SergioTarrillo - RichWeblog

encriptando o cifrando informacion?

La necesidad de encriptar (ocultar a simple vista) información no es necesidad propia en los sistemas de información, su inicio y apogeo fue marcado por las diversas guerras que hubo en la historia, se presume desde las campañas militares de los romanos hasta las últimas guerras mundiales.

¿Qué ha cambiado, en el presente? Pues que ahora contamos con computadores más potentes capaces de poder desencriptar (vamos a usar estos neologismos en la entrada, si prefiere, reemplazar por cifrar/descifrar) la información "oculta", utilizando fuerza bruta por ejemplo. Y desde hace décadas se tratado de mejorar y llevar al proceso de estandarización los algoritmos de encriptación.

Veamos, un ejemplo sencillo usando el método de encriptación CCQSMO cualquier cosa que se me ocurra:

La palabra Geeks.ms:

1. Obtener el código Ascii: 7110110110711546109115
2. Le sumamos 10 (clave) a cada código Ascii: 8111111111712556119125
3. Volvemos a convertir a cadena, y tenemos nuestra cadena encriptada: Qoou}8w}

Obviamente hay algoritmos de encriptación, y hay "algoritmos". Vamos a repasar algunos de estos métodos y sus respectivas codificaciones, pero antes vamos diferenciar algoritmos de encriptación y métodos de cifrado Hash.

¿Se han preguntado porqué cuando se registran en algunos foros, al hacer un "recovery password", no me devuelve el password que he perdido, el sistema devuelve un nuevo password. ¿Por qué? Es que no esta usando un algoritmo de encriptación para ocultar el password, esta usando una función Hash, y es en un sólo sentido, en otras palabras, no se puede recuperar la cadena original a partir del password. ¿Entonces, cómo hace el match?, pues lo que hace no es desencriptar el password cifrado, para compararlo con el input del usuario, lo que hace es volver a cifrar/encriptar el input, y si el input cifrado coincide con el password cifrado que esta en la base de datos, entonces valida exitosamente tus credenciales. Mas detalles: Hash vs Encryption y Hashing vs. Encryption.

Hecho esta aclaraciones vamos a listar los métodos de criptografía, a los cuales podemos encontrar en dos grandes grupos:

1.a) Criptografía simétrica (en):

Estos algoritmos, usan una misma clave para encriptar/desencriptar el mensaje. En .Net tenemos el namespace: System.Security.Cryptography, para las operación de encriptación:

• DES, Data Encryption Standard, se considera inseguro para muchas aplicaciones debido a que su clave es de 56 bits, recientes algoritmos de claves simétricas usan claves de 128 bits. En este artículo: Encrypt/Decrypt String using DES in C#, usa la clase DESCryptoServiceProvider. También puede revisar este artículo: Simple Cryptographer - Simple DES/AES Implementation in C#, o este hilo del foro: Help with DES Encryption & Decryption using C#.Net, revisar la respuesta final de la primera página.
• 3DES, o Triple DES, que hace triple encriptación de DES. Se usa a través de la clase: TripleDESCryptoServiceProvider, puede ver algunos ejemplos en los siguientes artículos: Encryption/Decryption using RSA, DES, 3DES and Rijindael in VS.Net 2005 y Library Encrypt and Decrypt Methods Using TripleDES and MD5.
• AES, Advanced Encryption Standard o también conocido como Rijndael, es un esquema de cifrado por bloques y actualmente es el más popular dentro de los algoritmos simétricos, fue creado para reemplazar al DES. Este algoritmo es implementado usando la clase AesCryptoServiceProvider (only .Net 3.5), aquí algunos ejemplos: Visual Studio "Orcas": finally a BigInteger and a lot faster AES y .Net Encryption simple AES wrapper. Para las versiones anteriores del .Net Framework puede revisar los siguientes artículos: How To: Encrypt and Decrypt Data Using a Symmetric (Rijndael) Key (C#/VB.NET) y Simple Cryptographer - Simple DES/AES Implementation in C#.
• IDEA, International Data Encryption Algorithm, también usa el cifrado en bloques y aunque no encontré muchos ejemplos, encontré una implementación en C: IDEA.c. ¿Será por las patentes de este algoritmo lo tiene la empresa MediaCrypt y se necesita licencian para usarlo comercialmente? Por cierto la evolución de IDEA, es: IDEA NXT.
• Blowfish, usa bloques de 64 bits y claves que van desde los 32 bits hasta 448 bits. Hay una implementación: Markus Hahn, Blowfish.NET (según el autor del algoritmo Bruce Schneier, es una de las implementaciones más rápidas) y la otra implementación fue desarrollado por Russ Young: Blowfish.cs.
• Series RC, de Ron Rivest: , y aunque System.Security.Cryptography tiene una clase para RC2: RC2CryptoServiceProvider, no tiene una clase para la versión RC4, pero en SourceForge hay una librería: RC4.NET, también puede revisar estos artículos: RC4 Encryption Algorithm: C# Version y RC4 Encryption.
• Hay otros algoritmos que se quedaron en la cola (también de las referencias) en el proceso de creación del AES, sucesor del DES: CAST-256, CRYPTON, DEAL, DFC, E2, FROG, HPC, LOKI97, MAGENTA, MARS, RC6, Rijndael, SAFER+, Serpent, and Twofish. Leer más: Advanced Encryption Standard process.

