Contenidos del tema:

Introduccin
Aspectos a tener en cuenta
Firma electrnica:
Autenticidad
Integridad
Cifrado de la informacin
Criptografa simtrica
Criptografa asimtrica o de clave pblica
Criptografa de curva elptica CCE
Criptografa hbrida
Qu es un certificado digital?
Autoridad de certificacin
Clave pblica y privada
Para qu sirve?









2
INTRODUCCIN
Cada vez son ms las personas que utilicen un medio de
transporte (Internet, CD, DVD, USB, PDA, porttil, etc...) para
transportar informacin de un lugar a otro. Bien porque enviamos un
Email con un documento, porque llevamos nuestro Pen Drive en el
bolsillo o porque debemos viajar y llevamos un ordenador porttil con
la documentacin.
Todos estos escenarios tienen como comn la movilidad de la
informacin. Depende de la importancia de la informacin que viaja
deberemos tener unas medidas de seguridad ms o menos fuertes
para viajar con tranquilidad. Qu sucede si perdemos el porttil?
Pueden quedar datos expuestos a ser vistos por alguien de la
competencia?
Por otro lado hay medios de transporte ms o menos seguros, por
ejemplo Internet. Es innegable que existe desconfianza entre algunos
usuarios sobre la fiabilidad de Internet y la garanta de la informacin
que fluye a travs de sus redes. El miedo a los hackers y crackers se
encargan de demostrarnos los puntos dbiles de la red.

ASPECTOS A TENER EN CUENTA

Autenticidad
Mensajes de correo electrnico: Nunca sabremos que el nombre
que figura en el remitente es realmente de la persona que enva el
mensaje. Esta suplantacin de identidad es muy sencilla para alguien
con suficientes conocimientos de informtica.
Documentos: Nunca sabremos si el nombre que firma el
documento es el autor del mismo.
Integridad
Debemos tener la total seguridad de que los mensajes recibidos o
los ficheros enviados no han sido alterados
Confidencialidad
En algunos casos tiene tanta importancia como los anteriores por
tratarse de informacin de gran valor que no debe ser conocida por
terceros, quienes podran aprovecharse de esa ventaja y obrar de
mala fe en beneficio propio.
No repudio
Es importante que la persona que escribi y envi un mensaje o
archivo, no pueda negar que ha sido el autor del hecho mencionado.





3





FIRMA ELECTRNICA
El concepto de firma digital, fue introducido por Diffie y Hellman
en 1976 y bsicamente es un conjunto de datos asociados a un
mensaje o archivo que permiten asegurar la identidad del firmante y
la integridad del mensaje o archivo.

El nacimiento de la firma electrnica se debe sin duda a la
necesidad de una respuesta tcnica segura para poder realizar la
conformidad o el acuerdo de voluntades en una transaccin
electrnica (comercio electrnico, e-administracin, etc.).

El marco jurdico en el que se enmarca el concepto de firma
electrnica, es el siguiente:

Ley 59/2003 de 19 de Diciembre, de firma electrnica, en la
que se regula su eficacia jurdica y la prestacin de servicios de
certificacin.

Directiva 1999/93/CE del parlamento Europeo y del
Consejo, de 13 de Diciembre de 1999 que establece un marco
comunitario comn para la firma electrnica.


Autenticidad


Integridad


No repudio



Confidencialidad
Seguridad
informacin




4

Cuando se habla de firma electrnica, se deben distinguir tres
conceptos bsicos:

La autentificacin del firmante.
La integridad del documento firmado.

Actualmente, las tcnicas de creacin de firmas electrnicas
utilizadas, permiten de manera eficaz cubrir estos aspectos.

La base tcnica de la firma digital es el mtodo de cifrado
asimtrico o de clave pblica.

Mediante algoritmos y funciones matemticas se obtiene un
resumen de un texto, de longitud fija, que ser cifrado para formar
un "pequeo paquete" que se enviar al final del texto original. Este
paquete se denomina HASH.

El algoritmo hash tiene las siguientes propiedades:

No se puede obtener el texto original a partir del resumen
creado.
Las probabilidades de obtener un mismo resumen a partir de
textos diferentes son casi inexistentes.
La ms mnima variacin en el texto original, provoca un
resumen totalmente diferente al aplicarle por segunda vez la
funcin hash.
El Hash obtenido de un documento tendr la misma longitud
tanto si el documento es de una hoja como de 300 hojas.


AUTENTICIDAD

La autenticidad es uno de los factores de ms consideracin
a la hora de establecer transacciones electrnicas seguras.

Para conseguir dicha autenticidad y tener la total certeza de que el
emisor es realmente quien dice ser, utilizamos la criptografa
asimtrica. Considerando que la clave privada solo es conocida por el
titular del par de claves, llammosle seor A, ste cifrar con dicha
clave el hash obtenido a partir del documento original que slo podr




5
descifrarse con la respectiva clave pblica, por lo que solo
necesitaremos aplicarle la clave pblica del seor A para estar
seguros de que fue l quien lo escribi, porque solo l tiene acceso a
su clave privada.

INTEGRIDAD
Para asegurarse de que un mensaje no ha sido alterado, tambin
usamos la clave privada complementando el proceso con el algoritmo
hash.
En primer lugar se le aplica el algoritmo hash al texto obteniendo
un resumen de longitud fija, y luego se le aplica la clave privada a
este resumen para cifrarlo. Al recibir el mensaje, el destinatario -
Seor B- descifrar el resumen con la clave pblica del Seor A para
asegurarse de que fue realmente l quien envi el mensaje, y luego
aplicar el algoritmo hash sobre el texto original recibido
(independientemente del resumen que ha llegado adjunto al
mensaje) para crear su propio resumen y verificar que coincide
exactamente con el resumen enviado por el autor de forma cifrada.
De esta forma el destinatario se asegura de que el mensaje no ha
sido alterado, porque de lo contrario, el resumen obtenido habra
resultado diferente. (Recordemos las propiedades del Algoritmo
Hash.)

