seguridad informatica -...
Post on 23-Jan-2019
222 Views
Preview:
TRANSCRIPT
SEGURIDAD INFORMATICA
Noviembre 2018
Mg. Sc. Miguel Cotaña Mier
cvfdkfi
enreik
diekfg
h
LOGIN
PASSWORD
CONTENIDO
1.- INTRODUCCION
2.- HERRAMIENTAS CRIPTOGRAFICAS
3.- FIRMA DIGITAL
4.- AUTORIDADES CERTIFICANTES
2
Introducción
Comercio on-line
Transacciones con la
administración
Transacciones B2B, B2C, .
Gestión remota de
aplicaciones
CANAL SEGURO
¿Existen Sistemas Seguros?
4
“El único sistema seguro es aquel que:
está apagado y desconectado,
enterrado en un refugio de cemento,
rodeado por gas venenoso
y custodiado por guardianes bienpagados y muy bien armados.
¿Por qué son necesarias las políticas de seguridad?
5
La planeación y administración desistemas de seguridad son el ladohumano de la seguridad.
Inclusive en el más confiable sistema, laseguridad no es automática. Losadministradores necesitan una guíaescrita que especifique que pasos seguiry que procedimientos ejecutar paracumplir con los requerimientos planeadosde seguridad.
6
Los ataques con éxito a sistemasconfiables son recurrentes,vulnerabilidades son descubiertas entodos los sistemas operativos, y losatacantes se encuentran dentro ofuera de las organizaciones.
Si existe algo seguro en elcambiante mundo de la seguridad,no lo encontraremos en lo que el Swo Hw puedan hacer por nosotros,sino en lo que hacemos por nosotrosmismos.
7
El primer paso en mantener losniveles de seguridad es desarrollarpolíticas de seguridad para nuestrasorganizaciones, y despuéspromulgarlas y velar por sucumplimiento, lo cual tiene querealizarse de manera transversal atoda la Organización.
8
La Organización debe tener unaestructura de seguridad: Gerente(suscribir políticas) y unAdministrador de Seguridad(cumplen con las políticas entérminos de detección y protección),y los usuarios (cumplirla), siendosupervisados por el Líder deSeguridad quien detectará ysancionará a los infractores por su
incumplimiento.
9
Por ejemplo, la política de seguridadde una Organización estipula larealización periódica de backups,pero finalmente es el Administradorquien ejecuta esos backups.
Una vez que los Administradoresentrenan a los usuarios para copiarsus archivos a servidores o discosduros protegidos, el Gerente deSeguridad lidiara con losincumplimientos
10
De manera similar, losAdministradores deben entrenar alos usuarios para que eviten escribirsus contraseñas y pegadas quizásdebajo de su teclado, pero elGerente de Seguridad tiene quesancionar a los infractores de dicha
política.
11
La política de seguridad es undocumento que debe ser revisado yactualizado periódicamente.
El entrenamiento de usuarios,contraseñas, backups, programaciónde firewalls, IDS, evaluación de logs,etc., se encuentran dentro de lasmúltiples formas de traducir elcontenido de una política en hechosreales y palpables por elAdministrador de Seguridad.
12
Las políticas de seguridad requieren deprocedimientos. Estos procedimientosdeben incluir la realización de auditoriasperiódicas, así como la implementación dereglas de separación de funciones.Para asegurarse de que las personasconozcan claramente como ejecutarprocedimientos de seguridad, deberealizarse un muy buen entrenamiento.