 1.b) Criptografía asimétrica (en):

Usa dos claves para el envió de mensajes, una clave pública y una clave privada. El destinatario del mensaje es el que posee estas dos claves, y envía la clave pública al remitente, y sólo con la clave privada (que tiene sólo el destinatario) puede desencriptar el mensaje.

• RSA, es uno de los más conocidos en criptografía asimétrica. En .Net podemos usar la clase RSACryptoServiceProvider, aquí un ejemplo: Public Key RSA Encryption in C# .NET, y RSA Encryption in C#.
• DSA, Digital Signature Algorithm, es un estándar para firmas digitales. En .Net podemos usar la clase DSACryptoServiceProvider, artículos: Hashing, MACs, and Digital Signatures in .NET.
• También revisar el algoritmo ElGamal, basado en el protocolo Diffie-Hellman. Y también revisar PKCS, Public Key Cryptography Standards.

2) Funciones de encriptación hash:

Como comenté al inicio, es encriptación (o cifrado) en un sólo sentido, no se puede recuperar el texto original a parte del texto encriptado. Además de tener la particularidad de generar un texto de un tamaño específico, siendo único cada contenido generado.

• MD5, Message-Digest algorithm 5, es ampliamente usado y dicen que parcialmente inseguro (ver detalles en wikipedia). En .Net tenemos la clase MD5CryptoServiceProvider, algunos artículos: HOWTO: Encode a password using MD5 in C# (or: howto calculate the MD5 hash for a string) y How to get MD5 hash in C# . NET, y como dicen en este último es similar a la función MD5 de Php.
• Serie SHA, Secure Hash Algorithm, existen varias series SHA-1, y en la familia SHA-2: SHA-224, SHA-256, SHA-384, y SHA-512. Donde la principal diferencia es el tamaño generado para el mensaje cifrado, como se puede ver en los resultados del siguiente artículo: NetSHA: a Complete SHA implementation for the .NET Framework using C#, .Net soporta los siguientes SHA-*: SHA1CryptoServiceProvider, SHA256CryptoServiceProvider, SHA384CryptoServiceProvider, y SHA512CryptoServiceProvider. Aquí un ejemplo de como usar SHA-1: SHA1 hash calculation in C#, también puede revisar el siguiente artículo: How To: Hash Data with Salt (C#/VB.NET).
• Si desea ver otras funciones Hash, las puede ver la siguiente lista: List of cryptographic hash functions.

