La autenticación es un aspecto fundamental de la seguridad de un sistema. Confirmar la identidad de cualquier usuario que intenta iniciar la sesión en un dominio o tener acceso a los recursos de la red.
En la familia de servidores Windows Server 2003, la autenticación permite el inicio de sesión único en todos los recursos de red. Con un inicio de sesión único, un usuario puede iniciar la sesión en el dominio una vez, mediante una contraseña única o una tarjeta inteligente, y autenticarse en cualquier equipo del dominio.
A lo largo de la historia el ser humano ha desarrollado unos sistemas de seguridad que le permiten comprobar en una comunicación la identidad del interlocutor, a asegurarse de que sólo obtendrá la información el destinatario seleccionado , que además ésta no podrá ser modificada e incluso que ninguna de las dos partes podrá negar el hecho ni cuándo se produjo (ej. fechado de documentos).
En la mayor parte de los casos el sistema de seguridad se basa en la identificación física de la persona, información que se contrasta con el documento de identidad. Actualmente cada vez mayor número de actividades se está trasladando al mundo electrónico a través de Internet.
REALIZADO POR:RODOLFO CAMPA CASTILLO
3.1PROTOCOLOS DE AUTENTICACION.
Un protocolo de autenticación, es un tipo criptográfico que tiene el propósito de autentificar entidades que desean comunicarse de forma segura. Los protocolos de autenticación se negocian inmediatamente después de determinar la calidad del vínculo y antes de negociar el nivel de red. Algunos protocolos de autenticación son:
PAP (Protocolo de autenticación de contraseña):
Es un protocolo de autenticación simple en el que el nombre de usuario y la contraseña se envían al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseñas pueden leerse fácilmente en los paquetes del Protocolo punto a punto intercambiados durante el proceso de autenticación. PAP suele utilizarse únicamente al conectar a servidores de acceso remoto antiguos basados en UNIX que no admiten métodos de autenticación más seguros.
CHAP (Protocolo de autenticación por desafío mutuo):
Es un método de autenticación muy utilizado en el que se envía una representación de la contraseña del usuario, no la propia contraseña. Con CHAP, el servidor de acceso remoto envía un desafío al cliente de acceso remoto. El cliente de acceso remoto utiliza un algoritmo hash (también denominado función hash) para calcular un resultado hash de MessageDigest-5 (MD5) basado en el desafío y un resultado hash calculado con la contraseña del usuario. El cliente de acceso remoto envía el resultado hashMD5 al servidor de acceso remoto.
El servidor de acceso remoto, que también tiene acceso al resultado hash de la contraseña del usuario, realiza el mismo cálculo con el algoritmo hash y compara el resultado con el que envió el cliente. Si los resultados coinciden, las credenciales del cliente de acceso remoto se consideran auténticas. El algoritmo hash proporciona cifrado unidireccional, lo que significa que es sencillo calcular el resultado hash para un bloque de datos, pero resulta matemáticamente imposible determinar el bloque de datos original a partir del resultado hash.
SPAP (Protocolo de autenticación de contraseña de shiva):
Es un protocolo de autenticación simple de contraseña cifrada compatible conservadores de acceso remoto de Shiva. Con SPAP, el cliente de acceso remoto envía una contraseña cifrada al servidor de acceso remoto. SPAP utiliza un algoritmo de cifrado bidireccional. El servidor de acceso remoto
descifra la contraseña y utiliza el formato sin cifrar para autenticar al cliente de acceso remoto.
MS-CHAP y MS-CHAP v2
Protocolo de autenticación por desafío mutuo de Microsoft:
Microsoft creó MS-CHAP para autenticar estaciones de trabajo Windows remotas, integrando la funcionalidad a la que los usuarios de redes LAN están habituados con los algoritmos de has utilizados en las redes Windows. Utiliza un mecanismo de desafío y respuesta para autenticar conexiones sin enviar contraseñas.
El autenticador (el servidor de acceso remoto o el servidor IAS) envía al cliente de acceso remoto un desafío formado por un identificador de sesión y una cadena de desafío arbitraria.
