Subido pordomingosuarez
PDF, PPTX308 vistas

Retos adm electr_y_voto_electronico

El documento discute los retos actuales de la e-administración, el voto electrónico y la firma digital. En particular, señala problemas con RSA 1024 y SHA-1, la necesidad de soportar diferentes sistemas operativos, y retos como la desvinculación del voto de la identidad y garantizar la seguridad y transparencia del proceso de voto electrónico. También menciona posibles soluciones como el uso de entornos seguros de firma y la firma homomórfica.

Incrustar presentación

Descargar como PDF, PPTX
Retos actuales para la Retos actuales para la e-administración y el e-administración y el voto electrónico voto electrónico Fernando A. Acero Martín Abril 2008 GDFL, las imágenes son propiedad de sus autores.
ÍNDICE • Introducción a la firma – Funciones de hash – Sistemas de clave pública – Concepto de certificado • Proceso de firma y verificación • E-dni – Problemas – Retos – Soluciones posibles • Voto electrónico – Tipos de voto – Retos actuales – Firma homomórfica – Soluciones posibles – Experiencias
¿QUÍEN VIGILA A LOS VIGILANTES? “¿Quis Custodiet Ipsos Custodes?” Juvenal, circa 128 AD
INTRODUCCIÓN A LA FIRMA
ELEMENTOS BÁSICOS HASH ENCRIPTACIÓN SIMÉTRICA / CLAVE PRIVADA ENCRIPTACIÓN ASIMÉTRICA / CLAVE PÚBLICA DES (Data EncryptionStandard) RSA (Rivest, Shamir and Addleman) IDEA (International Data Encryption Algorithm) PGP (Pretty Good Privacy) AES (Advanced EncryptionStandard) SAFER CLAVE CRIPTOGRAFIA CLAVE PRIVADA PÚBLICA
CONCEPTO DE HASH Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Vivamus fermentum laoreet augue. Etiam leo. Curabitur eget leo. Duis wisi. In in felis. Phasellus consequat, massa luctus congue suscipit... LONGITUD ARBITRARIA LONGITUD FIJA hash / fingerprint / digest DE70 5273 550F 8BFF DBB6 F674 45CA 8E2A
CARACTERÍSTICAS / CONSECUENCIAS • Cambio de un bit => cambio de varios bits. • Habrá necesariamente varios mensajes que compartan en el mismo código de hash. (Colisiones) • Dificultad para encontrarlos => tamaño del hash => Coste/Eficacia • Facilidad de cálculo. • Resistencias: – Colisiones. – Preimagen. – 2ª preimagen.
USOS DEL HASH • “NAVAJA SUIZA” criptográfica. • Identificación de mensajes. • Comprobación de modificaciones y errores • Intercambio de claves. • Firma electrónica de mensajes y claves. • Páginas web seguras. • El 99% de los servicios telemáticos las usan. • Nuestra seguridad nacional depende de estas funciones.
SHA-1 • Diseñado por la NSA, evolución del SHA-0 hace 10 años. SHS (Secure Hash Standard). • Monocultura SHA-1/MD5/RIPEMD • 160 bits para mensaje máximo de 2^64 bits. • Resistencias: – Preimagen O(2^160). Dado hash no se puede encontrar un mensaje con el mismo hash. – Segunda preimagen. Dado un mensaje no se puede encontrar otro con el mismo hash. – Colisión O(2^80). No se pueden encontrar dos mensajes distintos que den el mismo hash. • SHA-2 (Set-2) 224, 384, 512 bits.
CIFRADO ASIMÉTRICO RSA
CIFRADO ASIMÉTRICO RSA • Dos claves, una pública y otra privada por usuario. Una invierte el efecto de la otra. • Para cifrar un mensaje se necesita tener su clave pública. • Para descifrar el mensaje se necesita la clave privada. • Para general firmas digitales se necesita la clave privada. • Para verificar firmas digitales se necesita la clave pública. • Sistemas basados funciones de un único sentido: – Números primos (cuestionados). – Curvas elípticas (futuro cercano).
CONCEPTO DE CERTIFICADO
CONCEPTO DE CERTIFICADO Certificados Digitales: • Representan identificadores unívocos de una persona en Internet. • La regulación de la firma conecta directamente con este concepto: la firma debe basarse en certificado. • Los certificados permiten diversos usos: – Permiten la identificación de las personasen Internet. – Sirven para evitar la retrocesión y garantizan el “no repudio”. – Ofrecen soporte a la firma electrónica con reconocimiento jurídico. – Permiten el envío de mensajes cifrados al suscriptor. – Permiten ser usados como mecanismo de acceso (como “llave”).
CONCEPTO DE FIRMA Firma Electrónica: • Herramienta de seguridad basada en la criptografía asimétrica o de Clave Pública. • Algoritmo de cifrado RSA y con claves típicamente de 1024 o 2048 bits. • Estándares ampliamente difundidos (X509 v3) PKCS #10 y PKCS #11. • Marco regulatorio sólido en EEUU y la Unión Europea. • Se asocian inequívocamente a una persona. • Si cumple ciertas propiedades es equivalente a la firma manuscrita. • Es considerada la herramienta clave para aportar la seguridad necesaria en la red. • Además de la Firma de mensajes, tiene otras importantes aplicaciones: autenticación, mecanismo de acceso, desarrollo de código seguro, etc.
PROCESO DE FIRMA Y VERIFICACIÓN
PROCESO DE FIRMA DIGITAL Generación de una Firma Electrónica: 1. Se toma el documento y se calcula un resumen digital con una función llamada (hash SHA Secure Hash Algorithm). 2. Se emplea la Clave Privada del Certificado para cifrar el resumen. 3. Al resultado, se almacena junto con el Documento original en una estructura de datos. 4. Se envía al destinatario, junto al documento o asociada al mismo, a través de un canal. 5. Cuidado con los metadatos y determinados formatos.
