![Page 1: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/1.jpg)
Firma electrónica y
certificados digitales
Daniel Sánchez Martínez ([email protected])
Universidad de Murcia
13 de Mayo de 2010
![Page 2: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/2.jpg)
Objetivos
• Comprender la problemática que entrañan
los servicios telemáticos seguros.
• Introducir nociones básicas de
criptografía, cifrado y firma digital.
• Diferenciar los diferentes elementos de un
prestador de servicios de certificación.
• Profundizar en el concepto de firma
electrónica.
2
![Page 3: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/3.jpg)
Servicios
Criptografía
Firma digital
Protección de la clave privada
DSCF
Seguridad
![Page 4: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/4.jpg)
Servicios de Seguridad
• La Seguridad de la Información tiene 4 objetivos:– Confidencialidad– Integridad– Disponibilidad– Uso autorizado
• Principales tecnologías para lograr estos objetivos:– Seguridad en las comunicaciones– Seguridad en los ordenadores
• La seguridad total NO existe– Tiempo y recursos
4
![Page 5: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/5.jpg)
Servicios de Seguridad
• No Repudio
– Es uno de los servicios más importantes
– Sirve para proporcionar evidencias que
soporten la resolución de disputas en cuanto
a quién envió una determinada información,
qué información envió, etc.
– Ejemplo: pedidos, firma de contratos, etc
5
![Page 6: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/6.jpg)
Criptografía
• Criptografía
– Técnica de convertir un texto en claro (plaintext) en otro llamado criptograma (ciphertext), cuyo contenido es igual al anterior pero sólo pueden entender las personas autorizadas.
– Ejemplo:• CRIPTOGRAFÍA FULSWRJUDID
• Criptosistema
MensajeCanal
Mensaje cifrado
ReceptorMedio de
TransmisiónTransmisor
Canal Mensaje
Cifrador Descifrador
6
![Page 7: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/7.jpg)
Tipos de Criptosistemas
• Según el tipo de claves se clasifican en:
– Criptosistemas simétricos o de clave secreta
– Criptosistemas asimétricos o de clave pública
7
![Page 8: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/8.jpg)
Criptografía Simétrica
• Basados en la utilización de la misma clave para cifrar y descifrar– Previamente conocida por emisor y receptor
– Criptografía de clave secreta
– La seguridad reside en mantener la clave en secreto
Texto
Texto
Texto
!”·$!”
)?*!+
¨%=
&
Cifrado
Texto
Texto
Texto
!”·$!”
)?*!+
¨%=
&
Descifrado8
![Page 9: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/9.jpg)
Criptografía Asimétrica
• Métodos públicos basados en la utilización de dos claves distintas para cifrar y descifrar– Lo que se cifra con una clave se descifra con la otra
– Una es privada y sólo conocida por el receptor
– Otra es pública y conocida por cualquier emisor
+
Texto
Texto
Texto
!”·$!”
)?*!+
¨%=
&
Descifrado
Texto
Texto
Texto
!”·$!”
)?*!+
¨%=
&
Cifrado 9
![Page 10: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/10.jpg)
Criptografía Asimétrica VS Criptografía
Simétrica
• Sistemas de Clave Pública – Claves de gran tamaño– Muy lentos– Firma digital– Fácil intercambio de
claves
• Sistemas de Clave Secreta– Clave de pequeño
tamaño (96 bits ≈ 1024 bits pública)
– Muy rápidos (entre 10 y 100 veces más rápidos)
– No proporcionan firma digital
– No proporcionan intercambio de claves
10
![Page 11: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/11.jpg)
Firma Digital
• ¿Por qué una firma digital?
– Para proporcionar autenticidad, integridad y no repudio en
los documentos electrónicos
– Para usar Internet como un medio seguro para la
Administración Electrónica y el Comercio Electrónico
• ¿Qué es una firma digital?
