© Copyright 2006 LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO Javier Alarcón...
-
Upload
ovidio-montesano -
Category
Documents
-
view
4 -
download
0
Transcript of © Copyright 2006 LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO Javier Alarcón...
© Copyright 2006
LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO
Javier Alarcó[email protected]
www.SeguriData.com © Copyright 2006
CONTENIDO
I.- CONCEPTOS BASICOS
II.- CONSERVACION DE LA INFORMACION (Documentos Electrónicos)
www.SeguriData.com © Copyright 2006
I. CONCEPTOS BASICOS
www.SeguriData.com © Copyright 2006
LA SEGURIDAD DE LA INFORMACION TIENE CUATRO OBJETIVOS FUNDAMENTALES…
• Confidencialidad de la Información: Sólo el destinatario de la información puede “descifrarla” para obtener el mensaje o información original
• Integridad de la Información: Tener los elementos para asegurar que la información originada por el emisor es exactamente la misma que recibe el destinatario de la misma
• Autenticidad: Poder identificar al emisor de la información así como la integridad de la misma
• No Repudiación: Tener los elementos técnicos para acreditar la responsabilidad de una transacción o mensaje al emisor de la misma
www.SeguriData.com © Copyright 2006
LOS OBJETIVOS SE LOGRAN A TRAVES DEL USO DE LA CRIPTOGRAFIA…
• Un mensaje M se transforma en un criptograma C mediante un algoritmo de encripción E utilizando una llave k.
• Los mensajes encriptados C=E(M,k) se transforman en el mensaje original con un algoritmo de desencripción D(C,k).
• Se utilizan “llaves digitales” para la encripción/desencripción de los mensajes.
www.SeguriData.com © Copyright 2006
• Llave secreta
Encripta
Criptografía Tradicional o Simétrica(DES, RC2, RC4…)
• Llave secreta
Desencripta
• Alicia
• Alicia
• Roberto
www.SeguriData.com © Copyright 2006
Confidencialidad
Autenticidad
Roberto AliciaPrivada Pública Privada Pública
Mensaje CifradoProceso de Encripción Desencripción
Encripción Desencripción
Criptografía Asimétrica(RSA, DSA, DH…)
Mensaje Cifrado
www.SeguriData.com © Copyright 2006
Necesidad de Determinar quién es el dueño de cierta Llave Pública
Cambia nombres de
archivos
Encripta con Llave en archivo Alicia.key
• Alicia.key
• Raul.key
• Oscar.key
• Juan.key
No puede abrir sobre
Puede abrir sobre
• Alicia
• Roberto
• Roberto
• Usuario incómodo (Raúl)
• Raúl
• Alicia.key
• Raul.key
• Oscar.key
• Juan.key
www.SeguriData.com © Copyright 2006
LAS LLAVES ASIMETRICAS Y EL REQUERIMIENTO DE CERTIFICACION DEBEN SER GENERADOS DE MANERA AUTOMATICA POR UNA APLICACION O A TRAVES DE UN DISPOSITIVO DE HARDWARE
• Valida identidad de quien presenta el requerimiento
• Genera Certificado• Registra el Certificado
• El usuario genera sus propias llaves para tener la certeza que sólo el conoce la llave privada o llave “secreta”.
Certificador
Usuario
Privada
Pública Certificado Digital
Requerimientode Certificación
Pública
www.SeguriData.com © Copyright 2006
UNA VEZ QUE LOS PARTICIPANTES CUENTAN CON SUS CERTIFICADOS Y SUS LLAVES PUEDEN REALIZAR EL PROCESO DE ENCRIPCION DE MENSAJES Y TRANSACCIONES CON LA CERTEZA QUE UNICAMENTE EL DESTINATARIO PUEDE DESENCRIPTARLOS
• Certificados de Socios Comerciales
Usuario
Destinatario
• Llave pública del destinatario
• Mensaje o
Transacción
• Mensaje o Transacción Encriptada
www.SeguriData.com © Copyright 2006
AL RECIBIR UN MENSAJE EL DESTINATARIO PUEDE DESENCRIPTARLO CON SU LLAVE PRIVADA PARA VER EL CONTENIDO
Nota: La llave privada puede pertenecer a un sistema, el cuál al recibir las transacciones, automáticamente las desencripta.
