Parte 1:

La Historia del Kuchen

de Frambuesa

www.inacap.cl

Agenda de la primera parte

Historia del Kuchen de Frambuesa.

Introducir conceptos bsicos de criptografa de llave
pblica.
Despertarlos (!)
Concepto de Certificado Digital.
Comprender el elemento bsico que identifica a la
Firma Electrnica Avanzada.
Que sigan despiertos (!)

www.inacap.cl

Una historia no (tan) real...

Nuestros personajes:
A: Una experta pastelera e inventora de recetas.
R: Un hbil vendedor, dueo de pastelera.
C: Un no-tan-experto-y-algo-envidioso pastelero.
Las circunstancias:
A vive en Caburgua, un pueblito en la novena regin.
Es muy amiga de R.
R vive en Antofagasta, y es dueo de la famosa
pastelera San Benito.
C vive en Santiago, es dueo de la pastelera Alfrente-de-San-Benito, y siempre ha sido la
competencia de R.
www.inacap.cl

Una historia no (tan) real...

Nuestro problema:
A desea enviarle a R por correo una irresistible
receta de kuchen, pero est segura que C
intentar robar la receta en el camino.
Si C se roba la carta, y sta nunca llega, R sabr
que C se la rob.
C no quiere dar evidencia de que vio la receta, as
que engaa a los carteros, slo para poder abrir la
carta, ver la receta y copiarla.
Qu puede hacer A?
Recurrir a un sistema llamado criptosistema
simtrico o de llave simtrica.

www.inacap.cl

Conceptos bsicos de
criptografa
Algoritmo de cifrado simtrico: aquel donde se usa la
misma clave para cifrar y descifrar un documento.
a

b c

d e

d e

g h i

g h i

m n o

m n o

Frambuesa

p q r

p q r

u v

w x

u v

w x

Htcdwguc
2

www.inacap.cl

Conceptos bsicos de
criptografa
Criptosistema de llave simtrica (K):

A K

Internet

www.inacap.cl

R K

Una historia no (tan) real...

Un nuevo problema:
C interviene el telfono de R y escucha la clave
secreta que usan R y A.
Pueden enviarse la receta sin necesidad de
intercambiar una clave?
S; ahora usarn un sistema llamado criptosistema
asimtrico o de llave pblica.

www.inacap.cl

Conceptos bsicos de
criptografa
Algoritmo de cifrado asimtrico: aquel donde, dados
un par de claves A y B, es posible cifrar con una clave y
descifrar con otra.

www.inacap.cl

Una historia no (tan) real...

Estas llaves:
Son generadas al mismo tiempo a travs de algoritmos
especiales.
Dependen una de la otra (a cada llave le corresponde
una, y slo una hermana).
No se puede (en la prctica!) averiguar una a partir de
la otra.
A y R eligen, cada uno, dos llaves: arbitrariamente llamarn
a una llave privada
privada y a la otra llave pblica:
pblica
La llave pblica es como el nmero de telfono.
La llave privada es como el nmero del cajero
automtico.

www.inacap.cl

Conceptos bsicos de
criptografa
Criptosistema de llave pblica:

R
A

Internet

A
R

www.inacap.cl

Una historia no (tan) real...

Ms problemas:
Ahora, C intercepta la carta en el camino, y enva a R una
receta falsa de kuchen de almejas y alcaparras
hacindose pasar por A.
Por si fuera poco, A empieza a aburrirse y a negar que ella
enva las recetas.
Algunas preguntas importantes:
Cmo puede R estar seguro de que fue A quien envi la
receta?
Cmo puede R estar seguro de que C no modific la
receta en el camino?
Cmo puede R asegurarse de que A no niegue que envi
la receta?

www.inacap.cl

Conceptos bsicos de
criptografa
Funcin de message digest: funcin matemtica no
reversible (sin inverso) que permite tomar un
documento (archivo) y obtener un identificador, ms
pequeo que el documento, que representa al
documento mismo. Es una huella digital del
documento.

Esto es un
hash!

www.inacap.cl

Conceptos bsicos de
criptografa
Un hash es a un documento lo que una huella digital
es a una persona:
Si tengo un modelo de huella digital (previo) de la
persona, y tengo a la persona delante, puedo comparar
y deducir si la persona es o no la duea de la huella.
A partir de una huella digital, no puedo reconstruir a
una persona completa.
Por tanto:
Si tengo un hash (previo), y tengo el documento del
que (supuestamente) fue generado, puedo comparar y
deducir si fue o no generado a partir del documento.
A partir del hash, no puedo reconstruir el documento
completo.

www.inacap.cl

Conceptos bsicos de
criptografa
Firma Electrnica:

=?
A

R
Internet
C

www.inacap.cl

Una historia no (tan) real...