El cliente de acceso remoto envía una respuesta que contiene el nombre de usuario y un cifrado no reversible de la cadena de desafío, el identificador de sesión y la contraseña.
El autenticador comprueba la respuesta y, si es válida, se autentican las credenciales del usuario.La familia Windows Server 2003 admite MS-CHAP v2, que proporcionaautenticación mutua, la generación de claves de cifrado de datos iniciales más seguras para Cifrado punto a punto de Microsoft (MPPE) y distintas claves de cifrado para los datos enviados y los datos recibidos. Para reducir al mínimo el riesgo de que una contraseña se vea comprometida durante su cambio, no se admiten métodos más antiguos que el cambio de contraseña de MS-CHAP.
EAP (Protocolo de autenticación extensible):
Es una extensión del Protocolo punto a punto (PPP) que admite métodos de autenticación arbitrarios que utilizan intercambios de credenciales e información de longitudes arbitrarias. EAP se ha desarrollado como respuesta a la creciente demanda de métodos de autenticación que utilizan dispositivos de seguridad, como las tarjetas inteligentes, tarjetas de identificación y calculadoras de cifrado. Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación, contraseñas de un solo uso, autenticación por clave pública mediante tarjetas inteligentes y certificados.EAP, junto con los tipos de EAP seguros, es un componente tecnológico crítico para las conexiones de red privada virtual (VPN) seguras.
La familia Windows Server 2003 admite dos tipos de EAP: y EAP-MD5 CHAP (equivalente al protocolo de autenticación CHAP) y EAP-TLS (utilizado para autenticación basada en certificados de usuario).EAP-TLS es un método de autenticación mutua, lo que significa que tanto el cliente como el servidor deben demostrar sus identidades uno a otro. Durante el proceso de autenticación, el cliente de acceso remoto envía su certificado de usuario y el servidor de acceso remoto envía su certificado de equipo. Si el certificado no se envía o no es válido, se termina la conexión.
Kerberos:
Es un protocolo de autenticación de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticación están protegidos para evitar eavesdropping y ataques de Replay .Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza. Además, existen extensiones del protocolo para poder utilizar criptografía de clave asimétrica.
REALIZADO POR:RODOLFO CAMPA CASTILLO
3.1.1.CLAVES SECRETAS COMPARTIDAS
Este protocolo se basa en un principio encontrado en muchos protocolos de autenticación. Una parte envía un nuero aleatorio a la otra, quien a continuación lo transforma en una forma especial y después regresa al resultado. Tales protocolos se conocen como de desafio-respuesta. Es posible especificar una clave secreta compartida previamente. Su uso es sencillo y no requiere que el cliente ejecute el protocolo Kerberos V5 ni que tenga un certificado de claves públicas. Ambas partes deben configurar IPSec manualmente para utilizar esta clave compartida previamente.
Importante:
El uso de autenticación por claves compartidas previamente no se recomienda porque es un método de autenticación relativamente débil. La autenticación por claves compartidas previamente crea una clave maestra que es menos segura (y que podría ofrecer una forma de cifrado más débil) que los certificados o el protocolo Kerberos V5. Asimismo, las claves compartidas previamente se almacenan en texto no cifrado. La autenticación por claves compartidas previamente se utiliza por motivos de interoperabilidad y por compatibilidad con los estándares de IPSec. Se recomienda que sólo utilice claves previamente compartidas en pruebas y que, en su lugar, emplee certificados o Kerberos V5 en un entorno de producción.
REALIZADO POR:RODOLFO CAMPA CASTILLO
3.1.2 CENTROS DE DISTRIBUCIÓN DE CLAVES.
Sin duda alguna, el problema central de todo sistema de gestión de claves lo constituyen los procedimientos de distribución de éstas. Esta distribución debe efectuarse previamente a la comunicación. Los requisitos específicos en cuanto a seguridad de esta distribución dependerán de para qué y cómo van a ser utilizadas las claves. Así pues, será necesario garantizar la identidad de su origen, su integridad y, en el caso de claves secretas, su confidencialidad.
