seguridad informática Octubre 2014 | nº 3 | $ 15.00
La Certificación Digital Y su uso práctico ¿Conoces el procedimiento para obtener una certificación digital?
Certificación Digital. Una forma de corroborar tu identidad a un mundo virtual. Llaves PKI. ¿Qué son y para qué se utilizan? Certificación gratuita. Prueba con un generador de certificados gratuito, libre y en línea.
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
S
i bien, en ediciones anteriores hemos dado una introdución a la
Seguridad Informática (Que en general, es de lo que se encargarán nuestras publicaciones), así como también, conocimos los efectos y las causas que llevaron a la humanidad a guardar y proteger su información de terceros no deseados (Vease Seguridad Informática Nª 2). En esta ocasión, daremos un enfoque hacia la identidad virtual, en otros términos: El Certificado y la Firma Digital. Ya sea como comprobante o como un sello único, veremos para qué sirve y cómo podemos conseguir uno.
Con esto, no sólo tendremos ya claro los por qués de la proteción de la información, sino que, además, podremos tener herramientas para corroborar que dicha información sea nuestra.
Manuel Beas. Estudiante de Ingeniería en Informática.
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
Firma Digital Por Gicela Quintero.
¿Qué cosas de la vida diaria puedes decir que se asocian directamente a ti? ¿Un color específico, un platillo favorito, tu licencia de conducir? En nuestro alrededor contamos con diversos objetos que se asocian directamente hacia nosotros, esto puede ser útil al momento de realizar un trámite importante o al contarle a una persona un poco de nosotros, de nuestra identidad. Pero ¿Qué pasa cuando queremos transportar esos elementos (que nos identifican) del plano real al plano virtual? ¿Qué elementos además de nuestro nombre y apellidos (ya sea en una red social o una sala de chat) se asocian directamente a nosotros en un entorno virtual como lo el internet o algún documento digital? Un elemento que nos puede ayudar a resolver esas dudas es la Firma Digital.
¿Qué es una Firma Digital? Es
un
método
identidad equipo,
de
una
con
documento
que un
asocia
la
persona
o
mensaje
o
electrónico,
para
Digital del firmante, el estado del certificado digital (si está revocado) y que el uso del certificado digital sea el apropiado para la operación realizada (firma y no repudio). ¿Cómo funciona?
asegurar la autoría y la integridad
La firma digital funciona mediante
del mismo. La firma digital del
complejos
documento
matemáticos
aplicar
es
el
algoritmos
resultado
de
matemáticos,
documento
procedimientos que
relacionan
firmado
el con
(denominados función hash), a su
información propia del firmante.
contenido y , generando una firma
Estos procedimientos permiten que
digital del documento.
terceras
personas
puedan
reconocer la identidad del firmante Para verificar la firma se tiene que validar la vigencia del Certificado
y asegurarse de que los contenidos no han sido modificados.
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
El firmante genera o aplica un
Para realizar la verificación del
algoritmo
llamado
mensaje, el receptor generará la
función hash, el cual se cifra con la
huella digital del mensaje recibido,
clave
El
luego descifrará la firma digital del
resultado es la firma digital, que se
mensaje utilizando la clave pública
enviará adjunta al mensaje original.
del firmante y obtendrá de esa
De
forma la huella digital del mensaje
matemático
privada
esta
adjuntará
del
manera al
firmante.
el
firmante
documento
una
original; si ambas huellas digitales
marca que es única para dicho
coinciden, significa que no hubo
documento y que sólo él es capaz
alteración y que el firmante es
de producir.
quien dice serlo. Para
firmar
un
documento
digitalmente Para firmar un documento, se requiere de un certificado digital emitido por una Autoridad Certificadora Registrada, y el cual debe ser almacenado y custodiado en un dispositivo (Token o tarjetas inteligentes -smart cards-) que cumpla con el estándar FIPS 140 nivel 2, este dispositivo es muy importante ya que es el responsable de custodiar un secreto único (llave privada) que es utilizado para firmar digitalmente los documentos o archivos. El dispositivo requiere además de los datos de activación, los cuales pueden ser una palabra de paso, una frase clave o información biométrica (huella digital).
Img 1 ¿Qué es Firmar Digitalmente?
La firma digital cumple una doble autenticación y se basa en el principio de que el usuario se debe autenticar dos veces, primero con algo que sabe (la palabra o frase clave) y con algo que tiene (la llave privada almacenada en el dispositivo criptográfico).
