PowerPoint Presentation

INFRAESTRUCTURA DE CLAVE PUBLICAINFRAESTRUCTURA DE CLAVE PUBLICAUna PKI (del ingls, Public Key Infrastructure) engloba todo el software y componentes de hardware junto con los usuarios, polticas y procedimientos de seguridad que permiten la ejecucin con garantas de operaciones criptogrficas como el cifrado, la firma digital o el no repudio de transacciones electrnicasEl objetivo principal de la PKI es la gestin eficiente y confiable de las claves criptogrficas y los certificados que pueden ser utilizados para propsitos de: autenticacin, integridad, confidencialidad y no repudio.

Autenticacin IntegridadConfidencialidadNO repudioComponentes de una PKIComponentes de una PKIProveedores de tecnologa de PKICERTISURCertiSur, lider en la regin en tecnologa de PKI, provee a sus clientes de todos los elementos de software, hardware y legales que permiten la creacin de una Infraestructura de Clave Pblica acorde a las exigencias del mercado o reglamentarias.CertiSur es una empresa dedicada a tecnologa de Clave Pblica y cuenta con todos los proveedores lderes mundiales para proveer cualquier tipo de solucin, que permiten a una empresa emitir los certificados, validar las operaciones e integrarlo a los circuitos de uso de manera rpida y eficiente.Los Servicios Profesionales de CertiSur aplican su conocimiento para el desarrollo de una Infraestructura de Clave Pblica o Autoridades Certificantes haciendo uso de diversas tecnologas provistas por los socios de negocio.Gracias a ser uno de los Afiliados de VeriSign, CertiSur implementa Autoridades Certificantes en modalidad de servicio (Managed PKI)

SAFE LAYERKeyOne de Safelayer es una familia de productos diseada para generar y utilizar certificados digitales. Los componentes de KeyOne tienen una arquitectura distribuida y escalable que permite desarrollar cualquier modelo de confianza basado en certificacin. La plataforma PKI de Safelayer KeyOne- es una de las ms completas y probadas del mercado. Incluye todos los componentes para la gestin de los certificados y garantiza la escalabilidad para la gestin de PKIs crticas de grandes volmenes.Los productos KeyOne se usan en numerosos proyectos gubernamentales, Prestadores de Servicios de Certificacin y grandes corporaciones en distintos pases de EMEA y LATAM, tales como Alemania, Andorra, Blgica, Colombia, Espaa, Francia, Estonia, Marruecos, Paraguay, Panam, Portugal, Tnez o Uruguay.

CERTIFICADOSUn certificado digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificacin) garantiza la vinculacin entre la identidad de un sujeto o entidad y su clave pblica.

SEGURIDAD DE CERTIFICADOS

La seguridad en la infraestructura PKI depende en parte de cmo se guarden las claves privadas. TOKENDa a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticacin.Tienen un tamao pequeo que permiten ser cmodamente llevados en el bolsillo o la cartera y son normalmente diseados para atarlos a un llavero. TOKEN DE SEGURIDAD

Almacena claves criptogrficasFIRMAS DIGITALESDATOS BIOMTRICOStokens USBtokens OTP

Algunos diseos se hacen a prueba de alteraciones, otros pueden incluir teclados para la entrada de un PIN.TIPOS DE CERTIFICADOSAcredita la identidad del titular.Adems de la identidad del titular acredita su vinculacin con la entidad para la que trabaja.Adems de la pertenencia, acredita tambin los poderes de representacin que el titular tiene sobre la empresa.Identifica una empresa o sociedad como tal a la hora de realizar trmites ante las administraciones o instituciones.Permite identificar una cualidad, estado o situacin. Este tipo de certificado va asociado al certificado personal. TIPOS DE CERTIFICADOSUtilizado en los servidores web que quieren proteger ante terceros el intercambio de informacin con los usuarios.Para garantizar la autora y la no modificacin del cdigo de aplicaciones informticas. Adems, existen otros tipos de certificado digital utilizados en entornos ms tcnicos:LEGISLACION

Estndares EuropeosETSI TS 102 042: Policy requirements for certification authorities issuing public key certificatesETSI TS 102 023: Policy requirements for time-stamping authoritiesETSI TS 101 862: Qualified Certificate profileETSI TS 101 456: Policy requirements for certification authorities issuing qualified certificatesCWA 14167-2 Security Req. for Trustworthy Systems Managing Certificates for Electronic SignaturesCWA 14172 EESSI Conformity Assessment Guidance (Gua para aplicar los estndares de firmaelectrnica de acuerdo con la iniciativa de estandarizacin europea)

NORMATIVA BOLIVIANABolivia an no tiene legislacin sobre la firma digital a travs de Internet Mediante el proyecto de Ley de Telecomunicaciones, se planea reconocer lcitamente las acciones legales efectuadas a travs de documentos y firmas digitales por medios electrnicos.

