El documento habla sobre criptografía y cómo puede ayudar a garantizar la seguridad y privacidad de las comunicaciones electrónicas. Explica que la criptografía se basa en complejos algoritmos matemáticos que hacen difícil descifrar información sin la clave adecuada. También describe los conceptos de criptografía simétrica y asimétrica, firmas digitales, certificados digitales e infraestructuras de clave pública, que juntos pueden usarse para autenticar identidades y garantizar la integridad y privacidad de
Criptografía y firma digital para garantizar la seguridad y autenticidad de las comunicaciones
1.
2.
3. Criptografía
La criptografía es la ciencia de aplicar
matemáticas complejas para aumentar
la seguridad de las transacciones
electrónicas
Se basa en el concepto de que algunos
cálculos pueden ser fáciles en un
sentido, pero extremadamente difíciles
en sentido contrario
4. Algoritmos Criptográficos
Son algoritmos matemáticos y están
diseñados de manera que se puedan
llamar con diferentes conjuntos de
datos para entrar en funcionamiento
5. Un problema...
Necesito conseguir el número de
teléfono de Luciana Salazar porque mi
madre me presiona para que salga con
una chica “bien”
6. La Criptografía puede ayudar?
•Puedo garantizar que mi amigo es
quién me envió el teléfono?
•Puedo garantizar que el número de
teléfono no se modificó cuando me lo
envían por la web?
•Puedo garantizar que nadie podrá ver
el número cuando me lo envíen?
•Mi amigo podrá decir más adelante
que nunca me envió el número?
7. Los personajes...
Internet Número Número
telefónico telefónico en
texto claro
Número
Pirata Número
telefónico
telefónico
informático
CIFRADO
malo
8. Criptografía simétrica o asimétrica?
Las claves son una parte muy
importante de los algoritmos
criptográficos
Número
aleatorio
clave criptográfica
Longitud
correcta
Patrón de bits
correcto
9. Criptografía simétrica...
Un algoritmo criptográfico simétrico puede
tomar un texto claro como entrada y usando
una clave simétrica, saco una versión cifrada
del texto
Un algoritmo simétrico con un cifrado de 128
bits, tendrá una clave simétrica de 128 bits
El espacio de claves es algo así como
340.000.000.000.000.000.000.000.000.000.
000.000.000!!!!!!!!!
12. Criptografía simétrica...
Cifrado Descifrado
Número Número
telefónico Es simétrico!!!! telefónico
Clave Clave
Simétrica Simétrica
Número Número
telefónico telefónico
13. Criptografía Simétrica...
Características
•Utilizo la misma clave para cifrar y descifrar
•El cifrado simétrico es rápido y seguro
•El texto cifrado es compacto
•Está sujeto a interceptación de la clave simétrica
•No tiene buena escalabilidad debido a que el
numero de claves generadas es aproximadamente
el cuadrado del número de participantes
•Requiere una administración compleja de claves
•No se ajusta a las firmas digitales
14. Criptografía Asimétrica...
•Los algoritmos asimétricos son
diferentes a los simétricos
•Cuando generamos una clave simétrica
simplemente elegimos un número
aleatorio de la longitud adecuada
•Al generar claves asimétricas en lugar
de una sola clave para realizar el cifrado
y descifrado, se utilizan dos claves
diferentes
15. Criptografía Asimétrica...
Conocida por todos
CLAVE
PRIVADA
CLAVE
PÚBLICA
Secreta
Lo que se cifra con una clave,
sólo puede descifrarse con la otra
La misma clave no puede descifrar lo que cifra
17. Criptografía Asimétrica...
Cifrado Descifrado de claves pública-privada
Número Número
telefónico Es asimétrico!!!! telefónico
Clave Clave
Pública del Privada del
receptor receptor
Número Número
telefónico telefónico
18. Criptografía Asimétrica...
Características
•Lo que se cifra con una clave sólo es descifrable por la
otra clave (pública-privada)
•No sufro interceptación de claves
•El n° de claves que necesito distribuir es el mismo que el
n° de participantes (escalabilidad)
•No tengo problemas complejos de distribución de claves
•No es necesario tener una relación previa entre las
partes para hacer intercambio de claves
•La criptografía asimétrica soporta firmas digitales
•El cifrado asimétrico es relativamente lento y expande el
texto cifrado
•El cifrado asimétrico es “seguro”