Algunos problemas anteriores estn resueltos (C no
puede modificar la receta), pero ahora C pudo ver la
receta (!): el documento va firmado, pero no cifrado.
Es posible resolver todos los problemas que hemos visto
hasta ahora?
S:
S es posible combinar la firma electrnica con el
cifrado, y obtener un concepto mucho ms
poderoso: la firma y cifrado con llave pblica.
pblica

www.inacap.cl

Conceptos bsicos de
criptografa
Llave de sesin o de una sola vez: Clave
simtrica que utilizamos para enviar slo un mensaje, y
luego no utilizamos nunca ms.

K1

K1

K2

K2

K3

K3

www.inacap.cl

Conceptos bsicos de
criptografa
K

=?

Internet

www.inacap.cl

Una historia no (tan) real...

Ahora estn de acuerdo, pueden enviarse recetas sin que
nadie pueda verlas ni modificarlas, y R est seguro que fue
A quien las envi (la receta est firmada), pero...
C descubri que, si cuando R le peda a A su llave
pblica, C interceptaba la comunicacin y enviaba su
propia llave pblica, poda suplantar a A y ver todas las
recetas ...
Es posible solucionar el problema ahora?
A y R recurren a un tercero: una empresa privada
llamada NARF para que guarde sus llaves pblicas y
las entregue libremente a quien se las pida.

La
llave
pblica
de ...?

www.inacap.cl

ab435
dspkd0
9lslk7k
32lk23l
k397...!

Una historia no (tan) real...

Dado el complejo escenario, C intent:
Crackear los servidores de NARF, y reemplazar la
clave pblica de A por la propia.
Quemar la empresa, para que se pierda la clave de A
y reemplazarla con la propia.
Es posible solucionar el problema ahora?
A y R recurren a un superhroe, para que se preocupe
de fiscalizar a las empresas como NARF en:
La seguridad fsica de sus instalaciones (incendio,
robo, humedad, etc.),
La seguridad digital de sus instalaciones (firewalls,
respaldos, etc.)
www.inacap.cl

Conceptos bsicos de
criptografa
La infraestructura de llave pblica (PKI) es una arquitectura
que permite asegurar el manejo, almacenamiento y
divulgacin razonable de llaves pblicas.
pblicas

Entidad Acreditadora (subsecretara

de Economa)

Prestadoras de Servicios de
Certificacin (CA, Certification
Authorities)

Personas (naturales o jurdicas)

A

www.inacap.cl

Una historia no (tan) real...

Existen mltiples arquitecturas posibles para PKI, pero
todas se basan en la confianza en una entidad
acreditadora,
acreditadora y una o ms empresas acreditadas
prestadoras de servicios de certificacin.
Finalmente, A logra enviarle a R todas las recetas que
quiere; y R est seguro de que:
C no las vio en el camino (cifrado)
cifrado
Es A quien enva las recetas (autenticacin)
autenticacin
Las recetas no fueron modificadas durante su envo
(integridad)
integridad
A no puede negar que envi las recetas (no
repudio)
repudio
www.inacap.cl

Fin de la Historia del

Kuchen de Frambuesa!
Qu conceptos son importantes?
Llave pblica/llave privada:
privada son la base del
intercambio de documentos firmados y/o cifrados.
Firmar un documento:
documento es calcular el hash de un
documento digital, y cifrar este hash con la llave privada
de la persona que emite u origina el documento.
Cifrar un documento:
documento es convertir el contenido del
documento en algo ilegible, descifrable slo por una
persona determinada. Siempre se cifra con la llave
pblica de la persona a la que se enva el documento.
Infraestructura de Llave Pblica:
Pblica una red que
permite almacenar e intercambiar certificados digitales.
Certificado digital:
digital ?

www.inacap.cl

Concepto de Certificado (papel)

Qu dice un certificado de nacimiento?
Nombre de la persona
Fecha de nacimiento
Nombre de los padres
Firma ... de quin?
Concepto (abstracto) detrs de un certificado:
Yo, oficial competente del Registro Civil, certifico
que Fulano Sutano naci el ... de ... de 19..., sus
padres son ..., etc. Firma: oficial competente de
Registro Civil (en ejercicio de sus funciones)

www.inacap.cl

Concepto de Certificado Digital

Es

un documento electrnico que contiene:

El nombre de la persona natural/jurdica,
La llave pblica de la persona,
La llave pblica de la autoridad certificadora (CA),
Un hash del documento completo, cifrado con la llave
privada de la CA.