RESOLUCION DE DIRECTORIO N 086/2004 PROYECTO DE REGLAMENTO DE FIRMA DIGITAL PARA EL SISTEMA DE PAGOS Artculo 1. (Objeto). El presente Reglamento tiene por objeto normar el uso de la Firma Digital para otorgar seguridad y validez a los documentos electrnicos en el marco del Sistema de Pagos. Artculo 4. (Uso de la Firma Digital). Los documentos electrnicos intercambiados en los Sistemas de Pagos, debern ser firmados digitalmente y cumplir con lo establecido en el presente Reglamento. Los procedimientos de validacin de la firma digital debern incluir el uso de certificados digitales. Artculo 6. (Caractersticas de la Firma Digital). La Firma Digital, para ser usada en el Sistema de Pagos, debe poseer las caractersticas mnimas siguientes: a) Los datos de creacin de la firma digital deben estar bajo control exclusivo del signatario. b) Debe identificar al signatario. c) Debe ser nica para cada documento electrnico firmado digitalmente. d) Debe ser susceptible de verificacin, usando la clave pblica del signatario. e) Debe estar ligada al documento electrnico enviado, de manera que si ste es modificado, la Firma Digital se invalida.CAPTULO VI CERTIFICADO DIGITAL Artculo 15. (Contenido del Certificado Digital). El Certificado Digital deber contener, por lo menos, la informacin siguiente: Datos que identifiquen al participante y a su correspondiente firmante o signatario; Clave pblica del firmante; Identificacin del sistema criptogrfico asimtrico utilizado para generar la Firma del Certificado Digital; Fecha y hora de emisin y expiracin del Certificado Digital;Cualquier limitacin de uso y responsabilidad a la que est sometido el Certificado Digital; Algoritmo y huella de identificacin del Certificado Digital;Nmero de serie del Certificado Digital.ALGORITMORSAAdleman

ShamirRivestEl algoritmo RSASe basa en la dificultad que presenta la factorizacin de nmeros grandes. Las clavespblicayprivada se calculan a partir de un nmero que se obtiene como producto de dos primos grandes. Un atacante que quiera recuperar un texto claro a partir del criptograma y de la clave pblica, tiene que enfrentarse a dicho problema de factorizacin.Selecciona dos nmeros primos p y qCalcula n = p * qCalcula z = (p-1)(q-1)Selecciona d tal que 1 < d < z.Calcula e tal que cumpla: d * e mod z = 1La clave pblica es: {e, n}La clave privada es: {d, n}El algoritmo RSAEl algoritmo RSAEjemplo:p=3q=11n=p * q3*11=33z=(p-1)*(q-1)2*10=20e=3cumple 3*7 mod 20 = 1d=7cumple1 < 7 < 20Smbolo NEncriptacinDes-encriptacinToeToe mod nTcdTcd mod nH085121741033867308O1533759478296915L121728123583180812A0111101DSS (Digital Signature Standard)El DSS (Digital Signature Standard) es un sistema de firma digital adoptado como estndar por el NIST. Utiliza la funcin Hash SHA y el algoritmo asimtrico DSA (Digital Signature Algorithm).El DSA es un algoritmo asimtrico que nicamente se puede utilizar con firma digital.

DSS Utiliza ms parmetros que el RSA y as se consigue un grado mayor de seguridad. Los parmetros son:KG claves pblicas de grupo. Son comunes y pblicas para un grupo de usuarios.KU clave pblica. Se genera una por usuario a partir de las KG y es pblicaKP clave privada. Es privada de cada usuario, se genera a partir de las anteriores.k nmero aleatorio. Se genera uno para cada firma.s y r. Son dos palabras de 160 que forman la firma de un texto.El nmero k permite que el mismo texto del mismo usuario no genere siempre la misma firma.

