El documento abarca temas de seguridad de la información, destacando la importancia de la confidencialidad, integridad y disponibilidad. También se discuten conceptos de criptografía y firmas digitales, así como la legislación relacionada en Venezuela que reconoce y regula estos aspectos. Se plantea la necesidad de una infraestructura pública para la certificación electrónica y los mecanismos para garantizar la seguridad en las transacciones digitales.

1. PUBLIC KEY INFRASTRUCTURE
Firmas Electrónicas
Prof. Manuel Mujica
manuel@ubuntu.org.ve
Mayo 2011

2. Firma Digital
Prof. Manuel Mujica
2/36

3. Firma Digital
Prof. Manuel Mujica
3/36

4. ¿Qué es Seguridad de la Información?
Seguridad de información es mucho más que establecer
“firewalls”, aplicar parches para corregir nuevas vulnerabilidades
en el sistema de software, o guardar en la bóveda los “backups”.
Seguridad de información es determinar qué requiere ser protegido
y por qué, de qué debe ser protegido y cómo protegerlo.
Prof. Manuel Mujica
4/36

5. ¿Qué es Seguridad de la Información?
La seguridad de información se caracteriza por la preservación de:
CONFIDENCIALIDAD : La información está protegida de
personas no autorizadas.
INTEGRIDAD : La información está como se pretende, sin
modificaciones inapropiadas.
DISPONIBILIDAD : Los usuarios tienen acceso a la información
y a los activos asociados cuando lo requieran.
Prof. Manuel Mujica
5/36

6. ¿Por qué seguridad informática?
RSA, la División de Seguridad de EMC (NYSE: EMC), anunció
los resultados de la Encuesta mundial sobre seguridad del
consumidor en línea del año 2010: 92% realizó una transacción
bancaria en línea y el 80% realizó una compra en línea.
Un reciente estudio de Federal Deposit Insurance Corporation
(FDIC) indica que durante el último trimestre de 2009, los
Prof. Manuel Mujica
ciberdelincuentes robaron más de 150 millones de dólares de
cuentas bancarias de pequeñas y medianas empresas
norteamericanas. 6/36

7. Modelos de Ataques
E R E R
I I
Intercepción Modificación
E R E R
Prof. Manuel Mujica
E: Emisor
I I R: Receptor
I: Intruso
Fabricación Interrupción 7/36

8. Objetivos de la Seguridad
Definir mecanismos y arquitecturas para
Definir mecanismos y arquitecturas para
tener ambientes seguros con respuesta
tener ambientes seguros con respuesta
efectiva ante ataques y pérdidas
efectiva ante ataques y pérdidas
Servicios Mecanismos
Confidencialidad
Autentificación Cifrado
Prof. Manuel Mujica
Integridad Firma Digital
No repudio Firewall
Control de acceso
Disponibilidad
8/36

9. Criptografía
Criptografía.
● Arte de escribir en forma secreta de un modo enigmático
(Diccionario General de la Lengua Española Vox).
● El arte o ciencia de esconder el significado de una
comunicación.
●La criptografía deriva del griego criptós (oculto) y grafos
(escritura), por lo que literalmente significa escribir en forma
Prof. Manuel Mujica
oculta, oscura o aparentemente incoherente.
9/36

10. Criptografía
Técnica para ocultar y así proteger información
Técnica para ocultar y así proteger información
mientras permanece en disco
mientras permanece en disco
o mientras está en tránsito
o mientras está en tránsito
Substitución:
Cambia un carácter por uno o varios caracteres
MU R C I E L AG O
0 1 2 3 4 5 6 7 8 9
Prof. Manuel Mujica
Hola como estas H967 3909 5ST7S
10/36

