Bloque II

Sistemas de autenticacin
Firma digital y certificados digitales
Seguridad en Redes de Comunicaciones
Mara Dolores Cano Baos

Contenidos
3.1 Introduccin
3.2 Firma digital
3.3 Certificados

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

Firma digital

Criptografa de clave pblica (asimtrica)

La FIRMA DIGITAL debe tener las siguiente
propiedades:

Poder verificar autor, fecha y hora de la firma

Poder autenticar el contenido del mensaje a la hora en la
que se firm
Debe estar verificada por un tercero para evitar disputas

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

Firma digital

Cualquier FIRMA DIGITAL:

Firma patrn de bits dependientes del mensaje firmado

Utilizar informacin nica del emisor para evitar
denegacin y falsificacin

Sencilla de crear

Sencilla de reconocer y verificar

Falsificarla debe ser computacionalmente no factible

||

H(X)

H
son iguales?

E(H(X))

E(H(X))

KpA

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

KPA

Firma Digital

Firma Digital Directa

Slo intervienen los dos comunicantes

Destino conoce clave pblica de emisor

Firmamos mensaje completo hash del mensaje con Kp

emisor
Problema: seguridad de la clave secreta

Firma Digital Arbitrada

Una tercera entidad acta como rbitro

Funcionamiento general: todos los mensajes pasan por el
rbitro que comprueba la validez de origen y contenido
Confiabilidad total en el rbitro
Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

Contenidos
3.1 Introduccin
3.2 Firma digital
3.3 Certificados

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

Certificados

Las claves pblicas han de ser pblicas

problema de suplantacin?

Solucin: certificados de clave pblica

KP
ID
USUARIO

KP
H

||
FIRMA

Kp
Clave privada de Autoridad
de Certificacin (CA)

ID
USUARIO

FIRMA
CERTIFICADO

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

Certificados
KP

H
son iguales?

ID
USUARIO

FIRMA
CERTIFICADO

D
KP
Clave pblica de Autoridad
de Certificacin (CA)

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

Certificados

Servicio ofrecido por las CA

CA interna, certificar a sus propios empleados, puestos y

niveles de autoridad
CA externa de empleados, empresa contrata a otra para
certificar a sus empleados
CA externa de clientes, empresa contrata a otra para que
certifique a sus clientes
CA confiable de terceros, compaa o gobierno opera una
CA que relaciona claves pblicas con nombres legales de
individuos o empresas

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

Certificados

Revocacin de certificados:

Clave privada de usuario comprometida

CA emite certificado a entidad incorrecta

El usuario cambia de CA

Violacin de la seguridad de la CA

Lista de revocacin de certificados (CRL,

Certification Revocation List)

Ejemplo: http://crl.verisign.com/

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

10

Certificados

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

11

Certificados

Certificados de autoridades certificadoras

Certificados de servidores

Certificados personales

Certificados de editor de software

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

12

Certificados
CERTIFICADO DE
AUTORIDAD
CERTIFICADORA

Nombre y clave pblica de la CA

Pueden ser autofirmados
PKI (Public Key Infrastructure)

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

13

Certificados
CERTIFICADO DE
SERVIDOR

Cada servidor SSL -> un

certificado de servidor
SSL
Debe contener:

longitud de clave
firmada
n serie del certificado
algoritmo de firma
nombre del servidor

Ejemplo
Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

14

Certificados

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

15

Certificados
CERTIFICADO PERSONAL

Diseado para comprobar la identidad de un

individuo emitido por una CA
Beneficios:

Eliminar necesidad de recordar login y password

Prueba de pertenecer a una organizacin

Comunicaciones cifradas

Restringir acceso a sitios web

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

16

Certificados
CERTIFICADO PERSONAL

A partir de la v.3 de Navigator Netscape e Internet

Explorer

Creacin de claves
Obtencin de certificados
Reto/respuesta
Almacenamiento seguro

En Espaa:

Fabrica Nacional de Moneda y Timbre (www.cert.fnmt.es)

