Professional Documents
Culture Documents
RalJimnezOrtegawww.rauljimenez.info
Reconocimiento - NoComercial - CompartirIgual (by-nc-sa): No se permite un uso comercial de la obra original ni de las posibles obras derivadas, la distribucin de las cuales se debe hacer con una licencia igual a la que regula la obra original.
ndice de contenido
Autorayconfianza................................................................................................................3 ElDNIelectrnico..................................................................................................................4 QuesyparaqusirveelDNIelectrnico?...................................................................4 Qucontieneelchip?......................................................................................................4 CertificadodelaAutoridaddeCertificacinexpedidora...............................................4 Certificadodecomponente...........................................................................................4 Certificadodeautenticacin..........................................................................................5 Certificadodefirmaelectrnicareconocida..................................................................5 Quventajasofrece?.......................................................................................................5 Lafirmaelectrnica................................................................................................................6 Queslafirmaelectrnica?............................................................................................6 Cmofuncionalafirmadigital?......................................................................................7 Cifrado...........................................................................................................................7 Comprobacindeunafirmadigital................................................................................8 Certificadodigital...................................................................................................................8 Quesuncertificadodigital?..........................................................................................8 Qucontieneuncertificadodigital?................................................................................8 Cuantostiposdecertificadosexisten?............................................................................9 Cuntoscertificadospuedoposeer?.............................................................................10 Elphishing............................................................................................................................10 Fuentes:................................................................................................................................11
Caperucitarojayelloboferoz
Laniaseacercalacamayvioquesuabuelaestaba muycambiada. Abuelita,abuelita,quojosmsgrandestienes! Sonparavertemejordijoellobotratandodeimitarla vozdelaabuela. Abuelita,abuelita,quorejasmsgrandestienes! Sonparaortemejorsiguidiciendoellobo. Abuelita,abuelita,qudientesmsgrandestienes! Sonpara...comertemejoooor!ydiciendoesto,ellobo malvadoseabalanzsobrelaniitayladevor,lomismoquehabahechoconlaabuelita.
Imagenytextoextradode:www.concienciaanimal.cl
Autorayconfianza
Internetapasadoaformarpartedenuestrasvidasenuncortoplazodetiempo,apareci delanadaysindarnoscuentasehaestablecidocomounodelosmedioslderesenlas comunicaciones,ocioynegocios. Esporelloquetodoocasitodoloquehacemosenelmundofsicotambinsepuede hacerenInternet;hablar,escribir,intercambiarinformacin,cotillear,comprar,vender, jugar,viajar,perotambinsehaabiertounapuertaalosdelincuentes,conocidos comociberdelincuentespara:robar,engaar,atacar,suplantar,falsificar,etc.debidoa queenlasrelacionesporInternetlaspersonasnoseencuentranfsicamenteenelmismo sitio,sehapropiciadoqueaumentenestetipodeactosdolosos1. Perosindudaalguna,Internettambinhaaportadocosasbuenas,ahechoaicoslas fronterasquenosimpedancompartirpblicamenteconocimientos,sentimientos,ideas,
1 Doloimplicalavoluntadmaliciosadeengaaraalguienodeincumplirunaobligacincontrada
ElDNIelectrnico
