UNIVERSIDAD CENTROOCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIA Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación

Transcripción

1 UNIVERSIDAD CENTROOCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIA Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación MODELO DE AUTORIDAD DE CERTIFICACIÓN PKI ENFOCADA A LA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA ANTONIO JOSE DE SUCRE SEDE BARQUISIMETO BARQUISIMETO, 2013

2 UNIVERSIDAD CENTROOCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIA Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación MODELO DE AUTORIDAD DE CERTIFICACIÓN PKI ENFOCADA A LA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA ANTONIO JOSE DE SUCRE SEDE BARQUISIMETO Proyecto de grado presentado como requisito parcial para optar al grado de Magister Scientiarum en Ciencias de la Computación AUTOR: ING. YSBELIA SUÁREZ. F. TUTOR: PROF. MUJICA MANUEL. BARQUISIMETO, 2013

3 AGRADECIMIENTO A Dios. A mi madre, sin ella no seria nada. A mi padre y hermanos por su ayuda en cada momento que la pido. A mi mejor amigo Carlos Ricardo, por apoyarme y escucharme. Lejos pero nunca sola. Y por ultimo pero no menos importante al Profesor Manuel Mujica, usted representa en esta tesis el 55 %, sin su empeño, valor, energia y paciencia esto no seria posible, gracias por estar en cada momento, en cada día, cada segundo. Excelente siempre.

4 INDICE GENERAL pp. AGRADECIMIENTO... iii LISTA DE CUADROS... vii LISTA DE FIGURAS... ix LISTA DE GRAFICOS... xii RESUMEN... xiii SOMMAIRE... xiv INTRODUCCIÓN... 1 CAPITULO I EL PROBLEMA Planteamiento del Problema... 3 Objetivo de la Investigación... 7 Objetivo General... 7 Objetivo Especificos... 7 Justificación e Importancia... 8 Alcances II MARCO TEORICO Antecendentes de la Investigación Bases Teóricas Seguridad Seguridad Informática Calidad y Seguridad Criptología Criptosistemas Informático Clasificación por Tipo de Clave Criptografía Simétrica Criptografia Asimetrica RSA DSA ECC Funciones Hash MD SHA RIPEMD Firma Digital Infraestructura de Clave Pública Politicas de Certificación Autoridad de Certificación Certificados Digitales Tipos de Certificados... 37

5 pp. Lista de Revocación Declaración de Practicas de Certificación Autoridad de Registro Repositorio de Certificados Jerarquía de Certificación Estándares PKI X SPKI OpenPGP PKIK S/MIME IPSec TLS WAP XML X LDAP OCSP Bases Legales Estándares Internacionales Leyes Nacionales Sistema de Variables III MARCO METODOLOGICO Tipo de Investigación Diseño de Investigación Fase I: Diagnóstico Población y Muestra Técnica e Instrumentos de Recolección de Datos Validez del Instrumento Confiablidad del Instrumento Técnicas de Análisis de los Datos Fase II. Diseño del Modelo de Autoridad de Certificación PKI Fase III. Comprobar el Modelo de Autoridad de Certificación PKI IV PROPUESTA DEL ESTUDIO Fase I: Diagnóstico Validez y Confiabilidad de los Instrumentos Técnicas de Análisis y Presentación de los Resultados Resultados de la Entrevista Resultados del Cuestionario Fase II: Diseño del Modelo de Autoridad de Certificación PKI... 83

6 pp. Fase III: Comprobar el Modelo V.CONCLUSIONES Y RECOMENDACIONES Conclusiones Recomendaciones BIBLIOGRAFÍA ANEXOS A Entrevista B Cuestionario C Validación del Instrumento de Recolección de Datos D Confiabilidad del Instrumento E Configuración de Interfaz CA y RA F Configuración del Certificado Operador CA y RA G Manual de Usuario

7 LISTA DE CUADROS CUADRO pp. 1 Pasos del Algoritmo RSA Pasos del Algoritmo DSA Operacionalización de las Variables Descripción de la Población Matriz de Registro de la Entrevista Preservación de la Integridad Informática Resguardo de la Integridad Informática Modificación de la Integridad Informática Procedimiento de Autenticación Informática Alteración de Autenticación Informática Complejidad de Autenticación Informática Mecanismo de Confiabilidad Informática Clasificación de Confiabilidad Informática Manejo de Confiabilidad Informática Comprobación del No Repudio Informática Manejo del No Repudio Informática Conocimiento de la Firma Digital Utilidad de la Firma Digital Empleo de la Firma Digital Facilitación de Certificados Digitales Instalación de Certificados Digitales Disposición de Certificados Digitales Vencimiento de Certificados Digitales Presencia de Lista de Revocación Uso de Protocolos Criptográficos Técnica de Protocolos Criptográficos vii

8 CUADRO pp. 27 Descripción Actor Usuario Descripción Autoridad Registro Descripción Autoridad de Certificación viii

9 LISTA DE FIGURAS FIGURAS pp. 1 Esquema Criptosistema Encriptación de Confidencialidad Encriptación de Autenticación Encriptación de Firma Digital Ilustración de Generación de Firma Digital Comprobación de Firma Digital Esquema PKI Jerarquía de Autoridad de Certificación Modelo Estático Propotipo CA Prototipo CA Proceso de Generar Claves de CA Proceso Emitir Certificado CA Proceso Solicitud Certificación del Usuario Proceso Generar Claves Usuarios Proceso Emitir Certificado Usuarios Proceso Publicar Certificado Proceso Revocar Certificado Proceso Publicar CRL Configuración Módulo de Seguridad SELinux Instalación de Paquetes Respuesta de Instalación de Paquetes Finalización de Instalación de Paquetes Configuración Base de Datos OpenCA Proceso de Descarga OpenCA Tools Proceso de Descarga OpenCA Base ix

10 FIGURAS pp. 26 Proceso de Descomprimir OpenCA Tools y Base Proceso de Compilación OpenCA Tools Creación del Archivo de Configuración Respuesta de la Creación de Archivos Solución de Error del Iniciación OpenCA Arranque OpenCA Carpetas OpenCA Web Pantalla Inicio OpenCA Pantalla Principal OpenCA Pantalla Inicio de Base de Datos OpenCA Vista creación de tablas OpenCA Inicialización de CA Generación de Claves Selección del Tamaño Claves Creación de Clave Privada CA Generación Certificado CA Datos Certificado CA Verificación Datos Certificado CA Certificado CA Selección de Auto Firma CA Parámetro de Auto Firma CA Exportar Certificado CA Importar Certificado CA Opción Importar Certificado CA Cambio de Interfaz Pública Obtención de Interfaz Pública Certificado CA Interfaz Pública x

11 FIGURAS pp. 53 Opción Descarga Certificado CA Verificación Certificado CA Pasos de Generación Certificado Operador CA Datos Certificado Operador CA Detalles Certificado Operador CA Detalles Clave Operador CA Acuerdo de Certificación Operador CA Respuesta de Certificado Operador CA Emisión de Certificado Operador CA Operación Certificado Operador CA Manejar Certificado Operador CA Certificado Operador CA Operaciones Operador CA Vista del Certificado Operador CA xi

12 LISTA DE GRÁFICOS GRÁFICO pp. 1 Preservación de la Integridad Informática Resguardo de la Integridad Informática Modificación de la Integridad Informática Procedimientos de Autencicación Informática Alteración de Autencación Informática Complejidad de Autenticación Informática Mecanismo de Confiabilidad Informática Clasificación de la Confiabilidad Informática Manejo de la Confiabiliadad Informática Comprobación del No Repudio Informático Manejo del No Repudio Informático Conocimiento de la Firma Digital Utilidad de la Firma Digital Empleo de la Firma Digital Facilitación de Certificados Digitales Instalación de Certificados Digitales Disposición de Certificados Digitales Vencimiento de Certificados Digitales Presencia de Lista de Revocación Uso de Protocolos Criptográficos Técnica de Protocolos Criográficos xii

13 UNIVERSIDAD CENTROOCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIA Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación MODELO DE AUTORIDAD DE CERTIFICACIÓN PKI ENFOCADA A LA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA ANTONIO JOSE DE SUCRE SEDE BARQUISIMETO Autora: Ing. Ysbelia Suárez. F Tutor: Prof. Mujica Manuel RESUMEN El presente trabajo de investigación se propone un Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral. Esto basado en la necesidad de proporcionar una mejora en la seguridad de la información que se administra en esta institución, en búsqueda de lograr el cumplimiento de los aspectos de confidencialidad e integridad que se lleva a cabo al momento de realizar una transferencia de información, minimizando así ataques pasivos y activos. Se fundamenta la proposición de efectuar un Modelo de Autoridad de Certificación PKI con el fin de aportar una medida de seguridad basada en los estándares PKI internacionales. La elaboración del estudio se realizó metodológicamente a través de una investigación de campo que consta de tres fases fundamentales en la formulación de un proyecto especial como son: Fase I Diagnóstico; Fase II Diseño del Modelo de Autoridad de Certificación PKI y Fase III Comprobar el Modelo de Autoridad de Certificación PKI. Para todas ellas se utilizó análisis estadísticos y técnicas de recolección y análisis de la información. Se concluyó que el prototipo ayudo a descubrir problemas técnicos respecto a la tecnología y lograron proporcionar los servicios de seguridad informatica buscados. Por lo que se logró demostrar las características de seguridad que satisface una PKI y su utilidad. Se recomienda poner en marcha el proceso de Certificación Electrónica Propuesto, a fin de dar a conocer los beneficios que representa esta opción para la comunidad desde diversos ángulos: académico, económico y tecnológico. Descriptores: PKI, estándares PKI, seguridad de información. xiii

14 UNIVERSIDAD CENTROOCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIA Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación MODELO DE AUTORIDAD DE CERTIFICACIÓN PKI ENFOCADA A LA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA ANTONIO JOSE DE SUCRE SEDE BARQUISIMETO Autora: Ing. Ysbelia Suárez. F Tutor: Prof. Mujica Manuel SOMMAIRE Dans ce travail de recherche proposera un modèle d'autorité PKI de certification axé sur l'universidad Nacional Experimental Politécnica "Antonio José de Sucre" siège Rectoral. Ce fondement dans nécessité de fournir une meilleure information de sécurité administré dans cette institution, en cherchant à atteindre les problèmes de conformité de la confidentialité et l'intégrité qui fait au moment du transfert de l'information, minimiser les attaques passives et actives. Il s'appuiera la proposition faire un modèle de l'icp à l'autorité de certification fournir une mesure de sécurité basé sur les normes PKI internationale. Le développement de l'étude sera menée méthodologiquement par la recherche de terrain composé de trois étapes clés dans la formulation d'un projet spécial que sont: la phase I d'évaluation, la phase II Autorité Design Model, Phase III Le certificat du modele de l autorité de certification. Pour toutes les analyses seront utilisés techniques statistiques pour la collecte et l'analyse d'informations. Il a été conclu que le prototype a permis de découvrir des problèmes techniques concernant la technologie et fournir des services gérés de sécurité des informations voulues. Pas réussi à démontrer que les dispositifs de sécurité qui satisfait à une ICP et l'utilité. Nous vous recommandons de commencer le processus de certification proposée électronique afin de sensibiliser le public aux avantages associés à cette option pour la communauté des angles divers: académique, économique et technologique. Descripteurs: PKI, es normes PKI, sécurité de l'information. xiv

15 INTRODUCCION Nuestras vidas giran alrededor de la información que se puede percibir del entorno, esta información se maneja de tal sentido que puede ser utilizable y disponible. La información se ha colocado como uno de los principales recursos que alimenta a una institución a la vez que es un factor crítico que determina el éxito o el fracaso de ésta actualmente. Los entes que se encargan de las tomas de decisiones han comenzado a comprender que la información no es sólo un subproducto de la conducción institucional, sino que se debe maximizar la utilidad de la información y poseer el personal capacitado para manejarla de forma correcta y eficiente, tal y cómo se manejan los demás recursos existentes. Los administradores de seguridad, que son asignados para la manipulación de la información, deben aplicar la iniciativa de llevar el control de la producción, distribución, seguridad, almacenamiento y recuperación de toda la información basándose en la utilización de los sistemas informáticos. Los sistemas informáticos en la actualidad poseen una interconexión casi natural entre ellos y con otros a través de Internet. Los peligros que puede presentar una conexión hacia el exterior son muy importantes, puesto que los sistemas (con todo lo que ellos soporta: procesamiento, de espacio en disco, datos confidenciales, entre otros) estarán expuestos a millones de personas. Las estadísticas recogen que el número de incidentes de seguridad se duplica cada año, no incrementándose las inversiones realizadas en aspectos de seguridad en la mayoría de las instituciones. En este sentido, es inevitable realizar inversiones que conlleven a usar herramientas y aplicaciones que permitan aumentar la confianza y seguridad en las transacciones que ocurren en el mundo virtual y que satisfagan los aspectos de seguridad como lo son la autenticidad, confidencialidad, integridad y el no repudio. El cumplimiento de estos aspectos de seguridad apunta a un minucioso estudio de las medidas de seguridad de comunicaciones para tener criterios claros 1

16 referente al ámbito de seguridad, sobre este ambiente de seguridad se desarrollo por los primeros años del siglo XXI la plataforma llamada PKI (Infraestructura de Clave Publica), la cual trajo consigo una solución para los intercambios electrónicos seguros manejando software, reglas, políticas y normas. En la actualidad PKI contempla tanto los aspectos operacionales como organizativos permitiendo a las instituciones y a las administraciones comunicarse en forma segura. El trabajo de investigación se baso en diseñar un Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral. Adicionalmente, el trabajo se estructuro en tres (5) capítulos como sigue a continuación: El Capítulo I, conformado por el Problema, en el cual se desarrollo el planteamiento, objetivos de la investigación, justificación e importancia y alcance. El Capítulo II, denominado Marco Teórico, contentivo de los antecedentes de investigación, bases teóricas, bases legales y sistema de variables. El Capítulo III, Marco Metodológico, contiene la naturaleza y diseño de la investigación con la descripción de las fases del proyecto. El Capítulo IV, constituido por la Propuesta del Estudio, en el cual se encuentra el análisis e interpretación de los resultados encontrados en el estudio propuesto. El Capítulo V, las Conclusiones y Recomendaciones, donde se encuentra situado el cierre del proyecto, además de las sugerencias a futuro del proyecto. 2

17 3

18 CAPITULO I EL PROBLEMA Planteamiento del Problema Los sistemas de información incluyen todos los informes, materiales y recursos de software que permiten a una institución almacenar, manipular y dar circulación a estos datos, dichos sistemas deben ser fundamentalmente protegidos, por tal motivo la seguridad de los sistemas informáticos se concentran en garantizar el acceso a los datos y recursos del sistema de una institución, configurando los mecanismos de autentificación y control que aseguren que los usuarios de estos recursos sólo posean los derechos que se le han otorgado. Los usuarios hacen uso de ese derecho para realizar el manejo normal de la información con el apoyo de Internet que cada día se hace más necesaria como una herramienta básica en el campo laboral, esta plataforma juega un papel fundamental para el futuro desarrollo de negocios basándose principalmente en los trámites que se realizan con organizaciones públicas o privadas, es este tipo de comunicación lo que convierte vulnerable la red de comunicación de una institución, dicha conclusión se basa en el articulo Usos Educativos de Internet Graells (2008). Las comunicaciones involucran los medios digitales lo cuales son susceptibles a substitución, modificación, y replicación, estas opciones de ataque en dichos medios no se dan al menos que estén explícitamente protegidos, el objetivo es confiar completamente en las comunicaciones, las vulnerabilidades deben ser tratadas para facilitar la correcta evolución de los servicios disponibles, una manera de asegurar esto es a través de la criptografía. 3

19 La criptografía según la Real Academia Española (2001), es el arte de escribir con clave secreta o de un modo enigmático (p.1), esta herramienta se emplea frecuentemente para permitir un intercambio de mensajes que sólo pueden ser leído por personas a las que van dirigidos y que poseen los medios para descifrarlos, este medio es una de las maneras de protección a la información. Habitualmente se usan dos formas de cifrado: cifrado convencional o simétrico, y cifrado de clave pública o asimétrica. La criptografía de clave simétrica fue un avance en la tecnología de cifrado en uso extendido hasta mediados de los años 70. Esta forma de criptografía fue computacionalmente eficiente; pero la dificultad principal fue la distribución de la clave, debido a que no existía un método práctico que garantizara el intercambio de las claves entre las partes que se comunicaban en forma segura. Este escenario cambió con la introducción del concepto de Criptografía de clave pública, al respecto Stallings (2004), el cifrado de clave pública fue propuesto por primera vez por Diffie y Hellman en 1976, la criptografía de clave pública es asimétrica, lo que implica el uso de dos claves separadas (p.19), la utilización de este concepto donde se trabaja con una clave privada que está bajo el control del propietario y una clave pública que será distribuida libremente, trae como conflicto la duda de quién certifica que una clave pública corresponde a la entidad o persona asociada. El resolver este conflicto abre el concepto de la Infraestructura de Clave Pública por sus siglas en inglés PKI (Public Key Infraestructure). La tecnología PKI según Sanz (2005), una infraestructura de clave pública es el conjunto de componentes tecnológicos, políticas y medidas necesarias para crear, gestionar y revocar certificados digitales que pueden ser utilizados para autenticar personas, proceso u organización en una red de comunicaciones. En Venezuela la tecnología de PKI fue consolidando su desarrollo con la creación de La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE), fue creada a través del Decreto con Fuerza de Ley Nº de fecha 4

20 10 de febrero de 2001, sobre Mensaje de Datos y Firmas Electrónicas, publicado en Gaceta Oficial Nº del 28 de febrero de declara: Con la apertura de la implantación de SUSCERTE, al respecto Moline (2010), Inicia una nueva etapa en el sector de ciencia y tecnología, con un marco jurídico acorde con la realidad del país, asegurándose otorgar y reconocer eficiencia y valor jurídico a la Firma Electrónica, al Mensaje de Datos y a toda información inteligible en formato electrónico, independientemente de su soporte material, atribuible a personas naturales o jurídicas, públicas o privadas, así como regular todo lo relativo a los Proveedores de Servicios de Certificación y los Certificados Electrónicos. La entrada de este avance ha dado paso a la implantación de varios proyectos para Venezuela; entre los realizados se puede encontrar el caso de éxito de la Oficina Nacional de Identificación y Extranjería, donde se gestionan los certificados electrónicos relacionados con el pasaporte electrónico que garantiza la identificación inequívoca de los venezolanos en el extranjero, y pretende contribuir a la armonización de los estándares y sistemas de cooperación internacionales utilizados en la emisión de documentos de viaje y seguros. Dicha terminación se basa en el artículo Certificación de Pasaporte Electrónicos redactado por la Agencia Bolivariana de Noticias (2007). El desarrollo de este proyecto en Venezuela ha dado un incentivo a la utilización de esta herramienta donde la certificación es su base, las áreas gubernamentales, industriales y universitarias han empezado a trabajar o poseen proyecto a futuro con dicha infraestructura. La Universidad Nacional Experimental Politecnica Antonio Jose de Sucre (UNEXPO) ubicada en Barquisimeto, Estado Lara, la cual representa una de las universidades más importante de la región se encuentra orientada hacia la búsqueda de la verdad, el afianzamiento de los valores trascendentales del hombre y a la realización de una función rectora en la educación, la cultura, la ciencia y la tecnología, mediante actividades de docencia, investigación y extensión. Dentro de la misma se encuentra la Oficina Central de Tecnología y Servicios de Información 5

21 cuyo objetivo general es mantener la operatividad y funcionalidad de toda la infraestructura tecnológica y de servicios de información que dan soportes a la gestión académica-administrativa del Vicerrectorado. En conversaciones sostenidas con el Coordinador Nacional de Producción y Operaciones se pudo evidenciar que la universidad precisa de una implantación de PKI para asegurar sus comunicaciones y poder brinda los servicios de generación y registro de claves, comprobación de la identidad de una persona, emisión de certificado, publicación de los certificados y firmas electrónicas, resolviendo así los problemas de seguridad asociados a los ataques pasivos y activos tales como: la interrupción, intercepción, modificación y fabricación. También se dejó estipulado en dicha conversación que una institución de orden académico de carácter público ve la implantación de una PKI como una inversión en función de sostener una credibilidad y reputación de institución seria y responsable antes que un costo financiero. Claramente, la PKI cubre las necesidades de integridad y confidencialidad que satisface los requerimientos prioritarios de seguridad de las aplicaciones y de los usuarios de la institución universitaria. Al prestar el servicio PKI se busca dar otro enfoque al término seguridad. Anteriormente seguridad era el hecho de limitar el acceso; ahora, la seguridad maximiza el acceso a las personas correctas, con esta idea y con los requerimientos que se desean cubrir en la universidad se exalta la necesidad de manejar dentro de sus planes la implantación de una PKI para constituir un marco referencial que asegure las comunicaciones. Por lo antes expuestos, surge la necesidad de realizar un estudio para proponer el diseño de un modelo de autoridad de certificación PKI para la UNEXPO sede rectoral con la finalidad de garantizar el mayor nivel de seguridad al momento de la prestación de un servicio de comunicación. En este punto se hace indispensable analizar minuciosa y detalladamente las respuestas a las siguientes interrogantes: Cómo es actualmente la situación de las medidas de seguridad para las comunicaciones en la UNEXPO? 6

