© Copyright 2006 LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO Javier Alarcón...

© Copyright 2006

LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO

Javier Alarcó[email protected]

www.SeguriData.com © Copyright 2006

CONTENIDO

I.- CONCEPTOS BASICOS

II.- CONSERVACION DE LA INFORMACION (Documentos Electrónicos)


I. CONCEPTOS BASICOS


LA SEGURIDAD DE LA INFORMACION TIENE CUATRO OBJETIVOS FUNDAMENTALES…

• Confidencialidad de la Información: Sólo el destinatario de la información puede “descifrarla” para obtener el mensaje o información original

• Integridad de la Información: Tener los elementos para asegurar que la información originada por el emisor es exactamente la misma que recibe el destinatario de la misma

• Autenticidad: Poder identificar al emisor de la información así como la integridad de la misma

• No Repudiación: Tener los elementos técnicos para acreditar la responsabilidad de una transacción o mensaje al emisor de la misma


LOS OBJETIVOS SE LOGRAN A TRAVES DEL USO DE LA CRIPTOGRAFIA…

• Un mensaje M se transforma en un criptograma C mediante un algoritmo de encripción E utilizando una llave k.

• Los mensajes encriptados C=E(M,k) se transforman en el mensaje original con un algoritmo de desencripción D(C,k).

• Se utilizan “llaves digitales” para la encripción/desencripción de los mensajes.


• Llave secreta

Encripta

Criptografía Tradicional o Simétrica(DES, RC2, RC4…)

• Llave secreta

Desencripta

• Alicia

• Alicia

• Roberto


Confidencialidad

Autenticidad

Roberto AliciaPrivada Pública Privada Pública

Mensaje CifradoProceso de Encripción Desencripción

Encripción Desencripción

Criptografía Asimétrica(RSA, DSA, DH…)

Mensaje Cifrado


Necesidad de Determinar quién es el dueño de cierta Llave Pública

Cambia nombres de

archivos

Encripta con Llave en archivo Alicia.key

• Alicia.key

• Raul.key

• Oscar.key

• Juan.key

No puede abrir sobre

Puede abrir sobre

• Alicia

• Roberto

• Roberto

• Usuario incómodo (Raúl)

• Raúl

• Alicia.key

• Raul.key

• Oscar.key

• Juan.key


LAS LLAVES ASIMETRICAS Y EL REQUERIMIENTO DE CERTIFICACION DEBEN SER GENERADOS DE MANERA AUTOMATICA POR UNA APLICACION O A TRAVES DE UN DISPOSITIVO DE HARDWARE

• Valida identidad de quien presenta el requerimiento

• Genera Certificado• Registra el Certificado

• El usuario genera sus propias llaves para tener la certeza que sólo el conoce la llave privada o llave “secreta”.

Certificador

Usuario

Privada

Pública Certificado Digital

Requerimientode Certificación

Pública


UNA VEZ QUE LOS PARTICIPANTES CUENTAN CON SUS CERTIFICADOS Y SUS LLAVES PUEDEN REALIZAR EL PROCESO DE ENCRIPCION DE MENSAJES Y TRANSACCIONES CON LA CERTEZA QUE UNICAMENTE EL DESTINATARIO PUEDE DESENCRIPTARLOS

• Certificados de Socios Comerciales

Usuario

Destinatario

• Llave pública del destinatario

• Mensaje o

Transacción

• Mensaje o Transacción Encriptada


AL RECIBIR UN MENSAJE EL DESTINATARIO PUEDE DESENCRIPTARLO CON SU LLAVE PRIVADA PARA VER EL CONTENIDO

Nota: La llave privada puede pertenecer a un sistema, el cuál al recibir las transacciones, automáticamente las desencripta.

• Mensaje Encriptado

• Llave privada

• Mensaje Desencriptado

• Receptor


LA GENERACION DE HUELLAS DIGITALES PERMITE VALIDAR LA INTEGRIDAD DEL MENSAJE O DE LA TRANSACCION RECIBIDA

Nota: Dos transacciones o mensajes distintos producen una huella digital distinta, y dos mensajes o transacciones iguales, producen la misma huella digital. La longitud de la huella digital es por lo general de 16 a 20 bytes dependiendo del algoritmo utilizado (MD5, MD4,SHA-1).