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
Finalmente, para firmar un documento con relevancia jurídica se requiere de un servicio de validación en línea que indique el estado del certificado, con el objetivo de no permitir que se tramiten documentos firmados digitalmente con un certificado revocado o suspendido, así mismo se debe validar toda la cadena de confianza que respaldan a la autoridad certificadora que emitió el certificado. Pasos para firmar un documento un certificado revocado o 1. El
firmante
opción
ingresa
a
la
de
firmar
suspendido.
digitalmente el documento 2. La
aplicación
el
grupo el documento firmado,
dispositivo (token o tarjeta
el cual es compuesto por la
inteligente)
unión
3. El
firmante
dispositivo
en
solicita
7. La aplicación almacena en
inserta el
el
del
electrónico,
lector
documento el
certificado
digital y el digesto o resumen
(Puerto USB o en el lector de
encriptado.
tarjetas)
8. El firmante verifica que el
4. El dispositivo solicita los datos
documento o archivo esté
de activación (palabra o
firmado digitalmente
frase clave) 5. El firmante indica su palabra o frase clave (que es secreta y custodia para evitar robo 6. El sistema operativo calcula el codigo clave (digesto) y lo utilizando
la
llave
privada custodiada por el dispositivo. Además verifica el
estado
del
procedimiento
documentos variar
certificado
para evitar firmar utilizando
para
firmar
electrónicos
puede
dependiendo
aplicación
de la identidad)
firma
El
que
esté
de
la
utilizando.
Existen programas que permiten que un documento sea firmado por varias
personas,
por
ejemplo,
Microsoft Word permite generar una o más líneas de firma para el mismo documento.
asdasdasd
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
Certificado Digital Por Martin Sandoval.
U
n certificado digital es un fichero informático generado por una entidad de servicios de certificación que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet. El certificado digital es válido principalmente para autenticar a un usuario o
sitio web en internet por lo que es necesaria la colaboración de un tercero que sea de confianza para cualquiera de las partes que participe en la comunicación. El nombre asociado a esta entidad de confianza es Autoridad Certificadora pudiendo ser un organismo público o empresa reconocida en Internet.
Casos de Uso:
¿Cómo obtener un Certificado Digital? Identificar o autentificar la identidad del usuario, de forma electrónica Con la firma electrónica se pretende garantizar la integridad de los datos transmitidos. Cifrar datos para que solo puedan ser leídos o a accedidos por el destinatario
El certificado se descarga en el navegador del equipo donde lo han solicitado. No es necesario que se guarde en el disco duro, pudiendo exportarse directamente a un dispositivo extraíble (como una memoria USB). 1. Para tramitarlo el usuario ha de dirigirse a la página de la FNMT e 5
instalar el CONFIGURADOR FNMT-RCM, tras lo cual se han de seguir las instrucciones del asistente y después reiniciar el equipo. 2. Una vez reiniciado, se ha de acceder a https://www.cert.fnmt.es/ Se introduce el DNI/NIE del solicitante, se selecciona la longitud de clavecontraseña (pestaña debajo del campo para el DNI/NIE). Importante si seleccionamos grado Alto, debemos crear una contraseña personal que estará asociada al certificado-no ha de olvidarse esa contraseña, en caso que selecciona grado Medio no creara ninguna contraseña ( esta opción
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
sólo aparece con Internet Explorer). Se ha de enviar petición y el sistema nos
creara
un
código
de
9
dígitos
que
debemos
apuntar
o,
preferentemente, imprimir. 3. Acreditación de la identidad:
con
el
código de solicitud del
paso
deberá en
anterior, personarse
un Oficina
de
Registro (Agencia Tributaria o Segurid ad Social) aportando el
código
y
su
DNI/NIE 4.
Descarga
Certificado FNMT:
del
de
la
después
de
haber acreditado la identidad
en
una
Oficina de Registro y haciendo
uso
del
código obtenido en paso
2,
se
puede
descargar
el
certificado aquí: http://www.cert.fnmt.es/index.php?cha=cit&sec=4&fpage=28&lang=es
Importante- No se ha de formatear el ordenador. Se debe realizar todo el proceso desde el mismo equipo, con el mismo usuario y el mismo navegador.
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
¿Cómo permanecer Anónimo en Internet?
Por Manuel Beas
Día con día nos cercioramos de que la seguridad al momento de navegar por internet debe de ser tomada como cosa seria, identificaciones, cuentas bancarias, archivos importantes, fotografías personales, etc. Cuánta información personal puedes estar en riesgo sin que nosotros lo sepamos, por ello, en este apartado te ofrecemos 3 tips/herramientas que te ayudarán a mantenerte Anónimo en Internet.
