conceptos sobre firma y certificados digitales - iimv · • objetivos • garantizar el secreto en...
TRANSCRIPT
Conceptos sobre firma y certificados digitales
XI Reunión de Responsables de Sistemas de InformaciónSan José, Costa Rica
Julio 2009
Carlos Rivas Guillé[email protected]
Agenda
Criptografía.Firma digital.Certificados digitales.Entidad certificadora (EA).Entidad de registro.Infraestructura de Llave Pública (PKI: Public Key Infrastructure).
Canal inseguro
Verificar que la información no ha
sido alterada
Garantiza que la información no ha sido obtenida por
terceros
Comprobar la identidad del emisor
y del receptor del mensajeLo mejor para resguardar la
privacidad en la era de la información es utilizar “criptografía”
• Kryptos: "ocultar“. Grafos: "escribir“ ("escritura oculta“)
• Es el arte o ciencia de cifrar (encriptar) y descifrar (desencriptar) información utilizando técnicas matemáticas
• Objetivos• Garantizar el secreto en la comunicación entre
dos entidades (personas, organizaciones, etc.)• Asegurar que la información que se envía es
auténtica en dos aspectos: que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado no haya sido modificado en su tránsito.
• Tipos• Algoritmos simétricos• Algoritmos asimétricos
Criptografía
Algoritmos simétricosEl cifrado mediante algoritmos simétricos se basa en codificar los datos de tal forma que una misma llave es utilizada para cifrar y decifrar los datos.
Activo ¢10
*$¨1)=h@#
La llave debe ser conocida por el emisor y receptor del mensaje
Activo ¢10
Principal desventaja:
Todos los interlocutores deben conocer la llave de cifrado
Llave : información secreta que adapta el algoritmo de cifrado para cadausuario
Criptografía asimétrica de llave pública
El cifrado por llave pública es un método criptográfico asimétrico porque utiliza un par de llaves para cada interlocutor, conocidas como llave públicay llave privada, las cuales se encuentran matemáticamente asociadas entre sí:
– Si la llave pública es utilizada para cifrar datos, la correspondiente llave privada es la única que se podrá utilizar para decifrarlos. También aplica el inverso.
•La llave privada nunca debe ser revelada. Únicamente su titular debe conocerla.•La llave pública es distribuida a todas las entidades o individuos con los que se desea mantener comunicaciones seguras.•Los métodos criptográficos garantizan que cada pareja de llaves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas obtengan la misma pareja de llaves
Activo ¢10
*$¨1)=h@#
Activo ¢10
Se encripta con la llave pública del receptor
Se desencripta con la llave privada
Criptografía asimétrica
• Si se cifra el mensaje utilizando la llave privada, cualquiera puede descifrarlo utilizando su llave pública correspondiente. De esta forma se logra la identificación y autenticación del remitente, ya que sólo él pudo haber utilizado su llave privada.
Este es el fundamento de la firma electrónica
Integridad de los datos: algoritmos Hash
Los sistemas criptográficos utilizan funciones “hash” para realizar el chequeo de integridad, mediante la generación de una “huella digital” o digesto (digest).
Estas funciones garantizan:
Integridad: un cambio pequeño en los datos
originales produce cambios drásticos en el digesto resultante.
Unicidad: es muy difícil crear otros datos
que concuerden exactamente con un digesto específico.
Impedir ingeniería reversa: Es imposible determinar los datos originales con solo la
información del digesto.
El verificar la no alteración de los datos es crítico en las transacciones electrónicas.
Función “hash”
• El término “hash” proviene de la analogía con el significado de dicha palabra: “picar y mezclar”
• Es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente.
• El resultado es un valor que identifica inequívocamente al documento
Función Hash
Función Hash
Digesto
Hacia el receptor Función Hash
Digesto
Digesto Digesto=
Desde el emisor
Activo¢10
Paso 1:Crear el digesto
Paso 2:Verificar el digesto
Activo¢10
Digesto
Activo¢10
Digesto
Método criptográfico que asocia la identidad de una persona a un mensaje o documento
La firma digital también se utiliza como una forma de garantizar la integridad del documento o mensaje
Mientras no se comprometa la llave privada del firmante, es prácticamente imposible falsificar una firma digital. Es más fácil falsificar una firma manuscrita.
