La seguridad lógica estará compuesta por el conjunto de acciones encaminadas a evitar la interrupción, interceptación, fabricación y modificación del servicio y los datos que se prestan. Los mecanismos que intentan prevenir las amenazas de seguridad están basados, por una parte, en el cifrado de datos y comunicaciones y, por otra, en la toma de decisiones de configuración que eviten arriesgar más de lo necesario.

Este apartado está dividido en 3 partes: fundamentos criptográficos, mecanismos basados en algoritmos de encriptación para garantizar las comunicaciones y los datos y, por último, en la técnicas básicas de configuración de servidores y, por otra parte, en los fundamentos y arquitecturas de la seguridad perimetral cuyo objetivo es filtrar las comunicaciones y, por tanto, quién puede establecer y participar en una comunicación con nuestro sistema.

Fundamentos criptográficos

Casi todos los mecanismos de seguridad que pretenden proporcionar confidencialidad, integridad y no repudio, se basan en uno, o varios, de los algoritmos criptográficos existentes. Se distinguen 3 tipos de cifrado: simétrico, asimétrico y unidireccional basado en funciones HASH. En la actualidad, está tomando auge las firmas digitales, obtenidas como combinación del cifrado asimétrico y funciones HASH.

Algoritmos simétricos

Los algoritmos de cifrado simétrico sirven para la encriptación en masa de datos o flujos de datos (de tamaño constante o variable, depende de los algoritmos) con una clave y algoritmo conocidos por los interlocutores en una comunicación y, por supuesto, empleados por ambos en la encriptación y desencriptación de los mensajes.

Este tipo de algoritmos son más sencillos que el resto siendo su principal ventaja la rapidez. Por el contrario, presenta, como principales inconvenientes, la distribución de las claves que deben conocer ambas partes en una comunicación y que sólo permite la confidencialidad.

Los algoritmos simétricos más utilizados son: DES, 3-DES, IDEA y RC-5.

Algoritmos asimétricos

Los algoritmos asimétricos o de clave pública se basan en disponer de distintas claves y algoritmos para cifrar y descifrar el mensaje. Con este tipo de algoritmos se puede garantizar la integridad, confidencialidad, autentificación e irrebatibilidad en una comunicación. Los algoritmos más comunes de este tipo son: DSS y RSA.

Funciones HASH

Una función HASH es un algoritmo que, dado un mensaje, lo transforma en un código de longitud fija cuyas principales características son que, en primer lugar, siempre debe proporcionar la misma salida, debe ser aleatorio y, por último, debe ser unidireccional.

El principal uso que tienen es para proporcionar autenticidad e integridad. Combinadas con técnicas de clave pública se obtiene una forma eficiente de identificación (firmas digitales). Los algoritmos HASH más usados son: MD5 y SHA.

Firmas y certificados digitales

Las firmas digitales son el equivalente digital de las firmas personales. Se basan fuertemente en los algoritmos asimétricos y en el empleo de funciones HASH.

Para la transmisión de un mensaje entre un emisor y un receptor, el emisor transmitirá, junto con el texto deseado, la firma digital del mensaje cuya finalidad es comprobar la integridad del mensaje y la autenticidad del emisor.

Para ello, el emisor debe disponer de una clave pública y otra privada. Cuando desee enviar un mensaje a un receptor -que deberá conocer la clave pública del emisor- codificará el mensaje con una función HASH cuya salida la cifrará con su clave privada, generando así la firma digital que transmitirá al receptor junto con el texto deseado. Éste separará el mensaje recibido en dos partes: el texto y la firma. Usa la clave pública del emisor para descifrar la firma y, al texto que recibe le aplica la misma función HASH que el emisor, comparando la salida de su función de dispersión con el mensaje descifrado incluido en la firma. Si coinciden, queda probada la integridad del mensaje y la autenticidad del emisor.

Con la dependencia de los algoritmos asimétricos, la técnica de firmas digitales también exige la distribución de las claves. Además, con este sistema, se exige confianza entre las partes de que realmente uno es quien dice ser.

Los certificados digitales pretenden resolver el problema de la confianza en las partes delegando la responsabilidad en un tercero. Es decir, un certificado digital no es más que un mensaje firmado por una parte de una conversación -especie de notario digital que autentifica a las partes- que certifica que una clave pública pertenece a quién se dice que pertenece. Para ello, los certificados digitales, según el estándar X.505, deben contener la siguiente información: número de versión, número de serie del certificado, información del algoritmo del emisor, emisor del certificado, periodo de validez, información sobre el algoritmo de clave pública y la firma digital de la autoridad emisora.

Con este sistema se introduce un nuevo concepto: entidad certificadora -CA- Estas organizaciones son, como se ha dicho anteriormente, la que se responsabilizan de la validez de los certificados, teniendo que, además de crearlos, proporcionar un mecanismo que permita su revocación, su suspensión, la búsqueda de certificados y la comprobación del estado de un certificado.