VPN Unas siglas que se han puesto muy de moda últimamente, pero, **¿qué es un VPN y para qué sirve?** Un VPN o red privada virtual es una tecnología que permite extender tu red local sobre una red pública, y de esta manera el envío y recibimiento de datos se trata como una red privada. Explicado de manera sencilla, un VPN disfraza de red privada a tu conexión a Internet, por lo que tu tráfico se rige por las mimas políticas de seguridad y cifrado de las redes locales. Confidencialidad y privacidad garantizadas.
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
Hay varios servicios de este tipo que puedes utilizar de manera gratuita, o pagando suscripciones. Algunos de los que más me gustan son: Hola Unblocker, Spotflux, o Hotspot Shield. Alternativas sobran, pero estos tres son sumamente fáciles de usar, no requieren prácticamente ninguna atención del usuario, y se pueden usar de forma gratuita sin limitaciones importantes.
TOR Tor fue diseñado originalmente como
un
enrutamiento
proyecto del
de
Laboratorio
Naval de Investigación de los Estados Unidos con el fin de proteger las comunicaciones del gobierno.
Hoy
en
día
puede
usarse por cualquier persona, es un servicio muy poderoso y que te ofrece enorme seguridad a la hora de cifrar tu tráfico en Internet. Tor es una red de túneles virtuales, protege tus comunicaciones haciendo que reboten dentro de una red enorme mantenida por voluntarios al rededor del mundo. Tor puede usarse en Windows, OS X, y Linux, a través del Tor Browser Bundle, una versión modificada de Firefox configurada para proteger tu identidad en la red, y no requiere ni tan siquiera instalación, puedes llevarlo en una memoria USB y ejecutarlo como una aplicación portable. Si usas Android puedes obtener todos los benficios de Tor a través de Orbot.
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
Tails Si quieres dar un paso más y
tarjeta SD, o memoria USB, si
protegerte con todos los hierros,
dejar ningún rastro. Tails es lo
puedes
que usa Edward Snowden para
usar
la
distribución
de Linux Tails, que combina la
evadir la vigilancia de la NSA.
robustez de Debian y Tor en un
Por último es importante que
sistema
sepas que no puedes usar la web
operativo
diseñado
especialmente para mantener a
como
su
quieres
usuario
completamente
anónimo.
estás
acostumbrado
si
permanecer
completamente
anónimo,
de
nada serviría usar todas estas Es una distribución “Live”, es
herramientas si te vas a conectar
decir
a Google o Facebook, en ese
no
se
instala
en
un
ordenador, es portable, y puedes
momento
ejecutarla desde un CD, DVD,
identidad.
vas
a
revelar
tu
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
Llave PKI Por Santiago González
Aunado al tema de la seguridad informática y a la implementación de Certificados Digitales para corroboración de nuestra identidad en un entorno virtual mundial, no podemos dejar de lado un protocolo que hace posible la gestión de estos. Nos referimos a llaves PKI.
¿Qué es la infraestructura de Clave Primaria PKI?
Hay muchas maneras de definirla: Podría decirse de forma abstracta que es un protocolo para el intercambio seguro de información. O decir que es una infraestructura de red formada por servidores y servicios [apuntes de Redes]. O de forma más parca podría decirse que es una tecnología basada en clave pública [Ciberpaís]. Todas son ciertas y se complementan.
intercambio seguro de información, que permite firmar digitalmente un documento electrónico (un email, el código de un programa, una transacción bancaria, unos análisis médicos, etc, etc, etc...), o permite identificar a una persona o empresa en Internet, o permite acceder a un recinto o servicio restringido. Los usos son innumerables.
La PKI es un protocolo que trata de describir los procesos organizativos necesarios para la gestión de certificados digitales de claves públicas para el
Las PKIs, son sistemas mixtos hardware/software, basados en diferentes agentes que permiten dotar a máquinas y usuarios de Certificados Digitales de Identidad (certificados X509v3).
Elementos que la componen: la PKI se basa en el cifrado de clave pública y está formada por:
Certificados Digitales, por ejemplo X509. Una estructura jerárquica para la generación y verificado de estos certificados formada por las Agencias de Certificación (CA) y las Autoridades de Registro (RA) (que cumplen la función de
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
sucursales de las primeras). Donde la CA es una organización independiente y confiable. Directorios de certificados, que son el soporte software adecuado (bases de datos) para el almacenamiento de los certificados. Por ejemplo directorios X.500 o LDAP (simplificación del primero). Aunque no tienen por qué estar localizados en un servidor central (modelo de Tercera Parte Confiable) y estar distribuidos entre los usuarios como hace PGP (modelo de Confianza Directa). Un sistema de administración de certificados, que es el programa que utiliza la Agencia de Certificación o la empresa donde se ha instalado la PKI para que realice la comprobación, la generación, la revocación de certificados, etc.... Y este es el producto que cada compañía intenta vender en el mercado. Mercado al que se le augura un prometedor crecimiento
Objetivos: Los objetivos que persigue una PKI, se consigue gracias a la propiedades de la criptografía de clave pública, y son los siguientes:
Autentificación de usuarios: Asegurar la identidad de un usuario, bien como signatario de documentos o para garantizar el acceso a servicios distribuidos en red, ya que sólo él puede conocer su clave privada, evitando así la suplantación. No repudio: Impedir que una vez firmado un documento el signatario se
retracte o niegue haberlo redactado. Integridad de la información: Prevenir la modificación deliberada o accidental de los datos firmados, durante su transporte, almacenamiento o manipulación. Auditabilidad: Identificar y rastrear las operaciones, especialmente cuando se incorporan marcas de tiempo. Acuerdo de claves secretas: para garantizar la confidencialidad de la información intercambiada, esté firmada o no.