VERIFICACIÓN DE FIRMA
VERIFICACIÓN DE FIRMA • Proceso de verificación de la firma: • Se recibe el documento y la firma electrónica. • Se extrae la firma digital. • Se toma el documento y se calcula un nuevo resumen. • Se toma el resumen, se toma la firma digital y la clave pública del firmante y se ejecuta una función matemática, que indica si la firma es correcta.
E-DNI
CONTENIDO • 2 CERTIFICADOS RSA 1024 bits (autentificación / cifrado de comunicaciones y firma). • FIRMA SHA-1 / SHA- 256 • FILIACIÓN • FOTO • HUELLA • FIRMA • CERTIFICADO RAÍZ EMISOR
PROBLEMAS • RSA 1024 basado en factorización de números primos. Avances de Hugo Scolnik y otros, recomiendan el uso de curvas elípticas. • SHA-1 en proceso de búsqueda de colisiones. • No dispone de algoritmos específicos para voto electrónico. • Si el sistema está comprometido, no hay garantías de lo que se firma. (entorno seguro de firma / conocimiento de los usuarios). • Demasiado complicado de cambiar en caso de fallo del sistema criptográfico (lentitud en el despliegue / falta de alternativas en el mercado / coste de implantación). • El problema de la seguridad por oscurantismo - > soporte complicado. • No es trivial su uso e instalación en los sistemas. • Compatibilidad con sistemas operativos (Ley 11/2007 31DIC09). • Contenedor único, certificados públicos encerrados, contraseña única para todo.
RETOS • La seguridad y concienciación del usuario. • Evaluación de riesgos. • El soporte de versiones y sistemas operativos. • La certificación de hardware y sus controladores. • Mantener al día la tecnología. • Facilitar la instalación y configuración. • Soporte de aplicaciones. • Soporte del voto electrónico. • Legislación no posibilista insuficiente (Custodia Digital).
ALGUNAS SOLUCIONES INMEDIATAS • Entorno seguro de firma – Basado en tecnología “live”. – Es certificable Common Criteria EAL. – Puede contener operativas certificadas (bancos, administración, etc). – Puede contener controladores hard certificados. – Garantiza la integridad del sistema. – Garantiza el acceso a la e-firma con solamente configurar la red. – Proporciona una alternativa al problema del soporte de sistemas operativos / controladores. – Aplicaciones configuradas para firma de documentos y acceso a servicios. • Soporte – Crear un wraper / librerías que permitan la compilación local bajo cualquier sistema operativo del código propietario. – Preinstalación de certificados raíz y controladores.
VOTO ELECTRÓNICO
LA TECNOLOGÍA EN NUESTRAS VIDAS “La tecnología no es buena ni mala, pero tampoco es neutral”. Melvin Kranzberg
CONCEPTO DISPERSO • Voto directo desde ordenador conectado a Internet. • Urna electrónica en sus distintas variantes. • Asistentes de recuento de voto. • Transmisión telemática de resultados.
RETOS ACTUALES • Voto no presencial electrónico: – Coacciones y amenazas - > voto modificable – Desvinculación del voto de la identidad -> Homomórfica f(A) + f(B) = f(A+B). – Seguridad del entorno de voto. • Voto presencial electrónico. – Desvinculación del voto de la identidad (orden natural). – Transparencia. – Verificación del proceso -> papeleta de control. • Legislación (no solamente posibilista). • La mejor tecnología posible, no la mejor de las disponibles (sin mucha fe en este aspecto). • No renunciar a garantías -> buscar solución. • ¿Quién certifica los sistemas? • ¿Vale la pena tanto esfuerzo? ¿qué se gana con ello? • La brecha democrática / democracia participativa.
FIRMA HOMOMÓRFICA F(A+B) = f(A) + f(B) FIRMA IDENTIDAD VOTO CÓDIGO DE CONTROL = FIRMA (IDENTIDAD + VOTO) FIRMAS GUARDO MI IDENTIDAD FIRMADA Y LUEGO PUEDO COMPROBAR QUE MI VOTO FIRMADO ESTA EN LA URNA Y CONTABILIZADO, SIN COMPROMETER MI IDENTIDAD
ALGUNAS SOLUCIONES • Arquitectura y software abiertos (opción de Brasil). • Sistemas de cifrado y firma diseñados específicamente para el voto. • Mantener la cadena de control y verificación. • No sucumbir a la oferta de sistemas sin estudiar a fondo sus pros y contras. • Tener en cuenta el déficit democrático ¿vale la pena? ¿cómo afectará a la democracia?. • Transparencia en todo el proceso, desde la elección de la tecnología a la implantación.
ALGUNAS EXPERIENCIAS • EEUU – Problemas y polémicas (calibración de pantallas táctiles, sistema de auditoría, sistemas propietarios, papeletas complicadas). • Brasil – Problemas de auditoria y sistemas propietarios. • Estonia – Uno de los países más avanzados, se puede votar desde casa y cambiar el voto, el presencial anula los electrónicos. • India – Activo desde 1996, máquinas en colegios, problemas de transparencia. • Bélgica – Tarjeta magnética y bolígrafo electrónico -> recibo – Últimas elecciones tradicional con ayuda al recuento • España – Algunas pruebas no vinculantes con resultados diversos. – Solamente País Vasco con legislación habilitante.
PREGUNTAS