Ahora que ya vimos, los algoritmos de encriptación y funciones hash. Vayamos con algunos ejemplos, y su aplicabilidad dentro del entorno .Net

a) Encriptando secciones del web.config, con estos artículos queda clarísimo: Cifrado de información en los archivos de configuración de ASP.NET y Encrypting Configuration Information in ASP.NET 2.0 Applications. Podemos usar dos providers: RSA o DPAPI, básicamente DPAPI es más segura por que esta atada a la máquina donde se realiza la encriptación (leer los comentarios de José M.A.). Pero el proveedor DPAPI (DpapiProtectedConfigurationProvider), qué algoritmo usa? Utiliza una API del sistema operativo llamada Windows Data Protection, y es expuesta a través de: Crypt32.dll (Win32).

b) ¿Que algoritmo de encriptación usa el servicio de membership de ASP.NET 2.0+? Si estamos usando el servicio de Membership de ASP.NET 2.0+, dentro del web.config, en el elemento membership, nosotros podemos definir el formato del password a almacenar en la base de datos, y puede ser de tres tipos: Clear, Encrypted, and Hashed. Clear, almacena el password en texto plano (por si me olvidó, o me gusta modificar el password directamente en la base de datos con un Open Table), Hashed para usar una función hash (en un sólo sentido), y Encrypted, para poder encriptar/desencriptar un password. ¿Qué implicancia tiene, usar Hashed o Encrypted?, pues que si estamos usando el control PasswordRecovery, con el formato Hashed no vamos a poder recuperar el password, lo que hará el control es generar un nuevo password, recuerden que Hash es un sólo sentido. ¿Qué algoritmos usa, y donde lo configuro? La configuración se hace en el elemento machineKey, y puedo usar las funciones hash MD5 y SHA1, y los algoritmos de encriptación simétrica 3DES y AES.

P.D.: Esto es el fruto de dos amanecidas hasta las 2:00 a.m., una rápida revisión a los algoritmos de encriptación, y sus respectivas implementaciones en .NET, que lo disfruten!

Saludos,

[Ado.Net] Clase de conexion generica para cualquier motor de base datos, usando .Net Providers

Problema: En internet hay mucha información sobre como trabajar con Ado.Net y SQL, pero cuando tenemos que usar un nuevo proveedor  de base de datos desde .Net, comenzamos a buscar ejemplos específicos sin darnos cuenta, que también podemos usar los ejemplos de Ado.Net y SQL (usar la estructura).

Solución: Exponer una estructura básica de Ado.NET para las diversas operaciones que podemos hacer una fuente de datos, consultar, insertar, actualizar, y eliminar, y que esta estructura puede ser usada con cualquier proveedor disponible en .Net.

En el artículo usaremos las clases: XyzConnection, XyzCommand, XyzDataReader, y un XyzParameter, para presentar las clases base que después pueden ser reemplazadas (en la mayoría de casos) por las siguientes clases de acuerdo a los proveedores:

1. SQL Server: SqlConnection, SqlCommand, SqlDataReader, y SqlParameter.
2. SQL Server CE: SqlCeConnection, SqlCeCommand, SqlCeDataReader, y SqlCeParameter.
3. Oracle (ODP.Net): OracleConnection, OracleCommand, OracleDataReader, y OracleParameter. Hay un proveedor de MS: Microsoft's .NET for Oracle Provider, pero el Oracle Data Provider for .NET, es el oficial de la gentita de Oracle.
4. DB2: DB2Connection, DB2Command, DB2DataReader, y DB2Parameter.
5. MySQL: MySqlConnection, MySqlCommand, MySqlDataReader, y MySqlParameter. Ejemplos: Connector/NET Examples and Usage Guide.
6. PostgreSQL: NpgsqlConnection, NpgsqlCommand, NpgsqlDataReader, y NpgsqlParameter. Ejemplos: Npgsql 2.0 User Manual.
7. VistaDB: VistaDBConnection, VistaDBCommand, VistaDBDataReader, y VistaDBParameter.
8. OleDb: OleDbConnection, OleDbCommand, OleDbDataReader, y OleDbParameter.
9. Odbc: OdbcConnection, OdbcCommand, OdbcDataReader, y OdbcParameter.
10. Y así...., se entiende la idea?. Ya no pongo más proveedores, por que no acabo la entrada. No se pierda la saga: OleDb vs Odbc.

