Firma electrónica y

certificados digitales

Daniel Sánchez Martínez (danielsm@um.es)

Universidad de Murcia

13 de Mayo de 2010

Objetivos

• Comprender la problemática que entrañan

los servicios telemáticos seguros.

• Introducir nociones básicas de

criptografía, cifrado y firma digital.

• Diferenciar los diferentes elementos de un

prestador de servicios de certificación.

• Profundizar en el concepto de firma

electrónica.

2

Servicios

Criptografía

Firma digital

Protección de la clave privada

DSCF

Seguridad

Servicios de Seguridad

• La Seguridad de la Información tiene 4 objetivos:– Confidencialidad– Integridad– Disponibilidad– Uso autorizado

• Principales tecnologías para lograr estos objetivos:– Seguridad en las comunicaciones– Seguridad en los ordenadores

• La seguridad total NO existe– Tiempo y recursos

4

Servicios de Seguridad

• No Repudio

– Es uno de los servicios más importantes

– Sirve para proporcionar evidencias que

soporten la resolución de disputas en cuanto

a quién envió una determinada información,

qué información envió, etc.

– Ejemplo: pedidos, firma de contratos, etc

5

Criptografía

• Criptografía

– Técnica de convertir un texto en claro (plaintext) en otro llamado criptograma (ciphertext), cuyo contenido es igual al anterior pero sólo pueden entender las personas autorizadas.

– Ejemplo:• CRIPTOGRAFÍA FULSWRJUDID

• Criptosistema

MensajeCanal

Mensaje cifrado

ReceptorMedio de

TransmisiónTransmisor

Canal Mensaje

Cifrador Descifrador

6

Tipos de Criptosistemas

• Según el tipo de claves se clasifican en:

– Criptosistemas simétricos o de clave secreta

– Criptosistemas asimétricos o de clave pública

7

Criptografía Simétrica

• Basados en la utilización de la misma clave para cifrar y descifrar– Previamente conocida por emisor y receptor

– Criptografía de clave secreta

– La seguridad reside en mantener la clave en secreto

Texto

Texto

Texto

!”·$!”

)?*!+

¨%=

&

Cifrado

Texto

Texto

Texto

!”·$!”

)?*!+

¨%=

&

Descifrado8

Criptografía Asimétrica

• Métodos públicos basados en la utilización de dos claves distintas para cifrar y descifrar– Lo que se cifra con una clave se descifra con la otra

– Una es privada y sólo conocida por el receptor

– Otra es pública y conocida por cualquier emisor

+

Texto

Texto

Texto

!”·$!”

)?*!+

¨%=

&

Descifrado

Texto

Texto

Texto

!”·$!”

)?*!+

¨%=

&

Cifrado 9

Criptografía Asimétrica VS Criptografía

Simétrica

• Sistemas de Clave Pública – Claves de gran tamaño– Muy lentos– Firma digital– Fácil intercambio de

claves

• Sistemas de Clave Secreta– Clave de pequeño

tamaño (96 bits ≈ 1024 bits pública)

– Muy rápidos (entre 10 y 100 veces más rápidos)

– No proporcionan firma digital

– No proporcionan intercambio de claves

10

Firma Digital

• ¿Por qué una firma digital?

– Para proporcionar autenticidad, integridad y no repudio en

los documentos electrónicos

– Para usar Internet como un medio seguro para la

Administración Electrónica y el Comercio Electrónico

• ¿Qué es una firma digital?