La firma digital se basa en el hecho de que un documento cifrado utilizando la llave privada de una persona sólo puede ser descifrado utilizando la llave pública asociada a esa misma persona.
La firma digital es un digesto del documento, el cual se cifra utilizando la llave privada del firmante.
Valor Hash
Firma
Firmar un documento
Verificar la firma
%$9p2l)bb#%&h5
Valor Hash
Valor Hash Igual?
Llave pública
Llave privada
Certificado Digital
Certificado Digital
Sus componentes principales son:
Llave Pública Dueño del certificado
Emisor de ese certificado
Periodo de validez
Un identificador único
Firma digital del emisor
Es aquí donde surge la figura del certificado digital: es un documento digital mediante el cual un tercero confiable (una entidad certificadora) garantiza la
vinculación entre la identidad de un sujeto o entidad y su clave pública.
También es necesario determinar sin posibilidad de duda que la llave pública correspondiente (conocida por los interlocutores externos) está asociada a esa
persona.
La eficacia de las operaciones de cifrado y firma digital basadas en criptografía de llave pública se fundamenta en que se tenga certeza que la llave privada de una
persona únicamente es conocida por ella.
Estructura del Certificado Digital
VersiónNúmero de serie
Algoritmo de firmaEmisor
Periodo de validezTitular
Llave públicaExtensiones
Llave privada de la Entidad Certificadora
Algoritmo Hash
Certificado Digital
Encripta
Agrega al certificado
1 2
3
4
Genera firma digital
Firma digital EC
El estándar más utilizado para certificados digitales es el X.509 V3.
Entidad Certificadora
Entidad Certificadora
Una entidad certificadora es una entidad que emite certificados digitales para ser utilizados por
terceros
La validez de un Certificado Digital dependerá de la confianza
que se tenga en el emisor del mismo
Cualquier individuo o institución puede generar un certificado
digital, por lo que si el emisor no es reconocido por quienes interactúen con el propietario del certificado, el valor del mismo es prácticamente
nulo.
Por ello, los emisores de certificados digitales deben acreditarse: proceso por el cuál entidades reconocidas,
generalmente públicas, otorgan validez a la institución certificadora,
de forma que su firma pueda ser reconocida como fiable,
transmitiendo esa fiabilidad a los certificados que emite.
Emisión de Certificados
La EC debe definir un
procedimiento de verificación de
identidad, con el que se
compruebe que un individuo es quien dice ser
Una vez que la identidad del
individuo ha sido comprobada, se
generan un par de Llaves
Criptográficas y se crea un
Certificado Digital, el cual se firma
con la Llave Privada de la EC
La emisión podría realizarse en
forma descentralizada a
través de “Entidades de
Registro” que se encargan de verificar la
identidad de los titulares
La protección de la Llave Privada de la Entidad Certificadora es crítica y demanda una gran inversión
Entidad de Registro
Una entidad de registro es una organización de confianza que:
• Registra las peticiones que hagan los usuarios para obtener un certificado.
• Comprueba la veracidad de los datos que aportan los usuarios en las solicitudes (Documentos probatorios, presentica física, biometría,…).
• Envía las solicitudes a una EC para que sean procesadas.
Infraestructura de Llave Pública (PKI: Public Key Infrastructure)
“Estructura de hardware, software, personas, procesos y políticas, que permite la ejecución de transacciones electrónicas, empleando operaciones criptográficas como la “encripción” y la firma digital para proveer una asociación verificable entre una llave pública y un suscriptor específico que posee la llave privada correspondiente”
PKI
Muchas gracias
XI Reunión de Responsables de Sistemas de InformaciónSan José, Costa Rica
Julio 2009
Carlos Rivas Guillé[email protected]