Más contenido relacionado

PDF
Curso autenticacion robusta
porCein
 
PDF
Infraestructura de clave pública con Software Libre
porToni de la Fuente
 
PPTX
Infraestructura PKI
porCinthia Duque
 
PPT
3. certificados y pki
por1 2d
 
PPTX
Pki
pordanielmon1
 
PPT
Firmadigital andrea
porarriaguita21
 
DOCX
Definición de seguridad privada
porGCIRIDIAN
 
PDF
Seguridad de usuario en el acceso a internet 1
porCein
 
Curso autenticacion robusta
porCein
 
Infraestructura de clave pública con Software Libre
porToni de la Fuente
 
Infraestructura PKI
porCinthia Duque
 
3. certificados y pki
por1 2d
 
Pki
pordanielmon1
 
Firmadigital andrea
porarriaguita21
 
Definición de seguridad privada
porGCIRIDIAN
 
Seguridad de usuario en el acceso a internet 1
porCein
 

La actualidad más candente

PDF
Gestión de Certificados Digitales con OpenSSL
porEsteban Saavedra
 
PPTX
Infraestructura pki
porgcalahorrano
 
PPTX
Pki
porMyrian Medina
 
DOCX
Act.6 seguridad privada y encriptamiento de datos
porYesenia Hernandez Ortiz
 
PPTX
Infraestructura PKI
pordsantosc
 
PDF
Servidor criptográfico en red para el sector financiero
porRealsec | Tecnología y sistemas de cifrado y firma digital
 