22 Qué características deber tener el diseño de un Modelo de Autoridad de Certificación PKI para la UNEXPO? Cuál será el resultado de implementar el diseño del Modelo de Autoridad de Certificación PKI? Las respuestas a estas interrogantes permitirán proponer el diseño del Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politecnica Antonio Jose de Sucre sede Rectoral. Objetivo de la Investigación General Proponer un Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politecnica Antonio Jose de Sucre sede Barquisimeto. Especificos - Diagnosticar la situación actual en la que se encuentran las medidas de seguridad para las comunicaciones en la Universidad Nacional Experimental Politecnica Antonio Jose de Sucre sede Barquisimeto. - Diseñar un Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politecnica Antonio Jose de Sucre sede Barquisimeto. - Comprobar el Modelo de Autoridad de Certificación PKI. 7

23 Justificación e Importancia Las redes informáticas inicialmente se implementaron para cubrir mayormente áreas locales, con estas distribuciones pequeñas los administradores satisfacían los requerimientos de seguridad de la información con tener simplemente un software antivirus y ciertas medidas físicas de seguridad, estas herramientas ayudaban bastante a proteger la información para que la misma no llegara a ser destruida o robada por personas que perseguían dichos fines. En los actuales momentos este modelo no sería efectivo ni práctico debido a que las instituciones tienen ya por lo menos una puerta abierta hacia el Internet, ya que utilizan dicho servicio o un sistema de mensajería electrónica que a su vez deberá intercambiar mensajes con el mundo externo a la institución. En este sentido, las universidades como instituciones de servicios deben involucrarse con estándares de seguridad más elevados que puedan garantizar la protección y el salvaguardo de la información que es el activo primordial, además de asegurar al momento de una transmisión de datos que la identidad de cualquier usuario en la red es la real. Partiendo de esa base, PKI representa un modelo de seguridad, que al momento de intercambiar datos o cualquier otro tipo de información, traslada la seguridad existente del mundo físico al ámbito de las comunicaciones electrónicas aportando a los sectores estratégicos una tecnología y una plataforma organizativas que responde a las exigencias de seguridad, especialmente en lo que respecta a la firma electrónica y a la confidencialidad de las aplicaciones. La Universidad Nacional Experimental Politecnica Antonio Jose de Sucre como universidad pública, se encuentra interesada en implantar una PKI para poder asegurar sus comunicaciones por lo que ha surgido la necesidad de proponer un Modelo de Autoridad de Certificación PKI para dicha institución. Se espera ofrecer una solución efectiva a los requerimientos de seguridad en las comunicaciones de la universidad abarcando los aspectos de confidencialidad e integridad de la información minimizando los riesgos. También aporta una alternativa 8

24 para otras universidades o instituciones que deseen implementar esta herramienta fundamental para crear la confianza entre diferentes aplicaciones, sistemas operativos y dominios de identidad. 9

25 Alcances La presente investigación se llevo a cabo en Universidad Nacional Experimental Politecnica Antonio Jose de Sucre sede Barquisimeto, tiene como propósito diseñar un Modelo de Autoridad de Certificación PKI. El área en la cual se desarrollo este estudio, es la Oficina Central de Tecnología y Servicios de Información de dicha universidad, por lo tanto la información que se procesará será valido para el caso específico de la red de esta universidad, dejando su generalización y extensión a otras instituciones o empresas para investigaciones futuras. 10

26 CAPITULO II MARCO TEÓRICO Antecedente de la Investigación Para la elaboración de este proyecto, fue necesario consultar material bibliográfico en cuanto a la infraestructura de clave pública, PKI es una arquitectura creciente en el ámbito de la seguridad de las comunicaciones que ha despertado el interés de varios investigadores del área, por lo tanto se revisaron diversos autores que anteceden al presente, con la finalidad de conformar e incorporar recopilaciones válidas, relacionadas con la variable en estudio. Espí (2008) en su proyecto Soluciones PKI basadas en Cryptlib de la Universidad Politécnica de Madrid, cito como objetivo general la realización de un estudio sobre el funcionamiento y construcción de una infraestructura de clave pública. Dicho proyecto muestra el análisis y estudio de los estándares y protocolos más actuales y avanzados que permiten el establecimiento de PKIs jerárquicas siguiendo el esquema de identidades X509v3, así mismo desarrollo un software con un conjunto de herramientas que implementan los estándares expuestos y permiten la construcción de dichas PKIs utilizando la biblioteca criptográfica Cryptlib. Como conclusión se presenta, que la infraestructura de clave pública tiene importancia debido al crecimiento de la informática, aumento en el consumo de tramites a través de la red por gran parte de la sociedad y la creación de identidades digitales que permiten seguridad y facilidad en este tipo de gestiones. El proyecto refleja una amplia documentación de los elementos y procedimientos que componen una PKI, así como las interacciones entre los mismos y simultáneamente con los usuarios finales, para proporcionar todos los servicios que 11

27 ofrece una PKI, acto que sugiere un antecedente y a la vez es una mención de base teórica a la proposición que se está investigando. Adicionalmente, Pozo (2007), en su Trabajo Herramientas de Validación de Certificados en PKI con Tarjetas Inteligentes de la Universidad Carlos III de Madrid, exhibe como objetivo general proveer un sistema de generación de firma digital y de validación de firma utilizando una Infraestructura de Clave Pública con tarjetas inteligentes. Con esta investigación se expone los puntos de sistema de cifrado, firma digital, infraestructura de clave pública y certificados digitales. Conjuntamente, se presenta el valor de la PKI como una herramienta que permite la iniciación de operaciones bajo una serie de autoridades, que dan fe de la ocurrencia de las operaciones y garantizan la validez de los certificados implicado en la misma. Llegando a la conclusión, que haciendo uso de una PKI se puede conseguir un sistema de firma que provea de identificación no repudiable del firmante de un archivo, otorgando así la seguridad que aporta la tecnología PKI con el manejo de claves y políticas de seguridad. La correspondencia que muestra este trabajo con la propuesta que se presenta, se relaciona como se aplica y desarrolla el uso de la infraestructura de clave pública, firma digital y certificados digitales, lo cual es un complemento que afianza la base teórica del trabajo que está investigando. López (2006), en su Trabajo Propuesta para la Infraestructura Clave Pública (ICP) para la Administración Pública Nacional (APN) y la Declaración de Prácticas de Certificación (DFC) para la Autoridad de Certificación Raíz de Venezuela, tiene como objetivo general de proyecto impulsar el uso de los certificados electrónicos y la firma electrónica a través de la infraestructura de clave pública nacional cuyo modelo de arquitectura es la jerárquica subordinada que parte de una única raíz, administrada por SUSCERTE para la gestión y emisión de los certificados electrónicos a los proveedores de servicios de certificación del sector público y privado. Dicho proyecto se basó en la metodología de proyecto especial. A lo largo de la investigación se presentan los aspectos del diseño de una ICP, descripción de los componentes del diseño realizado, la situación actual de los modelos ICP en otros 12

28 países. También comprende un análisis de la implementación del sistema y los puntos más relevantes de la elaboración de la Declaración de Prácticas de Certificación (DPC) para la operación, mantenimiento y administración de la Autoridad de Certificación raíz (AC). Como conclusión confirma la necesidad de impulsar el uso de la firma electrónica y los certificados electrónicos en el país con el fin de incrementar el número de Proveedores de Servicio de Certificación (PSC) acreditados ante SUSCERTE del sector público o privado para establecer así alianza con otros países para la validación de los certificados electrónicos, como por ejemplo el caso de MERCOSUR. La relación que presenta este trabajo a la propuesta que se está presentando se basa en el diseño y aplicación de una infraestructura de clave pública considerando por un lado el estudio de la elaboración de declaración de prácticas de certificación, y por el otro lado el uso de los conceptos de seguridad, criptografía, función hash, firma digital e infraestructura de clave pública, así como un esquema del desarrollo e implementación de ICP bajo software libre. Por otra parte, Ibarra (2006), desarrolló un Modelo de una Autoridad de Certificación Digital Raíz bajo estándar X.509 utilizando Software Libre, con el objetivo general de desarrollar un modelo de autoridad de certificación raíz encargada de firmar, renovar y revocar todos los certificados digitales, utilizando software libre. En este proyecto se optó por un modelo de confianza jerárquico para AC, se desarrolló una configuración de software para la gestión de una AC raíz bajo software libre y se expuso las pruebas del prototipo de software al momento de emitir un certificado a un proveedor de servicio de certificación. Como conclusión se demostró que el software realizado llamado Rootve logra simplificar la búsqueda de la cadena de certificados ya que aplica una sola dirección de confianza. El trabajo presentado por Ibarra establece un modelo de confianza jerárquico para la PKI que posee entre sus beneficios la fácil incorporación de una nueva comunidad de usuarios, establece una relación entre la AC de la comunidad y la AC raíz de cualquier otra comunidad, todo esto es modelado utilizando la herramienta 13

29 UML, hecho que presenta un antecedente y a la vez una referencia de base teórica a la propuesta que se está investigando. Posteriormente, La Universidad de Los Andes (2009), creo un documento de Declaración de prácticas y política de certificación, con la finalidad de dar a conocer los lineamientos para el uso de los servicios de certificación y registro digital de la Universidad de los Andes (ULA). Este documento se estructuró de acuerdo con el RFC 3647, dicho documento declara la arquitectura general para la infraestructura de la autoridad de registro que emite los certificados a los usuarios, servicios y equipos de la ULA. El documento elaborado posee además las obligaciones, responsabilidades y relaciones entre los actores de la Infraestructura de Clave Pública, dicho documento tiene relación con la propuesta que se está presentando ya que se basa en los procesos y procedimientos aplicados en la generación, entrega y uso de los Certificados Digitales. Todos los trabajos citados anteriormente guardan relación entre sí, y servirán de base para la investigación que se lleva a cabo pues tocan los tópicos de criptografía, cifrado de datos, prácticas de certificación, firma digital, generación de clave, protocolos, elementos, servicios y demás concepto que corroboran y afianza las bases para el desarrollo de dicha investigación. La herramienta de PKI demuestra que es un pilar en la seguridad de información y especialmente en la confidencialidad e integridad que se requiere al momento de lograr la seguridad en los medios electrónicos. Al mismo tiempo es un factor de gran relevancia para las organizaciones e instituciones ya que proporcionará comunicaciones más seguras entre usuarios, acceso autorizado e integridad de la información. Bases Teóricas. Para el desarrollo de esta investigación se consideró relevante trabajar en base a algunos conceptos establecidos que intervienen en forma determinante en el tema en estudio, tales como Seguridad Informática, Calidad y Seguridad, Cristología, Funciones Hash, Firma Digital, Infraestructura de Clave Pública y Problemas de PKI. 14

30 Seguridad Las amenazas en el tiempo del hombre primitivo hicieron reaccionar a los mismos con métodos defensivos para evitar daños a su persona, así los conceptos de alerta, evitar, detectar y alarmar ya era manejado por ellos. Con todos estos conceptos, se alcanza el término de seguridad la cual está definida como el conjunto de medidas tomadas para protegerse contra robos, ataques, crímenes y espionajes o sabotajes. La seguridad implica la cualidad o estado de estar seguro, es decir, la evitación de exposiciones a situaciones de peligro y la actuación para quedar a cubierto frente a contingencias adversas. La seguridad se ha desarrollado y ha seguido una evolución dentro de las organizaciones sociales. Desde el siglo XVIII, los descubrimientos científicos y el conocimiento resultante de la imprenta han contribuido a la cultura de la seguridad. La seguridad desde el punto de vista técnico de las organizaciones está en manos de la dirección de cada departamento y, en última instancia, en cada uno de los miembros de la organización y a su grado de concientización respecto a la importancia de la información y el conocimiento. Con el devenir de los años la manipulación de la información a hecho que se incremente el uso de la tecnología para su conducción y protección, los principios de probabilidad, predicción y reducción de fallas y pérdidas han traído un nuevo campo en el área de seguridad que busca resguardar el cuidado de la información, la cual se ha vuelto crucial para los hombres, las organizaciones y las sociedades. Seguridad Informática Los conceptos de seguridad informática son muy extensos y variados, uno de ellos según Tena y Gutiérrez (2003) es: 15

31 La seguridad informática es un compendio de especialidades, técnicas, disciplinas, protocolos, etc. que van, desde lo más básico de la seguridad física de los sistemas informáticos, hasta temas de complejos protocolos criptográficos y técnica de cifrar aun sin una aplicación real o comercial, pasando por las políticas y planes de seguridad, recuperación ante desastre, auditoría y forensia informática, seguridad en redes y negocios, plataformas seguras, virología informática, cifra, firma digital, legislación sobre seguridad, etc. Por lo tanto, no se trata ya solamente de una ciencia asociada a las matemáticas y la criptografía, como podría pensarse hacia mediados del siglo pasado, sino un cúmulo de disciplinas en las que intervienen las matemáticas, la informática, las telecomunicaciones, el derecho, la gestión de la empresas, el análisis de riesgos, etc. El concepto anterior demuestra que el dominio cubierto por la seguridad es muy amplio y la idea principal de este conocimiento es dar a los usuarios las herramientas para efectuar el trabajo de manera óptima y aprovechar los recursos y facilidades que ofrece la tecnología en la actualidad. Según Asencio (2006) para que un sistema se pueda definir como seguro se debe estipular tres características en el mismo: Integridad: se centra en que los datos y documentos no sean manipulados, alterados o cambiados desde que fue fueron inicialmente creado. Asegura al emisor y receptor que en los datos cada bit producido por el emisor es recibido por el receptor sin que sea alterado de ninguna forma. Confidencialidad: es la seguridad de que nuestros datos no van a ser visto por personas ajenas a nosotros que no tienen permiso para ello. Dentro de este apartado, se tratan temas como verificación y autorización para controlar la confidencialidad de los datos. Disponibilidad: es una cuestión importante, ya que trata que la información este accesible para los usuarios verificados y autorizados; si no es así, no sirve de nada tener confidencialidades e integración. En conclusión, la seguridad de la información es la capacidad de mantener intacta y protegida la información a través del uso de múltiples barreras que aplaquen las amenazas. 16

32 Calidad y Seguridad Según Novoa (2006) la calidad y la seguridad en el entorno de las Tecnologías de la Información y la Comunicación (TIC) no pueden ser consideradas elementos aislados del resto de la organización. El disponer de un modelo de gestión que propugne la búsqueda de la excelencia a través de la mejora continua, y cuando sea posible de mejoras en escalón, en todos los procesos de la organización, es un condicionante fundamental. Ese modelo permitirá crear una cultura en la que todos aporten valor, todos se esfuercen en maximizar la eficacia y la eficiencia de sus procesos para proporcionar productos y servicios a los clientes. Todos asumirán como propias las medidas de seguridad de sus sistemas TIC para evitar que los potenciales problemas puedan impactar negativamente a sus clientes. Todos entenderán su red de procesos, comprenderán la importancia de gestionarlos y mejorarlos, aportarán sugerencias e ideas de mejora; en definitiva vivirán su actividad organizativa como una experiencia vital y enriquecedora. Las auditorías de Calidad o de Seguridad según Sánchez (2009), seguirán siendo necesarias como procesos objetivos que a través de evidencias documentales permitirán, no solo comprobar el cumplimiento de las normas establecidas, sino identificar puntos débiles y aspectos a mejorar que por medio de las acciones que correspondan también contribuirán al proceso de mejora de la organización. Nada permanece estable, todo cambia, en las organizaciones también, para mejor o para peor. La opción es obvia pero elegirla es cuestión de voluntad, inteligencia y saber hacer. En este sentido, cuando se resalta el término calidad y seguridad se habla del compromiso de garantizar la consistencia de un servicio y mejorar continuamente la estabilidad de procesos que aseguren el éxito continuo y la capacidad de adaptarse a los cambios que la tecnología y los mercados imponen hoy en día. 17

33 Criptología. Según Martorell (2008), La criptología está formada por dos técnicas complementarias: criptoanálisis y criptografía. La criptografía es la técnica de convertir un texto inteligible, texto en claro (plaintext), en otro, llamado criptograma (ciphertext), cuyo contenido de información es igual al anterior pero sólo lo pueden entender las personas autorizadas. El criptoanálisis es la técnica de descifrar un criptograma sin tener la autorización. Como tal, la criptología como ciencia se ha difundido gracias al anhelo del ser humano a esconder su información. Criptosistemas Informático. Un criptosistema informático según Master (2004), se define por cuatro elementos: Un conjunto finito denominado alfabeto, que permite representar tanto el texto en claro como el criptograma. A bajo nivel hablaríamos de bits, y a más alto nivel podríamos hablar de caracteres ASCII o MIME. Un conjunto finito denominado espacio de claves. Estaría constituido por la totalidad de las claves posibles del criptosistema. Una familia de transformaciones aritmético-lógicas que denominamos transformaciones de cifrado. Una familia de transformaciones aritmético-lógicas que denominamos transformaciones de descifrado. Adicionalmente la información dentro de un criptosistema como se muestra en la figura 1, fluye de tal manera que relaciona a todos estos componentes desde un ente transmisor a uno receptor. 18

34 Figura 1: Esquema Criptosistema. Fuente: Diseño de una PKI para el desarrollo de aplicaciones bancarias. Autor: Arcos (2002). Por consiguiente, con la observación de este esquema se destaca que el punto débil del criptosistema está ubicado en el medio de transmisión, el que por naturaleza es inseguro y donde un intruso podría intentar acceder a la información que se transmite. Clasificación por Tipo de Clave. Las técnicas de criptografía moderna según Martorell (2008) se pueden clasificar en dos según el tipo de clave utilizado: 1. Criptografía simétrica. 2. Criptografía de clave pública o asimétrica. Criptografía Simétrica. Según Asencio (2005), la criptografía simétrica se refiere al conjunto de métodos que permiten tener comunicación segura entre las partes siempre y cuando anteriormente se hayan intercambiado la clave correspondiente que llamaremos clave simétrica. La simetría se refiere a que las partes tienen la misma llave tanto para cifrar como para descifrar. La criptografía simétrica ha sido la más usada en toda la historia, ésta ha podido ser implementada en diferentes dispositivos, manuales, mecánicos, eléctricos, hasta los algoritmos actuales que son programables en cualquier ordenador. La idea 19

35 general es aplicar diferentes funciones al mensaje que se quiere cifrar de tal modo que solo conociendo una clave pueda aplicarse de forma inversa para poder así descifrar. En este sentido, la criptografía simétrica logra la seguridad de la información pero la distribución de la clave, el almacenamiento y la protección que genera el manejo de muchas claves son dificultades que trae dicha criptografía. Criptografía Asimétrica. La criptografía asimétrica según la Enciclopedia Jurídica INTECO (2010), la define de la siguiente forma: Se conoce como criptografía asimétrica o de clave pública al sistema de encriptación que consiste en utilizar un sistema de doble clave: Clave Pública y Clave Privada. Una de ellas, la conocida como clave pública, es conocida por todos y se utiliza para convertir el texto en claro que queremos cifrar en un criptograma, que tan solo podrá volverse a convertir en un texto en claro mediante la clave privada, conocida solamente por la persona a la que va remitida la información cifrada mediante la clave pública. La criptografía asimétrica empezó como lo explica Martorell (2008), en 1976 Diffie y Hellman publicaron el artículo New directions in cryptography. En él proponían un nuevo tipo de criptografía basado en utilizar claves distintas para encriptar y desencriptar, una de ellas se hace pública y la otra es privada de cada usuario. Así todos los usuarios de la red tienen acceso a las claves públicas, pero únicamente a su clave privada. Estas ideas supusieron la revolución de la criptología, se podía utilizar para confidencialidad (como los sistemas simétricos), autenticación y firma digital, además de solucionar el problema de la distribución de claves simétricas. diferente: En este orden de ideas, para cada tipo de servicio se encripta de manera Confidencialidad: El emisor encripta el texto con la clave pública del receptor y el receptor lo desencripta con su clave privada. Así cualquier persona puede enviar un mensaje encriptado, pero sólo el receptor, que tiene la clave privada, 20

