El documento aborda cuestiones de seguridad en la transmisión de mensajes, enfocándose en la criptografía simétrica y asimétrica, así como en el uso de firmas digitales y certificados dentro de una infraestructura de clave pública (PKI). Se destacan los requisitos de seguridad como autenticidad, integridad y confidencialidad, junto con ejemplos de implementaciones de PKI y el contexto legal en Argentina. Además, se mencionan temas críticos como phishing y la diferencia entre seguridad y privacidad en el mundo digital.

1.  Problemas de seguridad en la transmisión de mensajes
 Criptografía simétrica
 Criptografía asimétrica
 PKCS
 Firma digital
 Infraestructura PKI
 Estado legal actual
 Ejemplos prácticos del uso de certificados digitales
Adicionales: Phishing
Firma digital

2. Firma Digital
Algunos problemas de Integridad del Correo
electrónico
a) Autenticidad del emisor
b) Integridad del mensaje
c) Actualidad del mensaje
d) No repudio del emisor
e) No repudio del receptor
d) Usurpación de identidad del emisor/receptor

3. Juan
LIGHTECH SA Autenticidad
Integridad
No repudio
Confidencialidad
Seguridad en el mundo basado en papel
Firma Digital
El término “Seguridad” a menudo se confunde con “Privacidad”.
Para entender los requerimientos existentes en el mundo digital
y las soluciones que para ello existen, es importante comprender
previamente cómo se garantizan los atributos de seguridad
en las transacciones basadas en papel.

4. La criptografía es la ciencia que se encarga de mantener los mensajes en
forma secreta.
• Existen dos tipos básicos de sistemas criptográficos:
– Sistemas simétricos o de clave privada: utilizan la misma clave para
encriptar y desencriptar.
– Sistemas asimétricos o de clave pública: utilizan dos claves, una privada y
una pública (siendo una la inversa de la otra). Ambas pueden ser usadas
para para encriptar y desencriptar.
Firma Digital
Criptografía

5. Criptografía Simétrica
E
Firma Digital
El mensaje original es encriptado usando la
clave compartida. Se obtiene como resultado
un mensaje encriptado.
D
El mensaje encriptado es enviado al destinatario
El mensaje recibido se desencripta usando
también la clave compartida. Se obtiene como
resultado el mensaje original.
Confidencialidad
Integridad

6. Criptografía Simétrica
Firma Digital
Ventajas
• Gran velocidad de cifrado y descifrado.
• Tecnología muy conocida y difundida.
Desventajas
• La distribución de las claves debe hacerse a través de algún medio seguro.
• La seguridad depende de un secreto compartido entre el emisor y el receptor.
• La administración de las claves no es “escalable”.
Ejemplos
• DES, 3DES, IDEA, AES, Blowfish.

7. El mensaje original es encriptado usando la
clave pública del receptor. Se obtiene como
resultado un mensaje encriptado.
Firma Digital
D
E
Criptografía Asimétrica – Modo Encripción
El mensaje encriptado es enviado al destinatario
Confidencialidad
El mensaje recibido se desencripta usando
la clave privada del receptor. Se obtiene como
resultado el mensaje original.

8. El mensaje original es encriptado usando la clave
privada del emisor. Se obtiene como resultado
un mensaje encriptado.
Firma Digital
D
E
Criptografía Asimétrica – Modo Autenticación
El mensaje encriptado es enviado. El mensaje
puede ser recibido por más de un destinatario
El mensaje recibido se desencripta usando
la clave pública del emisor. Se obtiene como
resultado el mensaje original.
Autenticidad
Integridad

9. Criptografía Asimétrica
Firma Digital
Ventajas
• No es necesario efectuar ningún intercambio de claves.
• Es una tecnología muy conocida y comprendida.
• Garantiza todos los requisitos de los servicios de seguridad.
Desventajas
• Requiere mayor potencia de cómputo para cifrar y descifrar que el método
simétrico.
Ejemplos
• RSA, CCE

