Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad en Tecnologia de La Informacion2
Seguridad en Tecnologia de La Informacion2
Problemática de la seguridad
• La seguridad de la información se define como la
preservación de:
La firma Digital
• Las Firmas y los Certificados Digitales,
son componentes habilitadores dentro de
la Seguridad Informática muy importantes.
Definiciones:
Encriptación Asimétrica
Llave Publica Encripta
Cualquiera la puede acceder
Usada para encriptar datos.
Firma Digital
1. El remitente inicia el proceso haciendo una suma matemática
de la Data (llamada Hash)
Función Hash
aplicada a la
Data normal
Data normal Código Hash
Firma Digital
3. Al recibir la data y el Código Hash encriptado. El receptor
puede verificar el código Hash desencriptándolo con la llave
pública del remitente.
Firma Digital
5. El Código Hash recibido es comparado con el Código Hash calculado.
Si concuerdan el receptor a verificado que la data no ha sido alterada
(Integridad)
Se comparan el Código
Hash Recibido y el
Código Hash calculado
Códigos Hash
concuerdan
A
B
Autoridad Certificadora
Certificado Digital
Certificado
Certificado Raíz
• El Certificado Raíz (root certificate) es el
certificado digital que utiliza una CA para
firmar los certificados digitales que emite.
• ¿Quién firma el Certificado Raíz? Otra entidad
de certificación de mayor jerarquía y confianza
o es autofirmado.
• El Certificado Raíz de la CA es público para
que pueda ser instalado en los clientes como
certificado aceptado y se publica en un
repositorio LDAP.
Tecnología y Gerencia del Perú SAC
Firewalls
Proxy
Control de Acceso
Administración Centralizada
Identificación
Detectores de Intrusos
Backups
Certificados Administración
Digitales
Aplicaciones Diversas
Wireless
Servidor y Servicios Web
Telnet Encriptado
FTP Encriptado
Correo firmado y Encriptado
Administración
Tecnología y Gerencia del Perú SAC
Problemas Iniciales
• Tecnología muy nueva
• Estándares muy recientes
• Implementación difícil
• Falta de aplicaciones para facilitar su dificil
administración
• Problemas de escalamiento en su arquitectura
inicial
• Confusión entre Autenticacion y Autorizacion
• La Autenticacion esta ligada al Certificado (
pensado para perdurar ). La Autorizacion es mas
dinamica.
Tecnología y Gerencia del Perú SAC
Autenticacion vs Autorizacion
Certificado Digital Certificado de Atributo
Autenticación Autorización
Identidad Personal Atributos Socio-
económicos.
Características Permanentes Atributos Cambiantes
PKI PMI
Nuevas Funcionalidades
• Unión de dos fuerzas para las tareas de Autenticación y
Autorización.
• Una parte (PKI) rígida, muy segura que provee la
seguridad mediante una fuerte encriptación dedicada a
la autenticación.
• La otra parte (PMI) flexible, que provee la funcionalidad
flexible y cambiante de los privilegios dedicada a la
autorización.
• Las dos partes relacionadas y trabajando en conjunto
en un ambiente distribuído, fácil de administrar y
altamente escalable. Cualquier cambio en un atributo
esta disponible inmediatamente para las partes
interesadas.
Tecnología y Gerencia del Perú SAC
Certificado de Atributo
• Técnicas de Autorización
– Basado en la Identidad.
El servidor tiene una lista de recursos y personas
autorizadas.
– Basado en la Capacidad.
El cliente tiene una credencial (un certificado) que
le da el poder de accesar un recurso determinado.
• El Certificado de Atributo.
Es el mecanismo electrónico que actua como
credencial para que una persona identificada pueda
accesar un recurso determinado.
Tecnología y Gerencia del Perú SAC
Aplicaciones
• Manejo de Documentos y Formularios electrónicos
con valor legal y económico.
• Servicios Notariales Digitales.
• Agentes con servicios electrónicos certificados,
como el transporte de correos o archivos
notariados..
• Servicios Web que requieren una fuerte
identificación y autorización o certificación
inmediata.
• En general aplicaciones aún no totalmente
delineadas para Gobierno electrónico y donde se
interconectan una cantidad importante de usuarios.