© 2004 Interactiva 1 Como implantar la Facturación y Firma Electrónica en su empresa. Criptografía y Firma Electrónica. Julián Inza Presidente Albalia Interactiva

© 2004 Interactiva 2 Algoritmos de cifrado Protocolos criptográficos Entidades de Certificación Jerarquías de Certificación Usos de los certificados Directiva de Firma Electrónica Entidades de Inscripción Prestadores de Servicios de Certificación Referencias legales de la Contratación electrónica Criptografía y Firma Electrónica

© 2004 Interactiva Propiedades de la Firma Sólo puede ser realizada por una persona La puede comprobar cualquier persona, con la referencia de una muestra

© 2004 Interactiva La muestra Ficha de firmas en entidades financieras Firma del DNI Firma de la tarjeta de crédito

© 2004 Interactiva Criptografía simétrica Si usamos una caja con cerradura para intercambiar mensajes, necesitamos una caja distinta por cada interlocutor con el que compartimos llave

© 2004 Interactiva Al crecer el número de usuarios... Combinaciones de 6 usuarios tomados de 2 en 2 C = = 15 cajas 6 ! 2!4! 2 6. Para 1000 usuarios, cajas Criptografía simétrica

© 2004 Interactiva 7  Es una caja de mago con dos llaves: si se introduce algo por una tapa, sólo puede recuperarse por la otra Criptografía asimétrica

© 2004 Interactiva 8  Es una caja de mago con dos llaves: si se introduce algo por una tapa, sólo puede recuperarse por la otra Criptografía asimétrica

© 2004 Interactiva Al crecer el número de usuarios... Cada usuario tiene su caja, Tiene su llave privada y la pública de todos los demás Para 1000 usuarios, cajas Criptografía asimétrica

© 2004 Interactiva Criptografía asimétrica ¿Dónde está la muestra? ¿Qué sucede si cuando los usuarios se comunican sus claves públicas no se identifican? Soy Roberto. Toma mi clave pública Soy Alicia. Toma mi clave pública Soy Roberto. Toma mi clave pública

© 2004 Interactiva Entidad de Certificación *Es necesario un elemento que evite que un participante suplante a otro *Debe ser un elemento en el que todos los participantes confien *El elemento certifica con su firma que un participante es quien dice ser *La llave pública del elemento debe ser conocida por todos y es la única que necesita ser conocida previamente *Este elemento se llama Entidad de Certificación (Certification Authority)

© 2004 Interactiva Entidad de Certificación Reglamento (Certification Policy) –Verificación de identidad –Uso y validez de los certificados Gestión de certificados revocados Lista de certificados expedidos Entidad de Confianza –Trusted Third Party –Conocida

© 2004 Interactiva 13 Certificado digital Formato X.509 Versión 3 Nombre Periodo de validez Número de serie Entidad de Certificación Firma de la Ent. Certificación Clave Pública (otros atributos) } Nombre asociado a la Clave Pública } Firma generada usando la Clave Privada de la AC

© 2004 Interactiva 14 Certificado digital

© 2004 Interactiva 15 Certificado digital 1 2

© 2004 Interactiva 16 Certificado digital

© 2004 Interactiva Entidad de Certificación Garantiza la identidad de los interlocutores Soy Alicia. Toma mi clave pública, que va dentro del certificado emitido por mi CA Soy Roberto. Toma mi clave pública, que va dentro del certificado emitido por mi CA CA

© 2004 Interactiva Funciones de Seguridad –Autenticación de origen –Irrefutabilidad de origen –Integridad de contenido –Integridad de secuencia –Irrefutabilidad de recepción –Confidencialidad –Unicidad de fin –Temporalidad –Acreditabilidad

© 2004 Interactiva Doble clave Clave de firma –Nunca se deposita Clave de ensobrado –Puede depositarse –Desvelar la clave de ensobrado no compromete la firma Se envia el documento cifrado con la clave guardada en el sobre seguro + Se envia el documento con la firma y el certificado + +

© 2004 Interactiva La Firma Electrónica Realización * MAC: MessageAuthentication Code Documento originalObtención de MAC* = El MAC* es la huella del documento Se cifra el MAC* con la clave privada Esto es la firma Se envia el documento con la firma y el certificado + + Prefiero el ejemplo del zumo

© 2004 Interactiva La Firma Electrónica Comprobación Del Documento se obtiene el MAC* Se recibe el documento con la firma y el certificado De la Firma se obtiene el MAC* Del Certificado se obtiene la clave pública Deben ser iguales el MAC* de la firma y el del documento = ? * MAC: MessageAuthentication Code Si no coincide el MAC* obtenido del documento y el obtenido de la firma, ello puede deberse a que: Se ha manipulado el Certificado Se ha manipulado el documento Se ha manipulado la firma + +

© 2004 Interactiva 22 Sobre seguro Ensobrado Extracción de clave pública del interlocutor Se envia el documento cifrado con la clave guardada en el sobre seguro + Generación clave simétrica Se cifra el documento con la clave simétrica Se cifra laclave simétrica con la clave pública del interlocutor Documento original

