardo Micheloni
@leomicheloni

Daniel Cazzulino

unread,
Jul 12, 2012, 10:49:21 AM7/12/12
to altnet-a...@googlegroups.com
En resumen, sos cosas muy diferentes.

Creo q le siguen explicando sobre clave *a*simetrica, y la pregunta no tiene nada q ver con eso ;)

/kzu

--
Daniel Cazzulino | Developer Lead | XML MVP | Clarius Consulting | +1 425.329.3471


2012/7/12 Leonardo Micheloni <leonardogabr...@gmail.com>
--
Leonardo Micheloni
@leomicheloni

--
Desuscripción: altnet-argenti...@googlegroups.com

Antonio M. Castaño (g)

unread,
Jul 13, 2012, 1:19:28 AM7/13/12
to altnet-a...@googlegroups.com

Matias Thacker

unread,
Jul 13, 2012, 5:17:10 PM7/13/12
to altnet-a...@googlegroups.com
tal cual dice Daniel, lo que entiendo hasta ahora es que depende como la uses puede ser una password o una clave simetrica.

Si la usas tipo: Enciptar("lalala", key) o si la usas tipo if (key == "lala") { ... }



Diego Mijelshon

unread,
Jul 13, 2012, 6:09:50 PM7/13/12
to altnet-a...@googlegroups.com
Por lo general, cuando uno se refiere a un password, es una combinación de caracteres visibles que debe ser elegida y recordada por el usuario. A veces, un password es utilizado como clave simétrica, pero en general sólo se aplica a la autentificación.
¿Qué es entonces una clave simétrica? Una conjunto de bytes, sin muchas restricciones, y con una longitud dependiente de los algoritmos utilizados, que es utilizada por un algoritmo simétrico de encriptación.
A diferencia del password, que puede no estar almacenado en ningún lado (porque podemos -y debemos- guardar un hash), la clave simétrica sí requiere un almacenamiento, que en general require algún tipo de protección adicional.

  Diego

2012/7/13 Matias Thacker <matias....@gmail.com>

Jose Mariano Alvarez

unread,
Jul 13, 2012, 10:23:01 PM7/13/12
to altnet-a...@googlegroups.com
Una password es un "secreto" (normalmente un texto) que conoce algo (por ejemplo un proceso) o alguien (por ejemplo un usuario) y que desea utilizarlo para por ejemplo identificarse en un sistema o servicio. Ese proceso puede o no involucrar un proceso de cifrado (nada impide guardarlo sin cifrar por ejemplo). Normalmente hay en el medio algún tipo de cifrado. 

Tal como dijeron una clave simétrica es aquella donde el proceso de cifrado o sea pasar el contenido en "blanco" (o sin cifrar) al contenido  "oscuro" (o cifrado) y su proceso inverso (de oscuro a blanco) utilizan la misma clave. Cuando la clave para realizar el proceso inverso (de oscuro a blanco) no es la misma se dice que es asimétrico. 

Del conocimiento de las claves (publicas y privadas) y según sea el mecanismo de cifrado usado (simétrico o asimétrico), la forma en que se usa el cifrado y las claves, el tipo de algoritmo, etc, el proceso permite no solo autenticar, sino también firmar, proteger, asegurar integridad, etc.

Mas allá de eso, los procesos de validación de passwords debieran ser mediante mecanismos del tipo "digest" (tipicamente variantes de algoritmos de hash avanzados) y no debieran utilizar cifrado (simétrico o asimétrico). El digest no es reversible (no se puede descifrar) y por lo tanto sirve para evitar que si se apoderan del almacenamiento de los digests se puedan obtener las claves mediante un proceso de descifrado. Matemáticamente significa que no existe la función inversa. Lo que se compara es el hash.

Si F es la función de digest (hash) y P es la password

Se almacena el digest D = F(P).

Luego el usuario ingresa X entonces el sistema para saber si la contraseña es correcta hace F(X) y lo compara con D. 

Si X es igual a P el resultado es D y entonces el usuario ingreso una contraseña correcta.

Lo importante es que no existe Fi que permite hacer P = Fi(D) por lo que a partir de D no se puede obtener P.

Bueno esto es la teoría, la práctica tiene muchos problemas adicionales a considerar. 
Aun con algoritmos como SHA-1 o MD5.

Suerte

-- 
--------------------------------
Ing. José Mariano Alvarez
http://blog.josemarianoalvarez.com/
http://twitter.com/JoseMarianoA

SQL Total Consulting





2012/7/13 Diego Mijelshon <di...@mijelshon.com.ar>
Reply all
Reply to author
Forward
0 new messages