introducciÓn a la eguridad informÁtica · 2013-08-20 · hashing o funciones resumen (1/2)...
TRANSCRIPT
INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICATécnico en Seguridad de Redes y Sistemas
© 2012, Juan Pablo Quesada Nieves
INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICA
� Seguridad y Protección de la Información
� Criptografía
� Certificados Digitales
� PKI
� Confidencialidad e Integridad en Transacciones
Técn
ico en S
eguridad de R
edes y Sistem
as
� Confidencialidad e Integridad en Transacciones Electrónicas
� Mecanismos de Identificación y Control de Accesos
� Bibliografía y Recursos Web
Técn
ico en S
eguridad de R
edes y Sistem
as
2
INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICA
� Seguridad y Protección de la Información
� Criptografía
� Certificados Digitales
� PKI
� Confidencialidad e Integridad en Transacciones
Técn
ico en S
eguridad de R
edes y Sistem
as
� Confidencialidad e Integridad en Transacciones Electrónicas
� Mecanismos de Identificación y Control de Accesos
� Bibliografía y Recursos Web
Técn
ico en S
eguridad de R
edes y Sistem
as
3
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
«El único sistema verdaderamente seguro es aquelque se encuentra apagado, encerrado en una caja
fuerte de titanio, enterrado en un bloque de
hormigón, rodeado de gas nervioso y vigilado por
guardias armados y muy bien pagados. Incluso
Técn
ico en S
eguridad de R
edes y Sistem
as
guardias armados y muy bien pagados. Incluso
entonces, yo no apostaría mi vida por ello».Gene Spafford, experto en Seguridad Informática
Técn
ico en S
eguridad de R
edes y Sistem
as
4
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Seguridad Informática, ¿por qué? (1/2)� El auge de Internet y de los servicios telemáticos
hace que los ordenadores y las redes sean unelemento cotidiano en nuestras casas y unaherramienta imprescindible en las empresas
Técn
ico en S
eguridad de R
edes y Sistem
as
� Ya no hay necesidad de ir al banco para conocer losmovimientos de la cuenta bancaria, ni para realizartransferencias, …
� Sea cual sea su tamaño, toda empresa dispone ya deequipos conectados a Internet para ayudarle en susprocesos productivos
Técn
ico en S
eguridad de R
edes y Sistem
as
5
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Seguridad Informática, ¿por qué? (2/2)� Cualquier fallo en los equipos puede generar pérdida
de información, pérdida económica por el parónproducido, …
� Importante asegurar un correcto funcionamiento de
Técn
ico en S
eguridad de R
edes y Sistem
as
� Importante asegurar un correcto funcionamiento delos sistemas y las redes
� Fuera la creencia de que “a nosotros nunca nospasará lo que a otros”
� Con buenas políticas de seguridad, tanto físicas comológicas, conseguiremos que nuestros sistemas seanmenos vulnerables a las distintas amenazas
Técn
ico en S
eguridad de R
edes y Sistem
as
6
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Definición de Seguridad Informática� Según la ISO 27002, «la seguridad informática sepuede caracterizar por la preservación de la
confidencialidad, la integridad y la disponibilidad de
la información»
Técn
ico en S
eguridad de R
edes y Sistem
as
� Según INFOSEC Glossary 2000, «la seguridad
informática son las medidas y controles que aseguran
la confidencialidad, la integridad y la disponibilidad
de los activos de los sistemas de información,
incluyendo hardware, software, firmware y aquella
información que procesan, almacenan y comunican»
Técn
ico en S
eguridad de R
edes y Sistem
as
7
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Objetivos de la Seguridad Informática� Confidencialidad
� Capacidad para garantizar que la información, almacenadaen un sistema informático o transmitida por la red,solamente va a estar disponible para aquellas personasautorizadas
Disponibilidad
Técn
ico en S
eguridad de R
edes y Sistem
as
� Disponibilidad� Capacidad para garantizar que tanto el sistema como los
datos van a estar disponibles al usuario en todo momento
� Integridad� Capacidad para garantizar que los datos no han sido
