parte_42.txt

Full Transcript

Daniel Vicente Perpiñá Castillo 4 TEMARIO OPOSICIONES COIICV | TEMA 39 • Autorización: La entidad tiene acceso a la informac ión requerida. • Integridad: Se tiene la certeza de que la informaci ón es la misma que en origen. • Confidencialidad: Sólo el destinatario y el emisor conocen acerca de esa información. Los medios más habituales de Identificación Digital son: • Las tarjetas RFID (Radio Frequency IDentification): En castellano, Identificación por Radiofrecuencia. Las tarjetas RFID son un sistema d e almacenamiento y recuperación de datos de manera inalámbrica que usa dispositivos de nominados etiquetas o tarjetas RFID. El propósito fundamental de la tecnología RFID es t ransmitir la identidad de un objeto (similar a un número de serie único) mediante ondas de radio. Las tecnologías RFID se agrupan dentro de las denominadas Auto ID (Automati c IDentification, o IDentificación Automática). Las etiquetas RFID (RFID Tag, en inglé s) son unos dispositivos pequeños, similares a una pegatina, que pueden ser adheridas o incorporadas a un producto, un animal o una persona. Contienen antenas para permit irles recibir y responder a peticiones por radiofrecuencia desde un emisor-receptor RFID. Las etiquetas pasivas no necesitan alimentación eléctrica interna, mientras que las ac tivas sí lo requieren. Una de las ventajas del uso de radiofrecuencia (en lugar, por ejemplo, de infrarrojos) es que no se requiere visión directa entre emisor y receptor. • Las tarjetas inteligentes por contacto: Son del mis mo tamaño de una tarjeta de crédito con un microprocesador y una memoria que se pueden usar con un lector de tarjetas para acceder a sistemas informáticos. • DNI-e: Es el documento emitido por la autoridad ofi cial del Estado y que permite identificar a la población tanto de manera personal como virtua l. Tiene el tamaño de una tarjeta de crédito y dispone de un chip de seguridad con infor mación almacenada en su interior, como pueden ser claves privadas y claves públicas d e su propietario. • Sistemas token: Dispositivos que permiten la autent icación y validación de personas o entidades y que se conectan normalmente a través de un puerto como el USB. • Sistemas biométricos: Sistemas de reconocimiento po r huella dactilar, por voz, por firma, ocular, etc. • Certificados Digitales: Certificados emitidos por A utoridades Certificadoras (CA) que avalan la acreditación de su propietario. 1.2. Firma Digital La firma digital es el conjunto de datos en forma e lectrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Servicios, marcos y técnicas de autenticación. Cert ificados. Clave pública. Servicios de directorio
TEMARIO OPOSICIONES COIICV | TEMA 39 5 La firma digital avanzada es la firma electrónica q ue permite identificar al firmante y detectar cualquier cambio posterior de los datos firmados, q ue está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada p or medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.
El concepto de firma digital surgió en 1976 cuando Diffie y Hellman idearon el criptosistema híbrido de clave asimétrica o pública. La función principal de una firma digital es garant izar tanto la identidad del firmante como la integridad del mensaje. Para ello, el firmante gene rará mediante una función “hash”, un “resumen” también llamado “huella digital” del mensaje. Este “resumen” o “huella digital” será cifrado con su clave privada y el resultado es lo que se denomina firma digital, que será adjuntada al mensaje original. La función hash es un algoritmo matemático que perm ite calcular un valor resumen a partir de los datos a ser firmados. Este valor es único para esos datos de entrada. Por ejemplo, si tenemos un texto, el resultado de la función hash es un número que identifica inequívocamente al texto. Éste número es lo que se conoce como “huella digital”. S i se adjunta este número al texto original, el receptor del mensaje podrá comprobar la integridad del mensaje recibido ya que el destinatario podrá generar la misma “huella digital” aplicando l a misma función hash al mensaje original. Si la “huella digital” generada mediante la función hash fuese firmada digitalmente por el emisor, el destinatario podrá, además, comprobar la autoría de l emisor, descifrando la firma digital con la clave pública del firmante, lo que dará como result ado, de nuevo, la “huella digital” o “resumen” que podrá ser comparada con la que el destinatario obtu vo por su cuenta. Por ello, a la firma digital se le confiere la mism a validez jurídico-administrativa que a la firma manuscrita, ya que cumple con los requerimientos de integridad