Firma digital y PKI

Biometria

Demostraciones

Get the Flash Player to see this player.

Support: Simple Video Flash Player Module

Acceso

¿Quién está en línea?

Tenemos 100 invitados conectado

El acrónimo PKI deriva de "Public Key Infrastructure" (Infraestructura de Clave Pública) y es la forma común de referirse a un sistema complejo necesario para la gestión de certificados digitales y aplicaciones de la Firma Digital.

Una PKI bien construida debe proporcionar:

• Autenticidad. La firma digital tendrá la misma validez que la manuscrita.

• Confidencialidad, de la información transmitida entre las partes.

• Integridad. Debe asegurarse la capacidad de detectar si un documento firmado ha
sido manipulado.

• No Repudio, de un documento firmado digitalmente.

Criptografía asimétrica.

La base tecnológica para la Firma Digital está fundamentada principalmente en el uso de ciertos algoritmos criptográficos, con unas características que permiten obtener el nivel de seguridad requerido.

A diferencia de los algoritmos de cifrado simétrico, en los que la información se cifra y descifra con la misma clave, los algoritmos asimétricos basan su funcionamiento en un par de claves (matemáticas dependientes) para cada usuario, con la característica de que la información cifrada con una clave, sólo puede descifrarse con la otra del mismo par.

A cada usuario se debe asignar un par de claves, que se denominan Clave Pública y Clave Privada. Como indican sus nombres, la Clave Pública puede ser conocida por todo el mundo, mientras que la Clave Privada debe ser custodiada por el usuario y nunca hacerse pública.

Si se desea enviar información confidencial a un usuario, se le enviará la información cifrada con su clave pública, de tal forma que sólo ese usuario, que posee la Clave Privada correspondiente, podrá descifrar la información. Por otra parte, si un usuario envía información cifrada con su clave privada, al descifrarla con su clave pública (acción que puede realizar cualquiera que conozca dicha clave), puede asegurarse que ha sido ese usuario quién envió la información, ya que sólo él posee la clave privada.

Firma Digital

Una Firma Digital tiene dos características principales:

•Sólo puede ser generada por el poseedor de la clave privada y puede ser verificada
por cualquiera que conozca la clave pública del firmante.

•Es dependiente del documento a firmar (la Firma Digital de un documento no puede
emplearse para firmar otro documento).

El proceso de generación de una Firma Digital consiste en dos pasos:

•Empleando un algoritmo de "Hashing" se genera un resumen, de tamaño fijo, del
documento.

•Se cifra el Hash empleando la clave privada del usuario.

La Firma Digital es un paquete de información de tamaño fijo, dependiente del documento original y sólo puede generarse por el poseedor de la clave privada.

Deberá transmitirse o almacenarse el documento original y la firma.

Deben realizarse los siguientes pasos:

•A partir del Documento Original, se genera de nuevo el Hash.

•Empleando la Clave Pública del firmante, se descifra la firma digital.

•Se comprueba si ambos "Hashes" coinciden, si es así, la firma es auténtica, si no lo
es, el documento ha sido modificado y/o la firma es falsa.

     •Adicionalmente, debe comprobarse que el Certificado Digital es válido. El Certificado
     puede haber caducado, o puede haber sido revocado por una de las partes (ver más
     adelante).

Certificados Digitales.

Las técnicas anteriormente indicadas, si bien son técnicamente correctas, implican un grave problema a nivel de seguridad: ¿Cómo se puede asegurar que una clave pública pertenece a un usuario dado?. Es necesario poder vincular la clave pública de un usuario con su identidad y para esto surge el concepto de "Certificado Digital", que contiene la siguiente información:

•Identidad del usuario (Nombre, NIF, etc...).

•Clave Pública del usuario.

•Periodo de Validez del Certificado.

•Identidad de la Autoridad Certificadora (entidad que emite el certificado).

     •Firma digital del certificado (los datos anteriores más otras posibles extensiones
     personalizables, p.e. la dirección de correo electrónico), generada por la Autoridad
      Certificadora.

Esta información se encapsula en un formato estándar, definido por la norma ISO X.509 versión 3. Generalmente existirá un repositorio (p.e. directorio LDAP) en el que se publican todos los certificados gestionados por la PKI y puede ser consultado por otros usuarios de la PKI que quieran enviar información cifrada o verificar firmas digitales.

MacroSeguridad ofrece una variada línea de tokens USB (dispositivos criptográficos) para almacenar de una forma seguro estos certificados digitales. Los mismos se utilizan para autenticación robusta, firma de correo electrónico, acceso a VPN’s, etc.