La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Agenda Comunicación a través de un Medio Inseguro Certificado Digital

Publicada porMercedes Hidalgo Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Agenda Comunicación a través de un Medio Inseguro Certificado Digital"— Transcripción de la presentación:

1 Agenda Comunicación a través de un Medio Inseguro Certificado Digital
Autoridad Certificadora Uso de los Certificados Problemática Mundial Aplicaciones y Tipos de Certificados

2 Comunicación a través de un Medio Inseguro
Revisar nombre

3 Seguridad de la Información
Al realizar el envío de un mensaje a través de un medio inseguro, existen varias interrogantes que pueden ser planteadas: Cómo se verifica que la información no ha sido alterada? (Integridad) Cómo se garantiza que la información no ha sido obtenida por terceros? (Confidencialidad) Cómo se comprueba la identidad del emisor y del receptor del mensaje? (Autenticación de Interlocutores) ? Medio Inseguro ? Existe la necesidad de asegurar la información en las comunicaciones, particularmente en el mundo electrónico. Para ello se utilizan técnicas y herramientas matemáticas.

4 Problemática en detalle
Correo Electrónico El documento fue modificado El documento fue revelado La identidad fue suplantada Internet Juan Funcionario Entidad 123 Ana Funcionario Entidad 456 Confidencial 12345 Juan 12345 ABCDE Confidencial Gerente Juan Confidencial 12345 Juan

5 Certificado Digital Revisar nombre

6 Certificado Digital El Certificado Digital es un documento electrónico que relaciona una identidad con una Llave Pública. Sus componentes principales son: Una Llave Pública Información del dueño del certificado Información del emisor de ese certificado Periodo de validez Un identificador único La Firma Digital del emisor

7 Certificado Digital El Certificado Digital se utiliza para verificar que una Llave Pública pertenece a un individuo o entidad, basándose en información emitida por un tercero de confianza Similar al concepto de Cédula de Identidad Respaldado por la Entidad Emisora Respaldado por el TSE/Registro Civil Se comprueba la capacidad de realizar la Firma Autógrafa registrada en la cédula de identidad (entre otros) Se comprueba la posesión de la Llave Privada correspondiente a la Llave Pública contenida en el certificado

8 Protección de Identidad
Es muy importante proteger un documento de identidad. Si se extravía la Cédula de Identidad, el titular pierde la capacidad de probar su identidad a otros Al extraviar el certificado también se pierde la capacidad de probar identidad. La capacidad de realizar la firma autógrafa no se puede extraviar ni copiar La Llave Privada puede perderse y puede ser copiada, por lo que debe protegerse

9 Sin embargo se requiere de un dispositivo de lectura
Smartcards - USB Tokens El Certificado y la Llave Privada pueden ser almacenados en tarjetas inteligentes seguras Sin embargo se requiere de un dispositivo de lectura Los Tokens USB se utilizan para proteger la Llave Privada y el Certificado de un titular - Realiza las operaciones criptográficas internamente - Las Llaves Privadas nunca son expuestas - Uso de un PIN o clave para identificar al titular Tokens Biométricos - Todas las anteriores - Uso de la Huella Digital para identificar al titular

10 Entidad Certificadora
Revisar nombre

11 Entidad Certificadora
La validez de un documento de identidad depende directamente de la confianza que se tiene en el emisor de ese documento. Confiamos en la cédula de identidad porque tiene el respaldo del Gobierno (Registro Civil/TSE) La validez de un Certificado Digital dependerá de la confianza que se tenga en el emisor del mismo Una Entidad Certificadora es el tercero de confianza que emite Certificados Digitales El término Entidad Certificadora se refiera a Autoridad Certificadora o “Certification Authority” como se conoce en la literatura

