INFRAESTRUCTURA

DE
CLAVE PUBLICA
INFRAESTRUCTURA DE CLAVE PUBLICA
Una PKI (del ingls, Public Key Infrastructure)
engloba todo el software y componentes de
hardware junto con los usuarios, polticas y
procedimientos de seguridad que permiten la
ejecucin con garantas de operaciones
criptogrficas como el cifrado, la firma digital
o el no repudio de transacciones electrnicas
El objetivo principal de la PKI es la gestin
eficiente y confiable de las claves
criptogrficas y los certificados que pueden
ser utilizados para propsitos de:
autenticacin, integridad, confidencialidad
y no repudio.
Autenticacin Integridad
Confidencialidad
NO repudio
Componentes de una PKI
Autoridades de Certificacin (CAs): Entidad encargada de
generar los certificados a partir de las solicitudes, firmarlos
y almacenarlos en un repositorio de acceso pblico.
Autoridades de Registro (RAs): Entidad encargada de
verificar los datos de quienes solicitan un certificado,
generar la solicitud de certificacin y enviarla a la CA.
Partes utilizadoras: Verifican certificados y firmas.
Repositorios (Directorios): Almacenan y distribuyen
certificados y estados: expirado, revocado, etc
Titulares de Certificados: Entidades finales /Usuarios
/Suscriptores.
Autoridad de Validacin (opcional): Suministra informacin
de forma online (en tiempo real) acerca del estado de un
certificado.
Componentes de una PKI
Proveedores de tecnologa de PKI
CERTISUR
CertiSur, lider en la regin en tecnologa de PKI, provee a
sus clientes de todos los elementos de software, hardware
y legales que permiten la creacin de una Infraestructura
de Clave Pblica acorde a las exigencias del mercado o
reglamentarias.
CertiSur es una empresa dedicada a tecnologa de Clave
Pblica y cuenta con todos los proveedores lderes
mundiales para proveer cualquier tipo de solucin, que
permiten a una empresa emitir los certificados, validar las
operaciones e integrarlo a los circuitos de uso de manera
rpida y eficiente.
Los Servicios Profesionales de CertiSur aplican su
conocimiento para el desarrollo de una Infraestructura de
Clave Pblica o Autoridades Certificantes haciendo uso de
diversas tecnologas provistas por los socios de negocio.
Gracias a ser uno de los Afiliados de VeriSign, CertiSur
implementa Autoridades Certificantes en modalidad de
servicio (Managed PKI)

SAFE LAYER
KeyOne de Safelayer es una familia de productos diseada para generar y
utilizar certificados digitales. Los componentes de KeyOne tienen una
arquitectura distribuida y escalable que permite desarrollar cualquier
modelo de confianza basado en certificacin. La plataforma PKI de Safelayer
KeyOne- es una de las ms completas y probadas del mercado. Incluye
todos los componentes para la gestin de los certificados y garantiza la
escalabilidad para la gestin de PKIs crticas de grandes volmenes.
Los productos KeyOne se usan en numerosos proyectos gubernamentales,
Prestadores de Servicios de Certificacin y grandes corporaciones en
distintos pases de EMEA y LATAM, tales como Alemania, Andorra, Blgica,
Colombia, Espaa, Francia, Estonia, Marruecos, Paraguay, Panam,
Portugal, Tnez o Uruguay.

CERTIFICADOS
Un certificado digital es un documento
digital mediante el cual un tercero
confiable (una autoridad de certificacin)
garantiza la vinculacin entre la identidad
de un sujeto o entidad y su clave pblica.
SEGURIDAD DE CERTIFICADOS
TOKEN
Da a un usuario autorizado de un
servicio computarizado para facilitar
el proceso de autenticacin.
TOKEN DE SEGURIDAD
Almacena claves criptogrficas
FIRMAS
DIGITALES
DATOS
BIOMTRICOS
Algunos diseos se hacen a prueba de
alteraciones, otros pueden incluir
teclados para la entrada de un PIN.
TIPOS DE CERTIFICADOS
Acredita la identidad del titular.
Adems de la identidad del titular
acredita su vinculacin con la entidad
para la que trabaja.
Adems de la pertenencia, acredita
tambin los poderes de representacin
que el titular tiene sobre la empresa.
Identifica una empresa o sociedad como
tal a la hora de realizar trmites ante las
administraciones o instituciones.
Permite identificar una cualidad, estado
o situacin. Este tipo de certificado va
asociado al certificado personal.
TIPOS DE CERTIFICADOS
Utilizado en los servidores web que
quieren proteger ante terceros el
intercambio de informacin con los
usuarios.
Para garantizar la autora y la no
modificacin del cdigo de aplicaciones
informticas.
Adems, existen otros tipos de certificado digital utilizados
en entornos ms tcnicos:
LEGISLACION
Estndares Europeos
ETSI TS 102 042: Policy requirements for certification
authorities issuing public key certificates
ETSI TS 102 023: Policy requirements for time-stamping
authorities
ETSI TS 101 862: Qualified Certificate profile
ETSI TS 101 456: Policy requirements for certification
authorities issuing qualified certificates
CWA 14167-2 Security Req. for Trustworthy Systems
Managing Certificates for Electronic Signatures
CWA 14172 EESSI Conformity Assessment Guidance
(Gua para aplicar los estndares de firma
electrnica de acuerdo con la iniciativa de
estandarizacin europea)
NORMATIVA BOLIVIANA
Bolivia an no tiene legislacin sobre la firma digital a travs de
Internet
Mediante el proyecto de Ley de Telecomunicaciones, se planea
reconocer lcitamente las acciones legales efectuadas a travs de
documentos y firmas digitales por medios electrnicos.