modificados desde su creación sin autorización
� No repudio� Capacidad para garantizar la participación de las partes en
una comunicación. En toda comunicación habrá un emisor yun receptor
Técn
ico en S
eguridad de R
edes y Sistem
as
8
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Mecanismos para conseguir los objetivos dela Seguridad Informática� Autenticación� Autorización� Auditoría
Encriptación
Técn
ico en S
eguridad de R
edes y Sistem
as
� Encriptación� Realización de copias de seguridad e imágenes de
respaldo� Antivirus� Cortafuegos� Servidores proxy� Utilización de firma electrónica o certificado digital� Leyes para la protección de datos personales
Técn
ico en S
eguridad de R
edes y Sistem
as
9
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Clasificación de la Seguridad Informática� Según el activo (recursos) a proteger
� Seguridad física� Seguridad lógica
Técn
ico en S
eguridad de R
edes y Sistem
as
� Según el momento preciso de actuación� Seguridad activa� Seguridad pasiva
Técn
ico en S
eguridad de R
edes y Sistem
as
10
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Clasificación de la Seguridad Informática. Según el activo a proteger (1/4)� Seguridad física
� Trata de proteger el hardware (equipos informáticos,cableado, …) de posibles desastres naturales (terremotos,huracanes, …), de incendios, de inundaciones, de
Técn
ico en S
eguridad de R
edes y Sistem
as
huracanes, …), de incendios, de inundaciones, desobrecargas eléctricas, de robos, …
Técn
ico en S
eguridad de R
edes y Sistem
as
11
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Clasificación de la Seguridad Informática. Según el activo a proteger (2/4)� Seguridad física
Amenaza Mecanismos de defensa
• Continuo contacto con el Instituto
Técn
ico en S
eguridad de R
edes y Sistem
as
Desastres naturales• Continuo contacto con el Instituto
Geográfico Nacional y la Agencia
Estatal de Meteorología
Incendios• Uso de mobiliario ignífugo• Sistemas antiincendios, detectores dehumo, extintores, …
Inundaciones
• Evitar la ubicación de los CPDs en lasplantas bajas• Impermeabilización de paredes ytechos del CPD
Sobrecargas eléctricas • Utilización de SAIs
Robos• Puertas con medidas biométricas,cámaras de seguridad, …
Técn
ico en S
eguridad de R
edes y Sistem
as
12
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Clasificación de la Seguridad Informática. Según el activo a proteger (3/4)� Seguridad lógica
� Complementa a la seguridad física protegiendo el softwarede los equipos informáticos, es decir, las aplicaciones y losdatos de usuario, de robos, de pérdidas, de virus, de
Técn
ico en S
eguridad de R
edes y Sistem
as
datos de usuario, de robos, de pérdidas, de virus, demodificaciones no autorizadas, de ataques desde la red, …
Técn
ico en S
eguridad de R
edes y Sistem
as
13
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Clasificación de la Seguridad Informática. Según el activo a proteger (4/4)� Seguridad lógica
Amenaza Mecanismos de defensa
• Cifrado de la información
Técn
ico en S
eguridad de R
edes y Sistem
as
Robos• Cifrado de la información• Utilización de contraseñas• Sistemas biométricos
Pérdidas de datos• Realización de copias de seguridad• Uso de sistemas tolerantes a fallos• Uso de discos redundantes
Virus • Uso de antivirus
Modificaciones no autorizadas de los datos
• Uso de contraseñas• Uso de ACLs• Cifrado de documentos
Ataques desde la red• Cortafuegos• Servidores proxy
Técn
ico en S
eguridad de R
edes y Sistem
as
14
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Clasificación de la Seguridad Informática. Según el momento preciso de actuación (1/4)� Seguridad activa
� Conjunto de medidas que previenen e intentan evitar losdaños en los sistemas informáticos
Técn
ico en S
eguridad de R
edes y Sistem
asT
écnico en
Segu
ridad de Redes y S
istemas
15
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Clasificación de la Seguridad Informática. Según el momento preciso de actuación (2/4)� Seguridad activa
Técnica ¿Qué previene?