© 2004 Interactiva 23 Sobre seguro Apertura del sobre Se obtiene el Documento original Con la clave privadase obtiene la clave simétrica Se recibe el documento cifrado con la clave guardada en el sobre seguro + Con la clave simétrica se descifra el mensaje

© 2004 Interactiva Algoritmo RSA Se toman dos números primos, "p" y "q" grandes (de unos 100 dígitos cada uno) Se hace n=p·q (uno de los componentes de las claves) Se calcula Ø=Ø(n)=(p–1)·(q–1) (función de Euler). Se seleccionan dos números "e" y "d", uno de ellos primo (al menos respecto a "Ø") tomado del intervalo (max(p, q)+1, n–1), de forma que se cumpla e·d= 1 mod Ø, es decir, tal que exista un número racional "t" que haga e·d=Ø·t+1. Dicho de otra forma, "e" y "d" cumplen la propiedad de ser inversos mod Ø. Conociendo "Ø" es fácil calcular "e" a partir de "d" y viceversa. Sin embargo, para conocer "Ø" es necesario conocer "p" y "q", lo que exige factorizar "n". Tras este proceso, tenemos "n", "e" y "d". Las claves son (n,e) y (n,d)

© 2004 Interactiva Ejemplo 2Tomamos p=5 y q =11 primos, por lo que obtenemos n=5·11=55. 2De ahí, Ø=Ø(n)=4·10=40 (que factorizándolo da Ø=5·2 3 ). 2Podemos tomar e=23 (entre 12 y 33 sin factores comunes con " Ø ”) 2Para encontrar " d ", operamos: d=(Ø·t+1)/e, es decir, d=(40·t+1)/23. Con t=4 vemos que d=7. 2 Así que una clave es (7,55) y la otra (23,55). 2 Para cifrar se eleva el dato a la potencia de ( 7 o 23, elegir uno). El resultado lo dividimos por 55. E l resto es el criptograma. 2 Para descifrar, se eleva el criptograma a a la potencia de ( 23 o 7, elegir el distinto del de cifrar). Dividimos por 55. El resto es el dato original. Si ciframos " 2 ", 2 7 mod 55 = 18 ; Para descifrar: mod 55 = 2

© 2004 Interactiva 26 SSL en Internet  El cliente potencial obtiene la dirección Internet (URL) de la Tienda Virtual por un anuncio, un servicio de información...  Se conecta a Internet normalmente usando un visualizador e introduce en él el URL de la Tienda Virtual.  En la pantala aparecen las ofertas, las imágenes y los sistemas de búsqueda para seleccionar los productos.  El cliente va marcando los que desea que pasen a la “cesta de la compra”.  Todo el rato ve la llave  Cuando desea finalizar, pasa por la pantalla en la que ve el contenido de la “cesta de la compra”, para aumentar o disminuir las cantidades de los productos que desea llevar.  Si está de acuerdo con el contenido de la “cesta de la compra”, pulsa un botón y se inicia la transmisión cifrada.  El usuario ve que la transmisión es cifrada gracias al símbolo de una llave o un candado la pantalla, y ya no le importa introducir sus datos de tarjeta de crédito  La tienda solicita autorización al banco y comunica al cliente el resultado de la operación.  Si la operación está autorizada, proporciona un número de pedido que permite el seguimiento o reclamación del pedido.

© 2004 Interactiva Secure Sockets Layer El usuario teclea Internet Apache, Netscape Server, Microsoft IIS,... Netscape Navigator o Microsoft Explorer SSL Solicito conexión segura OK. Este es mi certificado Envio información cifrada con la clave simétrica Envio una clave simétrica cifrada con tu pública Envio información cifrada con la clave simétrica

© 2004 Interactiva Autoridades de Certificación Cert de la Agrupación Geopolítica Cert raiz Cert del emisor Cert del Presentador Cert del Titular Cert de Intercam- bio de Claves del Comerciante Cert del Comerciante Cert de la Asociación/Marca

© 2004 Interactiva 29 Valor de la certificación Valor legal derivado de la legislación nacional y comunitaria Aplicable a Sitios web (uso clásico, familiar para los usuarios de internet) o como elemento de identidad personal (preferentemente tarjeta chip) independiente de Internet Posibilidad de firma remota de contratos con validez legal (pueden existir restricciones en mercados financieros) El valor se obtiene a través de aplicaciones que aceptan certificados (aplicaciones específicas, o realizadas a través de navegadores) Es una credencial que requiere que se verifique su vigencia en el momento de uso

© 2004 Interactiva 30 Problemas de la certificación Complejidad técnica en la creación de la infraestructura: –Jerarquías de certificación –Sistemas de validación –Aplicaciones que empleen firma electrónica –Hardware y software asociado (lectores de tarjeta chip, drivers, instalación, actualización) –Despliegue de certificados (en fichero, en disquete, en tarjeta chip) –Entidades de registro asociadas Coste de tarjetas chip, lectores y drivers Falta de familiaridad de los usuarios (aunque puede hacerse “asimilable al uso de tarjetas bancarias”)