QuesyparaqusirveelDNIelectrnico? ConcretamenteenEspaadesde2006secomienzaaexpedirelDocumentoNacionalde Identidadelectrnico(DNIe)paraaumentarlaconfianzadelosciudadanosenlas comunicacionestelemticas. ElDNIepermiteotorgaridentidadpersonalalosciudadanosparasuusoenlanueva SociedaddelaInformacin,siendolaadaptacindeltradicionalDNIalanuevarealidad deunasociedadinterconectadaporredesdecomputadores. Demodoquenospermiteacreditarnuestraidentidad,ademsdeasegurarlaprocedencia ylaintegridaddelosmensajesintercambiadosenlascomunicacioneselectrnicas. Qucontieneelchip? DentrodelchipdelDNIeseencuentran4certificadosquesonelprincipalobjetivode nuestroestudio;ademscontieneotrosdatoscomo:apellidos,nombre,sexo, nacionalidad,fechadenacimiento,fechadevalidez,NIF,etc. ElDNIelectrniconocontieneinformacinrelativaadatospersonalesdistintosalosque aparecenimpresosenlasuperficiedelatarjeta. CertificadodelaAutoridaddeCertificacinexpedidora EncasodelDNIelectrnicoencontraremoselcertificadoconlaclavepblicadela DireccinGeneraldelaPolica.Seencuentraenlazonapblicadechipqueser accesiblesinrestricciones. Certificadodecomponente CertificadoX.509quepermitelaautenticacin(ContentCommitmentoclaveRSApblica yprivadadenorepudio)delatarjetadeDNIelectrnico.Loquepermiteel
establecimientodeuncanaldecomunicacinseguro(cifradoyautenticado)entrela tarjetadelDNIeyelordenador.Tambinseencuentraenlazonapblicadechip Certificadodeautenticacin ElcertificadoX.509deciudadanodeautenticacinoDigitalSignature,permitealtitular acreditarsuidentidadfrenteacualquiera,demostrandolaposesinyelaccesoalaclave privadaasociadaadichocertificadoyqueacreditasuidentidad. TantolasclavesRSAprivadacomopblicadeautenticacinenencuentrandentrodel certificado. Suusoprincipalserparagenerarmensajesdeautenticacin(confirmacindela identidad)ydeaccesoseguroasistemasinformticos. Estecertificadonoesthabilitadoenoperacionesquerequierannorepudiode origen(paraelloserequiereelcertificadodefirmaelectrnicareconocida)yportantolos prestadoresdeserviciosnotendrngarantadelcompromisodeltitulardelDNIconel contenidofirmado. Estecertificadoseencuentraenlazonaprivadayesaccesibleenlecturaporel ciudadano,mediantelautilizacindelaclavepersonaldeaccesooPIN. Certificadodefirmaelectrnicareconocida Estecertificadotambinseencuentraenlazonaprivadaygarantizalaintegridaddel documentofirmadoyelnorepudiodeorigen. Igualqueenelcasoanterior,estecertificadotambincontienelasclavesRSAprivaday pblicadelmismo.
Enlasrelacionesconlasempresas Realizartrmitesalmximoniveldeseguridad.
Lafirmaelectrnica
Queslafirmaelectrnica? Lafirmaelectrnicaesuntrminodenaturalezafundamentalmentelegalqueatravsde lafirmadigital(seriedemtodoscriptogrficos)permiteestablecerunmecanismodeno repudioparadocumentoselectrnicos,aunquetambinpodremosusarlaparafirmarun documentoelectrnicousandolaclavepblicadeotrousuarioparacifrareldocumento garantizandoquetansolostepuedaleerlo.
Deestemodolafirmaelectrnicanoesmsqueunconjuntodedatosenforma electrnicaquepermitenidentificaralfirmante,teniendoelmismovalorquelafirma manuscrita.Queunemisoryunreceptorsecomuniquenpuedanidentificarse mutuamenteconlacertezadequesonelloslosqueestninteractuando.Estoevitaque terceraspersonasalterenloscontenidosdurantelacomunicacin. Existentrestiposdefirmas2: Firmaelectrnica(simple):Datosquepuedanserusadosparaidentificaral firmante(autenticidad).Puedeserdesdeunafirmagrficadigitalizada(escaneada) hastaelPINdelastarjetasdecrdito.Notieneporqugarantizarlaautenticidad delfirmantenilaintegridaddelcontenido. Firmaelectrnicaavanzada:permiteidentificaralfirmanteydetectarcualquier cambioulteriordelosdatosfirmados.Debecumplirqueseacreadapormediosque elfirmantepuedemantenerbajosuexclusivocontrolyaquesdondeseutilizala criptografadeclavepblicaconelrespaldodeuncertificadoelectrnico Firmaelectrnicareconocida(ocualificada3):esunafirmaelectrnicaavanzada peroadiferenciadelaanterior,enestecasolafirmaserealizarusandoun certificadoreconocido(certificadoqueseotorgatraslaverificacinpresenciadela entidaddelfirmante)ygeneradamedianteundispositivosegurodecreacinde
2 SololosdosltimostiposdefirmassonreconocidasporlaLey59/2003,de19dediciembre. 3 PortraduccindeltrminoinglsqualifiedqueapareceenlaDirectivaEuropeadeFirmaelectrnica.
