Alvarez Perez Victor Hugo CI: 17.062.643
Reyes Carpio Ibrahim Alejandro CI: 15.393.058
Equipo #12 Seccion 3
sábado, 14 de febrero de 2009
Integrantes del equipo
Alvarez Perez Victor Hugo CI: 17.062.643
Reyes Carpio Ibrahim Alejandro CI: 15.393.058
Equipo #12 Seccion 3
Bibliografia del Blog
El ABC de los Documentos Electrónicos Seguros
Ignacio Mendívil
http://www.eseguridad.gob.mx/wb2/eMex/eMex_Documentos_Electronicos_Seguros
EOL/Liliana Toledo.
http://electronicosonline.com/noticias/notas.php?id=3390_0_1_0_M19
Negocios virtuales, firmas digitales
La creciente necesidad de llevar a cabo negocios por medio del Internet a llevado a los expertos a crear algoritmos seguros que sustituyan a la rubrica
Debido al crecimiento exponencial de las negociaciones virtuales, crece también la necesidad de firmar documentos por parte de personas que pueden estar a miles de kilómetros y que además lo harán sin coincidir en el tiempo. Por ello surgen una serie de necesidades en materia de seguridad que aseguren o mejoren los sistemas de seguridad de los medios tradicionales.
Una Firma Electrónica es un conjunto de datos que se adjuntan a un mensaje electrónico, cuyo propósito es identificar al emisor del mensaje como autor legítimo de éste, tal y como si se tratara de una firma autógrafa.
Existen 2 tipos de firma digital: La firma digital con árbitro donde dos usuarios con desconfianza mutua confían en un tercero. Se utilizan criptosistemas de clave única (una sola clave para cifrar y descifrar). El emisor y el receptor tienen sus propias claves por lo que es el árbitro el encargado de recibir el mensaje del emisor, desencriptarlo con la clave del emisor. De esta forma el emisor y el receptor no necesitan compartir claves.
Y la firma digital ordinaria en donde su objetivo básico es aportar al mundo de los documentos electrónicos la misma funcionalidad que aporta la firma manuscrita a un documento impreso, es decir, identificar al autor del mismo y, en el caso de documentos compartidos entre diferentes entidades o personas, fijar el contenido del documento mediante el cruce de copias firmadas por todas las partes implicadas.
Uno de sus retos es garantizar la identidad del firmante, para lo cual se emplea la tecnología de par de claves vinculada a los datos identificativos del titular del certificado. Así, cuando se firma un documento se emplea un número único que sólo pertenece al firmante.
El receptor del documento verifica la firma con la parte pública de la clave, de este modo, si el proceso de validación es positivo, debe concluirse que el firmante del documento es el titular del certificado. Su diseño se basa en estándares internacionales de infraestructura de claves públicas (o PKI por sus siglas en inglés: Public Key Infrastructure).
Otro de sus grandes retos es la integridad del documento lo cual es una garantía que de que el documento no ha sido modificado tras su firma. Para garantizar esto no es necesario que un tercero custodie una copia del documento sino que se realiza generando un código único del documento a partir de su estructura interna en el momento de ser firmado.
Cualquier alteración del contenido del documento provocará que al aplicar de nuevo la función de generación de código único sea imposible reproducir el original, por tanto, quedará rota la integridad del contenido.
Entre los algoritmos de autenticación más utilizados se encuentran:
• SWIFT: para la autenticación de mensajes de carácter financiero y bancario.
• Este algoritmo no ha sido publicado.
• algoritmos basados en modos normalizados de operación del DES.
• algoritmo MAA: Message Authentication Algorithm.
• algoritmo RSA: Basado en criptosistemas de clave pública.
• algoritmo El Gamal: del NIST (National Institute of Standards and Technology) basado en un sistema de firma digital.
Por último, existe la firma de Autoridad de Registro que es una entidad que identifica de forma inequívoca al solicitante de un certificado para después suministrar a la Autoridad Certificadora los datos verificados del solicitante a fin de que ésta emita el correspondiente certificado.
Una Firma Electrónica es un conjunto de datos que se adjuntan a un mensaje electrónico, cuyo propósito es identificar al emisor del mensaje como autor legítimo de éste, tal y como si se tratara de una firma autógrafa.
Existen 2 tipos de firma digital: La firma digital con árbitro donde dos usuarios con desconfianza mutua confían en un tercero. Se utilizan criptosistemas de clave única (una sola clave para cifrar y descifrar). El emisor y el receptor tienen sus propias claves por lo que es el árbitro el encargado de recibir el mensaje del emisor, desencriptarlo con la clave del emisor. De esta forma el emisor y el receptor no necesitan compartir claves.