Las comunicaciones en Internet sonabiertas y sin controles;
Conflictos con la necesidad de privacidad,confidencialidad e integridad en lastransacciones;
El fraude en la red crece en formaimpresionante;
Principales problemas:
Fallas humanas
Ausencia de procedimientos
Errores en la configuración del software13
Identidad de los usuarios;
Sin tecnología adicional no se puedeestar seguro de la identidad de losusuarios de la red;
La seguridad de la información es elprincipal problema;
Gobiernos deben generar marcoslegales para castigar a quienescometen delitos en la red, permitiendola creación de firmas y certificadosdigitales estandarizados; 14
Las organizaciones deben definir susnecesidades de seguridad y confianza:
Confidencialidad: protección de acceso ala información; ►Técnicas criptográficas
Integridad: garantía de modificación deinformación y programas; ►TécnicascriptográficasDisponibilidad: acceso continuo deusuarios autorizados a la información;Uso legítimo: recursos no utilizados porpersonas no autorizadas; ►Sistemas deautenticación fuerteValidación
15
Principios básicos para proteger lainformación:
16
Política de información
Toda empresa debe desarrollar una políticade información de actualización continua:
Lista de recursos que deben protegerse;
Catalogar las amenazas para cada unode los recursos a proteger;
Análisis de riesgo que indique elporcentaje de probabilidad asignado acada amenaza;
Implementación de sistemas deseguridad efectivos con los costos;
Definición de procesos de seguridad quedeberán ser actualizados. 17
Amenazas y desafíos de Internet
Amenazas se pueden categorizar en:
Amenaza Impacto en la empresa
Pérdida de
integridad de datos
Intruso crea, modifica y borra
información
Pérdida de
privacidad de datos
Se brinda acceso a la
información a personas no
autorizadas
Pérdida de servicio El servicio se interrumpe por las
acciones de un hacker
Pérdida de control Personas no autorizadas utilizan
los servicios sin ningún control18
Phishing
El estafador, mejor conocido comophisher se hace pasar por unapersona o empresa de confianza enuna aparente comunicación oficialelectrónica, por lo común un correoelectrónico, algún sistema demensajería instantánea o inclusoutilizando también llamadastelefónicas.
19
Spoofing - Pharming
Spoofing, en términos de seguridadde redes hace referencia al uso detécnicas de suplantación de identidadgeneralmente con usos maliciosos ode investigación.Pharming, es la explotación de unavulnerabilidad en el software de losservidores DNS, o en los equipos delos propios usuarios, que permite aun atacante redireccionar un nombrede dominio a otra máquina distinta.
20
Worms o gusanos
Un gusano es un virusinformático que tiene lapropiedad de duplicarse a símismo. Los gusanos utilizan laspartes automáticas de un sistemaoperativo que generalmente soninvisibles al usuario.
21
A diferencia de un virus, un gusanono precisa alterar los archivos deprogramas, sino que reside en lamemoria y se duplica a sí mismo. Losgusanos siempre dañan la red(aunque sea simplementeconsumiendo ancho de banda),mientras que los virus siempreinfectan o corrompen los archivos dela computadora que atacan.
22
Es algo usual detectar lapresencia de gusanos en unsistema cuando, debido a suincontrolada replicación, losrecursos del sistema seconsumen hasta el punto de quelas tareas ordinarias del mismoson excesivamente lentas osimplemente no puedenejecutarse.
23
Troyanos
Se denomina troyano (o caballode Troya) a un programamalicioso capaz de alojarse encomputadoras y permitir elacceso a usuarios externos, através de una red local o deInternet, con el fin de recabarinformación o controlarremotamente a la máquinaanfitriona.
24
Un troyano no es en sí un virus, aúncuando teóricamente pueda serdistribuido y funcionar como tal. Ladiferencia consiste en su finalidad. Paraque un programa sea un "troyano" solotiene que acceder y controlar lamáquina anfitriona sin ser advertido. Alcontrario que un virus, que es unhuésped destructivo, el troyano nonecesariamente provoca daños porqueno es su objetivo
25
Suele ser un programa alojado dentrode una aplicación, una imagen, unarchivo de música, etc., de aparienciainocente, que se instala en el sistemaal ejecutar el archivo que lo contiene.Una vez instalado parece realizar unafunción útil (aunque cierto tipo detroyanos permanecen ocultos y por talmotivo los antivirus o anti troyanos nolos eliminan) pero internamente realizaotras tareas.
26
Habitualmente se utiliza para espiar,usando la técnica para instalar unsoftware de acceso remoto quepermite monitorizar lo que el usuariolegítimo de la computadora hace (eneste caso el troyano es un spyware oprograma espía) y, por ejemplo,capturar las pulsaciones del tecladocon el fin de obtener contraseñas(cuando un troyano hace esto se lecataloga de keylogger).
27
28
Bombas de tiempo y lógicas
Las denominadas "bombas detiempo" y las "bombas lógicas" sontipos de troyanos. Las primeras seactivan en fechas particulares o unnúmero determinado de veces. Lassegundas en determinadascircunstancias cuando lacomputadora infectada cumple unaserie de requisitos especificados porsu programador
29
Clase de virus que carece de lacapacidad de replicación y queconsiste en una cadena de códigoque se ejecuta cuando unadeterminada condición se produce,por ejemplo, tras encender elordenador una serie de veces, opasados una serie de días desde elmomento en que la bomba lógica seinstaló en nuestro ordenador.
