Академический Документы
Профессиональный Документы
Культура Документы
certificados digitales
2
Seguridad
Servicios
Criptografía
Firma digital
Protección de la clave privada
DSCF
Servicios de Seguridad
• La Seguridad de la Información tiene 4
objetivos:
– Confidencialidad
– Integridad
– Disponibilidad
– Uso autorizado
• Principales tecnologías para lograr estos
objetivos:
– Seguridad en las comunicaciones
– Seguridad en los ordenadores
• La seguridad total NO existe
– Tiempo y recursos
4
Servicios de Seguridad
• No Repudio
– Es uno de los servicios más importantes
– Sirve para proporcionar evidencias que
soporten la resolución de disputas en cuanto
a quién envió una determinada información,
qué información envió, etc.
– Ejemplo: pedidos, firma de contratos, etc
5
Criptografía
• Criptografía
– Técnica de convertir un texto en claro (plaintext)
en otro llamado criptograma (ciphertext), cuyo
contenido es igual al anterior pero sólo pueden
entender las personas autorizadas.
– Ejemplo:
• CRIPTOGRAFÍA FULSWRJUDID
• Criptosistema
Canal Canal Mensaje
Mensaje
Medio de
Transmisor Transmisión Receptor
6
Tipos de Criptosistemas
7
Criptografía Simétrica
• Basados en la utilización de la misma clave
para cifrar y descifrar
– Previamente conocida por emisor y receptor
– Criptografía de clave secreta
– La seguridad reside en mantener la clave en
secreto
Cifrado Descifrado
9
Criptografía Asimétrica VS Criptografía
Simétrica
• Sistemas de Clave Pública
– Claves de gran tamaño
– Muy lentos
– Firma digital
– Fácil intercambio de
claves
• Sistemas de Clave
Secreta
– Clave de pequeño
tamaño (96 bits ≈ 1024
bits pública)
– Muy rápidos (entre 10 y
100 veces más rápidos)
– No proporcionan firma
digital
– No proporcionan
intercambio de claves
10
Firma Digital
• ¿Por qué una firma digital?
– Para proporcionar autenticidad, integridad y no repudio en
los documentos electrónicos
– Para usar Internet como un medio seguro para la
Administración Electrónica y el Comercio Electrónico
• ¿Qué es una firma digital?
– El valor hash de un mensaje cifrado con la clave privada
de una persona es su firma digital sobre ese documento
• La firma digital de una persona varía de un documento a otro
asegurando así la autenticidad de cada palabra del documento
• Como la clave pública del firmante es conocida, cualquiera
puede verificar el mensaje y la firma digital
11
Firma Digital
Algoritmo
Hash
Resumen
Digital
Clave
privada
PROCESO DE FIRMA
12
Firma Digital
• Verificación Firma
Digital Algoritmo
Documen Hash
to
original
h23edhrt
+ =
√ Resumen
Digital
h23edhrt
Clave
pública
PROCESO DE
VERIFICACIÓN DE
FIRMA
13
Firma Manuscrita VS Firma
Digital
Manuscrita Electrónica
14
Protección de la Clave
Privada
• La clave privada generada tiene que ser
protegida y mantenida en secreto
• La responsabilidad de la confidencialidad de
la clave recae en su propietario
• La clave privada puede ser protegida
usando:
– Token software protegidos
por PIN
– Tarjetas Inteligentes
– Token Hardware
15
Tarjetas Inteligentes
• La clave privada es generada en un
módulo criptográfico que reside en la
tarjeta inteligente
• La clave se mantiene en la memoria de la
tarjeta inteligente
• Clave está altamente protegida ya que no
abandona la tarjeta, el resumen o hash
se envía a la tarjeta para que ésta haga
la firma, y sólo la firma sale de la tarjeta
• La tarjeta inteligente proporciona
movilidad a la clave y la firma puede
realizar en cualquier sistema que posea
un lector de tarjetas
16
DSCF
• Dispositivos Seguros de Creación de Firma
– Permite garantizar la autenticación fuerte así
como sirven de base para generar firmas
electrónicas con el mismo valor legal que la firma
manuscrita
– Descritos en la Ley 59/2003 de firma electrónica
– Certificación en el Centro Criptológico Nacional
• Normas: CW 14169 y nivel EAL4+
– DSCF disponibles:
• Tarjeta Electrónica Ministerio de Defensa
• DNI-e v1.1
17
Certificados
Introducción
Tipología
Certificados
Internet
19
Certificados
• Certificado
– Documento electrónico que
asocia
una identidad a una clave
• Certificados Firma
– Se implementa usando la
firma
• Certificados
Autenticación
– La autenticación puede ser
implementada usando
certificados digitales
– Lo mismo para otros
servicios como
autorización, etc
• Los certificados son
estáticos
– Cambios => Re-emisión
20
Certificados
– Documento electrónico
contenedor de una
identidad digital.