En el caso que este disponible un proveedor puntual para una fuente de datos, podemos usar OleDb, y si no esta disponible en está, podemos usar Odbc:

1. Access. Ejemplo de conexión con OleDb. Ejemplo en código: Using ADO .NET - Access and OleDB Part 2. Más ejemplos.
2. Excel: Ejemplo de conexión con OleDb. Ejemplos en código: Reading Excel (.xls) Files with ADO.NET, y Reading and Writing Excel Spreadsheets Using ADO.NET C# DbProviderFactory. Más ejemplos.
3. Text Files (CSV, tab, custom): Ejemplo de conexión con OleDb. Ejemplo en código: Using OleDb to Import Text Files (tab, CSV, custom). Más ejemplos.
4. Se entiende la idea?

Código Ejemplo

Y después de tantos links, vayamos con el código propuesto para hacer operaciones (CRUD) contra una fuente de datos.

En nuestro modelo, para enviar o recuperar información no vamos a usar DataSet ni DataTables, vamos a usar objetos y listas (generics) de objetos:

1. Las listas de objetos son tipadas. Con dataset: Convert.ToInt32(ds.Tables[0].Rows[0]["SupplierID"]), con un List<Supplier>: lstSuppliers[0].SupplierID, se nota la diferencia no?. El dataset también se puede tipar, pero no viene por defecto.
2. El rendimiento que se puede lograr con una lista puede ser mejor que con DataSets. Revisar: Anti Prácticas .NET: Lectura de Datos con ADO.NET II.
3. Si están trabajando con ASP.Net, es soportado por el control ObjetDataSource.
4. Le tengo cariño a los List<Object>.

P.D.: Ojo con esto no quiero desechar a los Dataset y Datatable, quizás para Winforms se le encuentre más beneficios (traer toda la data y filtrar data en memoria), pero en entornos Web la palabra rendimiento es más necesitada, por eso los filtros deben venir desde la base de datos y no en memoria.

Como vamos a usar Listas (generics) de objetos para pasar entre nuestros métodos/capas, vamos a tener que definir nuestras entidades (capa de Entidades). La definición de nuestro entidad Category (Category.cs):

   1: using System;

   2:  

   3: namespace Northwind.BO

   4: {

   5:  public  class Cateogory

   6:   {

   7:  

   8:    private Int32 categoryIDField;   

   9:    public Int32 CategoryID

  10:    {

  11:      get { return categoryIDField; }

  12:      set { categoryIDField = value; }

  13:    }

  14:  

  15:    private String categoryNameField;

  16:    public String CategoryName

  17:    {

  18:      get { return categoryNameField; }

  19:      set { categoryNameField = value; }

  20:    }

  21:  

  22:    private String descriptionField;

  23:    public String Description

  24:    {

  25:      get { return descriptionField; }

  26:      set { descriptionField = value; }

  27:    }

  28:  

  29:   }

  30: }

Esta clase (entidad) normalmente tiene un atributo por cada columna de la tabla a mapear. En este caso hemos mapeado la tabla Category, de la famosísima Northwind. Nota: Si es una aplicación Web ASP.NET, y va usar el control ObjectDataSource, no se olvide de usar el atributo: DataObjectField. Leer más.

Ahora vamos a implementar la clase de acceso a datos (capa de acceso a datos) XyzCategory. Esta sólo es una clase base, y podemos hacer el uso de patrones, interfaces, o custom, para hacer más genérica esta estructura, y que sea el contrato para cualquier operación con la base de datos. Por hacer más simples los métodos, quedo pendiente el manejo de excepciones, pero cuando intente borrar un registro con dependencias notará su necesidade. No se olvide de revisar el uso de Using (con lección de Unai incluida).

