Está en la página 1de 36

CURSO DE ADMINISTRACIÓN ELECTRÓNICA

Tema 2 – Certificación digital


y firma electrónica
UNIVERSIDAD DE MURCIA

Daniel Sánchez Martínez (danielsm@um.es)


Proyecto Administración Electrónica
Universidad de Murcia
Objetivos
• Comprender la problemática que entrañan
los servicios telemáticos seguros.
• Introducir nociones básicas de
criptografía, cifrado y firma digital.
• Diferenciar los diferentes elementos de un
UNIVERSIDAD DE MURCIA

prestador de servicios de certificación.


• Introducir el DNI electrónico.

2
Seguridad
UNIVERSIDAD DE MURCIA

Servicios
Criptografía
Firma digital
DSCF
Introducción
• Administración Electrónica (eAdministración)
– Ventajas para los usuarios: rapidez, comodidad y
eficiencia
– Intercambio telemático
– Riesgos  medidas de seguridad
• Seguridad en los procesos de eAdministración
– Importancia de la seguridad de la información
– Seguridad y confidencialidad
– Frenar ataques a las redes y a la información
UNIVERSIDAD DE MURCIA

confidencial: intrusión, suplantación de identidad,


acceso a datos confidenciales, etc.
– Infraestructura para la confianza
• Criptografía
• Firma Electrónica o Digital
• Prestadores de Servicios de
Certificación
4
Servicios de Seguridad
• La Seguridad de la Información tiene 4
objetivos:
– Confidencialidad
– Integridad
– Disponibilidad
– Uso autorizado
• Principales tecnologías para lograr estos
objetivos:
UNIVERSIDAD DE MURCIA

– Seguridad en las comunicaciones


– Seguridad en los ordenadores
• La seguridad total NO existe
– Tiempo y recursos

5
Criptografía

• Criptografía
– Técnica de convertir un texto en claro (plaintext)
en otro llamado criptograma (ciphertext), cuyo
contenido es igual al anterior pero sólo pueden
entender las personas autorizadas.
– Ejemplo:
UNIVERSIDAD DE MURCIA

• CRIPTOGRAFÍA  FULSWRJUDID
• Criptosistema
Canal Canal Mensaje
Mensaje
Medio de
Transmisor Transmisión Receptor

Cifrador Mensaje cifrado Descifrador


6
Tipos de Criptosistemas

• Según el tipo de claves se clasifican en:


– Criptosistemas simétricos o de clave secreta
– Criptosistemas asimétricos o de clave pública
UNIVERSIDAD DE MURCIA

7
Criptografía Simétrica

• Basados en la utilización de la misma clave


para cifrar y descifrar
– Previamente conocida por emisor y receptor
– Criptografía de clave secreta
– La seguridad reside en mantener la clave en
secreto
UNIVERSIDAD DE MURCIA

Texto !”·$!” !”·$!” Texto


Texto )?*!+ )?*!+ Texto
Texto ¨%= ¨%= Texto
& &
Cifrado Descifrado
8
Criptografía Asimétrica
• Métodos públicos basados en la utilización de dos claves
distintas para cifrar y descifrar
– Lo que se cifra con una clave se descifra con la otra
– Una es privada y sólo conocida por el receptor
– Otra es pública y conocida por cualquier emisor

+
UNIVERSIDAD DE MURCIA

Texto !”·$!” !”·$!” Texto


Texto )?*!+ )?*!+ Texto
Texto ¨%= ¨%= Texto
& &

Cifrado Descifrado
9
Funciones Hash o de Resumen
• Son funciones que dado un mensaje original
calculan un resumen del mensaje
• Sea cual sea la longitud del mensaje y siempre que
utilicemos el mismo algoritmo, la longitud del
resumen es siempre la misma
• Propiedades de una función hash segura:
– Unidireccionalidad Mensaje
– Compresión
– Facilidad de cálculo
UNIVERSIDAD DE MURCIA

– Difusión
– Colisión simple
– Colisión fuerte
Hash o Resumen

• Ejemplos: RIPEMD-160, MD5 (128 bits), SHA-1


(160 bits), SHA-2 (256 o 512 bits)
10
Firma Digital

• ¿Por qué una firma digital?