Cmofuncionalafirmadigital? Cifrado Usaremoselcertificadodefirmareconocidapararealizarlafirmadigitalquenospermite garantizarqueeldocumentonohasidomanipuladodurantelacomunicacin. Cadapartetieneunpardeclaves,unase usaparacifrar(a)ylaotraparadescifrar. Elemisorobtieneunresumendelmensaje (b)afirmaraplicandounafuncinllamada hash4(c)sobrelosdatosiniciales.El resumenesotroconjuntodedatosde tamaofijo,independientementedel tamaooriginaldelosdatosaresumir,y quetienelapropiedaddeestarasociado unvocamentealosdatosiniciales,esdecir, esimposibleencontrardosmensajes distintosquegenerenelmismoresultadoal aplicarlafuncinhash. Elemisorcifra(d)elresumendelmensaje conlaclaveprivada(a)quepermitir garantizarelorigenyelnorepudiodel mensajeoriginal. Elsiguientepasoenlacomunicacinesadjuntarjuntoconlosdatosinicialeslafirma digital.Paraenviarelmensajecifradosepuedeutilizarlaclavepblicadelcertificadodel emisor,garantizandoquesoloasestepodrdescifrarlousandosuclaveprivada.
4 SHAyMD5sonlosdosejemplosmsusadoparaaplicargeneraresteresumen.
Comprobacindeunafirmadigital Suponemosquehemosrecibidolosdatosfirmados (firmadigital+datosiniciales)sinelcertificado electrnicoyqueestnsincifrar. Elsiguientepasoquetendrquerealizarelreceptor, delmensaje,esgenerarunnuevoresumenmediante lafuncinhash.Acontinuacindescifralafirma recibidautilizandolaclavepblicadelemisor obteniendoelresumenqueelemisorcalcul.Si amboscoincidenlafirmaesvlidaporloquecumple loscriteriosyavistosdeautenticidadeintegridad ademsdeldenorepudioyaqueelemisornopuede negarhaberenviadoelmensajequellevasufirma.
Certificadodigital
Quesuncertificadodigital? Uncertificadoelectrnicoodigitalesundocumentogeneradoyfirmadoelectrnicamente porunatercerapartedeconfianza5otambinllamadoPrestadordeServiciosde Certificacin(PSC)6quegarantizanlavinculacinentrelaidentidaddeunapersonao entidadysuclavepblica7,dndoleaconocercomofirmanteenelmbitotelemtico. LosPSCsonlasresponsablesdeemitiryrevocarloscertificadoselectrnicosutilizados pararealizarlafirmaelectrnica.Estadenominacinseoriginaporlaspropiasfunciones querealizan,yqueestdirigidaaquelosusuariosdeestainfraestructuratenganla seguridaddequeelsujetoconelquesecontactaesquindicesersinposibilidadde error. Qucontieneuncertificadodigital? Uncertificadodigitalcontieneusualmente: elnombredelapersonaoentidadcertificada
firmadigitaldelaautoridademisoradelcertificadodeformaqueelreceptorpueda verificarqueestaltimahaestablecidorealmentelaasociacin.