30
Droppers
Los denominados droppersrealizan dos operaciones a la vez.Un “dropper” realiza una tarealegítima pero a la vez instala unvirus informático o un gusanoinformático en un sistema odisco, ejecutando ambos a la vez.
31
Ingeniería Social
En el campo de la seguridadinformática, ingeniería social es lapráctica de obtener informaciónconfidencial a través de la manipulaciónde usuarios legítimos.Un IS usa comúnmente el teléfono oInternet para engañar a la gente yllevarla a revelar la informaciónsensible, o bien violar las políticas deseguridad típicas.
32
……. Ingeniería Social
Con este método, los IS aprovechanla tendencia natural de la gente aconfiar en su palabra, antes queaprovechar agujeros de seguridaden los SI.
Generalmente se está de acuerdoen que “los usuarios son el eslabóndébil” en seguridad; éste es elprincipio por el que se rige laingeniería social.
33
……. Ingeniería Social
Los ataques más exitosos contrael sector social: las víctimasresponden a solicitudes del atacante.La ingeniería social se concentraen el eslabón más débil de laseguridad de Internet: el serhumanoLa piratería social facilita la tareade acceder a los sistemasinformáticos: organigramas, listadostelefónicos de la empresa,documentos en la basura, dispositivosde almacenamiento en desuso;
34
……. Ingeniería Social
Solicitud directa de informaciónPor bien protegido que esté unsistema, éste puede sufrir un ataquedirecto. Por tanto:
“Capacitar al personal de la empresa para que entienda la importancia de la seguridad y poner en conocimiento métodos de hackers para vulnerar las
barreras”
35
Scam
Buscas trabajo?Necesita un ingreso extra?Desea ganar 3000 dólarestrabajando 2 horas desde suhogar?
Los estafadores buscan intermediariosque les sirvan de pantalla paraejecutar sus planes de robos aterceros a través de sus cuentasbancarias, cuyos números hanobtenido previamente usando laconocida técnica del phishing (y hoax).36
El problema de la (falta de) Seguridad
37
Robo de Identidad
Significa la utilización de cualquierinformación identificatoria de unapersona sin contar con autoridad legalpara ello, con el objetivo de cometer unfraude.Información identificatoria, significacualquier nombre o número que puedaser utilizado, solo o en forma conjuntacon cualquier otra información, paraidentificar a un individuo específico.
38
Cómo resolver los problemas de
seguridad
Servicio Denegado
–Problema: ataque indirecto alservicio que se quiere perjudicar
–Solución: Un servidor web bloqueatodo tráfico no HTTP. Al pasar poralto todo el tráfico de los puertos queno sean el 80, el servidor es menosvulnerable.
39
Suplantación:
–Problema: un impostor accede al sistemaaparentando ser un usuario legítimo. Laautenticación reside en una contraseña oPIN solamente, datos que pueden sercopiados fácilmente.
–Solución: La autentificación debecomprender dos factores: ”algo que sabeel usuario” y “algo que tiene el usuario”.Uso combinado de tarjeta inteligente yPIN dificulta la sustitución de identidad.
40
Spoofing de DNS
–Problema: redireccionamiento declientes a otro servidor, capturandosu información privada.
–Solución: Se debe incluirautenticación por parte del servidor,mediante la emisión de un certificadodigital único para cada nombre dedominio y dirección IP.
41
Alteración de información entránsito
–Problema: alteración de informaciónque viaja en la red.
–Solución: Integridad de mensajes,incluyendo un valor de dispersión almensaje. La encriptación demensajes evita el espionaje deconversaciones confidenciales.
42
Rechazo de mensajes
–Problema: al hacer una transacciónon-line, se rechaza la operaciónfaltando a la verdad.
–Solución: Garantizar la aplicación dereglas para evitar los rechazos,mediante certificados digitales queidentifiquen al cliente en forma muysegura.
43
Autorización
• Para la migración de un negocio de redprivada a Internet, se debe:
–Determinar quién tiene acceso acada aplicación del negocio y a lainformación delicada: Lista deautorización que debe contenerinformación sobre tareas que cadapersona puede realizar
–Desarrollar e implementar unconjunto de políticas coherentes paraun sistema dado en diferentesaplicaciones.
44
Concepto o Realidad ?