36 y el emisor, que lo ha creado, pueden descifrar el contenido, como se muestra en la figura 2. Figura 2: Encriptación de Confidencialidad. Fuente: Criptología. Autor: Martorell. Autenticación: Se encripta el mensaje o un resumen de éste mediante la clave privada y cualquier persona puede comprobar su procedencia utilizando la clave pública del emisor. El mensaje es auténtico porque sólo el emisor verdadero puede encriptar con su clave privada, se muestra en la figura 3. 21

37 Figura 3: Encriptación de Autenticación. Fuente: Criptología. Autor: Martorell. Firma digital: se encripta el resumen del mensaje, cuyo criptograma es la firma del emisor. Así el emisor no puede negar la procedencia ya que se ha encriptado con su clave privada. Por otro lado, el receptor no puede modificar el contenido porque el resumen sería diferente y se vería que no coincide con la desencriptación de la firma. Pero el receptor si puede comprobar que el resumen coincide con la firma desencriptada para ver si es auténtico (Figura 4). La firma digital lleva implícita la autenticación. 22

38 Figura 4: Encriptación de Firma Digital. Fuente: Criptología. Autor: Martorell. En este sentido, los algoritmo asimétricos están basados en funciones matemática estas funciones hacen que la clave privada y la publica estén relacionas pero dicha relación es lo suficientemente complejas para que un criptoanalista no lo pueda encontrar. Los algoritmos asimétricos debe cumplir con el hecho de que conocida su clave publica y el texto no se puede generar un criptograma encriptado con clave privada, el inconveniente con este sistema es la dificultad de la implementación y la lentitud del proceso pero a la vez trae como ventaja el servicio de autenticación y firma, además no tiene problemas con la distribución de las claves. RSA. Dentro de los algoritmos de clave pública esta el RSA, según Tanenbaum (2003), 23

39 Un buen método fue descubierto por un grupo del M.I.T (Rivest y cols, 1978). Es conocido por las iniciales de sus tres descubridores (Rivest, Shamir, Adleman): RSA. Ha sobrevivido a todos los intentos para romperlo por más de un cuarto de siglo y se le considera muy robusto. El algoritmo se cumple de la siguiente manera como se muestra en el cuadro 1, lo explica Gil (2002): Cuadro 1. Pasos del Algoritmo RSA 1 Escoger dos números primos muy grandes p y q (secretos) y calcular el número n (público) correspondiente a su producto, n=p*q 2 Escoger la clave de descifrado constituida por un gran número entero d (secreto), que es primo con el número ɸ (n) (secreto) obtenido mediante: ɸ (n)=(p-1)*(q-1) 3 Calcular el entero e (público) tal que 1 e ɸ (n), mediante la fórmula: e * d=1(mod ɸ (n)) 4 Hacer pública la clave de cifrado (e,n) 5 Para cifrar texto, es necesario previamente codificar el texto en un sistema numérico en base b dividiéndolo en bloques de tamaño j-1 de forma que b j-1 <n<b j 6 Cifrar cada bloque M I transformándolo en un nuevo bloque de tamaño j C, de acuerdo con la expresión C i = M i e (mod n) 7 Para descifrar el bloque C i, se usa la clave privada d según la expresión M i = C i d (mod n) Fuente: Gil (2002). Por lo tanto, hoy en día RSA es el algoritmo asimétrico de cifrado más usado, tanto en conexiones de Internet y protocolos seguros. Las longitudes de clave usadas hoy en día varían desde los 512 hasta los 4096 bits, aunque se suelen tomar de forma habitual claves de 1024 puesto que las de 512 no se consideran suficientemente seguras. Este tamaño puede parecer pequeño, pero permite la generación de claves de longitudes de hasta 1233 cifras con No obstante, RSA no es infalible, como posee una enorme complejidad computacional del problema de la factorización entera se debe a una limitación de los computadores actuales. 24

40 DSA. Algoritmo de Firma Digital (DSA), su historia según Villarroel (2006), fue un Algoritmo propuesto por el Instituto Nacional de Normas y Tecnología de los Estados Unidos para firmas digitales. DSA se hizo público el 30 de agosto de 1991, este algoritmo como su nombre lo indica, sólo sirve para firmar y no para cifrar información, el algoritmo de cifrado asimétrico esta basado en el problema del logaritmo discreto del grupo multiplicativo de un campo finito. Aunque matemáticamente es mucho más complejo con diferencia que el problema de la factorización entera, se ha demostrado que ambos son computacionalmente de una complejidad muy similar. El algoritmo DSA como se muestra en el cuadro 2 realiza los siguientes pasos: Cuadro 2. Pasos del Algoritmo DSA 1 Serán de información pública un número primo grande p y a una raíz primitiva de 1 módulo p (es decir, tal que a p-1 =(mod p) y a d-1 (mod p) para todo d tal que 1<d<p ) 2 La clave privada del usuario B es un entero k a escogido dentro del intervalo [1,p-1] 3 La clave pública de B es el entero Ks=a k B(mod p) 4 Se supone que el emisor A quiere enviar un mensaje M(1 M p-1) al receptor B Proceso de Cifrado (e) 1e Escoger aleatoriamente un entero K A tal que 1 K A p-1, que constituye su clave secreta 2e Calcular la clave de cifrado a partir de su propia clave privada y la clave pública de B, Q=K K BA(mod p) 3e Cifrar el mensaje M según la expresión C=Q*M (mod p) Proceso de Desctifrado (d) Obtener Q gracias a la clave pública de A, K A, y a su propia clave secreta 1d mediante la fórmula Q=K K AB(mod p) 2d Recuperar M a partir de M=(Q -1 )p * C(mod p) donde (Q -1 )p denota el inverso de Q en módulo p. Fuente: Gil (2002). Una desventaja de DSA es su lentitud en comparación con RSA en cuanto a la verificación de la firma digital, a su vez existe la ventaja que DSA al momento de generar las firmas digitales, éste realiza dicha función con mayor agilidad. 25

41 ECC. La Criptografía de Curva Elíptica (CCE) según Garcia (2006), Las curvas elípticas están descritas por el conjunto de soluciones para ciertas ecuaciones con 2 variables. Las curvas elípticas descritas modulo primo p son de central importancia en la criptografía de llave pública. El ECC puede ser usado tanto para cifrar como para firmar digitalmente, la ventaja más destacable que ofrecen los ECC en comparación con RSA es la longitud de la clave secreta, se puede mostrar que mientras en RSA tiene que usar una clave de 1024 bits para ofrecer una seguridad considerable, los ECC sólo usan 160 bits para ofrecer lo mismo, así también las claves RSA de 2048 bits son equivalentes en seguridad a 210 bits de ECC. Asimismo, los requerimientos de memoria y CPU para realizar las operaciones criptográficas son también bastante inferiores por lo que este sistema es muy adecuado para ambientes restringidos en recursos donde el poder de computo es reducido y requiera una alta velocidad de procesamiento y grandes volúmenes de transacciones, lo que permite su uso por ejemplo en tarjetas inteligentes y celulares. Claramente, el ECC son bastante seguro y es el uno de los mejores candidatos para remplazar a las aplicaciones que tiene implementado el RSA. Funciones Hash. La función hash según Asensio (2005), se define como: Una herramienta fundamental en la criptografía, son las funciones hash, son usadas principalmente para resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su origen. Una función hash es también ampliamente usada para la firma digital, ya que los documentos a firmar son en general demasiado grandes, la función hash les asocia una cadena de longitud 160 bits que los hace más manejables para el propósito de firma digital. 26

42 Las funciones de resumen según Arcos (2002) deben poseer las siguientes características para ser consideradas como tales: Cualquier cambio en el mensaje, por mínimo que sea, debe producir un resumen distinto. Debe tener compresión, o sea a partir de un mensaje de cualquier longitud, el resumen debe tener una longitud fija y lo normal es que sea menor que la del mensaje. La función no debe poder invertirse, debe ser unidireccional para que impida obtener el mensaje original a través del resumen. Debe ser fácil y rápida de calcular. El resumen debe ser una función compleja de todos los bits del mensaje, debe proveer Difusión. Debe ser computacionalmente difícil encontrar un par de mensajes M y M de forma que los resúmenes de ambos sean iguales, a esto se le denomina resistencia a las colisiones. Las funciones hash según Asencio (2005), pueden operar como: MDC (Modification Detection Codes) ó MAC (Massage Authentication Codes). Los MDC sirven para resolver el problema de la integridad de la información, al mensaje se le aplica un MDC (una función hash) y se manda junto con el propio mensaje, al recibirlo el receptor aplica la función hash al mensaje y comprueba que sea igual al hash que se envió antes. Los MAC sirven para autenticar el origen de los mensajes, así como también su integridad, para hacer esto se combina el resumen con una clave privada y se envía el documento junto con éste. Al llegar a su destino se comprueba la integridad de la clave privada mediante la pública correspondiente, con esto se demuestra el origen del mensaje. Adicionalmente se realiza el proceso descrito para MDC. MD5. Una descripción de Resumen de Mensaje (MD5) según Master (2004), 27

43 MD5 fue ideado por el matemático Ron Rivest, y supone la evolución de los algoritmos MD2 y MD4. Se trata de una función criptográfica de tipo hash que acepta como entrada un mensaje de cualquier longitud y devuelve como salida una cadena de 128 bits (usualmente una cadena de 32 caracteres hexadecimales). Su fácil implementación y su gran popularidad le hacen uno de los principales algoritmos hash de la red, usado principalmente en comprobación de ficheros en Internet. El algoritmo funciona básicamente según Asencio (2002) de esta manera: Un mensaje de tamaño cualquiera M se alarga hasta que sea múltiplo de 512 bits añadiendo información adicional si es necesario al final del mismo. De esta forma se tiene un mensaje en bloques 512 bits. Posteriormente se inicializan cuatro vectores de 32 bits cada uno. Luego a cada bloque de 512 bits del mensaje se le realizan diversas operaciones lógicas de mezcla con los vectores. La salida de estas operaciones se convierte en el nuevo conjunto de vectores con los que se realiza la misma operación con el segundo bloque de 512 bits del mensaje, y así sucesivamente. Para finalizar, el algoritmo entrega un resumen producto de la concatenación de los últimos cuatro vectores resultantes de estas operaciones. Los resúmenes MD5 se utilizan extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por los desarrolladores, además el MD5 también se puede usar para comprobar que los correos electrónicos no han sido alterados usando claves públicas y privadas. SHA-1. Una descripción de Secure Hash Algorithm (SHA-1) según Wikipedía (2010), es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of 28

44 Standards and Technology (NIST). El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA El SHA-1 es una función criptográfica que acepta una entrada de 2^64 bits como máximo (2048 Terabytes) y devuelve como salida una cadena de 160 bits. RIPEMD-160. Según Quirantes (2005), Fue desarrollado por un grupo europeo encabezado por Hans Dobbertin (sí, el revientarevoltillos), Antoon Bosselaers y Bart Preneel, dentro del proyecto RIPE (RACE Integrity Primitives Evaluation). Su versión primera (RIPEMD) causaba colisiones del mismo tipo de las de MD4 y MD5. Posteriormente se reforzó y se llamó RIPEMD-160. Al contrario que la mayoría de los algoritmos (que dan revoltillos de 128 bits), RIPEMD-160 crea un revoltillo de 160 bits. Existe una versión de 128 bits, y se planean versiones con revoltillos de 256 y 320 bits. Es uno de los algoritmos de revoltillo más rápidos, no está patentado y su código fuente es de libre acceso. Por el momento, se le considera seguro. En definitiva, a pesar de haberse desarrollado mucho más libre que SHA-1, no es muy popular y tampoco ha sido muy estudiado por criptólogos, a pesar que con el se reduce significativamente las colisiones débiles y fuertes Firma Digital La idea de la firma digital nació como una oferta tecnológica para acercar la operatoria social usual de la firma ológrafa (manuscrita) al marco de lo que se ha dado en llamar el ciberespacio o el trabajo en redes. La firma digital según Castello (2005) hace referencia, permite acreditar al autor del mensaje, así como también la autoridad del documento, y sustituye a la firma manuscrita tradicional en el llamado comercio electrónico. Otro concepto que refleja la parte de seguridad es el que explica Cabrera (2008), la define como: 29

45 Consiste en la transformación de un mensaje utilizando un sistema de cifrado asimétrico de manera que la persona que posee el mensaje original y la clave pública del firmante, pueda establecer de forma segura, que dicha transformación se efectuó utilizando la clave privada correspondiente a la pública del firmante, y si el mensaje es el original o fue alterado desde su concepción. Un ejemplo para el entendimiento de la generación de una firma digital se muestra en el figura 5. Figura 5: Ilustración de Generación de Firma Digital. Fuente: Ilustración de la mecánica de una firma digital. Autor: Atollon. La característica de la firma digital según Otazo (2007) son: La firma digital otorga certeza de la integridad del documento. Una vez que se ha cambiado algún dato, la firma queda inválida. Esto se realiza mediante un procedimiento técnico conocido como hashing, que a semejanza de una 30

46 pericia grafotécnica, como se muestra en el figura 6, verifica que la firma sea válida y pertenezca al firmante. La firma digital es perfectamente susceptible de generar los mismos efectos de una firma manuscrita. Pretende emular (imitar y mejorar) las funciones que cumple la firma manuscrita para los documentos tradicionales. Como la firma es única, no puede negar que le pertenece. Figura 6: Comprobación de Firma Digital. Fuente: Ilustración de la mecánica de una firma digital. Autor: Atollon. puntos: La función legal de la Firma Digital según Otazo (2007) se basa en dos 31

47 Consentimiento: cuando el titular firma, señala que conoce el contenido y que lo aprueba. La persona manifiesta su voluntad cuando inicia el proceso de firmado. Para el caso de personas jurídicas se aplican las reglas generales de representación, porque no sólo pueden sus funcionarios tener firmas digitales propias, sino que deben estar autorizados para actuar en nombre de la persona jurídica. Vigencia de la Firma: debe tener un período de vigencia para su utilización. La entidad de certificación que maneja los datos, verifica los datos y existe un tiempo por el cual puede afirmar su certeza y veracidad. Dichos datos son tomados en cuenta por terceros que se vinculan con el titular de la firma, por lo tanto es importante que conozcan el plazo durante el cual pueden confiar en que esa firma otorga planos efectos vinculatorios respecto al titular. Las modalidades de la firma digital según Wikipedia (2010) son: Firma básica: Incluye el resultado de operación de hash y clave privada, identificando los algoritmos utilizados y el certificado asociado a la clave privada del firmante. A su vez puede ser "attached" o "detached", "enveloped" y "enveloping" Firma fechada: A la firma básica se añade un sello de tiempo calculado a partir del hash del documento firmado por una TSA (Time Stamping Authority) Firma validada o firma completa: A la firma fechada se añade información sobre la validez del certificado procedente de una consulta decrl o de OCSP realizada a la Autoridad de Certificación. En tal sentido, con la utilización de la firma digital existe la ventaja de la combinación de las funciones hash y la criptografía de clave pública que proporciona un método para asegurar la integridad de los datos, así como un medio para garantizar la autenticidad del mensaje. La integridad nos confirma que los datos no han sido modificados a la par que la autenticidad garantiza quien ha generado el mensaje. 32

48 Estos mecanismos conjuntamente nos proporcionan la seguridad que da la firma digital. Infraestructura de Clave Pública. La criptografía de clave pública abre camino a la infraestructura de clave pública (PKI), esta tecnología nos permite identificar en quien podemos confiar y bajo que circunstancias, además de si la clave pública que estamos utilizando es la correcta y si no ha sido rota. El concepto de PKI según Boquera (2003) es un sistema integral destinado a proporcionar a las aplicaciones servicios de cifrado y firma digital basado en claves públicas. Su propósito es facilitar la generación y diseminación de certificados de clave pública... Básicamente una PKI es una estructura funcional basada en el cifrado como lo explica Arcos (2002) que debe realizar las siguientes operaciones: Obtención de la identificación de los usuarios. Validación de la identidad de los usuarios. Generación segura de claves. Gestión de solicitudes de certificación de claves. Emisión y validación de certificados. Gestión de almacenamiento de certificados y claves. Gestión de publicación y distribución de certificados. Gestión de revocaciones y pérdida de vigencia de certificados. Gestión de renovación de certificados. Soporte de aplicaciones adicionales como: estampado de tiempo recuperación de certificados, firma y cifrado de objetos, entre otras. Administración de relaciones de confianza. Por otra parte, para que una PKI pueda realizar todas las acciones generalmente incluirá como se muestra en la figura 7 elementos como una o varias 33

49 Autoridades de Registro para certificar la identidad de los usuarios; una o varias Autoridades Certificadoras que emitan los certificados de clave pública; un repositorio de certificados y listas de revocación; prácticas y políticas que permitan controlar y sincronizar estos componentes además de administrar el ciclo de vida de los certificados digitales desde su solicitud hasta el momento de su revocación. Figura 7. Esquema PKI. Fuente: Autor: Morales. Políticas de Certificación. El papel que desempeña las políticas de certificación en una PKI es crítico, permite evaluar el nivel de riesgo que asume la parte de confianza a la hora de realizar una transacción. Según IETF (RFC 2527), es un conjunto de normas que indica la aplicabilidad de un certificado a una comunidad particular con unos requerimientos de seguridad comunes. Por lo tanto, las políticas de certificación rigen el funcionamiento general de la PKI definiendo cuestiones tan esenciales como el tipo de certificado a emitir por la Autoridad de Certificación, el alcance de la información almacenada en el certificado, los procedimientos de registro, el tipo y alcance del compromiso de la Autoridad de Certificación con los usuarios y viceversa, las restricciones en el uso del certificado, 34

50 etc. El valor legal de una firma digital validada con un certificado calificado dependerá fuertemente de la política que gobierna el uso de la clave privada asociada. Autoridad de Certificación. Una autoridad de certificación es según Martínez (2005) la define como: Es una entidad dedicada a la emisión de certificados que contienen información sobre algún hecho o circunstancia del sujeto del certificado. Esta entidad puede emitir distinto tipos de certificados. Así, un certificado de identificación simplemente reconoce y conecta un nombre a una clave pública. El modo de funcionamiento de la autoridad de certificación de divide en tres partes según Wikipedia (2010), las cuales son: Solicitud de un certificado: el mecanismo habitual de solicitud de un certificado de servidor web a una CA consiste en que la entidad solicitante, utilizando ciertas funciones del software de servidor web, completa ciertos datos identificativos (entre los que se incluye el localizador URL del servidor) y genera una pareja de claves pública/privada. Jerarquía de Certificación: consiste en una estructura jerárquica de CAs en la que se parte de una CA auto-firmada, y en cada nivel, existe una o más CAs que pueden firmar certificados de entidad final (titular de certificado: servidor web, persona, aplicación de software) o bien certificados de otras CA subordinadas plenamente identificadas y cuya Política de Certificación sea compatible con las CAs de rango superior. Confianza en la CA: una de las formas por las que se establece la confianza en una CA para un usuario consiste en la "instalación" en el ordenador del usuario (tercero que confía) del certificado autofirmado de la CA raíz de la jerarquía en la que se desea confiar. La regla general del proceso es que hay que repetirlo por cada uno de los navegadores que existan en el sistema, y en cada caso con sus funciones específicas de importación de certificados. Si está 35

51 instalada una CA en el repositorio de CAs de confianza de cada navegador, cualquier certificado firmado por dicha CA se podrá validar, ya que se dispone de la clave pública con la que verificar la firma que lleva el certificado. Finalmente, las CA da fe o certifica que ciertas identidades están relacionadas con las claves públicas que aparecen en los certificados que ésta emite. No se trata tan solo de una fábrica productora de certificados, sino que implica el administrarlos apropiadamente para lograr el objetivo de una correcta implementación de identidades digitales. Certificados Digitales. La seguridad de la clave pública debe estar resguarda con el hecho que la persona sea la que realmente posee dicha clave, para confirmar esto existe el certificado digital, según Yera (2005) lo define como: Un certificado digital o electrónico es un documento electrónico que contiene datos que identifican a una persona o entidad y la llave pública de la misma, haciéndose responsable de la autenticidad de los datos que figuran en el certificado otra persona o entidad de confianza, denominada autoridad certificadora. El contenido de un certificado según Tejedor (2005), es típicamente un archivo pequeño que contiene la información mostrada a continuación: Nombre Distintivo de la entidad: incluye la información de identificación (el nombre distintivo) y la llave pública. Nombre Distintivo de la Autoridad Certificadora: identificación y firma de la Autoridad Certificadora (CA) que firmó el certificado. válido. Período de Validez: el período de tiempo durante el cual el certificado es Información adicional: puede contener información administrativa de la CA como un número de serie o versión. 36