– El valor hash de un mensaje cifrado con la clave privada
de una persona es su firma digital sobre ese documento
• La firma digital de una persona varía de un documento a otro
asegurando así la autenticidad de cada palabra del documento
• Como la clave pública del firmante es conocida, cualquiera
puede verificar el mensaje y la firma digital
11
![Page 12: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/12.jpg)
Firma Digital
• Creación Firma Digital
Claveprivada
Algoritmo
Hash
Resumen
Digital
PROCESO DE FIRMA
Documento
12
![Page 13: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/13.jpg)
Firma Digital
• Verificación Firma
Digital
Clavepública
h23edhrt
Algoritmo
Hash
Resumen
Digital
Documen
to
original
PROCESO DE
VERIFICACIÓN DE
FIRMA
+ =
√
h23edhrt
13
![Page 14: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/14.jpg)
Firma Manuscrita VS Firma
Digital
VS
a. Cualquier
ordenador
de un
usuario
b. Libre de
errores
a. Se necesita
un
caligrafólogo
b. Propensa a
errores
No repudio
Firma depende del
contenido del
documento
Firma
independiente del
documento
Integridad
No puede ser
copiada
Puede ser
falsificadaAutenticidad
ElectrónicaManuscrita
14
![Page 15: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/15.jpg)
Protección de la Clave
Privada• La clave privada generada tiene que ser
protegida y mantenida en secreto
• La responsabilidad de la confidencialidad de la clave recae en su propietario
• La clave privada puede ser protegida usando:– Token software protegidos
por PIN
– Tarjetas Inteligentes
– Token Hardware
15
![Page 16: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/16.jpg)
Tarjetas Inteligentes
• La clave privada es generada en un módulo criptográfico que reside en la tarjeta inteligente
• La clave se mantiene en la memoria de la tarjeta inteligente
• Clave está altamente protegida ya que no abandona la tarjeta, el resumen o hash se envía a la tarjeta para que ésta haga la firma, y sólo la firma sale de la tarjeta
• La tarjeta inteligente proporciona movilidad a la clave y la firma puede realizar en cualquier sistema que posea un lector de tarjetas
16
![Page 17: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/17.jpg)
DSCF
• Dispositivos Seguros de Creación de Firma
– Permite garantizar la autenticación fuerte así como sirven de base para generar firmas electrónicas con el mismo valor legal que la firma manuscrita
– Descritos en la Ley 59/2003 de firma electrónica
– Certificación en el Centro Criptológico Nacional• Normas: CW 14169 y nivel EAL4+
– DSCF disponibles:• Tarjeta Electrónica Ministerio de Defensa
• DNI-e v1.1
17
![Page 18: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/18.jpg)
Introducción
Tipología
Certificados
![Page 20: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/20.jpg)
Certificados• Certificado
– Documento electrónico que asociauna identidad a una clave
• Certificados Firma– Se implementa usando la
firma
• Certificados Autenticación– La autenticación puede ser
implementada usando certificados digitales
– Lo mismo para otros servicios comoautorización, etc
• Los certificados son estáticos– Cambios => Re-emisión
20
![Page 21: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/21.jpg)
Certificados
– Documento electrónico contenedor de una identidad digital.
– Contiene:• Información de
identificación• Clave pública.• Información de la entidad
que certifica.• Periodo de validez del
certificado.• Firma digital del emisor.
– Almacenamiento de certificado + clave privada:
• Software.
• En dispositivo criptográfico
– Emitido por un prestador de servicios de certificación.
21
![Page 22: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/22.jpg)
DNI electrónico
• Certificados del DNIe– Autoridad de certificación
Dirección General de Policía.
– Validez 30 meses.
22
![Page 23: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/23.jpg)
Tipos
– Usuario
• Perfil „persona física‟
• Perfil „persona jurídica‟
• Perfil „empleado público‟
– Servidor
• Sede electrónica y sello de órgano.
• Servidores web túnel SSL
• Actuaciones automáticas (sellado, registro,
notificación…)
23
![Page 24: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/24.jpg)
PKI
Elementos de una PKI
Validación
Prestadores
![Page 25: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/25.jpg)
PKI
• Sistema de publicación de los valores de clave pública utilizados en criptografía asimétrica.
• Principales elementos:– Autoridad de Certificación (CA)
– Autoridad de Registro (RA)
– Repositorio de Certificados
– Entidades Finales
• Operaciones básicas:– Certificación
– Validación
– Revocación
– Publicación y Distribución de certificados y de notificaciones de revocación
25
![Page 26: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/26.jpg)
PKI
• Operaciones adicionales:
– Sellado de tiempos
– Servicios Web de validación
– Almacenamiento y recuperación de claves
– Establecimiento de relaciones de confianza
(Certificación cruzada)
• El modo de realizar estas operaciones define
las características de cada PKI.
