CRIPTOGRAFIA

1 Criptografia
Introduccion
A veces solo quieres que alguien
o solo tu conozca te mensaje

Julio Cesar (imperio Romano)

Cesar utilizo un esquema criptografico simple pero efectivo para comunicarse
con sus generales

3
El esquema de cesar consistía en desplazar cada
letra del alfabeto un numero determinado de
posiciones por ejemplo la letra “A” podía ser
codificada como “M ” , la “B” como “N” , la “C”
como “O". Así sucesivamente.

4
 CONCEPTOS PREVIOS
⊳ Para hablar de sistemas criptográficos debemos tener una noción del
vocabulario que utilizaremos
LLAMAREMOS:

TEXTO PLANO : Al texto que queremos proteger , pero que aun no esta cifrado.

CRIPTOGRAMA: Texto después de haber aplicado una técnica de

criptografía , normalmente es ilegible.

ENCRIPTACION: Proceso por el cual se transforma un texto plano en un

CRIPTOGRAMA.

DESENCRIPTACION: Proceso por el cual se recupera el texto plano de un

CRIPTOGRAMA.
5
 “
SISTEMAS CRIPTOGRAFICOS

6
 SISTEMAS CRIPTOGRAFICOS

⊳ MONOALFABETICO CASA

PRIMER : A = M
Para un símbolo tienen un mismo SEGUNDO : A = M
valor.
⊳ POLIALFABETICOS CASA

PRIMER : A = X
Para un símbolo tienen un varios SEGUNDO : A = Y
valores.
7
8
RAMAS DE LA CRIPTOGRAFIA

⊳ CRIPTOGRAFIA DE CLAVE
PRIVADA O SIMETRICA

⊳ CRIPTOGRAFIA DE CLAVE
ASIMETRICA O PUBLICA

9
 GESTION DE CLAVES
⊳ TODAS LA TECNICAS CRIPTOGRAFICAS AL FINAL DEPENDEN DE LA GESTION
QUE MANEJAN . ESTA TAREA INCLUYE BASICAMENTE:

 Generación de claves para diferentes sistemas criptográficos y

aplicaciones.
 Generación y obtención de certificados de clave pública.
 Distribución de claves a los usuarios, incluyendo la activación una vez
hayan sido recibidas. Almacenamiento de claves, incluyendo cómo
obtienen acceso a las claves los usuarios autorizados.
 Cambio o actualización de claves, incluyendo normas sobre cuándo
deben cambiarse o actualizarse, y cuál es el procedimiento aplicable.
 Gestión de claves comprometidas.
 Revocación de claves, incluyendo su retirada o desactivación.
 Archivo de claves, especialmente en caso de información cifrada que
haya sido archivada. - Destrucción de claves.
 Registro y auditoría de operaciones relativas a la gestión de claves. 10
 “
⊳Criptografía
Asimétrica

11
Criptología Simétrica
 Concepto

⊳ También se conoce como la criptografía de clave única.

Se utiliza una sola clave. En este proceso de cifrado del
receptor y el emisor tiene que ponerse de acuerdo sobre
una sola clave secreta (compartido). Dado un mensaje
(denominado texto plano) y la clave, cifrado produce
datos ininteligibles, que es aproximadamente la misma
longitud que el texto en claro era. El descifrado es la
inversa de la codificación, y utiliza la misma clave de
cifrado.

13
Ejemplo

14
 Ventajas Vs.
 La seguridad depende sólo
del secreto de la clave.
 Son muy rápidos.
 Los sistemas con un gran
espacio de claves son muy
seguros.
Desventajas
 Es complicado establecer
un sistema de distribución y
gestión de claves eficiente
entre emisor y receptor.
 Carecen de firma digital y
de otros servicios.
15
Modos de cifrado y
descifrado

16
ECB

⊳ (Electronic Code Book): En este modo de datos se divide en bloques de 64 bits y cada
bloque se cifra uno a la vez. Cifrados separados con diferentes bloques son totalmente
independientes entre sí. Esto significa que si los datos se transmiten a través de una red o
línea telefónica, los errores de transmisión sólo afectarán al bloque que contiene el error.
También significa, sin embargo, que los bloques pueden ser reorganizados, luchando así un
archivo de más allá del reconocimiento, y esta acción sería pasar desapercibido. ECB es el
más débil de los distintos modos porque no hay medidas de seguridad adicionales se
aplican además del algoritmo básico DES. Sin embargo, ECB es la más rápida y fácil de
implementar, por lo que es el modo más común de DES visto en aplicaciones comerciales.

