Certificados Digitales y Navegación segura
MsC: Lic. Sandra Blain Escalona
ETECSA - DVSI
Panorámica Internacional sobre fuga de datos
Firma Digital
Certificados Digitales
PKI (Public Key Infrastructure)
Recomendaciones
Conclusiones
TEMATICAS
Pag.2Fecha: 4/05/2018 ETECSA - DVSI
Actualidad. Panorámica sobre fuga de datos
Poder de la tecnología Nuevo riesgos y amenazas Fuga de datos: origen
interno accidental o maliciosamente.
Alto impacto negativo entorno empresarial
• Pérdida financiera• Daño a la marca
• Responsabilidad legal• Interrupción de la continuidad
del negocio
Pag.3Fecha: 4/05/2018 ETECSA - DVSI
Actualidad. Panorámica sobre fuga de datos
Pag.5 Fecha: 4/05/2018 ETECSA - DVSI
Pag. 5Fecha: 4/05/2018 ETECSA - DVSI
Actualidad. Panorámica sobre fuga de datos
Mas de 390 millones de registros personales comprometidos entre 2015-2017
Pag. 6Fecha: 4/05/2018 ETECSA - DVSI
Actualidad. Panorámica sobre fuga de datos
Algunas de las principales amenazas para la protección de lainformación provienen de:
• Anexos a mensajes enviados por correo electrónico infectados convirus. El intercambio de códigos de virus.
• Firewalls o cortafuegos mal configurados.• La alteración de las páginas web. El "repudio" y las estafas
asociadas al comercio electrónico.• La suplantación de identidades.• Las vulnerabilidades de los sistemas operativos y la
desactualización de los "parches" concernientes a suseguridad.
• La rotura de contraseñas.• El robo y la destrucción de información.• El hecho de que herramientas de hacking y cracking se ofrezcan
como freeware.
Pag. 7Fecha: 4/05/2018 ETECSA - DVSI
Actualidad. Panorámica sobre fuga de datosGarantías Pilares básicos de la seguridad:
ConfidencialidadNo RepudioIntegridadAutenticidad
Garantiza autenticidad de ambas partes,integridad del mensaje o transacción,confidencialidad y No repudio; mediante elempleo de criptosistemas asimétricos (llavespúblicas y privadas).
Acredita la identidad del propietario de lallave pública asociada a la llave privada queposee.
Certifica las identidades de los titulares delos certificados y gestiona los mismos.
Pag. 8Fecha: 4/05/2018 ETECSA - DVSI
Pag. 9Fecha: 4/05/2018 ETECSA - DVSI
Qué es la firma digital?
FIRMA ELECTRONICA
NO ES
FIRMA DIGITAL
• Verificar origen del mensaje (emisor)• Asegurar que el documento firmado no ha sido
alterado (igual al original) Integridad• Ofrece validez legal a los documentos firmados
Conjunto de datos añadidos a un documento quevinculan al firmante con dicho documento electrónico.
Pag. 10Fecha: 4/05/2018 ETECSA - DVSI
Private Public
Funciones Hash (resumen)(INTEGRIDAD)
Criptosistemas Asimétricos(IDENTIDAD)
Private
Public
Public
Entrada Valor Hash
“Esto es una prueba” e99008846853ff3b725c27315
Esto es una prueba dd21d99a468f3bb52a136ef5b
Qué es la firma digital?
FIRMA DIGITAL
Pag. 11Fecha: 4/05/2018 ETECSA - DVSI
Firmado de documento emisor
Resumen cifrado con clave priv. del emisor
Resumen mensaje
Firma digital
Función hash
Textoclaro
Firma digital
Texto claro
Priv.
Publ..
Cifrado con clave publ. destinatario
1
2
3
4
5
5
Firma digital - Funcionamiento
Textoclaro
Función hash
Resumen mensaje obtenido (Rob)
Descifrado con clave publ. del emisor
Resumen mensaje descifrado (Rdc)
SI NOFirma valida
Firma NO
valida
Verificado de la firma destinatario
Descifrado con clave priv. destinatario
Priv.
