Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica

Unidad 3: Criptografa clsica: Un primer acercamiento.
Objetivos.
El estudiante crear un certificado digital, con el fin de proteger la informacin de una entidad al momento de
hacer transacciones en la web de una manera segura.

3.1. Distribucin de claves.

Que es una firma digital?
Una firma digital es una cadena de datos creada a partir de un mensaje o por parte de un mensaje de forma que sea
imposible que quin enva el mensaje reniegue de l (repudio) y quin recibe el mensaje pueda asegurar que quin
dice que lo ha enviado, es decir, el receptor de un mensaje digital puede asegurar cual es el origen del mismo
(autenticacin). As mismo, las firmas digitales pueden garantizar la integridad de los datos.
El concepto de firma digital fue introducido por Diffie Hellman en 1976. La firma digital puede ayudar en la
autenticacin e integridad de los datos enviados entre dos personas que tengan desconfianza mutua. Las firmas
digitales deben tener las mismas caractersticas que las firmas manuales.
Es fcil y barata de producir.
Es fcil de reconocer, tanto por parte del propietario como de otros.
Es imposible de rechazar por parte del propietario.
Es infalsificable, al menos tericamente.
Un sistema seguro de firma digital consistir en dos partes: por un lado un mtodo por firmar documentos de modo
que no sea posible la falsificacin y por otro lado un mtodo para verificar que la firma fue generada por quin es
representada. Los protocolos de autenticacin estn basados en sistemas de encriptacin de clave pblica (usando
sistemas de encriptacin asimtricos).
Las firmas digitales se pueden emplear en cualquier momento que se enve un mensaje electrnico. Ejemplo de
mensaje electrnico puede ser un correo electrnico, transacciones comerciales electrnicas, compra/venta de
productos a travs de la WEB, firmas de contratos electrnicos, etc. Las firmas digitales pueden ser usadas para
verificar que determinada clave pblica corresponde a cierta persona. Con el otro mtodo no es necesario recurrir a
una tercera parte, pero a cambio es necesario tener confianza mutua. Para estos sistemas criptosistemas asimtricos.
Tanto Rodolfo como Augusto (en nuestro ejemplo) tienen una clave pblica y una privada cada uno de ellos.
Las pblicas son conocidas por los dos, mientras que las privadas son conocidas nicamente por los propietarios de
las mismas. Cuando Augusto quiere enviar un mensaje a Rodolfo lo cifra con su clave privada (de Augusto).
Cuando el mensaje llega a Rodolfo lo descifra con la clave pblica de Augusto. De esta manera no se obtiene
confidencialidad ya que cualquier persona que intercepte el mensaje (por ejemplo la familia Blas) si sabe quien ha
enviado el mensaje lo puede descifrar, si conoce su clave pblica. Para solucionar esto el mensaje puede ir cifrado
y una vez cifrado se firma.

Figura 3.1 Funcin de la firma digital desde el remitente hasta el destinatario.

