SEGURIDAD INFORMTICA

Funcin resumen, firma digital y certificados digitales

1. Funcin Resumen Tambin se conocen por su nombre en ingles hash; son funciones que asocian a cada documento un nmero y que tienen la propiedad de que conocido el valor numrico, no se puede obtener el documento. Estas son conocidas por el nombre de funciones de un solo sentido.

El tamao del documento en bits podra ser una funcin resumen; tambin podra serlo, por ejemplo, la funcin que a cada documento le asocia su fecha de creacin. Y aunque es verdad que estas dos funciones son funciones resmenes, seran muy pocos tiles en el mundo de la criptografa, porque no cumplen los dos requisitos fundamentales: el primero de ellos, debe ser muy difcil que dos documentos distintos tengan el mismo resumen, y el segundo, que debe ser muy difcil, por no decir imposible, crear un documento a partir del valor de su resumen. Como vemos, si nos fijamos en el primer ejemplo de la funcin tamao en bits de un documento, no cumple ninguno de estos requisitos, pues es fcil que dos documentos tengan el mismo tamao, y an ms fcil es crear un documento que tenga un tamao dado. Esto nos hace pensar que la manera de obtener el valor resumen de un documento emplear algoritmos complejos matemticamente, para que as pueda cumplir las dos especificaciones de la funcin resumen. Algunos de estos algoritmos son el MD5 y el SHA. El aspecto que tiene el valor hash o funcin resumen de un documento utilizando el algoritmo MD5 es 1DE928978E2BF219F76E1C5C2A9CCB1A; como podemos ver, un nmero escrito en hexadecimal de 32 dgitos, o lo que es lo mismo de 128 bits. El resultado de aplicar este algoritmo a un documento siempre genera un nmero de 128 bits. En Linux las contraseas de los usuarios se encuentran en el fichero /etc/passwd o en versiones ms actuales en /etc/shadow, estas contraseas no se encentran en texto claro, utilizan funciones resumen. Ejemplo de funcin resumen con openssl en Linux.: openssl dgst -md5 mifichero.txt 2. Firma digital Cuando estampamos nuestra firma manuscrita en un documento, le estamos dando al mismo veracidad y aceptando nuestra responsabilidad sobre lo que en l se diga. Por ejemplo, cuando firmamos un contrato de trabajo estamos aceptando las condiciones que en este se establecen y por tanto responsabilizndonos de las mismas. Cuando firmamos una declaracin de la renta, estamos admitiendo que ese es el dinero que nos deben devolver o el que (esperamos que no) tenemos que entregar nosotros a la Agencia Tributaria. La firma digital viene a sustituir a la manuscrita en el mundo de la informtica. Es decir, si con la firma manuscrita, no podremos decir que no lo hemos firmado nosotros; por lo tanto, seremos responsables de lo que en l se diga. 1

SEGURIDAD INFORMTICA

Funcin resumen, firma digital y certificados digitales

La descripcin del mecanismo de firma electrnica es el siguiente: Se calcula un valor resumen del documento, utilizando algn algoritmo como el SHA. Este valor resumen se cifra utilizando la clave privada de nuestra pareja de claves pblicaprivada (s, has ledo bien, resulta que no slo se puede cifrar con la clave pblica, tambin algunos algoritmos de cifrado asimtrico permiten cifrar con la clave privada, en especial los que se utilizan para firma digital. Esto permite asegurar que la nica persona que ha podido firmar el documento soy yo, el nico que conoce la clave privada). El resultado de este valor es el que se conoce como firma digital del documento.

Como se deriva del proceso recin explicado, la firma digital nada tiene que ver con el cifrado del documento en s. En ningn momento hemos cifrado el archivo, y es que si pensamos en el proceso de la firma manuscrita sucede que nunca cuando firmamos un papel lo estamos cifrando. Esto no quiere decir que no se pueda, tambin, cifrar y adems firmar el documento. Tambin podemos deducir que dos documentos distintos firmados digitalmente por una misma persona tendrn firmas digitales distintas, pues los valores resumen del documento nunca sern iguales, y por tanto esto diferencia a este tipo de firma electrnica de la firma clsica, pues esta ultima siempre es la misma para la misma persona firmante. Describamos ahora el proceso de comprobacin de una firma digital, que a diferencia de la comprobacin visual de la firma manuscrita, se tendr que realizar mediante algn mtodo informtico. El que se utiliza es el siguiente: La firma se descifra utilizando la clave pblica del firmante (has vuelto a leer bien, pues algunos algoritmos de cifrado asimtrico y en particular los que se emplean para la firma digital descifran con la clave pblica lo que se ha cifrado con la clave privada), y con ello, como se deduce del mtodo de firmado, se obtiene el valor resumen del documento. Se obtiene el valor resumen del documento, utilizando el mismo algoritmo que en el proceso de cifrado, por ejemplo el SHA. Por ltimo se comparan los dos valores resmenes obtenidos en los dos procesos anteriores y si estos coinciden entonces la firma es vlida; si estos son distintos la firma ser nula. 2

SEGURIDAD INFORMTICA

Funcin resumen, firma digital y certificados digitales

Como puedes observar, dado el proceso de comprobacin de la firma, cualquier persona que quisiera comprobar tu firma de un documento necesitar tener nuestra clave pblica.