y no repudio. El último paso consistirá en asociar la clave priva da y la clave pública con la identidad de su propietario, evitando así posibles fraudes de ident idad. Llegados a este punto entran en juego los Certificados Digitales y las Autoridades de Certifi cación (CA), que son los mecanismos y organismos encargados de validar la identidad de un a persona o entidad. De este modo quedaría cubierta la autoría y por tanto la autenticación de la información firmada digitalmente. No obstante, este tipo de operaciones de firma elec trónica y de verificación de identidades no están pensadas para que las lleve a cabo el usuario , sino que se utiliza software que automatiza tanto la función de calcular el valor hash como su verificación posterior. El software debe efectuar varias validaciones, entre las cuales se pueden men cionar: • Vigencia del certificado digital. • No revocación del certificado digital. • Inclusión de sello de tiempo. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Daniel Vicente Perpiñá Castillo 6 TEMARIO OPOSICIONES COIICV | TEMA 39 1.3. Firma Electrónica La firma electrónica consiste en la atribución de e fectos legales a la firma digital. La firma electrónica y la firma digital son iguales , pero a efectos legales, con la firma electrónica podemos, entre otras cosas, firmar documentos ofici ales en las oficinas virtuales de las instituciones del Estado. La Firma Electrónica se vincula a un documento para acreditar la identidad del autor, para señalar conformidad (o disconformidad) con el contenido, pa ra indicar que se ha leído o, según el tipo de firma, para garantizar que no se pueda modificar su contenido. La firma electrónica garantiza las propiedades de: • Integridad: Garantiza que nadie ha modificado el me nsaje original. Un sólo bit modificado dará error en la verificación de la firma. • Identidad: Garantiza que la identidad del firmante es real. • No repudio: Garantiza que el mensaje no será repudi ado. Ante terceras partes, el mensaje firmado por el emisor prueba su autoría ya que sólo él mismo conoce de su clave privada. Las firmas digitales y electrónicas están basadas e n el sistema de clave pública. Los países de la Unión Europea se rigen por la Dire ctiva 1999/93/CE de 13 diciembre, por la que se establece un marco comunitario para la firma ele ctrónica. Posteriormente, cada país miembro realiza la transposición de la Directiva dentro de su legislación de la forma que vea más conveniente. En particular, dentro de la legislación española, s e regula la firma electrónica en la Ley 59/2003, de
19 de diciembre, donde define dos tipos de firma el ectrónica en el título I: “Disposiciones generales, artículo 3. Firma electrón ica y documentos firmados electrónicamente” 1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. Por ejemplo, un PIN o una firma electrónica. Este tipo de firma no tiene efectos jurídicos totales. No es suficientemente segura, ya que no se garantiza que haya sido creada por el supuesto firmante; puede tratarse de una firma reproducible por un usu ario malintencionado. 2. La firma electrónica avanzada permite identifica r al firmante y detectar cualquier cambio ulterior de los datos firmados; está vinculada al firmante d e manera única y a los datos a que se refiere, siendo creada por medios que el firmante puede mant ener bajo su exclusivo control. Puede ser Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Servicios, marcos y técnicas de autenticación. Cert ificados. Clave pública. Servicios de directorio
TEMARIO OPOSICIONES COIICV | TEMA 39 7 considerada no suficientemente segura si su algorit mo es débil o si ha habido un compromiso de la clave privada –por lo que la firma no habrá sido re alizada por el firmante–, o si puede ser reproducible (es decir, se pueden realizar ataques por fuerza bruta para crear firmas). Un tipo específico de firma electrónica avanzada es la reco nocida. Una firma electrónica reconocida es una firma elect rónica avanzada basada en un certificado reconocido y generada mediante un dispositivo segur o de creación de firma. Se equipara por completo a la firma manuscrita. 