Notas
Esquema
Diapositiva 1
Concepto de firma electrónica
Conjunto de datos, en forma electrónica, anejos o asociados a otros datos (documento), utilizados como medio para identificar formalmente al autor(es) del documento que la recoge.
Avanzada: identificación del signatario por medios que éste mantiene bajo su exclusivo control (art.21).
Firma Electrónica
vs. Firma Digital
Clave Pública I
Cifrado con Clave Pública
Basado en dificultad computacional
Primitivas Idénticas a Clave Secreta
Claves de Clave Pública
Clave Pública
Clave Privada
Cifrado con clave Pública
Firma con clave Privada
Clave Pública II
Firma Digital
Primitivas reversibles
Dd(Ee(m))=Ee(Dd(m))=m
Método general
Propiedades de la firma digital con clave pública
Solamente firma quien posee la clave secreta
Se puede demostrar a terceros
Se basa en la preservación del secreto de la clave secreta:
Almacenamiento seguro (Tarjeta inteligente o criptográfica)
Acceso restringido (PIN, contraseña, parámetro biométrico)
Generación de claves “duras” y destrucción de los rastros.
Clave Pública III: RSA
n,e : claves públicas d : clave privada
 n=p * q    (p,q números primos)
d*e mod ((p-1)(q-1)) = 1
Cifrado:     C=Me mod n
Descifrado:   M=Cd mod n = Me*d mod n
Sobre Digital I
Base de los protocolos criptográficos:
Números primos de 10 cifras decimales
Proporciona a los mensajes
Confidencialidad
Integridad
Acreditación de identidad
Integrado en una infraestructura de clave pública:
Autoridades de certificación acreditadas
Sobre Digital II
1 Función Hash
2 Firmado Hash
3 Cifrado Clave Secreta
4 Intercambio Claves
5 Envio
Sobre Digital III
Interpretación de un Sobre Digital
Obtención de la clave de cifrado
Descifrado
Al recibir un mensaje se debe dudar de todo
Originante
Red de transmisión
Confidencialidad
…
Es posible demostrar la autenticidad a otros
Sobre Digital IV
1 Recepción
2 Intercambio Claves
3 Descifrado Clave Secreta
4 Función Hash
5 Verificación Firma
Definiciones
Signatario: Persona física. Cuenta propia o representa p. Física o jurídica.
Dispositivo de creación/verificación de firma (seguridad: art. 19)
Certificado “Reconocido”: art. 8 y 12.
Prestador de servicio de certificación (PSC)
Servicio de consignación de fecha y hora
Definiciones (y II)
Acreditación “voluntaria”.
Firma-e en la Administración pública: condiciones adicionales: objetivas, razonables y no discriminatorias.
Registro de PSC,s: M.Justicia, “previo”:
Nombre, URL/e-mail, verificación firma-e, acreditación (faltaría: ámbito/clientes, RC, condiciones validez firma)
Contenido certificado RDL
Identificación PSC y signatario
firma certificado
datos verificación firma signatario
período validez
+ límites uso y valor transacciones
++ documento facultativo del signatario
+++ domicilio, NIF, id. Registral, …  PSC.
- Procedimiento de revocación
- Política de seguridad y firma
Reconocimiento legal firma-e
Autoría hecho: Originalidad
Firma:
Prueba Origen (programas informáticos)
Corto plazo de validez
Prueba del receptor contra repudio del firmante
Firma y fecha firmante:
Acuse de recibo
Medio plazo
Prueba de entrega para el originador, defiende a éste contra repudio de recepción
Reconocimiento legal firma-e II
Firmado y Fechado por TTP:
Validez largo plazo
Prueba para ambos de que la firma (documento) existía antes de la fecha adjuntada por el TTP
Reconocimiento legal Firma-e III
Acreditación: Sólo el firmante lo pudo hacer
Calidad generación credenciales
Calidad claves: Longitud, dificultad reproducción
Algoritmos: hash, firma
Originalidad de las claves
Confianza en procedimiento de firma
Soporte (almacenamiento) clave privada
Consciencia de la firma
Confianza en PSC
Evolución histórica de
la firma electrónica
TELEX: EPROM fácil de suplantar, reconoc. legal
EDI: UN/EDIFACT, X.12, otros: Segura, poco usada
Fax: firma manuscrita “escaneada”, reconoc. legal
Aplicaciones Cliente/Servidor: no normalizada
Correo Electrónico: S/MIME, amplia aceptación
WwW      ->     Java: uso incipiente
Diapositiva 18
Mercado interno EU
Casos especiales
PSC emitiendo certificados acreditados al público:
Obligatoriedad de controlar via supervisión por el Gobierno del estado miembro, ejemplo:
esquema de auto-declaración, con control por organismo gubernamental o privado.
