Firma electrónica y

certificados digitales

Daniel Sánchez Martínez (danielsm@um.es)

Universidad de Murcia
13 de Mayo de 2010
 Objetivos

• Comprender la problemática que entrañan

los servicios telemáticos seguros.
• Introducir nociones básicas de
criptografía, cifrado y firma digital.
• Diferenciar los diferentes elementos de un
prestador de servicios de certificación.
• Profundizar en el concepto de firma
electrónica.

2
Seguridad

Servicios
Criptografía
Firma digital
Protección de la clave privada
DSCF
 Servicios de Seguridad
• La Seguridad de la Información tiene 4
objetivos:
– Confidencialidad
– Integridad
– Disponibilidad
– Uso autorizado
• Principales tecnologías para lograr estos
objetivos:
– Seguridad en las comunicaciones
– Seguridad en los ordenadores
• La seguridad total NO existe
– Tiempo y recursos

4
 Servicios de Seguridad

• No Repudio
– Es uno de los servicios más importantes
– Sirve para proporcionar evidencias que
soporten la resolución de disputas en cuanto
a quién envió una determinada información,
qué información envió, etc.
– Ejemplo: pedidos, firma de contratos, etc

5
 Criptografía
• Criptografía
– Técnica de convertir un texto en claro (plaintext)
en otro llamado criptograma (ciphertext), cuyo
contenido es igual al anterior pero sólo pueden
entender las personas autorizadas.
– Ejemplo:
• CRIPTOGRAFÍA  FULSWRJUDID
• Criptosistema
Canal Canal Mensaje
Mensaje
Medio de
Transmisor Transmisión Receptor

Cifrador Mensaje cifrado Descifrador

6
 Tipos de Criptosistemas

• Según el tipo de claves se clasifican en:

– Criptosistemas simétricos o de clave secreta
– Criptosistemas asimétricos o de clave pública

7
 Criptografía Simétrica
• Basados en la utilización de la misma clave
para cifrar y descifrar
– Previamente conocida por emisor y receptor
– Criptografía de clave secreta
– La seguridad reside en mantener la clave en
secreto

Texto !”·$!” !”·$!” Texto

Texto )?*!+ )?*!+ Texto
Texto ¨%= ¨%= Texto
& &
Cifrado Descifrado
8
 Criptografía Asimétrica
• Métodos públicos basados en la utilización de dos claves
distintas para cifrar y descifrar
– Lo que se cifra con una clave se descifra con la otra
– Una es privada y sólo conocida por el receptor
– Otra es pública y conocida por cualquier emisor

Texto !”·$!” !”·$!” Texto

Texto )?*!+ )?*!+ Texto
Texto ¨%= ¨%= Texto
& &

Cifrado Descifrado
9
Criptografía Asimétrica VS Criptografía
Simétrica
• Sistemas de Clave Pública
– Claves de gran tamaño
– Muy lentos
– Firma digital
– Fácil intercambio de
claves
• Sistemas de Clave
Secreta
– Clave de pequeño
tamaño (96 bits ≈ 1024
bits pública)
– Muy rápidos (entre 10 y
100 veces más rápidos)
– No proporcionan firma
digital
– No proporcionan
intercambio de claves

10
 Firma Digital
• ¿Por qué una firma digital?
– Para proporcionar autenticidad, integridad y no repudio en
los documentos electrónicos
– Para usar Internet como un medio seguro para la
Administración Electrónica y el Comercio Electrónico
• ¿Qué es una firma digital?
– El valor hash de un mensaje cifrado con la clave privada
de una persona es su firma digital sobre ese documento
• La firma digital de una persona varía de un documento a otro
asegurando así la autenticidad de cada palabra del documento
• Como la clave pública del firmante es conocida, cualquiera
puede verificar el mensaje y la firma digital