• El acceso a recursos por parte de personas
Técn
ico en S
eguridad de R
edes y Sistem
as
Uso de contraseñas• El acceso a recursos por parte de personasno autorizadas
Listas de control de acceso• El acceso a los ficheros por parte de personalno autorizado
Encriptación• La interpretación de la información por partede personas sin autorización
Uso de software de seguridad informática
• Los virus y la entrada indeseada al SI
Firmas y certificados digitales• El desconocimiento de la procedencia, laautenticidad y la integridad de los mensajes
Sistemas de ficheros con tolerancia a fallos
• Fallos de integridad en caso de apagones desincronización o comunicación
Cuotas de disco• Uso indebido de la capacidad de disco porparte de ciertos usuarios
Técn
ico en S
eguridad de R
edes y Sistem
as
16
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Clasificación de la Seguridad Informática. Según el momento preciso de actuación (3/4)� Seguridad pasiva
� Complementa a la seguridad activa y se encarga deminimizar los efectos ocasionados por algún percance
Técn
ico en S
eguridad de R
edes y Sistem
asT
écnico en
Segu
ridad de Redes y S
istemas
17
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Clasificación de la Seguridad Informática. Según el momento preciso de actuación (4/4)� Seguridad pasiva
Técnica ¿Cómo minimiza?
Conjunto de discos • Se puede restaurar información que no
Técn
ico en S
eguridad de R
edes y Sistem
as
Conjunto de discos redundantes
• Se puede restaurar información que noes válida ni consistente
SAI
• Una vez la corriente se pierde, lasbaterías del SAI se ponen enfuncionamiento proporcionando lacorriente necesaria
Realización de copias de seguridad
• Se puede recuperar información encaso de pérdida de datos
Técn
ico en S
eguridad de R
edes y Sistem
as
18
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Amenazas y ataques a un SI (1/5)
Tipos de atacantes
Nombre Definición
Hacker
Experto informático con grancuriosidad por descubrirvulnerabilidades en los SI, pero
Técn
ico en S
eguridad de R
edes y Sistem
as
Hackervulnerabilidades en los SI, perosin motivación económica o dañina
CrackerHacker con motivación económicao dañina
PhreakerExperto en telefonía que sabotealas redes telefónicas paraconseguir llamadas gratuitas
SnifferExperto en redes que analiza eltráfico para obtener informaciónde los paquetes que se transmiten
(continúa)
Técn
ico en S
eguridad de R
edes y Sistem
as
19
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Amenazas y ataques a un SI (2/5)
Tipos de atacantes
Nombre Definición
Lammer
Joven sin grandes conocimientosde informática que se considera así mismo hacker y se vanagloria
(continuación) Técn
ico en S
eguridad de R
edes y Sistem
as
Lammersí mismo hacker y se vanagloriade ello
Newbie Hacker novato
Ciberterrorista
Experto en informática eintrusiones en la red que trabajapara países y organizaciones comoespía y saboteador informático
Programador de virusExperto en programación, redes ysistemas que crea programasdañinos
CarderPersona que se dedica al ataque delos sistemas con tarjetas
Técn
ico en S
eguridad de R
edes y Sistem
as
20
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Amenazas y ataques a un SI (3/5)
Tipos de ataques(según las vulnerabilidades del SI)
Nombre Definición
InterrupciónUn recurso del sistema o de la reddeja de estar disponible
Técn
ico en S
eguridad de R
edes y Sistem
as
Interrupcióndeja de estar disponible
IntercepciónAcceso de un intruso a lainformación de un equipo o a laque se envía por la red
ModificaciónAlteración de la información sinautorización, por lo que deja de serválida
Fabricación
Creación de un producto (porejemplo, una página Web) difícilde distinguir del auténtico y quese utiliza, por ejemplo, parahacerse con informaciónconfidencial del usuario
Técn
ico en S
eguridad de R
edes y Sistem
as
21
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Amenazas y ataques a un SI (4/5)