– Contiene:
• Información de
identificación
• Clave pública.
• Información de la entidad
que certifica.
• Periodo de validez del
certificado.
• Firma digital del emisor.
– Almacenamiento de
certificado + clave privada:
• Software.
• En dispositivo criptográfico
– Emitido por un prestador de
servicios de certificación.
21
DNI electrónico
• Certificados del DNIe
– Autoridad de certificación
Dirección General de
Policía.
– Validez 30 meses.
22
Tipos
– Usuario
• Perfil „persona física‟
• Perfil „persona jurídica‟
• Perfil „empleado público‟
– Servidor
• Sede electrónica y sello de órgano.
• Servidores web túnel SSL
• Actuaciones automáticas (sellado, registro,
notificación…)
23
Prestadores
PKI
Elementos de una PKI
Validación
PKI
• Sistema de publicación de los valores de clave
pública utilizados en criptografía asimétrica.
• Principales elementos:
– Autoridad de Certificación (CA)
– Autoridad de Registro (RA)
– Repositorio de Certificados
– Entidades Finales
• Operaciones básicas:
– Certificación
– Validación
– Revocación
– Publicación y Distribución de certificados y de
notificaciones de revocación
25
PKI
• Operaciones adicionales:
– Sellado de tiempos
– Servicios Web de validación
– Almacenamiento y recuperación de claves
– Establecimiento de relaciones de confianza
(Certificación cruzada)
• El modo de realizar estas operaciones define
las características de cada PKI.
• PKI = Prestador de Servicios de Certificación
26
PKI
27
PKI
• Autoridad de Certificación
– Encargada de dar validez a la información
contenida en los certificados
– Funciones principales:
• Certificación
• Publicación
• Revocación
– La CA nunca puede estar en línea.
– Su clave privada es TOP SECRET
28
PKI
• Autoridad de Certificación
– Las CAs se organizan en jerarquías de
certificación, estableciendo así cadenas de
confianza.
– CAs “globales” o “universales”
• Verisign, Entrust, Identrust, FNMT, …
29
PKI
30
PKI
• Autoridades de Registro
– Son un elemento de confianza muy importante
– Entidades encargadas de:
• Verificar la información que aparecerá en el certificado.
• Enviar las solicitudes de certificación a la CA
• Gestionar las solicitudes de revocación o de
recuperación de claves
• Repositorios de Certificados
– Se suele utilizar Servidores de directorios
basados en X.500 y LDAP
31
PKI
• Entidades a Certificar
– Son las entidades que obtienen un certificado
firmado por la CA
– Los certificados no se limitan sólo a personas
(procesos...)
• Los servidores web seguros son procesos
certificados.
– Dependiendo del tipo de sujeto:
• Certificados de cliente.
• Certificados de proveedor.
32
Validación de certificados
• Integridad: la firma es válida
• Firmado por una CA de
confianza
– O en el camino de certificación
hay una CA de confianza
• Certificado es válido ahora
– Not Valid Before – Not Valid
After
• No está revocado
• Su uso es consistente con la
política
33
Validación de certificados
• Basado en CRLs
Cliente CRL
CRL
1. Descarga Periódicamente
Servicio de
2. Comprobación de Portal Web directorio
estado de revocación Público
34
Validación de certificados
Cliente
35
Validación de certificados
• ¿Qué ofrecen los PSC españoles?
– FNMT
• CRLs a través de acceso autenticado
a LDAP (exige firma de convenio previa).
• OCSP (se paga por número de sellados)
única opción para las entidades privadas.
– El resto ofrecen sus CRLs de forma pública y gratuita.
– DNI-e ofrece ambos mecanismos.
• Otros mecanismos SCVP
– Necesario para dominios múltiples, jerarquías de CA, y
certificación cruzada.
– Construcción de rutas de certificación.
– Validación de cada uno de los certificados de la ruta.
36
Bibliografía
• Libro electrónico “Seguridad Informática”, Jorge Ramió
Aguirre. 2007.
– http://www.criptored.upm.es/guiateoria/gt_m001a.htm
• “Criptografía y Seguridad en Computadores”. M. J. Lucena
López
– http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto
• “An Introduction to Cryptography”, Network Associates.
• “Secure Electronic Commerce. Building the Infrastructure for
Digital Signatures and Encryption”, Second Edition. W. Ford,
M. Baum. Prentice Hall.
• “Seguridad y Comercio en el Web”, S. Garfinkel y G.
Spafford. McGraw-Hill.
• “Understanding PKI: Concepts, Standards, and Deployment
Considerations”, Second Edition. C. Adams, S. Lloyd.
Addison Wesley.
• “PKI. Implementing and Managing E-Security”, A. Nash, W.
Duane, C. Joseph, D. Brink. McGraw-Hill.
37
Daniel Sánchez Martínez (danielsm@um.es)
Universidad de Murcia
13 de Mayo de 2010
38