|
|
|
|
|
Conjunto de datos, en forma electrónica, anejos
o asociados a otros datos (documento), utilizados como medio para
identificar formalmente al autor(es) del documento que la recoge. |
|
Avanzada: identificación del signatario por
medios que éste mantiene bajo su exclusivo control (art.21). |
|
|
|
|
|
|
|
Cifrado con Clave Pública |
|
Basado en dificultad computacional |
|
Primitivas Idénticas a Clave Secreta |
|
Claves de Clave Pública |
|
Clave Pública |
|
Clave Privada |
|
Cifrado con clave Pública |
|
Firma con clave Privada |
|
|
|
|
|
|
Firma Digital |
|
Primitivas reversibles |
|
Dd(Ee(m))=Ee(Dd(m))=m |
|
Método general |
|
Propiedades de la firma digital con clave
pública |
|
Solamente firma quien posee la clave secreta |
|
Se puede demostrar a terceros |
|
Se basa en la preservación del secreto de la
clave secreta: |
|
Almacenamiento seguro (Tarjeta inteligente o
criptográfica) |
|
Acceso restringido (PIN, contraseña, parámetro
biométrico) |
|
Generación de claves “duras” y destrucción de
los rastros. |
|
|
|
|
|
n,e : claves públicas d : clave privada |
|
n=p *
q (p,q números primos) |
|
d*e mod ((p-1)(q-1)) = 1 |
|
Cifrado:
C=Me mod n |
|
Descifrado:
M=Cd mod n = Me*d mod n |
|
|
|
|
|
|
|
|
|
Base de los protocolos criptográficos: |
|
Números primos de 10 cifras decimales |
|
Proporciona a los mensajes |
|
Confidencialidad |
|
Integridad |
|
Acreditación de identidad |
|
Integrado en una infraestructura de clave
pública: |
|
Autoridades de certificación acreditadas |
|
|
|
|
|
|
1 Función Hash |
|
2 Firmado Hash |
|
3 Cifrado Clave Secreta |
|
4 Intercambio Claves |
|
5 Envio |
|
|
|
|
|
|
|
Interpretación de un Sobre Digital |
|
Obtención de la clave de cifrado |
|
Descifrado |
|
Al recibir un mensaje se debe dudar de todo |
|
Originante |
|
Red de transmisión |
|
Confidencialidad |
|
… |
|
Es posible demostrar la autenticidad a otros |
|
|
|
|
|
|
1 Recepción |
|
2 Intercambio Claves |
|
3 Descifrado Clave Secreta |
|
4 Función Hash |
|
5 Verificación Firma |
|
|
|
|
Signatario: Persona física. Cuenta propia o
representa p. Física o jurídica. |
|
Dispositivo de creación/verificación de firma
(seguridad: art. 19) |
|
Certificado “Reconocido”: art. 8 y 12. |
|
Prestador de servicio de certificación (PSC) |
|
Servicio de consignación de fecha y hora |
|
|
|
|
|
Acreditación “voluntaria”. |
|
Firma-e en la Administración pública:
condiciones adicionales: objetivas, razonables y no discriminatorias. |
|
Registro de PSC,s: M.Justicia, “previo”: |
|
Nombre, URL/e-mail, verificación firma-e,
acreditación (faltaría: ámbito/clientes, RC, condiciones validez firma) |
|
|
|
|
Identificación PSC y signatario |
|
firma certificado |
|
datos verificación firma signatario |
|
período validez |
|
+ límites uso y valor transacciones |
|
++ documento facultativo del signatario |
|
+++ domicilio, NIF, id. Registral, … PSC. |
|
- Procedimiento de revocación |
|
- Política de seguridad y firma |
|
|
|
|
|
|
Autoría hecho: Originalidad |
|
Firma: |
|
Prueba Origen (programas informáticos) |
|
Corto plazo de validez |
|
Prueba del receptor contra repudio del firmante |
|
Firma y fecha firmante: |
|
Acuse de recibo |
|
Medio plazo |
|
Prueba de entrega para el originador, defiende a
éste contra repudio de recepción |
|
|
|
|
|
|
Firmado y Fechado por TTP: |
|
Validez largo plazo |
|
Prueba para ambos de que la firma (documento)
existía antes de la fecha adjuntada por el TTP |
|
|
|
|
|
|
Acreditación: Sólo el firmante lo pudo hacer |
|
Calidad generación credenciales |
|
Calidad claves: Longitud, dificultad
reproducción |
|
Algoritmos: hash, firma |
|
Originalidad de las claves |
|
Confianza en procedimiento de firma |
|
Soporte (almacenamiento) clave privada |
|
Consciencia de la firma |
|
Confianza en PSC |
|
|
|
|
TELEX: EPROM fácil de suplantar, reconoc. legal |
|
EDI: UN/EDIFACT, X.12, otros: Segura, poco usada |
|
Fax: firma manuscrita “escaneada”, reconoc.
