CERTIFICADOSYFIRMASDIGITALES Certificados digitales o redes de confianza Los certificados digitales representan el punto ms importantes en las transacciones electrnicas seguras.

Estos brindan una forma conveniente y fcil de asegurar que los participantes en una transaccin electrnica puedan confiar el uno en el otro. Esta confianza se establece a travs de un tercero llamado Autoridades Certificadoras. Para poder explicar el funcionamiento de los certificados se expone el siguiente ejemplo:
y

Blanca quiere poder mandar mensajes a No y que ste sepa que ella es ciertamente la emisora del mismo. Para ello, consigue un certificado de una Autoridad Certificadora. Es decir, la Autoridad Certificadora va a entregar a Blanca un Certificado digital personalizado que le va a permitir identificarse ante terceros. Dicho certificado debe guardarlo en lugar seguro, es el smil al Documento Nacional de Identidad. Blanca genera su mensaje envindolo a No junto con la copia pblica de su certificado. No recibe el mensaje de Blanca junto con su certificado, quien considera Autentificado el autor tras comprobar que viene acompaado por una Autoridad Certificadora reconocida por l.

Pero, que son exactamente los Certificados Digitales ?. En pocas palabras, los certificados digitales garantizan que dos computadoras que se comunican entre s puedan efectuar transacciones electrnicas con xito. La base de esta tecnologa reside en los cdigos secretos o en la encriptacin. La encriptacin garantiza la confidencialidad, la integridad y la autenticidad de la informacin que se desea transmitir y que tiene vital importancia para la persona o empresa. El procedimiento de encriptacin es sencillo. Un mensaje puede pasar por un proceso de conversin o de encriptacin, que lo transforma en cdigo usando una clave ,es decir, un medio de traducir los signos de un mensaje a otro sistema de signos cuya lectura no tenga ningn sentido para un desconocido que los intercepte. Esto se conoce como el proceso de encriptacin de un mensaje. Un ejemplo sencillo de una clave puede ser el reemplazar cada letra con la prxima letra del alfabeto. As la Palabra VISA se convertira en WJTB. Para descifrar el mensaje o revertir la encriptacin el que lo recibe necesita conocer la clave secreta ( o sea el certificado digital). Los tipos de certificados digitales que existen actualmente son:
y y

Certificados de Servidor (SSL : Capa de zcalos seguro) Microsoft Server GatedCryptographyCertificates (Certificados de CGC-una extensin del protocolo SSL- ofrecida por Microsoft). Certificados Canalizadores.
Ing. Cristiam Lpez de la Cruz Pgina 1

Seguridad de la Informacin

y y y

Certificados de Correo Electrnico. Certificados de Valoracin de pginas WEB. Certificados de Sello, Fecha y Hora

Encriptacin de Clave Secreta La codificacin o encriptacin de clave secreta resulta til en muchos casos, aunque tiene limitaciones significativas. Todas las partes deben conocerse y confiar totalmente la uno y en la otra. Cada una de ellas debe poseer una copia de la clave, una copia que haya sido protegida y mantenida fuera del alcance de los dems. Por s solo, este tipo de encriptacin no es suficiente para desarrollar el pleno potencial de las transacciones electrnicas. De un lado, resulta poco prctico que una gran corporacin intercambie claves con miles o incluso millones de personas o, peor todava, con aquellas con las que nunca a tratado.

Encriptacin de Clave Pblica La solucin a la seguridad en toda red abierta es una forma de codificacin ms novedosa y sofisticada, desarrollada por los matemticos de MIT en los Aos 70, y conocida como Clave Pblica. En este tipo de enfoque cada participante crea dos claves o Llaves nicas. Por ejemplo, se dispone de una clave pblica, que se publica en un tipo de directorio al que el pblico en general tiene acceso. Entonces la persona dispone adems de su clave o llave privada que mantiene en secreto. Las dos claves funcionan conjuntamente como un curioso do. Cualquier tipo de datos o informacin que una de las claves Cierre, solo podr abrirse con la otr Por a. ejemplo, se desea enviar a un amigo un mensaje que no se desea que ningn intruso lea. Simplemente, se busca la clave pblica del amigo y se utiliza para realizar la encriptacin del texto. Luego, cuando l lo recibe utiliza su clave privada para revertir la encriptacin del mensaje en la pantalla de la computadora y aparece el mensaje en forma de texto normal y corriente. Si un extrao interceptara este mensaje, no podra descifrarlo por que no tendra la clave privada del amigo. Las claves consisten en una serie de seales electrnicas guardadas en las unidades de disco de las computadoras personales, o transmitidas como datos a travs de las lneas telefnicas siguiendo lo especificado en los estndares de la industria. El trabajo ms difcil -el complejo proceso matemtico de encriptacin del texto y su opuesto- lo realiza la computadora.