17
CBC

⊳ (Cipher Block Chaining): En este modo de operación, cada bloque de texto cifrado con ECB se le aplica una
operación XOR con el previo bloque ya cifrado. De este modo, cada bloque cifrado depende de todos los bloques de
texto claros usados hasta ese punto. Esto significa que, a fin de encontrar el texto completo de un bloque
determinado, lo que necesita saber el texto cifrado, la clave y el texto cifrado para el bloque anterior. El primer
bloque a cifrar no tiene texto cifrado anterior, por lo que el texto plano es XOR con un número de 64 bits llamado
vector de inicialización, o IV, para abreviar. Así que si los datos se transmiten a través de una red o línea de teléfono
y no es un error de transmisión (adición o eliminación de bits), el error se arrastrará a todos los bloques posteriores
ya que cada bloque depende de la última. Si los bits se acaba de modificar en tránsito (como es el caso más común)
el error sólo afectará a todos los bits en el bloque modificado, y los bits correspondientes en el bloque siguiente. El
error no se propaga más allá

18
CFB

⊳ (Cipher Feedback): En este modo, los bloques de texto plano menores de 64 bits de longitud se pueden cifrar.
Normalmente, este proceso especial tiene que ser usado para manejar los archivos cuyo tamaño no es un múltiplo de
8 bytes perfecto, pero este modo elimina esa necesidad. El texto plano en sí no se pasa realmente a través del
algoritmo DES, sino simplemente se le aplica XOR con un bloque de salida de ella, de la siguiente manera: Un
bloque de 64 bits llamada el registro de desplazamiento se utiliza como entrada para el texto plano DES. Esto se
ajusta inicialmente a un valor arbitrario, y encriptado con el algoritmo DES. El texto cifrado se pasa luego a través
de un componente adicional denominado la caja M, que simplemente selecciona el más a la izquierda M bits del
texto cifrado, donde M es el número de bits en el bloque deseamos cifrar. Este valor se XOR con el verdadero texto
plano, y la salida de ese es el texto cifrado final. Por último, el texto cifrado se alimenta de nuevo en el registro de
desplazamiento, y se utiliza como la semilla de texto plano para el siguiente bloque a cifrar. Al igual que con el
modo CBC, un error en un bloque afecta a todos los bloques posteriores durante la transmisión de datos. Este modo
de funcionamiento es similar al CBC y es muy seguro, pero es más lento que el ECB debido a la complejidad
añadida.

19
OFB

⊳ (Output Feedback): Es similar al modo CFB, excepto que la salida de texto cifrado de DES se alimenta de nuevo en
el registro de desplazamiento, más que el texto cifrado final real. El registro de desplazamiento se establece en un
valor inicial arbitrario, y se pasa por el algoritmo DES. La salida del DES se pasa a través de la caja M y luego
vuelve a entrar al registro de desplazamiento para prepararse para el siguiente bloque. Tenga en cuenta que a
diferencia de CFB y CBC, un error de transmisión en un bloque no afectará bloques posteriores debido a que una
vez que el destinatario tiene el valor inicial Registro de desplazamiento; que continuará generando nuevas Registro
de desplazamiento entradas de texto plano sin ninguna entrada de datos adicional. Sin embargo, este modo de
operación es menos seguro que el modo CFB porque sólo se necesita la salida de texto cifrado real y DES texto
cifrado para encontrar el texto plano del bloque más reciente.