PSC emitiendo certificados para Administración pública:
El Gobierno del estado está autorizado a imponer requisitos adicionales y controlarlos via:
esquema de acreditación
esquema de auto-declaración del PSC
Esquema de Acreditación Voluntario
Directiva COM1999-626
6.1.a) Indicación de certificado reconocido
6.4 Limitación de responsabilidad a lo establecido en el propio certificado.
Reconocimiento legal
Principio general: Todas las firmas electrónicas tienen efecto legal (Art. 5.2)
Segundo principio: Algunas firmas electrónicas tienen el mismo efecto que las firmas manuscritas: las avanzadas basadas en certificados reconocidos y emitidas por PSC acreditados (Art. 5.1)
REQUISITOS DE USUARIOS
Garantías de seguridad (calidad)
Integridad: No alteraciones
Autenticidad: Es quien dice ser
No repudio: Ha hecho lo que dice
Auditabilidad: Identificación de acciones
Legalidad de las transacciones: Acreditación PSC (TTP) según legislación
Homologación: SET, ISO, EDIFACT
VULNERABILIDADES (I)
Suplantación de Identidad. (12%)
Robo de Información. (11%)
Modificación de la Información (9%)
Denegación de servicio (8% sabotaje)
“Sniffers” (6%)
Repudio
VULNERABILIDADES (II)
Suplantación de identidad.
Realizar operaciones en nombre de otro: cliente o comerciante
Una situación de este tipo permitiría a un poseedor de miles de números de tarjetas de crédito la realización de numerosas pequeñas operaciones que representen en su totalidad una cantidad significativa.
VULNERABILIDADES (III)
Modificación de información.
Alterar el contenido de ciertas transacciones: importe de una orden de pago o contenido de la orden de compra.
Modificación de catálogos (live catalogs) o pre-catálogos (staging catalogs) de venta.
VULNERABILIDADES (IV)
“Sniffers”.
Herramientas informáticas que permiten la obtención de claves de paso que permitan acceder donde se guarda la información.
Los “sniffers” permitirán la consumación de un ataque de suplantación de identidad y/o robo  o modificación de información de cliente o comerciante.
VULNERABILIDADES (V)
Repudio.
Rechazo o negación de una operación por una de las partes
Costos adicionales de facturación.
Situaciones similares se producen en el pago de cheques falsos o sin fondos.
Responsabilidad del PSC acreditado
Motivos:
Contenido incorrecto del certificado
La persona identificada en el certificado no posee los datos de creación de firma corresp.
Los datos para generar y verificar firma no se corresponden (si los ha proveido el PSC).
Excepciones:
PSC demuestra no haber sido negligente.
Certificado empleado fuera de límites.
Aplicaciones estándar
de la firma-e
CORREO SEGURO (I)
CORREO SEGURO (II)
(Estructura de Certificación)
CORREO SEGURO (III)
(Seguridad en Web)
CORREO SEGURO (IV)
(Seguridad en Web)
Productos
Key-One
http://www.safelayer.com
Baltimore
http://www.baltimore.ie
B-Safe
http://www.rsasecurity.com/
Network Associates (PGP)
http://www.nai.org/
Problemas de la seguridad en Web
Proxies mal configurados
Utilización de direcciones de correo “amistosas” en intranets
No verificación de las AC por parte de los usuarios (confianza en cualquier AC)
Firma “inconsciente” o “no autorizada” de documentos por “memorización” de contraseñas
Firma en web (I)
Firma en Web (II)
Firma en web (III)
Firma en web (IV)
Referencias
Hanbook Of Applied Cryptography
http://www.cacr.math.uwaterloo.com/hac/
Applied Cryptography
http://www.counterpane.com/applied.html
OpenSSL
http://www.openssl.org/
PGP International
http://www.pgpi.org/
Referencias
PKIX
http://www.imc.org/ietf-pkix/
SET Consortium
http://www.setco.org/
Conclusiones
La firma electrónica será admitida normalmente en juicios a partir del 2001.
Hay que definir los procedimientos de control del mercado y
los agentes de verificación de los proveedores de servicios
Permitirá firmar documentos en Internet e Intranets corporativas.