4/21/12

FIRMA DIGITAL
Haga clic para modificar el Leidy Chica, estilo de subttulo del David Snchez y patrn

Alex Castao

4/21/12

Qu es?
Puede verse como una versin computarizada de la firma manual. Segn la Ley 527/99 es un valor numrico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemtico conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado despus de efectuada la transformacin (art. 2)

4/21/12

La firma electrnica o digital es un conjunto de datos electrnicos que identifican a una persona en concreto. Suelen unirse al documento que se enva por medio telemtico, como si de la firma tradicional y manuscrita se tratara [Ruiz Lancina: 2003] Datos aadidos a un conjunto de datos, o transformacin de stos, que permite al receptor probar el origen e integridad del conjunto de datos recibidos, as como protegerlos contra falsificaciones; por ejemplo, del propio receptor [Ribagorda:1997]

4/21/12

Datos aadidos o transformacin criptogrfica de una unidad de datos que prueba al receptor de dicha informacin la fuente y/o integridad de los datos contra posibles falsificaciones. Es un mecanismo de seguridad, e incluye el proceso de firmado y el de verificacin de la firma[CESID:1997]

4/21/12

Una pieza de informacin aadida a una unidad de datos, que es el resultado de una transformacin criptogrfica de sta en la que se ha usado una informacin privada del signatario, que permite a una entidad receptora probar la autenticidad del origen y la integridad de los datos recibidos [Carracedo Gallardo: 2004]

4/21/12

Caractersticas de la firma digital

Fcil de hacer de ser reconocida por el receptor de falsificar al firmante. Autentica

Susceptible Difcil

Identifica Va

unida al mensaje formando un todo a todo el mensaje. Integridad incluir informacin adicional al texto

Afecta El

autor de la firma no puede repudiar su autora

Permiten La

firma digital depende de la totalidad del mensaje.

4/21/12

Firma manuscrita

Firma manuscrita Firma digital

Firma digital

vs.

Surge de un proceso fsico intrnseco a la persona que firma. Identifica y compromete al firmante. Es la misma para todos los documentos.

Es producida por una mquina. El firmante aporta una entrada (secreta) al proceso. Identifica y compromete al firmante Debe ser distinta para cada mensaje.

La seguridad se basa en la La seguridad de basa en que dificultad para producir el mensaje tenga un falsificaciones indetectables. particular conjunto de bits.

4/21/12

Firma manuscrita No favorece la integridad

Firma digital S la garantiza: si cambia el contenido del mensaje, la funcin hash ser distinta

Se requiere un graflogo para Solamente se necesita un garantizar el no repudio computador y el certificado digital para garantizar el no repudio. Puede ser falsificada En la prctica, no es falsificable

4/21/12

Remitent e

Destinatari o

4/21/12

4/21/12
Profe, no puedo exponer hoy :/

+ La Chiquis

Funcin HASH =

01010 10101 Gustavo 0101 Gutirrez

Profe, no puedo exponer hoy :/

+
Funcin HASH

oi C ?
=

ci n

en d

= 01010 10101 0101 + = ARTIYOQ MBGQAJY 01010 10101 0101

4/21/12

Valor hash
Algoritmo Calcula

matemtico

un valor resumen de los datos a ser firmados digitalmente compresin, facilidad de clculo, unidireccionalidad, resistencia a las colisiones, difusin. ejemplos:
MD5: genera un resumen de 128 bits. SHA-1 (Secure Hash Algorithm): resumen de 160 bits. RIPEMD-160: resumen de 160 bits.

Propiedades:

Algunos

Llave privada y llave 4/21/12 pblica

Debemos

retomar los conceptos de criptosistemas de clave secreta y criptosistemas de clave pblica.

4/21/12

Criptosistemas

de clave secreta:

La clave de cifrado y de descifrado es la misma: es una clave secreta compartida por el emisor y el receptor. simtricos. llamados criptosistemas

Tambin

Criptosistemas
Cada

de clave pblica:

usuario dispone de dos claves:

Una Una

clave privada, que debe mantener secreta. clave pblica, que debe ser conocida por todas las restantes entidades que se comunicarn con el usuario. criptosistemas asimtricos.

Llamados

4/21/12

Documento firmado digitalmente

Documento Firma

como tal que es firmado sobre la funcin hash

digital

Informacin

utilizada

Clave

pblica

4/21/12

Firma simple, firma digital, firma electrnica, firma electrnica avanzada, firma a ciegas (u opaca), firma electrnica reconocida
Firma

simple: sera el mero cifrado del mensaje con la clave privada (secreta) del firmante. Se cifra todo el mensaje. digital: se realiza a partir del resumen del mensaje mediante un proceso de cifrado en el que se utiliza la clave privada del firmante. electrnica: consiste en una firma digital con informaciones aadidas para potenciar su validez.

Firma

Firma

4/21/12

Firma

electrnica avanzada: firma electrnica que cumple los requisitos siguientes: a) estar vinculada al firmante de manera nica, b) permitir la identificacin del firmante, c) haber sido creada utilizando medios que el firmante puede mantener bajo su exclusivo control, d) estar vinculada a los datos a que se refiere, de modo que cualquier cambio ulterior de los mismos sea detectable.