1.3.1. El Formato de la Firma Electrónica Las normas EN 319 122 (CAdES) y EN 319 132 (XAdES) definen los formatos técnicos de la firma electrónica. La primera se basa en el formato CMS u sando sintaxis ASN.1 y la segunda usando sintaxis y formato XML. Bajo estas normas se definen tres modalidades de fi rma: • Firma básica. Incluye el resultado de operación de hash y clave privada, identificando los algoritmos utilizados y el certificado asociado a l a clave privada del firmante. • Firma fechada. A la firma básica se añade un sello de tiempo calculado a partir del hash del documento firmado por una TSA (Time Stamping Au thority). • Firma validada o firma completa. Es la firma avanza da ejecutada con un DSCF (dispositivo seguro de creación de firma) y amparada por un cert ificado reconocido. A la firma fechada se añade información sobre la validez del certifica do procedente de una consulta de CRL o de OCSP realizada a la Autoridad de Certificación. La firma completa libera al receptor de la firma de l problema de ubicar al Prestador de Servicios de Certificación y determinar los procedimientos de va lidación disponibles. 2. Certificados digitales En el año 1976 los matemáticos Whitfield Diffie y M artin Hellman idearon el sistema criptográfico de clave asimétrica, también conocido como Sistema de Clave Pública. El sistema cuenta con dos tipos de claves: • Pública: Es la clave que comparte el propietario de la pareja de claves. Los receptores de dicha clave la utilizarán para cifrar y descifrar. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Daniel Vicente Perpiñá Castillo 8 TEMARIO OPOSICIONES COIICV | TEMA 39 • Privada: Ésta clave solo la posee el emisor, nunca la transmite y sólo es utilizada por él tanto para cifrar como para descifrar. El sistema de clave pública garantiza la confidenci alidad y la identidad del mensaje ya que: • Si el emisor envía un mensaje que sólo deba leerlo el receptor, aquel cifrará el mensaje con la clave pública del receptor. El receptor empl eará su clave privada que sólo él conoce para descifrar el mensaje. Se garantiza la confiden cialidad del mensaje. • Si el emisor envía un mensaje cifrado con su clave privada, el receptor necesita la clave pública del emisor para descifrar el mensaje. De és ta manera el receptor tiene la garantía de que el emisor es quien dice ser. Se garantiza la integridad, autenticación y el no repudio del mensaje. Los certificados electrónicos o digitales están bas ados en el sistema criptográfico de clave pública. Esto quiere decir que, un Certificado Digital const a de una pareja de claves criptográficas, una pública y una privada, creadas con un algoritmo, de forma que aquello que se cifra con una de las claves sólo se puede descifrar con su clave pareja.
Habitualmente, un certificado digital queda almacen ado como un fichero más en el sistema de archivos de un ordenador (esto es, en formato digit al), y contiene información que identifica a una persona de forma unívoca. Los usos más comunes a qu e se destina son la firma electrónica, el cifrado de información confidencial, y la autentica ción electrónica. Los certificados digitales pueden identificar y ofr ecer garantías de seguridad ante organismos públicos y privados que acepten certificados digita les, habiendo tenido que ser emitidos por autoridades certificadoras (AC) como la FNMT. Según normativa española: “Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos d e verificación de firma a un firmante y confirma su identidad.” (Ley 59/2003, de 19 de diciembre, de firma electr ónica). El Certificado Digital es el único medio que permit e garantizar técnica y legalmente la identidad de una persona haciendo uso de medios telemáticos. Se trata de un requisito indispensable para que particulares, empresas e instituciones puedan acced er los unos, y ofrecer los otros, servicios seguros a través de Internet. Además, el certificado digital: • Permite la firma electrónica de documentos. El rece ptor de un documento firmado puede tener la seguridad de que ese documento es el origi nal y no ha sido manipulado, y el autor de la firma electrónica no podrá negar la autoría d e esta firma. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Servicios, marcos y técnicas de autenticación. Cert ificados. Clave pública. Servicios de directorio
TEMARIO OPOSICIONES COIICV | TEMA 39 9 • Permite cifrar la información transmitida en las co municaciones y asegurar la confidencialidad del mismo modo que lo hace una fir ma digital. Solamente el destinatario de la información podrá acceder al contenido de la misma. • Vincula una clave pública a la identidad de una per sona física y/o jurídica. • Agiliza trámites administrativos a través de la red , en cualquier lugar y a cualquier hora. • Es un documento digital que contiene la clave públi ca junto con los datos del titular, todo ello firmado electrónicamente por una Autoridad de Certificación (CA). La información básica que contiene un certificado e s: • La identidad que se certifica, por ejemplo, el núme ro de DNI de un ciudadano. • El período de validez. Es la fecha a partir de la c ual el certificado no será reconocido como válido. • La clave pública que se certifica, que se usará dir ectamente para comprobar documentos firmados. • El nombre del emisor del certificado. En general, s e trata de una Autoridad de Certificación (CA), un organismo que puede expedir certificados d e clave pública. Esta autoridad, además de ser una entidad de confianza da fe de que la clave pública pertenece a la identidad especificada en el certificado. El titular del certificado debe mantener bajo su po der la clave privada, ya que, si ésta es sustraída,