L.S.C.A. Ral Monforte Chuln
MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica
La firma digital se puede realizar sobre todo el mensaje que se enva o bien sobre un resumen del mismo. Esta
segunda forma es mucho ms eficiente.
Las funciones resumen son usadas para calcular un resumen de los datos cuando se realizan firmas digitales. Estas
funciones estn basadas en el hecho que el resumen de un mensaje representa de forma concisa los datos originales
desde los cuales va a ser calculado. Debera considerarse como la huella digital de la ms grande cadena de datos.
Como las funciones resumen son mucho ms rpidas que las funciones de firma de todos los datos es mucho ms
eficiente utilizar la firma digital con un resumen que con todos lo datos.
Pasos necesarios para procesar una firma digital con funciones:
Es necesario tener un par de claves criptogrficas para cifrado asimtrico.
El usuario prepara el mensaje a enviar.
El usuario utiliza una funcin resumen segura para producir un resumen del mensaje.
El remitente encripta el resumen con su clave privada. La clave privada es aplicada al texto del resumen usando
un algoritmo matemtico. La firma digital consiste en la encriptacin del resumen.
El remitente une su firma digital a los datos, o bien lo enva por separado.
El remitente enva electrnicamente la firma digital y el mensaje original (bien encriptados o bien sin encriptar)
al destinatario.
El destinatario usa la clave pblica del remitente para verificar la firma digital.
El destinatario realiza un resumen del mensaje utilizando la misma funcin resumen segura.
El destinatario compara los dos resmenes. Si los dos son exactamente iguales el destinatario sabe que los datos
no han sido alterados desde que fueron firmados.
As el receptor de los datos puede ahora asegurar que los datos transmitidos no han sido alterados y que las claves
pblica y privada del remitente son el par de claves complementarias. En el resumen se pueden aadir datos que
puedan ser significativos, como el lugar y el momento en que se ha firmado el mensaje.
Ejemplos de algoritmos para funciones resumen son MD2, MD5 (ambos producen resmenes de 128 bits),
SHS/SHA (Secure Hash Standard/Algorithms Estndar/Algoritmo de Resumen Seguro) y el RIPEM 160.

Figura 3.2 Funcin de la firma digital con Resumen.

Por qu es necesaria la firma digital?
L.S.C.A. Ral Monforte Chuln
MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica
La firma digital es necesaria cuando se quieren obtener fiabilidad de quien dice que manda un mensaje es
realmente quien lo enva y garanta de no repudio en el envo de mensajes electrnicos ya que el soporte sobre el
que se producen la mayor parte de estas comunicaciones es TCP/IP y ste protocolo no fue diseado para ofrecer
servicios de comunicaciones seguras sobre Internet. En la nueva versin IP (la 6) se incluirn algunas
caractersticas orientadas a obtener algo de seguridad. Ya que cualquier persona podra interceptar un mensaje que
se trasmite por Internet y modificarlo, o enviar un mensaje diciendo que es otra persona, son necesario mecanismos
para solucionar este problema.
Ya que por las caractersticas de TCP/IP no se puede evitar ninguna de estas circunstancias se recurre a la firma
digital, que permite afirmar que quien manda un mensaje es quien realmente lo ha enviado.
Mtodos de firma digital
Existen dos mtodos para establecer protocolos de firma digital ordinaria. La primera de ellas se utiliza cuando dos
usuarios desconfan el uno del otro. Ambos deben de confiar en una tercera parte al que se llamar rbitro. Cuando
se utiliza este mtodo se puede hacer uso de criptosistemas simtricos, o de clave privada. Toda la comunicacin
entre los dos usuarios (llammosles Rodolfo y Augusto) deben pasar por el rbitro.
El rbitro posee un clave para comunicarse con Rodolfo (CR) y otra para comunicarse con Augusto (CJ). Cuando
Rodolfo quiere enviar un mensaje a Augusto se lo enviar primero al rbitro, quien lo descifrar con CR. Entonces
el rbitro lo cifrar con la clave de Augusto y se lo enviar a l, quien lo descifrar con CJ. Evidentemente la
seguridad de este mtodo de firma digital reside en el secreto de las claves CJ y CR.
El rbitro debe quedarse copia del mensaje enviado, para mediar en posibles disputas de repudio o falta de
integridad del mensaje. Adems, el rbitro puede dar fe del momento en que se ha mandado un determinado
mensaje, algo tremendamente importante en determinadas circunstancias (imaginemos transacciones burstiles). S
se utilizan criptosistemas asimtricos o de clave pblica el rbitro podra ser una Autoridad de Certificacin (CA).

Figura 3.3 Funcin de la firma digital con Arbrito.