10. Firma Digital
Conjunto de documentos que contienen especificaciones sobre Seguridad.
Alcance:
Infraestructura de Clave Pública y criptografía.
Algunos ejemplos:
• PKCS #1: Sintaxis de las claves + algoritmos de clave pública.
• PKCS #7:Sintaxis para mensajes firmados y encriptados.
• PKCS #8:Sintaxis para la información de la clave privada.
• PKCS #10: Sintaxis de los requerimientos de certificados.
• PKCS #12:Sintaxis para intercambiar certificados y claves privadas
almacenadas.
PKCS

11. • Provee la seguridad requerida para la transmisión de información sensible en
Internet.
• Maneja todos los aspectos relacionados con la “Confianza Digital”.
Infraestructura de clave pública
Firma Digital
No repudio
Integridad
Autenticidad
Confidencialidad +
+
+

12. Autoridad de
Certificación
Aplicaciones
Repositorio de
certificados y
CRLs
Clientes
Autoridad de
Registración
Firma Digital
Infraestructura de clave pública - Componentes

13. Juan
Juan
DNI
Credenciales
clave
pública
Opcionalmente, la copia del certificado
puede obtenerse de un repositorio de
certificados provisto por la CA.
El certificado se adjunta al mensaje.
Luego, el receptor usa la clave
pública contenida en el certificado
para desencriptar el mensaje.
La “confianza” sobre el certiticado
está dada por la firma digital de la CA.
Para obtener un certificado, la persona debe
enviar a la Autoridad de Registración o RA
información que pruebe su identidad junto con su
clave pública.
El usuario debe generar un par de claves antes de
requerir un certificado.
Las claves pueden ser generadas usando distintos tipos
de software o usando Smartcards.
Firma Digital
CA
Repositorio
de
Certificados
RA
Funcionalidad de los componentes
El certificado es un documento electrónico, tiene un
formato estándar y contiene atributos como ser:
nombre de la persona, correo electrónico, una copia de
la clave pública, un período de validez y el nombre de la
CA que lo emitió.
Es el vínculo entre el par de claves y el poseedor de
dichas claves.
El certificado es firmado digitalmente por la CA.
Certificado
Juan
La Autoridad de Registración o RA autentica las
credenciales provistas por la persona de acuerdo a las
políticas.
Luego, la RA envía el requerimiento a la CA para que
ésta emita el certificado y se lo envie al usuario.

14. ¿Qué es la Firma Digital?
Firma Digital
•Desde el punto de vista legal, produce los mismos efectos que la
firma hológrafa pero sobre un formato digital.
• Desde el punto de vista técnico, es una secuencia de bits de
longitud fija, resultante de aplicar un conjunto de algoritmos
criptográficos que permiten identificar al autor y verificar la
integridad del contenido firmado.

15. Propósitos de la firma digital
Firma Digital
• Verificar que el contenido del documento no fue alterado
( integridad del documento).
• Atribuir el documento a su autor de manera fehaciente
(autenticación del autor).
• Garantizar que el autor no pueda negar haber firmado el
documento o mensaje (no repudio de la acción).

16. ¿Qué se necesita para firmar?
Firma Digital
Un par de claves
Un certificado digital que identifica al firmante.
• Que contenga la clave pública del firmante.
• Emitido por una Autoridad de certificación.
Alice

17. = Certificado
digital X.509
- Formato en el que
se representa =ASN1
- Puede ser también
representado como
texto ASCII
X.509 Certificate
Version
Certificate Serial
Number
Signature Algorithm
Identifier
Issuer Name
Validity Period
Subject Name
Subject Public Key
Information
Issuer Unique
Identifier
Subject Unique
Identifier Extensions
CA
Digital
Signatu
re
Certificados digitales
Firma Digital

18. Clave
privada
H
Para crear una firma digital hay que crear un resumen del
mensaje original o “hash” . La función de resumen reduce
el mensaje a un cadena de caracteres de tamaño fijo.
El emisor encripta el resumen del mensaje
con su clave privada.
La función que genera el resumen y el
proceso de encripción son llevados a cabo
automáticamente por los módulos de
hardware y/o software intervinientes.
E
Firma Digital - Proceso de firma
Firma Digital
El mensaje original junto con la firma son
enviados al destinatario.
El encriptado del resumen del mensaje se
adjunta al mensaje original formando así la
FIRMA DIGITAL