52 Con un certificado entonces, el receptor asegura que efectivamente la clave pública que envió una entidad es la correcta, y no de otra que pretende suplantarla. Tipos de Certificados. Dependiendo del uso que se vaya a dar al certificado y de qué persona o entidad lo solicita, las Autoridades Certificadoras han dividido los certificados en varios tipos. Del tipo de certificado a emitir van a depender las medidas de comprobación de los datos y el precio del mismo. Los certificados, como explica Acebey y Terrazas (2006), según las comprobaciones de los datos que se realizan, se dividen en cuatro clases: * Certificados de Clase 1: corresponde a los certificados más fáciles de obtener e involucran pocas verificaciones de los datos que figuran en él: sólo el nombre y la dirección de correo electrónico del titular. * Certificados de Clase 2: en los que la Autoridad Certificadora comprueba además el DNI o permiso de conducir, el número de la Seguridad Social y la fecha de nacimiento. * Certificados de Clase 3: en la que se añaden a las comprobaciones de la Clase 2 la verificación de crédito de la persona o empresa mediante un servicio del tipo Equifax o Duns&Bradstreet. * Certificados de Clase 4: que a todas las comprobaciones anteriores suma la verificación del cargo o la posición de una persona dentro de una organización (todavía no formalizados los requerimientos; está en estudio). Desde el punto de vista de la finalidad, los certificados electrónicos se dividen en: a) Certificados de autoridad: Las entidades emisoras de certificados raíz tienen la capacidad de asignar certificados a certificados de autoridad. Corresponden a entidades que certifican. Los certificados raíz son los únicos auto-firmados y son los que inician una cadena de certificación de acuerdo a la jerarquía definida en el estándar X

53 b) Certificado de servidor: Certifica que un servidor es de la empresa que dice ser y que el identificador del servidor es correcto. Los certificados de servidor identifican a servidores que participan en comunicaciones seguras con otros equipos mediante la utilización de protocolos de comunicaciones. Estos certificados permiten al servidor probar su identidad ante los clientes. c) Certificados personales: Los certificados personales aseguran que una dirección de correo y clave pública corresponden a una persona. Estos certificados identifican a personas y se pueden utilizar para autenticar usuarios con un servidor. d) Certificados de productores de software: Se utilizan para "firmar" el software y asegurar que no ha sido modificado. Esto no implica que se pueda ejecutar con seguridad, pero informa al usuario que el fabricante de software participa en la infraestructura de compañías y entidades emisoras de certificados de confianza. Estos certificados se utilizan para firmar el software que se distribuye por Internet. Listas de Revocación. El tiempo en los certificados juega un papel importante, el de estipular un periodo de validación es para eliminar la probabilidad que algún extraño se apodere de dicho certificado. Su definición según Boquera (2003) es una lista de certificados revocados, firmada por la autoridad que previamente los emitió. Cuando una autoridad de certificación emite un certificado digital, lo hace con un periodo máximo de validez que oscila entre dos y cuatro años máximo. El objetivo como lo explica Boquera (2003) es: De este periodo de caducidad es obligar a la renovación del certificado para adaptarlo a los cambios tecnológicos. Así se disminuye el riesgo de que el certificado que de comprometido por un avance tecnológico. La fecha de caducidad viene indicada en el propio certificado digital. Por tanto, debe existir algún mecanismo para comprobar la validez de un certificado antes de su caducidad. La lista de revocación de certificados (CRL) es uno de estos mecanismos. 38

54 El funcionamiento según Wikipedia (2010), en una CRL es cuando un tercero desea comprobar la validez de un certificado debe descargar una CRL actualizada desde los servidores de la misma autoridad de certificación que emitió el certificado en cuestión. A continuación comprueba la autenticidad de la lista gracias a la firma digital de la autoridad de certificación. Después debe comprobar que el número de serie del certificado cuestionado está en la lista. En caso afirmativo, no se debe aceptar el certificado como válido. Estrictamente hablando, no es necesario descargar una CRL cada vez que se verifica un certificado. Solamente es necesario cuando no se dispone de la CRL de una entidad de certificación concreta, y cuando dicha lista tiene una cierta antigüedad que aconseja su renovación. En definitiva, la única ventaja de las CRL es que se pueden consultar sin necesidad de una conexión de datos permanente con cada autoridad de certificación. Basta establecer dicha conexión con cierto tiempo para descargar las CRL actualizadas. A la par de esto existe una desventaja, el peligro de que un certificado haya sido revocado, pero no aparezca en la CRL del tercero que comprueba su validez. Esto se debe a que la CRL utilizada podría no estar actualizada. Declaración de Practicas de Certificación. Comúnmente se confunde las políticas de certificación con la declaración de prácticas de certificación (CPS), pero realmente una CPS es según INAP (2002) es la declaración de una autoridad de certificación acerca del cumplimiento de los términos y requerimientos de una o varias políticas de certificación. Esta regla las realizan los prestadores de servicio de certificación para consignar las obligaciones que se comprometen a cumplir en relación con la gestión de los datos de creación y verificación de firma, los certificados electrónicos como son emitidos, aceptados y revocados, además de otros extremos. Esta declaración de prácticas, que tendrá la consideración de documentos de seguridad y se ajustara a la 39

55 normativa legal, deberá estar disponible al público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita. Autoridad de Registro. La autoridad certificadora delega una parte de los objetivo de seguridad a la autoridad de registro (RA), según Wikipedia su rol es controlar la generación de certificados para los miembros de una entidad. Previa identificación, la Autoridad de Registro se encarga de realizar la petición del certificado y de guardar los datos pertinentes. El funcionamiento como lo explica el artículo sobre la arquitectura de PKI de la página WebTaller.com (2010) es que la autoridad de registro realiza los siguientes puntos: Registra las peticiones que hagan los usuarios para obtener un certificado. Comprueba la veracidad y corrección de los datos que aportan los usuarios en las peticiones. Envía las peticiones a una CA (autoridad de certificación) para que sean procesadas. Recibir los certificados solicitados a la CA. Entregar los certificados a los solicitantes, ya sea de forma personal, correo electrónico, etc. Informar a los usuarios de la necesidad de la renovación de su certificado. Solicitar la revocación de un certificado a la CA. Por ultimo, la función de RA puede ser cumplida por una organización o por una persona. Las normas que utilice la RA para realizar sus operaciones deben también verse reflejadas en los CPS. Repositorio de Certificados. El ambiente de la PKI tiene entre sus necesidades hacer llegar los certificados a los usuarios, esto lo puede realizar con la utilización de los repositorios según Certinet (2006) su concepto es un almacén público desde donde los usuarios 40

56 pueden recuperar los Certificados emitidos por la CA. Debido a la naturaleza autoverificable de los Certificados en sí mismos, no es imprescindible que este repositorio esté protegido contra alteraciones a su contenido.. Asensio (2002), declara Existen múltiples formas de distribución y almacenamiento para los certificados y sus respectivas claves dentro de los cuales se destacan los disquetes, las tarjetas inteligentes y Token USB. Por lo tanto las personas utilizan el medio que más este a sus posibilidades o el que cubre sus requerimientos. El método más eficiente para implementar los repositorios son los servicios de directorio, como lo explica Asensio (2002) estos consisten en una gran base de datos parecido a un directorio telefónico, en los que cada entrada de usuario contiene los certificados de los que es titular. Por ultimo, dichos servicios poseen también una estructura jerárquica que da la posibilidad de acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. También permite implementar esquemas más seguros de acceso a los datos. Jerarquías de Certificación. La jerarquía de autoridades de certificación se define en el documento RFC 1422, este estándar establece una estructura jerárquica rígida de AC como se puede observar en la figura 8. En la estructura se definen tres tipos de autoridades de certificación: Internet Policy Registration Authority (IPRA): esta autoridad es la más alta (raíz) de la jerarquía de certificación PEM. La actuación de esta autoridad es a nivel 1 y sólo se le está permitido emitir certificados para el siguiente nivel de autoridad (PCA). Todo proceso de certificación comienza en una autoridad IPRA. Policy Certification Authorities (PCA): las autoridades PCA actúan a nivel 2 de la jerarquía. Cada autoridad PCA debe estar certificada por una autoridad 41

57 IPRA. Una autoridad PCA debe establecer y declarar su política respecto a los usuarios o subautoridades de certificación. Está permitida la existencia de distintas autoridades PCA para responder necesidades específicas de los usuarios. Certification Authorities (CA): las autoridades CA están ubicadas a nivel 3 y pueden funcionar a niveles inferiores. Las autoridades que están a nivel 3 tienen que recibir la certificación de una autoridad del nivel 2. Una regla de designación de nombres también está definida en RFC 1422, ésta establece que una autoridad CA sólo puede emitir certificados para entidades cuyos nombres se subordinan al nombre de la misma autoridad CA. A partir de esta regla se puede hacer un seguimiento de encadenamiento de autoridades de certificación. Figura 8: Jerarquía de Autoridad de Certificación. Fuente: Diseño de Infraestructuras de Claves Públicas. Autor: Microsoft. 42

58 Estándares PKI. Las actividades de estandarización de los conceptos y técnicas relacionados con PKI pueden clasificarse en diferentes grupos: aquellos que definen el formato de los certificados, donde se incluyen X.509, SPKI y OpenPGP; aquellos que adaptan los certificados a ambientes y usos específicos, entre los que se encuentran PKIX, S/MIME, IPSec, TLS, WAP, XML, y SOAP; y los que tratan temas relacionados con los repositorios de certificados donde se incluye el OCSP, que es hacia donde dirigen sus esfuerzos X.500, LDAP y PKCS. X.509. Según Wikipedia (2010), es un estándar UIT-T para infraestructuras de claves públicas (en inglés, Public Key Infrastructure o PKI). X.509 especifica, entre otras cosas, formatos estándar para certificados de claves públicas y un algoritmo de validación de la ruta de certificación.... X.509 es la estructura de datos que enlaza la clave pública con los datos que permiten identificar al titular. Su sintaxis se define empleando el lenguaje ASN.1 (Abstract Syntax Notation One) y los formatos de codificación más comunes son DER (Distinguished Encoding Rules) o PEM (Privacy-enhanced Electronic Mail). SPKI. El grupo de trabajo SPKI (Simple Public Key Infrastructure) del IETF según Echavarría (2007) fue creado en 1996 como alternativa al trabajo hecho por PKIX. Los partidarios de SPKI defienden la idea de la clave pública como identidad principal. Las especificaciones SPKI (RFC2692 y RFC2693) discuten los conceptos y filosofía de las IPKIs y proveen un formato de certificados detallado y las reglas de procesamiento requeridas para su implementación. SPKI incluye explícitamente tanto la autorización como la autenticación. El sofisticado formato de los certificados hace posible expresar, de manera general, qué se puede hacer con una clave. 43

59 Sin embargo, SPKI no ha ganado un amplio soporte en el entorno corporativo y gubernamental como X.509. Pocos proveedores han incluido certificados SPKI en sus productos. OpenPGP OpenPGP define un formato de certificados para PGP (Pretty Good Privacy), alternativo a los certificados X.509 y los de SPKI., y especifica las reglas de procesamiento requeridas para validar tales certificados. También define los protocolos de empaquetamiento requeridos para construir y procesar mensajes de correo electrónico protegidos con PGP. La especificación OpenPGP también incluye una discusión sobre el trabajo cooperativo con otros formatos de certificados como los X.509. PKIK. Un grupo de trabajo del área de seguridad del IETF es el de Infraestructura de Clave Pública, X.509, comúnmente conocido como PKIX. Este grupo fue formado a finales de 1995 con el único propósito de adaptar el trabajo hecho por la recomendación X.509 al entorno de Internet, especificando así una IPKI (Internet PKI). PKIX ha tratado cuatro áreas específicas: La adaptación de los certificados y las CRLs. Los protocolos de gestión de certificados. Los protocolos operacionales. El marco de políticas de certificados (CP Certificate Policy) y el de declaración de prácticas de certificación (CPS Certification Practice Statement). S/MIME. El propósito inicial del grupo de trabajo S/MIME fue incorporar nuevas características de seguridad en MIME (Multipurpose Internet Mail Extensions) (RFC 2045 a RFC2049), mientras se mantenía la compatibilidad con productos implementados de acuerdo a la versión previa de las especificaciones. En particular, 44

60 las especificaciones S/MIMEv3 (RFC2630 y RFC2634) incluyen la habilidad de etiquetar los mensajes de acuerdo a su nivel de seguridad, y la habilidad de solicitar y obtener un recibo firmado como prueba de que se recibió un mensaje enviado previamente. También se pueden usar técnicas de gestión de claves diferentes a RSA IPSec. El grupo de trabajo IPSec del IETF fue creado para diseñar y estandarizar los conceptos y protocolos de seguridad en IP (Internet Protocol). Un componente importante de esta arquitectura es el protocolo de intercambio de claves entre nodos IP, que provee autenticidad, integridad y confidencialidad. Esto es expresado en IKE (Internet Key Exchange). IKE proporciona autenticación basada en certificados X.509 en la capa IP y puede ser compatible con PKIX. TLS. La especificación TLS (Transport Layer Security) es una versión del protocolo SSLv3.0 (Secure Sockets Layer version 3.0) encontrada en millones de navegadores cliente y servidores Web alrededor del mundo. TLS crea un canal seguro entre la fuente y el destino en la capa de transporte, proveyendo autenticación basada en certificados, integridad de la información y confidencialidad de los datos. WAP. Las especificaciones definidas por el grupo de seguridad WSG (WAP Security Group) del WAP Forum incluyen: Wireless Transport Layer Security Specification, WAP Certificate and CRL Profiles Specification, y WAP Public Key Infrastructure Definition. En el modelo general WPKI, el servidor usa el formato de certificados WTLS, mientras los clientes usan el formato de los certificados X.509 (para interoperar lo mayor posible con las IPKIs existentes). Además, la especificación WTLS permite varios niveles de seguridad, incluyendo un intercambio de claves anónimo para crear canales cifrados, autenticación de servidor usando certificados y autenticación mutua basada en certificados (esto es, de parte del cliente como del servidor). 45

61 XML. XML siglas en inglés de Extensible Markup Language (lenguaje de marcas extensible), es unmetalenguaje extensible de etiquetas desarrollado por el World Wide Web Consortium (W3C). Es una simplificación y adaptación del SGML y permite definir la gramática de lenguajes específicos (de la misma manera que HTML es a su vez un lenguaje definido por SGML). Por lo tanto XML no es realmente un lenguaje en particular, sino una manera de definir lenguajes para diferentes necesidades. Algunos de estos lenguajes que usan XML para su definición sonxhtml, SVG, MathML. XML no ha nacido sólo para su aplicación en Internet, sino que se propone como un estándar para el intercambio de información estructurada entre diferentes plataformas. Se puede usar en bases de datos, editores de texto, hojas de cálculo y casi cualquier cosa imaginable. X.500 El directorio X.500 es un repositorio altamente sofisticado que almacena todo tipo de información e incluye características como: protocolos de acceso cliente a directorio, protocolos de comunicación servidor a servidor, duplicación total o parcial de los datos del directorio, encadenamiento de servidores para responder a una petición, y capacidades de filtrado de búsquedas complejas. X.500 define un esquema de particular importancia para PKI porque permite guardar estructuras de datos, como certificados y CRLs, en las entradas de directorio de cada entidad. Además, la posibilidad de enlazar servidores, hace posible que las PKIs desarrolladas de manera independiente puedan unirse cuando sea necesario, lo que permite comunicaciones seguras entre comunidades aisladas. LDAP LDAP (Lightweight Directory Access Protocol) fue originalmente concebido como un subconjunto del protocolo de acceso al directorio X.500 (DAP Directory Access Protocol), simple de describir y fácil de implementar. Luego, este subconjunto 46

62 de funciones se ha expandido para incorporar las necesidades de otros entornos que han elegido usar LDAP como protocolo de acceso a sus repositorios. Muchos proveedores a nivel mundial implementan LDAP versión 2. LDAPv3, con su útil mecanismo de extensiones permite incorporar nuevas capacidades instantáneamente de manera estandarizada, y es recomendado en lugar de LDAPv2. Como con X.500, se ha especificado un esquema para repositorios compatibles con LDAP que provee un método estandarizado y un lugar para almacenar información de certificados y CRLs a las entidades PKI. Esto realza grandemente la posibilidad de interoperabilidad entre productos PKI de diferentes proveedores en el entorno LDAP. OCSP. El protocolo OCSP intenta dar una solución opcional al problema de verificación de revocación de certificados, se puede implementar como reemplazo o complementación de las CRL e intenta cubrir algunas de las limitaciones de éstas, ya que proporciona una validación en tiempo real de los certificados. OCSP especifica la sintaxis de un mensaje pregunta-respuesta entre una aplicación cliente que requiere información acerca del estado de revocación de un certificado y un servidor que conozca el estado de revocación del mismo. Bases Legales Los estándares internacionales, leyes nacionales y normativa interna de la Universidad que tienen correspondencia con esta investigación se listan a continuación: Estándares Internacionales. RFC 3280 Internet X.509 infraestructura de clave pública Certificado y lista de certificados revocados (CRL) Perfil. Grupo de Trabajo en Ingeniería de Internet (IETF). 47

63 RFC 3647 Internet X.509 infraestructura de clave pública Política de Certificado y Marco de Practica de Certificación. Leyes Nacionales. Ley Orgánica de Ciencia, Tecnología e Innovación, promulgada 03 de Agosto del 2005 y publicada en Gaceta Oficial Nº Caracas Venezuela. Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas promulgada en Gaceta Oficial N de fecha 14 de diciembre de 2004, por Decreto N de diciembre de 2004, Caracas Venezuela. Ley sobre Mensajes de Datos y Firmas Electrónicas promulgada en Gaceta Oficial N de fecha 28 de febrero de 2.001, por Decreto N de febrero de 2.001, Caracas Venezuela. Ley Especial contra Delitos Informáticos promulgada en Gaceta Oficial Nº de fecha 30 de octubre de por la Asamblea Nacional, Caracas Venezuela. Ley Orgánica de Telecomunicaciones, promulgada 12 de junio de 2000 y publicada en Gaceta Oficial No Caracas Venezuela. Sistema de Variables. El término variable de acuerdo a lo expresado por Tamayo (2002), se define como, un aspecto o dimensión de un fenómeno que tiene como características la capacidad de asumir distintos valores, ya sea cuantitativa o cualitativamente. Es la relación causa y efecto que se da entre uno o más fenómenos estudiados. El mismo autor señala que, en el proceso de operacionalización de unas variables es necesario determinar los parámetros de medición a partir de los cuales se establecerá la relación de variables enunciadas por la hipótesis, para lo cual es necesario tener en cuenta: (i). Definición nominal de la variable a medir; (ii). Definición operacional: dimensiones, indicadores e índices. 48

64 La definición nominal es simplemente el nombre de la variable que debe medirse. En el caso de la presente investigación la variable a considerar fue el diseño de un Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral. La definición operacional está relacionada con la dimensión la cual es un factor de rasgo de la variable que debe medirse y que permite establecer indicadores que nos señalan como medir las dimensiones o rasgos de las variables. También contempla el índice, que no es otra cosa que el resultado de la combinación de valores obtenidos en cada uno de los indicadores propuestos para medir la variable. De acuerdo a la definición operacional, para el caso del estudio que se presenta, los indicadores relacionados con seguridad informática serán: integridad, autenticación, autorización y confidencialidad. Y con medidas de seguridad serán: firma electrónica, certificados digitales, lista de revocación y protocolos criptográficos. A continuación se presenta el cuadro 3, con la operacionalización de las variables en estudio. 49

65 Cuadro N 3. Operacionalización de las Variables. Variable en Estudio Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Barquisimeto. Dimensión Indicadores Instrumentos Fuente Ítems Seguridad Informática: área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta. Medidas de Seguridad: mecanismo para proteger información almacenada y tratada en los equipos informáticos de incidencias externas. Fuente: La Autora (2012) Integridad. Autenticación. Confidencialidad. No Repudio. A-Cuestionario B-Entrevista A- Personal Docente B- Personal Técnico. A1,A2,A3, B1 A4,A5,A6,B2 A7,A8,A9,B3 A10,A11,B4 Firma Digital A12, A13, A14, B5, B6. Certificados A15, A16, Digitales. A17, B7, B8. Lista de A18, A19, B9, Revocación. B10. Protocolos A20, A21, Criptográficos. B11, B12, B13. 50