20
Cifrado por bloques

21
 Es es una unidad de cifrado de clave
simétrica que opera en grupos de bits
de longitud fija, llamados bloques,
aplicándoles una transformación
invariante. Cuando realiza cifrado, una
unidad de cifrado por bloques toma un
bloque de texto plano o claro como
entrada y produce un bloque de igual
tamaño de texto cifrado. La
transformación exacta es controlada
utilizando una segunda entrada — la
clave secreta. El descifrado es similar:
se ingresan bloques de texto cifrado y
se producen bloques de texto plano.
 cifrados en bloque se componen
de cuatro elementos:
• Transformación lineal: la cual puede constar de una o dos funciones y éstas pueden o no
depender de la clave.
• Transformación intermedia mediante iteraciones o vueltas: las cuales se repiten n veces
mediante alguna función no lineal pero sí complicada, de manera que los datos sean
transformados aplicando dicha función sobre ellos haciendo uso de la clave.
• Transformación final: su objetivo es que las operaciones de cifrado y descifrado sean
simétricas, esto es, si por ejemplo las vueltas de cifrado son de una operación separadas por
sumas módulo 2 bit a bit, entonces la transformación final consiste en realizar únicamente la
operación inversa de la transformación inicial; pero si la transformación intermedia concluye
con una operación que afecta a todo el bloque, entonces la transformación final debe
considerar la función inversa de esa operación y la inversa de la transformación inicial.
• Algoritmo de expansión de clave: tiene la función de convertir la clave de usuario en un
conjunto de subclaves y que el descubrimiento de alguna o algunas claves intermedias no
permita deducir las subclaves anteriores ni las siguientes.
23
 DES

(Data Encryption Standard): fue el primer estándar de cifrado que

será publicado por el NIST (Instituto Nacional de Estándares y
Tecnología). Fue diseñado por IBM en función de su cifra de
Lucifer. DES se convirtió en un estándar en 1974. DES usa una
clave de 56 bits, y los mapas de bloque de entrada de 64 bits en un
bloque de salida de 64 bits. La clave parece realmente una cantidad
de 64 bits, pero un bit en cada uno de los 8 octetos se utiliza para la
paridad impar en cada octeto. Hay muchos ataques y métodos
registrados hasta ahora los que explotan las debilidades de DES, lo
que hizo que un cifrado de bloques inseguro

24
 AES

(Advanced Encryption Standard): también conocido como el algoritmo

Rijndael (pronunciado como lluvia muñeca), es un cifrado simétrico de
bloques que puede cifrar bloques de datos de 128 bits utilizando claves
simétricas 128, 192, o 256. AES se introdujo para sustituir el DES.
Ataque de fuerza bruta es el único ataque efectivo conocido en contra de
este algoritmo

25
 3DES

(Data Encryption Standard): fue el primer estándar de cifrado que

será publicado por el NIST (Instituto Nacional de Estándares y
Tecnología). Fue diseñado por IBM en función de su cifra de
Lucifer. DES se convirtió en un estándar en 1974. DES usa una
clave de 56 bits, y los mapas de bloque de entrada de 64 bits en un
bloque de salida de 64 bits. La clave parece realmente una cantidad
de 64 bits, pero un bit en cada uno de los 8 octetos se utiliza para la
paridad impar en cada octeto. Hay muchos ataques y métodos
registrados hasta ahora los que explotan las debilidades de DES, lo
que hizo que un cifrado de bloques inseguro

26
 IDEA: International Data Encryptation
Algorithm
⊳ El algoritmo IDEA fue diseñado en 1992 para reemplazar el DES. Actualmente es
de uso libre para fines no comerciales, aunque no está libre de patentes. Es un
algoritmo de cifrado simétrico de bloques de 64 bits que emplea una clave de
longitud fija de 128 bits. Divide cada bloque en cuatro palabras de 16 bits que se
combinan intercalando diferentes operaciones, como XOR, adicción y
multiplicación modular, no existiendo operaciones a nivel de bit. Estas tres
operaciones provocan confusión y no cumplen las leyes distributiva ni asociativa.
El proceso de cifrado consiste en ocho rondas completas de cifrado idéntico y una
transformación final, también denominada media ronda. Se generan 52 subclaves
de 16 bits a partir de la clave maestra de 128 bits. En cada una de las rondas se
utilizan 6 subclaves diferentes, que se combinan con los bloques de cifrado
mediante diferentes operaciones matemáticas ya mencionadas (XORs, sumas y
multiplicaciones módulo 16). La estructura que crea la difusión es un bloque
básico denominado Estructura MA Multiplication/Addiction. Usa solo dos claves
por cada vuelta, y tanto sus entradas como sus salidas están conectadas por XOR.
Cuando ya se han realizado las ocho rondas idénticas, hay una transformación
final que utiliza las últimas 4 subclaves para invertir la operación de cifrado
inicial. Se denomina media ronda porque no atraviesa el bloque MA. 27
Cifrado por Flujo

