Post on 03-Feb-2016
Certificación Digital
Contenido
• Seguridad en Internet• Criptografía simétrica• Criptografía asimétrica• Cifrado• Certificado digital• Autoridades de certificación• PKI• Firma • FNMT• DNIe
Seguridad en Internet
• Aspectos básicos de seguridad informática:– Confidencialidad– Integridad– Autenticación– No repudio
Criptografía
• Del griego Oculto + Escritura• El conjunto de métodos y técnicas que tiene
como objeto principal cifrar, y por tanto, proteger, un mensaje o archivo por medio de un algoritmo y el uso de claves
Una definición más ajustada de criptografía
• Rama inicial de las Matemáticas y en la actualidad también de la Informática y la Telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar, y por tanto proteger, un mensaje o archivo por medio de un algoritmo, usando una o más claves.
• Esto dará lugar a diferentes tipos de sistemas de cifra, denominados criptosistemas, que nos permiten asegurar al menos tres de los cuatro aspectos básicos de la seguridad informática: la confidencialidad o secreto del mensaje, la integridad del mensaje y autenticidad del emisor, así como el no repudio mutuo entre emisor (cliente) y receptor (servidor).
Confidencialidad e integridad
CriptosistemaMedio de
Transmisor Transmisión ReceptorM C
Cifrador Mensaje cifrado Descifrador
T RMTC M
Usurpación de identidad
por un intruso (I)
Interceptación del mensaje
por un intruso (I)
Cualquier medio de transmisión es inseguro
Integridad
Confidencialidad
Estos dos aspectos básicos de la seguridad informática, el de la confidencialidad y el de integridad (además de la disponibilidad del sistema y el no repudio) serán muy importantes en un entorno de intercambio de información segura a través de Internet.
Tipos de criptosistemas
Clasificación de los criptosistemas
• Según el tratamiento del mensaje se dividen en:Cifrado en bloque (IDEA, AES, RSA* ...) 64 ó 128 bitsCifrado en flujo (A5, RC4, SEAL ...) cifrado bit a bit
• Según el tipo de claves se dividen en:• Cifrado con clave secreta: Sistemas simétricos• Cifrado con clave pública: Sistemas asimétricos
Criptografía SimétricaExistirá una única clave
(secreta) que deben compartir emisor y receptor. Con la misma clave se cifra y se descifra por lo que la seguridad reside en mantener dicha clave en secreto.
Con una sola clave se cifra y se descifra
– Ventaja: Rapidez– Inconveniente: Hay que
distribuir la clave
Criptosistemas simétricos
Medio de
k Transmisión kM C
Texto TextoBase Criptograma Base
EKMT DK
MC
protegida protegida
Integridad
C’ no permitido
Confidencialidad
M no permitido
Intruso
La confidencialidad y la integridad se lograrán si se protegen las claves en el cifrado y en el descifrado. Es decir, se obtienen simultáneamente si se protege la clave secreta.
DES, TDES, IDEA, CAST, RC5, AES, ...
DES, TDES, IDEA, CAST, RC5, AES, ...
Criptografía Asimétrica• Se usa un par de claves:
– Una Pública– Otra Privada
• Son complementarias: lo que cifra una, solo lo puede descifrar la otra y viceversa.
• Esto se consigue usando funciones matemáticas de un solo sentido o con trampa.
Cada usuario crea un par de claves, una privada y otra pública, inversas dentro de un cuerpo finito. Lo que se cifra en emisión con una clave, se descifra en recepción con la clave inversa. La seguridad del sistema reside en la dificultad computacional de descubrir la clave privada a partir de la pública. Para ello, usan funciones matemáticas de un solo sentido o con trampa.
Criptografía Asimétrica
• Soluciona el problema de la confidencialidad del envío de claves
• Es muy lento, Solución: combinar un algoritmo simétrico y otro asimétrico
Criptosistemas asimétricos (parte 1)
Cifrado con clave pública del receptor (intercambio de claves RSA)
Medio deClave públicadel usuario B Transmisión
M
CUsuario A Criptograma
EBMT DB
M
C
Clave privadadel usuario B
Usuario B
protegida
Intruso Confidencialidad
M no permitido
Observe que se cifra con la clave pública EB del destinatario B.