66 CAPITULO III MARCO METODOLOGICO Tipo de Investigación El presente estudio propuso un modelo de autoridad de certificación PKI enfocada a la Universidad Experimental Politécnica Antonio José de Sucre sede Barquisimeto, de acuerdo a los objetivos planteados, se incorporara en el tipo de investigación de campo siguiendo la modalidad de un proyecto especial ya que permite no solo observar, sino recolectar los datos directamente de la realidad para posteriormente analizar e interpretar los resultados. De acuerdo con la definición presentada por la Universidad Centroccidental Lisandro Alvarado (2002) de investigación de campo, es: Se entenderá por investigación de campo la aplicación del método científico en el tratamiento de un sistema de variables y sus relaciones, las cuales conducen a conclusiones y al enriquecimiento de un campo del conocimiento o disciplina inherente a la Especialidad, con la sustentación de los experimentos y observaciones realizadas. (p.63). Simultáneamente, en el manual de presentación de trabajos de grado y tesis doctoral de la Universidad Pedagógica Experimental Libertador (2004), define como proyecto especial a: Trabajos que llevan a creaciones tangibles, susceptibles de ser utilizadas como soluciones a problemas demostrados, o que respondan a necesidades e intereses de tipo cultural. Se incluyen en esta categoría los trabajos de elaboración de libros de texto y de materiales de apoyo educativo, el desarrollo de software, prototipos y de productos tecnológicos en general, así como también los de creación literaria y artística (p.8). 51

67 En este sentido, se estudio un modelo autoridad de certificación PKI enfocada a la UNEXPO que pretendió satisfacer las expectativas actuales en el área de seguridad de las comunicaciones. Diseño de la Investigación En función del enfoque metodológico que se presento, el proceso de investigación se realizo a través de las tres fases fundamentales en la formulación de un proyecto especial: Fase I Diagnóstico; Fase II Diseño del Modelo de Autoridad de Certificación PKI y Fase III Comprobar el Modelo de Autoridad de Certificación PKI. Esta metodología esta definida en Barrios (2.004), de la siguiente manera: Fase I. Diagnóstico Comprendió el estudio de la situación que describe la organización en cuanto a la variable en estudio, para lo cual se desarrollará las primeras etapas de la metodología de análisis de información, a través de la aplicación de técnicas e instrumentos. Población y Muestra. Una población según Plaza (1994), es un conjunto de sujetos acerca de los cuales se busca información científica (p.47). En este sentido, el autor señala que para formar parte de una población los individuos deben sustentar que las afirmaciones finales de la investigación sean ciertas. En el caso de esta investigación, la población para diseñar un Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Politécnica Antonio José de Sucre Sede Rectoral, estará constituida por el conjunto de empleados de la Universidad entre los cuales estará el personal docente y el personal de técnico de redes, los cuales se detallan a continuación en el cuadro 4. 52

68 Cuadro 4 Descripción de la Población Descripción Cantidad Personal Docente 241 Personal Técnico del área de Redes 6 Total 247 Fuente: Autor (2012) En cuanto al concepto de muestra el mismo autor señala, es un subconjunto de la población, es decir, son aquellos sujetos que toman parte en el experimento representando a la población (p.47). En este sentido, al momento de realizar una toma de muestra se debe considerar como vital importancia que los miembros de dicha muestra tengan las características que los definen como miembro de la población y que no tengan ninguna que los defina como un subgrupo especial. En la presente investigación los sujetos de estudio estarán conformados por el total de (31) personas que laboran en la Universidad Nacional Politécnica Antonio José de Sucre Sede Rectoral. Técnicas e Instrumentos de Recolección de Datos Sabino (1992) expresa que el instrumento de recolección de datos es cualquier recurso de que se vale el investigador para acercarse a los fenómenos y extraer de ellos información. Partiendo de este concepto y contemplando los objetivos definidos en el proyecto, se empleo una serie de instrumentos y técnicas de recolección de información, orientadas de manera esencial a lograr la terminación del Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede rectoral. A los efectos de recabar la información concerniente a la investigación se aplico la técnica de la entrevista, según Ibáñez y López (1998) :..La entrevista es una forma oral de comunicación interpersonal, que tiene como finalidad obtener información en relación a un objetivo (p.10). 53

69 Dada la naturaleza del estudio también se aplico la técnica del cuestionario, en relación a esto Córdoba (2008), expresa es un sistema de preguntas racionales, ordenadas en forma coherente, tanto desde el punto de vista lógico como psicológico, expresadas en un lenguaje sencillo y comprensible, que generalmente responde por escrito la persona interrogada, sin que sea necesaria la intervención de un encuestador (p.29). Validez del Instrumento De acuerdo con Turnbull (1994), expresa la validez del instrumento son las medidas de la calidad de un instrumento, sin ellas no tiene ninguna utilidad y los resultados arrojados por instrumento de baja validez, no tienen ninguna aplicación científica (p.50). En este sentido, el autor marca que la validez establece la relación del instrumento con las variables que pretende medir. De igual manera, el autor anteriormente citado señala que la validez con respecto a un criterio, es la relación existente entre las puntuaciones obtenidas al aplicar el instrumento de medición y una variable independiente externa (criterio), de la cual también se efectúa una medición a los mismos sujetos. El interés de que haya relación entre las puntuaciones obtenidas en la aplicación del instrumento y las obtenidas en la medición de la variable seleccionada como criterio, está en que ello permitirá que el instrumento se convierta en predictor de lo que puede esperarse como desempeño de un individuo en la variable de referencia. Confiabilidad del Instrumento Hernández y otros (1.996), consideran que la confiabilidad de un instrumento de medición, es la capacidad que tiene de registrar los mismos resultados en repetidas ocasiones, con una misma muestra y bajo las mismas condiciones (p.123). En este sentido, el criterio de confiabilidad del instrumento, se determino en la presente investigación, por el coeficiente de Alfa Cronbach, desarrollado por J. L. 54

70 Cronbach, en él se requiere de una sola administración del instrumento de medición y produce valores que oscilan entre cero y uno. Es aplicable a escalas de varios valores posibles, por lo que puede ser utilizado para determinar la confiabilidad en escalas cuyos ítems tienen como respuesta más de dos alternativas. Su fórmula determina el grado de consistencia y precisión necesaria para determinar la confiablidad. Técnicas de Análisis de los Datos Los resultados que fueron obtenidos se analizaron mediante la estadística descriptiva, Solano y Álvarez (2005) señala que se compone de aquellos métodos que incluyen técnicas para recolectar, presentar, analizar e interpretar datos (p.7). Fase II. Diseño del Modelo de Autoridad de Certificación PKI Una vez identificada la necesidad en la fase de diagnóstico de diseñar un Modelo de Autoridad de Certificación PKI enfocada a la Universidad Experimental Politécnica Antonio José de Sucre sede Rectoral, se procedió a la fase del diseño de un modelo de infraestructura de clave pública jerárquica de raíz, basado en la investigación documental y estudios realizados. Fase III. Comprobar el Modelo de Autoridad de Certificación PKI Luego de realizar la fase del diseño del Modelo de Autoridad de Certificación PKI se procedió a la comprobación y operación del mismo, el cual se aplico de la siguiente manera: Instalación y Configuración: Manejo de certificados y claves. 55

71 CAPITULO IV PROPUESTA DEL ESTUDIO Una vez concluida la fase de recolección de los datos, en una investigación científica, es necesario que se analice, interprete y se presente la información obtenida. Este capítulo trata los relacionados con el análisis e interpretación de los resultados encontrados en el estudio propuesto. Luego de aplicarse el instrumento de recolección de datos, que se diseño para la investigación en estudio, que trata sobre el Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral, se presenta a continuación la información recaudada. Fase I: Diagnóstico La recolección de los datos se hizo mediante la aplicación de dos (2) instrumentos: una (1) entrevista estructurada (Anexo A ), la cual constó de trece (13) preguntas abiertas y un cuestionario estructurado (Anexo B ) el cual constó de veintiuno (21) ítems cerrados dicotómicas que miden las actitudes y opiniones con el método de Kuder-Richardson, según Aiken (2003) es una medida de consistencia interna confiabilidad para las medidas con opciones dicótomas (Pág. 182). Validez y Confiabilidad de los Instrumentos Con el fin de evaluar los ajustes requeridos para admitir el contenido del instrumento de levantamiento de información utilizados, se sometió a dicho 56

72 instrumento que conforman la entrevista y cuestionario a la validez de criterios por juicio de expertos a través del formato para la validación del instrumento (Anexo C ). Para efectos del instrumento cuestionario el cual se aplicó a una muestra de estudio que contempla (25) personas de las cuales (3) personas no respondieron al instrumento por lo cual existe la mortalidad muestra, según Fandos (2007) consiste en la desaparición de integrantes de la muestra a lo largo de un tiempo por diversas causas (Pág. 595), los mismos integrantes de la muestra laboran en la UNEXPO sede Rectoral Barquisimeto en el área de electrónica, los resultados obtenidos de la aplicación del cuestionario se le calculó la confiabilidad del instrumento a través del método Kuder Richardson el cual arrojo un coeficiente de confiabilidad Kr = 80,81 % (Anexo D ), según criterio del mencionado autor, se considera bastante aceptable el instrumento creado por lo que la recolección de información utilizada en esta investigación goza de una confiabilidad bastante aceptable. Técnicas de Análisis y Presentación de los Resultados Las técnicas que se utilizaron para la obtención de información referente a la investigación fueron las siguientes: Aplicación de unas entrevistas a los administradores de redes los cuales son los encargados del proceso concerniente a la seguridad de la información. Aplicación de un cuestionario al personal docente que labora en el área de electrónica de la institución UNEXPO. Resultado de la Entrevista La entrevista (Anexo A ) fue aplicada a los administradores de redes, esto con el fin de corroborar el estado de la seguridad informática, la muestra utilizada se le coloco los nombres de administradores de redes enumerados para la protección de la confidencialidad de sus identidades, con el fin de no contaminar la población 57

73 objeto de estudio, en este sentido, se obtuvieron como resultado las siguientes respuestas para cada una de las preguntas analizadas en el cuadro 5: Cuadro 5 Matriz de Registro de la Entrevista Pregunta Respuesta Obtenida Análisis 1. Cuáles herramientas maneja usted para proporcionar a los usuarios la integridad de la información? 2. Qué herramientas aplica usted para proporcionar la autenticación de la información entre los integrantes del departamento y la de los usuarios? 3. Cuáles herramientas implementa usted para proporcionar la confidencialidad de la información entre los integrantes del departamento y la de los usuarios? 4. Qué herramientas efectúa usted para asegurar el no repudio de la información entre los integrantes del departamento y la de los usuarios? Administrador de red Nº1: la integridad la mantiene el mismo usuario por uso de carpetas. Administrador de red Nº2: la integridad es la seguridad de acceso. Administrador de red Nº3: la integridad la mantiene con Active Directory. Administrador de red Nº4: la integridad la mantiene con Active Directory. Administrador de red Nº1: a través de un LDAP que usa Active Directory. Administrador de red Nº2: se autentifica por servicio de conexión LDAP con correo. Administrador de red Nº3: se mantiene con Active Directory. Administrador de red Nº4: se da con el servidor de dominio. Administrador de red Nº1: se mantiene con una carpeta personal guardada en el servidor. Administrador de red Nº2: la confidencialidad la da un repositorio privado. Administrador de red Nº3: se mantiene con Active Directory. Administrador de red Nº4: se mantiene con Active Directory. Administrador de red Nº1: se aplica con el sistema de contraseña. Administrador de red Nº2: se maneja con la ejecución del intento de la contraseña. Administrador de red Nº3: no se aplica. Administrador de red Nº4: no se aplica. 58 En este ítem se evidencia la no existencia de una herramienta de proporciones integridad de la información. Como por ejemplo, se pudiera manejar una infraestructura de clave pública que genere este punto de seguridad. La autenticación se utiliza bajo un software propietario, lo cual genera un costo a la institución. Pudiéndose utilizar un software libre. La confidencialidad debe manejarse por completo por medio de la institución. Es por ello que se propone la infraestructura de clave pública. Se debe aplicar alguna herramienta que proporcione la medida del no repudio como protección de la seguridad de la información. Tal es el caso del modelo de una infraestructura de clave pública que posee esta medida de seguridad.

74 5. Conoce usted de la herramienta firma digital? En caso afirmativo justifique su respuesta. 6. Para usted cual es la importancia y la necesidad de implementar la firma digital? 7. Conoce usted los certificados digitales? En caso afirmativo justifique su respuesta. 8. Cuál es la importancia y la necesidad de la ejecución de certificados digitales? 9. Conoce usted el concepto de lista de revocación? En caso afirmativo justifique su respuesta. 10. Desde su punto de vista cual es el valor y la necesidad Administrador de red Nº1: si la conozco, aquí no se utiliza. Administrador de red Nº2: si la conozco, aquí no se utiliza. Administrador de red Nº3: si la conozco, aquí no se utiliza. Administrador de red Nº4: si la conozco, aquí no se utiliza. Administrador de red Nº1: es importante para el reconocimiento de la persona indicada. Administrador de red Nº2: es importante para la protección de la información. Administrador de red Nº3: para la seguridad. Administrador de red Nº4: para la seguridad. Administrador de red Nº1: si la conozco. Administrador de red Nº2: si la conozco, se utiliza en las transferencias bancarias. Administrador de red Nº3: si la conozco, aquí no se utiliza. Administrador de red Nº4: si la conozco, aquí no se utiliza. Administrador de red Nº1: importante para los servicios en líneas. Administrador de red Nº2: para servicios bancarios. Administrador de red Nº3: se utiliza para las inscripciones en línea. Administrador de red Nº4: se utiliza para las inscripciones en línea. Administrador de red Nº1: no la conozco, aquí no se utiliza. Administrador de red Nº2: no la conozco, aquí no se utiliza. Administrador de red Nº3: no la conozco, aquí no se utiliza. Administrador de red Nº4: no la conozco, aquí no se utiliza. Administrador de red Nº1: no tengo conocimiento. 59 Establecer un plan de concienciación de la importancia de utilizar la firma digital e implantar una herramienta donde se aplique dicha función. Se analiza la necesidad de la función de la firma digital para adicionar las medidas de seguridad con el fin de detectar hechos ilegales. Se observa la falta de atención en el manejo de la seguridad, conviene usar una herramienta que contemple la función del certificado digital. Se encuentra la insuficiencia de esta medida de seguridad en la institución, se sugiere aplicar la vinculación que ofrece el certificado digital con la entidad del usuario y una clave para así lograr genera una medida adicional de seguridad. Establecer la utilización de certificados digitales para así tener conocimiento del concepto de lista de revocación. No existe esta herramienta en la institución.

75 del manejo de la lista de revocación? 11. Conoce usted los protocolos criptográficos? 12. Cuál es la importancia y la necesidad de la práctica de protocolos criptográficos? 13. Qué protocolos criptográficos implantaría usted para proporcionar las medidas de seguridad dichas anteriormente? Fuente: Autor (2012) Administrador de red Nº2: no tengo conocimiento. Administrador de red Nº3: no tengo conocimiento. Administrador de red Nº4: no tengo conocimiento. Administrador de red Nº1: Si. Administrador de red Nº2: Si. Administrador de red Nº3: Si. Administrador de red Nº4: Si. Administrador de red Nº1: se aplica para el manejo de las contraseñas y realización de servicios. Administrador de red Nº2: se utiliza con el correo y demás contraseñas. Administrador de red Nº3: aquí no se utiliza. Administrador de red Nº4: aquí no se utiliza. Administrador de red Nº1: SHA. Administrador de red Nº2: SHA. Administrador de red Nº3: no tengo respuesta. Administrador de red Nº4: no tengo respuesta. Se realza el conocimiento básico de tal concepto. Es importante ver las ventajas que trae este concepto como base en la seguridad de la información. La utilización de SHA no abarcar toda las medidas de seguridad. Sin embargo, es el utilizado en el mercado. Con toda la información recopilada de la entrevista se llegó a la conclusión de que las medidas de seguridad por parte de la institución se aplican de una manera eficaz con programas que son bajo licencia privativas, pero no ofrecen información ni aplicaciones de los conceptos de firma digital y certificados digitales, que son herramientas que actualmente se manejan y las cuales proporcionan seguridad de la información. Resultados del Cuestionario El análisis y resultados de la aplicación del cuestionario se le realizó la precodificación de las alternativas de respuestas de dicho cuestionario, se le asigno el 60

76 valor uno (1) a SI y el valor cero (0) a NO el cual fue dirigido al personal docente del área de electrónica que labora en Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral. La tabla del Método de Kunder Richarson para todas las preguntas del cuestionario se presenta en el (Anexo D ). A continuación se realiza el respectivo grafico representativo y el detalle de lo observado estadísticamente tabulado. Cuadro 6 Preservación de la Integridad Informática. Ítems Cree usted que es importante preservar su información libre de modificaciones no autorizadas? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 1 14% SI NO 86% Gráfico 1. Preservación de la Integridad Informática En el gráfico Nº 1 y cuadro Nº 6, el personal docente manifiesta la importancia de mantener la integridad de su información con un ochenta y seis por ciento (86%), resaltando la necesidad de tener la seguridad informática en su área laboral. 61

77 Cuadro 7 Resguardo de la Integridad Informática. Ítems Resguarda la información de su PC con un sistema de seguridad? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 2 59% 41% SI NO Gráfico 2. Resguardo de la Integridad Informática. Se observa en el gráfico Nº 2 y cuadro Nº 7, se evidencia la falta de medida de seguridad informática con un cincuenta y nueve por ciento (59%) por parte de los docentes para manipular su información. 62

78 Cuadro 8 Modificación de la Integridad Informática. Ítems Posee una forma de averiguar si se le hizo modificaciones a la información? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 3 0% SI NO 100% Gráfico 3. Modificación de la Integridad Informática. En el gráfico Nº 3 y cuadro Nº 8 se muestra una clara tendencia del cien por ciento (100%) de los encuestados que manifiesta no operar ningún programa que le proporcione seguridad informática. 63

79 Cuadro 9 Procedimientos de Autenticación Informática. Ítems Tiene procedimientos que verifiquen su identidad al momento de acceder a un medio informático? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 4 59% 41% SI NO Gráfico 4. Procedimientos de Autenticación Informática. Se observa en el gráfico Nº 4 y cuadro Nº 9 con un cincuenta y nueve por ciento (59%) que los procedimientos de autenticación de personal se encuentran en un perfil medio en el área de seguridad informática. 64

80 Cuadro 10 Alteración de Autenticación Informática. Ítems Utiliza periódicamente un proceso de cambio de contraseña? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 5 59% 41% SI NO Gráfico 5. Alteración de Autenticación Informática. Se analiza del gráfico Nº 5 y cuadro Nº 10, el proceso de cambio de contraseña es de poca relevancia para los docentes de la institución, colocando de segundo plano la seguridad informática. Este ítem es notable a la hora de establecer el Modelo de Autoridad de Certificación, ya que se debe cultivar a la comunidad del manejo de claves. 65

81 Cuadro 11 Complejidad de Autenticación Informática. Ítems Su contraseña posee complejidad para hacerla segura? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 6 23% SI NO 77% Gráfico 6. Complejidad de Autenticación Informática. Se puede considerar del gráfico Nº 6 y cuadro Nº 11 los encuestados consideran que sus claves son complejas con un setenta y siete por ciento (77%) al momento de crearlas, subsanando así un poco la falta de seguridad informática que ellos mismos manejan. 66

82 Cuadro 12 Mecanismo de Confiabilidad Informática. Ítems Existe un mecanismo que registre los accesos no autorizados a la información? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 7 0% SI NO 100% Gráfico 7. Mecanismo de Confiabilidad Informática. Se examina en el gráfico Nº 7 y cuadro Nº 12 un claro desconocimiento de cien por ciento (100%) sobre los mecanismos que existe para comprobar la confiabilidad en la seguridad informática. 67

83 Cuadro 13 Clasificación de la Confiabilidad Informática. Ítems Clasifica la información de su PC entre pública y privada? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 8 18% SI NO 82% Gráfico 8. Clasificación de la Confiabilidad Informática. Se coteja en el gráfico Nº 8 y cuadro Nº13, con un ochenta y dos por ciento (82%) de los encuestados no tienen plasmado claramente la idea de llevar a cabo las mínimas normas de seguridad informática, con el solo hecho de una clasificación concisa de su información. 68

84 Cuadro 14 Manejo de la Confiabilidad Informática. Ítems Considera usted que el intercambio de información que realiza vía Internet es segura? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 9 23% SI NO 77% Gráfico 9. Manejo de la Confiabilidad Informática. Se contrasta en el gráfico Nº 9 y cuadro Nº 14, que el personal encuestado con un setenta y siete por ciento (77%) tiene conciencia que los intercambios que ejecuta por Internet son inseguros y pueden caer en una medida fraudulenta, donde la seguridad informática se ve en riesgo constante. 69