45
Falta de confianza del compradoren el vendedor:
Tiene miedo de la seguridad desu información personal. Porejemplo, el número de sutarjeta de crédito vía Web
No está seguro de si elcomerciante lo manejará demodo responsable.
Retos del negocio digital
46
Fraude por parte del comprador:
Compra con una tarjeta robada
Niega haber ordenado una compra
Reclama la baja calidad del producto para no pagarlo
47
¿Qué es importante al comprar?
Información detallada del producto
Facilidad de búsqueda
Simplicidad en el pago
Tiempo de entrega
Rapidez de acceso a la página
Servicio de Post-venta
Seguridad al cliente en su pago: ver siguiente
48
49
50
51
52
53
La seguridad es fundamental!!!
Control de acceso ¿quién pude accesarla información?
Autentificación, verifica la identidad delas partes
Confidencialidad, protege informaciónpara no ser vista indiscriminadamente
Integridad, garantiza que la informaciónno ha sido alterada
No repudiación, inhabilita eldesconocimiento de una transacción 54
2.- Herramientas criptográficas
Definición de criptografía
“cripto”- “kryptó” :Oculto;
Criptología: palabra oculta,describe campos de investigaciónde criptografía y criptoanálisis;
Criptografía: arte de mantener laprivacidad de la información;
Criptoanálisis: arte de descifraralgoritmos desarrollados mediantecriptografía;
56
Definición de criptografía
Algoritmos criptográficos permitíanmantener comunicaciones privadas(ENIGMA se creó para enviar y recibirmensajes encriptados – Alemania, yGran Bretaña construyó COLLOSUM –2da Guerra Mundial);Hace más de 30 años, los bancoscomenzaron a tener redes desucursales conectadas a un mainframecentral. Se desarrolló (DES);Se considera a la encriptación uncomponente de la seguridad cuandoes un mecanismo de protección.
57
Texto plano TEXTO CIFRADO+ Clave de Encriptado =
minino
Encriptar
58
Texto Cifrado Texto Plano
Recuperado+ Clave de Desencriptado =
minino
Desencriptar
59
Algoritmos usan diferentes bases de diseño:
Operaciones elementales
Sustituciones (César, Vigenere, Vernam, etc.) ;
Permutaciones;
Combinación de ambas (DES, AES, etc.).
Matemáticas
Teoría de Números (RSA, ElGamal, DSS, etc.);
Problemas NP y NP Completos;
Curvas Elípticas (ECC).
Fisica Cuántica
Mecanica Cuántica;
Principio de Incertidumbre de Heinsenberg;
Otras 60
Algoritmos pueden ser:
Simétricos o de Llave SecretaUsan misma llave para cifrar y descifrar
Asimétricos o de Llave PúblicaLa llave que cifra es diferente a la que descifra
Funciones Hash, Resumen o CompendioNo usan llave
61
También pueden ser por:
Bloque
El mensaje se procesa en bloques del mismo
tamaño
Flujo
El mensaje se procesa como un todo por unidad
básica
62
Algoritmos Simétricos o de Llave Secreta
DES (anterior estándar mundial)
AES (Nuevo estándar mundial)
3DES
Algoritmos Asimétricos o de Llave Pública
RSA (Estándar de facto)
ElGamal
DSS (Digital Signature Standard)
Algoritmos Hash
MD5
SHA-1 63
Algoritmos Simétricos
Basan su diseño en operaciones elementales
Buscan eficiencia
Seguridad depende del tiempo y los recursos de cómputo
Aplicaciones de Criptografia Simétrica
Cifrado de información no clasificada (Confidencialidad)
Verificación de Integridad
Autenticación64
Algoritmos Asimétricos Diseño basado en problemas matemáticosSeguros computacionalmenteSeguridad no depende de tiempo ni de recursos de cómputoPero........
Aplicaciones de Criptografia AsimétricaCifrado de informacion clasificada (Confidencialidad)Acuerdo de llave simétricaFirma Digital (Autenticación y No Repudio)
65
Algoritmos Hash
Diseño basado en operaciones elementales
Son eficientes
Seguridad depende del tiempo y recursos de cómputo
Proporcionan una huella digital del mensaje
Aplicaciones de Algoritmos Hash
Verificación de Integridad
Autenticación
Demostrar posesión de secretos sin revelar el secreto
Virología 66
Aplicaciones de Criptografía
Actualmente se usan de forma híbrida
Simétricos: eficientes
Asimétricos: seguros computacionalmente
Hash: eficientes y proporcionan huelladigital
Se usan asimétricos para acordar llavesimétrica
Acordada la llave simétrica, se usa unalgoritmo simétrico para cifrar lainformación
Ejemplo: PGP, SSH, etc.67
Motivos para usar la encriptación
El uso de esta técnica esimportante y modificaráel funcionamiento de lasempresas.