• Mensaje Encriptado
• Llave privada
• Mensaje Desencriptado
• Receptor
www.SeguriData.com © Copyright 2006
LA GENERACION DE HUELLAS DIGITALES PERMITE VALIDAR LA INTEGRIDAD DEL MENSAJE O DE LA TRANSACCION RECIBIDA
Nota: Dos transacciones o mensajes distintos producen una huella digital distinta, y dos mensajes o transacciones iguales, producen la misma huella digital. La longitud de la huella digital es por lo general de 16 a 20 bytes dependiendo del algoritmo utilizado (MD5, MD4,SHA-1).
• Recibe el mensaje y digestión• Obtiene digestión del mensaje• Compara digestiones para
validar la integridad de la información
• Digestión o Huella Digital
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Usuario
Destinatario
• Mensaje o
Transacción• Algoritmo de
Digestión
www.SeguriData.com © Copyright 2006
LA FIRMA Y ENSOBRETAMIENTO DIGITAL ASEGURAN LA CONFIDENCIALIDAD, AUTENTICIDAD E INTEGRIDAD DE LA INFORMACION
• Recibe sobre electrónico• Autentica Emisor• “Abre” sobre• Valida firma e integridad de la
información
• Iniciador
• Destinatario
Documento o Transacción
Digestión
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Firma Electrónica Avanzada
Llave pública destinatario
Llave privada
Certificado Destinatario
Certificado Iniciador
• Sobre Digital
www.SeguriData.com © Copyright 2006
Certificado Digital X.509
• Certificado Digital
Versión: 3
Número de Serie: 251...
Nombre del Emisor: AC
Inválido antes de: Fecha UTC
Inválido después de: Fecha UTC
Nombre del Sujeto: Juan Pérez
Llave Pública: 82736.....
www.SeguriData.com © Copyright 2006
Creación del Certificado Digital X.509
• Certificado Digital
Firma Electrónica Avanzada
Llave privada Autoridad Certificadora
DigestiónDatos del Requerimiento + datos de la
Autoridad Certificadora
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Datos del Requerimiento
y de la AC
Juan Pérez
Panzacola #62, Col. Villa Coyoacan.
Pública
Requerimiento de
Certificación
www.SeguriData.com © Copyright 2006
Autenticidad del Certificado Digital
• Llave Pública de la AC
• Algoritmo RSA de Autenticación
• Si o no es auténtico
• Certificado Digital
www.SeguriData.com © Copyright 2006
Lista de Certificado Revocados
• Lista de Certificados Revocados
Nombre del Emisor: AC
Ultima Actualización: Fecha UTC
Siguiente Actualización: Fecha UTC
Número de Serie, Fecha UTC de revocaciónNúmero de Serie, Fecha UTC de revocaciónNúmero de Serie, Fecha UTC de revocación
.
.
.
www.SeguriData.com © Copyright 2006
• PKCS:- #1 : Encripción utilizando RSA- #3 : Diffie-Hellman Key Agreement Standard- #5 : Password-Based Encryption Standard- #6 : Extended-Certificate Syntax Standard- #7 : Cryptographic Message Syntax Standard- #8 : Private-Key Information Syntax Standard- #9 : Selected Attribute Types- #10 : Certification Request Syntax Standard- #11 : Cryptographic Token Interface Standard- #12 : Personal Information Exchange Syntax Standard- #13 : Elliptic Curve Cryptography Standard
• EDIFACT:- ISO 9735-5: Security rules for batch EDI (autenticidad, integridad y no rep.)- ISO 9735-6: Secure authentication an ack. Message (AUTACK)- ISO 9735-7: Security rules for batch EDI (confidencialidad)- ISO 9735-9: Security key and certificate management message (KEYMAN)- ISO 9735-10: Security rules for interactive EDI
DOS ESTANDARES QUE CONTEMPLAN LOS CONCEPTOS AQUI DEFINIDOS SON EL PKCS (Public Key Criptography Standards) Y EDIFACT
www.SeguriData.com © Copyright 2006
II.- CONSERVACION DE LA INFORMACION (Documentos Electrónicos)
www.SeguriData.com © Copyright 2006
EL DOCUMENTO TRADICIONAL TIENE UNA SERIE DE DESVENTAJAS EVIDENTES…
• (Ej. Un contrato) requiere rubricar cada hoja y firmar autografamente la última
• La rúbrica no está contenida en ninguna identificación oficial, por lo que no es posible validar que pertenezca a una persona en particular
• Las rúbricas por lo general son muy simples y pudieran ser replicadas
• La práctica indica que pocos validan que la firma autógrafa sea la misma que la que aparece en una identificación oficial
• La mayoría de las veces, después de haber rubricado y firmado un documento, no se vuelven a validar cada una de las hojas para ver que no hayan sido alteradas una vez, que se recibe de regreso el documento con las rúbricas y firmas del resto de participantes
www.SeguriData.com © Copyright 2006
EL DOCUMENTO TRADICIONAL (Cont)…
• La firma autógrafa es igual en todos los documentos sin importar su contenido
• En los documentos tradicionales no es posible solicitar firmas simultaneas, siempre se firma en forma secuencial, complicando el proceso de recopilación de las firmas
• Qué pasa si tomo la firma autógrafa de un contrato, la plasmo en otro documento y este lo envío por fax ?