La siguiente imagen de la wikipedia ilustra el proceso.





6

CIFRADO DE LA INFORMACIN

El cifrado de la informacin se consigue a travs de la
criptografa. Basndose en tcnicas matemticas busca
proteger la informacin.

La criptografa que nosotros conocemos y utilizamos, data de los
aos 70 aunque ya se utilizaban tcnicas criptogrficas en la segunda
guerra mundial e incluso pueblos de la antigedad como los Griegos y
Romanos utilizaban mecanismos para enviar mensajes cifrados en
sus campaas militares. El Csar romano fue uno de sus asiduos.
El objetivo principal es garantizar la privacidad de un mensaje
emitido de una entidad a otra utilizando canales no seguros para
conservar los mensajes intactos, protegindoles de modificaciones de
contenido no deseadas o de accesos no autorizados.






7
Criptografa simtrica
Este tipo de cifrado emplea una clave nica para cifrar y
descifrar el mensaje. El emisor cifra el mensaje con la clave y el
receptor descifra el mensaje usando la misma clave.
El nico requisito previo es que ambas partes deben conocer dicha
clave.
Es un algoritmo de cifrado muy rpido, pero plantea dos
inconvenientes, el primero es que la clave comn debe ser enviada
por un canal seguro y el segundo inconveniente es que debe ser
mayor de 40 bits para que sea robusto.

En la siguiente imagen tomada de la web de CERES se
explica grficamente el proceso.


Criptografa asimtrica o de clave pblica
Este tipo utiliza un par de claves para el envo de mensajes
cifrados.




8
Existe una clave pblica y una clave privada. La clave pblica es
conocida por todos y la clave privada solo por el propietario, y
permanece siempre en secreto.

El emisor solicita la clave pblica al receptor y cifra el mensaje
con esa clave publica, el receptor descifra el mensaje con su clave
privada.

Uno de los problemas relacionado con este tipo de cifrado es la
acreditacin de la clave pblica.
Es ms lento en proceso que las claves simtricas y los mensajes
resultantes son de mayor tamao.
Es a travs de una Autoridad de Certificacin o CA, una tercera
parte de confianza como se acredita que ambas partes son quien
dicen ser.
La entidad certificadora se encarga de firmar digitalmente la
identidad de los participantes.

En las siguientes imgenes tomadas de la web de CERES se
explica grficamente el proceso.





9



Criptografa de Curva elptica CCE
Este tipo es una variante de la asimtrica y en lugar de usar la
matemtica de los nmeros primos para generar las claves de
cifrado, utiliza curvas elpticas.

Criptografa hbrida
Es una combinacin de cifrado simtrico y asimtrico. Utiliza una
clave pblica para cifrar el mensaje en el que enva una clave para el
cifrado simtrico.
Para darle mayor seguridad la clave simtrica, es diferente para
cada sesin.




10

QU ES UN CERTIFICADO DIGITAL?
Un Certificado Digital es un documento digital mediante el
cual un tercero confiable (una autoridad de certificacin)
garantiza la vinculacin entre la identidad de un sujeto o
entidad y su clave pblica.

Es como el DNI. Este documento es identificativo de una persona
porque el tercero confiable (Ministerio de Interior) garantiza la
vinculacin entre la identidad de un sujeto (nosotros) y su clave
pblica (DNI).

AUTORIDAD DE CERTIFICACION
La Autoridad de Certificacin (AC o CA por sus siglas en ingls
Certification Authority) es una entidad de confianza, responsable de
emitir y revocar los certificados digitales o certificados, utilizados en
la firma electrnica. Algunas veces se emplea como sinnimo el
trmino Agencia de Certificacin.

CLAVE PBLICA Y PRIVADA
Las dos claves pertenecen a la persona que ha enviado el
mensaje. Una clave es pblica y se puede entregar a cualquier
persona. La otra clave es privada y el propietario debe guardarla de
modo que nadie tenga acceso a ella. El remitente usa la clave pblica
del destinatario para cifrar el mensaje, y una vez cifrado, slo la clave
privada del destinatario podr descifrar este mensaje.

PARA QU SIRVE?
Mediante un Certificado Digital podemos realizar las
siguientes acciones:
Identificarnos en una pgina Web.
Existen servicios en Internet que requieren de la comprobacin de
la identidad para poder acceder a dichos servicios. Encontraremos
estos servicios, por ejemplo en la Web de la Hacienda Navarra
(http://www.navarra.es/) o en la de la Seguridad
Social(http://www.seg-social.es).

Firmar digitalmente informacin.




11
Podemos firmar un mensaje de correo electrnico o un archivo. De
esta manera quien lee la informacin est seguro que hemos sido
nosotros quienes hemos escrito el mensaje de correo o el documento,
adems de saber que la informacin no ha sido alterada.


Ampliar informacin:

http://www.kzgunea.net/docs/cursos/Izenpe/castellano/default.htm
Aqu encontrars un curso muy ameno y sencillo sobre los conceptos
de firma digital y certificados de la Autoridad de Certificacin Izenpe.

http://www.cert.fnmt.es/popup.php?o=faq En esta otra direccin de
CERES se explican los conceptos bsicos de los certificados digitales y
se justifica por qu los necesitamos..