Certificados Digitales y Navegación segura

MsC: Lic. Sandra Blain Escalona

ETECSA - DVSI

Panorámica Internacional sobre fuga de datos

Firma Digital

Certificados Digitales

PKI (Public Key Infrastructure)

Recomendaciones

Conclusiones

TEMATICAS

Pag.2Fecha: 4/05/2018 ETECSA - DVSI

Actualidad. Panorámica sobre fuga de datos

Poder de la tecnología Nuevo riesgos y amenazas Fuga de datos: origen

interno accidental o maliciosamente.

Alto impacto negativo entorno empresarial

• Pérdida financiera• Daño a la marca

• Responsabilidad legal• Interrupción de la continuidad

del negocio

Pag.3Fecha: 4/05/2018 ETECSA - DVSI

Actualidad. Panorámica sobre fuga de datos

Pag.5 Fecha: 4/05/2018 ETECSA - DVSI

Pag. 5Fecha: 4/05/2018 ETECSA - DVSI

Actualidad. Panorámica sobre fuga de datos

Mas de 390 millones de registros personales comprometidos entre 2015-2017

Pag. 6Fecha: 4/05/2018 ETECSA - DVSI

Actualidad. Panorámica sobre fuga de datos

Algunas de las principales amenazas para la protección de lainformación provienen de:

• Anexos a mensajes enviados por correo electrónico infectados convirus. El intercambio de códigos de virus.

• Firewalls o cortafuegos mal configurados.• La alteración de las páginas web. El "repudio" y las estafas

asociadas al comercio electrónico.• La suplantación de identidades.• Las vulnerabilidades de los sistemas operativos y la

desactualización de los "parches" concernientes a suseguridad.

• La rotura de contraseñas.• El robo y la destrucción de información.• El hecho de que herramientas de hacking y cracking se ofrezcan

como freeware.

Pag. 7Fecha: 4/05/2018 ETECSA - DVSI

Actualidad. Panorámica sobre fuga de datosGarantías Pilares básicos de la seguridad:

ConfidencialidadNo RepudioIntegridadAutenticidad

Garantiza autenticidad de ambas partes,integridad del mensaje o transacción,confidencialidad y No repudio; mediante elempleo de criptosistemas asimétricos (llavespúblicas y privadas).

Acredita la identidad del propietario de lallave pública asociada a la llave privada queposee.

Certifica las identidades de los titulares delos certificados y gestiona los mismos.

Pag. 8Fecha: 4/05/2018 ETECSA - DVSI

Pag. 9Fecha: 4/05/2018 ETECSA - DVSI

Qué es la firma digital?

FIRMA ELECTRONICA

NO ES

FIRMA DIGITAL

• Verificar origen del mensaje (emisor)• Asegurar que el documento firmado no ha sido

alterado (igual al original) Integridad• Ofrece validez legal a los documentos firmados

Conjunto de datos añadidos a un documento quevinculan al firmante con dicho documento electrónico.

Pag. 10Fecha: 4/05/2018 ETECSA - DVSI

Private Public

Funciones Hash (resumen)(INTEGRIDAD)

Criptosistemas Asimétricos(IDENTIDAD)

Private

Public

Public

Entrada Valor Hash

“Esto es una prueba” e99008846853ff3b725c27315

Esto es una prueba dd21d99a468f3bb52a136ef5b

Qué es la firma digital?

FIRMA DIGITAL

Pag. 11Fecha: 4/05/2018 ETECSA - DVSI

Firmado de documento emisor

Resumen cifrado con clave priv. del emisor

Resumen mensaje

Firma digital

Función hash

Textoclaro

Firma digital

Texto claro

Priv.

Publ..

Cifrado con clave publ. destinatario

1

2

3

4

5

5

Firma digital - Funcionamiento

Textoclaro

Función hash

Resumen mensaje obtenido (Rob)

Descifrado con clave publ. del emisor

Resumen mensaje descifrado (Rdc)

SI NOFirma valida

Firma NO

valida

Verificado de la firma destinatario

Descifrado con clave priv. destinatario

Priv.

