Certificados Digitales y Navegación segura

Transcripción

1 Certificados Digitales y Navegación segura MsC: Lic. Sandra Blain Escalona

2 TEMATICAS Panorámica Internacional sobre fuga de datos Firma Digital Certificados Digitales PKI (Public Key Infrastructure) Recomendaciones Conclusiones Pag.2

3 Actualidad. Panorámica sobre fuga de datos Poder de la tecnología Nuevo riesgos y amenazas Fuga de datos: origen interno accidental o maliciosamente. Alto impacto negativo entorno empresarial Pérdida financiera Daño a la marca Responsabilidad legal Interrupción de la continuidad del negocio Pag.3

4 Actualidad. Panorámica sobre fuga de datos Pag.5

5 Actualidad. Panorámica sobre fuga de datos Mas de 390 millones de registros personales comprometidos entre Pag. 5

6 Actualidad. Panorámica sobre fuga de datos Algunas de las principales amenazas para la protección de la información provienen de: Anexos a mensajes enviados por correo electrónico infectados con virus. El intercambio de códigos de virus. Firewalls o cortafuegos mal configurados. La alteración de las páginas web. El "repudio" y las estafas asociadas al comercio electrónico. La suplantación de identidades. Las vulnerabilidades de los sistemas operativos y la desactualización de los "parches" concernientes a su seguridad. La rotura de contraseñas. El robo y la destrucción de información. El hecho de que herramientas de hacking y cracking se ofrezcan como freeware. Pag. 6

7 Actualidad. Panorámica sobre fuga de datos Garantías Pilares básicos de la seguridad: Autenticidad Garantiza autenticidad de ambas partes, integridad del mensaje Confidencialio transacción, Integridad No Repudio confidencialidad y No repudio; dad mediante el empleo de criptosistemas asimétricos (llaves públicas y privadas). Acredita la identidad del propietario de la llave pública asociada a la llave privada que posee. Certifica las identidades de los titulares de los certificados y gestiona los mismos. Pag. 7

8 Pag. 8

9 Qué es la firma digital? FIRMA ELECTRONICA NO ES FIRMA DIGITAL Conjunto de datos añadidos a un documento que vinculan al firmante con dicho documento electrónico. Verificar origen del mensaje (emisor) Asegurar que el documento firmado no ha sido alterado (igual al original) Integridad Ofrece validez legal a los documentos firmados Pag. 9

10 Qué es la firma digital? Criptosistemas Asimétricos (IDENTIDAD) Funciones Hash (resumen) (INTEGRIDAD) FIRMA DIGITAL Public Private Public Public Private Entrada Esto es una prueba Esto es una prueba Valor Hash e ff3b725c27315 dd21d99a468f3bb52a136ef5b Pag. 10

11 Firma digital - Funcionamiento Firmado de documento emisor 5 Verificado de la firma destinatario Texto claro 1 Resumen mensaje 2 3 Función hash Texto claro Firma digital Cifrado con clave publ. destinatario 1 Texto claro 2 Función hash Resumen mensaje obtenido (Rob) Resumen cifrado con clave priv. del emisor 4 Descifrado con clave priv. destinatario 1 Firma valida SI? Rob = Rdc 4 NO Firma NO valida Priv. Publ.. Firma digital 5 Descifrado con clave publ. del emisor 3 Resumen mensaje descifrado (Rdc) Priv. Publ.. Pag. 11

12 Firma digital - Problemas Firma digital NO ES TOTALMENTE SEGURA Pag. 12

13 Pag.13

14 Certificados Digitales de llaves Públicas Qué son los certificados digitales? Tarjetas de identificación electrónica emitidas por compañías de confianza llamada Autoridad de Certificación (AC) (terceras partes confiables). Identifican exclusivamente la identidad de una entidad (persona natural, jurídica, empresa, servidor, sitio web, incluso un objeto conectado a internet (IoT)) como propietario de su respectiva llave pública y poseedor de la privada asociada. Proporcionan la confianza necesaria sobre a quien le pertenece la llave pública (identidad), es decir, que la llave pública pertenece realmente al emisor del mensaje y que dicha entidad posee la correspondiente clave privada. Pag. 14

15 Certificados Digitales de llaves Públicas Certificados digitales Tipos Personales para realizar on-line trámites administrativos públicos y bancarios. para que una empresa pueda realizar Persona Jurídica trámites on-line con otras empresas y administrativos. para demostrar que una empresa es titular Servidor Seguro de una web y poder realizar operaciones seguras con ella. Pag. 15

16 Certificados Digitales de llaves Públicas Usos Formatos Correo Seguro (firmado y cifrado) Seguridad a nivel de red (IPSEc) Seguridad a nivel de transporte (SSL/TLS) Sistemas de Pago (SET) Archivo almacenado en tu PC Soporte físico (tarjeta con chip criptográfico) Autenticar usuarios en Internet Pag.16