28
 concepto

⊳ Este tipo de criptografía se basa en cifrar bit a bit, o byte a byte, por lo que
están diseñados idealmente para aquellas comunicaciones que se estén
generando en tiempo real, como por ejemplo en telefonía móvil digital. Los
algoritmos RC4, A5 y Seal son ejemplos de este tipo de cifradores. Al cifrar
unidades mínimas de contenido, sin que éstas dependan de algo más (no existe
retroalimentación), obliga a que no pueda usarse la misma clave, ya que sería
fácil encontrar un patrón y descifrar el contenido del mensaje. Por este motivo
se utiliza un generador de flujo de clave, de longitud igual o superior al
mensaje.
 los elementos de un cifrador de flujo son
(Lucena López 2011):

⊳ Un generador determinístico de clave (o generador de secuencia

cifrante): a partir de una clave de inicialización secreta K
produce una secuencia pseudoaleatoria de bits igual a la
longitud del mensaje. Dicha secuencia de bits responde a una
distribución uniforme, es empleada como clave tanto en el
proceso de cifrado como en el de descifrado. Emisor y receptor
deben contar con su propio generador de clave, los cuales
producirán claves idénticas en ambos extremos de la
comunicación. 2. Un algoritmo de cifrado basado en la función
XOR. Este algoritmo servirá tanto para cifrar como para
descifrar el criptograma, debido al carácter reversible de la
función XOR.
30
 RC-4

⊳ Es un algoritmo de cifrado de flujo, diseñado por R.Rivest, para la RSA

Security en 1987. Se difundió en internet una descripción que genera
las mismas secuencias, por lo que también es conocido como
ARCFOUR. Su implementación es extremadamente sencilla y rápida.
Emplea una caja de sustitución de 8x8 cuyas 256 entradas forman una
permutación de los números del 0 al 255. La clave es de longitud
variable y determina la permutación de la caja de sustitución. Para su
inicialización, requiere del funcionamiento de estos dos algoritmos:
⊳ 1. KSA, Key Scheduling Algorithm: utiliza la clave secreta para
inicializar la S-caja 2. PRGA, Pseudo-Random Generation Algorithm:
genera una secuencia pseudoaleatoria RC4 genera un flujo
pseudoaleatorio de bits a partir de la clave original, y se combina con el
mensaje en claro por medio de permutaciones y operaciones XOR. El
descifrado es exactamente igual, debido a la simetría de la operación 31
A5

⊳ Es un algoritmo cifrador de flujo y en la actualidad existen tres versiones: A5/1,

A5/2 y A5/3. A5/1 y A5/2 fueron definidos inicialmente por el estándar GSM.
A5/3 está basado en el algoritmo Kasumi definido en 3GPP. El cifrado está
basado en la combinación de una serie de registros de desplazamiento
realimentados linealmente (LFSRs) de diferente tamaño (tres en el caso de A5/1
con 19, 22 y 23 bits), con señales de reloj diferentes y una serie de
combinaciones no lineales. Aunque por definición la versión A5/2 es más débil
que la A5/1, no se recomienda su uso debido a la facilidad de ataque al que
queda expuesto el algoritmo, incluso en tiempo real. (Quirke 2004)

32
SEAL: Software Optimized Encryption
Algorithm
⊳ Seal es un generador de secuencia diseñado en 1993 para IBM, por lo que está sujeto a patentes (U.S.
Patent 5.454.039 y U.S. Patent 5.675.652). A diferencia de algoritmos basados en sistemas lineales,
presenta la posibilidad de acceso aleatorio, ya que define una familia de funciones pseudoaleatorias que
calculan cualquier fragmento de la secuencia o únicamente a través de un número entero de 32 bits. Emplea
ocho registros de 32 bits y unos cuantos KBytes de memoria. Mediante un precálculo relativamente lento,
genera un conjunto de tablas que permiten acelerar el algoritmo posteriormente. Para la generación de estas
tablas se utilizan unas 200 llamadas a la función hash SHA, por lo que no es apropiado en situaciones en
las que cambie la clave a menudo o no se disponga de espacio en memoria para las tablas.