3.2. Certificacin.
Certificacin
La certificacin, es el procedimiento mediante el cual una tercera parte diferente e independiente del productor y el
comprador, asegura por escrito que un producto, un proceso o un servicio, cumple los requisitos especificados,
L.S.C.A. Ral Monforte Chuln
MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica
convirtindose en la actividad ms valiosa en las transacciones comerciales nacionales e internacionales. Es un
elemento insustituible, para generar confianza en las relaciones cliente-proveedor.
Un sistema de certificacin es aquel que tiene sus propias reglas, procedimientos y forma de administracin para
llevar a cabo una certificacin de conformidad. Dicho sistema, debe de ser objetivo, fiable, aceptado por todas las
partes interesadas, eficaz, operativo, y estar administrado de manera imparcial y honesta. Su objetivo primario y
esencial, es proporcionar los criterios que aseguren al comprador que el producto que adquiere satisface los
requisitos pactados.
Es una actividad a cargo de los Organismos Nacionales de Certificacin, que son personas morales
acreditadas que cumplen con dicho objeto social.
Las actividades de certificacin debern comprender lo siguiente:
1.- Evaluacin de los procesos, productos, servicios e instalaciones, mediante inspeccin ocular, muestreo,
pruebas, investigacin de campo o revisin y evaluacin de los programas de la Calidad.
2.- Seguimiento posterior a la certificacin inicial, para comprobar el cumplimiento con las normas y contar
con mecanismos que permitan proteger y evitar la divulgacin de propiedad industrial o intelectual del cliente; y
3.- Elaboracin de criterios generales mediante Comits de Certificacin don- de participen los sectores
interesados y las dependencias correspondientes.
Tratndose de Normas Oficiales Mexicanas los criterios que se determinen debern ser aprobados por
la dependencia competente.

Todo sistema de certificacin debe contar con los siguientes elementos.

Existencia de Normas y/o Reglamentos.

Existencia de Laboratorios Acreditados.
Existencia de un Organismo de Certificacin Acreditado.

Beneficios de la Certificacin
A nivel nacional:
Ayuda a mejorar el sistema de calidad industrial.
Protege y apoya el consumo de los productos nacionales.
Prestigio internacional de los productos nacionales certificados.
L.S.C.A. Ral Monforte Chuln
MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica

Da transparencia al mercado

A nivel internacional:
Ayuda los intercambios comerciales, por la confianza y la simplificacin.
Protege las exportaciones contra las barreras tcnicas.
Protege la calidad del consumo.

Para los gobiernos.

La certificacin, asegura que los bienes o servicios cumplen requisitos obligatorios relacionados con la salud, la
seguridad, el medio ambiente etc.
Sirve como medio de control en importaciones y exportaciones.
Es una herramienta importante en la evaluacin de proveedores, en procesos contractuales y para verificar que
el bien adjudicado en un proceso contractual, sea entregado cumpliendo con los requisitos establecidos en los
pliegos de condiciones.

Para la industria.
La certificacin le permite demostrar el cumplimiento de los requisitos tcnicos establecidos en los acuerdos
contractuales o que forman parte de las obligaciones legales.
Para el consumidor.
La certificacin lo protege en la adquisicin de productos o servicios de mala calidad.
El consumidor puede acceder a medios donde puede presentar sus reclamos o sugerencias frente a los
productos certificados.

Qu es la evaluacin de la conformidad?
La evaluacin de la conformidad es la determinacin del grado de cumplimiento con las Normas Oficiales
Mexicanas o la conformidad con las Normas Mexicanas, las Normas Internacionales u otras especificaciones,
prescripciones o caractersticas. Comprende, entre otros, los procedimientos de muestreo, prueba, calibracin,
certificacin y verificacin.

Ejemplo de organismo de normalizacin y certificador:

Organismo Nacional de Normalizacin y Certificacin de la Construccin y Edificacin, S. C. (ONNCCE).