DOCX
Respuestas
porHadassa HAdassa
 
PPSX
Seguridad informatica
porIng. Inf. Karina Bajana Mendoza
 
PDF
SlingSecure Cifrado de voz movil Esponal
porSlingSecure Mobile Encryption
 
PDF
Tecnologia d’integració per l’autenticació amb DNIe
porRames Sarwat
 
PPT
Firma digital - POO 0908
porAlexis Encarnación
 
PDF
Gestión de Certificados Digitales con OpenSSL
porEsteban Saavedra
 
DOCX
Definiciones
porMiriam Cardenas Rodriguez
 
PPTX
Infrestructura pki
pordansterec
 
PPT
Seminario Firmas Y Certificados Digitales Pki
porJose Zelada Peralta
 
DOCX
act. 5
porAbigail Hernandez Garcia
 
PDF
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
pormarcsegarralopez
 
PPTX
Infrestructura pki
porFreddy Guillermo Lojan Zuñiga
 
Gestión de Certificados Digitales con OpenSSL
porEsteban Saavedra
 
Infraestructura pki
porgcalahorrano
 
Pki
porMyrian Medina
 
Act.6 seguridad privada y encriptamiento de datos
porYesenia Hernandez Ortiz
 
Infraestructura PKI
pordsantosc
 
Servidor criptográfico en red para el sector financiero
porRealsec | Tecnología y sistemas de cifrado y firma digital
 
Respuestas
porHadassa HAdassa
 
Seguridad informatica
porIng. Inf. Karina Bajana Mendoza
 
SlingSecure Cifrado de voz movil Esponal
porSlingSecure Mobile Encryption
 
Tecnologia d’integració per l’autenticació amb DNIe
porRames Sarwat
 
Firma digital - POO 0908
porAlexis Encarnación
 
Gestión de Certificados Digitales con OpenSSL
porEsteban Saavedra
 
Definiciones
porMiriam Cardenas Rodriguez
 
Infrestructura pki
pordansterec
 
Seminario Firmas Y Certificados Digitales Pki
porJose Zelada Peralta
 
act. 5
porAbigail Hernandez Garcia
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
pormarcsegarralopez
 
Infrestructura pki
porFreddy Guillermo Lojan Zuñiga
 

Destacado

PPTX
Aula de innovación pedagógica
porMarlene Durán
 
PPT
Informe De Supervision 2007
porguest732111
 
PPTX
Aula de innovacion pedagogica
porJavier Córdova
 
PDF
Pasos rápidos para acceder al Portal Peru Educa
porIsabel Innovadora
 
PPT
AULA DE INNOVACIÓN PEDAGÓGICA
porEMILYROSSE ALTAMIRANO
 
PPTX
Voto electronico
porCOECYS
 
DOCX
2.1 ficha monitoreo al aula
porNilton Chinchay
 
DOC
PLAN DE TRABAJO AULA DE INNOVACION 2013
porAngi Di
 
DOC
Carpeta aip crt
pordemetrio apaza catacora
 
DOC
INFORME DE SUPERVISIÓN EDUCATIVA 2012 "I.E.PADRE PÉREZ DE GUEREÑU" 2012
porrómulo aroni castillo
 
DOCX
Plan anual de supervision monitoreo y acompañamiento 2015
porJORGE FLOREZ LOAIZA
 
DOC
3. ficha monitoreo-aip_2012
porelias melendrez
 
DOC
FICHAS DE MONITOREO A DOCENTES DE LAS INSTITUCIONES EDUCATIVAS
porDaip Lic. Teófila Romero Guzmán
 
PPTX
Proyectovotoparatodos
porjjjuanjjj
 
PDF
GOBIERNO DIGITAL 9/2007: Voto electrónico
porestebanwww
 
PPT
AIP-CRT-UGEL03
porIsabel Innovadora
 
DOCX
Proyecto voto electronico
porjjjuanjjj
 
PDF
Ficha monitoreo(1)
porRufino Cruz Ruiz
 
PDF
Plan Anual de Trabajo del AIP 2014 copy
porCarlos3176
 
DOCX
Ficha monitoreo 2013
porMagdalena Itati Navarro Fernández
 
Aula de innovación pedagógica
porMarlene Durán
 
Informe De Supervision 2007
porguest732111
 
Aula de innovacion pedagogica
porJavier Córdova
 
Pasos rápidos para acceder al Portal Peru Educa
porIsabel Innovadora
 
AULA DE INNOVACIÓN PEDAGÓGICA
porEMILYROSSE ALTAMIRANO
 
Voto electronico
porCOECYS
 
2.1 ficha monitoreo al aula
porNilton Chinchay
 
PLAN DE TRABAJO AULA DE INNOVACION 2013
porAngi Di
 
Carpeta aip crt
pordemetrio apaza catacora
 
INFORME DE SUPERVISIÓN EDUCATIVA 2012 "I.E.PADRE PÉREZ DE GUEREÑU" 2012
porrómulo aroni castillo
 