19. La unión de ambos mundos...
•Solución segura
•Cifrado rápido CRIPTOGRAFÍA
•Texto cifrado compacto SIMÉTRICA
•Escalabilidad
•No interceptabilidad de claves
CRIPTOGRAFÍA
•No Relación previa entre las partes
ASIMÉTRICA
•Soportar firmas digitales
20. La unión de ambos mundos...
Cifrado
Clave Simétrica
Número Número
telefónico telefónico
Clave Pública
del Receptor Sobre digital
Clave empaquetada
21. La unión de ambos mundos...
Descifrado
Número
telefónico
Sobre digital
Clave Simétrica
Número
telefónico
Clave Privada
Clave empaquetada del Receptor
22. Problema solucionado...?
Un pirata informático inteligente podría
tomar la clave pública de un directorio
y luego codificar el n° telefónico de
otra persona, luego podría empaquetar
una clave simétrica usando mi clave
pública. Entonces crearía el sobre
digital y me enviaría la información por
internet, yo descifraría la clave
empaquetada usando mi clave privada
y obtendría un teléfono falso
23. FIRMA DIGITAL
Hashes
Son algoritmos que toman un gran
bloque de datos y lo comprimen en una
huella digital (fingerprint) o en un
digesto (digest) de los datos originales
Por ejemplo: 456520 dividido 4 me da
114130 este n° es una reseña.
“El resultado del hash es un valor mas
chico que los datos originales”
24. FIRMA DIGITAL
Creación de una firma digital
Número Número
telefónico telefónico
Digesto
CIFRADO
Clave Privada
del firmante
Función
hash
Digesto Digesto
CIFRADO
25. FIRMA DIGITAL
Verificación
Función
hash
Número Digesto
telefónico
Coinciden?
Número
Clave Pública
telefónico
del firmante
Digesto
CIFRADO Digesto
CIFRADO Digesto
26. FIRMA DIGITAL
Certezas
Si las dos copias del digesto corresponden:
•Sé que mi amigo fue el autor del mensaje, ya
que utilicé su clave pública para descifrar el
digesto cifrado que fue codificado por su clave
privada y el es la única persona en el mundo
que la tiene
•Sé que la receta no fue modificada durante su
viaje por internet gracias al hash
27. FIRMA DIGITAL
Definición
Conjunto de datos expresados en formato digital,
utilizados como método de identificación de un firmante y
de verificación de la integridad del contenido de un
documento digital, que cumpla con los siguientes
requisitos:
•pertenecer únicamente a su titular
•encontrarse bajo su absoluto y exclusivo
control
•ser susceptible de verificación
•estar vinculada a los datos del documento
digital poniendo en evidencia su alteración
28. Problema solucionado...?
Un pirata informático inteligente podría
cambiar la clave pública del directorio y
poner la suya en nombre de mi amigo,
luego crear un digesto del n° telefónico
falso, codificarla con su calve privada y
luego enviármela
Entonces yo extraería la clave pública
del repositorio bajo el nombre de mi
amigo y realizaría perfectamente la
verificación de firma
29. CERTIFICADOS DIGITALES
Conceptos
Es un documento que simplemente dice:
“Oficialmente certifico la correspondencia
entre este usuario y ésta clave pública”
•Contiene los datos del usuario
•Contiene una copia de su clave pública
•Está firmado por la Autoridad
Certificante de Confianza
30. CERTIFICADOS DIGITALES
Conceptos
El software que ustedes usan ya conoce
los certificados de las Autoridades de
Confianza que están autofirmados con
sus propios datos de identidad
El fabricante del soft ya cargó el
certificado después de verificar que la
Autoridad era real
31. Problema solucionado!!!
Verificación real
Función
hash
Número
telefónico Digesto
Número Clave Pública
Coinciden?
telefónico del firmante
Digesto
CIFRADO Digesto
CIFRADO Digesto
Certificado
Certificado Autoridades
de Confianza
32. FIRMA DIGITAL
Ley 25506
ARTICULO 2. - Firma Digital.
Se entiende por firma digital al resultado de aplicar
a un documento digital un procedimiento
matemático que requiere información de exclusivo
conocimiento del firmante encontrándose esta bajo
su absoluto control. La firma digital debe ser
susceptible de verificación por terceras partes tal
que dicha verificación simultáneamente permita
identificar al firmante y detectar cualquier alteración
del documento digital posterior a su firma.