Tipos de ataques(según su forma de actuación)
Nombre Definición
SpoofingSuplantación de la identidad de unSI o de algún dato del mismo (por
Técn
ico en S
eguridad de R
edes y Sistem
as
Spoofing SI o de algún dato del mismo (porejemplo, de su dirección MAC)
SniffingMonitorización y análisis deltráfico de la red para hacerse coninformación
Conexión no autorizada
Búsqueda de agujeros deseguridad en un SI y, una vezdescubiertos, conexión noautorizada a los mismos
MalwareIntroducción de software malicioso(virus, gusanos o troyanos) en elsistema
(continúa)
Técn
ico en S
eguridad de R
edes y Sistem
as
22
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Amenazas y ataques a un SI (5/5)
Tipos de ataques(según su forma de actuación)
Nombre Definición
Uso de una herramienta quepermite conocer todo lo que el
(continuación)
Técn
ico en S
eguridad de R
edes y Sistem
as
Keyloggerpermite conocer todo lo que elusuario escribe a través de tecladoe, incluso, permite realizarcapturas de pantalla
Denegación de Servicio (DoS)Interrupción del servicio que seestá ofreciendo en servidores oredes de ordenadores
Ingeniería Social
Obtención de informaciónconfidencial de una persona uorganismo para utilizarla con finesmaliciosos (phishing, pharming,…)
Técn
ico en S
eguridad de R
edes y Sistem
as
23
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Pautas de protección de un S.I.� No instalar nada que no sea necesario� Actualizar todos los parches de seguridad� Instalar un cortafuegos� Mantener copias de seguridad
Técn
ico en S
eguridad de R
edes y Sistem
as
� Mantener copias de seguridad� Gestionar y revisar los logs del sistema� Formar a los usuarios del sistema para que hagan
uso de buenas prácticas� Hacer uso del sentido común
Técn
ico en S
eguridad de R
edes y Sistem
as
24
SEGURIDAD Y PROTECCIÓN DE LA
INFORMACIÓN
� Leyes relacionadas con la seguridad de lainformación� Ley de Protección de Datos de Carácter Personal
(LOPD)� Regulada en LO 15/1999, de 13 de diciembre� Desarrollada en RD 1720/2007, de 21 de diciembre
Técn
ico en S
eguridad de R
edes y Sistem
as
� Desarrollada en RD 1720/2007, de 21 de diciembre� Supervisada por la Agencia de Protección de Datos
� Ley de Servicios de la Información y el ComercioElectrónico (LSSI)� Regulada en Ley 34/2002, de 11 de julio� Normas y procedimientos de los mercados nacionales de
comunicaciones electrónicas y de servicios audiovisualesestablecidas por la Comisión del Mercado de lasTelecomunicaciones (CMT)
Técn
ico en S
eguridad de R
edes y Sistem
as
25
INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICA
� Seguridad y Protección de la Información
� Criptografía
� Certificados Digitales
� PKI
� Confidencialidad e Integridad en Transacciones
Técn
ico en S
eguridad de R
edes y Sistem
as
� Confidencialidad e Integridad en Transacciones Electrónicas
� Mecanismos de Identificación y Control de Accesos
� Bibliografía y Recursos Web
Técn
ico en S
eguridad de R
edes y Sistem
as
26
CRIPTOGRAFÍA
� Un poco de historia (1/4)� El término criptografía proviene de las palabras
griegas krypto (oculto) y graphos (escribir)� La criptografía puede definirse como la técnica que
permite ocultar mensajes, alterando de alguna formael texto original
Técn
ico en S
eguridad de R
edes y Sistem
as
el texto original� Los primeros mensajes cifrados datan del siglo V a.C.
Los espartanos utilizaban la escítala
Técn
ico en S
eguridad de R
edes y Sistem
as
27
CRIPTOGRAFÍA
� Un poco de historia (2/4)� A mediados del siglo II a.C. el historiador griego
Polybios desarrolló el método de cifrado que lleva sunombre, primer sistema de cifrado por sustitución decaracteres
Técn
ico en S
eguridad de R
edes y Sistem
as
Tabla para el cifrado de Polybios
A B C D E
A A B C D E
B F G H IJ K
C L M N O P
D Q R S T U
E V W X Y Z
Técn
ico en S
eguridad de R
edes y Sistem
as
28
CRIPTOGRAFÍA
� Un poco de historia (3/4)� En el siglo I a.C. los romanos desarrollaron el cifrado