L.S.C.A. Ral Monforte Chuln

MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica

Figura 3.2 Tipos de normalizaciones y certificaciones que ofrece la ONNCCE

3.3. Componentes de una PKI.
Certificados digitales
El certificado digital es una credencial que proporciona una Autoridad de Certificacin que confirma la identidad
del poseedor del certificado, es decir, garantiza que es quien dice ser.
La Autoridad de Certificacin acta de modo semejante a un notario digital y es quien expide los certificados
electrnicos que se guardan en los ordenadores de los usuarios, normalmente accesibles desde su navegador de
Internet. El mbito de utilizacin de las firmas electrnicas es muy amplio; aqu destacamos algunas aplicaciones
ms comunes:
- Justificacin ante las administraciones: La firma electrnica sirve como documento de identidad electrnico y
vlido, por ejemplo, se pueden pagar los impuestos a travs de Internet con seguridad.
- Comercio electrnico: Con la firma digital se puede evitar que los compradores repudien operaciones de compra
realmente realizadas o bien asegurarse de que el web de comercio electrnico es autntico: no es la suplantacin de
un tercero.
- Transacciones financieras: Un ejemplo claro es el de los monederos electrnicos seguros. La firma digital puede
ir asociada al monedero garantizando la transaccin.
- Software legal: Cualquier software instalado en un equipo debe ir correctamente firmado como garanta del
fabricante.
- Correo electrnico: Con la firma digital se asegura la autenticacin del remitente del mensaje.
Formalmente, un certificado digital es un documento electrnico emitido por una entidad de certificacin
autorizada para una persona fsica o jurdica, con el fin de almacenar la informacin y las claves necesarias para
prevenir la suplantacin de su identidad. Dependiendo de la poltica de certificacin propuesta por la Autoridad de
Certificacin, cambiarn los requisitos para la obtencin de un certificado, llegndose incluso al caso de tener que
presentarse fsicamente el interesado para acreditar su identidad.

L.S.C.A. Ral Monforte Chuln

MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica
Por ejemplo, la ACE (Agencia de Certificacin Electrnica en Espaa) emite tres tipos de certificados: el de clase 1
no exige contrastar ninguna informacin especial, basta con el nombre del usuario y una direccin de correo a
donde se le enviar el certificado. Para la clase 2, el usuario debe presentar documentacin que acredite su
identidad, pero no requiere su presencia. Sin embargo, para los de clase 3 s se requiere la presencia fsica del
usuario que solicita el certificado.
Este certificado ACE de clase 3 es equivalente en cuanto a seguridad a los de clase 2 emitidos por la Fbrica
Nacional de Moneda y Timbre en Espaa para la Agencia Tributaria. El certificado est protegido por un
identificador que slo conoce el propietario del mismo, aunque es posible su almacenamiento en dispositivos ms
seguros como tarjetas inteligentes (smartcards) o llaves USB.
Autenticacin
Cuando el usuario de una red se presenta en su sistema, lo que realmente est haciendo es informando a la red de
quin es para que el sistema le proporcione los derechos, permisos y recursos que tenga asignados personalmente.
Cmo sabe la red que el usuario que se intenta presentar es quien dice ser? ste es el problema que resuelven los
sistemas de autenticacin.
El certificado digital proporciona un mecanismo seguro para producir una correcta autenticacin, ya que la
Autoridad de Certificacin asegura la veracidad de la informacin. En los sistemas de red, los certificados digitales
residen en un servicio de directorio al que accede el sistema para contrastar la informacin procedente de la
Autoridad de Certificacin.
Windows Server y muchas versiones de UNIX son ejemplos tpicos de este sistema de autenticacin. El sistema
operativo lleva incorporado un generador y servidor de certificados para ser utilizados internamente en la red si no
se desean utilizar los servicios de una compaa certificadora externa a la red. Kerberos es la tecnologa de
autenticacin mediante firma electrnica ms extendida actualmente.
Componentes de una PKI
Una PKI (Public Key Infrastructure, infraestructura de clave pblica) es un conjunto de elementos de
infraestructura necesarios para la gestin de forma segura de todos los componentes de una o varias Autoridades
de Certificacin. Por tanto, una PKI incluye los elementos de red, servidores, aplicaciones, etc. Ahora vamos a
identificar algunos de los componentes lgicos bsicos de una infraestructura de clave pblica.
- Autoridad de certificacin CA: Una autoridad de certificacin es el componente responsable de establecer las
identidades y de crear los certificados que forman una asociacin entre la identidad y una pareja de claves pblica
y privada.
- Autoridad de registro RA: Una autoridad de registro es la responsable del registro y la autenticacin inicial de
los usuarios a quienes se les expedir un certificado posteriormente si cumplen todos los requisitos.
- Servidor de certificados: Es el componente encargado de expedir los certificados aprobados por la autoridad de
registro. La clave pblica generada para el usuario se combina con otros datos de identificacin y todo ello se firma
digitalmente con la clave privada de la autoridad de certificacin.