Funcionamiento de DSSIDEA - INTERNATIONAL DATA ENCRYPTION ALGORITHM El IDEA (Algoritmo Internacional de Cifrado de Datos) es un algoritmo de encriptado de clave secreta diseado por los suizos. La primera versin de IDEA fue conocida en 1990 bajo el nombre de Proposed Encyption Standard (PES). Dos aos despus, luego de haber sido reforzado para resistir nuevos tipos de ataque cambio su nombre a IDEA. IDEA utiliza una clave de 128 bits, lo que por el momento lo hace inmune a los ataques de fuerza bruta as como al criptoanlisis diferencial para su des encriptado. Estructura bsica de IDEALa estructura bsica consiste en la alteracin de bloques de entrada de texto normal de 64 bits en una secuencia de iteraciones parametrizadas para producir bloques de salida de texto cifrado de 64 bits (Ver figura ). Estos bloques de entrada se separan en 4 subbloques (A, B, C y D ), cada una de 16 bits. Dado que por cada iteracin, cada uno de los bits de salida depende de cada uno de los bits de entrada, basta con slo 8 iteraciones. Se usan tres operaciones, todas sobre nmeros sin signo de 16 bits. Estas operaciones son: - OR exclusivo - Suma con acarreo mdulo 216 - Multiplicacin mdulo 216+1 guardado el resultado en 16 bits. Tienen como propiedad que si tomamos un par cualquiera de ellas, no obedecen a la ley asociativa ni la ley distributiva, lo que dificulta el criptoanlisis. El descifrado usa exactamente el mismo algoritmo que el cifrado, pero con subclaves diferentes.

Esquema detalles del algoritmo

DES DES (Data Encryption Standard, estndar de cifrado de datos) es un algoritmo desarrollado originalmente por IBM a requerimiento del NBS (National Bureau of Standards) de EE.UU.Es el ms estudiado y utilizado de los algoritmos de clave simtrica.DES cifra bloques de 64 bits, mediante permutacin y sustitucin y usando una clave de 64 bits, de los que 8 son de paridad (esto es, en realidad usa 56 bits), produciendo as 64 bits cifrados.

ALGORITMO AES

El algoritmo Rijndael fue elegido por el NIST (National Institute of Standards and Technology), para ser el estndar en los prximos 20 aos y es llamado AES (Advanced Encryption Standar).

Recordemos que AES interpreta a el bloque de entrada de 128 bits, como una matriz 4x4 de entradas de bytes, si el bloque es de 192 bits se agregan 2 columnas ms, si lo es de 256 se agregan 4 columnas ms.a00a01a02a03a10a11a12a13a20a21a22a23a30a31a32a33AddRoundKeyEsta transformacin toma una matriz y simplemente hace un xor byte a byte con la correspondiente matriz de claves dependiendo de la ronda en que nos encontremos.

ByteSubEn este caso a cada elemento de la matriz estado (byte) se le substituye por otro byte, que depende del primero.

ShiftRowLa transformacin ShiftRow se aplica a la matriz estado, aplicando corrimientos a sus columnas. Sea aplica a la matriz aij , shifts (corrimientos izquierdos circulares de bytes) a las renglones, de la siguiente manera, recorre 0 bytes a el primer rengln, 1 byte al segundo rengln, 2 bytes al tercer rengln, y 3 bytes recorridos al cuarto rengln.La transformacin ShiftRows, se define de la siguiente manera:

La tercera columna mueve dos bytes circularmente.

Finalmente la cuarta fila recorre 3 bytes circularmente.

a00a01a02a03a11a12a13a10a22a23a20a21a33a30a31a32MixColumnsMixColumns: a cada columna de la matriz aij la multiplica por una columna constante en GF(28 ) [x]/(X4+1).

MixColumns toma cada columna A, y la manda a otra columna A', que se obtiene al multiplicar A por un polinomio constante.Pseudocdigo AESExpansin de la clave usando el esquema de claves de Rijndael.Etapa inicial:1.AddRoundKeyRondas:SubBytesen este paso se realiza una sustitucin no lineal donde cada bytees reemplazado con otro de acuerdo a una tabla de bsqueda.ShiftRowsen este paso se realiza una transposicin donde cada fila delstate es rotada de manera cclica un nmero determinado de veces.MixColumnsoperacin de mezclado que opera en las columnas del state,combinando los cuatro bytes en cada columna usando una transformacinlineal.AddRoundKeycada byte del state es combinado con la clave round;cada clave round se deriva de la clave de cifrado usando una iteracin de laclave.Etapa final:SubBytesShiftRowsAddRoundKey