4/21/12

Firma

electrnica reconocida: firma electrnica que cumple con los requisitos necesarios para ser considerada equivalente a la firma manuscrita. opaca: se caracteriza porque la entidad firmante no puede adquirir conocimiento alguno sobre el documento que est firmando.

Firma

4/21/12

4/21/12

Ley 527 de 1999

ARTICULO 28. ATRIBUTOS JURDICOS DE UNA FIRMA DIGITAL. [] PARGRAFO. El uso de una firma digital tendr la misma fuerza y efectos que el uso de una firma manuscrita, si aqulla incorpora los siguientes atributos: 1. Es nica a la persona que la usa. 2. Es susceptible de ser verificada.

4/21/12

Algoritmos de firma digital

Se El

utilizan principalmente dos algoritmos: el RSA y el DSA. DSA es especfico para firma, no se usa para otras tareas de cifrado.

4/21/12

Certificado digital
Es Se Es

una pieza de informacin

asocia el nombre de una entidad con su clave pblica emitido por una Autoridad de Certificacin mnimos que contiene: nombre de la entidad que se certifica, clave pblica de la entidad que se certifica, periodo de validez, nombre de quien certifica

Datos

4/21/12

Elementos de un certificado digital (L. 527/1999)

Identificador Nombre Un

de la entidad de certificacin que expide el certificado del titular del certificado atributo especfico del titular nico del certificado

Vigencia Cdigo Firma

digital de la entidad de certificacin que expide el certificado de uso del certificado

Lmites

4/21/12

Elementos de un certificado digital (L. 527/1999)

Lmites

de la responsabilidad del proveedor de servicios de certificacin del valor de las transacciones para las que tiene validez el certificado clave pblica del suscriptor del certificado o mtodo que se sigue para la identificacin y emisin de los diferentes tipos de certificado

La

Procedimiento

4/21/12

Entidades de certificacin
Emiten

con calidad tcnica y de manera segura e irrepetible el par de claves, pblica y privada. ser personas jurdicas, pblicas o privadas, nacionales o extranjeras y las cmaras de comercio Superintendencia de Industria y Comercio autoriza a estas entidades.

Pueden

La

4/21/12

Clases de entidades de certificacin

Entidad
Ofrecen

de certificacin cerrada:

servicios propios de las entidades de certificacin de mensajes entre la entidad y el suscriptor exigen a cambio remuneracin

Intercambio No

4/21/12

Clases de entidades de certificacin

Entidad
Ofrecen

de certificacin abierta:

servicios propios de las entidades de certificacin al pblico en general. No se limita a intercambio de mensajes entre la entidad y el suscriptor a cambio

Servicios

Remuneracin

4/21/12

Entidad

de certificacin abierta desde junio de 2001

de Representacin de Empresa de Pertenencia a Empresa de Servidor Seguro

Funciona Qu

servicios presta?

Certificado Certificado Certificado

Casos

de xito

4/21/12

Insuficiencias del mecanismo de firma digital

A
Puede

4/21/12

veces se requiere que un determinado mensaje sea firmado por ms de una persona
hacerse en paralelo: todos los firmantes firman el mismo documento y el conjunto de firmas es el que le otorga validez. puede hacerse en forma anidada: cada nuevo signatario (generalmente de superior jerarqua) firma el documento firmado en el paso anterior.

Insuficiencias del mecanismo de firma digital

En

4/21/12

otras ocasiones es necesario determinar en qu instante de tiempo fue firmado el documento. dar solucin a estos problemas surge el concepto de firma electrnica.

Para

4/21/12

Firma electrnica
No

es ms arbitrada.

que

una

firma

digital

Intervienen
Ayudar

terceras partes de confianza (TTPs) para:

a garantizar la validez de las claves pblicas y privadas que intervienen en el proceso de forma fiable la fecha y hora en que la firma se realiza validez la poltica de firma bajo la que tiene

Fijar

Definir

4/21/12

Escenario de la firma electrnica

Entidades Entidad

firmantes o signatarias

verificadora de TTPs

Conjunto rbitro

4/21/12

Concepto de firma electrnica

Evidencia

en formato digital que puede ser procesada para obtener confianza de que determinado compromiso ha sido explcitamente sostenido bajo una Poltica de Firma, en una fecha y hora concreta, por un signatario bajo un identificador (por ejemplo un nombre o un seudnimo), y opcionalmente un rol

4/21/12

Mensaje firmado electrnicamente

El

mensaje que es firmado sobre algoritmos utilizados sobre certificados sobre revocaciones de

Informacin Informacin Informacin

certificados
Informacin

por cada uno de los firmantes: certificado del firmante, identificacin de los algoritmos utilizados, atributos que son firmados (incluida la identificacin de la Poltica de la Firma), otros atributos no firmados,

4/21/12

4/21/12

4/21/12

Ley 527 de 1999

Regula

de forma expresa, sistemtica y completa el tema del documento electrnico o mensajes de datos, le confiere plenos efectos jurdicos, validez y fuerza obligatoria, le otorga la misma categora legal que los documentos en soporte papel, lo hace admisible y con fuerza probatoria.

4/21/12

Supuestos