12 Entidad Certificadora Tribunal Supremo de Elecciones
Emisión de Certificados La EC debe definir un Procedimiento de Certificación de Identidad, con el que se compruebe que un individuo es quien dice ser: Entidad Certificadora documentos probatorios presencia física biometría Tribunal Supremo de Elecciones Registro Civil Una vez que la identidad del individuo ha sido comprobada, se generan un par de Llaves Criptográficas y se crea un Certificado Digital, el cual se firma con la Llave Privada de la EC La emisión podría realizarse en forma desconcentrada a través de Entidades de Registro que se encargan exclusivamente de verificar la identidad de los titulares

13 Entidad Certificadora
La EC define un sistema en el que se puede comprobar la validez de los certificados emitidos Entidad Certificadora Un usuario que confía en una EC puede verificar que una Llave Pública pertenece a quien se identifica en un Certificado Digital. La EC debe publicar Listas de Revocación para informar de aquellos Certificados que ya no sean válidos. La Revocación de Certificados es electrónica y podría ser inmediata, en contraste con las complicaciones que tiene revocar una identidad en el mundo físico

14 Suplantación de Identidad
Alguien podría intentar alterar un documento de identidad ya existente, o bien crear un documento con información falsa La Cédula de Identidad posee seguridades para dificultar su falsificación El Certificado no puede alterarse sin generar inconsistencias de integridad La Llave Privada de un titular está asegurada en el token Doble fotografía Lineas holográficas Marca ultravioleta Diseño y material Proteger el acceso a la “Máquina Generadora de Cédulas” es fundamental La protección de la Llave Privada de la Entidad Certificadora es crítica y demanda una gran inversión

15 Uso de los Certificados Digitales
Revisar nombre

16 Uso de Certificados Digitales
Con certificados digitales las entidades podrán: Asegurar la integridad y confidencialidad de la información, así como autenticar los interlocutores de las transacciones en los Sitios Web. En general (Ejemplo: Correo Electrónico) Comprobar la integridad de documentos transmitidos electrónicamente. Asegurar la confidencialidad de la información contenida en dichos documenteos. Autenticar el origen de un mensaje recibido. Autenticar el destino de un mensaje de un mensaje enviado.

17 Servidor Web Entidad XXX
Uso de Certificados Digitales Transacción de un Cliente en el Sitio Web de la Entidad XXX Transacción Web Encripta Confidencial 12345 Juan Desencripta Confidencial 12345 Juan Firma y sella Internet Abre y verifica Firma Juan Cliente Entidad XXX Sitio Web XXX Servidor Web Entidad XXX #4&%.[¨!”#(r#:ñ¡¿=‘q

18 Problemática Mundial Revisar nombre

19 No existe interoperabilidad entre sectores
La realidad de algunos países No existe interoperabilidad entre sectores Marcos Legales independientes Diferencias en la implementación de PKI y en el uso de Estándares Algunos utilizan un formato propio mientras otros usan X509v3 Rigurosidad en el proceso de Certificación de ECs Algunos exigen un Centro de Datos contingente, ISO17799, HSM mientras que otros poseen instalaciones propias con menos niveles de seguridad Rigurosidad en el proceso de Certificación de Identidad de Titulares Algunos exigen Documentación + Presencia física + Biometría mientras que otros entregan el Certificado por Procesos de Homologación Complejos o No Factibles Aún teniendo una reglamentación robusta implementada, la interoperabilidad no esta garantizada

20 Aplicaciones y Tipos de Certificados Digitales
Revisar nombre

21 Aplicaciones vrs Certificados
Autenticación automática (Windows Logon, Sistema Registro Nacional) Membresías (Colegio Profesional, Club Privado) Profesión (Notario, Médico, Abogado) Puesto (Gerente Financiero, Gerente TIC) Estado Civil (Soltero, Casado)