33. FIRMA DIGITAL
Ley 25506
ARTICULO 2. - Firma Digital.
Los procedimientos de firma y verificación a ser
utilizados para tales fines serán los determinados
por la Autoridad de Aplicación en consonancia con
estándares tecnológicos internacionales vigentes.
34. Infraestructura de Clave Pública
PKI
La infraestructura de clave pública constituye el
marco de referencia que permite desplegar los
servicios de seguridad que se basan en la
criptografía.
PKI permite crear las entidades y la confianza que
se necesita para los procesos de identificación,
autenticación y para administrar cifrado de clave
pública como una solución completa y escalable.
35. Infraestructura de Clave Pública
Ley 25506 Estructura
• Organismo Licenciante: Es la Autoridad Certificante Raíz que
emite certificados de clave pública a favor de aquellos organismos o
dependencias que deseen actuar como Autoridades Certificantes
Licenciadas, es decir como emisores de certificados de clave
pública para sus funcionarios y agentes.
• Organismos Auditantes: Es el órgano de control, tanto para el
Organismo Licenciante como para las Autoridades Certificantes
Licenciadas.
• Autoridades Certificantes Licenciadas: Son aquellos organismos
o dependencias que soliciten y obtengan la autorización, por parte
del Organismo Licenciante, para actuar como Autoridades
Certificantes de sus propios agentes.
• Suscriptores de certificados: Pueden serlo todos aquellos
funcionarios y agentes dependientes de los organismos que
soliciten y obtengan un certificado de clave pública emitido por un
organismo que haya obtenido su licencia para actuar como
Autoridad Certificante.
36. Infraestructura de Clave Pública
Razón de ser
Es cada vez mayor la preocupación sobre los
niveles de seguridad a los que deben llegar los
sistemas informáticos de empresas,
administración gubernamental y personas
naturales.
Ayer, la seguridad se refería en primera instancia
a limitar el acceso; en la actualidad se trata de
“maximizar el acceso a las personas correctas”.
Debemos tener en cuanta aquí que “la seguridad
no es un bien en sí mismo, pero que su carencia
se paga caro”
37. Infraestructura de Clave Pública
Misión
Su misión debe ser la de proveer claves y
gestionar eficientemente certificados
digitales confiables para asegurar la
prestación de servicios de seguridad
38. Infraestructura de Clave Pública
Sevicios de seguridad
• Identificación: el proceso de reconocer a un individuo en
particular
• Autenticación: Proceso mediante el cual se comprueba y
verifica cierta información. Asegurar que sea quien dice ser
• Autorización: proceso de determinar lo que le está
permitido hacer
• Integridad: proceso de garantizar que la información no
cambie
• Confidencialidad: sólo podrá ser vista por las personas que
tengan autorización
• No repudio: imposibilidad de negar algo que se hizo. Que la
información ha sido enviada por el remitente y recibida por
el destinatario.
• Auditabilidad: identificación y rastreo del historial de
acciones realizadas por un usuario dentro de un sistema
informático
39. Infraestructura de Clave Pública
Componentes
Autoridad de Certificación
Autoridad de Registro
Certificados Digitales y listas de
Revocación
Pares de claves matemáticamente
relacionadas, disponiendo en cada
par de una clave privada y una clave
pública
Políticas de Certificación
Manuales de Procedimientos
40. Infraestructura de Clave Pública
Componentes
• Una Autoridad de Certificación representa al usuario que
ha sido reconocido por el resto en un determinado entorno
como certificador de las identidades digitales de todos. Es
el órgano responsable de la emisión de los certificados,
luego de una correcta verificación por los métodos que
considere en la política de certificación. Es el principal
proveedor de la tecnología de criptografía asimétrica. Debe
contar con medidas de seguridad que infundan la total
confianza requerida para considerara a su gestión seria y
exitosa y ostentar altos niveles de calidad en la prestación y
disponibilidad de sus servicios.
• La función básica de una AC reside en verificar la identidad
de los solicitantes de certificados, crear los certificados y
publicar listas de revocación cuando éstos son inutilizados.