33
Criptología Simétrica
La criptografía asimétrica se desarrollo en lo años 70’ y utiliza algoritmos matemáticos
relacionados con números primos y curvas elípticas. En este caso cada usuario del sistema
criptográfico ha de poseer una pareja de claves:
• Sera custodiada por su propietario y no se dará a
Clave privada conocer a ningún otro.

• Será conocida por todos los usuarios.

Clave pública
Esta pareja de claves es complementaria: lo que cifra una solo lo puede descifrar la otra y
viceversa. Estas claves se obtienen mediante métodos matemáticos complicados de forma
que por razones de tiempo de cómputo, es imposible conocer una clave a partir de la otra.

BENEFICIO INCONVENIENTE
Algunos algoritmos de encriptación
• El beneficio obtenido • El inconveniente es la asimétrica son:
consiste en la supresión de lentitud de la operación.  RSD (RIVEST-Shamir-Aldelman)
la necesidad del envío de la Para solventar dicho
clave, siendo por lo tanto un inconveniente, el  DSA(Digital Signature Algorithm) //
sistema más seguro. procedimiento que suele
seguirse para realizar el algoritmo de firma digital
cifrado de un mensaje es
utilizar un algoritmo de clave
pública junto a uno de clave 35
simétrica.
 RSA

Fue inventado por R. Rivest, A. Shamir y L. Aldleman (de sus iniciales

proviene el nombre del algoritmo) en el Massachusetts Institute of
Technology (MIT).
Emplea las ventajas proporcionadas por las propiedades de los números
primos cuando se aplican sobre ellos operaciones matemáticas basadas en
la función módulo.
La robustez del algoritmo se basa en la facilidad para encontrar dos
números primos grandes frente a la enorme dificultad que presenta la
factorización de su producto. Sin embargo, se ha de notar que, aunque el Ron Adi Leonard
hecho de aumentar la longitud de las claves RSA no supone ninguna Rivest Shamir Adleman
dificultad tecnológica, las leyes de exportación de criptografía de EE.UU .
Imponen un limite a dicha longitud.
36
 RSA

Para este algoritmo lo primero que debemos hacer es definir dos numero primos los cuales serán
nuestra llave privada.

Si alguien quisiera descifrar el mensaje

deberá saber a partir de que números se
( 3 ) * ( 11 ) = 33 genera la llave publica. Es decir
factorizar la llave.
Llaves privadas Llave publica

Multiplicamos ambos números y generamos la llave publica.

Es este caso usamos números pequeños pero en la vida real se usa números primos grandes, extremadamente
grandes, números los cuales comprenden de 100 – 200 dígitos. Es allí donde reside la seguridad de este
algoritmo, pues factorizar números enormes es algo que las computadoras actuales les toma mucho poder de
computo y tiempo. 37
Digital Signature Algorihm (DSA)

Algoritmo de firma digital.: es un algoritmo que sirve para firma, no cifrar información dado que no es
reversible. Se basa en la dificultad de calcular logaritmos discretos en campos finitos métodos de Schnorr y
ElGamal.
Esta definido en el Digital Signature Standard (DSS)(estándar de firma digital). Fue propuesto por el U.S.
National Institute of Standards and Tegnology (NIST).
Este algoritmo se basa en la función exponencial discreta en un campo de elementos finito, la cual tiene la
característica de ser difícilmente reversible (logaritmo discreto)

38
Planteamiento de Casos

Primer caso: Cuando un usuario A quiere enviar información a otro usuario, B, utilizando la
clave pública de B (KpuB) para encriptar los datos. El usuario B utilizará su clave privada (que
solo el conoce)(KprB) para obtener el texto en claro a partir de la información (encriptada)
recibida. DE este modo se proporciona el servicio de confidencialidad.

39
Planteamiento de Casos

Segundo caso: es el usuario B quien encripta la información utilizando su clave privada, (KprB)
de forma que cualquiera que conozca (KpuB) podrá descifrar la información transmitida. Este
modo se puede emplear para proporcionar el servicio de autenticidad.

