Este documento presenta conceptos clave de seguridad en aplicaciones web como la confidencialidad, autenticación, integridad, no repudio y disponibilidad. Explica los conceptos de vulnerabilidad, amenaza y ataque. Luego, introduce conceptos criptográficos como cifrados simétricos que usan una clave y cifrados asimétricos que usan claves pública y privada para resolver problemas de distribución de claves.
1. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
SEGURIDAD
Cristian González García v 1.1 Marzo 2015
2. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Indice
• Introducción
• Criptografía
– Cifrados de clave secreta (Simétrica)
– Cifrado de clave publica (Asimétrica)
– Sobres digitales
– Firma digital
– Certificados digitales
3. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
INTRODUCCIÓN
4. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Seguridad en aplicaciones web
• La necesidad y requisito fundamental de la
seguridad en las aplicaciones Web
– Robo de datos, rotura de la aplicación, suplantación de
usuarios, ...
• El comercio electrónico necesita garantizar el
intercambio de información personal y
confidencial
• La realización de transacciones seguras a través
de la Web
• Se necesita otorgar
– Confidencialidad
– Autenticación
– Integridad en los datos
– No repudio
– Disponibilidad
– Privacidad
5. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Conceptos fundamentales I
• Confidencialidad
– Garantiza que la información pueda solo ser
vista por quienes establecen la comunicación
no pudiendo ser accedida por un extraño
– Es decir, solo personal autorizado debe de
poder acceder al contenido
• Autenticación
– Garantiza que el acceso a la información sólo
pueda ser realizado por quienes proporcionan
una identidad adecuada
– Es decir, se debe de poseer una acreditación
que valide quien puede o no acceder
6. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Conceptos fundamentales II
• Integridad
– Asegura que el mensaje no ha sido modificado o
alterado durante la transmisión
– Asegura que el usuario ha recibido el mensaje con
las mismas características, propiedades y valores
con el cual fue emitido
• No repudio / No rechazo
– Garantiza que quien envía el mensaje (Emisor) no
pueda negar que ha enviado el mensaje y quien
recibe el mensaje (Receptor) no pueda negar
haberlo recibido
– Es la imposibilidad de la negación de haber
realizado una operación de comunicación entre el
origen y el destino.
7. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Conceptos fundamentales III
• Disponibilidad
– Garantiza que los usuarios deben tener
disponibles todos los recursos, servicios y
componentes del sistema en el momento en
que lo requieran
• Privacidad
– Se refiere al control que debemos tener sobre
el uso que se haga de la información que
proporcionamos como clientes a una empresa
– Esta información es de carácter personal y
privado, así, debe de ser confidencial, solo
accesible por quien tengo permisos
8. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Conceptos fundamentales IV: Vulnerabilidad
• Una vulnerabilidad es un punto débil en
algún aspecto o característica de un
sistema que posibilita un ataque
• Pueden existir en la red, el host o los
niveles de la aplicación
• Estas pueden permitir a un atacante
vulnerar la integridad, disponibilidad y/o
confidencialidad del sistema
9. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Conceptos fundamentales V: Amenaza
• Una amenaza es un evento no deseado capaz de
atentar contra la seguridad
• Surgen a partir de la existencia de
vulnerabilidades que puedan ser aprovechadas
• Una posible ocurrencia, a menudo descrita como
un efecto que podría dañar o comprometer un
activo u objetivo
• No obstante, puede que tenga o no carácter
malintencionado
– Intencional
• Deliberadamente se intenta producir daño: robar datos,
modificarlos, ejecutar código malicioso, …
– No intencional
• Se produce una acción sin intención de explotar una
vulnerabilidad: fenómenos naturales, fallo en una
comprobación, …
10. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Conceptos fundamentales VI: Ataque
• Un ataque es una acción adoptada que
utiliza una o varias vulnerabilidades para
materializar una amenaza
• La podría realizar cualquiera que siguiera
una amenaza o explotara una
vulnerabilidad
• XSS, SQL Injection, Replay Attack, …
11. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
CRIPTOLOGÍA
12. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
La Criptología I
• La Criptología es la disciplina científica que se