Plan anual de supervision monitoreo y acompañamiento 2015
porJORGE FLOREZ LOAIZA
 
3. ficha monitoreo-aip_2012
porelias melendrez
 
FICHAS DE MONITOREO A DOCENTES DE LAS INSTITUCIONES EDUCATIVAS
porDaip Lic. Teófila Romero Guzmán
 
Proyectovotoparatodos
porjjjuanjjj
 
GOBIERNO DIGITAL 9/2007: Voto electrónico
porestebanwww
 
AIP-CRT-UGEL03
porIsabel Innovadora
 
Proyecto voto electronico
porjjjuanjjj
 
Ficha monitoreo(1)
porRufino Cruz Ruiz
 
Plan Anual de Trabajo del AIP 2014 copy
porCarlos3176
 
Ficha monitoreo 2013
porMagdalena Itati Navarro Fernández
 

Similar a Retos adm electr_y_voto_electronico

PPTX
DNI-e
porGonzalo Marugan
 
PDF
Firma electrónica
porUniversidad de Burgos
 
PPTX
CRIPTOGRAFÍA BASICA EN POWER POINT - CS
porClaudiaVelezGarca
 
PDF
Firmas Electrónicas y Firma Digital
porLuisAntonioAcosta
 
PPT
Criptografia Aplicada
porRoger CARHUATOCTO
 
PPT
Certificados digitales de clave pública
porAdrián Macías Alegre
 
DOC
Firma digital
porkerlydc
 
PPTX
Unidad 7 - Seguridad en Transacciones Comerciales
porWaldo Caballero
 
PPT
Firma digital presentación ryt2024itu.ppt
porMelisaCordoba5
 
DOC
Métodos de encriptación
porESPE
 
DOC
Métodos de encriptación
porESPE
 
PPTX
Diapositivas telemática
porLuis David
 
PPT
Firma digital
porAlexis Encarnación
 
PDF
Firma digital
porG Hoyos A
 
PPT
EXPOSICIÓN EJE TEMÁTICO N° 3
porNormaAlonso2008
 
PDF
Criptografia
porFranyelica
 
PDF
Criptografia
porFranyelica
 
PPT
Firma Digital
pormizar1
 
PPTX
Presentación "Eje tematico 3"
porkrodiazramirez10
 
PPTX
Dat0 12 abril
porLiseth Oviedo
 
DNI-e
porGonzalo Marugan
 
Firma electrónica
porUniversidad de Burgos
 
CRIPTOGRAFÍA BASICA EN POWER POINT - CS
porClaudiaVelezGarca
 
Firmas Electrónicas y Firma Digital
porLuisAntonioAcosta
 
Criptografia Aplicada
porRoger CARHUATOCTO
 
Certificados digitales de clave pública
porAdrián Macías Alegre
 
Firma digital
porkerlydc
 
Unidad 7 - Seguridad en Transacciones Comerciales
porWaldo Caballero
 
Firma digital presentación ryt2024itu.ppt
porMelisaCordoba5
 
Métodos de encriptación
porESPE
 
Métodos de encriptación
porESPE
 
Diapositivas telemática
porLuis David
 
Firma digital
porAlexis Encarnación
 
Firma digital
porG Hoyos A
 
EXPOSICIÓN EJE TEMÁTICO N° 3
porNormaAlonso2008
 
Criptografia
porFranyelica
 
Criptografia
porFranyelica
 
Firma Digital
pormizar1
 
Presentación "Eje tematico 3"
porkrodiazramirez10
 
Dat0 12 abril
porLiseth Oviedo
 

Más de domingosuarez

PDF
Manual practico supervivencia_administracion_electronica
pordomingosuarez
 
PDF
Administracion electronica malaga_practico
pordomingosuarez
 
PDF
Correo seguro univers_sevilla
pordomingosuarez
 
PPTX
Administracion electronica teoria_2
pordomingosuarez
 
PDF
Saboreando la administracion_electronica
pordomingosuarez
 
PDF
Autenticacion correo firmadigital
pordomingosuarez
 
PDF
Dudas firma electron ica_ceres
pordomingosuarez
 
PDF
Correo seguro univ_murcia
pordomingosuarez
 
PDF
Administracion electronica coslada
pordomingosuarez
 
PPTX
Administracion electronica teoria_3
pordomingosuarez
 
PDF
Univ almeria manualdeportafirmas
pordomingosuarez
 
PDF
Autenticacion practica correo__pop3
pordomingosuarez
 
PDF
Manual supervivencia administracion_electronica
pordomingosuarez
 
PDF
La administracion electronica_y_el_servicio_a_los_ciudadanos
pordomingosuarez
 