40
Planteamiento de Casos

⊳ Tercer caso: En la practica debido a que los

algoritmos asimétricos de clave publica requieres
mucho tiempo para cifrar documentos largos, los
protocolos de firma digital se implementan junto
con funciones unidireccionales de resumen
(funciones hash), de manera que en vez de firmar
un documento, se firma un resumen del mismo.
⊳ Se ofrece el servicio de no repudio y de
autenticación. Y la integridad del documento, ya
que en caso de ser modificado, resultaría imposible
hacer que genere la misma función resumen.

41
Funciones Hash

El ultimo problema que se suscita en el “viaje” de los datos, es la “integridad”. Si bien alguien no podrá
leer lo que esta viajando, ya que está encriptado, si puede modificarlo, quitándole o agregándole algunos
bits.
⊳ Una firma digital, asegura la autenticidad de quien envía el mensaje, así como la integridad del
mismo, ya que junto con la firme, se envía un código computado por las llamadas funciones Hash.
⊳ Una función Hash “comprime” el mensaje, de modo de produce una especie de “resumen”, el cual
será comprobado , para asegurar que se mantenga la integridad del mismo.
Zorro Función Hash DFCD3454

El zorro rojo corre a

Función Hash 52ED879E
través del hielo
El zorro rojo camina
Función Hash 46042841
a través del hielo 42
Funciones Hash

Función Hash (función de comprobación aleatoria) como aquella que reduce el mensaje a un
conjunto de datos, denominado resumen y que viaja junto con el mensaje original.
Puede existir otros mensajes que producen el mismo hash es extremadamente difícil encontrarlos y
aún más difícil que tengan un significado en nuestra lengua.
Los principales algoritmos son:

MD2 MD4 MD5 SHA/SHA1

43
Firmas Digitales
Permite al receptor de un mensaje verificar la autenticidad del origen de la
información así como verificar que dicha información no ha sido modificada Son una solución
desde su generación. que ofrece la
criptografía para
Cumple la misma función que una manuscrita, sin embargo una manuscrita es verificar:
sencilla de falsificar, mientras que la digital es imposible mientras no se descubra  La integridad de
la clave privada del firmante. documentos
 La procedencia
Se basa en la propiedad de que un mensaje cifrado utilizando la cave privada de
de documentos
un usuario sólo puede ser descifrado utilizando la clave publica asociada.

44
Ventajas de la firma digital

Los ciudadanos podrán realizar transacciones de comercio electrónico seguras y

relacionarse con la Administración con la máxima eficacia jurídica.
⊳ Mundo físico se verifica comprando la fotografía con la propia fisonomía y
comparando su firma manuscrita.
⊳ Documento digital, sin perder la seguridad y confianza.

45
Funcionamiento de las Firmas digitales
Los primeros algoritmos fueron creados por Whitfield Diffie y Martin Hellman en 1976. Los más populares
son el RSA (1977) , DSA y el PGP (1991).
Todos los algoritmos se basan en un mismo método: en vez de usar una misma clave para encriptar y
desencriptar datos, usan dos: una privada y una publica. La primera es la que el usuario guarda y la segunda se
publica en el sitio de una autoridad certificante.
El destinatario recibe el
1 2 3 texto y la firma: primero
Para enviar un mensaje hace su propio hashing
con firma digital, al texto del mensaje y luego con
se le hace un hashing: de Al resultado se lo encripta la clave publica del
un texto se genera un usando la clave privada: emisor, desencripta la
número más chico con un esa es la firma digital, que firma: si ambos mensajes
algoritmo, de tal forma se envía con el mensaje son iguales, significa que
que es casi imposible que original. el remitente es valido y
de otro texto se cree el que el mensaje no sufrió
mismo número. alteraciones ene l
trayecto. (invisible para el
usuario) 46
Seguridad de la firma digital
Proporciona un abanico de servicios de seguridad.

Autentificación • Autentificar unívocamente al signatario, al verificar el firmante.

Imposibilidad de • La firma fue creada por el signatario mediante medios que

suplantación mantienen bajo su control (clave privada)

• Permite detectar cualquier modificación de los datos firmados.

Integridad

• El autor del documento no puede retractarse en el futuro de las

No repudio opiniones o acciones consignadas en el ni de haberlo enviado.

• Permite identificar y rastrear las operaciones llevadas a cabo por el

Auditabilidad usuario dentro de un sistema informativo (pide certificado).