Publ..
?
1
1
2
3
4
Rob = Rdc
Pag. 12Fecha: 4/05/2018 ETECSA - DVSI
Firma digital - Problemas
Firma digital NO ES TOTALMENTE SEGURA
Pag.13Fecha: 4/05/2018 ETECSA - DVSI
Pag. 14Fecha: 4/05/2018 ETECSA - DVSI
Tarjetas de identificación electrónica emitidas por compañías deconfianza llamada Autoridad de Certificación (AC) (terceras partesconfiables).
Identifican exclusivamente la identidad de una entidad (personanatural, jurídica, empresa, servidor, sitio web, incluso un objetoconectado a internet (IoT)) como propietario de su respectiva llavepública y poseedor de la privada asociada.
Proporcionan la confianza necesaria sobre a quien le pertenece lallave pública (identidad), es decir, que la llave pública pertenecerealmente al emisor del mensaje y que dicha entidad posee lacorrespondiente clave privada.
Qué son los certificados digitales?
Certificados Digitales de llaves Públicas
Pag. 15Fecha: 4/05/2018 ETECSA - DVSI
Certificados digitales – Tipos
Personales
Persona Jurídica
Servidor Seguro
para realizar on-line trámites
administrativos públicos y bancarios.
para que una empresa pueda realizar
trámites on-line con otras empresas y
administrativos.
para demostrar que una empresa es titular
de una web y poder realizar operaciones
seguras con ella.
Certificados Digitales de llaves Públicas
Usos
Archivo almacenado en tu PC
Soporte físico (tarjeta con chip criptográfico)
Formatos
Correo Seguro (firmado y cifrado)
Seguridad a nivel de red (IPSEc)
Seguridad a nivel de transporte (SSL/TLS)
Sistemas de Pago (SET)
Autenticar usuarios en Internet
Certificados Digitales de llaves Públicas
Pag.16Fecha: 4/05/2018 ETECSA - DVSI
Pag.17Fecha: 4/05/2018 ETECSA - DVSI
Campos de un certificado - Ejemplos
Algoritmo empleado para
firmar el certificado
Identifica la AC que ha firmado
y emitido el certificado.
Sujeto o entidad para el cual se ha emitido
el certificado
Algoritmo utilizado para crear la llave
pública y la propia llave
pública
Firma digital de la AC,
algoritmo de la firma
digital y hash de la firma
Grupo 1
Grupo 2
Grupo 3
Sección DATOSque son validados por la AC
Sección Firma Digital AC
Certificados Digitales de llaves Públicas
Pag. 18Fecha: 4/05/2018 ETECSA - DVSI
Firmado de documento en el emisor
Resumen cifrado con clave priv. del emisor
Resumen mensaje
Firma digital
Función hash
Firma digital
Texto claro
Priv
Publ..
Cifrado con clave publ. destinatario extraida del certificado
1
2
3
4
5
5
Validación de identidad con certificados
Descifrado con clave priv. destinatario
Textoclaro
Función hash
Resumen mensaje obtenido (Rob)
Descifrado con clave publ. del emisor extraida del certificado
Resumen mensaje descifrado (Rdc)
SI NOFirma valida
Firma NO
valida
Verificado de la firma en el destinatario
Priv.
Publ..
?
1
1
2
3
4
Rob = Rdc
Textoclaro
Pag.19Fecha: 4/05/2018 ETECSA - DVSI
Cómo funcionan los certificados en el proceso de validación de identidad ?
Ejemplo Acceso a servidor seguro (web de Wikipedia)
Certificados Digitales de llaves Públicas
Uso en sitios web
Deben coincidir
Emitido para:
Emitido por:
Pag. 20Fecha: 4/05/2018 ETECSA - DVSI
Certificados Digitales de llaves PúblicasCómo funcionan los certificados en el proceso de validación de identidad ?