11
 Firma Digital

• Creación Firma Digital Documento

Algoritmo
Hash

Resumen
Digital

Clave
privada

PROCESO DE FIRMA

12
 Firma Digital

• Verificación Firma
Digital Algoritmo
Documen Hash
to
original

h23edhrt
+ =
√ Resumen
Digital
h23edhrt

Clave
pública

PROCESO DE
VERIFICACIÓN DE
FIRMA
13
Firma Manuscrita VS Firma
Digital
Manuscrita Electrónica

Autenticidad Puede ser No puede ser

falsificada copiada

Integridad Firma Firma depende del

independiente del contenido del
VS documento documento

No repudio a. Se necesita a. Cualquier

un ordenador
caligrafólogo de un
b. Propensa a usuario
errores b. Libre de
errores

14
 Protección de la Clave
Privada
• La clave privada generada tiene que ser
protegida y mantenida en secreto
• La responsabilidad de la confidencialidad de
la clave recae en su propietario
• La clave privada puede ser protegida
usando:
– Token software protegidos
por PIN
– Tarjetas Inteligentes
– Token Hardware

15
 Tarjetas Inteligentes
• La clave privada es generada en un
módulo criptográfico que reside en la
tarjeta inteligente
• La clave se mantiene en la memoria de la
tarjeta inteligente
• Clave está altamente protegida ya que no
abandona la tarjeta, el resumen o hash
se envía a la tarjeta para que ésta haga
la firma, y sólo la firma sale de la tarjeta
• La tarjeta inteligente proporciona
movilidad a la clave y la firma puede
realizar en cualquier sistema que posea
un lector de tarjetas

16
 DSCF
• Dispositivos Seguros de Creación de Firma
– Permite garantizar la autenticación fuerte así
como sirven de base para generar firmas
electrónicas con el mismo valor legal que la firma
manuscrita
– Descritos en la Ley 59/2003 de firma electrónica
– Certificación en el Centro Criptológico Nacional
• Normas: CW 14169 y nivel EAL4+
– DSCF disponibles:
• Tarjeta Electrónica Ministerio de Defensa
• DNI-e v1.1

17
Certificados

Introducción
Tipología
Certificados

Internet

19
 Certificados
• Certificado
– Documento electrónico que
asocia
una identidad a una clave
• Certificados  Firma
– Se implementa usando la
firma
• Certificados 
Autenticación
– La autenticación puede ser
implementada usando
certificados digitales
– Lo mismo para otros
servicios como
autorización, etc
• Los certificados son
estáticos
– Cambios => Re-emisión
20
 Certificados
– Documento electrónico
contenedor de una
identidad digital.
– Contiene:
• Información de
identificación
• Clave pública.
• Información de la entidad
que certifica.
• Periodo de validez del
certificado.
• Firma digital del emisor.
– Almacenamiento de
certificado + clave privada:
• Software.
• En dispositivo criptográfico
– Emitido por un prestador de
servicios de certificación.

21
 DNI electrónico
• Certificados del DNIe
– Autoridad de certificación 
Dirección General de
Policía.
– Validez  30 meses.

22
 Tipos

– Usuario
• Perfil „persona física‟
• Perfil „persona jurídica‟
• Perfil „empleado público‟
– Servidor
• Sede electrónica y sello de órgano.
• Servidores web  túnel SSL
• Actuaciones automáticas (sellado, registro,
notificación…)

23
Prestadores

PKI
Elementos de una PKI
Validación
 PKI
• Sistema de publicación de los valores de clave
pública utilizados en criptografía asimétrica.
• Principales elementos:
– Autoridad de Certificación (CA)
– Autoridad de Registro (RA)
– Repositorio de Certificados
– Entidades Finales
• Operaciones básicas:
– Certificación
– Validación
– Revocación
– Publicación y Distribución de certificados y de
notificaciones de revocación
25
 PKI

• Operaciones adicionales:
– Sellado de tiempos
– Servicios Web de validación
– Almacenamiento y recuperación de claves
– Establecimiento de relaciones de confianza
(Certificación cruzada)
• El modo de realizar estas operaciones define
las características de cada PKI.
• PKI = Prestador de Servicios de Certificación

