UD2: Criptografía

(Parte II)
 Índice
1. Funciones Resumen o Hash
2. Firma Digital
3. Certificados Digitales
4. PKI: Infraestructuras de Clave Pública
 Función Resumen ó Hash
• Son funciones que asocian a cada documento un número
(valor resumen) y que tienen la propiedad de que conocido el
valor numérico, no puede obtenerse el documento.
• Para obtener el valor resumen de un documento se emplearán
algoritmos complejos matemáticamente, para que así se
puedan cumplir los requisitos de la función resumen.
• Algunos de estos algoritmos son el MD5 y el SHA.
• Las funciones hash también se utilizan para otros fines,
como por ejemplo, para cifrar contraseñas, como en el caso de
las cuentas en Linux, que se almacenan en el fichero
etc/passwd o etc/shadow utilizando funciones resumen como
la SHA512, y para la firma digital como vemos a continuación.
 Firma Digital
• La firma digital viene a sustituir a la manuscrita en el mundo de
la informática. La descripción del mecanismo es el siguiente:
• Se calcula un valor resumen del documento a firmar utilizando
algún algoritmo como el SHA. Este valor resumen se cifra utilizando
la clave privada de una pareja de claves asimétricas, esto permite
asegurar la autenticidad de la persona que lo firma.
• El resultado de este valor es el que se conoce como firma digital del
documento.
 Firma Digital
• La comprobación de la firma digital de un documento se
hace como sigue:
• Se separa la firma digital del documento en sí.
• La firma se descifra utilizando la clave pública del firmante,
obteniendo un primer valor resumen del documento.
• Del documento se calcula el valor resumen, utilizando el mismo
algoritmo que en el proceso de cifrado, por ejemplo el SHA.
• Por último se comparan los dos valores resúmenes obtenidos en
los dos procesos anteriores y si estos coinciden entonces la firma
es válida; si estos son distintos la firma será nula.
 Certificados Digitales
• El certificado digital es un documento que contiene
información sobre una persona o entidad (nombre, su
dirección, email, NIF, CIF,. ..), una clave pública y una firma
digital de un organismo de confianza (autoridad
certificadora) que rubrica que la clave pública que contiene el
certificado pertenece al propietario del mismo.
• En España, La Fábrica Nacional de Moneda y Timbre (FMNT)
actúan como autoridad certificadora, firmando (con clave
privada) los certificados digitales de los usuarios.
• Estos certificados permiten realizar muchos de los trámites con
las administraciones públicas (entregar la declaración de la
renta, consultar nuestra vida laboral, ...), todo ello gracias a
que el certificado digital establece la identidad del usuario en la
red.
 Certificados Digitales
• Ejemplo de un certificado digital en formato X.509, estándar
más utilizado, visto desde una pantalla de Windows.
Campos:
• Versión, número de serie.
• Algoritmo de firma.
• La autoridad certificadora (Emisor).
• El periodo de validez.
• El propietario de la clave (Asunto).
• La clave pública.
• La firma digital de la autoridad
certificadora.
• Huella digital.
• Uso de la clave.
• Dirección web donde se pueden
consultar las prácticas de
certificación
 Certificados Digitales
• Precaución: Aunque no es estrictamente necesario, un
certificado digital (que siempre debe llevar una clave pública)
puede incorporar también la clave privada relacionada.
• En estos casos, el certificado debe estar más protegido,
puesto que se corre el riego de comprometer la clave privada.
Para se establece una contraseña o PIN para la clave privada.
• Los certificados que llevan la extensión .pfx suelen incorporar
esta clave privada.
• El modo de operación recomendado en estos casos, es
que se instale el certificado pfx en el sistema del usuario, se
guarde el fichero pfx en sitio protegido y generar a partir de él
un nuevo certificado que no lleve la clave privada para
distribuir entre los destinatarios que necesitarán la clave
pública.
 PKI: Infraestructura de Clave Pública
• PKI (Public Key Infrastructure) hace referencia a todo lo
necesario, tanto de hardware como de software, como de
organismos públicos y privados, para que en las
comunicaciones digitales se alcancen los objetivos de la
seguridad informática de autenticidad, confidencialidad,
integridad y no repudio.
• En España, la FNMT, numerosas oficinas de la administración
pública (tesorerías de la Seguridad Social, oficinas de la
Agencia Tributario), policía nacional, páginas web (VALIDe), y
autoridades de registro, permiten desarrollar esta
infraestructura.
• Entre otras cosas, verifican que la persona que solicita un
certificado es quien dice ser al presentar el documento
nacional de identidad en dichas oficinas.
 PKI: Infraestructura de Clave Pública
• Las PKI establecen nuevos interlocutores entre emisor y
receptor:
• La autoridad de certificación, CA (Certificate Authority), entidad
de confianza encargada de emitir y revocar los certificados
digitales.
• La autoridad de registro, RA (Registration Authority), encargada
de controlar la generación de certificados. Primero procesa las
peticiones que hacen los usuarios, posteriormente comprueba la
identidad de los usuarios, y por último solicita a la autoridad de
certificación la expedición del certificado digital.
• La autoridad de validación, VA (Validation Authority), responsable
de la validez de los certificados digitales emitidos.
• Las autoridades de los repositorios donde se almacenan los
certificados emitidos y aquellos que han sido revocados por
cualquier motivo y han dejado de ser válidos.
 PKI: Infraestructura de Clave Pública
• Ejemplo de funcionamiento de una PKI en el protocolo SSH:
 Referencias
• C. Seoane, A.B. Saiz, Emilio Fernández, Laura
Fernández. Seguridad Informática. Ed. McGrawHill,
2010.
• J. F. Roa Buendía. Seguridad Informática. Ed.
McGrawHill, 2013.
• Alfredo Abad Domingo. Seguridad y Alta
Disponibilidad. Ed. Garceta, 2013.