Encriptación fuerte:permite enviardocumentosconfidenciales sin serinterceptados
En el correoelectrónico, laencriptación esimprescindible
68
Dado que Internet es una red insegura, labanca electrónica y los pagos on-line sonaplicaciones de Internet que más sedestacan por el uso e encriptación
Todos los navegadores web incorporansoporte para encriptación de documentos:
Longitud estándar de claves sólo alcanza a 40bits vulnerables
–El control de acceso puede ser implementadomediante criptografía (canales de cable)
• El hecho de tener o no encriptación puedesignificar la diferencia entre hacer negociosy perderlos.
69
Comparación entre criptografías
Criptografía clave pública Criptografía clave secreta
Ventajas Sistema más seguro y
conveniente: las claves
privadas no se envían nunca
Tecnología rápida –
Archivos grandes
Implementación sencilla de
sistema de firma digital
utilizando infraestructura de
clave pública
Desventajas Encriptación que no sirve para
archivos grandes
La inevitable transmisión de la
clave constituye un riesgo de
seguridad
Implementación de un
mecanismo de autenticación
difícil con las claves secretas
La implementación de un
sistema de firma digital implica
intercambio de información
secreta
Sistema óptimo Combinación de ambos tipos de criptografía: el mensaje se encripta con clave secreta, la que se
adjunta al mensaje y es encriptado con modalidad de clave pública. Seguridad y velocidad.
70
Esteganografía
La esteganografía es el arte o cienciade ocultar mensajes invisibles enmensajes visibles. Al interceptar estosarchivos, se obtiene un mensaje queno guarda ninguna particularidad.Existen paquetes de software dedistribución gratuita que permitenencriptar por medio de esteganografía(SteganosSafe)Paquetes comerciales de softwareesteganográfico ofrecen mayor calidadde protección.
71
3.- Firma Digital
La impresión deldígito pulgar derecho
La imágen escaneadade una firmaquirografaria
Porqué no? Porqueson fácilmenteduplicables!
La Firma Digital NO es:
73
Un proceso que permite asegurar la
IDENTIDAD del autor deldocumento, y la
INALTERABILIDAD del contenidodel documento luego de haber sidofirmado.
FECHA y HORA de la firma.
Mediante métodos CRIPTOGRAFICOS
La Firma Digital es:
74
• Autenticación– Permite probar la identidad de un ciudadano
• Integridad– Prueba de que la información no ha sido alterada
• Confidencialidad– Capacidad de intercambiar información de forma secreta
• No repudio– Certifica que el ciudadano ha realizado una transacción
Cifrado
Certificados
Firma Digital
Certificado y Firma Digital
Confianza Electrónica
75
Posibilitar al usuario la realización de firma de
documentos a través de su dispositivo
UbicuidadLos usuarios
tendrán acceso a
aplicaciones desde
cualquier parte
Disponibilidad
Acceso 24x7 a las
aplicaciones del
entorno
Usabilidad
Interfaces
amigables,
sistemas táctiles
integrados
Firma de expedientes y
sumarios de forma segura
desde terminales móviles
Autorizaciones para
intervenciones desde
ordenadores
Comprobación de
aprobaciones documentales
y flujos e autorización
realizados mediante firma
electrónica desde ordenador
SEGURIDAD
Procesos de votación y
participación vinculante a
través del dispositivo móvil76
Servidor aplicaciones
Base de DatosPDA + Lector de
Tarjetas + Tarjeta
GPRS + HTTPS
HTTPSPC + Lector de tarjetas + Tarjeta
GPRS + HTTPS
PDA + CertificadoUsuario
Consulta de Inscripciones a cursos
Validación de Inscripciones
Almacenamiento de registros
Desestimación de Solicitudes
Solicitud de inscripción
ESTUDIANTE/EMPLEADO RESPONSABLE
Firma Digital Móvil : Proyecto Universitario
Jesús M. Alarcía
05.395.863 v
Jesús M. Alarcía
05.395.863 v
77
Mensaje: Representación digital de lainformación.
Criptosistema Asimétrico: Algoritmo oserie de algoritmos que brindan un par declaves Confiables.