3. Certificados digitales El certificado digital es un documento que contiene fundamentalmente informacin sobre una persona o entidad, guarda su nombre, su direccin, email, y una clave pblica y una firma digital de un organismo de confianza (autoridad certificadora) que rubrica que la clave pblica que contiene el certificado pertenece al propietario del mismo. Esta ltima firma podramos decir que es la ms importante del certificado acadmico, pues sin ella este no tendra validez. Como podemos ver en el ejemplo, no sirve la firma de cualquier persona, sino que debe ser la del director del centro, por ser la persona en la que se confa par dar validez a dicho certificado. Lo mismo ocurre con la firma digital, que lleva un certificado creado por algn organismo de confianza; en Espaa es la Cada de la Moneda y Timbre la que firma los certificados digitales de los usuarios. Estos certificados nos facilitan muchos de los trmites que debemos realizar con las administraciones pblicas, podemos entregar la declaracin de la renta, consultar nuestra vida laboral y otras muchas gestiones. Todo ello gracias a que el certificado digital establece la identidad del usuario en la red. Al igual que existen multitud de formatos para guardar una imagen (jpg, bmp, png, ) tambin existen multitud de formatos para los archivos que almacenan los certificados digitales. El ms extendido y usado en Internet es el estndar conocido como X.509. El certificado digital almacena los siguientes campos: Versin, nmero de serie. Algoritmo de firma (identifica el algoritmo utilizado para firmar el paquete X.509). 3

SEGURIDAD INFORMTICA

Funcin resumen, firma digital y certificados digitales

4. PKI

La autoridad certificadora (emisor). El periodo de validez (vlido desde y vlido hasta). El propietario de la clave. La clave pblica. La firma digital de la autoridad certificadora. Huella digital. Uso de la clave. Direccin web donde se pueden consultar las prcticas de certificacin.

PKI son las siglas de Public Key Infraestructure (infraestructura de clave pblica), o lo que es lo mismo, todo lo necesario, tanto de hardware como de software, para las comunicaciones seguras mediante el uso de certificados digitales y firmas digitales. De esta manera se alcanzan los cuatro objetivos de la seguridad informtica: autenticidad, confidencialidad, integridad y no repudio. Las PKI estn compuestas de: La autoridad de certificacin, tambin conocida por sus siglas CA (Certificate Authority), es la entidad de confianza encargada de emitir y revocar los certificados digitales. La autoridad del registro, tambin conocida por sus siglas RA (Registration Authority), es la encargada de controlar la generacin de certificados. Primero procesa las peticiones que hacen los usuarios, posteriormente comprueba la identidad de los usuarios exigindoles que les presenten la documentacin oportuna que permita verificar la identidad de los mismos y por ultimo solicita a la autoridad de certificacin la expedicin del certificado digital. Las autoridades de los repositorios donde se almacenan los certificados emitidos y aquellos que han sido revocados por cualquier motivo (haber sido comprometida la firma) y han dejado de ser vlidos. Todo el software necesario para poder utilizar los certificados digitales. Poltica de seguridad definida para las comunicaciones.

En Espaa para realizar numerosos trmites con las administraciones pblicas por Internet nos exigen el uso de un certificado digital que asegure nuestra identidad. Dicho certificado es emitido por la Fbrica de la Moneda y el Timbre, autoridad de certificacin, que haciendo uso de numerosas oficinas de la administracin pblica (tesoreras de la Seguridad Social, oficinas de la Agencia Tributaria) como autoridades de registro verifican que la persona que solicita el certificado es quien dice ser al presentar el documento nacional de identidad en dichas oficinas. 5.- SSL El protocolo de transporte Secure Sockets Layer (SSL), desarrollado por Netscape Communications a principios de los aos 90. El objetivo inicial del diseo del protocolo SSL fue proteger las conexiones entre clientes y servidores web con el protocolo HTTP. Esta proteccin deba permitir al cliente asegurarse que se haba conectado al servidor autntico, y enviarle datos confidenciales, como por ejemplo un nmero de tarjeta de crdito, con la confianza que nadie ms que el servidor sera capaz de ver estos datos.

SEGURIDAD INFORMTICA

Funcin resumen, firma digital y certificados digitales

Cuando se utiliza el protocolo HTTP entre un usuario y un servidor, se establece entre ambos una va de comunicacin virtual implementada sobre un soporte abierto e inseguro como es Internet. Para realizar transacciones seguras sobre este medio, se puede usar el protocolo SSL que se basa en el uso de la certificacin del servidor, que garantiza su caracterstica de servidor seguro, y en el cifrado simtrico de los datos http transferidos. Un usuario accede a la direccin del servidor seguro a travs de la direccin correspondiente. Una vez establecida la conexin, el navegador solicita una conexin segura. Si el servidor a que se accede es un servidor seguro, responder afirmativamente a la solicitud, remitiendo un certificado electrnico de clave pblica. El certificado debe pertenecer a alguna de las autoridades de certificacin registradas en el software del navegador. Tras recibir el certificado, el navegador lo desempaquetar con la clave pblica de la autoridad de certificacin, ya registrada, obteniendo de este modo la clave pblica del servidor integrada en el certificado. En este momento, utilizando el navegador el usuario podr comprobar que el servidor es quien dice ser. Seguidamente, la estacin del usuario genera, utilizando un algoritmo aleatorio, una clave de sesin que se va a utilizar para el cifrado simtrico de la conversacin usuario-servidor, la cifra con la clave pblica del servidor y se la remite a ste. A partir de este momento, tanto el usuario como el servidor pueden establecer una comunicacin segura basada en esta clave simtrica, que ambos, y slo ellos conocen. De hecho, la comunicacin a partir de este momento es usando la clave simtrica, ya que los procesos para usar un cifrado asimtrico o de clave pblica son muy lentos.