– El valor hash de un mensaje cifrado con la clave privada

de una persona es su firma digital sobre ese documento

• La firma digital de una persona varía de un documento a otro

asegurando así la autenticidad de cada palabra del documento

• Como la clave pública del firmante es conocida, cualquiera

puede verificar el mensaje y la firma digital

11

Firma Digital

• Creación Firma Digital

Claveprivada

Algoritmo

Hash

Resumen

Digital

PROCESO DE FIRMA

Documento

12

Firma Digital

• Verificación Firma

Digital

Clavepública

h23edhrt

Algoritmo

Hash

Resumen

Digital

Documen

to

original

PROCESO DE

VERIFICACIÓN DE

FIRMA

+ =

√

h23edhrt

13

Firma Manuscrita VS Firma

Digital

VS

a. Cualquier

ordenador

de un

usuario

b. Libre de

errores

a. Se necesita

un

caligrafólogo

b. Propensa a

errores

No repudio

Firma depende del

contenido del

documento

Firma

independiente del

documento

Integridad

No puede ser

copiada

Puede ser

falsificadaAutenticidad

ElectrónicaManuscrita

14

Protección de la Clave

Privada• La clave privada generada tiene que ser

protegida y mantenida en secreto

• La responsabilidad de la confidencialidad de la clave recae en su propietario

• La clave privada puede ser protegida usando:– Token software protegidos

por PIN

– Tarjetas Inteligentes

– Token Hardware

15

Tarjetas Inteligentes

• La clave privada es generada en un módulo criptográfico que reside en la tarjeta inteligente

• La clave se mantiene en la memoria de la tarjeta inteligente

• Clave está altamente protegida ya que no abandona la tarjeta, el resumen o hash se envía a la tarjeta para que ésta haga la firma, y sólo la firma sale de la tarjeta

• La tarjeta inteligente proporciona movilidad a la clave y la firma puede realizar en cualquier sistema que posea un lector de tarjetas

16

DSCF

• Dispositivos Seguros de Creación de Firma

– Permite garantizar la autenticación fuerte así como sirven de base para generar firmas electrónicas con el mismo valor legal que la firma manuscrita

– Descritos en la Ley 59/2003 de firma electrónica

– Certificación en el Centro Criptológico Nacional• Normas: CW 14169 y nivel EAL4+

– DSCF disponibles:• Tarjeta Electrónica Ministerio de Defensa

• DNI-e v1.1

17

Introducción

Tipología

Certificados

Certificados

Internet

19

Certificados• Certificado

– Documento electrónico que asociauna identidad a una clave

• Certificados Firma– Se implementa usando la

firma

• Certificados Autenticación– La autenticación puede ser

implementada usando certificados digitales

– Lo mismo para otros servicios comoautorización, etc

• Los certificados son estáticos– Cambios => Re-emisión

20

Certificados

– Documento electrónico contenedor de una identidad digital.

– Contiene:• Información de

identificación• Clave pública.• Información de la entidad

que certifica.• Periodo de validez del

certificado.• Firma digital del emisor.

– Almacenamiento de certificado + clave privada:

• Software.

• En dispositivo criptográfico

– Emitido por un prestador de servicios de certificación.

21

DNI electrónico

• Certificados del DNIe– Autoridad de certificación

Dirección General de Policía.

– Validez 30 meses.

22

Tipos

– Usuario

• Perfil „persona física‟

• Perfil „persona jurídica‟

• Perfil „empleado público‟

– Servidor

• Sede electrónica y sello de órgano.

• Servidores web túnel SSL

• Actuaciones automáticas (sellado, registro,

notificación…)

23

PKI

Elementos de una PKI

Validación

Prestadores

PKI

• Sistema de publicación de los valores de clave pública utilizados en criptografía asimétrica.

• Principales elementos:– Autoridad de Certificación (CA)

– Autoridad de Registro (RA)

– Repositorio de Certificados

– Entidades Finales

• Operaciones básicas:– Certificación

– Validación

– Revocación

– Publicación y Distribución de certificados y de notificaciones de revocación

25

PKI

• Operaciones adicionales:

– Sellado de tiempos

– Servicios Web de validación

– Almacenamiento y recuperación de claves

– Establecimiento de relaciones de confianza

(Certificación cruzada)

• El modo de realizar estas operaciones define

las características de cada PKI.