RESOLUCION DE DIRECTORIO N 086/2004
PROYECTO DE
REGLAMENTO DE FIRMA
DIGITAL PARA EL SISTEMA
DE PAGOS
Artculo 1. (Objeto).
El presente Reglamento tiene por objeto normar el uso
de la Firma Digital para otorgar seguridad y validez a los
documentos electrnicos en el marco del Sistema de
Pagos.
Artculo 4. (Uso de la Firma Digital).
Los documentos electrnicos intercambiados en los Sistemas de Pagos,
debern ser firmados digitalmente y cumplir con lo establecido en el
presente Reglamento.
Los procedimientos de validacin de la firma digital debern incluir el uso de
certificados digitales.
Artculo 6. (Caractersticas de la Firma Digital).
La Firma Digital, para ser usada en el Sistema de Pagos, debe poseer las
caractersticas mnimas siguientes:
a) Los datos de creacin de la firma digital deben estar bajo control exclusivo
del signatario.
b) Debe identificar al signatario.
c) Debe ser nica para cada documento electrnico firmado digitalmente.
d) Debe ser susceptible de verificacin, usando la clave pblica del signatario.
e) Debe estar ligada al documento electrnico enviado, de manera que si ste
es modificado, la Firma Digital se invalida.
CAPTULO VI
CERTIFICADO DIGITAL
Artculo 15. (Contenido del Certificado Digital).
El Certificado Digital deber contener, por lo menos, la
informacin siguiente:
a) Datos que identifiquen al participante y a su
correspondiente firmante o signatario;
b) Clave pblica del firmante;
c) Identificacin del sistema criptogrfico asimtrico utilizado
para generar la Firma del Certificado Digital;
d) Fecha y hora de emisin y expiracin del Certificado Digital;
e) Cualquier limitacin de uso y responsabilidad a la que est
sometido el Certificado Digital;
f) Algoritmo y huella de identificacin del Certificado Digital;
g) Nmero de serie del Certificado Digital.
ALGORITMO
Adleman Shamir Rivest
El algoritmo RSA
Se basa en la dificultad que presenta la factorizacin de nmeros grandes. Las
claves pblica y privada se calculan a partir de un nmero que se obtiene como
producto de dos primos grandes. Un atacante que quiera recuperar un texto claro a
partir del criptograma y de la clave pblica, tiene que enfrentarse a dicho problema
de factorizacin.
Selecciona dos nmeros primos p y q
Calcula n = p * q
Calcula z = (p-1)(q-1)
Selecciona d tal que 1 < d < z.
Calcula e tal que cumpla: d * e mod z = 1
La clave pblica es: {e, n}
La clave privada es: {d, n}
El algoritmo RSA
El algoritmo RSA
Ejemplo:
p= 3
q= 11
n= p * q 3*11 = 33
z= (p-1)*(q-1) 2*10 = 20
e= 3 cumple 3*7 mod 20 = 1
d= 7 cumple 1 < 7 < 20
Smbolo N
Encriptacin

Des-encriptacin
To
e
To
e
mod n Tc
d
Tc
d
mod n
H 08 512 17 410338673 08
O 15 3375 9 4782969 15
L 12 1728 12 35831808 12
A 01 1 1 1 01
DSS (Digital Signature Standard)
El DSS (Digital Signature Standard) es un
sistema de firma digital adoptado como
estndar por el NIST. Utiliza la funcin Hash
SHA y el algoritmo asimtrico DSA (Digital
Signature Algorithm).
El DSA es un algoritmo asimtrico que
nicamente se puede utilizar con firma digital.

DSS Utiliza ms parmetros que el RSA y as se consigue
un grado mayor de seguridad. Los parmetros son:

KG claves pblicas de grupo. Son comunes y pblicas
para un grupo de usuarios.
KU clave pblica. Se genera una por usuario a partir de
las KG y es pblica
KP clave privada. Es privada de cada usuario, se genera
a partir de las anteriores.
k nmero aleatorio. Se genera uno para cada firma.
s y r. Son dos palabras de 160 que forman la firma de
un texto.
El nmero k permite que el mismo texto del mismo
usuario no genere siempre la misma firma.