Y la firma digital ordinaria en donde su objetivo básico es aportar al mundo de los documentos electrónicos la misma funcionalidad que aporta la firma manuscrita a un documento impreso, es decir, identificar al autor del mismo y, en el caso de documentos compartidos entre diferentes entidades o personas, fijar el contenido del documento mediante el cruce de copias firmadas por todas las partes implicadas.
Uno de sus retos es garantizar la identidad del firmante, para lo cual se emplea la tecnología de par de claves vinculada a los datos identificativos del titular del certificado. Así, cuando se firma un documento se emplea un número único que sólo pertenece al firmante.
El receptor del documento verifica la firma con la parte pública de la clave, de este modo, si el proceso de validación es positivo, debe concluirse que el firmante del documento es el titular del certificado. Su diseño se basa en estándares internacionales de infraestructura de claves públicas (o PKI por sus siglas en inglés: Public Key Infrastructure).
Otro de sus grandes retos es la integridad del documento lo cual es una garantía que de que el documento no ha sido modificado tras su firma. Para garantizar esto no es necesario que un tercero custodie una copia del documento sino que se realiza generando un código único del documento a partir de su estructura interna en el momento de ser firmado.
Cualquier alteración del contenido del documento provocará que al aplicar de nuevo la función de generación de código único sea imposible reproducir el original, por tanto, quedará rota la integridad del contenido.
Entre los algoritmos de autenticación más utilizados se encuentran:
• SWIFT: para la autenticación de mensajes de carácter financiero y bancario.
• Este algoritmo no ha sido publicado.
• algoritmos basados en modos normalizados de operación del DES.
• algoritmo MAA: Message Authentication Algorithm.
• algoritmo RSA: Basado en criptosistemas de clave pública.
• algoritmo El Gamal: del NIST (National Institute of Standards and Technology) basado en un sistema de firma digital.
Por último, existe la firma de Autoridad de Registro que es una entidad que identifica de forma inequívoca al solicitante de un certificado para después suministrar a la Autoridad Certificadora los datos verificados del solicitante a fin de que ésta emita el correspondiente certificado.
Firmas electronicas
La aceptación de
Hay una serie de preguntas que nos tenemos que hacer y a las cuales debemos dar respuesta para considerar un mensaje de datos o documento, firmado electrónicamente, como válido:
- ¿Qué se Firmó?
- ¿Quiénes lo Firmaron?
- ¿Cuándo lo Firmaron?
El contestar cada una de estas preguntas involucra diferentes entidades, algoritmos, protocolos y elementos tecnológicos que detallaremos a continuación:
¿Qué se Firmó? : Tiene que ver con el contenido del mensaje de datos que será firmado electrónicamente, son el conjunto de bits que forman el mensaje. Los participantes en un acuerdo negocian este contenido, y una vez aceptado, proceden al acto de firmarlo electrónicamente. Tomando en cuenta las características y la creación de
1) Que el Certificado Digital haya sido emitido por una Autoridad Certificadora confiable o aceptada por el receptor del mensaje
2) Que el Certificado Digital este en su período de validez
3) Que el Certificado Digital no este revocado
¿Cuando lo Firmaron? : Es sumamente importante poder ubicar con exactitud el momento en que se firmó el documento ya que esto ayuda a determinar si el certificado era válido al momento de la firma y si el contenido en su ámbito aplicativo tenía validez en ese momento. Para aclarar este punto, veamos dos ejemplos:
1) Si se recibe un documento firmado electrónicamente y al consultar el estatus del certificado del firmante, se encuentra que este está revocado, es necesario validar la fecha de revocación para determinar si el documento fue firmado antes de que el certificado fuera revocado o después de ser revocado. Si el documento se firmó después de revocado el certificado, entonces debe rechazarse.
2) Si se recibe por ejemplo una orden de compra firmada electrónicamente y todo el proceso de validación de firma electrónica y certificado de firmante son correctos, existe la posibilidad que esa orden de compra no sea valida por haberse recibido fuera de un límite de tiempo preestablecido por las partes, es decir, se pudo haber establecido la condición de que los precios cotizados eran válidos hasta el 1ero de Agosto del 2006, por lo que si se recibe la orden después de esta fecha, esta puede ser rechazada. Este tipo de ejemplo tiene mas impacto en subastas o concursos donde existe una fecha y hora límite para entregar una propuesta y donde es sumamente importante probar que esta llego antes de que la subasta o concurso cerrara la aceptación de propuestas, de lo contrario los participantes se pueden inconformar.