el sustractor podría suplantar la identidad del tit ular en la red. En caso de que la clave privada fuese sustraída, el titular debe revocar el certifi cado digital lo antes posible, de igual modo que se
haría cuando una tarjeta de crédito es sustraída. El formato de los Certificados Digitales está defin ido por el estándar internacional UIT-T X.509. De esta forma, los certificados pueden ser leídos o es critos por aquellas aplicaciones que cumpla con el mencionado estándar. Algunos certificados digitales emitidos por organis mos oficiales españoles son: • Certificados Digitales del DNI electrónico, emitido s por el Cuerpo Nacional de la Policía. Los mecanismos de autenticación y firma digital pro porcionados por el DNI electrónico son tratados ampliamente en el tema 40 de este mismo te mario. • Certificados de Sede Electrónica Administrativa, pe rtenecientes a diferentes órganos, entidades y/o administraciones públicas. Emitidas p or la ACCV en la Comunitat Valenciana. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Daniel Vicente Perpiñá Castillo 10 TEMARIO OPOSICIONES COIICV | TEMA 39 • Certificados de empleado público, emitidos por la A CCV en formato físico (tarjeta criptográfica), sujetos a condiciones de uso, limit aciones y responsabilidades. • Certificados de Firma de código, emitidos por CERES , sirven para garantizar la identidad del autor de una aplicación de software en Windows firmando el código ejecutable. 2.1. Gestión de certificados Para garantizar que las claves son auténticas y per tenecen a los emisores se requiere de un proceso normalizado en el estándar X.509. Éste proc eso lo llevan a cabo las agencias certificadoras, llamada Autoridad de Certificación (CA), empresas que se encargan de verificar y confirmar que el propietario de una clave es quien dice ser. También son las encargadas de distribuir las claves públicas de los usuarios cert ificados. La Autoridad de Certificación (CA) se encarga de em itir los certificados para los titulares tras comprobar la identidad de los titulares, en un acto que requiere de la presencia física del titular y documentos que acrediten la identificación. También puede realizar la emisión del certificado digital a través de una Autoridad de Registro (SA), garanti zando de esta manera que los datos del certificado sean reales. Por su parte, y después de verificar la identidad d el solicitante, la CA firma con su clave privada el
certificado del solicitante, garantizando así la va lidez y la autenticidad del certificado. Al crear el certificado se generan dos claves para el solicitante, la pública y la privada. La CA proporcionará el certificado digital al solicitante y, además, no mantendrá ninguna copia de la clave privada. Esto quiere decir que si el solicitante pi erde el certificado tendrá que solicitar uno nuevo.
En cambio, la clave pública será almacenada por la CA, y estará a disposición de quien la solicite. Todo el proceso de creación de claves sucede en el equipo del solicitante, por lo que la clave privada siempre se almacenará en el equipo solicita nte, lo cual garantiza que nadie más tenga acceso a ella. Además, es imprescindible que todo e l proceso sea llevado a cabo desde el mismo equipo informático, es decir, todos los archivos re lativos al certificado se almacenarán en el disco duro del equipo desde el que se ha iniciado la tram itación. Por ello, no se puede cambiar de equipo o de unidades de almacenamiento conteniendo el sist ema operativo durante el procedimiento de creación de claves. Por otro lado, los certificados poseen fecha de emi sión y de caducidad, y deben ser revocados o renovados. Cuando la fecha de caducidad del certifi cado sea cercana a su expiración, el usuario deberá solicitar su renovación. Si hubiese caducado , deberá solicitar uno nuevo. La revocación del certificado la pueden ejercer tan to el propietario como la CA, ya sea porque los datos del titular son incorrectos o han cambiado, p orque la seguridad ha sido comprometida o bien porque el certificado ha dejado de tener validez. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019