– Para proporcionar autenticidad, integridad y no repudio en
los documentos electrónicos
– Para usar Internet como un medio seguro para la
Administración Electrónica y el Comercio Electrónico
• ¿Qué es una firma digital?
UNIVERSIDAD DE MURCIA

– El valor hash de un mensaje cifrado con la clave privada


de una persona es su firma digital sobre ese documento
• La firma digital de una persona varía de un documento a otro
asegurando así la autenticidad de cada palabra del documento
• Como la clave pública del firmante es conocida, cualquiera
puede verificar el mensaje y la firma digital

11
Firma Digital

• Creación Firma Documento

Digital Algoritmo
Hash

Resumen
Digital
UNIVERSIDAD DE MURCIA

Clave
privada

PROCESO DE FIRMA

12
Firma Digital

• Verificación
Firma Digital Algoritmo
Documen Hash
to
original

h23edhrt
+
UNIVERSIDAD DE MURCIA

√ Resumen
=
Digital
h23edhrt

Clave
pública

PROCESO DE
VERIFICACIÓN DE
FIRMA
13
Firma Digital

• Usos de la Firma Digital:


– Autenticación de los mensajes
– Firma de pagos, autorizaciones, documentos,
contratos, etc.
– Sellado de documentos
UNIVERSIDAD DE MURCIA

– Servicios de mensajería certificados


– Creación de Certificados Digitales

14
Firma Manuscrita VS Firma
Digital
Manuscrita Electrónica

Autenticidad Puede ser No puede ser


falsificada copiada

Integridad Firma Firma depende del


independiente del contenido del
VS
UNIVERSIDAD DE MURCIA

documento documento

No repudio a. Se necesita a. Cualquier


un ordenador
caligrafólogo de un
b. Propensa a usuario
errores b. Libre de
errores

15
Protección de la Clave Privada

• La clave privada generada tiene que ser


protegida y mantenida en secreto
• La responsabilidad de la confidencialidad
de la clave recae en su propietario
• La clave privada puede ser protegida
UNIVERSIDAD DE MURCIA

usando:
– Token software protegidos
por PIN
– Tarjetas Inteligentes
– Token Hardware
16
DSCF
• Dispositivos Seguros de Creación de Firma
– Permite garantizar la autenticación fuerte así
como sirven de base para generar firmas
electrónicas con el mismo valor legal que la firma
manuscrita
– Descritos en la Ley 59/2003 de firma electrónica
UNIVERSIDAD DE MURCIA

– Certificación en el Centro Criptológico Nacional


• Normas: CW 14169 y nivel EAL4+
– DSCF disponibles:
• Tarjeta Electrónica Ministerio de Defensa
• DNI-e v1.1

17
Proceso de Evaluación y Certificación de un
DSCF
Patrocinador/Fabricante Solicitud de Certificado

Producto/Sistema

Informe de
Evaluación Certificado

Supervisa/Autoriza
UNIVERSIDAD DE MURCIA

Informe de
Organismo de
Evaluación
Certificación

Organismo de Acreditación
Acreditación Acreditación
ISO 17025 EN 45011

18
UNIVERSIDAD DE MURCIA

Certificados
Certificados

Internet
UNIVERSIDAD DE MURCIA

20
Certificados
• Certificado
– Documento electrónico que asocia
una identidad a una clave
• Certificados  Firma
– Se implementa usando la firma
• Certificados  Autenticación
– La autenticación puede ser implementada
UNIVERSIDAD DE MURCIA

usando certificados digitales


– Lo mismo para otros servicios como
autorización, etc
• Los certificados son estáticos
– Cambios => Re-emisión

21
Certificados
• Tipos de certificados: X.509v3, SPKI,
PGP, SET, atributos
Biblioteca REG Emisor
Nombre: Alicia Nombre (DNS)
ID 3783597 Info
Atributos
Firma: Clave Pública
Firma del
Emitid
Emisor:
UNIVERSIDAD DE MURCIA

o por:
SignLib(Info)