• Qué pasa cuando hay que ubicar el documento y la firma del mismo en el tiempo ? (Ejemplos: Una subasta o concurso, registro de marcas, registro de patentes, título de propiedad)
www.SeguriData.com © Copyright 2006
HAY UNA SERIE DE PREGUNTAS QUE NOS TENEMOS QUE HACER Y A LAS CUALES DEBEMOS DAR RESPUESTA PARA CONSIDERAR UN DOCUMENTO ELECTRONICO (MENSAJE DE DATOS) COMO VALIDO
• Qué se firmó ?
• Quiénes lo firmaron ?
• Cuándo lo firmaron ?
www.SeguriData.com © Copyright 2006
Qué se Firmó ? …
• El contenido del mensaje de datos, el conjunto de bits que forman el mensaje
• Los participantes en un acuerdo negocian este contenido, y una vez aceptado, proceden a firmarlo electrónicamente
Mensaje de Datos Proceso de Digestión (Hash)
Digestión Firma Electrónica Avanzada (FEA)
Mensaje FirmadoEncripción
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Llave Privada
www.SeguriData.com © Copyright 2006
Qué se Firmó ? …
• Al autenticar una FEA es posible determinar si ésta fue aplicada a un mensaje de datos en particular
Mensaje de Datos Proceso de Digestión (Hash)
Digestión (1)Firma Electrónica Avanzada (FEA)
Mensaje Firmado
Digestión (2)
Comparación de Digestiones
No autentico<>
Autentico
=
Llave Pública
Desencripción
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
www.SeguriData.com © Copyright 2006
Quiénes lo firmaron ? …
• Son los participantes que aceptaron el contenido del mensaje de datos y dieron su aceptación utilizando su Llave Privada para generar la FEA
• El Certificado Digital liga la identidad de los firmantes con su Llave Pública, que por su relación con la Privada permite determinar el autor de una FEA
Privada
Pública
Autoridad Certificadora
• Es un tercero confiable (Trusted Third Party - TTP)
• Valida identidad de quien presenta requerimiento
• Autentica requerimiento para determinar que el dueño del mismo es propietario de la Llave Privada que corresponde a la Pública dentro del requerimiento
• Agrega sus Datos a los datos del requerimiento, agrega período de validez, asigna número de serie y lo Firma Electrónicamente generando el Certificado Digital
Requerimiento de Certificación
Juan Pérez
Panzacola #62, Col. Villa Coyoacan.