Seguridad de la Informacin

Ing. Cristiam Lpez de la Cruz

Pgina 2

Firmas Digitales o Sobres Electrnicos Con el Certificado digital se permite garantizar que el autor del mensaje es quien realmente dice ser. Es decir, se garantiza que el receptor pueda verificar que el documento ha sido enviado por el autor, que el autor no pueda negar la realizacin del documento, y que el receptor no pueda altera su contenido. Por ejemplo, cuando un usuario A genera un mensaje para un usuario B, lo encripta junto con su certificado. Opcionalmente puede protegerlo con la clave pblica del usuario B. Esto es lo que se llama Firmar Digitalmente o construir lo que se denomina un Sobre electrnico. Nadie puede modificar el contenido del mensaje sin destruir el certificado del emisor, lo que garantice la inviolabilidad del mismo. Las firmas digitales son bloques de datos que han sido codificados con una llave secreta y que se pueden decodificar con una llave pblica; son utilizadas principalmente para verificar la autenticidad del mensaje o la de una llave pblica . Los tipos de Firmas son :
y y

Firmas Digitales Firmas de Cdigos ( Objeto/Serie de caracteres[String])

Suplantacin o Spoofing Cuando recibimos un mensaje de correo con un remitente determinado, Como sabemos que esa persona es la que realmente dice ser?, muchos problemas derivan de la suplantacin de la identificacin , no siendo muy complicado reescribir el remitente de un mail corriente por cualquier aficionado. Pero, el problema puede tomar dimensiones catastrficas cuando se efecta una compra a nuestro cargo por un valor de millones de pesos... cabe entonces cierta reflexin. El sistema de clave pblica garantiza la identificacin del usuario. El banco puede solicitar la identidad del usuario solicitando un mensaje codificado con la clave privada del usuario. Como la entidad posee la clave pblica del cliente, podr descifrarla, determinando la validez de la identificacin. Si es otra persona quien codifica la informacin, la clave privada ser diferente y el banco no ser capaz de identificar al usuario como tal, aludiendo el error a un mtodo de suplantacin.

Seguridad de la Informacin

Ing. Cristiam Lpez de la Cruz

Pgina 3

Autoridades Certificadoras Las autoridades certificadoras son organismos reconocidos por la comunidad Internauta sobre los que descansa toda la seguridad de este proceso de certificacin, el smil habitual es el de los notarios. Es decir, la autoridad certificadora entrega un certificado digital personalizado a un individuo que le permitir identificarse ante terceros.
y y y y

IPS RSA VERISIGN Agencia de Certificacin Electrnica ( ACE ).

Es una organizacin privada, creada con capital de Telefona y las organizaciones de medios de pago espaolas (CECA y sistema 4B), con el objetivo de generar certificados VISA y MASTER CARD para su utilizacin en transacciones de protocolo SET.

Protocolos de Certificacin SET ( SecureElectronicTransaction) Desarrollado por VISA y MASTER CARD, con el apoyo y asistencia GTE, IBM, Microsoft, NetScape, SAIC, Terisa y Verisign, el protocolo SET o Transaccin Electrnica Segura,esta diseada con el propsito de asegurar y autenticar la identidad de los participantes en las compras abonadas con tarjetas de pago en cualquier tipo de red en lnea, incluyendo Internet. Al emplear sofisticadas tcnicas criptogrficas, SET convertir el Ciberespacio en un lugar ms seguro para efectuar negocios, y con su implementacin se espera estimular la confianza del consumidor en el comercio electrnico. El objetivo primordial de SET es mantener el carcter estrictamente confidencial de la informacin, garantizar la integridad del mensaje y autenticar la legitimidad de las entidades o personas que participan en una transaccin. La secuencia de procesos esta expresamente diseada para que no difiera de la utilizada en el comercio convencional:
y

Envo de la orden de pedido al comerciante, junto con informacin sobre las instrucciones de pago. Solicitud de autorizacin del comerciante a la institucin financiera del comprador. Confirmacin de la orden por parte del comerciante.