85 Cuadro 15 Comprobación del No Repudio Informático. Ítems Usted comprueba el origen de la información que recibe? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº % SI NO 73% Gráfico 10. Comprobación del No Repudio Informático. Se observa en el gráfico Nº 10 y cuadro Nº 15, que los encuestados poseen conciencia del valor que tiene que el origen de su información sea con la participación de la persona correcta con un setenta y tres por ciento (73%). Hay recae un punto resaltante para el establecimiento del Modelo de Autoridad de Certificación. 70

86 Cuadro 16 Manejo del No Repudio Informático. Ítems Maneja usted un servicio que asegure la identidad de la persona con quien intercambia información? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 11 5% SI NO 95% Gráfico 11. Manejo del No Repudio Informático. Se evidencia claramente con un noventa y cinco por ciento (95%) en el gráfico Nº 11 y cuadro Nº 16 el personal encuestado no utiliza ningún servicio que comprueba si la persona involucrada es la correcta, dejando una brecha de incertidumbre del origen de la información y acarreando un problema de falta de seguridad informática. 71

87 Cuadro 17 Conocimiento de la Firma Digital. Ítems Categoría de Respuestas SI % NO % Conoces la existencia de la firma digital? Fuente: Autor (2012) Pregunta Nº % SI NO 77% Gráfico 12. Conocimiento de la Firma Digital. Se comprueba en el gráfico Nº 12 y cuadro Nº 17 los encuestados poseen la noción de la firma digital, mostrando con un setenta y siete por ciento (77%) que poseen el conocimiento requerido del concepto para instruirlos a utilizar esta medida de seguridad. 72

88 Cuadro 18 Utilidad de la Firma Digital. Ítems Crees que la firma digital es una herramienta útil? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº % SI NO 86% Gráfico 13. Utilidad de la Firma Digital. Se manifiesta en el gráfico Nº 13 y cuadro Nº 18 la opinión positiva mayoritaria con un ochenta y seis por ciento (86%) de los encuestados demostrando así la utilidad que tiene la firma digital hoy en día. Además se puede inferir que es significativa la utilización de esta medida de seguridad, la cual se puede abarcar con el Modelo de Autoridad de Certificación. 73

89 Cuadro 19 Empleo de la Firma Digital. Ítems Utiliza la firma digital en algún tipo de mensajes digital o documento electrónico? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº % SI NO 82% Gráfico 14. Empleo de la Firma Digital. Es visible con un ochenta y dos por ciento (82%) en el gráfico Nº 14 y cuadro Nº 19, que los encuestados no ven lo resaltante del uso de la herramienta firma digital y las ventajas que consigo trae, por lo tanto hay que crear conciencia a la población de esta medida de seguridad. 74

90 Cuadro 20 Facilitación de Certificados Digitales. Ítems Sabe usted si la institución donde labora expide certificados digitales de manera sencilla? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 15 0% SI NO 100% Gráfico 15. Facilitación de Certificados Digitales En el gráfico Nº 15 y cuadro Nº 20, la notoriedad de la falta de conocimiento del encuestado sobre si la institución maneja la herramienta de certificados digitales se puede contemplar a simple vista, en este caso al momento que la institución plantee utilizar esta medida de seguridad debe hacer un avance informativo. 75

91 Cuadro 21 Instalación de Certificados Digitales. Ítems En su navegador se encuentra instalado un certificado digital? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº % 41% SI NO Gráfico 16. Instalación de Certificados Digitales El gráfico Nº 16 y cuadro Nº 21, se expone que los encuestados tienen conocimiento y usan los certificados digitales para realizar algunas tareas, pero un cincuenta y nueve por ciento (59%) refleja que la mayoría de los encuestados no manipulan esa medida de seguridad. 76

92 Cuadro 22 Disposición de Certificados Digitales. Ítems Dispone de un certificado de seguridad al momento de realizar un trámite de comercio electrónico? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº % 68% SI NO Gráfico 17. Disposición de Certificados Digitales Se considera en el gráfico Nº 17 y cuadro Nº22 con un sesenta y ocho por ciento (68%) que los encuestados no poseen un certificado digital a la mano para poder realizar los trámites de comercio electrónico generando así una brecha de inseguridad informática. Esto puede conducir a que no existan medidas de seguridad sobre el manejo de información, lo cual es fundamental dentro de una institución que pretenda garantizar seguridad de la información. 77

93 Cuadro 23 Vencimiento de Certificados Digitales. Ítems Usted chequea el vencimiento de un certificado digital? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº % SI NO 82% Gráfico 18. Vencimiento de Certificados Digitales Se verifica por casi la totalidad en el gráfico Nº 18 y cuadro Nº23 con un ochenta y dos por ciento (82%) que las personas encuestadas no saben que los certificados digitales poseen un límite de tiempo al momento de generarlos, trayendo como consecuencia la mala manipulación e implementación de esta medida de seguridad. 78

94 Cuadro 24 Presencia de Lista de Revocación. Ítems Categoría de Respuestas SI % NO % Sabe de la existencia de Lista de Revocación? Fuente: Autor (2012) Pregunta Nº % 82% SI NO Gráfico 19. Presencia de Lista de Revocación Se ve en el gráfico Nº 19 y cuadro Nº 24 con un ochenta y dos por ciento (82%) que los encuestados no se encuentran familiarizados con el concepto de lista de revocación el cual viene de la mano cuando se realiza el uso de un certificado digital. 79

95 Cuadro 25 Uso de Protocolos Criptográficos. Ítems Usa un sistema que oculte un mensaje para que solo pueda ser leído por el destinatario? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 20 0% SI NO 100% Gráfico 20. Uso de Protocolos Criptográficos En el gráfico Nº 20 y cuadro Nº 25 se muestra claramente que los encuestados no utilizan en lo absoluto ninguna medida de seguridad con que puedan hacer un cambio en su información para después manipularla más segura en las vías que elijan para hacer el envió de dicha información. 80

96 Cuadro 26 Técnica de Protocolos Criptográficos. Ítems Recurre usted a una técnica que ejecute cambios de significado de la información para asegurar la comunicación? Fuente: Autor (2012) Categoría de Respuestas SI % NO % Pregunta Nº. 21 0% SI NO 100% Gráfico 21. Técnica de Protocolos Criptográficos En el gráfico Nº 21 y cuadro Nº26, se nota con un cien por ciento (100%) que los encuestados no recurren a ninguna medida de seguridad que asegure las comunicaciones que realizan en su jornada cotidiana, hecho relevante a la hora de pretender garantizar seguridad de la información. 81

97 Con todo este levantamiento de información que se generó con el instrumento del cuestionario se pudo observar lo siguiente, en el término de seguridad informática que fue subdividido en cuatro ítems: (A): integridad, (B): autenticación, (C): confiabilidad y (D): no repudio. A. La integridad de la información, los encuestados demuestran lo importante que es para ellos poseer la información fidedigna, pero a la vez están claros que no utilizan un sistema de seguridad que resguarde y les informe si su información fue alterada. B. La autenticación, el personal encuestado declara que no existe procedimientos de identificación de personas para acceder a un medio informático, a la vez no ejecutan periódicamente el cambio de sus contraseñas aunque si las consideran complejas al momento de crearlas, pero eso no asegura que se pueda romper esa seguridad que ellos ejecutan, más bien abre una brecha de inquietud sobre lo que ellos consideran que significa la seguridad informática. C. La confiabilidad, con este ítem se determina que existe un desconocimiento de los mecanismo que comprueban la confiabilidad adicionándole a esto que el personal encuestado no realizan una clara división de su información entre lo que debería ser público y lo que es privado. D. No repudio, se refleja en la muestra encuestada como un concepto que no se le da ningún uso, trayendo como consecuencia el desconocimiento total del origen de la información que el personal encuestado recibe constantemente. El segundo término que es medidas de seguridad, se manipula en el cuestionario y fue subdivido en cuatro conceptos: (A): Firma Digital, (B): Certificado Digital, (C): Lista de Revocación y (D): Protocolos Criptográficos. A. Firma digital, este concepto arrojo como resultado en el cuestionario realizado que la muestra posee una noción clara del término, además que están 82

98 consiente que es de gran utilidad actualmente pero también muestra que no utilizan esta herramienta en su vida diaria. B. Certificado digital, aquí se comprueba que el personal encuestado no realiza un uso correcto de esta medida de seguridad, ya que declaran que lo tienen instalado en su navegador pero más no lo manejan para realizar transacciones vía electrónica y tampoco poseen conocimiento si la institución donde laboran ofrece esta ventaja. C. Lista de revocación es el tercer concepto, se observan que es un concepto completamente desconocido para la muestra. D. Protocolos Criptográficos, con el se muestra que el uso es conocido por el personal encuestado, pero no realizan el manejo de esta medida de seguridad. Fase II Diseño del Modelo de Autoridad de Certificación PKI La presente fase se centra en describir el análisis y diseño del prototipo PKI a desarrollar, para esto se define las funcionalidades del modelo, la descripción de las características de los componentes involucrados en éste y la identificación de los datos utilizados junto con los cambios que éstos sufren durante la ejecución de las funcionalidades. El ámbito específico de este prototipo corresponde al desarrollo de una autoridad de certificación para la implementación de una PKI. Esta Autoridad Certificadora permitirá principalmente la emisión, validación y publicación de certificados y lista de revocación. El ámbito del prototipo quedará restringido a sólo una CA, ya que se considera ésta como suficiente para probar la tecnología PKI. Además aumentar el número de CA para un prototipo no tiene mayor sentido, ya que la cantidad de usuarios será limitada, hacer esto también aumentaría los requerimientos de administración de confianzas, validación de caminos de 83

99 certificación y necesidades de hardware, entre otros, lo que está demás para efectos demostrativos. Modelo Estático En esta sección se presenta un modelo sin flujo de información de los componentes del modelo para tener una definición clara de los actores involucrados. Como muestra la figura 9, el modelo estará compuesto por los usuarios o solicitantes de certificación, la autoridad de registro, el prototipo de aplicación CA, una base de datos donde se almacenará información de los usuarios y sus certificados y un repositorio donde se publicarán los certificados y listas de revocación. Figura 9: Modelo Estático Prototipo CA. Fuente: Diseño de una PKI para el desarrollo de aplicaciones bancarias. Autor: Arcos (2002). 84

100 Usuarios Son los propietarios de las claves y titulares de certificados. Proporcionan información para completar los campos correspondientes de los certificados digitales y la base de datos de la CA. La descripción de sus funciones se puede observar en el cuadro 27. Cuadro N 27. Descripción Actor Usuarios. Función Solicitar Certificación Tipo Personal Solicitar Revocación Descripción - Formato Inicia certificación de identidad digital, debe adjuntar información para certificación en persona. Nombre, rut, ciudad, región, país. Permite dar aviso de certificado no valido, debe adjuntar información mediante correo, teléfono o personalmente. Fuente: La Autora (2012) Nombre, N serie certificado, causa revocación. Autoridad Registro Es la entidad encargada de verificar los datos de las personas que solicitan el certificado y se encarga de todos los procesos administrativos relacionados con los certificados. La descripción de sus funciones se puede observar en el cuadro

101 Cuadro N 28. Descripción Autoridad Registro. Función Validación de Usuario Descripción - Formato Verificar la identidad del usuario. Manejo de Peticiones Modificación, aprobación y eliminación de las peticiones de certificado realizadas por los usuarios. Comunicación con la CA Exportar a la CA para que sea firmado y emitido al usuario correspondiente. Fuente: La Autora (2012) Autoridad de Certificación Autentifica información de solicitudes de los usuarios, genera claves y las asocia a los solicitantes emitiendo el certificado digital correspondiente que almacena en su base de datos y que posteriormente publica a un subdirectorio donde publica también las CRL. La descripción de sus funciones se puede observar en el cuadro 29. Cuadro N 29. Descripción Autoridad de Certificación. Función 86 Descripción - Formato Generar Claves CA Crear par de claves propias de la CA que utiliza para firmar los certificados y CRL que emite bits. Generar Claves Usuarios Crear par de claves para usuarios. Emitir Certificados Revocar Certificados Publicar CRL Publicar Certificados Importa Claves Fuente: La Autora (2012) Crear certificados digitales con información del solicitante y de sus claves. Cambia estado de certificado en la base de datos a no valido para agregarlo a una futura CRL. Crea archivo con lista de certificados no válidos y lo deposita en un subdirectorio, con causa de revocación. Crea archivo de certificado y lo deposita en un subdirectorio Crea un archivo protegido por contraseña que contiene claves de usuario y certificados

102 Reposorio Se lo utiliza para el almacenamiento público de certificados y lista de certificados revocados. Modelo Funcional Este modelo que se muestra en la figura 10, tiene el objetivo de visualizar la dinámica del proceso de certificación de los usuarios y organizar que es lo que hace cada parte en el diseño, muestra la interrelación a alto nivel de los componentes principales del prototipo y el flujo de información entre las funcionalidades. Figura 10: Prototipo CA. Fuente: Autor (2012) 87

103 Proceso de Generar Claves de CA Administrador: carga la información solicitada para la creación de la clave de la CA. Generar Claves RSA CA: el proceso permite generar el par de claves con que la CA firmará los certificados de los usuarios, dichas claves tendrán un tamaño de RSA 2048 bits Cifrar Clave Privada: la clave privada será protegida con una contraseña por seguridad. Almacenar Claves CA: la claves y información de la CA será almacenada en un archivo o en la base de datos de la CA, el proceso debe quedar registrado en un archivo de eventos para su posterior auditoria. figura 11. El flujo de la secuencia de generar claves de CA se puede observar en la Figura 11: Proceso de Generar Claves de CA. Fuente: Autor (2012) Proceso de Emitir Certificado de la CA Completar Campos de Certificado: el proceso almacena información de la CA y su clave pública en un archivo de certificado bajo el formato X.509 v3. Firmar Certificados: posterior al siguiente paso se realiza la autofirma del certificad, ya que en nuestro caso la jerarquía superior es ella misma. 88

104 Verificar Firmas: Para corroborar la validez del certificado realiza una verificación de su firma para luego almacenarlo en la base de datos. Emitir Certificado CA: con el certificado de la CA realizado, se lleva a cabo el paso de exportarla para que todos puedan obtenerlo y dejar un registro del proceso en un archivo de eventos. 12. El flujo de la secuencia de emitir certificados se puede observar en la figura Figura 12: Proceso Emitir Certificado CA. Fuente: Autor (2012) Proceso Solicitud Certificación del Usuario Usuario: persona que genera la solicitud para un certificado digital introduciendo sus datos de identidad a través del portal web y dejando un sustento de su identidad ante el administrador. Verificar Solicitud Certificación: verifica la originalidad del usuario con la base de datos RA. 13. El flujo de la secuencia de emitir certificados se puede observar en la figura 89

105 Figura 13: Proceso Solicitud Certificación del Usuario. Fuente: Autor (2012) Proceso Generar Claves Usuario Administrador: genera la aceptación de la petición de certificación de un usuario. Generar Claves Usuarios: es la generación de las claves RSA de éste, con un tamaño de 1024 bits. Almacenar Claves CA: las claves son almacenadas en la base de datos de la CA, y para finalizar el proceso se registra en un archivo de eventos. figura 14. El flujo de la secuencia de generar claves de usuario se puede observar en la Figura 14: Proceso Generar Claves Usuarios. Fuente: Autor (2012) 90

106 Proceso Emitir Certificado de Usuario Completar Campos Certificado: el proceso se expande del proceso Generar Claves Usuario y almacena información de la identidad del usuario y su clave pública en un archivo de certificado bajo el formato X.509 v3. Firmar Certificados: busca la clave privada de la CA y firma el certificado. Verificar Firmas: para garantizar la firma del certificado se realiza una verificación con la clave pública de la CA. Emitir Certificado Usuario: almacena en la base de datos y dejar un registro del proceso en el archivo de eventos. la figura 15. El flujo de la secuencia de emitir certificados de usuario se puede observar en Figura 15: Proceso Emitir Certificado Usuarios. Fuente: Autor (2012) Proceso Publicar Certificado Buscar Certificado: el administrador hace la búsqueda del certificado ya sea de la CA o de los usuarios, en la base de datos CA y envía el certificado al siguiente paso. 91

107 Almacenar Certificado: permite almacenar el certificado ya sea de la CA o de los usuarios en un archivo físico para que pueda ser enviado a un repositorio público donde ser consultado. 16. El flujo de la secuencia de publicar certificado se puede observar en la figura Figura 16: Proceso Publicar Certificado. Fuente: Autor (2012) Proceso Revocar Certificado Usuario: persona que genera la solicitud de revocación del certificado. Verificar Solicitud Revocación: se verifica los motivos por los cuales el usuario declaro su solicitud de revocación del certificado. Administrador: acepta la solicitud de revocación de un usuario. Buscar Certificado: se realiza la búsqueda del certificado a revocar en la base de datos CA, envía la información del certificado y la causa de la revocación al siguiente paso. Revocar Certificado: cambia el estado de un certificado, de valido a revocado en la base de datos de la CA. El proceso se registra en el archivo de eventos. 92

108 17. El flujo de la secuencia de revocar certificado se puede observar en la figura Figura 17: Proceso Revocar Certificado. Fuente: Autor (2012) Proceso Publicar CRL Administrador: puede generar cada cierto tiempo la publicación de la lista de revocación. Buscar Certificado Revocado y Causa Revocación: realiza la búsqueda de los parámetros en la base de datos CA. Ingresar Información a CRL: ingresa la n de serie de certificados y su causa de la revocación. Firmar CRL: busca la clave privada de la CA y firma la lista de revocación. Verificar Firma CRL: para garantizar la firma lista de revocación se realiza una verificación con la clave pública de la CA. Almacenar CRL: almacena la lista de todos los certificados con el valor del campo Estado igual a Revocado dentro de la base de datos de la CA. El proceso se registra en el archivo de eventos. El flujo de la secuencia de publicar CRL se puede observar en la figura

109 Figura 18: Proceso Publicar CRL. Fuente: Autor (2012) Fase III. Comprobar el Modelo de Autoridad de Certificación PKI Esta fase tiene como función presentar el prototipo diseñado en la sección anterior, para esto se mostrarán las pantallas de su proceso de instalación y principales funcionalidades. A continuación se detallan todos los requerimientos tanto de software como de hardware para una instalación y configuración básica de una Entidad de Certificación. Tenga en cuenta que es necesario cumplir con los requerimientos mínimos, para poder ofrecer garantía con respecto al producto. Hardware Requerido: Este software requiere de un servidor web con una disponibilidad 7x24, se recomiendan servidores potentes. Sin embargo, para un funcionamiento correcto basta con las siguientes características: Procesador Pentium o Athlon de 1000Mhz o superior 512 MB de memoria RAM o más Tarjeta de red Ethernet Unidad de CDROM 24x o superior 94

110 Puertos SCSI y/o USB si se desea tener soporte HSM y/o para almacenamiento en tokens Es necesario tener dos (2) servidores con estas características. Uno de ellos actuará como CA y el otro como RA. Software Requerido: Se requiere una distribución de Linux, se recomiendan las siguientes distribuciones: Fedora 14 Descripción del Paquete: OpenCA es un producto Open Source, tiene como finalidad la administración precisa de identidades digitales y persigue el firme objetivo de que la Autoridad Certificadora provea los servicios para la generación y administración de Certificados Digitales, brinda toda la funcionalidad requerida para el montaje de la infraestructura PKI (Public Key Infraestructure). Incluye las siguientes interfaces: Interfaz CA: la interfaz de CA tiene todas las funciones que se necesitan para crear certificados y listas de certificados revocados (CRL). El CA también incluye todas las funciones que puede utilizar para cambiar la configuración a través de una interfaz web. Interfaz RA: Para realizar todas las actividades propias de una RA (Entidad de Registro) Interfaz LDAP: Para el manejo del repositorio de certificados digitales Interfaz PUB: Brinda todas las opciones requeridas para el usuario final. Solicitudes de certificados, revocación de certificados, etc. 95