• Recibe el mensaje y digestión• Obtiene digestión del mensaje• Compara digestiones para

validar la integridad de la información

• Digestión o Huella Digital

Iuwdndvksfougyeowfpmvmjdhguefiokwldxmcsjkhgfoewifdkkaefnvsdluigfhjeaijcmnvhdyguiqjrepfokwrjourgpirokvoiurthguercmsenouirerifjcmoeurgfpeomcnvoeutg98preklññ

128 / 160 bits

Usuario

Destinatario

• Mensaje o

Transacción• Algoritmo de

Digestión


LA FIRMA Y ENSOBRETAMIENTO DIGITAL ASEGURAN LA CONFIDENCIALIDAD, AUTENTICIDAD E INTEGRIDAD DE LA INFORMACION

• Recibe sobre electrónico• Autentica Emisor• “Abre” sobre• Valida firma e integridad de la

información

• Iniciador

• Destinatario

Documento o Transacción

Digestión


128 / 160 bits


128 / 160 bits

Firma Electrónica Avanzada

Llave pública destinatario

Llave privada

Certificado Destinatario

Certificado Iniciador

• Sobre Digital


Certificado Digital X.509

• Certificado Digital

Versión: 3

Número de Serie: 251...

Nombre del Emisor: AC

Inválido antes de: Fecha UTC

Inválido después de: Fecha UTC

Nombre del Sujeto: Juan Pérez

Llave Pública: 82736.....


Creación del Certificado Digital X.509


Firma Electrónica Avanzada

Llave privada Autoridad Certificadora

DigestiónDatos del Requerimiento + datos de la

Autoridad Certificadora


128 / 160 bits


128 / 160 bits

Datos del Requerimiento

y de la AC

Juan Pérez

Panzacola #62, Col. Villa Coyoacan.

[email protected]

Pública

Requerimiento de

Certificación


Autenticidad del Certificado Digital

• Llave Pública de la AC

• Algoritmo RSA de Autenticación

• Si o no es auténtico



Lista de Certificado Revocados

• Lista de Certificados Revocados

Nombre del Emisor: AC

Ultima Actualización: Fecha UTC

Siguiente Actualización: Fecha UTC

Número de Serie, Fecha UTC de revocaciónNúmero de Serie, Fecha UTC de revocaciónNúmero de Serie, Fecha UTC de revocación

.

.

.


• PKCS:- #1 : Encripción utilizando RSA- #3 : Diffie-Hellman Key Agreement Standard- #5 : Password-Based Encryption Standard- #6 : Extended-Certificate Syntax Standard- #7 : Cryptographic Message Syntax Standard- #8 : Private-Key Information Syntax Standard- #9 : Selected Attribute Types- #10 : Certification Request Syntax Standard- #11 : Cryptographic Token Interface Standard- #12 : Personal Information Exchange Syntax Standard- #13 : Elliptic Curve Cryptography Standard

• EDIFACT:- ISO 9735-5: Security rules for batch EDI (autenticidad, integridad y no rep.)- ISO 9735-6: Secure authentication an ack. Message (AUTACK)- ISO 9735-7: Security rules for batch EDI (confidencialidad)- ISO 9735-9: Security key and certificate management message (KEYMAN)- ISO 9735-10: Security rules for interactive EDI

DOS ESTANDARES QUE CONTEMPLAN LOS CONCEPTOS AQUI DEFINIDOS SON EL PKCS (Public Key Criptography Standards) Y EDIFACT


II.- CONSERVACION DE LA INFORMACION (Documentos Electrónicos)


EL DOCUMENTO TRADICIONAL TIENE UNA SERIE DE DESVENTAJAS EVIDENTES…

• (Ej. Un contrato) requiere rubricar cada hoja y firmar autografamente la última

• La rúbrica no está contenida en ninguna identificación oficial, por lo que no es posible validar que pertenezca a una persona en particular

• Las rúbricas por lo general son muy simples y pudieran ser replicadas

• La práctica indica que pocos validan que la firma autógrafa sea la misma que la que aparece en una identificación oficial

• La mayoría de las veces, después de haber rubricado y firmado un documento, no se vuelven a validar cada una de las hojas para ver que no hayan sido alteradas una vez, que se recibe de regreso el documento con las rúbricas y firmas del resto de participantes


EL DOCUMENTO TRADICIONAL (Cont)…

• La firma autógrafa es igual en todos los documentos sin importar su contenido

• En los documentos tradicionales no es posible solicitar firmas simultaneas, siempre se firma en forma secuencial, complicando el proceso de recopilación de las firmas

• Qué pasa si tomo la firma autógrafa de un contrato, la plasmo en otro documento y este lo envío por fax ?