Las consideraciones más importantes para un sistema de gestión de claves son el tipo de ataques que lo amenazan y la arquitectura del sistema. Normalmente, es necesario que la distribución de claves se lleve a cabo sobre la misma red de comunicación donde se está transmitiendo la información a proteger. Esta distribución es automática y la transferencia suele iniciarse con la petición de clave por parte de una entidad a un Centro de Distribución de Claves (intercambio centralizado) o a la otra entidad involucrada en la comunicación (intercambio directo). La alternativa es una distribución manual (mediante el empleo de correos seguros, por ejemplo), independiente del canal de comunicación. Esta última alternativa implica un alto coste económico y un tiempo relativamente largo para llevarse a cabo, lo que la hace descartable en la mayoría de las situaciones. La distribución segura de claves sobre canal inseguro requiere protección criptográfica y, por tanto, la presencia de otras claves, conformando una jerarquía de claves. En cierto punto se requerirá protección no criptográfica de algunas claves (llamadas maestras), usadas para intercambiar con los usuarios de forma segura las claves que usarán en su(s) futura(s) comunicación(es). Entre las técnicas y ejemplos no criptográficos podemos citar seguridad física y confianza.
La distribución de claves se lleva siempre a cabo mediante protocolos, es decir, secuencias de pasos de comunicación (transferencia de mensajes) y pasos de computación. Muchas de las propiedades de estos protocolos dependen de la estructura de los mensajes intercambiados y no de los algoritmos criptográficos subyacentes. Por ello, las debilidades de estos protocolos provienen normalmente de errores cometidos en los niveles más altos del diseño.
v Validación de identificación usando un centro de distribución de claves (KDC)
En Diffie-Hellman no hay garantías por el ataque de alguien en medio, efectuado por un extraño o intruso. Otro inconveniente, es que para hablarle a n personas de esta manera se requerían n claves (una verdadera carga).
Un enfoque diferente es introducir un centro de distribución de claves fiables (KDC- Key Distribution Center) Cada usuario tiene una sola clave compartida con el KDC La validación de identificación y la administración de claves de sesión ahora pasan a través del KDC. El protocolo de validación e identificación más simple conocido es "la rana de boca amplia".
Los sellos temporales tA y tT impiden los ataques por repetición.
Las desventajas de este protocolo aparentemente tan sencillo son:
T tiene que abrir una sesión de comunicación con B.
Debe confiarse en que A sepa crear claves aleatorias K criptográficamente seguras.
Hay que mantener relojes seguros sincronizados.
v Autenticación con Kerberos.
Servicio de autenticación (validación de identificación) desarrollado en el Massachusetts Institute of Technology (MIT)
Asume un entorno distribuido y abierto en el que los usuarios desean acceder desde sus estaciones de trabajo a servicios situados en servidores distribuidos a través de la red. Desearíamos que los servidores fueran capaces de restringir el acceso solamente a usuarios autorizados y ser capaces de autenticar peticiones a servicios. En este entorno, no se puede confiar en una estación de trabajo para identificar correctamente el acceso de sus usuarios a los servicios de red.
Mejor que construir elaborados protocolos de autenticación para cada servidor, Kerberos proporciona un servidor de autenticación centralizado cuya función es autenticar usuarios a servidores y servidores a usuarios.
Kerberos es un KDC diseñado por el MIT para autentificar la identidad (autenticar) de los usuarios de una red digital insegura, así como para distribuir las claves secretas de sesión transitorias que permitan a los usuarios de la red establecer comunicaciones seguras. En ocasiones estas claves de sesión transitorias pueden ser de un solo uso (OTP, One Time Password).
Está basado en una variación de Needham-Schroeder, con la condición que requiere relojes bien sincronizados. Kerberos
Actúa como un árbitro en quien los usuarios confían
Utiliza con cada usuario una clave secreta diferente, intercambiada con Kerberos a través de un canal seguro. El conocimiento de dicha clave se utiliza como prueba de identidad del usuario.
