Documente Academic
Documente Profesional
Documente Cultură
* Seguridad Informtica *
Unidad 4 Grupo 2
Vctor Domnguez Maxi Roln Guillermo Garca
Daro Sanchez
INDICE
ndice de contenido
INDICE.................................................................................................1
FIRMA DIGITAL......................................................................................2
INTRODUCCIN...............................................................................2
QU ES LA FIRMA DIGITAL?.............................................................2
Definiciones bsicas......................................................................2
Aclaraciones.............................................................................3
Los 3 principios bsicos de la Firma Digital.......................................3
Autenticidad del Emisor..............................................................3
Integridad del Mensaje...............................................................3
No repudio...............................................................................3
Propiedades de la Firma Digital.......................................................3
Requerimientos de la Firma Digital..................................................4
CMO FUNCIONA LA FIRMA DIGITAL?...............................................4
Crear una Firma Digital..................................................................4
Enviar Mensaje Firmado Digitalmente..............................................5
Verificar Firma Digital....................................................................5
Circuito completo..........................................................................6
PGP / GPG.............................................................................................8
QU ES PGP?.................................................................................8
Definiciones.................................................................................8
Motivos por el cual es tan usado..................................................8
Formato de los certificados PGP...................................................9
CMO FUNCIONA?..........................................................................9
Resumen de Servicios de PGP.........................................................9
Secuencia de pasos.....................................................................10
QUE ES GPG?...............................................................................11
Definicin..................................................................................11
BIBLIOGRAFA.....................................................................................12
Pgina 1
FIRMA DIGITAL
INTRODUCCIN
Hasta ahora, todas las tcnicas de encriptacin protegen al emisor y
receptor de que un tercero pueda acceder a la informacin, pero NO los
protege entre ellos, es decir, no protege las dos partes entre si mismas. En un
documento en papel, podemos confirmar de diversas formas que la firma es
realmente del emisor firmante, ms an si lo vemos mientras firma, y as
validar el documento. Sin embargo, en un documento digital esto no es tan
simple. Aqu es donde entra en juego la Firma Digital
QU ES LA FIRMA DIGITAL?
Definiciones bsicas
Es un mecanismo de autenticacin que permite que el creador de un
mensaje adjunte un cdigo nico que acta como firma. Generalmente la firma
se forma tomando el 'hash' del mensaje y encriptando todo el mensaje con la
'llave privada' del creador del mismo. La firma garantiza la fuente y la
integridad del mensaje. (C&NSPP)1
Es un mecanismo criptogrfico que permite al receptor de un mensaje
firmado digitalmente determinar la entidad originadora de dicho mensaje
(autenticacin de origen y no repudio), y confirmar que el mensaje no ha sido
alterado desde que fue firmado por el originador (integridad). La firma digital
se aplica en aquellas reas donde es importante poder verificar la autenticidad
y la integridad de ciertos datos, por ejemplo documentos electrnicos o
software, ya que proporciona una herramienta para detectar la falsificacin y la
manipulacin del contenido. (Wikipedia)2
Es un valor computado con un algoritmo y asociado con un objeto de dato
de tal forma que cualquier receptor de los datos puede usar la firma para
verificar el origen y la integridad de los datos (RFC4949) 3
Es en concreto una modalidad de firma electrnica, resultado de una
operacin matemtica que utiliza algoritmos de criptografa asimtrica (llave
publica / llave privada) y permite inferir, con seguridad, el origen y la
integridad del documento.
1
2
3
Cryptography and Network Security Principles and Practice, 5th Edition William Stallings
Wikipedia (http://es.wikipedia.org/wiki/Firma_digital)
RFC4949, Internet Security Glossary (http://tools.ietf.org/html/rfc4949)
Pgina 2
Aclaraciones
Cabe aclarar que la Firma Digital no garantiza la proteccin del contenido
del mensaje, slo su autenticidad. Para proteger el contenido, tendremos que
usar alguna de las tcnicas de encriptacin combinada con la firma digital y el
documento.
Tampoco debe confundirse 'firma digital' con 'firma electrnica'; esta
ltima representa ya una certificacin legal y aplicacin jurdica de diversas
herramientas (la 'firma digital' includa) para autenticar documentos o
transacciones digitales. Es un concepto jurdico equivalente digital a la firma
manuscrita.
En la Argentina, la firma digital es legislada en la ley 25506 de la
Repblica Argentina. Fue sancionada en noviembre de 2001 y promulgada en
el mismo ao. Curiosamente, la ley distingue a la firma digital de la firma
electrnica, siendo la primera la de mayor peso jurdico.