Funcionamiento de DSS
IDEA - INTERNATIONAL DATA
ENCRYPTION ALGORITHM
El IDEA (Algoritmo Internacional de Cifrado de Datos) es un
algoritmo de encriptado de clave secreta diseado por los suizos.
La primera versin de IDEA fue conocida en 1990 bajo el nombre
de Proposed Encyption Standard (PES). Dos aos despus, luego
de haber sido reforzado para resistir nuevos tipos de ataque
cambio su nombre a IDEA.
IDEA utiliza una clave de 128 bits, lo que por el momento lo hace
inmune a los ataques de fuerza bruta as como al criptoanlisis
diferencial para su des encriptado.
Estructura bsica de IDEA
La estructura bsica consiste en la alteracin de bloques de entrada de
texto normal de 64 bits en una secuencia de iteraciones parametrizadas
para producir bloques de salida de texto cifrado de 64 bits (Ver figura ).
Estos bloques de entrada se separan en 4 subbloques (A, B, C y D ), cada
una de 16 bits. Dado que por cada iteracin, cada uno de los bits de salida
depende de cada uno de los bits de entrada, basta con slo 8 iteraciones.
Se usan tres operaciones, todas sobre nmeros sin signo de 16 bits. Estas
operaciones son:
- OR exclusivo
- Suma con acarreo mdulo 216
- Multiplicacin mdulo 216+1 guardado el resultado en 16 bits.
Tienen como propiedad que si tomamos un par cualquiera de ellas, no
obedecen a la ley asociativa ni la ley distributiva, lo que dificulta el
criptoanlisis.
El descifrado usa exactamente el mismo algoritmo que el cifrado, pero con
subclaves diferentes.


Esquema detalles del algoritmo
DES
DES (Data Encryption Standard, estndar de
cifrado de datos) es un algoritmo desarrollado
originalmente por IBM a requerimiento del
NBS (National Bureau of Standards) de EE.UU.
Es el ms estudiado y utilizado de los
algoritmos de clave simtrica.
DES cifra bloques de 64 bits, mediante
permutacin y sustitucin y usando una clave
de 64 bits, de los que 8 son de paridad (esto
es, en realidad usa 56 bits), produciendo as
64 bits cifrados.



ALGORITMO AES

El algoritmo Rijndael fue elegido
por el NIST (National Institute of
Standards and Technology), para
ser el estndar en los prximos 20
aos y es llamado AES (Advanced
Encryption Standar).
Recordemos que AES interpreta a el bloque de entrada de
128 bits, como una matriz 4x4 de entradas de bytes, si el
bloque es de 192 bits se agregan 2 columnas ms, si lo es
de 256 se agregan 4 columnas ms.
a
00
a
01
a
02
a
03

a
10
a
11
a
12
a
13

a
20
a
21
a
22
a
23

a
30
a
31
a
32
a
33

AddRoundKey
Esta transformacin toma una
matriz y simplemente hace un
xor byte a byte con la
correspondiente matriz de
claves dependiendo de la ronda
en que nos encontremos.
ByteSub
En este caso a cada
elemento de la matriz
estado (byte) se le
substituye por otro byte,
que depende del primero.
ShiftRow
La transformacin ShiftRow se aplica a la
matriz estado, aplicando corrimientos a sus
columnas. Sea aplica a la matriz aij , shifts
(corrimientos izquierdos circulares de
bytes) a las renglones, de la siguiente
manera, recorre 0 bytes a el primer
rengln, 1 byte al segundo rengln, 2 bytes
al tercer rengln, y 3 bytes recorridos al
cuarto rengln.
La transformacin ShiftRows,
se define de la siguiente
manera:
La tercera columna mueve dos bytes circularmente.
Finalmente la cuarta fila recorre 3 bytes
circularmente.
a
00
a
01
a
02
a
03

a
11
a
12
a
13
a
10

a
22
a
23
a
20
a
21

a
33
a
30
a
31
a
32

MixColumns
MixColumns: a cada columna de la matriz aij la multiplica
por una columna constante en GF(2
8
) [x]/(X
4
+1).
MixColumns toma cada columna A, y la manda a otra columna
A', que se obtiene al multiplicar A por un polinomio constante.
Pseudocdigo AES
Expansin de la clave usando el esquema de claves de Rijndael.
Etapa inicial:1.
AddRoundKey
Rondas:
SubBytesen este paso se realiza una sustitucin no lineal donde cada
bytees reemplazado con otro de acuerdo a una tabla de bsqueda.
ShiftRowsen este paso se realiza una transposicin donde cada fila
delstate es rotada de manera cclica un nmero determinado de veces.
MixColumnsoperacin de mezclado que opera en las columnas del
state,combinando los cuatro bytes en cada columna usando una
transformacinlineal.
AddRoundKeycada byte del state es combinado con la clave
round;cada clave round se deriva de la clave de cifrado usando una
iteracin de laclave.
Etapa final:
SubBytes
ShiftRows
AddRoundKey