11. Criptografía
Substitución.
Sustituir un elemento del alfabeto del texto-plano por uno que
corresponde al alfabeto del texto-cifrado.
El alfabeto latino, que consta de 29 letras: A, B, C, Ch, D, E, F, G, H, I,
J, K, L, Ll, M, N, Ñ, O, P, Q, R, S, T, U, V, W, X, Y y Z
Texto-plano: UNIVERSIDAD
Prof. Manuel Mujica
Texto-cifrado: XPLYHUVLGChG
11/36

12. Criptografía
Transposición (Permutación).
Permuta los caracteres del texto plano.
Texto-plano: ESTE ES UN MENSAJE DE PRUEBA!
Texto-cifrado: EUAR SNJU TMEE EEDB ENEA SSP!
E S T E E S
U NM E N S
Prof. Manuel Mujica
A J E D E P
R U E B A !
12/36

13. Criptosistemas
El medio de transmisión (enlace, red telefónica, red de datos, disco
El medio de transmisión (enlace, red telefónica, red de datos, disco
magnético, disco óptico, etc.) es INSEGURO.
magnético, disco óptico, etc.) es INSEGURO.
Medio de
Transmisor Transmisión Receptor
M C C M
T MT R
Cifrador Mensaje cifrado Descifrador
Confidencialidad
Usurpación de identidad
Prof. Manuel Mujica
Interceptación del mensaje
por un intruso (I) Integridad por un intruso (I)
Estos dos principios de la seguridad informática, el de la
Estos dos principios de la seguridad informática, el de la
confidencialidad yyla integridad, serán muy importantes en un
confidencialidad la integridad, serán muy importantes en un
sistema de intercambio seguro aatravés de Internet.
sistema de intercambio seguro través de Internet. 13/36

14. Compendio de Mensajes
(hashing o digest)
Destila información de un archivo en un solo número hexadecimal
Destila información de un archivo en un solo número hexadecimal
128-256 bits (cifrado en un solo sentido)
128-256 bits (cifrado en un solo sentido)
Sea X el texto en claro y C(X) el compendio del archivo:
Cada bit C(X) se modifica aún con pequeños cambios en X
Dado C(X) debe ser poco factible encontrar X
C(X) no debe ser aleatorio
Prof. Manuel Mujica
Sirve para conformar la firma digital
Permite generar claves simétricas a partir de frases cortas
14/36

15. Compendio de Mensajes
MD5: Diseñado por Ronald Rivest con compendios de 128 bits
SHA: Propuesto por la NSA a 160 bits
SHA vs MD5
(gobierno) (privado)
Hay argumentos para no confiar en ninguno de los entes
Prof. Manuel Mujica
15/36

16. Usos de Algoritmos hash
 Password
 Integridad de mensajes
 Fingerprint de mensajes
 Arranque de dispositivos de red.
 Mayor eficiencia en las firmas digitales.
digitales
 Autenticación
Prof. Manuel Mujica
16/36

17. Criptosistemas Asimétricos
Cifrado con clave privada del emisor
Firma digital
Clave privada Medio de Clave pública
del usuario A Transmisión del usuario A
M DA
DA MT EA M
Usuario A C C Usuario B
Criptograma
protegida
C’ no permitido Intruso
Prof. Manuel Mujica
Integridad
Las claves de EA y DA son Observe que se cifra
Se hace sobre una función “inversas” con la clave privada
hash H(M) del mensaje. del emisor.
17/36

18. Criptosistemas Asimétricos
Firmas Digitales
Prof. Manuel Mujica
18/36

19. 19/36

20. Firma Digital
Prof. Manuel Mujica
20/36

21. Marco legal
GACETA OFICIAL DE LA REPUBLICA BOLIVARIANA DE
VENEZUELA
N° 37.148 del 28 - 02 - 2001
PRESIDENCIA DE LA REPUBLICA
Decreto N° 1.181
17 de enero de 2001
Prof. Manuel Mujica
DECRETO CON FUERZA DE LEY No 1.204 DE FECHA 10 DE
FEBRERO DE 2001, DE MENSAJE DE DATOS Y FIRMAS
ELECTRONICAS
21/36