No repudio
Se refiere a que el emisor no puede negar que l realiz la transaccin
firmada digitalmente, ya que slo l posee el certificado digital con la llave
privada con que se gener la firma digital, y ste certificado est protegido.
Pgina 3
La firma debe ser un patrn de bits que depende del mensaje a ser
firmado.
La firma debe usar alguna informacin nica propia del emisor, para
prevenir tanto la denegacin como
Debe ser relativamente de producir la firma digital.
Debe ser relativamente fcil de reconocer y verificar la firma digital.
Debe ser comutacionalmente no factible forjar una firma digital ni
construir un nuevo mensaje para una firma digital existente, o bien
construir una firma digital fraudulenta para un mensaje dado.
Pgina 4
Mensaje original
Firma Digital
Pgina 5
Circuito completo
Para resumir y aclarar el circuito completo de generacin, envo y verificacin
de un documento firmado digitalmente, veremos los siguientes grficos:
Pgina 6
Pgina 7
PGP / GPG
QU ES PGP?
Definiciones
PGP son las siglas de Pretty Good Privacy (privacidad bastante buena)
PGP es un programa desarrollado por Phil Zimmermann cuya finalidad es
proteger la informacin distribuida a travs de Internet mediante el uso de
criptografa de clave pblica, as como facilitar la autenticacin de documentos
gracias a firmas digitales. (Wikipedia)4
Es un programa de encriptacin de llave pblica, que fue adhiriendo
adeptos y se transform en un estndar 'de-facto' para la encriptacin de
emails (correo electrnico) en Internet. ste est disponible para mltiples
sistemas operativos.5
PGP es un sistema de criptografa hbrido, que provee un servicio de
confidencialidad y autenticacin que puede ser usado para correo electrnico y
aplicaciones de almacenamiento de archivos. Zimmermann lo logr as:
Eligi los mejores algoritmos criptogrficos disponibles
Integr estos algoritmos en una aplicacin de propsito general que es
independiente del sistema operativo y del procesador, basado en un
pequeo conjunto de comandos fciles de usar.
Hizo el paquete y su documentacin, incluyendo el cdigo fuente,
disponible gratuitamente en Internet.
PGP creci explosivamente y ahora es ampliamente utilizado. 6
4
5
6
Wikipedia (http://es.wikipedia.org/wiki/PGP)
PGPi (http://www.pgpi.org/doc/overview/)
Cryptography and Network Security Principles and Practice, 5th Edition William Stallings
Pgina 8
CMO FUNCIONA?
Resumen de Servicios de PGP
PGP consiste de 4 servicios, detallados completamente en el siguiente cuadro:
Servicios
Funciones
Algoritmo usado
Descripcin
Autenticacin
Firma Digital
DSS/SHA1
RSA/SHA1
Confidencialidad
Encriptacin
del mensaje
El mensaje es encriptado
CAST / IDEA / 3DES
con Diffie-Hellman usando CAST-128, IDEA o 3DES
con una llame de sesin de una
o RSA
Compresin
Comprimir
ZIP
Compatibilidad
de e-mail
Compatibilidad
Radix-64
Pgina 9
Secuencia de pasos
1. El emisor genera un mensaje y un nmero al azar de 128 bits, para ser
usado como llave de sesin, slo para este mensaje
2. El mensaje es encriptado usando CAST-128 (o IDEA o 3DES) con la llave
de sesin.
3. La llave de sesin es encriptada con RSA usando la llave pblica y es
adjuntada al mensaje
4. El receptor usa RSA con su llave privada para desencriptar y recuperar la
llave de sesin.
5. La llave de sesin es usada para desencriptar el mensaje.
Pgina 10
DESENCRIPTADO
QUE ES GPG?
Definicin
GPG (GNU Privacy Guard) es una herramienta de cifrado y firmas
digitales, que viene a ser un remplazo de PGP, pero con la principal diferencia
que es Software Libre con licencia GPL. Utiliza el estndar del IETF denominado
OpenPGP. Es un sistema en linea de comandos, con algunas implementaciones
(externas) grficas. (Wikipedia)7
Wikipedia - (http://es.wikipedia.org/wiki/GNU_Privacy_Guard)
Pgina 11
BIBLIOGRAFA
Wikipedia www.wikipedia.org
PGPi - http://www.pgpi.org/doc/overview/
GnuGP - http://www.gnupg.org/
Pgina 12