El acuerdo de claves • Garantiza la confidencialidad de la información intercambiada entre

secretas las partes, este firmada o no.
47
Aplicación de la Firma Digital
Se puede aplicar en:

Formas de
En aplicaciones de
E-mail procesamiento
negocios
automático

Transacciones
Contratos realizadas desde En sistemas
electrónicos financieras legislativos
alejadas

Proceso de Transferencia en
aplicaciones sistemas
electrónicas electrónicos
48
Entidades de certificación

Las entidades llamadas Autoridades Certificadoras (CAs, Certification Authorities) garantizan que una determinada clave
publica pertenece a su verdadero poseedor.
Tienen como misión la gestión de los denominados certificados (de clave publica). Un certificado esta compuesto por:
o La identidad de un usuario (subject),
o Su clave publica
o La identidad y la calve publica de la CA emisora (issuer) del certificado en cuestión,
o Su periodo de validez
o La firma digital del propio certificado.
Los usuarios pueden verificar la autenticidad de las claves publicas de otros usuarios verificando la firma de la CA en el
certificado usando la clave publica del CA.
Se comprueba el periodo de validez de cada certificado y que ninguno de los certificados haya sido revocado.

49
Entidades de certificación

VeriSing es una de las empresas que brindan servicios de

certificación. Estos servicios han sido diseñados básicamente
para brindar seguridad al comercio electrónico y a la utilización
de la firma digital.

Las autoridades de emisión (Issuing Authorities, “IA”) autorizadas por VeriSign funcionan como trusted partie
(o “garantes”), emitiendo, administrando, suspendiendo o revocando certificados de acuerdo con la práctica
publica de la empresa.
Las IA facilitan la confirmación de la relación existente entre una clave pública y una persona o nombre
determinado. Dicha confirmación es representada por un certificado: un mensaje firmado digitalmente y
emitido por una IA. 50
Entidades de certificación
⊳ Esta empresa ofrece tres niveles de servicios de certificación:
La certificación Clase 1
• Son emitidos y comunicados
electrónicamente a personas
físicas, relacionan el nombre
del usuario o su “alias” y su
dirección de E-mail. No
autentifican la identidad del
usuario.
• Son utilizados para Web
Browsing y E-mail.
La certificación Clase 2
• Son emitidos a personas
físicas, y confirman la
veracidad de la información
aportada (en alguna BD).
• Es utilizada para
comunicaciones intr.-inter
organizacionales via E-mail,
transacciones comerciales
de bajo riesgo, validación de
software y suscripciones
online. (EE.UU. Y Canadá)
La certificación Clase 3
• Son emitidas a personas
físicas (presencia física ante
un notario) y organizaciones
publicas o privadas (cotejo
de BD).
• Son utilizados para
determinadas aplicaciones
de comercio electrónico
como electronic banking y
electronic data interchange
(EDI).
51
Software Easy Sign

⊳ Las firmas digitales son generadas y verificadas

por Easy Sign, comprobando de esta manera la
autenticidad e integridad del mensaje recibido y el
no repudio por parte del emisor.
⊳ Es un conjunto de herramientas que permiten
implementar servicios de seguridad para las
transacciones comerciales realizadas bajo
estándares EDIFACT de las Naciones Unidas.

52
Principales funciones
de la Firma
53
Autenticación del originador del mensaje
RSA permite “firmar” los documentos escritos en formato “Edifact” de
manera tal que el destinatario pueda validar que la información que él
recibe del originador es autentica y no la puede negar, lográndose con esto
la confianza de quien recibe el mensaje.

Autenticación del mensaje

Cuando se realiza la firma digital, previamente se calcula un valor de 160
bits(SHA), el cual asegura al originador que si el documento sufre alguna
alteración, esta va a ser detectada durante el proceso de validación de la
firma.

54
Infraestructura de la
Firma Digital
55
También conocida como de CLAVE PÚBLICA o Public Key
Infrastructure(PKI)

La normativa crea el marco regulatorio para el empleo de la Firma Digital

en la instrumentación de los actos internos del Sector Público Nacional que
no produzcan efectos jurídicos individuales en forma directa, otorgándole a
esta nueva tecnología similares efectos que a la firma ológrafica.

La disposición establece la configuración de la siguiente estructura:

⊳ Organismo Licenciantes (OL).