Seguridad de la Informacin

Ing. Cristiam Lpez de la Cruz

Pgina 4

Solicitud de reembolso del comerciante a la institucin financiera del comprador.

Por lo tanto, el protocolo SET debe:

y

Proporcionar la autentificacin necesaria entre compradores, comerciantes e instituciones financieras. Garantizar la confidencialidad de la informacin sensible (nmero de tarjeta o cuenta, fecha de caducidad, etc.) Preservar la integridad de la informacin que contiene tanto la orden de pedido como las instrucciones de pago. Definir los algoritmos criptogrficos y protocolos necesarios para los servicios anteriores.

Y la forma como implementa todos los procesos de autentificacin, confidencialidad e integridad enunciados anteriormente, constituye el ncleo de SET :
y

La confidencialidad ( no vulnerabilidad de la informacin ) conteniendo los datos para realizar el pago, tales como el nmero de cuenta o tarjeta y su fecha de caducidad) se alcanza mediante la encriptacin de los mensajes . La integridad de los datos conteniendo las instrucciones de pago garantizando que no han sido modificados a lo largo de su trayecto, se consigue mediante el uso de firmas digitales. La autentificacin del comerciante, garantizando que mantiene una relacin comercial con una institucin financiera que acepta el pago mediante tarjetas se consigue mediante la emisin de certificados para el comerciante y las correspondientes firmas digitales. La autentificacin del comprador, como usuario legtimo de la tarjeta o cuenta sobre la que se instrumenta el pago del bien o servicio adquirido, se consigue mediante la emisin de certificados y la generacin de firmas digitales.

PGP ( Enterprice Security ) PGP es una solucin adaptable y compatible entre plataformas, que permite a los usuarios proteger la correspondencia electrnica, las transacciones en lnea y los archivos de datos mediante su cifrado de forma que nicamente los destinatarios previstos puedan descifrar su contenido. Dado que los productos PGP contienen slo complejos algoritmos criptogrficos y longitudes claves, ofrecen una proteccin definitiva asegurando los datos almacenados en los ordenadores y transmitidos por Intranets e Internet. Para una mayor seguridad,

Seguridad de la Informacin

Ing. Cristiam Lpez de la Cruz

Pgina 5

PGP incorpora una gran capacidad de Firma digital que verifica la propiedad e integridad de los documentos. Incluye una suite completa de herramientas de generacin de claves y administracin que proporcionan a los encargados de la seguridad un control flexible sobre las polticas de seguridad empresariales. PGP es tan fcil de utilizar que incluso los usuario poco expertos pueden aprender a cifrar, descifrar, crear firmas digitales y verificar mensajes y archivos en cuestin de minutos. Asimismo, como funciona de forma uniforme con herramientas de productividad, aplicaciones de correo electrnico y sistemas operativos conocidos, se puede instalar fcilmente en toda una organizacin. SSL (Secure Socket Layout) Este sistema de Encriptacin se basa en llaves pblicas y es utilizado por la mayora de los Browsers para transmitir informacin de manera segura. SSL no autentifica quin enva o recibe la informacin, solo protege los datos enviados mientras viajan por Internet.