19. La privacidad de la clave privada garantiza
el no repudio.
El emisor no puede negar más tarde haber
enviado el mensaje.
La ligadura entre la clave privada y la identidad
del emisor está garantizada por el certificado
firmado por la Autoridad de Certificación en la
cual el receptor confía.
Ahora el interrogante es:
¿El resumen del mensaje original coincide con el
resumen obtenido a partir del mensaje recibido?
El sistema calcula un nuevo resumen
a partir del mensaje recibido
La clave pública es usada para
desencriptar la firma digital
Firma Digital
D
Autenticidad
H
?
Firma Digital – Proceso de verificación
No repudio
Confidencialidad
Clave
pública
?
Integridad
?
La firma digital no garantiza la confidencialidad.
Si alguien intenta generar una firma del documento usando
otra clave privada, la verificación será errónea, o sea el
chequeo de autenticidad dará falso.
Nadie puede generar la misma firma de un documento sin
poseer la clave privada.
Si los resultados no coinciden, significa que
el mensaje fue alterado durante su transmisión.
Esto constituye el chequeo de integridad, si el
mismo falla, se puede requerir al emisor que
retransmita el mensaje.
Para poder verificar una firma digital, el receptor
debe obtener la clave pública del emisor.

20. • Una organización o empresa puede:
– Implementar/Instalar su propia PKI
– Contratar los servicios de certificación de una PKI
existente
Implementación de una PKI
Firma Digital

21. Entrust http://www.entrust.net/
Globalsign http://www.globalsign.net/
Verisign http://www.verisign.com/
AC de la Administración Pública Nacional http://www.pki.gov.ar
Ejemplos de PKIs en la red
Firma Digital

22. OPENCA:
Constituye una implementación “opensource” de una
infraestructura PKI.
Componentes:
 Autoridad de certificación
 Autoridades de registración
 Servidor web público que posibilita la interacción con
los usuarios de la pki
 Repositorio de certificados
Producto que implementa una PKI
Firma Digital

23. Infraestructura PKI-Openca
Sitio público

24. Infraestructura PKI-Openca
Interfaz de la CA

25. Infraestructura PKI-Openca
Interfaz de la RA

26. PKIX
Firma Digital
Es un grupo de trabajo del IETF
RFC 2459 – Certificate and CRL profile
RFC 2527 – Cert Policy and Certification Practices
Framework
RFC 2559 – LDAP
RFC 2560 – OCSP
Los documentos PKIX y las RFCs relacionadas se
encuentran en:
http://www.ietf.org/html.charters/pkix-charter.html

27. • Ley 25.506 (promulgada 11/dic/2001) Reglamentada dec 2628/02
– Autoridad de Aplicación: Jefatura de Gabinete de Ministros, establece
las normas y procedimientos técnicos
– Comisión Asesora para la Infraestructura de Firma Digital: emite
recomendaciones sobre los aspectos técnicos referidos al
funcionamiento de la Infraestructura de Firma Digital.
– Ente Administrador de Firma Digital: encargado de otorgar las licencias
a los certificadores y de supervisar su actividad.
– Certificadores licenciados: organismo público que obtengan una licencia
para actuar como proveedores de servicios de certificación
– Autoridades de Registro: son entidades con las funciones de validación
de la identidad y otros datos de los suscriptores de certificados.
– Sistema de Auditoría: será establecido por la autoridad de aplicación, a
fin de evaluar la confiabilidad y calidad de los sistemas utilizados por
los certificadores licenciados.
Situación legal en argentina
Firma Digital

28. Emisión de
Emisión de
Certificados X509
Certificados X509
Correo electrónico seguro
Correo electrónico seguro
Firma de documentos
Firma de documentos
Transmisiones seguras
Transmisiones seguras
(SSL, IPSec, PGP)
(SSL, IPSec, PGP)
Autenticación del usuario
Autenticación del usuario
PKI y uso de certificados
Firma Digital

29. Los Certificados:
Identifican un usuario, servidor o empresa.
Permiten el cifrado de las comunicaciones (con las claves).
Permiten la firma un documento electrónico.
Tipos de certificados según el protocolo de comunicaciones y la
aplicación que se esté utilizando:
Certificado personal
Certificado de servidor
Certificado para VPNs
Certificado para firmar código
PKI y uso de certificados(cont)
Firma Digital