PDF
Administracion electronica 2010_astic_aec
pordomingosuarez
 
PDF
Correo seguro correos
pordomingosuarez
 
PDF
Autenticacion practica correo_smtp
pordomingosuarez
 
PDF
Univ almer configuracionavisos
pordomingosuarez
 
PPTX
Administracion electronica teoria_1
pordomingosuarez
 
PPSX
Administracion electronica evaluacion
pordomingosuarez
 
Manual practico supervivencia_administracion_electronica
pordomingosuarez
 
Administracion electronica malaga_practico
pordomingosuarez
 
Correo seguro univers_sevilla
pordomingosuarez
 
Administracion electronica teoria_2
pordomingosuarez
 
Saboreando la administracion_electronica
pordomingosuarez
 
Autenticacion correo firmadigital
pordomingosuarez
 
Dudas firma electron ica_ceres
pordomingosuarez
 
Correo seguro univ_murcia
pordomingosuarez
 
Administracion electronica coslada
pordomingosuarez
 
Administracion electronica teoria_3
pordomingosuarez
 
Univ almeria manualdeportafirmas
pordomingosuarez
 
Autenticacion practica correo__pop3
pordomingosuarez
 
Manual supervivencia administracion_electronica
pordomingosuarez
 
La administracion electronica_y_el_servicio_a_los_ciudadanos
pordomingosuarez
 
Administracion electronica 2010_astic_aec
pordomingosuarez
 
Correo seguro correos
pordomingosuarez
 
Autenticacion practica correo_smtp
pordomingosuarez
 
Univ almer configuracionavisos
pordomingosuarez
 
Administracion electronica teoria_1
pordomingosuarez
 
Administracion electronica evaluacion
pordomingosuarez
 

Retos adm electr_y_voto_electronico

  • 1.
    Retos actuales parala Retos actuales para la e-administración y el e-administración y el voto electrónico voto electrónico Fernando A. Acero Martín Abril 2008 GDFL, las imágenes son propiedad de sus autores.
  • 2.
    ÍNDICE • Introducción ala firma – Funciones de hash – Sistemas de clave pública – Concepto de certificado • Proceso de firma y verificación • E-dni – Problemas – Retos – Soluciones posibles • Voto electrónico – Tipos de voto – Retos actuales – Firma homomórfica – Soluciones posibles – Experiencias
  • 3.
    ¿QUÍEN VIGILA ALOS VIGILANTES? “¿Quis Custodiet Ipsos Custodes?” Juvenal, circa 128 AD
  • 4.
  • 5.
    ELEMENTOS BÁSICOS HASH ENCRIPTACIÓN SIMÉTRICA / CLAVE PRIVADA ENCRIPTACIÓN ASIMÉTRICA / CLAVE PÚBLICA DES (Data EncryptionStandard) RSA (Rivest, Shamir and Addleman) IDEA (International Data Encryption Algorithm) PGP (Pretty Good Privacy) AES (Advanced EncryptionStandard) SAFER CLAVE CRIPTOGRAFIA CLAVE PRIVADA PÚBLICA
  • 6.
    CONCEPTO DE HASH Loremipsum dolor sit amet, consectetuer adipiscing elit. Vivamus fermentum laoreet augue. Etiam leo. Curabitur eget leo. Duis wisi. In in felis. Phasellus consequat, massa luctus congue suscipit... LONGITUD ARBITRARIA LONGITUD FIJA hash / fingerprint / digest DE70 5273 550F 8BFF DBB6 F674 45CA 8E2A
  • 7.
    CARACTERÍSTICAS / CONSECUENCIAS • Cambio de un bit => cambio de varios bits. • Habrá necesariamente varios mensajes que compartan en el mismo código de hash. (Colisiones) • Dificultad para encontrarlos => tamaño del hash => Coste/Eficacia • Facilidad de cálculo. • Resistencias: – Colisiones. – Preimagen. – 2ª preimagen.
  • 8.
    USOS DEL HASH • “NAVAJA SUIZA” criptográfica. • Identificación de mensajes. • Comprobación de modificaciones y errores • Intercambio de claves. • Firma electrónica de mensajes y claves. • Páginas web seguras. • El 99% de los servicios telemáticos las usan. • Nuestra seguridad nacional depende de estas funciones.
  • 9.
    SHA-1 • Diseñado por la NSA, evolución del SHA-0 hace 10 años. SHS (Secure Hash Standard). • Monocultura SHA-1/MD5/RIPEMD • 160 bits para mensaje máximo de 2^64 bits. • Resistencias: – Preimagen O(2^160). Dado hash no se puede encontrar un mensaje con el mismo hash. – Segunda preimagen. Dado un mensaje no se puede encontrar otro con el mismo hash. – Colisión O(2^80). No se pueden encontrar dos mensajes distintos que den el mismo hash. • SHA-2 (Set-2) 224, 384, 512 bits.