dedica al estudio de la escritura secreta
– Aquellos que se procesan para dificultar su lectura
• Desde hace más de 2000 años se utiliza para
asegurar las comunicaciones
• Se compone de 4 disciplnas
– Criptografía
– Criptoanálisis
– Esteganografía
– Estegoanálisis
13. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
La Criptología II
• Criptografía
– Tiene por objeto el estudio de la escritura secreta, que
consiste en escribir un mensaje ocultando el significado
para quien no debe conocerlo
– Desarrolla métodos de cifrado para proteger la
información y dotar de seguridad a las comunicaciones
– Algoritmos, protocolos, mensajes, …
• Criptoanálisis
– Su oponente, tiene por objeto estudiar la forma de
esclarecer el significado de la escritura cifrada
– Rompe los métodos de cifrado para recuperar la
información original
– Busca el punto débil de las técnicas criptográficas
14. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
La Criptología III
• Esteganografía
– Mandar mensajes por canales inseguros sin que el
mensaje sea percibido (en la criptografía si)
– Se suelen esconder datos en otros objetos (portadores):
documentos, videos, imágenes, audio, …
– Es decir, se utilizan contenedores conocidos pero se
ignora el algoritmo utilizado
• Estegoanálisis
– Su oponente, tiene por objeto detectar mensajes ocultos
utilizando técnicas esteganográficas
– Rompe los métodos esteganográficos para vulnerar su
seguridad
– Busca el punto débil de las técnicas esteganográficas
15. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
CRIPTOGRAFÍA
16. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Criptografía
• La criptografía hace uso de métodos y técnicas
con el objeto principal de cifrar un mensaje o
archivo por medio de un algoritmo, usando una o
mas claves
• El cifrado es el proceso de transformar un
mensaje de forma que no pueda ser leído por
nadie más que el remitente y el destinatario.
• Permite proteger
– La información almacenada
– La transmisión de dicha información
• Podemos garantizar
– Confidencialidad
– Autenticación
– Integridad del mensaje
– No repudio
17. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Clasificación del sistema de cifrado
• Los sistemas de cifrado se puede clasificar de dos
formas diferentes
– Según el tipo de clave
• Asimétricos, cifrado de clave pública (clave publica y
privada)
• Simétricos, cifrado de clave secreta (una sola clave)
– Según el tratamiento del mensaje
• Cifrado en Bloque, la transformación se aplica sobre
grupos de caracteres del mensaje original (bloques de
bits), de una longitud predeterminadada (64-128 bit)
– Ejemplo: DES, IDEA, RSA
• Cifrado en Flujo, a transformación se aplica sobre cada
carácter del mensaje original (cifrado bit a bit.)
– Ejemplo: A5, RC4, SEAL
– Conversaciones telefónicas
18. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Clave
• La trasformación del texto o datos originales en
otros cifrados se lleva a cabo usando algún tipo
de clave
• Algunos métodos muy simples
– El cifrado por sustitución
• Consiste en reemplazar una letra por otra diferente
• Por ejemplo, si usamos la clave “la letra más dos”, la
palabra “Hola” se transformaría en “Jqnc”
– El cifrado por transposición
• Consiste en cambiar el orden de dos letras de la misma
palabra
• Leonardo Da Vinci escribía sus notas en orden inverso, de
forma que sólo pudieran leerse usando un espejo
• Así, “ ” se transformaría “ ”Hola
19. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
CIFRADOS DE CLAVE
SECRETA (SIMÉTRICA)
20. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Cifrado de clave simétrica
• También llamados de Clave Secreta
• Se utiliza la misma clave para encriptar y
desencriptar
• Para descifrar estos mensajes, el receptor
tiene que aplicar sobre el mensaje cifrado
la misma clave que empleó el emisor para
cifrar el mensaje original
21. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Beneficio
• El beneficio más importante de las
criptografía de clave simétrica es su
velocidad lo cual hace que éste tipo de
algoritmos sean los más apropiados para
el cifrado de grandes cantidades de
datos
• Cuanto más larga sea la clave, más
seguro es
– En un ataque de fuerza bruta con una clave de
80 bits se necesitan probar hasta 280-1 claves
para encontrar la clave correcta
– Se recomiendan claves de 128 bits
22. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Problemas
• Requiere que ambas partes compartan la
clave
– ¿Cómo se distribuye de forma segura, la clave
usada para cifrar el mensaje?