La autentificación se produce entre cliente-servidor y servidor-cliente.
En estas condiciones como Kerberos conoce las claves secretas de todos los usuarios, puede demostrar a cualquiera de ellos la autenticidad de la identidad de otro.
Kerberos es el protocolo usado por Windows para la autenticación entre cliente y servidor, así de fáci
Tiene dos tipos de nombres principales o Principal Names relativos a los dos objetos principales del Directorio Activo, usuarios y máquinas, User Principal Names (UPN) y Service Principal Names (SPN). Los dos deben ser UNICOS en todo el bosque.
Para poder investigar un posible error en el que Kerberos sea nuestro protagonista, es necesario entender cómo funciona el proceso de autenticación y conocer así los roles que entran en juego en este proceso.
KDC o Key Distribution Center es un servicio que solo debe correr en un controlador de dominio o DC y es el responsable de autenticar a los usuarios. KDC se compone de:
Authentication Server (AS), que verifica la identidad y proporciona el ticket (TGT) correspondiente si efectivamente la autenticación fue exitosa.
Ticket Granting Server (TGS), que emite el ticket cuando se realiza una petición de conexión.
REALIZADOS POR: LUCIA HERNANDEZ HERNANDEZ.
3.1.3 CLAVES PÚBLICAS.
El principio del cifrado asimétrico (también conocido como cifrado con clave pública) apareció en 1976, con la publicación de un trabajo sobre criptografía por Whitfield Diffie y Martin Hellman.
Una clave pública esencialmente resuelve el problema de distribución de claves simétricas, que hasta esos años era uno de los principales problemas en la criptografía. De manera creativa es también inventado el concepto de firma digital, que resuelve el problema de autenticidad de una entidad. En la actualidad se cuenta con esquemas: de cifrado, de firma digital y de intercambio de claves, entre sus principales usos.
En un criptosistema asimétrico (o criptosistema de clave pública), las claves se dan en pares:
Una clave pública para el cifrado;
Una clave secreta para el descifrado.
En un sistema de cifrado con clave pública, los usuarios eligen una clave aleatoria que sólo ellos conocen (ésta es la clave privada). A partir de esta clave, automáticamente se deduce un algoritmo (la clave pública). Los usuarios intercambian esta clave pública mediante un canal no seguro.
Cuando un usuario desea enviar un mensaje a otro usuario, sólo debe cifrar el mensaje que desea enviar utilizando la clave pública del receptor (que puede encontrar, por ejemplo, en un servidor de claves como un directorio LDAP). El receptor podrá descifrar el mensaje con su clave privada (que sólo él conoce).
Este sistema se basa en una función que es fácil de calcular en una dirección (llamada función trapdoor de único sentido) y que, matemáticamente, resulta muy difícil de invertir sin la clave privada (llamada trapdoor).
Para ilustrarlo con un ejemplo, sería como si un usuario creara de forma aleatoria una pequeña llave metálica (la clave privada) y luego produjera una gran cantidad de candados (claves públicas) que guarda en un casillero al que puede acceder cualquiera (el casillero sería el canal no seguro). Para enviarle un documento, cada usuario puede usar un candado (abierto), cerrar con este candado una carpeta que contiene el documento y enviar la carpeta al dueño de la clave pública (el dueño del candado).
Sólo el dueño podrá abrir la carpeta con su clave privada.
VENTAJAS Y DESVENTAJAS
El problema de la comunicación de la clave de descifrado ya no existe, ya que las claves públicas se pueden enviar libremente. Por lo tanto, el cifrado con clave pública permite a las personas intercambiar mensajes de cifrado sin tener que compartir un secreto.
Por otro lado, el problema consiste en asegurarse de que la clave pública que se obtiene pertenece realmente a la persona a la que desea enviar la información cifrada.
