# üîê Laboratorio de Criptograf√≠a: Hash Seguros y PBKDF2HMAC

En este laboratorio aprender√°s:

- Qu√© es un hash seguro y para qu√© se utiliza
- C√≥mo se calcula un hash usando SHA-256
- Qu√© es PBKDF2HMAC y c√≥mo se deriva una clave desde una contrase√±a
- Pr√°cticas seguras para proteger contrase√±as y datos sensibles


# üîê Laboratorio Te√≥rico-Pr√°ctico: Hash Seguros y Derivaci√≥n de Claves (PBKDF2HMAC)

Este notebook combina teor√≠a y pr√°ctica para comprender:

- Qu√© es un algoritmo de hash y por qu√© debe ser seguro
- Propiedades fundamentales de un hash seguro con explicaci√≥n
- C√≥mo implementar un hash con SHA-256
- Qu√© es PBKDF2HMAC y c√≥mo se utiliza para proteger contrase√±as


## üìò ¬øQu√© es un Hash?

Un **hash** es una funci√≥n que convierte cualquier entrada (texto, archivo, contrase√±a) en una salida de longitud fija, llamada **valor hash** o **digest**.

Por ejemplo:

- Entrada: "hola"
- Hash SHA-256: `b1946ac92492d2347c6235b4d2611184`

Los hashes son utilizados en criptograf√≠a para garantizar la **integridad** de los datos, almacenar contrase√±as de forma segura y verificar autenticidad.


## üìå Propiedades de un Hash Seguro

1. **Determinismo**  
   Siempre que se aplique la funci√≥n hash al mismo dato de entrada, se obtendr√° exactamente el mismo resultado.  
   > Ejemplo: `hash("mensaje")` dar√° el mismo valor hoy o ma√±ana.


2. **Unidireccionalidad**  
   No es posible deducir la entrada original a partir del hash resultante. Esto protege contrase√±as e informaci√≥n privada.  
   > Es imposible (en teor√≠a) "revertir" un hash.


3. **Difusi√≥n completa (Avalanche effect)**  
   Un peque√±o cambio en la entrada genera un cambio radical en el hash.  
   > Ejemplo: cambiar una letra produce un hash totalmente distinto.


4. **Resistencia a colisiones**  
   Es extremadamente dif√≠cil encontrar dos entradas distintas que produzcan el mismo hash.  
   > Fundamental para firmas digitales y verificaci√≥n de datos.


5. **Eficiencia computacional**  
   Calcular un hash debe ser r√°pido y no consumir muchos recursos, incluso con grandes cantidades de datos.


## üîê C√°lculo de Hash SHA-256 en Python

In [1]:
import hashlib

# Probar hashing con distintas entradas
mensajes = ["hola mundo", "hola Mundo", "Hola mundo!"]

for msg in mensajes:
    digest = hashlib.sha256(msg.encode()).hexdigest()
    print(f"Texto: {msg}")
    print(f"Hash:  {digest}\n")


Texto: hola mundo
Hash:  0b894166d3336435c800bea36ff21b29eaa801a52f584c006c49289a0dcf6e2f

Texto: hola Mundo
Hash:  00256edc2cabb60f547b376373e936ac4a5ba78a0ca00960eea3703ac2a707c5

Texto: Hola mundo!
Hash:  1e479f4d871e59e9054aad62105a259726801d5f494acbfcd40591c82f9b3136



### üß™ Ejercicio 1

1. Agrega tus propios mensajes a la lista y observa c√≥mo el hash cambia completamente.
2. Intenta usar entradas similares (como espacios extra) para confirmar la propiedad de difusi√≥n completa.


## üîê ¬øQu√© es PBKDF2HMAC?

**PBKDF2** (Password-Based Key Derivation Function 2) es una funci√≥n que convierte una contrase√±a en una clave criptogr√°fica segura.

Para hacerlo a√∫n m√°s robusto, se combina con **HMAC** (Hash-based Message Authentication Code) y un algoritmo de hash como SHA-256.

### ¬øPor qu√© se usa?

- Las contrase√±as por s√≠ solas son f√°ciles de adivinar (123456, admin123, etc.).
- PBKDF2HMAC hace que generar la clave lleve tiempo computacional.
- Usa un **salt** aleatorio y muchas iteraciones para hacer inviable ataques por diccionario o fuerza bruta.



In [1]:
import base64, os
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.backends import default_backend

# Datos de entrada
password = b"contrasena_segura"
salt = os.urandom(16)

# Derivaci√≥n
kdf = PBKDF2HMAC(
    algorithm=hashes.SHA256(),
    length=32,
    salt=salt,
    iterations=100000,
    backend=default_backend()
)

clave = base64.urlsafe_b64encode(kdf.derive(password))
print("Clave derivada:", clave)


Clave derivada: b'q_7preDqO4eZdAwUK6W49VSVIUrYuWDEwZk_86BxxIg='


### üß™ Ejercicio 2

1. Cambia la contrase√±a o el `salt` y observa c√≥mo cambia la clave derivada.
2. ¬øQu√© pasa si reduces las iteraciones a 10? ¬øY si las aumentas a 1,000,000?
3. Explica por qu√© un atacante no puede simplemente probar todas las claves posibles.


## üìò Parte 1: Algoritmos de Hash Seguros

Un algoritmo de hash seguro genera una "huella digital" √∫nica e irreversible de un dato.

**Propiedades importantes:**
- Determinismo
- Unidireccionalidad
- Resistencia a colisiones
- Difusi√≥n completa

A continuaci√≥n, probaremos SHA-256 en Python.


In [3]:
import hashlib

# Ingrese un texto y calcule su hash SHA-256
texto = "hola mundo"
hash_sha256 = hashlib.sha256(texto.encode()).hexdigest()

print(f"Texto: {texto}")
print(f"Hash SHA-256: {hash_sha256}")


Texto: hola mundo
Hash SHA-256: 0b894166d3336435c800bea36ff21b29eaa801a52f584c006c49289a0dcf6e2f


### üß™ Ejercicio 1

1. Cambia el texto en la celda anterior y observa c√≥mo cambia el hash.
2. ¬øPuedes predecir el nuevo hash antes de ejecutarlo? ¬øPor qu√© no?


## üîê Parte 2: Derivaci√≥n de claves con PBKDF2HMAC

PBKDF2HMAC es un algoritmo que toma una contrase√±a y la convierte en una clave segura usando:

- Un **salt** (valor aleatorio)
- Un n√∫mero elevado de iteraciones
- Un algoritmo de hash como SHA-256


In [2]:
import base64
import os
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.backends import default_backend

# Contrase√±a del usuario
password = b"miclave123"
salt = os.urandom(16)  # salt aleatorio

# Derivaci√≥n
kdf = PBKDF2HMAC(
    algorithm=hashes.SHA256(),
    length=32,
    salt=salt,
    iterations=100000,
    backend=default_backend()
)

clave_segura = base64.urlsafe_b64encode(kdf.derive(password))
print(f"Clave derivada: {clave_segura}")


Clave derivada: b'_BzvY4kgQHyNV-2MYWfXKSQI_jz1ukM_2a3_3ecTDJs='


### üß™ Ejercicio 2

1. Cambia la contrase√±a o el salt y observa c√≥mo cambia la clave resultante.
2. ¬øPor qu√© es importante el uso del `salt`?
3. ¬øQu√© pasa si usas menos iteraciones? ¬øY si las aumentas?