• Por esta razón se plantea el uso de un
sistema criptográfico basado en claves
asimétricas
23. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Nota histórica
• Se usó mucho durante la Segunda Guerra
Mundial
• Los alemanes la perfeccionaron con la
invención de la máquina Enigma
– Cada día, la máquina generaba una nueva clave
que usaba tanto sustitución como transposición de
caracteres, mediante un dispositivo mecánico con
una determinada configuración
– Al ser la configuración de todas las máquinas del
mundo la misma, la comunicación era segura (en
un día no había tiempo para averiguar la clave
utilizada)
– Con la captura de algunas de estas máquinas por
parte de los aliados, éstos pudieron llegar a
comprender su funcionamiento y, con ello, descifrar
los mensajes alemanes
24. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Cifrado Digital
• Las claves usadas actualmente para codificar
mensajes son digitales
– Por ejemplo, podríamos multiplicar el mensaje a
enviar por un número binario de 8 bits
• El resultado sería el mensaje cifrado y el número la
clave necesaria para descifrar el mensaje
• RC4, RC6, AES, DES, 3DES, Blowfish, IDEA
• La seguridad, hoy día, depende de la longitud
de la clave
– Cuanto más larga, más difícil para descifrar por
fuerza bruta
– Nótese que la función de cifrado debe ser conocida
por todos, para que pueda usarse en un entorno de
comercio electrónico
25. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
CIFRADO DE CLAVE
PUBLICA (ASIMÉTRICA)
26. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Cifrado de clave pública
• 1976: Whitfield Diffie y Martin Hellman inventaron un modo
totalmente nuevo de cifrar mensajes, denominado
criptografía de clave pública
• También conocida como criptografía asímétrica o
criptografía de dos claves
• Resuelve el problema del intercambio de claves
• Cada persona tiene dos claves digitales relacionadas
matemáticamente
– Una pública y otra privada
• La pública se puede entregar a cualquier persona
• La privada debe guardarla y no publicarla ni enviarla
– Cada pareja de claves solo se puede generar una vez
– Ambas sirven para cifrar y descifrar, pero lo que se cifra con una
SÓLO se podrá descifrar con la otra
– Las funciones matemáticas usadas para generar las claves
garantizan que no se puede averiguar una clave a partir de la otra
(se usan claves de 128, 256 o 512 bits), es computacionalmente
imposible
• Ejemplos de algoritmos: RSA, DSA, ECDSA
27. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Cifrado de clave pública (Ejemplo)
28. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Proceso I: Clave pública
• Ana cifra un
mensaje con la
clave pública de
Bernardo
• Le envía el
mensaje a
Bernardo
– Este mensaje sólo
podrá ser
descifrado por
Bernardo, mediante
su clave privada
29. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Proceso II: Clave Privada
• Benardo cifra un
mensaje con su
clave privada
• Le envía un
mensaje a Ana
– Este mensaje
podrá leerlo
cualquier que tenga
la clave pública de
Bernardo
30. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Beneficios
• El beneficio principal obtenido consiste en la
supresión de la necesidad del envío de la clave,
siendo por lo tanto un sistema más seguro
• Cuanto más larga sea la clave, más seguro es
– Se recomiendan claves de 1024 bits
• Se garantiza la confidencialidad del mensaje, sin
los inconvenientes del cifrado simétrico
31. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Inconvenientes
• El inconveniente principal es la lentitud de la
operación
• Las claves requieren mayor tamaño que las
simétricas (entre 5 y 10 veces)
• El mensaje ocupa más espacio que el original
• Descuida los otros aspectos de la seguridad
– Autenticación: No hay garantía de que el emisor sea
quien dice ser
– No repudio: Por tanto, éste podría negar haber enviado
el mensaje
– Integridad: Tampoco garantiza que el mensaje no haya
sido alterado durante la transmisión
32. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
SOBRES DIGITALES
33. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Sobre digital
• La criptografía de clave pública (asimétrica) es
computacionalmente lenta
– Si usamos claves de 1024-2048 bits para cifrar un
documento grande puede tardar bastante
• La criptografía de clave simétrica es rápida pero
tiene el problema del envío de la clave
• Una solución intermedia es usar criptografía
simétrica para cifrar documentos grandes y enviar
la clave cifrada mediante criptografía de clave
pública
– Es lo que se conoce como sobre digital o criptografía
híbrida
– PGP, GnuPG, OpenPGP
34. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
¿Como funciona el sobre digital?
35. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
¿Como funciona el sobre digital?
36. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Beneficios e Invoncenientes
• Con este sistema se consigue
– Confidencialidad: sólo podrá leer el mensaje el
destinatario del mismo
– Integridad: el mensaje no podrá ser modificado
• Pero todavía quedan sin resolver los problemas
de autenticación y de no repudio
• Este sistema es tan seguro como el sistema de
Clave Secreta (Simétrica) y Clave (Pública)
Asimétrica utilizados
37. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
FIRMA DIGITAL
38. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Firma digital
• Al igual que la firma manuscrita tradicional,
permite identificar a la persona que, en este caso,
está realizando una transacción electrónica
• Sin embargo, una firma manuscrita es sencilla de
falsificar mientras que la digital es imposible
– Siempre que no se descubra la clave privada del
firmante
• La firma digital debe ser
– Única: Única para cada persona
– Infalsificable: Debido al algoritmo matemático
– Verificable: Fácil de verificar por el receptor
– Innegable: No repudiable
– Viable: Fácil de generar por el firmante
39. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
¿En que consiste?