Podemosencontrardiferentesclasificacionessegnlacomprobacindedatosque realizanoalusoalquesedestinaelcertificado.Porejemplo,segnelusosepueden clasificarcomo:Certificadospersonales,CertificadosdeServidorparaSSL, CertificadosdeInfraestructura,CertificadosdedispositivoyCertificadosparaServicios deSelladoDigitaldeTiempos. Algunoscertificadosdeejemploson: Loscertificadosdepersonafsica(ociudadano)emitidosporlaFbricaNacional deMonedaytimbresongratuitosyvanenfocadosprincipalmenteasuutilizacin antelasdistintasAdministracionesPblicas,aunquetambinsepuedeutilizarcon otrotipodeentidades8permitenrealizartodotipodetrmitesdeformaquequeda garantizadalaautoraytambinrealizarfirmaselectrnicasreconocidas.. ElcertificadoincluidoenelDNIelectrnico,gratuitotambin,permitetrabajarcon todaslasAdministracionesPblicasdelEstado,tantolasdembitoestatales, comoanivelAutonmicoyLocal. OtroscomoloexpedidosporCamerfirma,puedenutilizarseconlasCmarasde Comerciopararealizartrmitescomo,porejemplo,lagestindecertificadosde origenparalasexportaciones,etc. Cuntoscertificadospuedoposeer? Cualquierpersonapuedeobtenerdiferentescertificadoselectrnicossiemprequeestos seandeentidadesdecertificacindiferentes.Adems,unapersonafsicapuededisponer devarioscertificadoscorrespondientesaunmismoPrestadordeServiciosde Certificacinsiemprequestossean:unodeellosdepersonafsica,yotrodepersona jurdica,enelcualfigurecomorepresentantelegalovoluntariodedichaentidad.
Elphishing
Elphishingesundelitodeestafacometidoatravsdeunatransferencianoconsentida porelperjudicadomediantemanipulacininformtica
SentenciadelaSala2de12deJuniode2007
Aprincipiosdelao2000variosservidoresISPdeIrlandafueronatacadosporunjoven alicantinomenordeedadutilizandopharming,consiguiendoredirigiralosusuariosque
8 Serviciosalosquesepuedeaccederconelcertificadodeusuario: http://www.cert.fnmt.es/index.php?o=cert
visitabanunosdominiosaotrasmquinasquesehacanpasarporlaoriginalespero dondeelatacantecapturabainformacinprivadadelosusuariossinsuconsentimientoya queestabansiendoengaados. Elphishingsebasaprincipalmenteenentenderlainteligenciahumanayusarlaingeniera socialparaadquiririnformacinconfidencialdeformafraudulenta.Sonconocidoscientos decasosdondelosciberdelincuentestratandeaprovecharsedelainexperienciadelos usuariosnormalmentesuplantandolaidentidaddeunapersonaoentidadconlaquela vctimatienealgntipodeacuerdo.Algunosdelosejemplosdelasentidadesporlasque sehacenpasarson:compaatelefnicas,bancos,servidoresdecorreo,servidoresde mensajerainstantnea,etc. IntentandoevitarestetipodedelitossecreSSL(SecureSocketsLayer),unprotocolode comunicacinqueproporcionaautenticacinyprivacidadenlascomunicaciones telemticasentredospersonasoentidades. Adadehoylohabitualesquesoloelservidorseaquiengaranticesuidentidadyaquela autenticacinmutuarequierequeelservidorconozcalaclavepblicadelcliente,yesto supondraunabarrerayaquenoesfrecuentequeunusuariomediosepausarsu certificadodigital. Conestemtodoseevitanlasescuchas,lasuplantacindelremitenteysemantienela integridaddelosmensajes, Demodoquellegadoaunpuntodelprocesodecomunicacin,tantoelclientecomoel servidorintercambianlasclavespblicasparapodercomunicarse.Deestemodoel clientepuedecomprobarqueelservidoresquiendiceser. Paraaumentarlaseguridadenlaredtambinhansurgidootrosmecanimosparacifrar todaslascomunicacionesdedatosentredosentidades,porejemploelProtocoloSeguro deTransferenciadeHipertexto(HTTPS),
Fuentes :
DepartamentodeCertificacinEspaoladelaFNMT:http://www.ceres.fnmt.es PortalOficialsobreelDNIelectrnico:http://www.dnielectronico.es Wikipedia:http://es.wikipedia.org ProcedimientosTelemticosyElectrnicos:http://www.bartolomeborrego.com TransmisindeDatosyRedesdeComputadores:PearsonPrenticeHall