L.S.C.A. Ral Monforte Chuln

MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica
- Repositorio de certificados: Es el componente encargado de hacer disponibles las claves pblicas de las
identidades registradas antes de que puedan utilizar sus certificados. Suelen ser repositorios X.500 o LDAP.

Figura 3.3.1 Consola de administracin de una entidad emisora de certificados integrante de una PKI en
Windows Server 2003.
Cuando el usuario necesita validar un certificado debe consultar el repositorio de certificados para verificar la firma
del firmante del certificado, garantizar la vigencia del certificado comprobando su periodo de validez y que no ha
sido revocado por la CA y que adems cumple con los requisitos para los que se expidi el certificado; por
ejemplo, que el certificado sirve para firmar correo electrnico.
Los sistemas operativos avanzados como Windows Server suelen incorporar software suficiente para construir una
infraestructura de clave pblica completa (Figura 3.3.1). En el cifrado de la informacin pueden emplearse muchos
mtodos, pero fundamentalmente se utilizan dos: sistemas de una sola clave y sistemas de dos claves, una privada y
otra pblica.
En el caso de utilizar una nica clave, tanto el emisor como el receptor deben compartir esa nica clave, pues es
necesaria para desencriptar la informacin. Hasta aqu no hay ningn problema; sin embargo, el procedimiento de
envo de esta clave al receptor que debe descifrar el mensaje puede ser atacado permitiendo que un intruso se
apodere de esa clave.
Mucho ms seguros son los procedimientos de doble clave. Consisten en confeccionar un par de claves
complementarias, una de las cuales ser pblica, y que por tanto puede transmitirse libremente, y otra privada que
slo debe estar en posesin del propietario del certificado y que no necesitar viajar.
El algoritmo hace que un mensaje cifrado con la clave pblica slo pueda descifrarse con la clave privada que le
complementa y viceversa.
Cuando el emisor quiere enviar un mensaje a un receptor, cifra la informacin con su clave privada que slo l
posee.
El receptor, una vez que le haya llegado el mensaje cifrado, proceder a descifrarlo con la clave pblica del emisor
L.S.C.A. Ral Monforte Chuln
MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica

Figura 3.3.2. Cifrado y descifrado utilizando algoritmos de parejas de claves: pblica y privada.
3.4. Arquitecturas PKI.
Introduccin
Hoy en da los medios digitales son susceptibles de substitucin, modificacin, y replicacin, a menos que estn
explcitamente protegidos con el objetivo de que se pueda confiar en estas comunicaciones.

Definimos un sistema seguro como aquel en el que el coste de irrumpir en el sistema es mayor al valor de la
informacin contenida en l, tanto en dinero como en riesgo personal.