• PKI = Prestador de Servicios de Certificación
26
![Page 27: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/27.jpg)
PKI
Autoridad
de registro
(RA)
WWW
Servidor de
solicitudes
Autoridad de
certificación
(CA)
Servidor
LDAP
Usuario final Administrador
27
![Page 28: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/28.jpg)
PKI
• Autoridad de Certificación
– Encargada de dar validez a la información
contenida en los certificados
– Funciones principales:
• Certificación
• Publicación
• Revocación
– La CA nunca puede estar en línea.
– Su clave privada es TOP SECRET
28
![Page 29: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/29.jpg)
PKI
• Autoridad de Certificación
– Las CAs se organizan en jerarquías de
certificación, estableciendo así cadenas de
confianza.
– CAs “globales” o “universales”
• Verisign, Entrust, Identrust, FNMT, …
29
![Page 30: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/30.jpg)
PKI
30
![Page 31: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/31.jpg)
PKI
• Autoridades de Registro
– Son un elemento de confianza muy importante
– Entidades encargadas de:
• Verificar la información que aparecerá en el certificado.
• Enviar las solicitudes de certificación a la CA
• Gestionar las solicitudes de revocación o de
recuperación de claves
• Repositorios de Certificados
– Se suele utilizar Servidores de directorios
basados en X.500 y LDAP
31
![Page 32: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/32.jpg)
PKI
• Entidades a Certificar
– Son las entidades que obtienen un certificado
firmado por la CA
– Los certificados no se limitan sólo a personas
(procesos...)
• Los servidores web seguros son procesos
certificados.
– Dependiendo del tipo de sujeto:
• Certificados de cliente.
• Certificados de proveedor.
32
![Page 33: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/33.jpg)
Validación de certificados
• Integridad: la firma es válida
• Firmado por una CA de confianza– O en el camino de certificación
hay una CA de confianza
• Certificado es válido ahora– Not Valid Before – Not Valid
After
• No está revocado
• Su uso es consistente con la política
33
![Page 34: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/34.jpg)
Validación de certificados
• Basado en CRLs
Prestador de Servicios de Certificación (PSC)
Servicio de
directorio
Periódicamente
Portal Web
Público
1. Descarga
CRLCRL
Cliente
2. Comprobación de
estado de revocación
34
![Page 35: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/35.jpg)
Validación de certificados
• Basado en
OCSP
Prestador de
Servicios de
Certificación (PSC)
Servicio de
directorioServicio OCSP
público
petición de estado de revocación 1
Cliente
respuesta de estado de revocación 1
petición de estado de revocación n
respuesta de estado de revocación n
......
35
![Page 36: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/36.jpg)
Validación de certificados
• ¿Qué ofrecen los PSC españoles?– FNMT
• CRLs a través de acceso autenticadoa LDAP (exige firma de convenio previa).
• OCSP (se paga por número de sellados) única opción para las entidades privadas.
– El resto ofrecen sus CRLs de forma pública y gratuita.
– DNI-e ofrece ambos mecanismos.
• Otros mecanismos SCVP– Necesario para dominios múltiples, jerarquías de CA, y
certificación cruzada.
– Construcción de rutas de certificación.
– Validación de cada uno de los certificados de la ruta.
36
![Page 37: Firma electrónica y certificados digitales certificados digitales –Lo mismo para otros servicios como autorización, etc •Los certificados son estáticos –Cambios => Re-emisión](https://reader034.vdocuments.co/reader034/viewer/2022042606/5f8e9def87cc9772a0037978/html5/thumbnails/37.jpg)
Bibliografía
• Libro electrónico “Seguridad Informática”, Jorge RamióAguirre. 2007.– http://www.criptored.upm.es/guiateoria/gt_m001a.htm
• “Criptografía y Seguridad en Computadores”. M. J. Lucena López– http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto
• “An Introduction to Cryptography”, Network Associates.• “Secure Electronic Commerce. Building the Infrastructure for
Digital Signatures and Encryption”, Second Edition. W. Ford, M. Baum. Prentice Hall.
• “Seguridad y Comercio en el Web”, S. Garfinkel y G. Spafford. McGraw-Hill.
• “Understanding PKI: Concepts, Standards, and Deployment Considerations”, Second Edition. C. Adams, S. Lloyd. Addison Wesley.
• “PKI. Implementing and Managing E-Security”, A. Nash, W. Duane, C. Joseph, D. Brink. McGraw-Hill.
37