• Qué pasa cuando hay que ubicar el documento y la firma del mismo en el tiempo ? (Ejemplos: Una subasta o concurso, registro de marcas, registro de patentes, título de propiedad)


HAY UNA SERIE DE PREGUNTAS QUE NOS TENEMOS QUE HACER Y A LAS CUALES DEBEMOS DAR RESPUESTA PARA CONSIDERAR UN DOCUMENTO ELECTRONICO (MENSAJE DE DATOS) COMO VALIDO

• Qué se firmó ?

• Quiénes lo firmaron ?

• Cuándo lo firmaron ?


Qué se Firmó ? …

• El contenido del mensaje de datos, el conjunto de bits que forman el mensaje

• Los participantes en un acuerdo negocian este contenido, y una vez aceptado, proceden a firmarlo electrónicamente

Mensaje de Datos Proceso de Digestión (Hash)

Digestión Firma Electrónica Avanzada (FEA)

Mensaje FirmadoEncripción


128 / 160 bits


128 / 160 bits

Llave Privada


Qué se Firmó ? …

• Al autenticar una FEA es posible determinar si ésta fue aplicada a un mensaje de datos en particular

Mensaje de Datos Proceso de Digestión (Hash)

Digestión (1)Firma Electrónica Avanzada (FEA)

Mensaje Firmado

Digestión (2)

Comparación de Digestiones

No autentico<>

Autentico

=

Llave Pública

Desencripción


128 / 160 bits


128 / 160 bits


128 / 160 bits


128 / 160 bits


Quiénes lo firmaron ? …

• Son los participantes que aceptaron el contenido del mensaje de datos y dieron su aceptación utilizando su Llave Privada para generar la FEA

• El Certificado Digital liga la identidad de los firmantes con su Llave Pública, que por su relación con la Privada permite determinar el autor de una FEA

Privada

Pública


• Es un tercero confiable (Trusted Third Party - TTP)

• Valida identidad de quien presenta requerimiento

• Autentica requerimiento para determinar que el dueño del mismo es propietario de la Llave Privada que corresponde a la Pública dentro del requerimiento

• Agrega sus Datos a los datos del requerimiento, agrega período de validez, asigna número de serie y lo Firma Electrónicamente generando el Certificado Digital

Requerimiento de Certificación

Juan Pérez

Panzacola #62, Col. Villa Coyoacan.

[email protected]

Pública

Certificado Digital


Quiénes lo firmaron ? …

• Al ser el Certificado Digital un mensaje firmado electrónicamente, este se puede autenticar y determinar:

Que el Certificado no ha sido alterado (es integro) Que el Certificado fue emitido por una Autoridad Certificadora

confiable (TTP) Que el Certificado se encuentra en su período de validez

• Teniendo el mensaje firmado electrónicamente por los diferentes participantes y sus correspondientes Certificados Digitales, podemos determinar:

Que el mensaje no ha sido alterado desde el momento de su firma (es integro)

Que los participantes firmaron el mismo mensaje Que el mensaje se firmó con ciertas Llaves Privadas específicas (es

auténtico) Que una Tercero Confiable validó la identidad de los firmantes

avalando que estos son los poseedores de la Llave Privada con la que se realizaron las firmas

Certificados DigitalesMensaje Firmado


Cuándo lo firmaron ? …

• Es necesario determinar si el Certificado Digital del firmante era válido al momento de realizar la firma del mensaje (No Revocado)

Si se firmó antes del momento de la revocación, la firma es válida Si se firmó después del momento de la revocación, la firma se

considera inválida y se debe rechazar el mensaje

• Es necesario determinar si en su ámbito aplicativo el mensaje tenía validez al momento de su firma (Ejemplo: Una subasta o un concurso con fecha límite para entrega de propuestas)