17 Certificados Digitales de llaves Públicas Campos de un certificado - Ejemplos Sección DATOS que son validados por la AC Grupo 1 Algoritmo empleado para firmar el certificado Identifica la AC que ha firmado y emitido el certificado. Sujeto o entidad para el cual se ha emitido el certificado Grupo 2 Algoritmo utilizado para crear la llave pública y la propia llave pública Sección Firma Digital AC Grupo 3 Firma digital de la AC, algoritmo de la firma digital y hash de la firma Pag.17

18 Validación de identidad con certificados Firmado de documento en el emisor 5 Verificado de la firma en el destinatario Texto claro 1 Resumen mensaje 2 3 Función hash Texto claro Firma digital Cifrado con clave publ. destinatario extraida del certificado 1 Texto claro 2 Función hash Resumen mensaje obtenido (Rob) Resumen cifrado con clave priv. del emisor 4 Descifrado con clave priv. destinatario 1 Firma valida SI? Rob = Rdc 4 NO Firma NO valida Priv Publ.. Firma digital 5 Descifrado con clave publ. del emisor extraida del certificado 3 Resumen mensaje descifrado (Rdc) Priv. Publ.. Pag. 18

19 Certificados Digitales de llaves Públicas Uso en sitios web Cómo funcionan los certificados en el proceso de validación de identidad? Ejemplo Acceso a servidor seguro (web de Wikipedia) Deben coincidir Emitido para: Emitido por: Pag.19

20 Certificados Digitales de llaves Públicas Cómo funcionan los certificados en el proceso de validación de identidad? Ejemplo Acceso a servidor seguro (web de ITU) Pag. 20

21 Certificados Digitales de llaves Públicas Cómo funcionan los certificados en el proceso de validación de identidad? Ejemplo Acceso a servidor seguro (web de recargas a Cuba) Pag. 21

22 Certificados Digitales de llaves Públicas Cómo funcionan los certificados en el proceso de validación de identidad? Ejemplo Acceso a servidor seguro Pag. 22

23 Certificados Digitales de llaves Públicas Ejemplo Acceso a servidor NO seguro Pag. 24

24 Certificados Digitales de llaves Públicas Ejemplo Acceso a servidor NO seguro Pag. 25

25 Cuando cada cosa tiene una identidad todo es mas seguro Pag. 26

26 PKIX (Public Key Infrastructure X.509) Definición Servidores ordenadores equipamiento de seguridad PKI PKI Algoritmos generación llaves Tamaño llaves Modelo confianza Tiempo publicación CRL Procedimientos de seguridad HARDWARE POLITICAS PKI SOFTWARE SERVICIOS Sistemas para múltiples servicios para clientes y las aplicaciones Servicios básicos de seguridad Servicios adicionales Proveer identidades robustas para entornos empresariales, móviles e IoT Pag. 27

27 PKIX (Public Key Infrastructure X.509) COMPONENTES Persona, organización, Aplicación, servidor, VPN, Móvil, SmartTV. Pag. 28

28 PKIX (Public Key Infrastructure X.509) RESUMEN Antes de usar un certificado tener en cuenta: 1. Quién ha sido la AC que lo emitió (Issued by) 2. Que el mismo no este expirado 3. Que el campo Common Name del Emitido para: (Issued To) coincide con el terminal al que se esta accediendo (si es una página web) Pag. 29

29 PKIX (Public Key Infrastructure X.509) RESUMEN Criptosistemas asimétricos (cifrado / descifrado) Firmas Digitales (Autenticidad+Integridad+ No repudio) Certificados Digitales (Garantiza el vínculo entre una entidad y su par de claves) PKI (Estandarizan el uso de los certificados y Gestionan los mismos) Pag.30

30 Recomendaciones para una navegacion segura Verificar si la web es segura (https) antes de realizar transacciones económicas y banca on-line. También al acceder a servicios de correo. Mantener actualizados los navegadores. Comprobar los certificados de las páginas web que visitamos. Leer las advertencias. No enviar datos personales a páginas web no seguras, es decir, que no muestren un certificado válido. Revisión de los campos críticos de un certificado. Pag. 31

31 CONCLUSIONES Los certificados digitales tienen la misma validez que un certificado manuscrito. El empleo de certificados digitales ahorran tiempo, papel y permite poder realizar diversos trámites on-line en cualquier momento (24x7). Los certificados digitales sólo son útiles si existe alguna Autoridad Certificadora (Certification Authority o CA) que los valide, ya que si uno se certifica a sí mismo no hay ninguna garantía de que su identidad sea la que anuncia, y por lo tanto, no debe ser aceptada por un tercero que no lo conozca. Los certificados digitales permiten o deniegan explícitamente la realización de una acción u otra. Las PKI es la tecnología de punta actualmente empleada que garantiza, de forma segura, la identidad de cada cosa conectada a internet. Pag. 32