• PKI = Prestador de Servicios de Certificación

26

PKI

Autoridad

de registro

(RA)

WWW

Servidor de

solicitudes

Autoridad de

certificación

(CA)

Servidor

LDAP

Usuario final Administrador

27

PKI

• Autoridad de Certificación

– Encargada de dar validez a la información

contenida en los certificados

– Funciones principales:

• Certificación

• Publicación

• Revocación

– La CA nunca puede estar en línea.

– Su clave privada es TOP SECRET

28

PKI

• Autoridad de Certificación

– Las CAs se organizan en jerarquías de

certificación, estableciendo así cadenas de

confianza.

– CAs “globales” o “universales”

• Verisign, Entrust, Identrust, FNMT, …

29

PKI

30

PKI

• Autoridades de Registro

– Son un elemento de confianza muy importante

– Entidades encargadas de:

• Verificar la información que aparecerá en el certificado.

• Enviar las solicitudes de certificación a la CA

• Gestionar las solicitudes de revocación o de

recuperación de claves

• Repositorios de Certificados

– Se suele utilizar Servidores de directorios

basados en X.500 y LDAP

31

PKI

• Entidades a Certificar

– Son las entidades que obtienen un certificado

firmado por la CA

– Los certificados no se limitan sólo a personas

(procesos...)

• Los servidores web seguros son procesos

certificados.

– Dependiendo del tipo de sujeto:

• Certificados de cliente.

• Certificados de proveedor.

32

Validación de certificados

• Integridad: la firma es válida

• Firmado por una CA de confianza– O en el camino de certificación

hay una CA de confianza

• Certificado es válido ahora– Not Valid Before – Not Valid

After

• No está revocado

• Su uso es consistente con la política

33

Validación de certificados

• Basado en CRLs

Prestador de Servicios de Certificación (PSC)

Servicio de

directorio

Periódicamente

Portal Web

Público

1. Descarga

CRLCRL

Cliente

2. Comprobación de

estado de revocación

34

Validación de certificados

• Basado en

OCSP

Prestador de

Servicios de

Certificación (PSC)

Servicio de

directorioServicio OCSP

público

petición de estado de revocación 1

Cliente

respuesta de estado de revocación 1

petición de estado de revocación n

respuesta de estado de revocación n

......

35

Validación de certificados

• ¿Qué ofrecen los PSC españoles?– FNMT

• CRLs a través de acceso autenticadoa LDAP (exige firma de convenio previa).

• OCSP (se paga por número de sellados) única opción para las entidades privadas.

– El resto ofrecen sus CRLs de forma pública y gratuita.

– DNI-e ofrece ambos mecanismos.

• Otros mecanismos SCVP– Necesario para dominios múltiples, jerarquías de CA, y

certificación cruzada.

– Construcción de rutas de certificación.

– Validación de cada uno de los certificados de la ruta.

36

Bibliografía

• Libro electrónico “Seguridad Informática”, Jorge RamióAguirre. 2007.– http://www.criptored.upm.es/guiateoria/gt_m001a.htm

• “Criptografía y Seguridad en Computadores”. M. J. Lucena López– http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto

• “An Introduction to Cryptography”, Network Associates.• “Secure Electronic Commerce. Building the Infrastructure for

Digital Signatures and Encryption”, Second Edition. W. Ford, M. Baum. Prentice Hall.

• “Seguridad y Comercio en el Web”, S. Garfinkel y G. Spafford. McGraw-Hill.

• “Understanding PKI: Concepts, Standards, and Deployment Considerations”, Second Edition. C. Adams, S. Lloyd. Addison Wesley.

• “PKI. Implementing and Managing E-Security”, A. Nash, W. Duane, C. Joseph, D. Brink. McGraw-Hill.

37

38

Daniel Sánchez Martínez (danielsm@um.es)

Universidad de Murcia

13 de Mayo de 2010