30. SSL (Secure Sockets Layer)
 Protocolo originalmente desarrollado por Netscape.
 Se convirtió luego en el estándar de la WEB para:
 Autenticar Sitios WEB (servidores) frente a navegadores WEB
(clientes).
 Encriptar las comunicaciones entre clientes y servidores WEB.
 En la actualidad la funcionalidad de SSL está integrada en la
mayor parte de clientes y servidores web.
PKI y uso de certificados-SSL
Firma Digital

31. PKI y uso de certificados-SSL
Firma Digital
Cliente Servidor
Hello
Server Digital ID
Client Digital ID
Session Key
Comunicación
segura
establecida

32. Dos esquemas de amplio uso para proveer
servicios de autenticación y confidencialidad al
Correo electrónico son:PGP y S/MIME
PGP:
 Creado por Phil Zimermann
 Se ha convertido en uno de los mecanismos más
populares para utilizar criptografía
 Ya es un estándar internacional, RFC 2440, y dispone de
numerosas aplicaciones
Seguridad en el correo electrónico-Otros
estándares:
Firma Digital

33. PGP:
 Hace uso de la criptografía asimétrica
 Su punto fuerte radica en la facilidad que ofrece a los
usuarios para generar claves y gestionarlas
 El software y la documentación, incluyendo el código
fuente, se encuentran disponibles en Internet
 Existen versiones libres y comerciales que implementan
PGP, para manejo de claves y aplicación de criptografía.
 También existen versiones libres y comerciales que
implementan Servidores de claves PGP.
Seguridad en el correo electrónico-PGP
Firma Digital

34. Ventajas de PGP:
 Disponible para correr en una gran variedad de
plataformas.
 Basado en algoritmos extensamente revisados y
considerados ampliamente seguros (RSA, DSS y Diffie-Hellman;
CAST-128, IDEA y 3DES; SHA-1)
 Tiene un amplio campo de aplicación (permite, a individuos que
quieren comunicarse entre sí de manera segura, encriptar archivos y
mensajes)
 No fue desarrollado por ningún gobierno ni organización de
creación de estándares, lo cual lo hace atractivo.
Seguridad en el correo electrónico-PGP
Firma Digital

35. Esquema de confianza:
 La confianza se basa en la creación y el
mantenimiento de anillos de confianza.
 Anillo de claves públicas: archivo en el que se
guardan las claves públicas del usuario
propietario y las claves públicas de importadas.
 Anillo de claves privadas: archivo en el que se
guarda la/s clave/s privada/s del usuario
propietario.
Seguridad en el correo electrónico-PGP
Firma Digital

36. Desventajas de PGP y su relación con la PKI:
 En un sistema abierto en Internet como puede ser el
comercio electrónico, esta situación y otras más que
pueden darse en este sistema de gestión de claves de
confianza mutua, resulta inaceptable.
 La solución, que PGP ya contempla en sus últimas
versiones, es la aceptación de las Autoridades de
Certificación como certificadores de claves públicas.
Seguridad en el correo electrónico-PGP
Firma Digital
La gestión de claves en PGP se basa en la
confianza mutua: ¡los amigos de tus amigos
son mis amigos!

37. – Probaremos firma digital con:
• OpenCA
• PGP8.1 (PGP Corporation)
Finalizando…
Firma Digital

38. Phishing
• Los ataques de phishing usan la ingeniería
social acompañada de otras técnicas a fin de
robar datos de identidad y financieros de
consumidores, como ser: nombres de usuario,
números de tarjetas de crédito, claves, etc.
• Se envían mails falsos o spam, escritos como
si hubieran sido enviados por la auténtica
organización (como ser el banco del cual el
receptor es cliente) a fin de que el usuario
revele información sensible.

39. Phishing
• Se emplea una combinación de técnicas
simples para engañar usuarios inexpertos o
distraídos, como ser:
– DNS poissoning
– Pharming
– Spam
• Veamos un ejemplo...
• Algunas referencias:
– http://www.honeynet.org/papers/phishing/
– http://www.antiphishing.org/