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
Marco de la PKI dentro de la seguridad informática Para tener una idea clara de la función de la PKI es conveniente enmarcarla dentro de su ambiente: la seguridad informática. La seguridad informática se divide en tres segmentos conocidos como 3A. Es un mercado que engloba las herramientas de autentificación, autorización y administración. La autentificación engloba las soluciones PKI y en menor
medida los token, dispositivos de hardware que generan claves de un solo uso; en el segmento de autorización figuran los cortafuegos, redes privadas virtuales, detección de intrusos, filtros de contenido, mecanismos de control para acceder a una sede web, tarjetas inteligentes (smartcards) y dispositivos biométricos. Por último la administración abarca los sistemas de gestión de perfiles y aplicaciones de control centralizado.
Estándares y protocolos. El listado de links a éstos es muy amplio y se puede ver en el Apéndice 1. Pero me parece conveniente resaltar alguno en este punto: PKIX (IETF), PKCS (RSA), SSL(Netscape), TLS, S/MIME (IETF), SET (Visa y Mastercard), X.509, X.500.
Situación en el mundo Existen sólo diecisiete países en el mundo con un marco legal establecido por sus respectivos gobiernos en el desarrollo de tecnología PKI. Esto nos da una idea de en qué situación se encuentra la utilización de las Infraestructuras de Clave Pública: en pañales, aunque hay que tener en cuenta que el RSA se publicó en 1997. Como
anécdota “patriótica” comentar que España fue uno de los primeros países que se subió al carro. En concreto en 1999, pero esto se comenta en el siguiente punto.
La situación en Europa es muy distinta de la estadounidense. En Estados Unidos reina una mayor libertad de mercado,
Octubre 2014 | Nº 3
Seguridad Informática: Certificados y Firmas Digitales
porque las reglas no siempre son claras. Por el contrario, en Europa la Directiva de Firma Electrónica y las correspondientes leyes nacionales sobre la materia han restringido el ámbito en el que se pueden mover los prestadores de servicios de certificación y los proveedores de estas tecnologías. Esto es, en Europa los gobiernos deciden qué dispositivos de certificación son seguros y quién puede convertirse en prestador de servicios de certificación. Además, en los países de la Unión Europea suele haber una autoridad auspiciada por el gobierno con vocación de establecerse como prestador de servicios genérico para facilitar el acceso a la firma electrónica por parte de los ciudadanos, como Ceres en España o las fábricas de moneda y timbre de cada país. Evidentemente la situación de las administraciones públicas no tienen nada que ver con el entorno privado y estas se han desarrollado de forma mucho más rápida, espoleadas por el boom de las empresas punto com y por la rápida implantación de productos de distribución de claves y comunicaciones seguras
en grandes empresas (como los bancos por ejemplo). Aunque esta implantación no se produjo de cara al cliente final. Los fabricantes de tecnología PKI que se crearon confiando en el boom de final del siglo pasado se han dado un buen porrazo debido a varios factores entre los que se encuentran el famoso 11S o la ralentización de la adopción masiva del comercio electrónico. Sólo aquellos que se han diversificado en otros campos (como las otras necesidades de las 3A) son las que se han mantenido y confían en un futuro muy prometedor. En general, el mercado mundial de software y servicios de securización en 2001 fue de 12.045 millones de euros, en 2002 será de 15.455 millones de euros, y para el año 2005 alcanzará 34.432 millones de euros. También de acuerdo con la misma consultora, el mercado mundial de PKI en 2001 supuso 738 millones de euros, en 2002 alcanzará los 1.106 millones, y para 2005 será de 2.955 millones.
E
n el Twittetario de la semana, te
mostraremos algunos tweets que nos sacaron alguna sonrisa espontanea o alguna carcajada nerviosa:
(ExtraĂdo de vistoenlasredes.com)