Aspectos a Garantizar en los documentos:

1. La Identidad/Autora, que las partes involucradas son quienes dicen ser, es decir, quien suscribe el documento,
quien lo firma.
2. La Confidencialidad, que el documento sea unicamente accesible para las partes implicadas, es decir, para los
verificadores.
3. La Integridad, o no manipulacin de los documentos: que los documentos recibidos sean tal y como fueron
creados por el autor.
4. No Repudio. Prueba de la emisin del documento, que el autor no pueda negar haber firmado el documento.
5. La Fecha y la Hora Cierta de la Firma Secure Time Stamp en la que se ha generado, y se ha recibido el
documento.
6. Disponibilidad legtima de servicios e informacin.
Arquitectura PKI, o de la Infraestructura de Llaves Pblicas:
La Arquitectura PKI se encuentra reflejada en el Internet Certificate and CRL Profile RFC 3280, especificada por
el Internet Engineering Task Force, y cuyo sitio web se encuentra en la URL www.ietf.org.
L.S.C.A. Ral Monforte Chuln
MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica
1) La Infraestructura de Llave Pblica o PKI:
Es la integracin de:
a) La Criptografa de llave pblica o asimtrica, usada para la firma digital,
b) La Criptografa de llave simtrica usada para cifrar,
c) El Message Digest o Hash, y
d) La Gestin de los pares de Llaves Pblico / Privados (El no compromiso de la llave privada, a travs de un
procedimiento de distribucin segura de llaves.).
a) La Criptografa de Llave Pblica o Asmetrica: Tiene por objeto distribuir la llave simetrica de forma segura.
Est basada en el uso de un par de llaves, una pblica y otra privada, por cada entidad. La Llave Privada debe
permanecer en secreto y bajo el control del usuario. Usarla para cifrar descifrar es lo que demuestra que la posees
y con ello queda garantizada la autenticidad y confidencialidad, e.d. La identidad. La Llave Pblica puede y debe
ser libremente distribuida, lo ms extensamente. Dichas llaves se caracterizan por que:
* Son diferentes,
* Estn matematicamente asociadas,
* No se puede obtener la llave privada a partir de la pblica.
Cada llave unicamente puede descifrar lo que la otra ha cifrado, por tanto;
a.-con la llave pblica del suscriptor, qualquiera puede cifrar un mensaje, que solo puede ser descifrado por la llave
privada del suscriptor, se logra la confidencialidad.
b.-con la llave pblica del suscriptor, cualquiera puede descifrar un mesaje, y as verificar la identidad del
documento que ha sido cifrado por el suscriptor usando su llave privada.
Sus implicacines son las siguientes:
a.-El suscriptor puede establecer la integridad y el origen (autora) de la informacin (datos) que envia a otro
participante, firmando digitalmente dicha informacin, cifrandola con su llave privada.
b.-Quien recibe la informacin puede usar la llave pblica asociada del suscriptor para validar que proviene del
suscriptor (tenedor de la llave privada), y verificar la integridad de la informacin.
b) Criptografa de Llave Simtrica o Secreta:
Se basa en el uso de una nica llave entre las partes implicadas, suscriptor y verificador.
El proceso de cifrado con llave simetrica usa un algoritmo, la llave, el mensaje y el message digest, siendo muy
complicado por metodos informaticos obtener el camino inverso.
Algoritmos: DSA Digital Signing Algorithm, de tipo irreversible, soportado por Java, o RSA Rivest Shamir
Adleman, de tipo reversible, que est ya preparada para usar la firma digital, y el cifrado.
c) El Message Digest Value:
El Message Digest, o Hash, es un versin corta y de longitud fija de un mensaje, que no se puede recobrar a
partir del Message Digest. Es completamente diferente si cambia un solo bit de el mensaje original.
El suscriptor lo obtiene apartir de; algoritmos de message digest como SHA-1, Ripe_MD, o algoritmos de firma
digital que lo incluyen como DSA o RSA, Ms el mensaje original, y la llave privada del suscriptor.
Y el verificador lo obtiene descifrando la firma digital recibida del suscriptor, utilizando la llave pblica del
suscriptor, y el algoritmo de firma digital.
L.S.C.A. Ral Monforte Chuln
MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica
Da por resultado un valor, o Message Digest Value.
El objeto es que el verificador se asegure de la integridad de los datos transmitidos, lo que se logra comparando el
valor del message digest descifrado por el verificador utilizando su llave privada, y el que ha recibido, descifrado