Seguridad de la Informacin

Ing. Cristiam Lpez de la Cruz

Pgina 6

CONCLUSIONES

Firma digital Se dice firma digital a un esquema matemtico que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrnico. Una firma digital da al destinatario seguridad en que el mensaje fue creado por el remitente, y que no fue alterado durante la transmisin. Las firmas digitales se utilizan comnmente para la distribucin de software, transacciones financieras y en otras reas donde es importante detectar la falsificacin y la manipulacin. Consiste en un mtodo criptogrfico que asocia la identidad de una persona o de un equipo informtico al mensaje o documento. En funcin del tipo de firma, puede, adems, asegurar la integridad del documento o mensaje. La firma electrnica, como la firma holgrafa (autgrafa, manuscrita), puede vincularse a un documento para identificar al autor, para sealar conformidad (o disconformi ad) d con el contenido, para indicar que se ha ledo y, en su defecto mostrar el tipo de firma y garantizar que no se pueda modificar su contenido. La teora La firma digital de un documento es el resultado de aplicar cierto algoritmo matemtico, denominado funcin hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operacin anterior, generando la firma electrnica o digital. El software de firma digital debe adems efectuar varias validaciones, entre las cuales podemos mencionar:
y y y

Vigencia del certificado digital del firmante, Revocacin del certificado digital del firmante (puede ser por OCSP o CRL), Inclusin de sello de tiempo.

La funcin hash es un algoritmo matemtico que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola direccin, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la funcin es un nmero que identifica inequvocamente al texto. Si se adjunta este nmero al texto, el destinatario puede aplicar de nuevo la funcin y comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no estn pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la funcin de calcular el valor hash como su verificacin posterior.

Seguridad de la Informacin

Ing. Cristiam Lpez de la Cruz

Pgina 7

La Ley de firma digital en Per En el Per se ha dictado la Ley de Firmas y Certificados Digitales (Ley 27269), la cual regula la utilizacin de la firma electrnica, otorgndole la misma validez y eficacia jurdica que el uso de una firma manuscrita u otro anloga que conlleve manifestacin de voluntad.

Seguridad de la Informacin

Ing. Cristiam Lpez de la Cruz

Pgina 8

Certificado digital Un certificado digital (tambin conocido como certificado de clave pblica o certificado de identidad) es un documento digital mediante el cual un tercero confiable (una autoridad de certificacin) garantiza la vinculacin entre la identidad de un sujeto o entidad (por ejemplo: nombre, direccin y otros aspectos de identificacin) y una clave pblica. Este tipo de certificados se emplea para comprobar que una clave pblica pertenece a un individuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmante del certificado (una autoridad de certificacin, por ejemplo) que la informacin de identidad y la clave pblica perteneciente al usuario o entidad referida en el certificado digital estn vinculadas. Un aspecto fundamental que hay que entender es que el certificado para cumplir la funcin de identificacin y autenticacin necesita del uso de la clave privada (que slo el titular conoce). El certificado y la clave pblica se consideran informacin no sensible que puede distribuirse perfectamente a terceros. Por tanto el certificado sin ms no puede ser utilizado como medio de identificacin, pero es pieza imprescindible en los protocolos usados para autenticar a las partes de una comunicacin digital, al garantizar la relacin entre una clave pblica y una identidad. El ejemplo por excelencia es la firma electrnica: aqu el titular tiene que utilizar su clave privada para crear una firma electrnica. A esta firma se le adjuntar el certificado. El receptor del documento que quiera comprobar la autenticidad de la identidad del firmante necesitar la clave pblica que acompaa al certificado para que a travs de una serie de operaciones criptogrfica se comprueba que es la pareja de la clave privada utilizada en la firma. Es esta operacin de asociacin al dato secreto del firmante lo que har la funcin de comprobar su identidad. Si bien existen variados formatos para certificados digitales, los ms comnmente empleados se rigen por el estndar UIT-TX.509. El certificado debe contener al menos lo siguiente:
y y y y

La identidad del propietario del certificado (identidad a certificar), La clave pblica asociada a esa identidad, La identidad de la entidad que expide y firma el certificado, El algoritmo criptogrfico usado para firmar el certificado.

Los dos primeros apartados son el contenido fundamental del certificado (identidad y clave pblica asociada), en tanto que los otros dos son datos imprescindibles para poder validar el certificado. Esta informacin se firma de forma digital por la autoridad emisora del certificado. De esa forma, el receptor puede verificar que esta ltima ha establecido realmente la asociacin.