⊳ Organismo Auditante (OA).
⊳ Autoridad Certificada Licenciada (ACL).
⊳ Suscriptores
56
Organismo
Licenciante
57
Es la Autoridad Certificante Raíz que emite certificados de clave
publica a favor de aquellos organismos o dependencias del Sector
Publico Nacional que deseen actuar como Autoridades
Certificantes Licenciadas

Dentro del marco creado por el Decreto N°427/98, las funciones

de Autoridad de Aplicación y de Organismo Licenciante son
asumidas por la Sub-secretaria de la Gestión Pública, SGP.

58
Organismo Auditante

59
 Es el órgano de control

Organismo Autoridades
Licenciante Certificantes
Licenciadas
Articulo 61 de la
ley N° 25.237 El rol de Organismo Auditante dentro de la
infraestructura de Firma Digital para el Sector Público
Nacional es cumplido por la Sindicatura General de la
Nación (SIGEN).

60
Autoridades Certificantes
Licenciadas
61
 Son aquellos organismos o dependencias del Sector Público
Nacional que soliciten y obtengan la autorización

Autoridades
Organismo
Certificantes de sus
Licenciante
propios agentes

Es decir que, cumplidos los recaudos exigidos por el Decreto

mencionado, podrán emitir certificados de clave pública a
favor de sus dependientes.
62
Procedimientos

63
1. Licenciamiento
Es el procedimiento por el cual el Organismo
Licenciante emite un certificado de clave pública a
favor de un organismo público, quedando este
habilitado para emitir certificados a favor de sus
dependientes
2. Revocación
Es el procedimiento por el cual el Organismo
Licenciante cancela la autorización otorgada a la
Autoridad Certificante Licenciada para emitir
certificados
64
Certificados Digitales

65
 Mediante la criptografía podemos establecer comunicaciones
seguras con otras personas.

¿Pero esas personas son quienes

dicen que son?

¿Quién nos lo asegura?

Para resolver este problema surgen unas entidades, que tienen que ser de
confianza para todo el mundo. Estas entidades "certifican" las claves
públicas de los usuarios que se las remiten emitiendo un certificado.

66
 Los certificados los tiene que conceder alguien.

Tiene que haber una tercera parte, de confianza para emisor y receptor,
que certifique a ambos.
"Trusted Third Parties (TTP)”
Su labor, básicamente consiste en identificar a usuarios, empresas
o servicios con una determinada clave pública.

Las entidades que emiten certificados reciben el nombre de

“Certification Anthority (CA)”, las cuales han de ser de confianza y
pueden estar certificadas por ellas mismas o por otra CA superior.

67
Un certificado esta compuesto por varios campos:

 Identidad del propietario.

 Clave pública.
 Periodo de validez.
 Identidad.
 Clave pública de la CA que lo expidió.
 Firma digital del certificado (realizada por la CA).

La seguridad de un certificado reside en la confidencialidad

de la clave privada.

68
Al ser los certificados de dominio publico cualquiera puede
comprobarlos lo único que le certifican es quien es el propietario de
una determinada clave pública. Ese propietario es la "única"
persona que conoce la clave privada correspondiente a la pública
certificada.
La persona que conozca una determinada clave privada puede
certificarse utilizando el certificado de la correspondiente clave pública
y de esta forma ofrecer una "falsa" seguridad a la persona que ha
verificado el certificado (suplantación de personalidad).

Cuando un certificado ha sido revocado la CA que lo expidió lo coloca

en su certificación “Revocation Lists (CRL)", lista de revocación de
certificados.
69
Cuando queremos establecer una comunicación con
“alguien” debemos poseer su clave publica. Una
vez conseguida debemos asegurarnos que es quien
dice ser.

Para ello solicitamos su certificado y

comprobamos su validez de la siguiente forma…

70
 Comprobamos su caducidad.
 Comprobamos que CA lo expidió.
 Comprobamos el certificado de la CA, así como todos
los certificados de CA's superiores que haya, si se da el
caso, certificado a la CA anterior.
 Comprobamos que el certificado no fue manipulado,
comprobando la firma digital de la CA.
 Comprobamos CRL de la CA para verificar que no ha
sido revocado.
 Después de todo esto podemos establecer una conexión
“segura” y “autenticada”.
71
¡Gracias!
¿Alguna pregunta?

72