Se recomienda que para ubicar el momento en que ocurren ciertos eventos como la recepción de un documento firmado, se involucre a una Autoridad de Tiempo Confiable también conocida como Oficialía de Partes, que de fe que una transacción ocurre a cierta fecha y hora a través de la emisión de estampillas de tiempo.
Existen una serie de consideraciones que debemos tomar en cuenta en documentos electrónicos y que son necesarias para poder resolver en forma eficiente un proceso de aprobación de los mismos:
- Existen documentos que por su naturaleza requieren de múltiples firmas (ej. Contratos, Acuerdos de Confidencialidad, Oficios y Ordenes de Compra)
- En algunos documentos, es necesario contemplar la firma de los mismos como un proceso que requiere un orden, dado que en muchos casos, un firmante no firma el documento si no ve que la firma del revisor del documento está formando parte del mismo. O bien, por cuestiones de jerarquía y control internos, un Director no firma el documento si no ha sido firmado por un Gerente de área
- Algunos documentos requieren que todos los participantes firmen antes de considerarse válidos, en otros, es suficiente con la firma de un solo participante aún cuando el documento esté dirigido a un grupo (ej. Contratos de Adhesión), y en otros casos, se exige un mínimo de firmas de un grupo para considerarse válido
- Algunos documentos deben firmarse antes de una fecha y hora determinadas o pierden su validez como explicamos anteriormente (ej. Subastas, Ordenes de Compra, Contratos)
- En algunos casos, los firmantes están dispersos en diferentes geografías y con diversos usos horarios por lo que hay que ubicar los tiempos de firmado en un tiempo común para todos
- En un documento en papel, una vez que los firmantes han firmado, las firmas autógrafas se aprecian a un mismo nivel. Esta característica es muy importante conservarla en un documento electrónico, es decir, las firmas electrónicas deben estar a un mismo nivel, no deben estar firma sobre firma ya que esto obligaría a Autenticar el documento por capas empezando de la última hasta llegar a la primera lo cual además de ser impráctico, presenta la problemática de que cada firmante habría firmado algo distinto
Es necesario involucrar a diferentes entidades que aportan las evidencias necesarias en la firma de un acuerdo electrónico:- Autoridades Certificadoras o Prestadores de Servicios de Certificación: Entidades encargadas de emitir y administrar los certificados digitales que se expiden a los participantes de un acuerdo electrónico.
- Servidores de Estampillas de Tiempo (Oficialías de Partes): Entidades encargadas de emitir estampillas de tiempo que amparan que una firma fue recibida en una fecha y hora determinados
- Firmantes: Son los participantes en el acuerdo electrónico
Es prácticamente obligado utilizar estándares internacionales para poder interactuar con diferentes Autoridades Certificadoras y Oficialías de Partes y para usar una sintaxis estándar de los documentos electrónicos. Dentro de los estándares más utilizados se encuentran:
- X.509 para Certificados Digitales: Los Certificados son utilizados como elemento de autenticación y se les solicita a los participantes para poder acceder el aplicativo
- OCSP (Online Certificate Status Protocol): Permite hacer consultas en línea a las Autoridades Certificadoras sobre el estatus de revocación de un certificado. Las respuestas de las AC’s son firmadas electrónicamente y contienen: el No. de Serie del Certificado Digital sobre el cual se pregunta el estatus, la digestión de la llave pública de
- TSP (Time Stamp Protocol): Permite generar estampillas de tiempo que amparan la existencia de un contenido a una determinada fecha y hora. Estas estampillas son firmadas por
- PKCS (Public Key Cryptography Standards) #7: Estándar que define
Es necesario almacenar por cada documento electrónico los siguientes elementos:
1) El documento firmado (1..n firmas) bajo el estándar PKCS #7
2) Por cada firma, la respuesta OCSP de
En caso de una controversia, se pueden entregar estos tres elementos como evidencia para poder contestar a las preguntas planteadas en un inicio (¿Qué se firmo?, ¿Quiénes lo firmaron? Y ¿Cuándo lo firmaron?).