por la llave pblica del suscriptor. Si stos son iguales, entonces se confirma la integridad del mensaje.
d) El Modelo PKIX:
El Modelo PKIX es el modelo de las entidades que gestionan la infraestructura de llave pblica, designando sus
funciones y protocolos.
1 Entidades Finales (a quien se pretende identificar):
* El sujeto de un certificado, su identidad es garantizada por una autoridad de certificacin.
* stas pueden ser Usuarios finales, la autoridad de registro respecto a la autoridad de certificacin en el nombre de
quien actua, o incluso una autoridad de certificacin cuando sta se ve certificada por otra autoridad de
certificacin.
2 Autoridades de Certificacin (CA):
* Representan la fuente de credibilidad de la infrastructura de llave pblica.
* Quienes emiten los certificados, firmndolos digitalmente con su llave privada.
* Certifican que la llave pblica asignada en un certificado a una entidad final, corresponde realmente a dicha
entidad final. Ver: CA Trust.pdf en www.pkiforum.org.
* Verisign es el representante ms conocido.
3 Autoridad de Registro, o Registration Authority (RA):
* Realiza el proceso de registro de las entidades finales por encargo de la autoridad de certificacin.
* Valida los atributos del sujeto que solicita el certificado.
* Verifica que el sujeto posee la llave privada a registrar.
* Genera los secretos compartidos que permiten el proceso de inicializacin y certificacin.
* Genera el par de llaves pblico/privada, ver ANSI X.9 standards.
* Valida los parmetros de las llaves pblicas presentadas para su registro.
4 Repositorios o Repositories
Mtodo que permite guardar informacin sobre PKI, como puedan ser certificados, y CRLs para su acceso por
parte de las entidades finales o de sus delegados. Tienen por finalidad que la entidad final obtenga la confirmacin
sobre:
* El estatus de revocacin de los certificados de otros usuarios, y
* La validacin del Certification Path, o cadena de certificados.
5 Emisores de CRLs o Certificate Revocation List Issuers
Los emisores de Listas de Revocacin de Certificados actan en nombre de la Autoridad de Certificacin, siendo
de carcter opcional aunque sumamente convenientes. Son listas de los Certificados que han dejado de ser
vlidos y por tanto en los que no se puede confiar. Los Certificados son revocados en los casos en los cuales:
a) la llave privada se vea comprometida,
b) hayan cambiado los atributos del certificado.
Procedimiento de la Certificacin:
L.S.C.A. Ral Monforte Chuln
MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica
1 Solicitud a la Autoridad de Certificacin de un certificado por parte de la Entidad Final, a travs de la Autoridad
de Registro, con el objeto de que la Autoridad de Certificacin garantice la identidad de la entidad final.
2 La Autoridad de Certificacin comprueba que cada usuario es quien dice ser y que la clave pblica que inscriba
en el certificado realmente le pertenece.
3 El Certificado de la entidad final se firma digitalmente, cifrandolo con la llave privada de la Autoridad de
Certificacin.
4 A su vez la autoridad de certificacin es certificada por otra/s Autoridad/es de Certificacin.
5 Dicho certificado se distribuye globalmente, es decir, al mayor numero de destinatarios posibles.
Los Certificados Digitales:
Son documentos que confirman la identidad de una persona fsica o jurdica, vinculada con una llave pblica
asociada a la llave privada.
Tienen dos aspectos por objeto:
1- Que la llave pblica del suscriptor pueda ser accesible por los verificadores o participes interesados en validar y
verificar la firma digital del suscriptor.
2-Que los participes puedan confiar en que la llave pblica que recibe el verificador sea realmente la del suscriptor.
Contenido del Certificado
Estos son los campos principales incluidos como contenido
* Identificador nico o N de serie del certificado. Internacional, y desarrollado
* El algoritmo de firma digital empleado. por Internet Engineering Task
* Datos de la autoridad de Certificacin: ID nico del Force.
* Emisor de certificados.
* Fechas de expedicin y expiracin de la llave pblica y privada.
* Llave pblica del titular del certificado.
Usos del Certificado
1. Personales:
a) Nombre y apellidos, o pseudonimo. El certificado Digital
b) N de telefono(s).
c) Direccin fisica y e-mail.
d) DNI.
e) Profesin y titulacin.
f) Cargo y empresa.
g) Grupo(s) de afiliacin.
2. Profesionales:
a) Para personas jurdicas todo lo anterior y adems:
L.S.C.A. Ral Monforte Chuln
MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos

Seguridad Informtica - 5o Sem Ingeniera en Informtica
b) Nombre de la persona jurdica. c) Poder notarial del poseedor del certificado.

Concepto de Cadena de Certificacin

Una Autoridad de Certificacin puede a su vez estar certificada por otra/s, Autoridades de Certificacin, con su
firma digital, hasta llegar a la Autoridad de Certificacin Raz, lo que conforma la Cadena de Certificados o
Certification Path de cualquier certificado hasta su Anclaje de Veracidad o Trust Anchor, que termina en el
Certificado Raz de la Autoridad de Certificacin Raz. Dicho certificado Raz es un certificado firmado a s
mismo, y emitido por la Autoridad de Certificacin Raz.
Las Entidades Finales por tanto deben validar la Cadena de Certificados para comprobar que los Certificados
Digitales realmente certifican que la llave pblica es de quien dice ser, comenzando para validarlo por los Trust
Anchors.
Tipos de Certificado Digital
Certificados de Clase 1:
Son emitidos nicamente a individuos. No se verifica la identidad de stos y por tanto no permite autentificarla.
Confirman que el nombre o seudnimo y el sujeto del certificado forman un nombre de sujeto inequvoco.
Certificados de Clase 2:
Son emitidos nicamente a individuos, y confirman que la informacin proporcionada por el Suscriptor no entra en
conflicto con la informacin de las bases de datos fiables propiedad de una EE (Entidad de Emisin) o una ERL
(Entidad de Registro Local), incluida la identidad del sujeto y otros datos del Suscriptor.
a) Certificados de Clase 2 no reconocidos (Clase 2 tipo 1), usados para transaciones de bajo riesgo como servicios
de suscripcin de la Sociedad de la Informacin.
b) Certificados de Clase 2 reconocidos (Clase 2 tipo 2), pueden ser usados como soporte de firmas electrnicas
legalmente reconocidas, obtienen una razonable seguridad de la identidad del Suscriptor, comparando
automticamente el nombre del solicitante, direccin y otra informacin personal contenida en la solicitud de
certificado, con la informacin contenida en las bases de datos propiedad de la EE o ERL.
Certificados de Clase 3, se emiten a:
* Individuos: requiere la presentacin de evidencias probatorias de la identidad de la identidad del sujeto,
personndose ante una Entidad de Registro Local (ERL) o su delegado, como puede ser un notario pblico.
* Organizaciones: se emiten a individuos con capacidad de firma dentro de una organizacin, probada esta
capacidad de firma por evidencia notarial, y de la propia organizacin a travs de organizaciones empresariales que
confirmen su identidad.

3.5. Polticas y prcticas de certificacin.

Las polticas y prcticas de certificacin, CPS y CP.
Declaracin de Prcticas de Certificacin (CPS)
* Describe las prcticas empleadas en la emisin y gestin de certificados. Gobierna la gestin de la Infraestructura
de llaves pblicas, y podra tambin incluir la descripcin de los servicios ofrecidos, y el detalle de los
procedimientos de la gestin del ciclo de vida del certificado, informacin operacional, etc.
L.S.C.A. Ral Monforte Chuln
MORCH Systems