Diapositiva 1
Concepto de firma
electrónica
|
|
|
Conjunto de datos, en forma
electrónica, anejos o asociados a otros datos (documento), utilizados como
medio para identificar formalmente al autor(es) del documento que la recoge. |
|
Avanzada: identificación del signatario
por medios que éste mantiene bajo su exclusivo control (art.21). |
Firma
Electrónica
vs. Firma Digital
Clave Pública I
|
|
|
|
Cifrado con Clave Pública |
|
Basado en dificultad computacional |
|
Primitivas Idénticas a Clave Secreta |
|
Claves de Clave Pública |
|
Clave Pública |
|
Clave Privada |
|
Cifrado con clave Pública |
|
Firma con clave Privada |
Clave Pública II
|
|
|
|
|
Firma Digital |
|
Primitivas reversibles |
|
Dd(Ee(m))=Ee(Dd(m))=m |
|
Método general |
|
Propiedades de la firma digital con
clave pública |
|
Solamente firma quien posee la clave
secreta |
|
Se puede demostrar a terceros |
|
Se basa en la preservación del secreto
de la clave secreta: |
|
Almacenamiento seguro (Tarjeta
inteligente o criptográfica) |
|
Acceso restringido (PIN, contraseña,
parámetro biométrico) |
|
Generación de claves “duras” y
destrucción de los rastros. |
Clave Pública III: RSA
|
|
|
|
n,e : claves públicas d : clave privada |
|
n=p * q (p,q números
primos) |
|
d*e mod ((p-1)(q-1)) = 1 |
|
Cifrado: C=Me mod n |
|
Descifrado: M=Cd mod n = Me*d mod n |
|
|
|
|
Sobre Digital I
|
|
|
|
Base de los protocolos criptográficos: |
|
Números primos de 10 cifras decimales |
|
Proporciona a los mensajes |
|
Confidencialidad |
|
Integridad |
|
Acreditación de identidad |
|
Integrado en una infraestructura de
clave pública: |
|
Autoridades de certificación
acreditadas |
Sobre Digital II
|
|
|
|
|
1 Función Hash |
|
2 Firmado Hash |
|
3 Cifrado Clave Secreta |
|
4 Intercambio Claves |
|
5 Envio |
|
|
Sobre Digital III
|
|
|
|
Interpretación de un Sobre Digital |
|
Obtención de la clave de cifrado |
|
Descifrado |
|
Al recibir un mensaje se debe dudar de
todo |
|
Originante |
|
Red de transmisión |
|
Confidencialidad |
|
… |
|
Es posible demostrar la autenticidad a
otros |
Sobre Digital IV
|
|
|
|
|
1 Recepción |
|
2 Intercambio Claves |
|
3 Descifrado Clave Secreta |
|
4 Función Hash |
|
5 Verificación Firma |
Definiciones
|
|
|
Signatario: Persona física. Cuenta
propia o representa p. Física o jurídica. |
|
Dispositivo de creación/verificación de
firma (seguridad: art. 19) |
|
Certificado “Reconocido”: art. 8 y 12. |
|
Prestador de servicio de certificación
(PSC) |
|
Servicio de consignación de fecha y
hora |
Definiciones (y II)
|
|
|
|
Acreditación “voluntaria”. |
|
Firma-e en la Administración pública:
condiciones adicionales: objetivas, razonables y no discriminatorias. |
|
Registro de PSC,s: M.Justicia,
“previo”: |
|
Nombre, URL/e-mail, verificación
firma-e, acreditación (faltaría: ámbito/clientes, RC, condiciones validez
firma) |
Contenido certificado RDL
|
|
|
Identificación PSC y signatario |
|
firma certificado |
|
datos verificación firma signatario |
|
período validez |
|
+ límites uso y valor transacciones |
|
++ documento facultativo del signatario |
|
+++ domicilio, NIF, id. Registral,
… PSC. |
|
- Procedimiento de revocación |
|
- Política de seguridad y firma |
Reconocimiento legal
firma-e
|
|
|
|
|
Autoría hecho: Originalidad |
|
Firma: |
|
Prueba Origen (programas informáticos) |
|
Corto plazo de validez |
|
Prueba del receptor contra repudio del
firmante |
|
Firma y fecha firmante: |
|
Acuse de recibo |
|
Medio plazo |
|
Prueba de entrega para el originador,
defiende a éste contra repudio de recepción |
Reconocimiento legal
firma-e II
|
|
|
|
|
Firmado y Fechado por TTP: |
|
Validez largo plazo |
|
Prueba para ambos de que la firma
(documento) existía antes de la fecha adjuntada por el TTP |
Reconocimiento legal
Firma-e III
|
|
|
|
|
Acreditación: Sólo el firmante lo pudo
hacer |
|
Calidad generación credenciales |
|
Calidad claves: Longitud, dificultad
reproducción |
|
Algoritmos: hash, firma |
|
Originalidad de las claves |
|
Confianza en procedimiento de firma |
|
Soporte (almacenamiento) clave privada |
|
Consciencia de la firma |
|
Confianza en PSC |
Evolución histórica de
la firma electrónica
|
|
|
TELEX: EPROM fácil de suplantar,
reconoc. legal |
|
EDI: UN/EDIFACT, X.12, otros: Segura,
poco usada |
|
Fax: firma manuscrita “escaneada”,
reconoc. legal |
|
Aplicaciones Cliente/Servidor: no
normalizada |
|
Correo Electrónico: S/MIME, amplia
aceptación |
|
WwW -> Java: uso
incipiente |
Diapositiva 18