El uso de la firma electrónica avanzada en documentos electrónicos además de aspectos de seguridad, presenta una serie de beneficios dentro de los que destacan:
- Eliminación de gastos en papel
- Eliminación de gastos en toner o cartuchos para impresoras
- Eliminación de gastos de mensajería para traslado de documentos
- Eliminación de riesgos en el traslado de documentos confidenciales
- Pérdida
- Robo
- Apertura
- Alteraciones
- Maltratos
- Eliminación de espacio físico para almacenamiento de los documentos
- Disminución dramática en los tiempos de gestión de firmas de documentos (Una sola firma ampara todo el contenido del documento, a diferencia del mundo en papel, donde cada hoja debe rubricarse y la firma autógrafa aparece únicamente al final del documento. El proceso de rubricar cada hoja y firma se debe realizar además en las copias del documento)
- Disminución dramática en tiempos de búsqueda de documentos
- Disminución del riesgo en documentos ya almacenados
Problemas de los documentos electronicos
Dos problemas aquejan a los documentos electrónicos : La Confidencialidad y la
Autenticidad.
La Confidencialidad se refiere a la capacidad de mantener un documento electrónico
inaccesible a todos, excepto a una lista determinada de personas. La Autenticidad se
refiere a la capacidad de determinar si una lista determinada de personas han
establecido su reconocimiento y/o compromiso sobre el contenido del documento
electrónico. El problema de la autenticidad en un documento tradicional se soluciona
mediante la firma autógrafa.
Mediante su firma autógrafa, un individuo, o varios, manifiestan su voluntad de
reconocer el contenido de un documento y, en su caso, de cumplir con los compromisos
que el documento establezca para con el (los) individuo(s).
Existe una diferencia sutil pero muy importante entre el concepto de autenticidad y el concepto de no-repudiación. Por ejemplo, usted puede presenciar que un documento es escrito por alguien si lo vio hacerlo en persona. Si el documento no está firmado
autógrafamente, usted estará absolutamente convencido de su autenticidad pero no
podrá probarlo ya que sin la firma autógrafa es imposible establecer el vínculo entre la voluntad de la persona y el contenido del documento.
Si se puede probar a terceros que efectivamente el documento es auténtico, entonces
se dice que el documento es no-repudiable. Si un documento es no-repudiable es
auténtico, pero no viceversa.
Una característica básica de un documento auténtico es su integridad. En documentos
tradicionales como un contrato o un cheque, si se aprecian modificaciones o tachones,
dichos documentos son prácticamente invalidados. En un documento electrónico, donde
por errores de transmisión, fallas en el medio de almacenaje, o donde intencionadamente se modifica el contenido original del documento, éste pierde su
integridad y, por tanto, su autenticidad.
Si un documento es auténtico, entonces es íntegro, pero no viceversa.
Estos problemas, de confidencialidad, integridad, autenticidad y no-repudiación, se
resuelven mediante la tecnología llamada ¨Criptografía¨. La Criptografía es una rama de las Matemáticas que, al aplicarse a mensajes digitales, proporciona las herramientas idóneas para solucionar los problemas antes mencionados.
Al problema de la Confidencialidad se le relaciona comúnmente con técnicas
denominadas de "encripción" y; al problema de la Autenticidad, con técnicas
denominadas de "firma digital", aunque ambos en realidad se reducen a procedimientos
criptográficos de encripción y desencripción.
La Criptografía no es sólo una rama de las Matemáticas, sino una disciplina que puede
reunir otras áreas de la ciencia, sin embargo, es en las Matemáticas en donde la
Criptografía moderna encuentra los fundamentos más trascendentes.
En general, la criptografía es el uso de problemas de difícil solución a aplicaciones
especificas. Por ejemplo, un problema de difícil solución es encontrar los factores de un número que es producto de dos números primos. Cómo podemos aplicar este problema de difícil solución a un caso especifico es un asunto del campo de la criptografía. En particular cómo podemos aplicar este problema de difícil solución al tema de la confidencialidad de información digital es un asunto de la criptografía.
El fundamento y los procedimientos de operación para brindar efectiva solución a un
problema específico constituyen un criptosistema.
El criptoanálisis es la actividad que se encarga de estudiar las debilidades de un
criptosistema y su objetivo es el de encontrar soluciones fáciles al reto implantado en el criptosistema.
Ambas actividades, la criptografía y el criptoanálisis son parte de la disciplina
denominada criptología.
En un sistema en donde la forma tradicional de realizar operaciones comerciales está
siendo reemplazado por métodos electrónicos resulta de suma importancia contar no
sólo con la tecnología, sino con un marco legal que norme la validez de los documentos electrónicos. Es importante que en nuestro País contemos con una base legal que conceda, a los documentos firmados digitalmente, un tratamiento similar a la de los documentos tradicionales firmados autógrafamente. El problema de la confidencialidad no es tampoco un problema estrictamente técnico, también es conveniente estudiar las implicaciones legales del uso de esta tecnología que permite al individuo mantener información confidencial fuera del alcance del Estado, sea esta información licita o ilícita.