• Es recomendable involucrar a una Autoridad de Tiempo Confiable (TSA) también conocida como Oficialía de Partes, que de fe que una transacción ocurre a cierta fecha y hora a través de la emisión de estampillas de tiempo


Cuándo lo firmaron ? …

Mensaje firmado Proceso de Digestión (Hash)

Digestión

Internet

Time Stamp Authority (TSA)

Estampilla de Tiempo


128 / 160 bits


128 / 160 bits

Receptores de Mensajes

Firmantes


QUE ESTANDARES CONTEMPLAN ESTOS CONCEPTOS Y ME PERMITEN DAR RESPUESTA AL QUE, QUIEN Y CUANDO ? …

X.509 para Certificados Digitales

OCSP (Online Certificate Status Protocol): Permite hacer consultas en línea a las Autoridades Certificadoras sobre el estatus de revocación de un certificado.

TSP (Time Stamp Protocol): Permite generar estampillas de tiempo que amparan la existencia de un contenido a una determinada fecha y hora.

PKCS (Public Key Cryptography Standards): Estándar que define la Sintaxis de Mensajes Criptográficos, incluyendo mensajes firmados electrónicamente.


bSigned (Esquema Conceptual)

Time Stamp Authority (TSA)

Iniciador

1. Elige documento a ser firmado2. Elige participantes y roles3. Elige secuencia de firmado (opcional)4. Elige período de expiración del

documento5. Envía a bSigned

6. Recibe documento y certificados de los participantes

7. Valida estatus de certificados vs Autoridad(es) Certificadora(s)

8. Envía correo para solicitud de firmas

Servidor bSigned9. Reciben correo electrónico con liga a

documento a firmar10. Revisan documento y si todo es

correcto proceden a firmarlo11. Envían firma a bSigned

Firmantes


Servidor de Base de Datos

12. Valida firma de cada participante13. Valida estatus de certificado al

momento de la firma14. Solicita estampilla de tiempo por

cada una de las firmas

15. Recibe “resumen” de la transacción

16. Genera estampilla de tiempo17. Almacena estampilla18. Envía estampilla a Servidor

bSigned

19. Solicita estampilla de proceso finalizado

20. Genera archivo con toda la evidencia y lo hace disponible a los participantes

Internet

SSL

OCSP

TSP


Marco Legal de la Firma Electrónica

Mayo

2000

Admisibilidad de Mensajes de Datos

Mayo

2000

Conservación de Mensajes de Datos

Procedimientos Administrativos por medios electrónicos

Junio

2002

Agosto

2003

Ley de Firmas Electrónicas

Factura Electrónica y Comprobantes

Fiscales

Enero

2004

1era Ley de Firmas Electrónicas Estatal

(Guanajuato)

Junio

2004


LA FIRMA ELECTRONICA NO ES UNICAMENTE UN TEMA DE SEGURIDAD, ES UN TEMA DE EVOLUCION …

• La firma electrónica nos permite eficientar procesos y reducir costos Eliminación de gastos en papel Eliminación de gastos en toner o cartuchos para impresoras Eliminación de gastos de mensajería para traslado de documentos Eliminación de riesgos en el traslado de documentos confidenciales

(perdida, robo, apertura, alteraciones y maltratos) Eliminación de espacio físico para almacenamiento de los

documentos Disminución dramática en los tiempos de gestión de firmas de

documentos (Una sola firma ampara todo el contenido del documento, a diferencia del mundo en papel, donde cada hoja debe rubricarse y la firma autógrafa aparece únicamente al final del documento. El proceso de rubricar cada hoja y firma se debe realizar además en las copias del documento)

Disminución dramática en tiempos de búsqueda de documentos Disminución del riesgo en documentos ya almacenados (robo,

alteraciones y maltratos)

DESPUES DE TODO, LA FIRMA ELECTRONICA AVANZADA NO ES TAN FEA …

© Copyright 2006 LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO Javier Alarcón...

Documents

Transcript of © Copyright 2006 LA FIRMA ELECTRONICA AVANZADA Y EL DOCUMENTO ELECTRONICO SEGURO Javier Alarcón...