del César, consistente en desplazar tres posiciones ala derecha el carácter original del alfabeto utilizado,no existiendo las letras H, J, Ñ y W
Técn
ico en S
eguridad de R
edes y Sistem
as
Tabla para el cifrado del César
Alfabeto original
A B C D E F G I …
Alfabeto cifrado
D E F G I K L M …
Técn
ico en S
eguridad de R
edes y Sistem
as
29
CRIPTOGRAFÍA
� Un poco de historia (4/4)� En el siglo XV, León Battista Alberti escribió un
ensayo donde proponía utilizar dos o más alfabetoscifrados, alternando entre ellos durante lacodificación
Técn
ico en S
eguridad de R
edes y Sistem
as
� Blaise de Vigenère en el siglo XVI desarrolló la ideade Alberti
� Todos estos métodos se fueron perfeccionando con elpaso del tiempo, pero es en la Segunda GuerraMundial cuando se hace imprescindible el uso demáquinas que cifren los mensajes, para así evitar queel enemigo intercepte información sensible
Técn
ico en S
eguridad de R
edes y Sistem
as
30
CRIPTOGRAFÍA
� Clasificación de los sistemas criptográficos� Sistemas de transposición
� Descolocan el orden de las letras, sílabas o conjunto deletras
� En función del número de transposiciones tenemos:� Sistemas de transposición simple
Técn
ico en S
eguridad de R
edes y Sistem
as
� Sistemas de transposición simple� Sistemas de transposición doble o múltiple
� Sistemas de sustitución� Reemplazan algunas letras del alfabeto por otras o por un
conjunto de ellas� En función del tipo de sustitución tenemos:
� Sistemas de sustitución literal� Sistemas de sustitución numérica� Sistemas de sustitución esteganográfica
Técn
ico en S
eguridad de R
edes y Sistem
as
31
CRIPTOGRAFÍA
� Criptografía moderna� Criptografía simétrica (o de clave privada)
� Misma clave para el cifrado y el descifrado
� Criptografía asimétrica (o de clave pública)
Técn
ico en S
eguridad de R
edes y Sistem
as
� Criptografía asimétrica (o de clave pública)� Pareja de claves (pública-privada) para el proceso de cifrado
y descifrado
� Criptografía híbrida
Técn
ico en S
eguridad de R
edes y Sistem
as
32
CRIPTOGRAFÍA
� Criptografía simétrica� Desventajas
� Difícil distribución de claves� Elevado número de claves necesarias
Técn
ico en S
eguridad de R
edes y Sistem
asT
écnico en
Segu
ridad de Redes y S
istemas
33
CRIPTOGRAFÍA
� Criptografía asimétrica� Método publicado por Whitfield Diffie y Martin
Hellman en 1976� Soluciona las desventajas de la criptografía simétrica� Desventajas
Técn
ico en S
eguridad de R
edes y Sistem
as
� Desventajas� Lentitud en el proceso de cifrado y descifrado� Mayor tamaño de la información cifrada
Técn
ico en S
eguridad de R
edes y Sistem
as
34
CRIPTOGRAFÍA
� Algoritmos de cifrado (1/2)� Métodos que se utilizan para transformar el texto
claro en el texto cifrado
� El principio de Kerckhoffs establece que “la
Técn
ico en S
eguridad de R
edes y Sistem
as
� El principio de Kerckhoffs establece que “lafortaleza de un sistema de cifrado debe recaer en la
clave y no en el algoritmo”
Técn
ico en S
eguridad de R
edes y Sistem
as
35
CRIPTOGRAFÍA
� Algoritmos de cifrado (2/2)� Clasificación:
� Algoritmos de cifrado por bloques� Dividen el texto plano en bloques de bits, por lo general
del mismo tamaño, y cifran cada uno de ellos porseparado, para al final construir el documento cifrado
Técn
ico en S
eguridad de R
edes y Sistem
as
separado, para al final construir el documento cifrado� Utilizados normalmente en criptografía simétrica� Ejemplos: DES, 3DES, AES, IDEA, Blowfish, CAST-128,
…
� Algoritmos de cifrado por flujo� Cifran bit a bit, o byte a byte, o carácter a carácter� Utilizados normalmente en criptografía asimétrica� Ejemplos: RC4, ElGamal, RSA, …
Técn
ico en S
eguridad de R
edes y Sistem
as
36
CRIPTOGRAFÍA
� Hashing o Funciones Resumen (1/2)� Funciones que asocian a cada documento un número
y que tienen la propiedad de que, conocido el valornumérico, no se puede obtener el documento(funciones de un solo sentido)
Técn
ico en S