41. Infraestructura de Clave Pública
Componentes
• Las Políticas de Certificación y los anuales de Procedimiento
rigen el funcionamiento general de la PKI definiendo cuestiones tan
esenciales como el tipo de certificado a emitir por la Autoridad de
Certificación, el alcance de la información almacenada en el
certificado, los procedimientos de registro, el tipo y alcance del
compromiso de la Autoridad de Certificación con los usuarios y
viceversa, las restricciones en el uso del certificado, etc. Además,
en todo momento debe considerarse que su confección debe ser de
total conformidad con lo estipulado en la legislación vigente sobre el
tema. El valor legal de una firma digital validada con un certificado
calificado dependerá fuertemente de la política que gobierna el uso
de la clave privada asociada
42. Infraestructura de Clave Pública
Componentes
• La Publicación de certificados y de las listas
de revocación de los mismos deben ser
publicadas en un directorio, los usuarios de la
PKI deben tener acceso para la comprobación
de firmas. Además, se le debe prestar atención
a la no publicación de datos sensibles. Muchas
veces puede convertirse en un elemento crítico
si no se le presta la debida atención.
43. Infraestructura de Clave Pública
Aplicaciones
Correo electrónico seguro/secure messaging, firma
digital y no repudio. La naturaleza distribuida del correo
electrónico y la necesidad de almacenar y reenviar
información a muchos destinatarios encuentran en la
criptografía de clave pública las capacidades de firma digital
de mensajes y cifrado masivo sin establecimiento previo de
claves secretas compartidas.
Autenticación de identidad:
de Servidores (sitio seguro), para que los usuarios puedan
comprobar el servidor con el que se comunican.
de clientes (control de acceso) para que los servidores puedan
comprobar la identidad del cliente y en función de ésta tomar
decisiones de control de acceso
44. Infraestructura de Clave Pública
Aplicaciones
Canal Seguro (SSL): Confidencialidad en la transferencia de datos a
través de enlaces públicos de Internet mediante protocolos de la capa
de transporte.
Secure Desktop: Cifrado de archivos (acuerdo de clave privada
mediante clave pública) y cifrado masivo de datos (sin establecimiento
previo de claves secretas compartidas).
Secure e-forms: firma digital y seguridad para formularios basados
en web.
Encripción de bases de datos
Time stamping
45. En la Administración Pública
Beneficios
Disminución de costos materiales en papel, correo, cartuchos
de impresora, horas hombre y principalmente en tiempo,
Transparencia de información, ya sea en trámites internos o
externos, lo que redunda en una mayor eficiencia y rapidez en
los procesos internos o en la prestación de servicios al
ciudadano.
Potencialidad para dotar al sistema de una mayor
transparencia y obtener la consecuente reducción del gasto
público y restablecer la credibilidad en las instituciones
democráticas.
Ahorros de costos de transacción y almacenamiento
46. En la Administración Pública
Beneficios
Mayor agilidad y eficiencia en los procesos que involucran papeles
y documentos oficiales.
Creación de nuevos mercados, generará redes productivas más
ágiles entre diversas empresas e introducirá mayor eficiencia en
sectores público y privado, produciendo significativos avances en
materias de productividad.
Eliminación de trabas burocráticas.
Trabajo cooperativo, educación a distancia, servicios de la
administración pública como los trámites y el pago de impuestos.
El mayor grado de seguridad que puede obtenerse de un
documento firmado digitalmente.
Facilidad de búsqueda y de acceso, liberación de espacio físico,
limpieza, seguridad
47. En la Administración Pública
Beneficios
• Concretamente en la Administración pública trae enormes beneficios en la
relación:
Administración Administrado
Tales como:
- La presencia segura de la administración en la red
- La consulta de información personal desde internet
- La realización de trámites varios en internet como pago de
tributos u obtención de certificaciones.
- Acceso a aplicaciones informáticas de gestión
- Comunicación entre dependencias de la administración pública
- Integración de información al ciudadano desde distintas
administraciones
- Aplicaciones de democracia electrónica tales como el plebiscito o el
sufragio.
• Por tanto dichas modalidades de trabajo, el incremento de la velocidad de
circulación de la información a través de los documentos digitales y el
notable incremento de la seguridad del entorno hará que se ofrezcan más
y mejores servicios al ciudadano y simultáneamente se logren ahorros de
tiempo y costos.