22 Ejemplo: Notario-Registro
Nombre: Pedro Cédula: Profesión: Notario Miembro: #1010 Est. civil: Casado Ejemplo: Notario-Registro Internet Certificado Digital Pedro Registro Nacional Nombre: Pedro Cédula: Profesión: Comerciante Est. civil: Divorciado Nombre: Pedro Cédula: Membresía: #1010 Est. Civil: Soltero Estado: Suspendido Base Datos Registro Civil Base Datos de Notarios

23 Propuesta: Notario-Registro
Nombre: Pedro Cédula: Propuesta: Notario-Registro Internet Certificado Digital Pedro Registro Nacional ¿Activo? ¿Casado? Nombre: Pedro Cédula: Profesión: Comerciante Est. civil: Divorciado Nombre: Pedro Cédula: Membresía: #1010 Estado: Suspendido Base Datos Registro Civil Base Datos de Notarios

24 Encripción (Estrategia propuesta)
Otro par de llaves, otro certificado Llaves de encripción respaldadas en la CA Pérdida de llaves no implica pérdida de información protegida Separar Firma - Encripción Entidad Certificadora Base Datos CA Llaves firma Token Llaves encripción Ciudadano

25 Personas Jurídicas (Estrategia propuesta)
Ficción Jurídica, no es una persona que pueda “actuar”. La Cédula Jurídica es un simple registro, sin valor “transaccional” Firma siempre una Persona Física. Se basa en el PODER, un documento público. La emisión del PODER es un acto notarial. El esquema puede ser trasladado al mundo electrónico. Un PODER ELECTRÓNICO para una persona Física identificable a través de un Certificado Digital Credenciales en el Mundo Electrónico Poder

26 Otros tipos de Certificados
Sitio Web Equipo Activo / Servidor Firma de código Estampado de tiempo (Timestamping) Debe realizarse un análisis previo por parte del Comité de Políticas “La DCFD establecerá los tipos de certificados que podrán emitir los certificadores registrados con estricto apego a las normas técnicas y estándares internacionales aplicables […]” (Reglamento, art. 6)

Descargar ppt "Agenda Comunicación a través de un Medio Inseguro Certificado Digital"

Presentaciones similares

Seguridad técnica y jurídica con certificados digitales

Seguridad técnica y jurídica con certificados digitales
CERTIFICACIÓN DIGITAL

CERTIFICACIÓN DIGITAL
Certificados X.509 Federico García

Certificados X.509 Federico García
Criptografía como recurso para el aula de matemáticas. El arte de esconder Firmas digitales La firma digital es una sucesión de bits que se obtienen mediante.

Criptografía como recurso para el aula de matemáticas. El arte de esconder Firmas digitales La firma digital es una sucesión de bits que se obtienen mediante.
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Delitos Informáticos.

Delitos Informáticos.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Curso de Seguridad Informática

Curso de Seguridad Informática
Legalidad de los sistemas de clave pública Juan Carlos M. Coll Profesor de Economía Aplicada Universidad de Málaga

Legalidad de los sistemas de clave pública Juan Carlos M. Coll Profesor de Economía Aplicada Universidad de Málaga
Conceptos sobre firma y certificados digitales

Conceptos sobre firma y certificados digitales
- Firma digital y cifrado de mensajes.

- Firma digital y cifrado de mensajes.
INFRAESTRUCTURA DE CLAVE PÚBLICA

INFRAESTRUCTURA DE CLAVE PÚBLICA
ADMINISTRACIÓN ELECTRÓNICA.

ADMINISTRACIÓN ELECTRÓNICA.
Banco Central de Costa Rica

Banco Central de Costa Rica
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Sobre el instrumento. Ursula Rodríguez.

Sobre el instrumento. Ursula Rodríguez.
Redes I Unidad 7.

Redes I Unidad 7.
Ética y legislación informática

Ética y legislación informática
M.C.E. Ana María Felipe Redondo

M.C.E. Ana María Felipe Redondo
Firma Digital en el Ecuador

Firma Digital en el Ecuador

Presentaciones similares

Anuncios Google