Firma electrónica y
certificados digitales
Daniel Sánchez Martínez ([email protected])
Universidad de Murcia
13 de Mayo de 2010
Objetivos
• Comprender la problemática que entrañan
los servicios telemáticos seguros.
• Introducir nociones básicas de
criptografía, cifrado y firma digital.
• Diferenciar los diferentes elementos de un
prestador de servicios de certificación.
• Profundizar en el concepto de firma
electrónica.
2
Servicios
Criptografía
Firma digital
Protección de la clave privada
DSCF
Seguridad
Servicios de Seguridad
• La Seguridad de la Información tiene 4 objetivos:– Confidencialidad– Integridad– Disponibilidad– Uso autorizado
• Principales tecnologías para lograr estos objetivos:– Seguridad en las comunicaciones– Seguridad en los ordenadores
• La seguridad total NO existe– Tiempo y recursos
4
Servicios de Seguridad
• No Repudio
– Es uno de los servicios más importantes
– Sirve para proporcionar evidencias que
soporten la resolución de disputas en cuanto
a quién envió una determinada información,
qué información envió, etc.
– Ejemplo: pedidos, firma de contratos, etc
5
Criptografía
• Criptografía
– Técnica de convertir un texto en claro (plaintext) en otro llamado criptograma (ciphertext), cuyo contenido es igual al anterior pero sólo pueden entender las personas autorizadas.
– Ejemplo:• CRIPTOGRAFÍA FULSWRJUDID
• Criptosistema
MensajeCanal
Mensaje cifrado
ReceptorMedio de
TransmisiónTransmisor
Canal Mensaje
Cifrador Descifrador
6
Tipos de Criptosistemas
• Según el tipo de claves se clasifican en:
– Criptosistemas simétricos o de clave secreta
– Criptosistemas asimétricos o de clave pública
7
Criptografía Simétrica
• Basados en la utilización de la misma clave para cifrar y descifrar– Previamente conocida por emisor y receptor
– Criptografía de clave secreta
– La seguridad reside en mantener la clave en secreto
Texto
Texto
Texto
!”·$!”
)?*!+
¨%=
&
Cifrado
Texto
Texto
Texto
!”·$!”
)?*!+
¨%=
&
Descifrado8
Criptografía Asimétrica
• Métodos públicos basados en la utilización de dos claves distintas para cifrar y descifrar– Lo que se cifra con una clave se descifra con la otra
– Una es privada y sólo conocida por el receptor
– Otra es pública y conocida por cualquier emisor
+
Texto
Texto
Texto
!”·$!”
)?*!+
¨%=
&
Descifrado
Texto
Texto
Texto
!”·$!”
)?*!+
¨%=
&
Cifrado 9
Criptografía Asimétrica VS Criptografía
Simétrica
• Sistemas de Clave Pública – Claves de gran tamaño– Muy lentos– Firma digital– Fácil intercambio de
claves
• Sistemas de Clave Secreta– Clave de pequeño
tamaño (96 bits ≈ 1024 bits pública)
– Muy rápidos (entre 10 y 100 veces más rápidos)
– No proporcionan firma digital
– No proporcionan intercambio de claves
10
Firma Digital
• ¿Por qué una firma digital?
– Para proporcionar autenticidad, integridad y no repudio en
los documentos electrónicos
– Para usar Internet como un medio seguro para la
Administración Electrónica y el Comercio Electrónico
• ¿Qué es una firma digital?
– El valor hash de un mensaje cifrado con la clave privada
de una persona es su firma digital sobre ese documento
• La firma digital de una persona varía de un documento a otro
asegurando así la autenticidad de cada palabra del documento
• Como la clave pública del firmante es conocida, cualquiera
puede verificar el mensaje y la firma digital
11
Firma Digital
• Creación Firma Digital
Claveprivada
Algoritmo
Hash
Resumen
Digital
PROCESO DE FIRMA
Documento
12
Firma Digital
• Verificación Firma
Digital
Clavepública
h23edhrt
Algoritmo
Hash
Resumen
Digital
Documen
to
original
PROCESO DE
VERIFICACIÓN DE
FIRMA
+ =
√
h23edhrt
13
Firma Manuscrita VS Firma
Digital
VS
a. Cualquier
ordenador
de un
usuario
b. Libre de
errores
a. Se necesita
un
caligrafólogo
b. Propensa a
errores
No repudio
Firma depende del
contenido del
documento
Firma
independiente del
documento
Integridad
No puede ser
copiada
Puede ser
falsificadaAutenticidad
ElectrónicaManuscrita
14
Protección de la Clave
Privada• La clave privada generada tiene que ser
protegida y mantenida en secreto
• La responsabilidad de la confidencialidad de la clave recae en su propietario
• La clave privada puede ser protegida usando:– Token software protegidos
por PIN
– Tarjetas Inteligentes
– Token Hardware
15
Tarjetas Inteligentes
• La clave privada es generada en un módulo criptográfico que reside en la tarjeta inteligente
• La clave se mantiene en la memoria de la tarjeta inteligente
• Clave está altamente protegida ya que no abandona la tarjeta, el resumen o hash se envía a la tarjeta para que ésta haga la firma, y sólo la firma sale de la tarjeta
• La tarjeta inteligente proporciona movilidad a la clave y la firma puede realizar en cualquier sistema que posea un lector de tarjetas
16
DSCF
• Dispositivos Seguros de Creación de Firma
– Permite garantizar la autenticación fuerte así como sirven de base para generar firmas electrónicas con el mismo valor legal que la firma manuscrita
– Descritos en la Ley 59/2003 de firma electrónica
– Certificación en el Centro Criptológico Nacional• Normas: CW 14169 y nivel EAL4+
– DSCF disponibles:• Tarjeta Electrónica Ministerio de Defensa
• DNI-e v1.1
17
Introducción
Tipología
Certificados
Certificados• Certificado
– Documento electrónico que asociauna identidad a una clave
• Certificados Firma– Se implementa usando la
firma
• Certificados Autenticación– La autenticación puede ser
implementada usando certificados digitales
– Lo mismo para otros servicios comoautorización, etc
• Los certificados son estáticos– Cambios => Re-emisión
20
Certificados
– Documento electrónico contenedor de una identidad digital.