Las cifras EB y DB (claves) son inversas dentro de un cuerpo
Un sistema similar es el intercambio de clave de Diffie y Hellman (DH)
Criptosistemas asimétricos (parte 2)Cifrado con clave privada del emisor(firma digital RSA)
Intruso
CriptogramaC
Medio deClave privadadel usuario A Transmisión
M
Usuario A
DAMT EA
M
C
Clave públicadel usuario A
Usuario B
Integridad
C’ no permitido
Observe que se cifra con la clave privada DA del emisor A.
Se firma sobre un hash h(M) del mensaje, por ejemplo SHA-1.
Firmas: RSA y DSS
La firma DSS estará basada en el algoritmo de cifra de ElGamal.
Las cifras DA y EA (claves) son inversas dentro de un cuerpo
protegida
Firma digital
• Se garantiza:– Autenticación– Integridad– No repudio
• No hay confidencialidad• La firma digital es un
cifrado de un resumen del mensaje que se está firmando utilizando la clave privada
Cifrado
• Se genera una clave de sesión aleatoria
• Se soluciona el problema de la lentitud
• Se garantiza: la Confidencialidad
Concepto legal de FirmaSegún Ley 59/2003, de 19 de diciembre, de firma electrónica • (Art. 3.1) La firma electrónica es el conjunto de datos en forma electrónica,
consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
• (Art. 3.2) La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
• (Art. 3.3) Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
• (Art. 3.4) La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
Función HASH
• Es una función que obtiene una cadena resumen de longitud fija a partir de cualquier otro texto de cualquier longitud
• La cadena resumen obtenida es única para cada texto
• Es fácil obtener la cadena a partir del texto• Es imposible obtener el texto a partir de la
cadena
Firma electrónica reconocida
• Una firma electrónica que sea reconocida debe cumplir las siguientes propiedades o requisitos:– identificar al firmante – verificar la integridad del documento firmado – garantizar el no repudio en el origen – contar con la participación de un tercero de
confianza– debe de ser generada con un dispositivo seguro de
creación de firma
Certificado digital
• Un certificado digital es un documento electrónico que asocia una clave pública con la identidad de su propietario
• Para evitar que se dupliquen las claves privadas se suele recurrir a soportes físicos, como las tarjetas inteligentes
Uso seguro de certificados
Al descargarlo: establecer Nivel Alto de seguridad: contraseña para acceder a la clave privada
Al importar: Habilitar protección segura de claves privadas y establecer nivel de seguridad ALTO.
Al exportar: proteger la clave privada por medio de una contraseña
Autoridades de certificación• La validez de un certificado es la
confianza en que la clave pública contenida en el certificado pertenece al usuario indicado en el certificado
• Dos usuarios puedan confiar directamente entre sí, si ambos tienen relación con una tercera parte ya que ésta puede dar fé de la fiabilidad de los dos.
• La TPC que se encarga de la firma digital de los certificados de los usuarios de un entorno de clave pública se conoce con el nombre de Autoridad de Certificación (AC).
DNIe
• Incorpora un circuito integrado capaz de guardar de forma segura información y de procesarla internamente
FNMT
• Proyecto CERES (CERtificación ESpañola) Entidad Pública de Certificación, que permite autentificar y garantizar la confidencialidad de las comunicaciones entre ciudadanos, empresas u otras instituciones y administraciones públicas a través de las redes abiertas de comunicación.
http://masdestacados.060.es
Referencias
• Curso de criptografía FNMT http://www.cert.fnmt.es/content/pages_std/html/tutoriales/tuto1.htm
• Portal del DNI electrónico • http://www.dnielectronico.es/• Manual de firma electrónica http://
www.cert.fnmt.es/content/pages_std/docs/ManualFirmaElectronica.pdf
• INTECO: Comprobar la integridad de los ficheros http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Notas_y_Articulos/articulo_comprobar_integridad_ficheros
• Servicios públicos de administración electrónica http://masdestacados.060.es/
• C/ Maestra, 13 Tlf: 953219111oae@aytojaen.eshttp://www.aytojaen.eshttp://ov.aytojaen.es
A nivel Local