111 Preinstalación Para el proceso de instalación de OpenCA, se han requerido de una serie de herramientas y librerías, las cuales han sido requeridas en el momento de realizar el proceso, algunas de ellas son: GCC: Es un compilador integrado del proyecto GNU para C, C++, Objective C y Fortran; es capaz de recibir un programa fuente en cualquiera de estos lenguajes y generar un programa ejecutable binario en el lenguaje de la máquina donde ha de correr. La sigla GCC significa "GNU Compiler Collection". Originalmente significaba "GNU C Compiler"; todavía se usa GCC para designar una compilación en C. G++ refiere a una compilación en C++. OPENSSL: Es un proyecto de software desarrollado por los miembros de la comunidad Open Source para libre descarga y está basado en SSLeay, desarrollado por Eric Young y Tim Hudson. Consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS). MySql: Es un sistema de gestión de bases de datos relacional, multihilo y multiusuario. Está desarrollado en su mayor parte en ANSI C. MySql-libs: Este proporciona las bibliotecas compartidas esenciales para cualquier programa cliente de MySQL 96

112 Perl: Es un lenguaje de programación diseñado por Larry Wall en Perl toma características del lenguaje C, del lenguaje interpretado shell (sh), AWK, sed, Lisp y, en un grado inferior, de muchos otros lenguajes de programación. Estructuralmente, Perl está basado en un estilo de bloques como los del C o AWK, y fue ampliamente adoptado por su destreza en el procesado de texto y no tener ninguna de las limitaciones de los otros lenguajes de script. Authen::SASL Es un mecanismo genérico para la autenticación utilizado por varios protocolos de red, proporciona un marco de aplicación que todos los protocolos deben ser capaces de compartir. El marco permite implementaciones diferentes de la clase de conexión que se ha conectado. El plugin necesario para la instalación de OpenCA es: Authen::SASL:: Perl: Este módulo implementa varios mecanismos y se lleva acabo íntegramente en Per. Wget: Es una herramienta libre que permite la descarga de contenidos desde servidores web de una forma simple. Su nombre deriva de World Wide Web (w), y de «obtener» (en inglés get), esto quiere decir: obtener desde la WWW. Actualmente soporta descargas mediante los protocolos HTTP, HTTPS y FTP. MOD_SSL: Proporciona un sistema de criptografía para Apache y el servidor web a través de la capa de sockets seguros (SSL v2/v3) y Transport Layer Security (TLS v1) 97

113 protocolos criptográficos con la ayuda de la Open Source SSL / TLS kit de herramientas OpenSSL. 1. Configuración Módulo de Seguridad SElinux: Fue necesario para esta distribución (Fedora), deshabilitar el módulo de seguridad SELinux, para hacerlo, simplemente edita el archivo config de SELinux, para abrir el archivo ejecuta lo siguiente en la terminal: $ su c sudo gedit /etc/selinux/config. Debido a que no permite la ejecución de los procesos de OpenCA, como se observa en la figura 19. Figura 19: Configuración Módulo de Seguridad SELinux. Fuente: Autor (2012) 98

114 2. Instalación de Paquetes Requeridos: A través del comando yum hacemos el proceso de descargar de las dependencias requeridas, como se observa en la figura 20, 21 y 22. #yum clean all # yum install gcc openssl openssl-devel mod_ssl mysql mysql-devel mysql-libs mysql-server perl perl-devel perl-xml-parser *Authen::SASL* *DB_File* *DBD::mysql* perl-class-dbi perl- BerkeleyDB perl-bdb db4* wget vim expat expat-devel Figura 20: Instalación de Paquetes. Fuente: Autor (2012) 99

115 Figura 21: Respuesta de Instalación de Paquetes. Fuente: Autor (2012) 100

116 Figura 22: Finalización de Instalación de Paquetes. Fuente: Autor (2012) 3. Configuración Base de Datos OpenCA: Para la instalación de OpenCA, se hará uso del sistema de base de datos Mysql (previamente descargado). La creación de la Base de Datos openca y asignación de privilegios a un usuario OpenCA nuevo se observa en la figura

117 Figura 23: Configuración Base de Datos OpenCA. Fuente: Autor (2012) 4. Descarga de Archivos Fuentes de OPENCA: Los archivos fuentes han sido descargados desde la página oficial de proyecto ( como se puede observa en la figura 24 y 25, en este caso se ha realizado la descarga a través del comando wget y a la vez se han puesto en una ruta específica donde se hará las labores de desempaquetado y posterior compilación a través del comando./configure (apoyado del compilador gcc, previamente descargado) que provee cada uno de los paquetes (tools y PKI). OpenCA Tools: El cual es un requisito previo para OpenCA PKI. OpenCA PKI (HALLOWEEN): El cual proporciona una solución completa para la gestión de la PKI. 102

118 Proceso OpenCA-Tools # mkdir /usr/local/openca-fuentes (creación de la carpeta) # mkdir /usr/local/opencauno (se utilizara más adelante para ejecutar el arranque) # cd /usr/local/openca-fuentes # wget Figura 24: Proceso de Descarga OpenCA Tools. Fuente: Autor (2012) Proceso OpenCa Base (PKI) # wget Figura 25: Proceso de Descarga OpenCA Base. Fuente: Autor (2012) 103

119 5. Descomprimir los paquetes: # cd /usr/local/openca-fuentes # tar xvzf openca-tools tar.gz # tar xvzf openca-base tar.gz Figura 26: Proceso de Descomprimir OpenCA Tools y Base. Fuente: Autor (2012) Para el buen funcionamiento de OpenCA, inicialmente se hará la compilación del paquete Tools, ya que es un prerrequisito de la instalación del paquete PKI como se observa en la figura Compilación Openca tools: # cd /usr/local/openca-fuentes/openca-tools #./configure # make clean # make # make install 104

120 Figura 27: Proceso de Compilación OpenCA Tools. Fuente: Autor (2012) 7. Creación de un archivo personalizado con la configuración con los parámetros de compilación para el paquete PKI: Este archivo como se observa en la figura 28 y 29, contendrá por ejemplo el nombre de la empresa certificadora, el nombre de la base de datos, el tipo de base de datos.. etc; llamado configuración, este documento va a ser creado dentro de la carpeta cd/usr/local/openca-fuentes/openca-base-1.1.1; con el siguiente contenido: 105

121 # host and port are senseless for IBM DB2 UDB 7.1 PREFIX=/usr/local/opencaUno WEB=${PREFIX}/httpd./configure \ --prefix=${prefix} \ --with-engine=no \ --with-httpd-user=apache \ --with-httpd-group=apache \ --with-openca-user=root --with-openca-group=nobody --with-httpd-fs-prefix=${web} \ --with-web-host=localhost \ --with-ca-organization="lisandroalvarado" \ --with-ca-country=ve \ --with-ldap-port=389 \ --with-ldap-root="cn=manager,o=openca,c=it" \ --with-ldap-root-pwd="openca" \ --enable-dbi \ --enable-rbac \ --enable-openscep \ --with-db-type=mysql \ --with-db-name=openca \ --with-db-host=localhost \ --with-db-port=3306 \ --with-db-user=openca \ --with-db-passwd="123456" \ --with-servic -account="ysbefigueredo@hotmail.com" \ --with-language=ve \ --with-hierarchy-level=ca 106

122 Figura 28: Creación del Archivo de Configuración. Fuente: Autor (2012) siguiente: Para acceder el archivo donde se va a colocar los datos es de la manera # cd /usr/local/openca-fuentes/openca-base # vim script.sh (Aquí ponemos el contenido anteriormente descrito) #chmod 775 script.sh #./script.sh # make clean # make 107

123 Figura 29: Respuesta de la Creación de Archivos. Fuente: Autor (2012) En este paso ya debemos elegir cual de la siguiente configuración en la PC se desea, las configuraciones básicas son las siguientes: Si se desea que la instalación sea distribuida, es decir, que el PUB y el RA este en un sólo equipo se ejecuta a el comando. # make install-online. Si se desea sólo instalar la entidad emisora (CA), se requiere el comando. # make install-offline. Si se desea todos los servicios en el mismo equipo. # make install-offline install-online. 108

124 Después de elegir que distribución realizar ejecutarlo de la siguiente manera: openca-base-1.1.1]# make install 8. Descarga de unos archivos que corrigen el error al arrancar el servicio de OpenCA y los sobrescribimos en sus respectivas rutas. Ya que a la hora de la instalación va a surgir una serie de errores, este error ha sido descrito en la wiki oficial de OpenCA: ( A continuación se observa en la figura 30 el código para arreglar el error. # cd /usr/local/opencauno # wget # wget # scp User.pm lib/openca/perl_modules/perl5/openca/user.pm # scp initserver lib/openca/functions/initserver 109

125 Figura 30: Solución de Error del Iniciación OpenCA. Fuente: Autor (2012) 9. Arranque OpenCA. Realizar los siguientes pasos como se observa en la figura 31 de código para inicializar el programa: cd /usr/local/opencauno/ opencauno]# cd etc/ opencauno]# cd etc/ etc]# cd openca 110

126 openca]#./configure_etc.sh (para guardar todos los cambios anteriores) openca]# cd /usr/local/openca-archivos/openca-base openca-base-1.1.1]# cd /usr/sbin/ sbin]# ln s/usr/local/opencauno/etc/init.d/openca openca (creación de un enlace simbólico al archivo que inicia el servicio en la ruta donde se ponen los archivos que inician los servicios del sistema operativo) sbin]#exit cd /usr/local/ local]# chmod R 777 opencauno/ (otorgar permiso para el entorno grafico) (Se comienza a levantar los servicios en este orden para que no exista error en el soket) [root@server]#service msqld restart; [root@server]#service httpd restart; [root@server]#openca start; (En este arranque le va a pedir una clave para el acceso web, tener cuidado ya que sin ella no podrá acceder al OpenCA vía web). Figura 31: Arranque OpenCA. Fuente: Autor (2012) Entorno Web OpenCa Inicialmente se ha realizado la inicialización de las variables de OpenCA, una de ellas relacionada a la creación de las tablas en la base de datos openca, que previamente se había creado. Se coloca en el navegador y obtendrá la siguiente pantalla que se observa en la figura 32, una vez hay seleccionar la carpeta CA. 111

127 Figura 32: Carpetas OpenCA Web. Fuente: Autor (2012) Los datos de acceso al sistema que solicita la pantalla inicial que se muestra en la figura 33 son: Usuario: admin Clave: la que fue introducida al momento de arrancar el OpenCA. 112

128 Figura 33: Pantalla Inicio OpenCA Fuente: Autor (2012) Una vez en el sistema en la pantalla principal que se observa en la figura 34 y 35, se selecciona PKI Init & Config, Initialization, DB Key and Cert Init, para inicializar la base de datos. 113

129 Figura 34: Pantalla Principal OpenCA Fuente: Autor (2012) 114

130 Figura 35: Pantalla Inicio de Base de Datos OpenCA Fuente: Autor (2012) Una vez realizado la inicialización de la base de datos, se va a la consola para verificar su creación, el resultado que se obtiene se encuentra reflejado en la figura

131 Figura 36: Vista creación de tablas OpenCA Fuente: Autor (2012) Ya realizada la instalación del Openca se realiza los pasos de configuración de la interfaz CA y RA que se observan en el anexo E. Seguidamente en el anexo F se realiza la configuración de los certificados de los Operadores de la CA y RA, por ultimo en el anexo G se encuentra como se realiza la solicitud, generación expedición de certificado para un usuario de la Infraestructura de Clave Publica. y 116

132 CAPITULO V CONCLUSIONES Y RECOMENDACIONES Conclusiones 1. El diagnóstico acerca de la situación actual en materia de seguridad informática contenida en los sistemas de la Universidad Nacional Experimental Politécnica Antonio José de Sucre Sede Barquisimeto, permite concluir, basándose en la data recolectada intrainstitucionalmente, que existen aspectos que revelan su vulnerabilidad, dichos aspectos que se derivan del estudio son: En relación con la confidencialidad: se establece que consta un desconocimiento por parte de los usuarios de los mecanismo que comprueban la confiabilidad, aún cuando según la data, existen mecanismos para identificar a los usuarios, estos no son igualmente estrictos entre los sistemas, dando de esta manera cabida a posibles situaciones de fraude en la información y conllevando al personal que labora en ellos a otorgar cierta parte del manejo de confiabilidad a criterio de los usuarios. En relación con la integridad: con la data recabada se puede concluir, que también en esta área existe vulnerabilidad que pone en riesgo al usuario que esté autorizado para la creación, modificación, cambio o revocación de la información manejada en los sistemas de la institución. Lo antes dicho, se observa en las opiniones que se recabaron donde se considera poco confiable la exactitud de la información tal cual fue generada. 117

133 De igual manera, el uso de sistemas criptográficos como parte de la identidad electrónica, de los usuarios, no certificada legalmente sería en parte propensa de ser vulnerada sino conlleva una autoridad que de fe de la originalidad de la identidad. En relación a la autenticación: se puede concluir que el hecho de identificar la persona que generó una información la realiza un sistema informático propietario bajo licencia con la utilización de cuentas de usuario y contraseña de acceso. El uso de este sistema genera un costo a la institución que se puede sustituir por un sistema bajo licencia libre, así liberando a la institución de ese cargo monetario. En relación al no repudio: con la información recolectada se logró concluir que se admite que no siempre pueden identificar las partes implicadas en una comunicación, esta vulnerabilidad viene de la falta de utilización de medidas de seguridad con la introducción de los mecanismos de firma digital, certificado digital y protocolos criptográficos se afianza la seguridad informática y se minimiza el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. 2. El diseño que se seleccionó de modelo de confianza jerárquico para una infraestructura de clave pública, trae como ventaja la fácil incorporación de una nueva comunidad de usuarios, estableciendo una relación entre la RA de la comunidad y la AC raíz. Así también, la búsqueda de la cadena de certificados es muy simple porque existe una sola dirección de confianza, pero está la clara desventaja que si la AC raíz es comprometida, se compromete toda la infraestructura de clave pública y no existe una forma directa de recuperarse. 3. La comprobación del modelo que se planteó en este proyecto dio como resultado el cumplimiento básico que debe poseer una PKI, en relación al efecto de la interacción entre usuario y autoridad se da con total normalidad sin embargo debe existir conexión online para dicha interacción. 118

134 Recomendaciones 1. Sobre la base del estudio, análisis reflexivo y consideración integral de la situación actual en materia de seguridad informática contenida en los sistemas de la Universidad Nacional Experimental Politécnica Antonio José de Sucre Sede Barquisimeto, se recomienda poner en marcha los mecanismos que hagan posibles los procesos y procedimientos necesarios que permitan tomar la decisión de certificar electrónicamente dichos sistemas, tal como se propone en el modelo presentado por la autora de este estudio. 2. La Universidad Nacional Experimental Politécnica Antonio José de Sucre Sede Barquisimeto, debe realizar la certificación electrónica a nivel nacional en todas sus instituciones. 3. SUSCERTE como organismo encargado de coordinar e implementar el modelo jerárquico de la infraestructura Nacional de Certificación Electrónica y como ente responsable de la Autoridad de Certificación Raíz del Estado Venezolano, es la entidad más elemental para acreditar y dar aval a la autoridad certificadora de la Universidad Nacional Experimental Politécnica Antonio José de Sucre Sede Barquisimeto. 4. La evaluación del diseño de la Infraestructura de Clave Pública y el seguimiento del sistema implantado OpenCa queda como estudio para futuras investigaciones, como igualmente la ampliación de este software en otras universidades. 119

135 BIBLIOGRAFÍA Agencia Bolivariana de Noticias (2007). [On-Line] Disponible en: [Consultado, marzo 2010]. Autoridad de Certificación ULA (2010). [On-Line] Disponible en: [Consultado, marzo 2010]. Asencio, G. (2006). Seguridad en Internet. ED: Nowtilus. Arcos, C. (2002). Diseñ jo de una PKI para el desarrollo de Aplicaciones Bancarias Seguras sobre Internet mediante Firma Digital. Trabajo de Grado para optar al título de Ingeniero Civil en Informática, Universidad Austral de Chile, Valdivia Chile. Boquera, M. (2003). Servicios Avanzados de Telecomunicaciones. [On-Line] Disponible en: structura+de+clave+publica&cd=1#v=onepage&q=&f=false. [Consultado abril de 2010] Barrios, M. (2.004). Manual de trabajos de grado de especialización y maestría y tesis doctórales. ED.: Universidad Pedagógica Experimental Libertador, Caracas Venezuela. Castello, M. (2005). Sociedad del Conocimiento. ED: UDC. Cordoba, G. (2004). El Cuestionario. ED: Limusa, México. Enciclopedia Jurídica INTECO. (2010). [On-Line] Disponible en: opedia_juridica/;jsessionid=2ee1d7182e971f6422e76205a84a69d5?post Action=getArticlesNumberAndWikiCategories. [Consultado, abril de 2010]. Gil, P. (2002). Introducción a la Criptografía. ED: Ra-Ma. Graells, M. (1998). Usos Educativos de Internet (El Tercer Mundo). [On-Line] Disponible en: [Consultado, abril 2010]. Hernandez, R. y otros (1.996) Metodología de la investigación. ED.: McGrawHill Interamericana, S.A. México DFMéxico. Ibarra, P. (2006). Modelo de una Autoridad de Certificación Digital Raíz bajo estándar X.509 utilizando Software Libre. Trabajo de Grado para optar al título de Ingeniero de Sistema, Universidad de los Andes, Mérida Venezuela. Ibáñez, A. y López, A. (1998). El proceso de la entrevista. ED: Limusa, México. 120

136 Jornada Firma digital y administraciones públicas INAP. (2002). [On-Line] Disponible en: ación+de+practica+de+certificación&cd=9#v=onepage&q&f=false [Consultado, abril de 2010.] La Real Academia Española (2010). [On-Line] Disponible en: [Consultado, abril 2010]. Lopez, M. (2006). Propuesta para la Infraestructura Clave Pública (ICP) para la Administración Pública Nacional (APN) y la Declaración de Prácticas de Certificación (DFC) para la Autoridad de Certificación Raíz de Venezuela. Trabajo de Grado para optar al título de Especialización en Comunicaciones y Redes de Comunicaciones de Datos, Universidad Central de Venezuela, Caracas Venezuela. Landáez, L. (2007). Firma Electrónica y Firma Digital (I). [On-Line] Disponible en: [Consultado, abril de 2010] Ley Especial Contra Delitos Informáticos promulgada en Gaceta Oficial Nº de fecha 30 de octubre de por la Asamblea Nacional, Caracas Venezuela. Ley Sobre Mensajes de Datos y Firmas Electrónicas promulgada en Gaceta Oficial N de fecha 28 de febrero de 2.001, por Decreto N de febrero de 2001, Caracas Venezuela. Ley Orgánica de Telecomunicaciones, promulgada 12 de junio de 2000 y publicada en Gaceta Oficial No Caracas Venezuela. Moline, Gabriel (2010). Estado del Arte sobre el uso del LDAP como Estructura Alternativa para Regular Infraestructuras de Clave Pública (PKI) en Ambientes Empresariales. Universidad Simón Bolívar, Caracas Venezuela. Martorell, M. (2008). Criptología. Escuela Universitaria Politécnica de Matoró. Mohammad, N. (2000). Metodología de la Investigación. ED: Limusa, México. Perspectivas Microsoft Seguridad. (2002). [On-Line] Disponible en: mspx. [Consultado mayo de 2010]. Pérez, L. y García, E. (2006). Avances en Informática y Sistemas Computacionales. ED: Conais. Quirantes, A. (2005). Los entresijos del firmado digital. [On-Line] Disponible en: w.ugr.es/~aquiran/cripto/informes/info003.htm+ripemd- 160+quirantes&cd=2&hl=es&ct=clnk&gl=ve. [Consultado, abril de 2010]. Stallings, W. (2004). Datos y Comunicación de Computadores. ED: Prentice Hall. 121

137 Superintendencia de Servicios de Certificación Electrónica. (2010). [On-Line] Disponible en: [Consultado abril 2010]. Sánchez, J (2009). Plataforma de Servicios Criptográficos. [On-Line] Disponible en: Criptográficos. [Consultado, mayo de 2010]. Sanz, J. (2005). Gestión del cobro de las operaciones de venta internacional. ED: Club Universitario. Sabino, C. (1.998). El proceso de investigación. ED.: Panapo. Caracas Venezuela. Solano, H. y Álvarez, C. (2005). Estadística descriptiva y distribución de probabilidad. ED: Universidad del Norte. Tamayo, M. (2002). El Proceso de la Investigación Científica: incluye evaluación y administración de proyectos de investigación. ED: Limusa, México México. Turnbull, B. (1994). Manual de Investigación Experimental: elaboración de tesis. ED: Universidad Iberoamérica. Tena, J. y Gutiérrez, J. (2003). Protocolos Criptográficos y Seguridad en Redes. ED: La Universidad de Cantabria. Tanenbaum, A. (2003). Redes de Computadoras. ED: Pearson Educación, México. Villarroel, G. (2006). DSA: Algoritmo de Firma Digital. [On-Line] Disponible en: [Consultado, abril de 2010]. Yera, A. (2005). Estudio científico de las redes de ordenadores. [On-Line] Disponible en: do+digutales&cd=6#v=onepage&q&f=false. [Consultado abril de 2010.] Zapata, O. (2006). Herramientas para elaborar tesis e investigaciones socioeducativas. ED: Pax, México. 122

