PKI y Firma Digital: Aplicaciones y la Ley en Colombia Por: Jorge Mario Calvo L.

Transcripción

1 PKI y Firma Digital: Aplicaciones y la Ley en Colombia Por: Jorge Mario Calvo L. Ubiquando 1

2 Plan de la Charla Conceptos generales de la certificación digital Aplicaciones de los certificados digitales SSL (DomainKeys, S/MIME) Autenticación en Sistemas de Información XML y Web Services Security (WS-Security) Des materialización de documentos (póliza Digital) Otras Aplicaciones Aspectos jurídicos Preguntas y Respuestas 2

3 El Mundo de los Bits El mundo esta cambiando de un mundo de átomos a un mundo de bits. Nicolas Negroponte (Ser Digital) Siempre será más barato, productivo y eficiente; procesar, transportar y manipular bits que atomos. Jorge Mario Calvo 3

4 Información Digital (bits) en la Era Digital 1)Muy fácil hacer copias (cero costo) 2)Muy fácil distribución (Internet) 3)Muy fácil de almacenar y de recuperar 4)La copia es tan buena (igual) como la original 5)Muy fácil de modificar sin saber quien lo hizo 6)Ambiente amigable 4 y 5 falta de autenticidad e integridad 4

5 Por que las Firmas Digitales (Digital Signatures)? Para proveer Integridad, Autenticidad y No-repudio a la Información Digital Para utilizar Internet de forma segura para el Comercio y Gobierno Electrónico y todo lo relacionado con el mundo de los bits 5

6 Que son las Firmas Digitales? Equivalente digital a la firma manuscrita. No es la imagen escaneada de la firma manuscrita Es la encripción (criptografia) con la llave privada del hash (huella) de un documento Existe una diferente para cada documento 6

7 Criptografía Qué es? Es un rama de las matemáticas que estudia la ocultación, disimulación o cifrado de la información y se aplica a mensajes digitales. De forma que el texto original sea ininteligible para terceras personas. Qué garantiza? Proporciona las herramientas idóneas para solucionar los problemas de confidencialidad, autenticidad, integridad y no repudio. ATAQUEN HOY AL ENEMIGO 7

8 Como funciona la Criptografía Texto Claro ATAQUEN HOY AL ENEMIGO Texto Cifrado MFMCGOZ TAK MX QZQYUSA Texto Claro ATAQUEN HOY AL ENEMIGO ALGO ALGO K1 K2 8

9 Clave Simétrica: K1 = K2 En el ejemplo K1=K2=12 DES, TripleDES, IDEA Algoritmos muy eficientes Problema con la autenticidad: los 2 deben conocer la llave K Problema de Distribución de Llaves 9

10 Clave Asimétrica: K1!= K2 RSA Algoritmos muy costos en procesamiento Lo que hago con uno lo desago con la otra. K2(K1(m)) = K1(K2(m)) = m K2(K2(m))!= K1(K1(m))!= m Si conozco K1, no puedo derivar la K2 Si vuelvo publica K1, se convierte la infraestructura de clave pública PKI 10

11 Confidencialidad 11

12 Autenticidad y Firma Digital Documento Generación de Firma Internet Comprobación de Firma 12

13 Certificado Digital Entida de Certificación Pública o Privada Ley 527 CA Verisign Certicamara firma 13

14 Firma Manuscrita vs Firma Digital Parametro Manuscrita Digital Autenticidad Puede ser falsificada No puede ser copiada VS Integridad No ayuda Firma por cada documento No-repudio Necesita un grafólogo Con un computador y la CA 14

15 Plan de la Charla Conceptos generales de la certificación digital Aplicaciones de los certificados digitales SSL (DomainKeys, S/MIME) Autenticación en sistemas de Información XML y Web Services Security (WS-Security) Des materialización de documentos (póliza Digital) Otras Aplicaciones Aspectos jurídicos Preguntas y Respuestas 15

16 SSL (Secure Socket Layer) Browser Servidor Web CA Verisign, Certicamara firma el Digital ID del servidor Web 16

17 SPAM: El problema del correo Correo no solicitado y no deseado Más del 60% del correo es SPAM Grandes pérdidas en productividad Origen Falta de Autenticación del protocolo SMTP Solución SPF (Sender Profile) DomainKeys (utiliza Firmas Digitales) S/MIME (utiliza Firmas Digitales) 17