Publ..

?

1

1

2

3

4

Rob = Rdc

Pag. 12Fecha: 4/05/2018 ETECSA - DVSI

Firma digital - Problemas

Firma digital NO ES TOTALMENTE SEGURA

Pag.13Fecha: 4/05/2018 ETECSA - DVSI

Pag. 14Fecha: 4/05/2018 ETECSA - DVSI

Tarjetas de identificación electrónica emitidas por compañías deconfianza llamada Autoridad de Certificación (AC) (terceras partesconfiables).

Identifican exclusivamente la identidad de una entidad (personanatural, jurídica, empresa, servidor, sitio web, incluso un objetoconectado a internet (IoT)) como propietario de su respectiva llavepública y poseedor de la privada asociada.

Proporcionan la confianza necesaria sobre a quien le pertenece lallave pública (identidad), es decir, que la llave pública pertenecerealmente al emisor del mensaje y que dicha entidad posee lacorrespondiente clave privada.

Qué son los certificados digitales?

Certificados Digitales de llaves Públicas

Pag. 15Fecha: 4/05/2018 ETECSA - DVSI

Certificados digitales – Tipos

Personales

Persona Jurídica

Servidor Seguro

para realizar on-line trámites

administrativos públicos y bancarios.

para que una empresa pueda realizar

trámites on-line con otras empresas y

administrativos.

para demostrar que una empresa es titular

de una web y poder realizar operaciones

seguras con ella.

Certificados Digitales de llaves Públicas

Usos

Archivo almacenado en tu PC

Soporte físico (tarjeta con chip criptográfico)

Formatos

Correo Seguro (firmado y cifrado)

Seguridad a nivel de red (IPSEc)

Seguridad a nivel de transporte (SSL/TLS)

Sistemas de Pago (SET)

Autenticar usuarios en Internet

Certificados Digitales de llaves Públicas

Pag.16Fecha: 4/05/2018 ETECSA - DVSI

Pag.17Fecha: 4/05/2018 ETECSA - DVSI

Campos de un certificado - Ejemplos

Algoritmo empleado para

firmar el certificado

Identifica la AC que ha firmado

y emitido el certificado.

Sujeto o entidad para el cual se ha emitido

el certificado

Algoritmo utilizado para crear la llave

pública y la propia llave

pública

Firma digital de la AC,

algoritmo de la firma

digital y hash de la firma

Grupo 1

Grupo 2

Grupo 3

Sección DATOSque son validados por la AC

Sección Firma Digital AC

Certificados Digitales de llaves Públicas

Pag. 18Fecha: 4/05/2018 ETECSA - DVSI

Firmado de documento en el emisor

Resumen cifrado con clave priv. del emisor

Resumen mensaje

Firma digital

Función hash

Firma digital

Texto claro

Priv

Publ..

Cifrado con clave publ. destinatario extraida del certificado

1

2

3

4

5

5

Validación de identidad con certificados

Descifrado con clave priv. destinatario

Textoclaro

Función hash

Resumen mensaje obtenido (Rob)

Descifrado con clave publ. del emisor extraida del certificado

Resumen mensaje descifrado (Rdc)

SI NOFirma valida

Firma NO

valida

Verificado de la firma en el destinatario

Priv.

Publ..

?

1

1

2

3

4

Rob = Rdc

Textoclaro

Pag.19Fecha: 4/05/2018 ETECSA - DVSI

Cómo funcionan los certificados en el proceso de validación de identidad ?

Ejemplo Acceso a servidor seguro (web de Wikipedia)

Certificados Digitales de llaves Públicas

Uso en sitios web

Deben coincidir

Emitido para:

Emitido por:

Pag. 20Fecha: 4/05/2018 ETECSA - DVSI

Certificados Digitales de llaves PúblicasCómo funcionan los certificados en el proceso de validación de identidad ?