Mercado interno EU
Casos especiales
|
|
|
|
|
PSC emitiendo certificados acreditados
al público: |
|
Obligatoriedad de controlar via
supervisión por el Gobierno del estado miembro, ejemplo: |
|
esquema de auto-declaración, con
control por organismo gubernamental o privado. |
|
|
|
PSC emitiendo certificados para
Administración pública: |
|
El Gobierno del estado está autorizado
a imponer requisitos adicionales y controlarlos via: |
|
esquema de acreditación |
|
esquema de auto-declaración del PSC |
Esquema de Acreditación
Voluntario
Directiva COM1999-626
|
|
|
6.1.a) Indicación de certificado
reconocido |
|
6.4 Limitación de responsabilidad a lo
establecido en el propio certificado. |
Reconocimiento legal
|
|
|
Principio general: Todas las firmas
electrónicas tienen efecto legal (Art. 5.2) |
|
Segundo principio: Algunas firmas
electrónicas tienen el mismo efecto que las firmas manuscritas: las avanzadas
basadas en certificados reconocidos y emitidas por PSC acreditados (Art. 5.1) |
REQUISITOS DE USUARIOS
Garantías de seguridad
(calidad)
|
|
|
Integridad: No alteraciones |
|
Autenticidad: Es quien dice ser |
|
No repudio: Ha hecho lo que dice |
|
Auditabilidad: Identificación de
acciones |
|
Legalidad de las transacciones:
Acreditación PSC (TTP) según legislación |
|
Homologación: SET, ISO, EDIFACT |
VULNERABILIDADES (I)
|
|
|
Suplantación de Identidad. (12%) |
|
Robo de Información. (11%) |
|
Modificación de la Información (9%) |
|
Denegación de servicio (8% sabotaje) |
|
“Sniffers” (6%) |
|
Repudio |
VULNERABILIDADES (II)
|
|
|
|
Suplantación de identidad. |
|
Realizar operaciones en nombre de otro:
cliente o comerciante |
|
Una situación de este tipo permitiría a
un poseedor de miles de números de tarjetas de crédito la realización de
numerosas pequeñas operaciones que representen en su totalidad una cantidad
significativa. |
VULNERABILIDADES (III)
|
|
|
|
Modificación de información. |
|
Alterar el contenido de ciertas
transacciones: importe de una orden de pago o contenido de la orden de
compra. |
|
Modificación de catálogos (live
catalogs) o pre-catálogos (staging catalogs) de venta. |
VULNERABILIDADES (IV)
|
|
|
|
“Sniffers”. |
|
Herramientas informáticas que permiten
la obtención de claves de paso que permitan acceder donde se guarda la
información. |
|
Los “sniffers” permitirán la
consumación de un ataque de suplantación de identidad y/o robo o modificación de información de cliente o
comerciante. |
VULNERABILIDADES (V)
|
|
|
|
Repudio. |
|
Rechazo o negación de una operación
por una de las partes |
|
Costos adicionales de facturación. |
|
Situaciones similares se producen en el
pago de cheques falsos o sin fondos. |
Responsabilidad del PSC
acreditado
|
|
|
|
Motivos: |
|
Contenido incorrecto del certificado |
|
La persona identificada en el
certificado no posee los datos de creación de firma corresp. |
|
Los datos para generar y verificar
firma no se corresponden (si los ha proveido el PSC). |
|
Excepciones: |
|
PSC demuestra no haber sido negligente. |
|
Certificado empleado fuera de límites. |
Aplicaciones
estándar
de la firma-e
CORREO SEGURO (I)
CORREO SEGURO
(II)
(Estructura de Certificación)
CORREO SEGURO
(III)
(Seguridad en Web)
CORREO SEGURO
(IV)
(Seguridad en Web)
Productos
|
|
|
|
Key-One |
|
http://www.safelayer.com |
|
Baltimore |
|
http://www.baltimore.ie |
|
B-Safe |
|
http://www.rsasecurity.com/ |
|
Network Associates (PGP) |
|
http://www.nai.org/ |
Problemas de la seguridad
en Web
|
|
|
Proxies mal configurados |
|
Utilización de direcciones de correo
“amistosas” en intranets |
|
No verificación de las AC por parte de
los usuarios (confianza en cualquier AC) |
|
Firma “inconsciente” o “no autorizada”
de documentos por “memorización” de contraseñas |
Firma en web (I)
Firma en Web (II)
Firma en web (III)
Firma en web (IV)
Referencias
|
|
|
|
Hanbook Of Applied Cryptography |
|
http://www.cacr.math.uwaterloo.com/hac/ |
|
Applied Cryptography |
|
http://www.counterpane.com/applied.html |
|
OpenSSL |
|
http://www.openssl.org/ |
|
PGP International |
|
http://www.pgpi.org/ |
Referencias
|
|
|
|
PKIX |
|
http://www.imc.org/ietf-pkix/ |
|
SET Consortium |
|
http://www.setco.org/ |
Conclusiones
|
|
|
La firma electrónica será admitida
normalmente en juicios a partir del 2001. |
|
Hay que definir los procedimientos de
control del mercado y |
|
los agentes de verificación de los
proveedores de servicios |
|
Permitirá firmar documentos en Internet
e Intranets corporativas. |