LA SEGURIDAD DE UN SISTEMA DE LA CCP
La seguridad de un sistema criptográfico de clave pública es sin duda la primera preocupación, los elementos que la componen deben de ser elegidos de la manera más cuidadosa posible ya que de ello depende su "seguridad", (casi es siempre satisfecho si tomamos en cuenta el estándar más actualizado) pero ningún sistema criptográfico puede decirse totalmente seguro, en el sentido de que no pueda ser atacado de alguna manera nueva y novedosa.
En términos más formales en la actualidad se esta discutiendo mucho sobre una definición de seguridad en los sistemas de clave pública, por el momento existen dos corrientes, una de ellas afirma que todo esquema de clave pública puede y debe de probar su seguridad vía los métodos formales que existen para ello u otros nuevos. La otra corriente no menos importante menciona que dicha seguridad formal no aporta mucho a la seguridad "real", es decir que en la práctica no se ve reflejado dicha seguridad.
De manera sencilla la seguridad de un sistema criptográfico ha ido modificándose, desde la primera noción, un sistema criptográfico era seguro si su función primitiva era de un solo sentido. Posteriormente se modificó esta definición a: Dada una clave pública y un mensaje cifrado (llamado ciphertext), entonces el sistema de clave pública es seguro si no se puede derivar el texto ordinario o la clave secreta correspondiente. Una tercera y más fuerte definición de seguridad es: El sistema de clave pública es seguro si no puede derivarse "cualquier" información de los plaintexts o de la clave a partir de toda la información posible que pueda tenerse y que el atacante pueda incluso acomodar para sus propósitos, incluyendo ciphertexts, plaintexts, parte de la clave, u otros parámetros del sistema como IV (vectores de inicialización).
En la actualidad la seguridad de un sistema de clave pública no se limita al propio sistema sino también al modo de operación del algoritmo, del esquema, del protocolo, del dispositivo que lo aplica, etc.
REALIZADOS POR: LUCIA HERNANDEZ HERNANDEZ.
3.1.4 EJEMPLOS DE PROTOCOLOS DE AUTENTICACIÓN.
v DIFFIE-HELLMAN.
El protocolo Diffie-Hellman (debido a Whitfield Diffie y Martin Hellman) permite el intercambio secreto de claves entre dos partes que no han tenido contacto previo, utilizando un canal inseguro, y de manera anónima (no autenticada).Se emplea generalmente como medio para acordar claves simétricas que serán empleadas para el cifrado de una sesión. Siendo no autenticado, sin embargo provee las bases para varios protocolos autenticados. Su seguridad radica en la extrema dificultad (conjeturada, no demostrada) de calcular logaritmos discretos en un campo finito.
v KERBEOS.
Kerberos es un protocolo de autenticación de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticación están protegidos para evitar eavesdropping (Escuchar secretamente) y ataques de Replay.Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza. Además, existen extensiones del protocolo para poder utilizar criptografía de clave asimétrica. En resumen el funcionamiento es el siguiente: el cliente se autentica a sí mismo contra el AS, así demuestra al TGS que está autorizado para recibir un ticket deservicio (y lo recibe) y ya puede demostrar al SS que ha sido aprobado para hacer uso del servicio kerberizado.
ELABORADOS POR: HECTOR HERNANDEZ REYES.
3.2 FIRMAS DIGITALES.
Las firmas digitales son una de estas cosas de las que todo el mundo ha oído hablar pero muchos no saben exactamente que son.
La
criptografía es tan antigua como la escritura. Se dice que las primeras
civilizaciones que usaron la criptografía fueron la egipcia, la
Mesopotámica, la India y la China. Pero a quien se atribuye el primer
método de encriptado con su debida documentación es al general romano
Julio César, quien creó un sistema simple de sustitución de letras, que
consistía en escribir el documento codificado con la tercera letra que
siguiera a la que realmente correspondía. La A era sustituida por la D,
la B por la E y así sucesivamente.
La
seguridad es uno de los elementos clave en el desarrollo positivo de
las redes de información mundial y particularmente en el comercio
electrónico, ésta genera confianza, y hace que los usuarios al depositar
sus datos en la red, estén seguros de que no serán alterados ni
desviados a usuarios no autorizados.