Clave Privada: de dos claves, una de ellasse usa para crear una firma digital.
Clave Pública: de dos claves, una de ellasse usa para Verificar una firma digital.
Algunas definiciones
78
Verificar una firma digital: Determinarfehacientemente que la firma digital fuecreada por la clave privada correspondientea la clave pública, y que el mensaje no hasufrido modificaciones con posterioridad a lacreación del mensaje.
Suscriptor: Persona que:cuyo nombre figura en un certificado;acepta el certificado, ytiene una clave privada que correspondea la clave pública mencionada en dichocertificado.
79
Certificado Válido:Que ha sido emitido por una autoridad certificante.Que ha sido aceptado por el suscriptor allímencionado.Que no ha sido revocado ni suspendido.Que no ha vencido.
Suspender un Certificado: volverlo temporalmenteineficaz a partir de una determinada fecha.
Timbre Fechador: Significa agregar a un mensaje, auna firma digital o a un certificado una anotaciónfirmada digitalmente donde se indique como mínimola fecha, la hora y la identidad de la persona queefectúa la anotación.
80
Sistema de encripción de
Clave única (Simétrico)
Carlos
Donato
81
Sistema de Encripción de Claves
Públicas y Privadas (Asimétrico)
Carlos
Donato
82
• Aplicaciones
– Comunicación segura
Servidor Cliente
Clave
privada
Clave pública
Dato
Datocifrado
Dato
83
Clave
Privada de
Carlos
Clave
Privada de
DonatoMENSAJE ENCRIPTADO
Sistema de Encripción de Claves Públicas
y Privadas (Asimétrico) y Firmado.
Mensaje
Encriptado
con Clave
Privada de
Carlos
CarlosDonato
Clave
Pública de
Carlos
Clave
Pública de
Donato
Mensaje
Encriptado
con Clave
Privada de
Carlos y
Pública de
Donato
Mensaje
Encriptado
con Clave
Privada de
Carlos y
Pública de
Donato
Mensaje
Encriptado
con Clave
Privada de
Carlos
84
El Sistema de Digesto seguro seperfecciona mediante la utilización de:Un Algoritmo Hash, que actúa sobre elcódigo binario del documento electrónico,tomando de éste ciertas característicasdistintivas, y creando una sentencia de160 bits “única” que conforma un resumen(Digesto) del Documento.A este Digesto se le aplica el Algoritmo deencripción conjuntamente con la claveprivada del firmante y de esta manera secrea la firma digital.
Algoritmo Hash
85
Mensaje Algoritmo
HASH
Digesto AlgoritmoEncripción
Clave PrivadaDel Firmante
Firma Digital86
• Aplicaciones
– Firma de datos
0111001001
1110011100
0011101011
1000111010
Hash
Servidor Cliente
Clave privada
Clave públicaFirma Hash
87
PRINCIPALES METODOS DE PAGO
POR INTERNET
Cheques
TransaccionesBancarias
Contra Entrega
Western Union
Telefonía MóvilPayPal 88
Seguridad basada en el cliente
4.- AUTORIDADES CERTIFICANTES
Certificados digitales
Son el medio de vincular una clavecriptográfica con uno o más atributos delusuario.Permiten al destinatario verificar laautenticidad de la comunicación y hanayudado a incrementar la confianza en losnegocios de Internet.Es un archivo encriptado y protegido concontraseña.Se proporciona una clave pública que seusa para verificar la firma digital delremitente de un mensaje previamentefirmado con la correspondiente claveprivada. 90
Los certificados digitales se usan para quela comunicación sea segura entrenavegadores y servidores, entre clientes ycomerciantes.La autenticación cliente-servidor SSL:cuando se accede a una solución de bancaon-line se intercambian varios mensajesantes de que aparezca la primera páginasegura.
Sirve para identificar al servidorLa clave pública guardada en elcertificado es usada para encriptar laclave de la sesión. 91
La identificación delcertificado del servidor secoteja con la autoridad decertificación que la emitió.Si la identidad es correcta,se crea una clave de sesiónpara encriptar lacomunicación que tienelugar en ese momento.
92
Certificados digitales gratuitos
Certificados digitales gratuitos para uso privado
Thawte http://www.thawte.com
TrustCenter http://www.trustcenter.de
VeriSing http://www.verisign.com
Xcert http://www.xcert.com
93
Gracias !!! 95
top related