eguridad de R
edes y Sistem
as
� Requisitos fundamentales� Debe ser muy difícil que dos documentos distintos tengan el
mismo resumen� Debe ser muy difícil (imposible) obtener un documento a
partir del valor resumen
Técn
ico en S
eguridad de R
edes y Sistem
as
37
CRIPTOGRAFÍA
� Hashing o Funciones Resumen (2/2)� Algoritmos empleados
� MD5MD5("") = d41d8cd98f00b204e9800998ecf8427e
� SHASHA1("") = da39a3ee5e6b4b0d3255bfef95601890afd80709
Técn
ico en S
eguridad de R
edes y Sistem
as
SHA1("") = da39a3ee5e6b4b0d3255bfef95601890afd80709
Técn
ico en S
eguridad de R
edes y Sistem
as
38
CRIPTOGRAFÍA
� Firma digital (1/3)� La firma manuscrita que una persona hace sobre un
documento le da veracidad al mismo y responsabilizaa la persona de lo que allí se diga
Técn
ico en S
eguridad de R
edes y Sistem
as
� La firma digital sustituye a la manuscrita en elmundo de la informática
Técn
ico en S
eguridad de R
edes y Sistem
as
39
CRIPTOGRAFÍA
� Firma digital (2/3)� Proceso de firma digital de un documento
1. Cálculo de un valor resumen del documento a través dealgún algoritmo (MD5 o SHA)
2. Cifrado del valor resumen con la clave privada de lapareja de claves pública-privada (ésta es la firma)
Técn
ico en S
eguridad de R
edes y Sistem
as
pareja de claves pública-privada (ésta es la firma)3. El documento se acompaña con la firma
Técn
ico en S
eguridad de R
edes y Sistem
as
40
CRIPTOGRAFÍA
� Firma digital (3/3)� Proceso de verificación de la firma digital
1. Descifrado de la firma utilizando la clave pública de lapareja de claves pública-privada (aquí se obtiene el valorresumen)
2. Cálculo del valor resumen del documento que acompaña a
Técn
ico en S
eguridad de R
edes y Sistem
as
2. Cálculo del valor resumen del documento que acompaña ala firma digital a través del mismo algoritmo utilizado enel proceso de firma (MD5 o SHA)
3. Comparación de los valores resumen (si coinciden, la firmaes válida; en caso contrario, nula)
Técn
ico en S
eguridad de R
edes y Sistem
as
41
INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICA
� Seguridad y Protección de la Información
� Criptografía
� Certificados Digitales
� PKI
� Confidencialidad e Integridad en Transacciones
Técn
ico en S
eguridad de R
edes y Sistem
as
� Confidencialidad e Integridad en Transacciones Electrónicas
� Mecanismos de Identificación y Control de Accesos
� Bibliografía y Recursos Web
Técn
ico en S
eguridad de R
edes y Sistem
as
42
CERTIFICADOS DIGITALES
� El Certificado Digital (1/2)� Documento que contiene información sobre una
persona o entidad (nombre, dirección, email, …), suclave pública y una firma digital de un organismo deconfianza (autoridad certificadora) que rubrica que laclave pública que contiene el certificado pertenece al
Técn
ico en S
eguridad de R
edes y Sistem
as
clave pública que contiene el certificado pertenece alpropietario del mismo
� En España, la Real Casa de la Moneda es quien firmalos certificados digitales
� El certificado digital facilita los trámites con lasadministraciones públicas
Técn
ico en S
eguridad de R
edes y Sistem
as
43
CERTIFICADOS DIGITALES
� El Certificado Digital (2/2)� Existen multitud de formatos para el archivo que
almacena el certificado digital. El más extendido yusado en Internet es el estándar X.509
� Un certificado X.509 almacena los siguientes campos:
Técn
ico en S
eguridad de R
edes y Sistem
as
� Un certificado X.509 almacena los siguientes campos:� Versión� Número de serie� Algoritmo de firma� Emisor (autoridad certificadora)� Válido desde y Válido hasta (periodo de validez)� Asunto (o Sujeto –propietario de la clave-)� Clave pública� Firma digital (de la autoridad certificadora)� …
Técn
ico en S
eguridad de R
edes y Sistem
as
44
INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICA
� Seguridad y Protección de la Información
� Criptografía
� Certificados Digitales
� PKI
� Confidencialidad e Integridad en Transacciones
Técn
ico en S
eguridad de R