La
firma digital es la transmisión de mensajes telemáticos, un método
criptográfico· que asegura su integridad así como la autenticidad del
remitente.
v FUNCIONAMIENTO.
La firma digital de un documento no es un passwords, es el resultado de aplicar cierto algoritmo
matemático, denominado función hash· , al contenido. Esta función
asocia un valor dentro de un conjunto finito (generalmente los números
naturales) a su entrada. Cuando la entrada es un documento, el resultado
de la función es un número que identifica casi unívocamente al texto.
Si se adjunta este número al texto, el destinatario puede aplicar de
nuevo la función y comprobar su resultado con el que ha recibido.
v El proceso de firma es el siguiente:
· El usuario prepara el mensaje a enviar.
· El usuario utiliza una función hash segura para producir un resumen del mensaje.
· El remitente encripta el resumen con su clave privada. La clave privada es aplicada al texto del resumen usando un algoritmo matemático. La firma digital consiste en la encriptación del resumen.
· El remitente une su firma digital a los datos.
·
El remitente envía electrónicamente la firma digital y el
mensaje original al destinatario. El mensaje puede estar encriptado,
pero esto es independiente del proceso de firma.
·
El destinatario usa la clave pública del remitente para
verificar la firma digital, es decir para desencriptar el resumen
adosado al mensaje.
· El destinatario realiza un resumen del mensaje utilizando la misma función resumen segura.
·
El destinatario compara los dos resúmenes. Si los dos son
exactamente iguales el destinatario sabe que los datos no han sido
alterados desde que fueron firmados.
v Aplicaciones.
· Correo seguro.
· Mensajes con autenticidad asegurada.
· Contratos comerciales electrónicos.
· Factura _ electrónica.
· Desmaterialización de documentos.
· Transacciones comerciales electrónicas.
· Invitación electrónica.
· Dinero electrónico.
· Notificaciones judiciales electrónicas.
· Voto electrónico.
· Decretos ejecutivos (gobierno).
· Créditos de seguridad social.
· Contratación pública.
· Sellado de tiempo.
ELABORADOS POR: HECTOR HERNANDEZ REYES.
3.2.1 FIRMAS DIGITALES DE CLAVE SIMÉTRICA
Más
allá del acceso a la información y servicios de un usuario final, la
integración de Internet en los procesos de negocio de una compañía
necesita más que nunca de un grado de fiabilidad y confianza en el
medio. Sólo cuando ese grado de confianza se alcanza y se mantiene,
podrá disminuirse ese gran inhibidor de desarrollo digital que es la
sensación de inseguridad.
El
enorme desarrollo de las transacciones online implica necesariamente
abordar el tema de la seguridad, tanto desde el punto de vista técnico
como jurídico. Pero, ¿qué se entiende por seguridad en Internet?
Básicamente se trata de implementar los mecanismos necesarios para que
cuando se realice una operación a través de un medio electrónico, se
asegure la integridad del contenido y se autentifique al remitente y al
receptor.
La
adopción de protocolos de seguridad, la aparición de nuevas formas de
pago, así como las fuertes inversiones que están realizando las
empresas, nacen de una necesidad de demostrar que las transacciones
online son cada vez más fiables.
Esta
inseguridad es el talón de Aquiles de los negocios online y el
principal impedimento para su desarrollo. Una solución es el uso de la
firma digital. Sus utilidades son infinitas, desde realizar una compra
online, hasta hacer la declaración de la renta, pasando por
transacciones bancarias, facturas electrónicas o rellenar documentos
sanitarios.
La
firma digital está compuesta por dos claves -una privada y otra
pública-, que permiten identificar a la persona que ha firmado el
documento y, por tanto, asegura que ha sido él y no otro el autor del
texto. Como la firma ha sido creada por medio de un dato que sólo el
firmante conoce (la clave privada), se evita así la posibilidad de
suplantar su identidad.