   1: using System;

   2: using System.Collections.Generic;

   3: using System.Configuration;

   4: using System.Data.XyzClient;

   5: using Northwind.BO;

   6:  

   7: namespace Northwind.DA

   8: {

   9:   public class XyzCategory

  10:   {

  11:     private String connectionString;

  12:  

  13:     public XyzCategory(String connectionName)

  14:     {

  15:       connectionString =

  16:         ConfigurationManager.ConnectionStrings[connectionName].ConnectionString;

  17:     }

  18:  

  19:     #region getAll , getOne

  20:  

  21:     public List<Cateogory> getAll()

  22:     {   

  23:     }

  24:  

  25:     public Cateogory getOneByID(Int32 catID)

  26:     {      

  27:     }

  28:  

  29:     #endregion

  30:  

  31:     #region Insert, Update, Delete

  32:  

  33:     public Int32 Insert(Cateogory objCat)

  34:     {    

  35:     }

  36:  

  37:     public Boolean Update(Cateogory objCat)

  38:     {    

  39:     }

  40:  

  41:     public Boolean Delete(Int32 categoryID)

  42:     {    

  43:     }

  44:  

  45:     #endregion

  46:   }

  47: }

Vayamos con los métodos específicos, el método getAll vamos a traer la lista de registros. Si están en una aplicación Web la recomendación es traer la información paginada para no traer todos los resultados, y si estamos usando un ObjectDataSource tendríamos que agregar un método Count (será tema de otro post). Nota: para los string que contienen los queries vamos a usar: cadenas verbatim.

   1: public List<Cateogory> getAll()

   2: {

   3:   List<Cateogory> lstSup = new List<Cateogory>();    

   4:  

   5:   //crear conexion

   6:   using (XyzConnection xxxCn = new XyzConnection())

   7:   {

   8:  

   9:     String cmdText = @"SELECT categoryID, categoryName, Description  

  10:                        FROM Categories";

  11:     //crear comando

  12:     using (XyzCommand cmd = new XyzCommand(cmdText, xxxCn))

  13:     {

  14:       //abrir conexion

  15:       cmd.Connection.Open();

  16:  

  17:       //recorrer resultados

  18:       using (XyzDataReader rd = cmd.ExecuteReader())

  19:       {

  20:  

  21:         Cateogory objCat = null;

  22:  

  23:         //recuperar el orden de columnas

  24:         Int32 categoryIDIndex = rd.GetOrdinal("categoryID");

  25:         Int32 categoryNameIndex = rd.GetOrdinal("categoryName");

  26:         Int32 descriptionIndex = rd.GetOrdinal("Description");

  27:  

  28:         Int32 colCount = rd.FieldCount;

  29:         Object[] values = new Object[colCount];

  30:  

  31:         while (rd.Read())

  32:         {

  33:           objCat = new Cateogory();

  34:  

  35:           //obtener todos los valores

  36:           rd.GetValues(values);

  37:  

  38:           objCat.CategoryID = Convert.ToInt32(values[categoryIDIndex]);

  39:           objCat.CategoryName = values[categoryNameIndex].ToString();

  40:           //en el caso de que la columna sea null

  41:           //Null to Int = (exception)

  42:           if ( !(values[descriptionIndex] is DBNull))

  43:           {

  44:             objCat.Description = values[descriptionIndex].ToString();

  45:           }

  46:          

  47:           //agregar objecto a la lista

  48:           lstSup.Add(objCat);

  49:         }

  50:       }

  51:     }

  52:   }

  53:  

  54:   return lstSup;

  55: }

Ahora el método para devolver un registro, si va usar SQL dinámico, es recomendable usar consultas parametrizadas para enviar los ataques SQL-Injection:

   1: public Cateogory getOneByID(Int32 catID)

   2: {

   3:   Cateogory objCat = null;

   4:  

   5:   if (catID > 0)

   6:   {

   7:  

   8:     //connection

   9:     using (XyzConnection xxxCn = new XyzConnection())

  10:     {

  11:  

  12:       String cmdText = @"SELECT categoryID, categoryName, Description

  13:                          FROM Categories 

  14:                          WHERE CategoryID=@categoryID";