Pública
Certificado Digital
www.SeguriData.com © Copyright 2006
Quiénes lo firmaron ? …
• Al ser el Certificado Digital un mensaje firmado electrónicamente, este se puede autenticar y determinar:
Que el Certificado no ha sido alterado (es integro) Que el Certificado fue emitido por una Autoridad Certificadora
confiable (TTP) Que el Certificado se encuentra en su período de validez
• Teniendo el mensaje firmado electrónicamente por los diferentes participantes y sus correspondientes Certificados Digitales, podemos determinar:
Que el mensaje no ha sido alterado desde el momento de su firma (es integro)
Que los participantes firmaron el mismo mensaje Que el mensaje se firmó con ciertas Llaves Privadas específicas (es
auténtico) Que una Tercero Confiable validó la identidad de los firmantes
avalando que estos son los poseedores de la Llave Privada con la que se realizaron las firmas
Certificados DigitalesMensaje Firmado
www.SeguriData.com © Copyright 2006
Cuándo lo firmaron ? …
• Es necesario determinar si el Certificado Digital del firmante era válido al momento de realizar la firma del mensaje (No Revocado)
Si se firmó antes del momento de la revocación, la firma es válida Si se firmó después del momento de la revocación, la firma se
considera inválida y se debe rechazar el mensaje
• Es necesario determinar si en su ámbito aplicativo el mensaje tenía validez al momento de su firma (Ejemplo: Una subasta o un concurso con fecha límite para entrega de propuestas)
• Es recomendable involucrar a una Autoridad de Tiempo Confiable (TSA) también conocida como Oficialía de Partes, que de fe que una transacción ocurre a cierta fecha y hora a través de la emisión de estampillas de tiempo
www.SeguriData.com © Copyright 2006
Cuándo lo firmaron ? …
Mensaje firmado Proceso de Digestión (Hash)
Digestión
Internet
Time Stamp Authority (TSA)
Estampilla de Tiempo
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ
128 / 160 bits
Receptores de Mensajes
Firmantes
www.SeguriData.com © Copyright 2006
QUE ESTANDARES CONTEMPLAN ESTOS CONCEPTOS Y ME PERMITEN DAR RESPUESTA AL QUE, QUIEN Y CUANDO ? …
X.509 para Certificados Digitales
OCSP (Online Certificate Status Protocol): Permite hacer consultas en línea a las Autoridades Certificadoras sobre el estatus de revocación de un certificado.
TSP (Time Stamp Protocol): Permite generar estampillas de tiempo que amparan la existencia de un contenido a una determinada fecha y hora.
PKCS (Public Key Cryptography Standards): Estándar que define la Sintaxis de Mensajes Criptográficos, incluyendo mensajes firmados electrónicamente.
www.SeguriData.com © Copyright 2006
bSigned (Esquema Conceptual)
Time Stamp Authority (TSA)
Iniciador
1. Elige documento a ser firmado2. Elige participantes y roles3. Elige secuencia de firmado (opcional)4. Elige período de expiración del
documento5. Envía a bSigned
6. Recibe documento y certificados de los participantes
7. Valida estatus de certificados vs Autoridad(es) Certificadora(s)
8. Envía correo para solicitud de firmas
Servidor bSigned9. Reciben correo electrónico con liga a
documento a firmar10. Revisan documento y si todo es
correcto proceden a firmarlo11. Envían firma a bSigned
Firmantes
Autoridad Certificadora
Servidor de Base de Datos
12. Valida firma de cada participante13. Valida estatus de certificado al
momento de la firma14. Solicita estampilla de tiempo por
cada una de las firmas
15. Recibe “resumen” de la transacción
16. Genera estampilla de tiempo17. Almacena estampilla18. Envía estampilla a Servidor
bSigned
19. Solicita estampilla de proceso finalizado
20. Genera archivo con toda la evidencia y lo hace disponible a los participantes
Internet
SSL
OCSP
TSP
www.SeguriData.com © Copyright 2006
Marco Legal de la Firma Electrónica
Mayo
2000
Admisibilidad de Mensajes de Datos
Mayo
2000
Conservación de Mensajes de Datos
Procedimientos Administrativos por medios electrónicos
Junio
2002
Agosto
2003
Ley de Firmas Electrónicas
Factura Electrónica y Comprobantes
Fiscales
Enero
2004
1era Ley de Firmas Electrónicas Estatal
(Guanajuato)
Junio
2004
www.SeguriData.com © Copyright 2006
LA FIRMA ELECTRONICA NO ES UNICAMENTE UN TEMA DE SEGURIDAD, ES UN TEMA DE EVOLUCION …
• La firma electrónica nos permite eficientar procesos y reducir costos Eliminación de gastos en papel Eliminación de gastos en toner o cartuchos para impresoras Eliminación de gastos de mensajería para traslado de documentos Eliminación de riesgos en el traslado de documentos confidenciales
(perdida, robo, apertura, alteraciones y maltratos) Eliminación de espacio físico para almacenamiento de los
documentos Disminución dramática en los tiempos de gestión de firmas de
documentos (Una sola firma ampara todo el contenido del documento, a diferencia del mundo en papel, donde cada hoja debe rubricarse y la firma autógrafa aparece únicamente al final del documento. El proceso de rubricar cada hoja y firma se debe realizar además en las copias del documento)
Disminución dramática en tiempos de búsqueda de documentos Disminución del riesgo en documentos ya almacenados (robo,
alteraciones y maltratos)
DESPUES DE TODO, LA FIRMA ELECTRONICA AVANZADA NO ES TAN FEA …