edes y Sistem
as
� Confidencialidad e Integridad en Transacciones Electrónicas
� Mecanismos de Identificación y Control de Accesos
� Bibliografía y Recursos Web
Técn
ico en S
eguridad de R
edes y Sistem
as
45
PKI
� Infraestructura de Clave Pública (1/2)
(Public Key Infrastructure)� Hace referencia a todo lo necesario, tanto hardware
como software, para llevar a cabo comunicacionesseguras mediante certificados digitales
Técn
ico en S
eguridad de R
edes y Sistem
as
seguras mediante certificados digitales
� Gracias a ella, se consiguen los cuatro objetivos de laseguridad informática, que son:� Confidencialidad� Disponibilidad� Integridad� No repudio
Técn
ico en S
eguridad de R
edes y Sistem
as
46
PKI
� Infraestructura de Clave Pública (2/2)(Public Key Infrastructure)� Componentes:
� Autoridad de certificación (CA, Certificate Authority)� Entidad de confianza encargada de emitir y revocar los
certificados digitales
Técn
ico en S
eguridad de R
edes y Sistem
as
� Autoridad de registro (RA, Registration Authority)� Encargada de controlar la generación de certificados
(peticiones + comprobación de identidad + solicitud decertificados a la CA)
� Repositorios� Almacenes de certificados emitidos y revocados
� HW+SW necesario para el uso de los certificados digitales
Técn
ico en S
eguridad de R
edes y Sistem
as
47
INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICA
� Seguridad y Protección de la Información
� Criptografía
� Certificados Digitales
� PKI
� Confidencialidad e Integridad en Transacciones
Técn
ico en S
eguridad de R
edes y Sistem
as
� Confidencialidad e Integridad en Transacciones Electrónicas
� Mecanismos de Identificación y Control de Accesos
� Bibliografía y Recursos Web
Técn
ico en S
eguridad de R
edes y Sistem
as
48
CONFIDENCIALIDAD E INTEGRIDAD EN
TRANSACCIONES ELECTRÓNICAS
� Leyes aplicadas en las transaccioneselectrónicas� Ley de Protección de Datos de Carácter Personal
(LOPD)� Regulada en LO 15/1999, de 13 de diciembre
Técn
ico en S
eguridad de R
edes y Sistem
as
� Desarrollada en RD 1720/2007, de 21 de diciembre� Supervisada por la Agencia de Protección de Datos
� Ley de Firma Electrónica� Regulada en Ley 59/2003, de 19 de diciembre
Técn
ico en S
eguridad de R
edes y Sistem
as
49
INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICA
� Seguridad y Protección de la Información
� Criptografía
� Certificados Digitales
� PKI
� Confidencialidad e Integridad en Transacciones
Técn
ico en S
eguridad de R
edes y Sistem
as
� Confidencialidad e Integridad en Transacciones Electrónicas
� Mecanismos de Identificación y Control de Accesos
� Bibliografía y Recursos Web
Técn
ico en S
eguridad de R
edes y Sistem
as
50
MECANISMOS DE IDENTIFICACIÓN Y
CONTROL DE ACCESOS
� Formas de autenticarse� Por algo que el usuario sabe
� Password� PIN� …
Técn
ico en S
eguridad de R
edes y Sistem
as
� Por algo que el usuario posee� Tarjeta de claves� Tarjeta ATM (tarjeta bancaria)� Certificado digital� …
� Por algo que el usuario es� Características biométricas (huella dactilar, iris, pulsación
de teclas, …)
Técn
ico en S
eguridad de R
edes y Sistem
as
51
INTRODUCCIÓN A LA SEGURIDAD
INFORMÁTICA
� Seguridad y Protección de la Información
� Criptografía
� Certificados Digitales
� PKI
� Confidencialidad e Integridad en Transacciones
Técn
ico en S
eguridad de R
edes y Sistem
as
� Confidencialidad e Integridad en Transacciones Electrónicas
� Mecanismos de Identificación y Control de Accesos
� Bibliografía y Recursos Web
Técn
ico en S
eguridad de R
edes y Sistem
as
52
BIBLIOGRAFÍA Y RECURSOS WEB
� GnuPG. “El GNU Privacy Guard”. [En línea]<http://www.gnupg.org/index.es.html> [Consulta01/09/2011]
� Seoane Ruano, C.; Saiz Herrero, A.B.; Fernández
Técn
ico en S
eguridad de R
edes y Sistem
as
� Seoane Ruano, C.; Saiz Herrero, A.B.; FernándezÁlvarez, E.; Fernández Aranda, L.: “Seguridadinformática”. McGraw-Hill. 2010
Técn
ico en S
eguridad de R
edes y Sistem
as
53