138 123

139 ANEXOS 124

140 ANEXO A ENTREVISTA 125

141 N ITEM DIMENSIÓN: SEGURIDAD INFORMATICA. 1 Cuáles herramientas maneja usted para proporcionar a los usuarios la integridad de la información? 2 Qué herramientas aplica usted para proporcionar la autenticación de la información entre los integrantes del departamento y la de los usuarios? 3 Cuáles herramientas implementa usted para proporcionar la confidencialidad de la información entre los integrantes del departamento y la de los usuarios? 4 Qué herramientas efectúa usted para asegurar el no repudio de la información entre los integrantes del departamento y la de los usuarios? DIMENSIÓN: MEDIDAS DE SEGURIDAD. 5 Conoce usted de la herramienta firma digital? En caso afirmativo justifique su respuesta. 6 Para usted cual es la importancia y la necesidad de implementar la firma digital? 7 Conoce usted los certificados digitales? En caso afirmativo justifique su respuesta. 8 Cuál es la importancia y la necesidad de la ejecución de certificados digitales? 9 Conoce usted el concepto de lista de revocación? En caso afirmativo justifique su respuesta. 10 Desde su punto de vista cual es el valor y la necesidad del manejo de la lista de revocación? 11 Conoce usted los protocolos criptográficos? 12 Cuál es la importancia y la necesidad de la práctica de protocolos criptográficos? 13 Qué protocolos criptográficos implantaría usted para proporcionar las medidas de seguridad dichas anteriormente? 126

142 ANEXO B CUESTIONARIO 127

143 UNIVERSIDAD CENTROOCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIA Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación CUESTIONARIO La presente tiene como finalidad conocer la opinión del personal docente de la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Barquisimeto, con respecto a la seguridad de la información como parte de un estudio para la realización de la tesis para optar al título Magister Scientiarum en Ciencias de la Computación. En tal sentido, sirvase responder el formulario anexo, considerando las siguientes recomendaciones: 1. Lea cuidadosamente cada una de las preguntas antes de responder. 2. El instrumento es totalmente anónimo. 3. Todas las preguntas deben ser respondidas. Es importante que se asegure que sus respuestas sean espontáneas y veraces. Se le Agradece su apoyo y colaboración. Atentamente, Ing. Ysbelia Suárez. Marque con una X la respuesta adecuada según su criterio: 128

144 N ITEM SI NO DIMENSIÓN: SEGURIDAD INFORMATICA. 1 Cree usted que es importante preservar su información libre de modificaciones no autorizadas? 2 Resguarda la información de su PC con un sistema de seguridad? 3 Posee una forma de averiguar si se le hizo modificaciones a la información? 4 Tiene procedimientos que verifiquen su identidad al momento de acceder a un medio informático? 5 Utiliza periódicamente un proceso de cambio de contraseña? 6 Su contraseña posee complejidad para hacerla segura? 7 Existe un mecanismo que registre los accesos no autorizados a la información? 8 Clasifica la información de su PC entre pública y privada? 9 Considera usted que el intercambio de información que realiza vía Internet es segura? 10 Usted comprueba el origen de la información que recibe? 11 Maneja usted un servicio que asegure la identidad de la persona con quien intercambia información? DIMENSIÓN: MEDIDAS DE SEGURIDAD. 12 Conoces la existencia de la firma digital? 13 Crees que la firma digital es una herramienta útil? 14 Utiliza la firma digital en algún tipo de mensajes digital o documento electrónico? 15 Sabe usted si la institución donde labora expide certificados digitales de manera sencilla? 16 En su navegador se encuentra instalado un certificado digital? 17 Dispone de un certificado de seguridad al momento de realizar un trámite de comercio electrónico? 129

145 18 Usted chequea el vencimiento de un certificado digital? 19 Sabe de la existencia de Lista de Revocación? 20 Usa un sistema que oculte un mensaje para que solo pueda ser leído por el destinatario? 21 Recurre usted a una técnica que ejecute cambios de significado de la información para asegurar la comunicación? 130

146 Objetivos de la Investigación General Proponer un Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Barquisimeto. Específicos 1. Diagnosticar la situación actual en la que se encuentran las medidas de seguridad para las comunicaciones en la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral. 2. Diseñar un Modelo de Autoridad de Certificación PKI enfocada a la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral. 3. Implementar el Modelo de Autoridad de Certificación PKI. 131

147 Definición Conceptual del Instrumento Seleccionado La Entrevista Estructurada / Cuestionario como: Según Alles (2003), la técnica de la entrevista estructura se encuentra definida Es un tipo de entrevista que asegura que todos los entrevistados tendrán una entrevista similar, explorando los mismos temas. Para ello se diseña un esquema que el o los entrevistados usarán como guía. En la práctica la entrevista estructurada se presenta como una guía cuestionario de entrevista. (p.190) El uso de esta técnica supone la utilización del Cuestionario, el cual es definido por Palella (2006), como: Un instrumento de investigación que forma parte de la técnica de la encuesta. Las preguntas han de estar formuladas de manera clara y concisa; pueden ser cerradas, abiertas o semiabiertas, procurando que la respuesta no sea ambigua. Debe ser cuidadosamente elaborado en forma y contenido, tomando en cuenta una serie de elementos que lo doten de rigurosidad y sistematicidad. (p. 143) Al respecto, en el presente estudio se diseñó (2) instrumentos, el primero es una entrevista estructurada que será aplicada al personal técnico y el segundo es un cuestionario que será aplicado a los docentes. Los dos instrumentos se basan en dos dimensiones, que reflejan las opiniones que los trabajadores tienen sobre las herramientas de seguridad informática que maneja en los procesos diarios en su medio laboral. 132

148 ANEXO C VALIDACIÓN DEL INSTRUMENTO DE RECOLECCIÓN DE DATOS 133

149 Evaluación de Criterios Para estimar las bondades de los ítems o reactivos, se consideraron los siguientes rasgos, definidos por Palella (2006) como: 1. Pertinencia: Relación estrecha entre la pregunta, los objetivos planteados y el aspecto o parte del instrumento que se encuentra desarrollado. 2. Redacción: Interpretación unívoca del enunciado de la pregunta a través de la claridad y precisión en el uso del lenguaje técnico. 3. Adecuación: Correspondencia entre el contenido de cada pregunta y el nivel de preparación o desempeño del entrevistado. Con relación a las posibles acciones a realizar con cada reactivo se tiene: D: Dejar M: Modificar E: Eliminar 134

150 Cree usted que es importante preservar su información X X libre de modificaciones no autorizadas? X X X X X X X X X X Resguarda la información de su PC con un sistema de seguridad? X X X X X X X X X X X X Posee un medio de protección donde se aprecie las modificaciones hechas a la información? X X X X X X X X X X X X Se realiza cambio. Tiene procedimientos que verifiquen su identidad al momento de acceder a un medio informático? X X X X X X X X X X X X Utiliza periódicamente un proceso de cambio de contraseña? X X X X X X X X X X X X Su contraseña posee complejidad para hacerla segura? X X X X X X X X X X X X Existe un mecanismo que registre los accesos no autorizados a la información? X X X X X X X X X X X X Clasifica la información de su PC entre pública y privada? X X X X X X X X X X X X Considera usted que el intercambio de información que realiza vía Internet es segura? X X X X X X X X X X X X Usted comprueba el origen de la información que recibe? X X X X X X X X X X X X Maneja usted un servicio que asegure la identidad de la persona con quien intercambia información? X X X X X X X X X X X X Conoces la existencia de la firma digital? X X X X X X X X X X X X Crees que la firma digital es una herramienta útil? X X X X X X X X X X X X Utiliza la firma digital en algún tipo de mensajes digital o documento electrónico? X X X X X X X X X X X X Sabe usted si la institución donde labora expide certificados digitales de manera sencilla? X X X X X X X X X X X X En su navegador se encuentra instalado un certificado digital? X X X X X X X X X X X X Dispone de un certificado de seguridad al momento de realizar un trámite de comercio electrónico? X X X X X X X X X X X X Usted chequea el vencimiento de un certificado digital? X X X X X X X X X X X X Sabe de la existencia de Lista de Revocación? X X X X X X X X X X X X Usa un sistema que oculte un mensaje para que solo pueda ser leído por el destinatario? Recurre usted a una técnica que ejecute cambios de significado de la información para asegurar la comunicación? X X X X X X X x X X X X X X X X X X X X X X X X 135

151 Cuáles herramientas utiliza y maneja usted para proporcionar la integridad de la información entre los X X X X X X X X X X X X Se realiza cambio. integrantes del departamento y la de los usuarios? Qué herramientas aplica usted para proporcionar la autenticación de la información entre los integrantes del X X X X X X X X X X X X departamento y la de los usuarios? Cuáles herramientas implementa usted para proporcionar la confidencialidad de la información entre los integrantes del departamento y la de los X X X X X X X X X X X X usuarios? Qué herramientas efectúa usted para asegurar el no repudio de la información entre los integrantes del X X X X X X X X X X X X departamento y la de los usuarios? Conoce usted de la herramienta firma digital? En caso afirmativo justifique su respuesta. X X X X X X X X X X X X Para usted cual es la importancia y la necesidad de implementar la firma digital? X X X X X X X X X X X X Conoce usted los certificados digitales? En caso afirmativo justifique su respuesta. X X X X X X X X X X X X Cuál es la importancia y la necesidad de la ejecución de certificados digitales? X X X X X X X X X X X X Conoce usted el concepto de lista de revocación? En caso afirmativo justifique su respuesta. X X X X X X X X X X X X Desde su punto de vista cual es el valor y la necesidad de la manejo de la lista de revocación? X X X X X X X X X X X X Conoce usted los protocolos criptográficos? X X X X X X X X X X X X Cuál es la importancia y la necesidad de la práctica de protocolos criptográficos? Qué protocolos criptográficos implantaría usted para proporcionar las medidas de seguridad dichas anteriormente? X X X X X X X X X X X X X X X X X X X X X X X X 136

152 ANEXO D CONFIABILIDAD DEL INSTRUMENTO 137

153 K=21 N=22 P 1.Q 1 = 2,78 Media = X = X 1 / N X= = 143 = 6, Varianza = (X 1 - X) 2 / N-1 Varianza= (8-6,5) 2 +(8-6,5) 2 +(5-6,5) 2 +(3-6,5) 2 +(1-6,5) 2 +(0-6,5) 2 +(9-6,5) 2 + (6-6,5) 2 + (9-6,5) 2 + (5-6,5) 2 + (12-6,5) 2 + (8-6,5) 2 + (11-6,5) 2 + (13-6,5) 2 + (6-6,5) 2 + (6-6,5) 2 + (5-6,5) 2 + (6-6,5) 2 + (6-6,5) 2 + (7-6,5) 2 + (9-6,5) 2 + (0-6,5) 2 / 22-1 = Varianza= 2,25+2,25+2,25+12,25+30,25+42,25+6,25+0,25+6,25+2,25+30,25+2,25+ 20,25+42,25+0,25+0,25+2,25+0,25+0,25+0,25+6,25+42,25 / 21 = 253,5 / 21 = Varianza= 12,07 Kuder Richarson = K. Var - P 1.Q 1 K-1 Var Kr = 21 / ,07-2,78 / 12,07 = 1,05.0,7696 = 0,8081 = 80,81%. 138

154 Método Kuder Richardson Tabla Ítem 1 Ítem 2 Ítem 3 Ítem 4 Ítem 5 Ítem 6 Ítem 7 Ítem 8 Ítem 9 Ítem 10 Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente Docente 23 Docente 24 Docente Ítem 11 P 0,86 0,41 0 0,41 0,41 0,77 0 0,18 0,23 0,27 0,05 0,77 0,86 0,18 0 0,41 0,32 0,18 0, Q 0,14 0, ,59 0,59 0, ,82 0,77 0,73 0,95 0,23 0,14 0, ,59 0,68 0,82 0, P.Q 0,120 0, ,241 0,241 0, ,147 0,177 0,197 0,047 0,177 0,120 0, ,241 0,217 0,147 0, ,78 Ítem 12 Ítem 13 Ítem 14 Ítem 15 Ítem 16 Ítem 17 Ítem 18 Ítem 19 Ítem 20 Ítem 21 Total

155 140

156 ANEXO E CONFIGURACIÓN DE INTERFAZ CA Y RA 140

157 Configuración de la Interfaz de AC y RA. Paso 1: Inicializando la CA. Los pasos que siguen son los mismos que Ud. tendrá que seguir si desea hacer operativa una PKI. Seleccionar la opción PKI Init & Config, luego la opción Initialization, como se observa en la figura 37. Figura 37: Inicialización de CA. Fuente: Autor (2012) Una vez aquí se selecciona la primera fase donde empieza los pasos para inicializar la autoridad certificadora la cual es Initialize the Certification Authority, una vez seleccionada surge la pantalla de la figura 38, donde se selecciona la opción de generar la nuevas claves. 141

158 Figura 38: Generación de Claves. Fuente: Autor (2012) El sistema mostrara para elegir el algoritmo de encriptación y el tamaño de la clave privada de la CA, como se muestra en la figura

159 Figura 39: Selección del Tamaño de Clave. Fuente: Autor (2012) Con el tamaño de la clave realizada, el sistema mostrara la figura 40, donde se introduce el password de la clave privada de la CA. 143

160 Figura 40: Creación de Clave Privada CA. Fuente: Autor (2012) Paso 2: Con el paso anterior realizado se obtuvo las llaves. Ahora se necesita crear el certificado de la CA, en la figura 41 se muestra la opción a seleccionar para dicha creación. 144

161 Figura 41: Generación Certificado CA. Fuente: Autor (2012) La siguiente pantalla la cual se ve en la figura 42 pide los datos necesarios para elaboración del certificado electrónico de la CA. Una vez introducidos y guardados los datos, saldrá como se observa la figura 43 la siguiente pantalla para verificar los datos y ejecutar algún cambio que desee corregir. El sistema después pedirá la clave privada de la CA. 145

162 Figura 42: Datos Certificado CA. Fuente: Autor (2012) 146

163 Figura 43: Verificación Datos Certificado CA. Fuente: Autor (2012) Una vez introducida la clave privada de la CA se observa el certificado generado. Ver figura

164 Figura 44: Certificado CA. Fuente: Autor (2012) Paso 3: Hemos realizado la solicitud del certificado de la CA. En condiciones normales esta solicitud debería ser firmada por la CA de jerarquía superior que firma a la nuestra. En este caso como esta CA es la raíz debe auto firmarse ella misma. Así que vamos a aprobar nuestra solicitud, como se puede ver en la figura 45. Se vuelve entrar por inicialización, fase uno, opción Self Signed CA Certificate (from altready generated request). 148

165 Figura 45: Selección de Auto firma CA. Fuente: Autor (2012) La pantalla que continua, que se observa en la figura 46 son los datos de fecha de validación, numero y demás características para poder generar el auto firma del certificado. Una vez realizado esto el sistema vuelve a pedir la clave de privada de la CA y muestra el certificado de la CA auto firmado. 149

166 Figura 46: Parámetros Auto firma CA. Fuente: Autor (2012) Paso 4: Ya con la obtención del certificado digital de la CA, ahora debemos exportarla para que todos puedan obtenerlo. Para esto realice la opción en la sección Final Setup, como se muestra en la figura 47. La respuesta de esta ejecución debe resultar satifactoria. 150

167 Figura 47: Exportar Certificado CA. Fuente: Autor (2012) Paso 5: Con el último paso hemos exportado desde la CA el certificado de la misma. Ahora, tenemos que importar el certificado en la interfaz de la RA para que los usuarios tengan acceso. Se entra a la interfaz RA como se muestra en la figura 48 y se selecciona la opción configuración. 151

168 Figura 48: Importar Certificado CA. Fuente: Autor (2012) Una vez en la pantalla que se observa en la figura 49, se selecciona todas las opciones All para poder ejecutar la importación del certificado de la CA, el sistema preguntara si desea continuar con la importación, una vez afirmado el cambio se obtendrá las respuestas positivas de la ejecución de las cuatros descarga All para terminar dicha importación de la CA. 152

169 Figura 49: Opciones Importar Certificado CA. Fuente: Autor (2012) Paso 6: Con la importación del certificado realizada entramos a la interfaz pública como se observa en la figura 50, este paso se realiza con la finalidad de descargar el certificado de la CA en la interfaz pública. Seguir los pasos mostrados en la figura 51, 52 y

170 Figura 50: Cambio Interfaz Pública. Fuente: Autor (2012) 154

171 Figura 51: Obtención Interfaz Pública. Fuente: Autor (2012) 155

172 Figura 52: Certificado CA Interfaz Pública. Fuente: Autor (2012) 156

173 Figura 53: Opciones Descarga Certificado CA. Fuente: Autor (2012) Para verificar la descarga efectiva del certificado de la CA se entra en la opción Editar Preferencias Avanzado y Ver Certificados. Hay se podra ver el certificado instalado como se muestra en la figura

174 Figura 54: Verificación Certificado CA. Fuente: Autor (2012) Nota: todos estos pasos deben ejecutarse en la interfaz RA para ejecutar las claves, certificado de la RA. La única salvedad es que el certificado debe ser firmado por la CA, o sea evitar el paso de la auto firma. 158

175 ANEXO F CONFIGURACIÓN DEL CERTIFICADO OPERADOR CA Y RA 159

176 Configuración del Certificado Operador AC y RA. Paso 1: La configuración de la Openca ya fue realizada en el anexo E, por lo tanto debemos generar las claves y el certificado del Operador de la CA para que pueda operar la CA, para iniciar este proceso se entra en la interfaz CA y se selecciona Inicialización, una vez ubicados en la pantalla que se observa en la figura 55 se empieza a la primera opción llamada Creación de un Nuevo Requerimiento. Figura 55: Pasos de Generación Certificado Operador CA. Fuente: Autor (2012) 160

177 Ejecutado el primer paso debemos introducir los datos correspondiente para generar el certificado del Operador de la CA, con la unica diferencia que en la opción identificación del usuario debe decir Operador CA como se muestra en la figura 56. Seguido de eso la siguiente pantalla ver figura 57, saldra opciones de detalles de la certificación. Figura 56: Datos Certificado Operador CA. Fuente: Autor (2012) 161

178 Figura 57: Detalles Certificado Operador CA. Fuente: Autor (2012) Seguidamente se selecciona los detalles de la clave que va a manejar el Operador de la CA, la cual se muestra en la figura 58, despues saldra el acuerdo de certificado del Operador CA, hay se puede leer todos los detalles de la responsabilidad que la persona tiene por generar un certificado digital. Ver figura 59. El paso final de la creación del requerimiento del certificado del Operador de la CA se detallan todos los datos introducidos y la confimación del mismo. 162

179 Figura 58: Detalles Clave Operador CA. Fuente: Autor (2012) 163

180 Figura 59: Acuerdo de Certificado Operador CA. Fuente: Autor (2012) Paso 2: La emisión del certificado del Operador de la CA es el siguiente paso como se puede observar en la figura 61, pero antes de la emisión se debe seleccionar el certificado en la opción Operaciones CA como se muestra en la figura 60, la pantalla siguiente figura 62, se puede observar el certificado realizado en el paso anterior con la diferencia que al final existe tres operaciones: editar el requerimiento, emitir el certificado o borrar el requerimiento. Por ultimo si se toma la opción emitir certificado el sistema pedira la clave privada de la CA para aprobar ese certificado. 164

181 Figura 60: Respuesta Certificado Operador CA. Fuente: Autor (2012) 165

182 Figura 61: Emisión Certificado Operador CA. Fuente: Autor (2012) 166

183 Figura 62: Operación Certificado Operador CA. Fuente: Autor (2012) Paso 3: Ahora como opción del menu se tiene Manejar el Certificado, en esta opción se muestra el certificado final del Operador CA, la primera opción para la creación del manejo esta en la figura 63 y la vista final se observa en la figura

184 Figura 63: Manejar Certificado Operador CA. Fuente: Autor (2012) 168

185 Figura 64: Certificado Operador CA. Fuente: Autor (2012) Paso 4: Por ultimo salve el certificado creado con las opciones que se muestran al final de el certificado, luego pasar a instalarlo en nuestro navegador y listo, como se muestra en la figura 65 y

186 Figura 65: Operaciones Operador CA. Fuente: Autor (2012) 170

187 Figura 66: Vista del Certificado Operador CA. Fuente: Autor (2012) 171