22 22
UNIVERSIDAD DE MURCIA

Certificados

23
Prestadores
UNIVERSIDAD DE MURCIA

PKI
Elementos de una PKI
Listas de certificados revocados
OCSP
Ciclo de vida de los certificados
Validación
PKI
• Sistema de publicación de los valores de clave
pública utilizados en criptografía asimétrica.
• Principales elementos:
– Autoridad de Certificación (CA)
– Autoridad de Registro (RA)
– Repositorio de Certificados
– Entidades Finales
• Operaciones básicas:
UNIVERSIDAD DE MURCIA

– Certificación
– Validación
– Revocación
– Publicación y Distribución de certificados y de
notificaciones de revocación

25
PKI

Servidor Usuario final Administrador


LDAP
UNIVERSIDAD DE MURCIA

Autoridad de WWW Autoridad


certificación Servidor de de registro
(CA) solicitudes (RA)

26
PKI

• Autoridad de Certificación
– Encargada de dar validez a la información
contenida en los certificados
– Funciones principales:
• Certificación
UNIVERSIDAD DE MURCIA

• Publicación
• Revocación
– La CA nunca puede estar en línea.
– Su clave privada es TOP SECRET

27
PKI

• Autoridad de Certificación
– Las CAs se organizan en jerarquías de
certificación, estableciendo así cadenas de
confianza.
– CAs “globales” o “universales”
UNIVERSIDAD DE MURCIA

• Verisign, Entrust, Identrust, FNMT, …

28
UNIVERSIDAD DE MURCIA

PKI

29
PKI
• Autoridades de Registro
– Son un elemento de confianza muy
importante
– Entidades encargadas de:
• Verificar la información que aparecerá en el
certificado.
• Enviar las solicitudes de certificación a la CA
UNIVERSIDAD DE MURCIA

• Gestionar las solicitudes de revocación o de


recuperación de claves
• Repositorios de Certificados
– Se suele utilizar Servidores de directorios
basados en X.500 y LDAP
30
PKI
• Entidades a Certificar
– Son las entidades que obtienen un certificado
firmado por la CA
– Los certificados no se limitan sólo a personas
(procesos...)
• Los servidores web seguros son procesos
UNIVERSIDAD DE MURCIA

certificados.
– Dependiendo del tipo de sujeto:
• Certificados de cliente.
• Certificados de proveedor.

31
PKI
• Revocación
– Una CRL es una lista de los certificados
revocados, publicada y firmada
periódicamente por la CA
– El usuario utiliza esta lista
para comprobar la validez
UNIVERSIDAD DE MURCIA

de los certificados.

32
Validación de certificados

• Basado en CRLs

Cliente CRL
CRL
UNIVERSIDAD DE MURCIA

1. Descarga Periódicamente
Servicio de
2. Comprobación de Portal Web directorio
estado de revocación Público

Prestador de Servicios de Certificación (PSC)

33
Validación de certificados

Cliente

Servicio OCSP Servicio de


público directorio

petición de estado de revocación 1 Prestador de


Servicios de
UNIVERSIDAD DE MURCIA

respuesta de estado de revocación 1 Certificación (PSC)


......

petición de estado de revocación n

respuesta de estado de revocación n


• Basado en
OCSP
34
Bibliografía
• Libro electrónico “Seguridad Informática”, Jorge Ramió
Aguirre. 2007.
– http://www.criptored.upm.es/guiateoria/gt_m001a.htm
• “Criptografía y Seguridad en Computadores”. M. J.
Lucena López
– http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto
• “An Introduction to Cryptography”, Network Associates.
• “Secure Electronic Commerce. Building the
Infrastructure for Digital Signatures and Encryption”,
Second Edition. W. Ford, M. Baum. Prentice Hall.
UNIVERSIDAD DE MURCIA

• “Seguridad y Comercio en el Web”, S. Garfinkel y G.


Spafford. McGraw-Hill.
• “Understanding PKI: Concepts, Standards, and
Deployment Considerations”, Second Edition. C. Adams,
S. Lloyd. Addison Wesley.
• “PKI. Implementing and Managing E-Security”, A. Nash,
W. Duane, C. Joseph, D. Brink. McGraw-Hill.

35
UNIVERSIDAD DE MURCIA

PREGUNTAS…

36