22. De mensaje de datos y firmas
Electrónicas
CAPITULO I
AMBITO DE APLICACION Y DEFINICIONES
Objeto y Aplicabilidad del Decreto -Ley
Artículo 1°: El presente Decreto-Ley tiene por objeto otorgar y
reconocer eficacia y valor jurídico a la Firma Electrónica, al
Mensaje de Datos y a toda información inteligible en formato
electrónico, independientemente de su soporte material, atribuible
a personas naturales o jurídicas, públicas o privadas, así como
privadas
Prof. Manuel Mujica
regular todo lo relativo a los Proveedores de Servicios de
Certificación y los Certificados Electrónicos.
22/36

23. De mensaje de datos y firmas
Electrónicas
CAPITULO II
DE LOS MENSAJES DE DATOS
Eficacia Probatoria
Artículo 4°: Los Mensajes de Datos tendrán la misma eficacia
probatoria que la ley otorga a los documentos escritos, sin
escritos
perjuicio de lo establecido en la primera parte del artículo 6 de este
Decreto-Ley. Su promoción, control, contradicción y evacuación
como medio de prueba, se realizará conforme a lo previsto para las
Prof. Manuel Mujica
pruebas libres en el Código de Procedimiento Civil.
La información contenida en un Mensaje de Datos, reproducida en
formato impreso, tendrá la misma eficacia probatoria atribuida en
la ley a las copias o reproducciones fotostáticas. 23/36

24. SUSCERTE
La Superintendencia de Servicios de Certificación Electrónica
(SUSCERTE), es un servicio desconcentrado sin personalidad
jurídica, creado mediante el Decreto- Ley N° 1.204 de fecha 10 de
febrero de 2001, sobre Mensajes de Datos y Firmas Electrónicas,
Electrónicas
publicado en la Gaceta Oficial de la República Bolivariana de
Venezuela N° 37.148 del 28 de febrero de 2001, integrado a la
estructura orgánica del Ministerio del Poder Popular para la
Prof. Manuel Mujica
Ciencia, Tecnología e Industrias Intermedias, según Decreto N°
Intermedias
6.732 de fecha 17 de junio de 2009, publicado en Gaceta Oficial de
la República Bolivariana de Venezuela N° 39.202.
24/36

25. SUSCERTE
Es el organismo encargado de coordinar e implementar el
modelo jerárquico de la infraestructura Nacional de
Certificación Electrónica, también acredita, supervisa y controla a
Electrónica
los Proveedores de Servicios de Certificación (PSC) y es el ente
responsable de la Autoridad de Certificación Raíz del Estado
Venezolano. Así mismo tiene como alcance proveer estándares y
Venezolano
herramientas para implementar una tecnología de información
Prof. Manuel Mujica
óptima en las empresas del sector público, a fin de obtener un
mejor funcionamiento y proporcionar niveles de seguridad
confiables.
25/36

26. Firma Electrónica
Prof. Manuel Mujica
26/36

27. Firma Digital
Prof. Manuel Mujica
27/36

28. Prof. Manuel Mujica
Fuente: http://bit.ly/fzKycd
28/36

30. 30/36

31. 31/36

32. Tipos de certificados
Prof. Manuel Mujica
32/36

33. Prof. Manuel Mujica
33/36

34. Firma Digital
Prof. Manuel Mujica
34/36

35. GRACIAS POR SU ATENCIÓN
"Sólo hay un bien: el conocimiento.
Sólo hay un mal:
la ignorancia."
Sócrates.
35/36

36. http://pide.wordpress.com
CONTACTO:
email: manuel@ubuntu.org.ve
OpenPGP keys:7661B42E
http://pgp.surfnet.nl
@mmujica001
Ubuntu User #4728
Linux User #439689
http://www.ubuntu-ve.org
http://creativecommons.org/licenses/by/3.0/deed.es