REALIZADO POR: OLGA LIDIA LÓPEZ JIMÉNEZ
3.2.2 FIRMAS DIGITALES DE LLAVE PÚBLICA
En el mundo de la red, la industria mueve hacia las autoridades de certificación de llaves públicas para proveer infraestructura de autenticación. El amplio alcance del Internet requiere igualmente de un amplio alcance de la infraestructura para apoyar el uso de la tecnología de la llave pública sobre el Internet.
Es importante tener en cuenta la infraestructura de llave pública. Para que la autenticación sea provechosa, se debe comprometer un par de llaves públicas a un certificado para que de esta manera se le dé a la persona o identidad de la corporación. Una firma digital no es tan robusta como una firma física. Una firma física es legítimamente única. Sobre una red de computadora, su identidad se puede verificar, emitiéndose un par de llaves únicas que puede ser comprometida a su identidad.
Esta infraestructura tiene por objetivo permitir a alguien de ser autenticado en línea. La Autoridad de Certificación debe verificar la identidad del solicitante, emitir el certificado y administrar la condición de ese certificado sobre el período de autorización. Alguien debe ser capaz de verificar el certificado emitido y ser capaz de verificar su condición actual.
Para explicar mejor la necesidad de infraestructura, podemos citar como ejemplo los bancos que actúan como un tipo de autoridad de certificación, en donde los clientes establecen relaciones con bancos locales. Esta relación comienza con abrir una cuenta de algún tipo: préstamo, cuenta corriente, cuenta de ahorros, etc. Al cliente se le proporciona un número de cuenta que los identifica con su banco. Cuando el cliente emite instrucciones para pagar a otra persona fuera de una cuenta, el banco ejecuta esa instrucción.
En el mundo de la red se autentica por medio de certificados y firmas digitales. Por ejemplo, el banco emite al poseedor de cuenta un certificado por medio de su Autoridad de Certificación. El poseedor de cuenta envía una solicitud de carta de crédito a su banco, firmando el pedido. Luego que se ha estudiado la solicitud, el banco envía una carta de crédito firmada digitalmente al banco del vendedor, garantizando el pago sobre el recibo de las mercaderías. El banco del vendedor puede verificar la identidad tanto del banco como del comprador, usando sus certificados.
Servicio de Administración Tributaria:
¿Qué es y para qué sirve la Firma Electrónica Avanzada?
La Firma Electrónica Avanzada "Fiel" es un conjunto de datos que se adjuntan a un mensaje electrónico, cuyo propósito es identificar al emisor del mensaje como autor legítimo de éste, tal y como si se tratara de una firma autógrafa.
Por sus características, la Fiel brinda seguridad a las transacciones electrónicas de los contribuyentes, con su uso se puede identificar al autor del mensaje y verificar no haya sido modificado.
Su diseño se basa en estándares internacionales de infraestructura de claves públicas (o PKI por sus siglas en inglés: Public Key Infrastructure) en donde se utilizan dos claves o llaves para el envío de mensajes:
· La "llave o clave privada" que únicamente es conocida por el titular de la Fiel, que sirve para cifrar datos; y
· La "llave o clave pública", disponible en Internet para consulta de todos los usuarios de servicios electrónicos, con la que se descifran datos. En términos computacionales es imposible descifrar un mensaje utilizando una llave que no corresponda.
· En general, el cifrado asimétrico se emplea para cifrar las claves de sesión utilizadas para cifrar el documento, de modo que puedan ser transmitidas sin peligro a través de la Red junto con el documento cifrado, para que en recepción éste pueda ser descifrado. La clave de sesión se cifra con la clave pública del destinatario del mensaje, que aparecerá normalmente en una libreta de claves públicas. E cifrado asimétrico se emplea también para firmar documentos y autenticar entidades, como se describe a continuación. En principio, bastaría con cifrar un documento con la clave privada para obtener una firma digital segura, puesto que nadie excepto el poseedor de la clave privada puede hacerlo. Posteriormente, cualquier persona podría descifrarlo con su clave pública, demostrándose así la identidad del firmante.
REALIZADO POR: OLGA LIDIA LÓPEZ JIMÉNEZ
No hay comentarios:
Publicar un comentario