ANF Autoridad de Certificacin (www.anf.es)
AC Camerfirma (www.camerfirma.com)
Autoridad de Certificacin de la Abogaca
(www.acabogacia.org)
Firma Profesional S.A. (www.firmaprofesional.com)
Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

17

Certificados

Servicios a los que se puede acceder con un certificado de

usuario en Espaa

Administracin Central
Administracin Local
Agencia Estatal de Administracin Tributaria
Ayuntamiento de Alboraya
Comisin del Mercado de las Telecomunicaciones
Ayuntamiento de Laredo
Instituto de Crdito Oficial
Ayuntamiento de Catarroja
Instituto Nacional de Estadstica
Ayuntamiento de Madrid
Ministerio de Economa
Ayuntamiento de Paterna
Presidencia de Gobierno
Ayuntamiento de Totana
Seguridad Social
Ayuntamiento de Valencia
Direccin General del Catastro
Diputacin de Barcelona
Direccin General de Costes de Personal y Pensiones
Pblicas
Ministerio de Trabajo y Asuntos Sociales
Otros
Administracin Autonmica
Asociacin de Asesores de Empresa en Internet
Comunidad de Madrid
Consejo General del Notariado
Gobierno de Canarias
Gestor de Infraestructuras S.A.
Gobierno de Navarra
Paradores Nacionales de Turismo
Gobierno de la Rioja
Saniline
Junta de Andaluca
SegurosBroker
Xunta de Galicia
Sociedad Digital de Autores y Editores
Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

18

Certificados

Cmo solicitarlo de modo gratuito por dos meses:

CERTIFICADO PERSONAL

1)
2)
3)

Ir a https://digitalid.verising.com
Seleccionar PersonalID -> Buy Now -> Enroll Now
Completar el formulario de enrollment
-

4)
5)

6)
7)
8)
9)

Nombre y Apellidos
Direccin de correo electrnico

Aceptar el acuerdo
Comprobar el correo electrnico, verisign enviar un correo
con un identificador y la URL de una pgina web
Ir a la pgina web indicada e introducir el identificador
El navegador obtendr el certificado
Para instalarlo seguir las indicaciones del navegador
Comprobacin en Internet Explorer: ir a Herramientas ->
Opciones de Internet -> Contenido -> Certificados ->
Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin
Personal

19

Certificados
CERTIFICADO DE EDITOR DE
SOFTWARE

Firmar programas ejecutables mediante firma

electrnica
Mejora la confiabilidad del software distribuido por
Internet
Propuestas:

Authenticode (Microsoft)
JAR, formato de archivo java que permite uso de firma
digital

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

20

Certificados

Certificado X.509

Parte de la serie de recomendaciones X.500

X.509 permite servicio de autenticacin

Estructura de certificado X.509 empleada en muchos

contextos (S/MIME, seguridad IP, SSL/TLS, SET, )
Versin 3 revisada en 2000

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

21

Certificados
VERSION

algoritmo de firma

ALGORITMO
PARMETROS
NOMBRE EMISOR CERTIFICADO

Periodo de validez

NO ANTES

Versin 1
Versin 2
Versin 3

N SERIE

NO DESPUS
NOMBRE SUJETO

Informacin de la
clave pblica del
sujeto

ALGORITMOS
PARMETROS
CLAVE

CERTIFICADO
X.509v3

ID. NICO EMISOR CERTIFICADO

ejemplo

ALGORITMOS

ID. NICO DEL SUJETO

EXTENSIONES

Firma

PARMETROS
CIFRADO

Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

Todas las
versiones
22

Certificados

Las claves privadas no son personas

Los nombres distinguidos no son personas
Existen demasiados nombres de personas iguales
Los certificados digitales no dicen lo suficiente
X.509 v.3 no permite la divulgacin selectiva
Los certificados digitales permiten la combinacin
fcil de datos
Cuntas CA necesita la sociedad?
Cmo prestar una clave?
Existen mejores opciones a las firmas digitales de
clave pblica?
Seguridad en Redes de Comunicaciones - Ing. Telecomunicacin

23