  • 10.
  • 11.
    CIFRADO ASIMÉTRICO RSA • Dos claves, una pública y otra privada por usuario. Una invierte el efecto de la otra. • Para cifrar un mensaje se necesita tener su clave pública. • Para descifrar el mensaje se necesita la clave privada. • Para general firmas digitales se necesita la clave privada. • Para verificar firmas digitales se necesita la clave pública. • Sistemas basados funciones de un único sentido: – Números primos (cuestionados). – Curvas elípticas (futuro cercano).
  • 12.
  • 13.
    CONCEPTO DE CERTIFICADO CertificadosDigitales: • Representan identificadores unívocos de una persona en Internet. • La regulación de la firma conecta directamente con este concepto: la firma debe basarse en certificado. • Los certificados permiten diversos usos: – Permiten la identificación de las personasen Internet. – Sirven para evitar la retrocesión y garantizan el “no repudio”. – Ofrecen soporte a la firma electrónica con reconocimiento jurídico. – Permiten el envío de mensajes cifrados al suscriptor. – Permiten ser usados como mecanismo de acceso (como “llave”).
  • 14.
    CONCEPTO DE FIRMA FirmaElectrónica: • Herramienta de seguridad basada en la criptografía asimétrica o de Clave Pública. • Algoritmo de cifrado RSA y con claves típicamente de 1024 o 2048 bits. • Estándares ampliamente difundidos (X509 v3) PKCS #10 y PKCS #11. • Marco regulatorio sólido en EEUU y la Unión Europea. • Se asocian inequívocamente a una persona. • Si cumple ciertas propiedades es equivalente a la firma manuscrita. • Es considerada la herramienta clave para aportar la seguridad necesaria en la red. • Además de la Firma de mensajes, tiene otras importantes aplicaciones: autenticación, mecanismo de acceso, desarrollo de código seguro, etc.
  • 15.
    PROCESO DE FIRMAY VERIFICACIÓN
  • 16.
    PROCESO DE FIRMADIGITAL Generación de una Firma Electrónica: 1. Se toma el documento y se calcula un resumen digital con una función llamada (hash SHA Secure Hash Algorithm). 2. Se emplea la Clave Privada del Certificado para cifrar el resumen. 3. Al resultado, se almacena junto con el Documento original en una estructura de datos. 4. Se envía al destinatario, junto al documento o asociada al mismo, a través de un canal. 5. Cuidado con los metadatos y determinados formatos.
  • 17.
  • 18.
    VERIFICACIÓN DE FIRMA • Proceso de verificación de la firma: • Se recibe el documento y la firma electrónica. • Se extrae la firma digital. • Se toma el documento y se calcula un nuevo resumen. • Se toma el resumen, se toma la firma digital y la clave pública del firmante y se ejecuta una función matemática, que indica si la firma es correcta.
  • 19.
  • 20.
    CONTENIDO • 2 CERTIFICADOS RSA 1024 bits (autentificación / cifrado de comunicaciones y firma). • FIRMA SHA-1 / SHA- 256 • FILIACIÓN • FOTO • HUELLA • FIRMA • CERTIFICADO RAÍZ EMISOR
  • 21.
    PROBLEMAS • RSA 1024 basado en factorización de números primos. Avances de Hugo Scolnik y otros, recomiendan el uso de curvas elípticas. • SHA-1 en proceso de búsqueda de colisiones. • No dispone de algoritmos específicos para voto electrónico. • Si el sistema está comprometido, no hay garantías de lo que se firma. (entorno seguro de firma / conocimiento de los usuarios). • Demasiado complicado de cambiar en caso de fallo del sistema criptográfico (lentitud en el despliegue / falta de alternativas en el mercado / coste de implantación). • El problema de la seguridad por oscurantismo - > soporte complicado. • No es trivial su uso e instalación en los sistemas. • Compatibilidad con sistemas operativos (Ley 11/2007 31DIC09). • Contenedor único, certificados públicos encerrados, contraseña única para todo.