Concepto (abstracto) detrs de un certificado digital:

Yo, oficial de registro de la empresa XYZ, autorizado por la
Ley N 19.799, certifico que Fulano Sutano es quien dice
ser, ha estado ante m, y la presente llave pblica le
pertenece, y se corresponde con una llave privada que fue
entregada al Sr. Sutano. Firma: oficial de registro de XYZ.
www.inacap.cl

Concepto de Certificado Digital

Problemas:
En rigor, un certificado X.509 asocia un nombre
especfico (Distinguished Name), con una llave
pblica.
Cul es el punto dbil del esquema anterior?
Que el nombre no identifica de manera nica a las
personas!
En Chile el problema fue resuelto:
A travs de la incorporacin del RUT dentro de los
campos obligatorios del certificado.

www.inacap.cl

Concepto de Certificado Digital

Proceso de
Generacin de Llaves
Llave
Pblica

Llave
Privada
Almacenamiento
(Token USB u otros)

Firma
de CA
Nombre de la
persona,
otros datos.

Firma

Publicacin

www.inacap.cl

Concepto de Certificado Digital

Ciclo de vida del certificado digital:

www.inacap.cl

Concepto de Certificado Digital

Usos posibles para los certificados:
Certificados cualificados (autenticacin y firma).
Certificados Web para navegador
Certificados para VPN.
Certificados de usuario con simple, doble o triple parejas de
claves.
Certificados de Roaming.
Certificados de Atributos.
Principales proveedores en el mundo:
Entrust
Verisign
Safelayer
Baltimore
RSA

www.inacap.cl

Concepto de Certificado Digital

Qu instituciones estn autorizadas en Chile para

vender certificados digitales que constituyan firma
electrnica avanzada?
avanzada
E-Cert Chile: http://www.e-certchile.cl
Acepta.com: http://www.acepta.com
CNC-Once: http://www.cnc-once.cl
E-Sign (prximamente): http://www.esign.cl
Dnde encuentro ms informacin sobre esto?
En el sitio de la Entidad Acreditadora:
http://www.entidadacreditadora.cl

www.inacap.cl

Concepto de Certificado Digital

Qu instituciones estn autorizadas en Chile para

generar certificados digitales que constituyan firma
electrnica simple?
simple
Todos! Cualquier persona o institucin puede (con el
entrenamiento adecuado) generar una PKI propia, y
generar certificados para uso personal.

www.inacap.cl

Algunas herramientas
relacionadas
OpenSource PKI: Proyecto documental que provee
informacin sobre cmo generar una infraestructura de
llave pblica a partir de herramientas de cdigo abierto:
http://ospkibook.sourceforge.net.
OpenSSL: Implementacin libre de SSL, permite
generar certificados X.509: http://www.openssl.org.
OpenCA: Software que permite levantar y administrar
una CA (requiere OpenSSL): http://www.openca.org.
PHPKI: Interfaz Web para OpenSSL, permite administrar
una CA local. Disponible en http://sourceforge.net/
projects/phpki.

www.inacap.cl

Pasos para generar una

CA interna con X.509

Requisitos:
Contar con OpenSSL instalado.
Pasos:
Generar un par de llaves. Este par de llaves ser
utilizado posteriormente para firmar certificados de
usuarios, y para certificarse a s misma.
Generar un certificado raz autofirmado. Este
certificado puede ser utilizado para ser instalado en
aplicaciones externas para verificaciones.

www.inacap.cl

Pasos para generar un

certificado de usuario X.509

Pasos:
Generar un par de llaves. El comando para generar
este par de llaves es igual al anterior (genrico).
Generar una peticin de certificado (CSR). Esto es
una peticin de certificado a una entidad certificadora,
quien debe revisar esta peticin y firmarla (si
corresponde).
Generar un certificado de usuario (CRT). Este
certificado es genrico, y puede ser utilizado
(indirectamente) para diversos medios.
Generar un certificado PKCS12. Esta forma del
certificado original es utilizable para firmar correos y
documentos (MS Word, PDF, etc.)
www.inacap.cl