Seguridad de la Informacin

Ing. Cristiam Lpez de la Cruz

Pgina 9

Formato de certificado digital Un certificado emitido por una entidad de certificacin autorizada, adems de estar firmado digitalmente por sta, debe contener por lo menos lo siguiente:
y y y y y y y

Nombre, direccin y domicilio del suscriptor. Identificacin del suscriptor nombrado en el certificado. El nombre, la direccin y el lugar donde realiza actividades la entidad de certificacin. La clave pblica del usuario. La metodologa para verificar la firma digital del suscriptor impuesta en el mensaje de datos. El nmero de serie del certificado. Fecha de emisin y expiracin del certificado.

Emisores de certificados En Per, el Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual.

Seguridad de la Informacin

Ing. Cristiam Lpez de la Cruz

Pgina 10

10 consejos para navegar seguro por Internet.

Evitar los enlaces sospechosos: l ti iti li i l i t i l i i l t t t j i l: l l it i i it i j l i it t i l No acceder a i l t i l i i t t i l lti t t t t sitios web de iti i t it i i i t j i l tili l l t li i i i it i i i ti t iti l i it i t l i t t i i li t l

dudosa reputaci n: t l i t l i t i l l i l it i

t t

i t ti i

ll

i t t ti

i l i l t li l i

Actuali ar el sistema operativo y aplicaciones: l i t li l lti i l l it t i l t i t l l it i it l i t l l ili l it Descargar aplicaciones desde sitios web oficiales: l lt ii ti l ti l l i i l i t l l it l li i l i l i i i l Utili ar tecnologas de seguridad: l l i t l li i i t t l i i l t t tili l i i i t iti l t li i l l t i l

t ti i

i t

ti i i ll ti t i l i t l t t l i i

Evitar el ingreso de informaci n personal en formularios dudosos : i t l i t i i j l i t l ii l l iti i t t i l i i l tili i l t l ti l i i li l i i t t i i i t t t i i i l t l i ti i Tener precauci n con los resultados arrojados por buscadores web t : i Bl k t l t t l i i iti i l l lt l i l t l
e la I r aci I g. Cristiam L ez de la Cruz

l i l l iti i l i

Seguri

P gi a 11

bsquedas de palabras clave muy utili adas por el pblico, como temas de actualidad, noticias extravagantes o temticas populares (como por ejemplo, el deporte y el sexo). Ante cualquiera de estas bsquedas, el usuario debe estar atento a los resultados y veri icar a qu sitios web est siendo enlazado. Aceptar slo contactos conocidos: tanto en los clientes de mensajera instantnea como en redes sociales, es recomendable aceptar e interactuar slo con contactos conocidos. De esta manera se evita acceder a los perfiles creados por l s atacantes para o comunicarse con las vctimas y exponerlas a diversas amenazas como malware, phishing, cyberbullying u otras. Evitar la ejecucin de archivos sospechosos la propagacin de malware suele : realizarse a travs de archivos ejecutables. Es recomendable evitar la ejecucin de archivos a menos que se conozca la seguridad del mismo y su procedencia sea confiable (tanto si proviene de un contacto en la mensajera ins tantnea, un correo electrnico o un sitio web). Cuando se descargan archivos de redes P2P, se sugiere analizarlos de modo previo a su ejecucin con un una solucin de seguridad. Utili ar contraseas fuertes: muchos servicios en Internet estn protegidos con una clave de acceso, de forma de resguardar la privacidad de la informacin. Si esta contrasea fuera sencilla o comn (muy utilizada entre los usuarios) un atacante podra adivinarla y por lo tanto acceder indebidamente como si fuera el usuario verdadero. Por este motivo se recomienda la utilizacin de contraseas fuertes, con distintos tipos de caracteres y una longitud de al menos 8 caracteres. Como siempre, las buenas prcticas sirven para aumentar el nivel de proteccin y son el mejor acompaamiento para las tecnologas de seguridad. Mientras estas ltimas se encargan de prevenir ante la probabilidad de algn tipo de incidente, la educacin del usuario lograr que este se exponga menos a las amenazas existentes, algo que de seguro cualquier lector desear en su uso cotidiano de Internet.

Seguridad de la I

rmaci

I g. Cristiam L

ez de la Cruz

P gi a 12