– Contiene:• Información de
identificación• Clave pública.• Información de la entidad
que certifica.• Periodo de validez del
certificado.• Firma digital del emisor.
– Almacenamiento de certificado + clave privada:
• Software.
• En dispositivo criptográfico
– Emitido por un prestador de servicios de certificación.
21
DNI electrónico
• Certificados del DNIe– Autoridad de certificación
Dirección General de Policía.
– Validez 30 meses.
22
Tipos
– Usuario
• Perfil „persona física‟
• Perfil „persona jurídica‟
• Perfil „empleado público‟
– Servidor
• Sede electrónica y sello de órgano.
• Servidores web túnel SSL
• Actuaciones automáticas (sellado, registro,
notificación…)
23
PKI
Elementos de una PKI
Validación
Prestadores
PKI
• Sistema de publicación de los valores de clave pública utilizados en criptografía asimétrica.
• Principales elementos:– Autoridad de Certificación (CA)
– Autoridad de Registro (RA)
– Repositorio de Certificados
– Entidades Finales
• Operaciones básicas:– Certificación
– Validación
– Revocación
– Publicación y Distribución de certificados y de notificaciones de revocación
25
PKI
• Operaciones adicionales:
– Sellado de tiempos
– Servicios Web de validación
– Almacenamiento y recuperación de claves
– Establecimiento de relaciones de confianza
(Certificación cruzada)
• El modo de realizar estas operaciones define
las características de cada PKI.
• PKI = Prestador de Servicios de Certificación
26
PKI
Autoridad
de registro
(RA)
WWW
Servidor de
solicitudes
Autoridad de
certificación
(CA)
Servidor
LDAP
Usuario final Administrador
27
PKI
• Autoridad de Certificación
– Encargada de dar validez a la información
contenida en los certificados
– Funciones principales:
• Certificación
• Publicación
• Revocación
– La CA nunca puede estar en línea.
– Su clave privada es TOP SECRET
28
PKI
• Autoridad de Certificación
– Las CAs se organizan en jerarquías de
certificación, estableciendo así cadenas de
confianza.
– CAs “globales” o “universales”
• Verisign, Entrust, Identrust, FNMT, …
29
PKI
30
PKI
• Autoridades de Registro
– Son un elemento de confianza muy importante
– Entidades encargadas de:
• Verificar la información que aparecerá en el certificado.
• Enviar las solicitudes de certificación a la CA
• Gestionar las solicitudes de revocación o de
recuperación de claves
• Repositorios de Certificados
– Se suele utilizar Servidores de directorios
basados en X.500 y LDAP
31
PKI
• Entidades a Certificar
– Son las entidades que obtienen un certificado
firmado por la CA
– Los certificados no se limitan sólo a personas
(procesos...)
• Los servidores web seguros son procesos
certificados.
– Dependiendo del tipo de sujeto:
• Certificados de cliente.
• Certificados de proveedor.
32
Validación de certificados
• Integridad: la firma es válida
• Firmado por una CA de confianza– O en el camino de certificación
hay una CA de confianza
• Certificado es válido ahora– Not Valid Before – Not Valid
After
• No está revocado
• Su uso es consistente con la política
33
Validación de certificados
• Basado en CRLs
Prestador de Servicios de Certificación (PSC)
Servicio de
directorio
Periódicamente
Portal Web
Público
1. Descarga
CRLCRL
Cliente
2. Comprobación de
estado de revocación
34
Validación de certificados
• Basado en
OCSP
Prestador de
Servicios de
Certificación (PSC)
Servicio de
directorioServicio OCSP
público
petición de estado de revocación 1
Cliente
respuesta de estado de revocación 1
petición de estado de revocación n
respuesta de estado de revocación n
......
35
Validación de certificados
• ¿Qué ofrecen los PSC españoles?– FNMT
• CRLs a través de acceso autenticadoa LDAP (exige firma de convenio previa).
• OCSP (se paga por número de sellados) única opción para las entidades privadas.
– El resto ofrecen sus CRLs de forma pública y gratuita.
– DNI-e ofrece ambos mecanismos.
• Otros mecanismos SCVP– Necesario para dominios múltiples, jerarquías de CA, y
certificación cruzada.
– Construcción de rutas de certificación.
– Validación de cada uno de los certificados de la ruta.
36
Bibliografía
• Libro electrónico “Seguridad Informática”, Jorge RamióAguirre. 2007.– http://www.criptored.upm.es/guiateoria/gt_m001a.htm
• “Criptografía y Seguridad en Computadores”. M. J. Lucena López– http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto
• “An Introduction to Cryptography”, Network Associates.• “Secure Electronic Commerce. Building the Infrastructure for
Digital Signatures and Encryption”, Second Edition. W. Ford, M. Baum. Prentice Hall.
• “Seguridad y Comercio en el Web”, S. Garfinkel y G. Spafford. McGraw-Hill.
• “Understanding PKI: Concepts, Standards, and Deployment Considerations”, Second Edition. C. Adams, S. Lloyd. Addison Wesley.
• “PKI. Implementing and Managing E-Security”, A. Nash, W. Duane, C. Joseph, D. Brink. McGraw-Hill.
37