26
 PKI

Servidor Usuario final Administrador

LDAP

Autoridad de WWW Autoridad

certificación Servidor de de registro
(CA) solicitudes (RA)

27
 PKI

• Autoridad de Certificación
– Encargada de dar validez a la información
contenida en los certificados
– Funciones principales:
• Certificación
• Publicación
• Revocación
– La CA nunca puede estar en línea.
– Su clave privada es TOP SECRET

28
 PKI

• Autoridad de Certificación
– Las CAs se organizan en jerarquías de
certificación, estableciendo así cadenas de
confianza.
– CAs “globales” o “universales”
• Verisign, Entrust, Identrust, FNMT, …

29
PKI

30
 PKI

• Autoridades de Registro
– Son un elemento de confianza muy importante
– Entidades encargadas de:
• Verificar la información que aparecerá en el certificado.
• Enviar las solicitudes de certificación a la CA
• Gestionar las solicitudes de revocación o de
recuperación de claves
• Repositorios de Certificados
– Se suele utilizar Servidores de directorios
basados en X.500 y LDAP

31
 PKI

• Entidades a Certificar
– Son las entidades que obtienen un certificado
firmado por la CA
– Los certificados no se limitan sólo a personas
(procesos...)
• Los servidores web seguros son procesos
certificados.
– Dependiendo del tipo de sujeto:
• Certificados de cliente.
• Certificados de proveedor.
32
 Validación de certificados
• Integridad: la firma es válida
• Firmado por una CA de
confianza
– O en el camino de certificación
hay una CA de confianza
• Certificado es válido ahora
– Not Valid Before – Not Valid
After
• No está revocado
• Su uso es consistente con la
política
33
 Validación de certificados

• Basado en CRLs

Cliente CRL
CRL

1. Descarga Periódicamente
Servicio de
2. Comprobación de Portal Web directorio
estado de revocación Público

Prestador de Servicios de Certificación (PSC)

34
 Validación de certificados

Cliente

Servicio OCSP Servicio de

público directorio

petición de estado de revocación 1 Prestador de

Servicios de
respuesta de estado de revocación 1 Certificación (PSC)
......

petición de estado de revocación n • Basado en

respuesta de estado de revocación n
OCSP

35
 Validación de certificados
• ¿Qué ofrecen los PSC españoles?
– FNMT
• CRLs a través de acceso autenticado
a LDAP (exige firma de convenio previa).
• OCSP (se paga por número de sellados)
 única opción para las entidades privadas.
– El resto ofrecen sus CRLs de forma pública y gratuita.
– DNI-e ofrece ambos mecanismos.
• Otros mecanismos  SCVP
– Necesario para dominios múltiples, jerarquías de CA, y
certificación cruzada.
– Construcción de rutas de certificación.
– Validación de cada uno de los certificados de la ruta.

36
 Bibliografía
• Libro electrónico “Seguridad Informática”, Jorge Ramió
Aguirre. 2007.
– http://www.criptored.upm.es/guiateoria/gt_m001a.htm
• “Criptografía y Seguridad en Computadores”. M. J. Lucena
López
– http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto
• “An Introduction to Cryptography”, Network Associates.
• “Secure Electronic Commerce. Building the Infrastructure for
Digital Signatures and Encryption”, Second Edition. W. Ford,
M. Baum. Prentice Hall.
• “Seguridad y Comercio en el Web”, S. Garfinkel y G.
Spafford. McGraw-Hill.
• “Understanding PKI: Concepts, Standards, and Deployment
Considerations”, Second Edition. C. Adams, S. Lloyd.
Addison Wesley.
• “PKI. Implementing and Managing E-Security”, A. Nash, W.
Duane, C. Joseph, D. Brink. McGraw-Hill.

37
Daniel Sánchez Martínez (danielsm@um.es)
Universidad de Murcia
13 de Mayo de 2010

38