legal |
|
Aplicaciones Cliente/Servidor: no normalizada |
|
Correo Electrónico: S/MIME, amplia aceptación |
|
WwW
-> Java: uso
incipiente |
|
|
|
|
|
|
|
|
|
|
PSC emitiendo certificados acreditados al
público: |
|
Obligatoriedad de controlar via supervisión por
el Gobierno del estado miembro, ejemplo: |
|
esquema de auto-declaración, con control por
organismo gubernamental o privado. |
|
|
|
PSC emitiendo certificados para Administración
pública: |
|
El Gobierno del estado está autorizado a imponer
requisitos adicionales y controlarlos via: |
|
esquema de acreditación |
|
esquema de auto-declaración del PSC |
|
|
|
|
|
|
6.1.a) Indicación de certificado reconocido |
|
6.4 Limitación de responsabilidad a lo
establecido en el propio certificado. |
|
|
|
|
Principio general: Todas las firmas electrónicas
tienen efecto legal (Art. 5.2) |
|
Segundo principio: Algunas firmas electrónicas
tienen el mismo efecto que las firmas manuscritas: las avanzadas basadas en
certificados reconocidos y emitidas por PSC acreditados (Art. 5.1) |
|
|
|
|
|
|
Integridad: No alteraciones |
|
Autenticidad: Es quien dice ser |
|
No repudio: Ha hecho lo que dice |
|
Auditabilidad: Identificación de acciones |
|
Legalidad de las transacciones: Acreditación PSC
(TTP) según legislación |
|
Homologación: SET, ISO, EDIFACT |
|
|
|
|
Suplantación de Identidad. (12%) |
|
Robo de Información. (11%) |
|
Modificación de la Información (9%) |
|
Denegación de servicio (8% sabotaje) |
|
“Sniffers” (6%) |
|
Repudio |
|
|
|
|
|
Suplantación de identidad. |
|
Realizar operaciones en nombre de otro: cliente
o comerciante |
|
Una situación de este tipo permitiría a un
poseedor de miles de números de tarjetas de crédito la realización de
numerosas pequeñas operaciones que representen en su totalidad una cantidad
significativa. |
|
|
|
|
|
Modificación de información. |
|
Alterar el contenido de ciertas transacciones:
importe de una orden de pago o contenido de la orden de compra. |
|
Modificación de catálogos (live catalogs) o
pre-catálogos (staging catalogs) de venta. |
|
|
|
|
|
“Sniffers”. |
|
Herramientas informáticas que permiten la
obtención de claves de paso que permitan acceder donde se guarda la
información. |
|
Los “sniffers” permitirán la consumación de un
ataque de suplantación de identidad y/o robo o modificación de información de cliente o comerciante. |
|
|
|
|
|
Repudio. |
|
Rechazo o negación de una operación por una
de las partes |
|
Costos adicionales de facturación. |
|
Situaciones similares se producen en el pago de
cheques falsos o sin fondos. |
|
|
|
|
|
Motivos: |
|
Contenido incorrecto del certificado |
|
La persona identificada en el certificado no
posee los datos de creación de firma corresp. |
|
Los datos para generar y verificar firma no se
corresponden (si los ha proveido el PSC). |
|
Excepciones: |
|
PSC demuestra no haber sido negligente. |
|
Certificado empleado fuera de límites. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Key-One |
|
http://www.safelayer.com |
|
Baltimore |
|
http://www.baltimore.ie |
|
B-Safe |
|
http://www.rsasecurity.com/ |
|
Network Associates (PGP) |
|
http://www.nai.org/ |
|
|
|
|
Proxies mal configurados |
|
Utilización de direcciones de correo “amistosas”
en intranets |
|
No verificación de las AC por parte de los
usuarios (confianza en cualquier AC) |
|
Firma “inconsciente” o “no autorizada” de
documentos por “memorización” de contraseñas |
|
|
|
|
|
|
|
|
|
|
|
|
|
Hanbook Of Applied Cryptography |
|
http://www.cacr.math.uwaterloo.com/hac/ |
|
Applied Cryptography |
|
http://www.counterpane.com/applied.html |
|
OpenSSL |
|
http://www.openssl.org/ |
|
PGP International |
|
http://www.pgpi.org/ |
|
|
|
|
|
PKIX |
|
http://www.imc.org/ietf-pkix/ |
|
SET Consortium |
|
http://www.setco.org/ |
|
|
|
|
La firma electrónica será admitida normalmente
en juicios a partir del 2001. |
|
Hay que definir los procedimientos de control
del mercado y |
|
los agentes de verificación de los proveedores
de servicios |
|
Permitirá firmar documentos en Internet e
Intranets corporativas. |
|