Ejemplo Acceso a servidor seguro (web de ITU)

Pag. 21Fecha: 4/05/2018 ETECSA - DVSI

Certificados Digitales de llaves PúblicasCómo funcionan los certificados en el proceso de validación de identidad ?

Ejemplo Acceso a servidor seguro (web de recargas a Cuba)

Pag. 22Fecha: 4/05/2018 ETECSA - DVSI

Cómo funcionan los certificados en el proceso de validación de identidad ?Ejemplo Acceso a servidor seguro

Certificados Digitales de llaves Públicas

Pag. 24Fecha: 4/05/2018 ETECSA - DVSI

Certificados Digitales de llaves Públicas

Ejemplo Acceso a servidor NO seguro

Pag. 25Fecha: 4/05/2018 ETECSA - DVSI

Certificados Digitales de llaves Públicas

Ejemplo Acceso a servidor NO seguro

“Cuando cada cosa tiene una identidad todo es mas seguro”

Pag. 26Fecha: 4/05/2018 ETECSA - DVSI

Pag. 27Fecha: 4/05/2018 ETECSA - DVSI

Definición

Servidores ordenadores equipamiento de

seguridad

Algoritmos generación llaves

Tamaño llaves Modelo confianza Tiempo publicación

CRL Procedimientos de

seguridad

Sistemas para múltiples servicios para clientes y las aplicaciones

Servicios básicos de seguridad

Servicios adicionales Proveer identidades

robustas para entornos empresariales, móviles e IoT

HARDWARE SOFTWARE

SERVICIOSPOLITICAS

PKI

PKIPKI

PKIX (Public Key Infrastructure X.509)

Pag. 28Fecha: 4/05/2018 ETECSA - DVSI

PKIX (Public Key Infrastructure X.509)

Persona, organización, Aplicación, servidor,VPN, Móvil, SmartTV….

COMPONENTES

Pag. 29Fecha: 4/05/2018 ETECSA - DVSI

PKIX (Public Key Infrastructure X.509)

RESUMEN

Antes de usar un certificado tener en cuenta:

1. Quién ha sido la AC que lo emitió (Issued by)

2. Que el mismo no este expirado

3. Que el campo Common Name del “Emitido para:” (Issued To)

coincide con el terminal al que se esta accediendo (si es una

página web)

Pag.30Fecha: 4/05/2018 ETECSA - DVSI

PKIX (Public Key Infrastructure X.509)

PKI(Estandarizanel uso de los certificadosy Gestionanlos mismos)

CertificadosDigitales

(Garantiza el vínculoentre una entidad y su

par de claves)

Firmas Digitales(Autenticidad+Integridad+

No repudio)

Criptosistemas asimétricos

(cifrado / descifrado)

RESUMEN

Recomendaciones para una navegacion segura

• Verificar si la web es segura (https) antes de realizartransacciones económicas y banca on-line. También al acceder aservicios de correo.

• Mantener actualizados los navegadores.

• Comprobar los certificados de las páginas web que visitamos. Leerlas advertencias.

• No enviar datos personales a páginas web no seguras, es decir,que no muestren un certificado válido.

• Revisión de los campos críticos de un certificado.

Pag. 31Fecha: 4/05/2018 ETECSA - DVSI

Pag. 32Fecha: 4/05/2018 ETECSA - DVSI

Los certificados digitales tienen la misma validez que uncertificado manuscrito.

El empleo de certificados digitales ahorran tiempo, papel ypermite poder realizar diversos trámites on-line en cualquiermomento (24x7).

Los certificados digitales sólo son útiles si existe alguna AutoridadCertificadora (Certification Authority o CA) que los valide, ya quesi uno se certifica a sí mismo no hay ninguna garantía de que suidentidad sea la que anuncia, y por lo tanto, no debe seraceptada por un tercero que no lo conozca.

Los certificados digitales permiten o deniegan explícitamente larealización de una acción u otra.

Las PKI es la “tecnología de punta” actualmente empleada quegarantiza, de forma segura, la identidad de cada “cosa”conectada a internet.

CONCLUSIONES