Un problema de este tipo requiere del trabajo interdisciplinario de criptógrafos, analistas,especialistas en seguridad de datos, abogados, etc.
Autenticidad.
La Confidencialidad se refiere a la capacidad de mantener un documento electrónico
inaccesible a todos, excepto a una lista determinada de personas. La Autenticidad se
refiere a la capacidad de determinar si una lista determinada de personas han
establecido su reconocimiento y/o compromiso sobre el contenido del documento
electrónico. El problema de la autenticidad en un documento tradicional se soluciona
mediante la firma autógrafa.
Mediante su firma autógrafa, un individuo, o varios, manifiestan su voluntad de
reconocer el contenido de un documento y, en su caso, de cumplir con los compromisos
que el documento establezca para con el (los) individuo(s).
Existe una diferencia sutil pero muy importante entre el concepto de autenticidad y el concepto de no-repudiación. Por ejemplo, usted puede presenciar que un documento es escrito por alguien si lo vio hacerlo en persona. Si el documento no está firmado
autógrafamente, usted estará absolutamente convencido de su autenticidad pero no
podrá probarlo ya que sin la firma autógrafa es imposible establecer el vínculo entre la voluntad de la persona y el contenido del documento.
Si se puede probar a terceros que efectivamente el documento es auténtico, entonces
se dice que el documento es no-repudiable. Si un documento es no-repudiable es
auténtico, pero no viceversa.
Una característica básica de un documento auténtico es su integridad. En documentos
tradicionales como un contrato o un cheque, si se aprecian modificaciones o tachones,
dichos documentos son prácticamente invalidados. En un documento electrónico, donde
por errores de transmisión, fallas en el medio de almacenaje, o donde intencionadamente se modifica el contenido original del documento, éste pierde su
integridad y, por tanto, su autenticidad.
Si un documento es auténtico, entonces es íntegro, pero no viceversa.
Estos problemas, de confidencialidad, integridad, autenticidad y no-repudiación, se
resuelven mediante la tecnología llamada ¨Criptografía¨. La Criptografía es una rama de las Matemáticas que, al aplicarse a mensajes digitales, proporciona las herramientas idóneas para solucionar los problemas antes mencionados.
Al problema de la Confidencialidad se le relaciona comúnmente con técnicas
denominadas de "encripción" y; al problema de la Autenticidad, con técnicas
denominadas de "firma digital", aunque ambos en realidad se reducen a procedimientos
criptográficos de encripción y desencripción.
La Criptografía no es sólo una rama de las Matemáticas, sino una disciplina que puede
reunir otras áreas de la ciencia, sin embargo, es en las Matemáticas en donde la
Criptografía moderna encuentra los fundamentos más trascendentes.
En general, la criptografía es el uso de problemas de difícil solución a aplicaciones
especificas. Por ejemplo, un problema de difícil solución es encontrar los factores de un número que es producto de dos números primos. Cómo podemos aplicar este problema de difícil solución a un caso especifico es un asunto del campo de la criptografía. En particular cómo podemos aplicar este problema de difícil solución al tema de la confidencialidad de información digital es un asunto de la criptografía.
El fundamento y los procedimientos de operación para brindar efectiva solución a un
problema específico constituyen un criptosistema.
El criptoanálisis es la actividad que se encarga de estudiar las debilidades de un
criptosistema y su objetivo es el de encontrar soluciones fáciles al reto implantado en el criptosistema.
Ambas actividades, la criptografía y el criptoanálisis son parte de la disciplina
denominada criptología.
En un sistema en donde la forma tradicional de realizar operaciones comerciales está
siendo reemplazado por métodos electrónicos resulta de suma importancia contar no
sólo con la tecnología, sino con un marco legal que norme la validez de los documentos electrónicos. Es importante que en nuestro País contemos con una base legal que conceda, a los documentos firmados digitalmente, un tratamiento similar a la de los documentos tradicionales firmados autógrafamente. El problema de la confidencialidad no es tampoco un problema estrictamente técnico, también es conveniente estudiar las implicaciones legales del uso de esta tecnología que permite al individuo mantener información confidencial fuera del alcance del Estado, sea esta información licita o ilícita.
Un problema de este tipo requiere del trabajo interdisciplinario de criptógrafos, analistas,especialistas en seguridad de datos, abogados, etc.
Suscribirse a:
Entradas (Atom)