18 DomainKeys Propuesta de Yahoo para autenticación de dominios, utilizando firmas digitales Actualmente draft de la IETF Domain Keys Identified Mail (dkim) Apoyado con el DNS autentica la procedencia y el contenido de los mensajes. La adopción puede ser asimétrica. Usted la puede adoptar y los otros no 18

19 Como funciona Domainkeys Se generan la llave publica y privada y se guarda en el servidor DNS la publica Cuando se envia un correo válido, el servidor con dkim, firma el mensaje y agrega la firma en el encabezado El receptor toma el dominio del mensaje y mediante un llamado al DNS, pide la llave publica. Utilizando la llave publica el mensaje es decifrado 19

20 Ejemplo del registro en el DNS mail._domainkey. IN TXT "g=; k=rsa; t=y; p=mfww..==" Algoritmo Identificación del Dominio Registro TXT del DNS Clave Publica en formato PEM 20

21 Ejemplo del encabezado del mensaje DomainKey Signature: a=rsa sha1; s=mail; d=example.com; c=simple; q=dns; b=th2szylksw2kvfd8lrolzlqwp1gmogyzulgxvdv/7lcsu0txgjokfxafjfv2nem8 Authentication Results: mail.example.net; domainkeys=pass 21

22 S/MIME (Secure / Multipurpose Internet Mail Extensions) Es un protocolo que la adiciona Firmas Digitales y Encripción a los Mensajes de Correo formato MIME (Multipurpose Internet Mail Extensions) descrito en el RFC 1521 Es un protocolo utilizado priencipalmente desde los Clientes de Correo como: Outlook, Eudora, Thunderbird, etc. No se necesita la intervención del servidor. Utiliza el formato PKCS#7 The Public-Key Cryptography Standards son especificaciones producidas por RSA 22

23 MIME (Multipurpose Internet Mail Extensions) Subject: Informacion Importante From: To: Ubiquando Content-Type: multipart/mixed; boundary="=-zrffeajgadltgrwvpgqi" Message-Id: Mime-Version: 1.0 Date: Wed, 20 Sep :26: Status: O --=-ZRfFEaJGaDltgRWvpGQI Content-Type: text/plain; charset=iso Content-Transfer-Encoding: quoted-printable Buenos dias a todos, --=-ZRfFEaJGaDltgRWvpGQI Content-Disposition: attachment; filename=ubi-adm-co- ProgramacionAuditoria.pdf Content-Type: application/pdf; name=ubi-adm-co- ProgramacionAuditoria.pdf Content-Transfer-Encoding: base64 JVBERi0xLjQNCiXk9tzfDQoxIDAgb2JqDQo8PCAvTGVuZ3RoIDIgMCBSDQog ICAvRmlsdGVyIC9GbGF0ZURlY29kZQ0KPj4NCnN0cmVhbQ0KeJztW8vKLLkN L0luZm8gMjMgMCBSDQo+Pg0Kc3RhcnR4cmVmDQo1MzU1Ng0KJSVFT0YNCg== --=-ZRfFEaJGaDltgRWvpGQI-- 23

24 Ejemplo de S/MIME Content-Type: multipart/signed; boundary="=-zrffeajgadltgrwvpgqi" protocol= application/pkcs7-signature; migcal=sha1 --=-ZRfFEaJGaDltgRWvpGQI Content-Type: text/plain; charset=iso Content-Transfer-Encoding: quoted-printable Buenos dias a todos, --=-ZRfFEaJGaDltgRWvpGQI Content-Type: application/pkcs7-mime; name=smime.p7m; smime-type=enveloped-data Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=smime.p7m Texto a ser firmado JVBERi0xLjQNCiXk9tzfDQoxIDAgb2JqDQo8PCAvTGVuZ3RoIDIgMCBSDQog ICAvRmlsdGVyIC9GbGF0ZURlY29kZQ0KPj4NCnN0cmVhbQ0KeJztW8vKLLkN L0luZm8gMjMgMCBSDQo+Pg0Kc3RhcnR4cmVmDQo1MzU1Ng0KJSVFT0YNCg== --=-ZRfFEaJGaDltgRWvpGQI-- 24