Ejemplo Acceso a servidor seguro (web de ITU)
Pag. 21Fecha: 4/05/2018 ETECSA - DVSI
Certificados Digitales de llaves PúblicasCómo funcionan los certificados en el proceso de validación de identidad ?
Ejemplo Acceso a servidor seguro (web de recargas a Cuba)
Pag. 22Fecha: 4/05/2018 ETECSA - DVSI
Cómo funcionan los certificados en el proceso de validación de identidad ?Ejemplo Acceso a servidor seguro
Certificados Digitales de llaves Públicas
Pag. 24Fecha: 4/05/2018 ETECSA - DVSI
Certificados Digitales de llaves Públicas
Ejemplo Acceso a servidor NO seguro
Pag. 25Fecha: 4/05/2018 ETECSA - DVSI
Certificados Digitales de llaves Públicas
Ejemplo Acceso a servidor NO seguro
“Cuando cada cosa tiene una identidad todo es mas seguro”
Pag. 26Fecha: 4/05/2018 ETECSA - DVSI
Pag. 27Fecha: 4/05/2018 ETECSA - DVSI
Definición
Servidores ordenadores equipamiento de
seguridad
Algoritmos generación llaves
Tamaño llaves Modelo confianza Tiempo publicación
CRL Procedimientos de
seguridad
Sistemas para múltiples servicios para clientes y las aplicaciones
Servicios básicos de seguridad
Servicios adicionales Proveer identidades
robustas para entornos empresariales, móviles e IoT
HARDWARE SOFTWARE
SERVICIOSPOLITICAS
PKI
PKIPKI
PKIX (Public Key Infrastructure X.509)
Pag. 28Fecha: 4/05/2018 ETECSA - DVSI
PKIX (Public Key Infrastructure X.509)
Persona, organización, Aplicación, servidor,VPN, Móvil, SmartTV….
COMPONENTES
Pag. 29Fecha: 4/05/2018 ETECSA - DVSI
PKIX (Public Key Infrastructure X.509)
RESUMEN
Antes de usar un certificado tener en cuenta:
1. Quién ha sido la AC que lo emitió (Issued by)
2. Que el mismo no este expirado
3. Que el campo Common Name del “Emitido para:” (Issued To)
coincide con el terminal al que se esta accediendo (si es una
página web)
Pag.30Fecha: 4/05/2018 ETECSA - DVSI
PKIX (Public Key Infrastructure X.509)
PKI(Estandarizanel uso de los certificadosy Gestionanlos mismos)
CertificadosDigitales
(Garantiza el vínculoentre una entidad y su
par de claves)
Firmas Digitales(Autenticidad+Integridad+
No repudio)
Criptosistemas asimétricos
(cifrado / descifrado)
RESUMEN
Recomendaciones para una navegacion segura
• Verificar si la web es segura (https) antes de realizartransacciones económicas y banca on-line. También al acceder aservicios de correo.
• Mantener actualizados los navegadores.
• Comprobar los certificados de las páginas web que visitamos. Leerlas advertencias.
• No enviar datos personales a páginas web no seguras, es decir,que no muestren un certificado válido.
• Revisión de los campos críticos de un certificado.
Pag. 31Fecha: 4/05/2018 ETECSA - DVSI
Pag. 32Fecha: 4/05/2018 ETECSA - DVSI
Los certificados digitales tienen la misma validez que uncertificado manuscrito.
El empleo de certificados digitales ahorran tiempo, papel ypermite poder realizar diversos trámites on-line en cualquiermomento (24x7).
Los certificados digitales sólo son útiles si existe alguna AutoridadCertificadora (Certification Authority o CA) que los valide, ya quesi uno se certifica a sí mismo no hay ninguna garantía de que suidentidad sea la que anuncia, y por lo tanto, no debe seraceptada por un tercero que no lo conozca.
Los certificados digitales permiten o deniegan explícitamente larealización de una acción u otra.
Las PKI es la “tecnología de punta” actualmente empleada quegarantiza, de forma segura, la identidad de cada “cosa”conectada a internet.
CONCLUSIONES