• En este caso, el emisor resume el mensaje
original y emplea su clave privada en lugar de la
pública
– El receptor, para descifrarlo, usará la clave pública del
emisor
• Para evitar la lentitud en la firma del cifrado de
clave pública y garantizar la Integridad de
mensaje la firma digital hace uso de
funciones ‘hash’
• Esto es una mejora en el envío de correos
encriptados para obtener Autenticación, no
repudio e integridad
40. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Funciones HASH I
• Es un algoritmo que se aplica sobre el
mensaje y produce un número de longitud fija
que es un “resumen” del mensaje
• Sirve para detectar si hubo modificaciones en
el mensaje
• No se puede obtener el mensaje original a
partir del resumen
• Se logra comprobar la integridad del mensaje
– Que el mensaje no sea alterado durante su
transmisión
• Hay funciones estándar, como MD4, MD5,
SHA-1 y SHA3 que producen números de 128
bits (16 bytes) o más
41. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
• Un función HASH será segura si cumple las
siguientes características
– Unidireccional: conocido un resumen H(M), debe ser
computacionalmente imposible encontrar M a partir de
dicho resumen
– Compresión: A partir de un mensaje de cualquier
longitud, el resumen H(M) debe tener una longitud fija.
Lo normal es que la longitud de H(M) sea menor
– Facilidad de cálculo: Debe ser fácil calcular un
resumen H(M) a partir de un mensaje M
– Colisión fuerte: Será computacionalmente difícil
encontrar un par de mensajes (M, M’) de forma que H(M)
= H(M’), se conoce como “resistencia fuerte a las
colisiones”
• Dos entradas con la misma salida
Funciones HASH II
42. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
¿Cómo funciona la Firma digital?
• El emisor (ANA):
– Resume el mensaje
mediante una función hash
– Cifra el resultado de la
función hash con su clave
privada. De esta forma
obtiene su firma digital
– Envía el mensaje original
junto con la firma
• El receptor (Bernardo)
– Descifra el resumen del
mensaje mediante la clave
pública de ANA
– Aplica al mensaje la función
hash para obtener el
resumen
– Compara el resumen
recibido con el obtenido a
partir de la función hash
– Si son iguales, el receptor
puede estar seguro de que
quien ha enviado el mensaje
es ANA y que éste no ha
sido modificado
43. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Beneficios de la firma digital
• Con la firma digital se consigue
– Autenticación
• La firma digital es equivalente a la firma física de un
documento.
• Permite identificar al emisor, certificando es quien
dice ser, es decir, que no se trata de ningún
impostor.
– No repudio
• Esta firma compromete al emisor, por lo cual, el
emisor no puede negar haber enviado el mensaje
– Integridad
• Verifica que dicha información no ha sido modificada
desde su generación
44. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Resumiendo
• Para lograr todos los aspectos de seguridad
mencionados al principio (salvo el de privacidad y
disponibilidad), se usará conjuntamente
criptografía de clave pública, funciones hash y
firmas digitales
45. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
CERTIFICADOS DIGITALES
46. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Certificados digitales I
• Aún queda otro problema que solucionar
– Efectivamente, sabemos que el documento
recibido ha sido firmado, pero…
• … ¿cómo sabemos que el poseedor de
dicha firma electrónica es quien dice ser?
– No sabemos si es quien dice ser, solo que su
clave le pertenece
– Necesitamos algo similar a un DNI, Pasaporte
o documento acreditativo del mundo real
• Para eso están las llamadas autoridades
de certificación
– Garantizan la asociación entre una persona
física y su clave pública
47. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Certificados digitales II
• Un certificado digital es un documento digital emitido
por una autoridad de certificación (CA) que asocia una
clave pública con la identidad de su propietario
• Contiene
– El nombre de la persona o empresa
– Su clave pública
– Un número de serie del certificado
– Un fecha de caducidad
– La fecha de expedición
– La firma digital de la autoridad de certificación
– El nombre de la CA cifrado usando la clave privada de ésta
– etc…
• El formato de los Certificados Digitales es estándar,
siendo X.509v3 el recomendado por la Unión
Internacional de Comunicaciones (ITU) y el que está
en vigor en la actualidad
48. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Autoridades de Certificación
• Una autoridad de certificación (CA) es una
institución de confianza que garantiza que la clave
pública se corresponde con tal o cual persona
– Son lo que se denomina terceras partes de confianza
(TTP, Trusted Third Party)
– Verisign, CAcert.org, Banesto CA, ...