  • 22.
    RETOS • La seguridad y concienciación del usuario. • Evaluación de riesgos. • El soporte de versiones y sistemas operativos. • La certificación de hardware y sus controladores. • Mantener al día la tecnología. • Facilitar la instalación y configuración. • Soporte de aplicaciones. • Soporte del voto electrónico. • Legislación no posibilista insuficiente (Custodia Digital).
  • 23.
    ALGUNAS SOLUCIONES INMEDIATAS • Entorno seguro de firma – Basado en tecnología “live”. – Es certificable Common Criteria EAL. – Puede contener operativas certificadas (bancos, administración, etc). – Puede contener controladores hard certificados. – Garantiza la integridad del sistema. – Garantiza el acceso a la e-firma con solamente configurar la red. – Proporciona una alternativa al problema del soporte de sistemas operativos / controladores. – Aplicaciones configuradas para firma de documentos y acceso a servicios. • Soporte – Crear un wraper / librerías que permitan la compilación local bajo cualquier sistema operativo del código propietario. – Preinstalación de certificados raíz y controladores.
  • 24.
  • 25.
    LA TECNOLOGÍA ENNUESTRAS VIDAS “La tecnología no es buena ni mala, pero tampoco es neutral”. Melvin Kranzberg
  • 26.
    CONCEPTO DISPERSO • Voto directo desde ordenador conectado a Internet. • Urna electrónica en sus distintas variantes. • Asistentes de recuento de voto. • Transmisión telemática de resultados.
  • 27.
    RETOS ACTUALES • Votono presencial electrónico: – Coacciones y amenazas - > voto modificable – Desvinculación del voto de la identidad -> Homomórfica f(A) + f(B) = f(A+B). – Seguridad del entorno de voto. • Voto presencial electrónico. – Desvinculación del voto de la identidad (orden natural). – Transparencia. – Verificación del proceso -> papeleta de control. • Legislación (no solamente posibilista). • La mejor tecnología posible, no la mejor de las disponibles (sin mucha fe en este aspecto). • No renunciar a garantías -> buscar solución. • ¿Quién certifica los sistemas? • ¿Vale la pena tanto esfuerzo? ¿qué se gana con ello? • La brecha democrática / democracia participativa.
  • 28.
    FIRMA HOMOMÓRFICA F(A+B) = f(A) + f(B) FIRMA IDENTIDAD VOTO CÓDIGO DE CONTROL = FIRMA (IDENTIDAD + VOTO) FIRMAS GUARDO MI IDENTIDAD FIRMADA Y LUEGO PUEDO COMPROBAR QUE MI VOTO FIRMADO ESTA EN LA URNA Y CONTABILIZADO, SIN COMPROMETER MI IDENTIDAD
  • 29.
    ALGUNAS SOLUCIONES • Arquitecturay software abiertos (opción de Brasil). • Sistemas de cifrado y firma diseñados específicamente para el voto. • Mantener la cadena de control y verificación. • No sucumbir a la oferta de sistemas sin estudiar a fondo sus pros y contras. • Tener en cuenta el déficit democrático ¿vale la pena? ¿cómo afectará a la democracia?. • Transparencia en todo el proceso, desde la elección de la tecnología a la implantación.
  • 30.
    ALGUNAS EXPERIENCIAS • EEUU – Problemas y polémicas (calibración de pantallas táctiles, sistema de auditoría, sistemas propietarios, papeletas complicadas). • Brasil – Problemas de auditoria y sistemas propietarios. • Estonia – Uno de los países más avanzados, se puede votar desde casa y cambiar el voto, el presencial anula los electrónicos. • India – Activo desde 1996, máquinas en colegios, problemas de transparencia. • Bélgica – Tarjeta magnética y bolígrafo electrónico -> recibo – Últimas elecciones tradicional con ayuda al recuento • España – Algunas pruebas no vinculantes con resultados diversos. – Solamente País Vasco con legislación habilitante.
  • 31.