25 Autenticación ante los Sistemas de Información Esquemas de Autenticación Por lo que conozco: login+password Por lo que poseo: llave privada (Firmas Digitales) Por lo que soy: biometricos El unico con soporte legal es el de Firmas Digitales combinado con login+password puede ser un esquema robusto, legal y seguro de autenticación ante los sistemas de información 25

26 Web Security Framework Web Services Security (WS Security) Simple Object Access Protocol (SOAP) XML Signature XML Encryption Seguridad Nivel de Transporte (SSL) Nivel de Transporte (HTTP, FTP, SMTP) 26

27 Componentes de XML Signature 27

28 WS-Security Define los Header en el mensaje SOAP, que permiten colocar los elementos de seguridad. Cuenta con tres elementos: Security Tokens: almacena la información para autenticación y autorización. Ejemplo: login/password o Certificados X.509 XML Encryption: almacena EncryptedKey element y ReferencedList que apuntan a las partes encriptadas del mensaje XML Signatures: similar al anterior para la parte firmada 28

29 WS-Security: Security Tokens <Envelope> <Header> <Security> <UserNameToken> <UserName>administrador</UserName> <Password>1234</Password> </UserNameToken> </Security> </Header> <Body>... 29

30 WS-Security: XML Signature <Envelope> <Header> <Security> <BinarySecurityToken ValueType="X509v3" EncodingType="Base64Binary" Id="X509Token"> MIIEZzCCA9CgAwIBAgIQEmtJZc0rqrKh5i... </BinarySecurityToken> <Signature> <SignedInfo> <CanonicalizationMethod Algorithm=...> <SignatureMethod Algorithm=...>... </SignedInfo> <SignatureValue> BL8jdfToEb1l/vXcMZNNjPOV... </SignatureValue> <KeyInfo> <SecurityTokenReference> <Reference URI="#X509Token"/> </SecurityTokenReference> </KeyInfo> </Signature> </Security> </Header>... </Envelope> 30

31 Póliza Digital: Proceso Actual Cliente Aseguradora Negociación Póliza Ingreso al SI Aseguradora Póliza Impresión Póliza Doc. Impreso Firma Manuscrita Cliente Entrega a Sist. Distribución 31

32 Desventajas Altos costos de impresión de la póliza física Costos de distribución Demora en la entrega Vulnerabilidad de la integridad del documento Posibilidad de modificación Validez y prueba jurídica Con que clausulado se ejecuta la póliza Costos de reimpresión y redistribución en caso de errores. 32

33 Póliza Digital Aseguradora Diseño Plantilla Póliza Plantilla Poliza Envío Datos al SI Aseguradora Cliente Negociación Diligenciamiento Generación Póliza Póliza Datos Póliza Digital Aseguradora Login Cliente Passwd Envío al Sistema de Archivo de Pólizas Extraer Póliza Depósito de Pólizas Digitales Entidad Administradora 33

34 Ventajas Cero Costos de impresión de la póliza Cero Costos de distribución Entrega inmediata Integridad del documento Fácil detectar cualquier modificación Validez y prueba jurídica Ley 527. Entidades de Certificación 34

35 E-Government Recepción de documentos oficiales Declaraciones de Impuesto DIAN Reportes de Sociedades SuperIntendencia Financiera Reportes de Afiliados Sistema de Salud Documentos Oficiales Certificado de Libertad Virtual (Ejemplo) En Internet, disponible 7x24 para quien necesite consultarlo Reducción y agilización de tramites 35

36 E-Government Contratación Electrónica Envio de propuestas Combinado con Estampado Cronológico Transparencia en la contratación Agilidad 36

37 Ley 527 de Autenticidad, confidencialidad, integridad y no repudio en las transacciones electrónicas. El principio del equivalente funcional. Mensaje = Documento Firma Manuscrita = Firma Digital Almacenamiento Físico = Almacenamiento Digital Original Entidades de Certificación Cerradas y Abiertas 37

38 Fundamento de ley 527 de 1999 y Decreto 1747 de = 38

39 Ventajas de la Firma Digital sobre otros modelos tecnológicos Reduce riesgo legal. Ahorro de largas, complejas e inciertas etapas probatorias en trámites judiciales y administrativos para demostrar que la firma electrónica es efectivamente equivalente. Validez universal. CA administran Fe pública. Las Entidades de Certificación actúan como Gestores de la Fé Confianza, similar a los notarios 39