CA
A B
49. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Autoridades de Certificación
• Se podrá tener confianza en el certificado digital
de un usuario al que previamente no conocemos
si dicho certificado está avalado por una tercera
parte en la que sí confiamos
– Por tanto, podremos confiar en cualquier certificado
digital firmado por una tercera parte en la que confiamos
50. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Ejemplos de autoridades de certificación
• En EEUU, empresas privadas como VeriSign
y agencias del gobierno como el U.S. Postal
Service
• En España tenemos, por ejemplo, la Agencia
Tributaria y la Seguridad Social
– En ambos casos es, en última instancia, la Fábrica
Nacional de Moneda y Timbre (FNMT) la emisora
de los certificados
• En realidad, está surgiendo una jerarquía de
autoridades de certificación, con nuevas CA
menos conocidas pero que están a su vez
certificadas por otras CA mayores y más
conocidas
51. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
INFRAESTRUCTURA DE
CLAVE PÚBLICA (PKI)
52. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Infraestructura de clave pública
• El modelo de confianza basado en Terceras
Partes Confiables es la base de la definición de
las Infraestructura de Clave Pública (PKI, Public
Key Infrastructure)
• Una Infraestructura de Clave Pública es un
conjunto de hardware, software, protocolos,
servicios, políticas y estándares que soportan
aplicaciones basadas en criptografía de clave
pública
• Permiten ejecutar operaciones criptográficas en
transacciones electrónicas
53. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Infraestructura de clave pública
• Las PKI están compuestas por distintas
terceras partes en los que todos los demás
usuarios de la infraestructura confían
– Autoridad de Certificación
– Autoridad de Registro
– Repositorios de la información
– Autoridad de validación
– Otras Terceras Partes Confiables como, por
ejemplo, las Autoridades de Fechado Digital
54. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Servicios ofrecidos por las PKIs
• Además de la transparencia para el usuario final,
una PKI, ofrece otros servicios
– Generación de certificados de clave pública
– Registro de certificado
– Reposición de certificado
– Revocación de certificado
– Backup y recuperación de claves
– Almacenamiento y distribución
– Aseguramiento de no repudio de Firmas Digitales
– Renovación automática de claves y de certificados
– Gestión de la historia de clave
– Evaluación de la confianza: determinación sobre si un
certificado es válido y qué operaciones están permitidas
para dicho certificado
55. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
¿Como obtener un certificado?
• Pasos para la obtención del certificado:
– Solicitar el certificado a través de Internet
• Nos dará un código con el que habrá que personarse en
una oficina de registro
– Ir a una oficina de registro autorizada
– Comprobarán nuestra identidad física
– Descargarse el certificado
• http://www.cert.fnmt.es/
56. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
CONSIDERACIONES
GENERALES
57. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Consideraciones generales (1/2)
• Con el cifrado de la información se consigue
evitar que un intruso situado entre el emisor y el
receptor, interprete la información enviada
• Mediante la Firma digital, se consigue autenticar
al emisor del mensaje, comprobar que quien
envía el mensaje es quien dice ser, y evitar el No
repudio, es decir, que el emisor no pueda decir
tras enviar un mensaje que el no lo envió
• La seguridad es un tema crítico en el tema de
gestión de datos
– Más aún, si estos datos son de carácter personal, por lo
tanto será fundamental que esos datos estén protegidos
de personas ajenas mediante técnicas de encriptación
58. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
Consideraciones generales (2/2)
• Un entorno seguro implica la necesidad de
estudiar todos los aspectos, para establecer una
infraestructura que de soporte a los servicios de
seguridad, que se quiere proporcionar
• Para el diseño de un entorno de seguridad, se
deben considerar los siguientes puntos
– Estudiar que aplicaciones necesitan seguridad y que
nivel de seguridad necesitan
– Determinar como se van a proporcionar los servicios de
seguridad y en que nivel se van a proporcionar
– Diseñar un sistema de gestión de claves y definir una
política que determine la forma en la que debe operar
59. Modelos de negocio y comercio electrónico en la web
Máster
Universitario
en Ingeniería
Web
SEGURIDAD
Cristian González García v 1.1 Marzo 2015