UNIDAD 3 SEGURIDAD EN APLICACIONES WEB
Página 1 de 1.
UNIDAD 3 SEGURIDAD EN APLICACIONES WEB
TÉCNICAS DE IMPLEMENTACIÓN DE FIRMA ELECTRÓNICA Y CERTIFICADOS DIGITALES
FIRMA ELECTRÓNICA
El término firma electrónica implica el uso de cualquier medio electrónico para firmar un documento. Es este sentido, el simple escaneo de una firma autógrafa y su inserción como imagen en un documento digital puede considerarse como firma electrónica. Sin embargo, este tipo de firma electrónica no garantiza los servicios de no repudio, por ejemplo. Otro ejemplo es el uso de un lápiz electrónico para recabar la firma autógrafa (común para expedir credenciales) o mediante la selección de algo en una pantalla táctil por parte del firmante. De igual forma, este tipo de firma no provee los servicios de integridad y no-repudio.
Ejemplos:
• Usando una firma biométrica.
• Firma con un lápiz electrónico al usar una tarjeta de crédito o débito en una tienda.
• Marcando una casilla en una computadora, a máquina o aplicada con el ratón o con el dedo en una pantalla táctil.
• Usando una firma digital.
• Usando usuario y contraseña.
• Usando una tarjeta de coordenadas.
La firma electrónica a su vez puede tener diferentes técnicas para firmar un documento, así tenemos las siguientes: Código secreto o de ingreso: es la necesidad de una combinación determinada de números o letras, que son sólo conocidas por el dueño del documento, o lo que todos usamos, por ejemplo en los cajeros automáticos, es el famoso PIN (Personal Identification Number). Métodos basados en la Biometría: se realiza el acceso al documento mediante mecanismos de identificación física o biológica del usuario o dueño del documento. La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos.
Los lectores biométricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz). En el perfeccionamiento del cifrado de mensajes, llegamos a lo que se conoce como criptografía. Esta consiste en un sistema de codificación de un texto con claves de carácter confidencial y procesos matemáticos complejos, de manera que para el tercero resulta incomprensible el documento si desconoce la clave decodificadora, que permite ver el documento en su forma original.
De ahí es que surgen dos tipos de criptografía:
1. de clave secreta o simétrica: las partes en los dos procesos de cifrado y descifrado comparten una clave común previamente acordada. Debe ser conocida solamente por ambas partes para evitar que un tercero ajeno a la operación pueda descifrar el mensaje transmitido y de esa forma haga caer toda la seguridad del sistema.
2. Por ese motivo surgió el sistema de clave asimétrica o de doble clave, clave pública y clave privada. Este sistema fue creado por investigadores de la Universidad de Stanford en 1976. Tal como lo indica su nombre el sistema posee dos claves: una de ellas sólo es conocida por el autor del documento y la otra puede ser conocida por cualquier persona. Y si bien esas dos claves se encuentran relacionadas matemáticamente mediante un algoritmo, no es posible por medio de la clave pública, conocer la clave privada, por lo menos en los estándares tecnológicos actuales.
Una firma electrónica crea un historial de auditoría que incluye la verificación de quién envía el documento firmado y un sello con la fecha y hora.
¿Para qué se usa la firma digital?
Una firma digital es una firma electrónica que se puede usar para autenticar la identidad de quien envía un mensaje o quien firma un documento electrónico, así como asegurar que el contenido original del mensaje o del documento electrónico que ha sido enviado no ha sido modificado. Las firmas digitales son fácilmente transportables y no pueden imitarse. La firma digital puede aplicarse a cualquier tipo de información electrónica, ya sea que se encuentre cifrada o en texto claro. En la tabla 1 se muestra una comparación entre la firma digital y la firma autógrafa.
CERTIFICADOS DIGITALES
Un certificado digital o certificado electrónico es un fichero informático generado por una entidad de servicios de certificación que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet. El certificado digital es válido principalmente para autenticar a un usuario o sitio web en internet por lo que es necesaria la colaboración de un tercero que sea de confianza para cualquiera de las partes que participe en la comunicación. El nombre asociado a esta entidad de confianza es Autoridad Certificadora pudiendo ser un organismo público o empresa reconocida en Internet.
El certificado digital tiene como función principal autenticar al poseedor pero puede servir también para cifrar las comunicaciones y firmar digitalmente. En algunas administraciones públicas y empresas privadas es requerido para poder realizar ciertos trámites que involucren intercambio de información delicada entre las partes.
La estructura de un certificado digital X.509 (versión 3) es la siguiente:
• Certificado
– Versión
– Número de serie
– ID del algoritmo
– Emisor
– Validez
∗ No antes de
∗ No después de
– Sujeto
– Información de clave pública del sujeto
∗ Algoritmo de clave pública
∗ Clave pública del sujeto
– Identificador único de emisor (opcional)
– Identificador único de sujeto (opcional)
– Extensiones (opcional)
• Algoritmo usado para firmar el certificado
• Firma digital del certificado
Una parte importante de los certificados digitales es el campo "Extensions", en el cual se puede agregar información propia de la aplicación de firma electrónica que se desarrolla, por ejemplo, el ID de empleado, ID de funcionario o Matricula de estudiante.
Infraestructura de llave pública (PKI)
Los certificados digitales son emitidos por una autoridad certificadora, en la cual se confía y es ella quién verifica que una llave pública particular está asociada con un individuo específico, quién posee la llave privada con la que éste genera las firmas digitales. Los certificados digitales tienen un periodo de validez 10 3. Firma digital en México aunque también pueden revocarse. Cuando se verifica una firma digital, se debe garantizar que el certificado usado en el proceso de verificación es auténtico (está firmado digitalmente por la autoridad certificadora que lo emite) y no ha sido revocado. La creación y administración de certificados digitales requiere de una infraestructura, que se conoce como PKI (Public Key Infraestructure). Una PKI es el conjunto del hardware, software, recursos humanos, políticas y procedimientos que se necesitan para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales.
BIBLIOGRAFIA:
http://www.tamps.cinvestav.mx/~mmorales/documents/dsMexico.pdf
http://www.firmadigital.gba.gov.ar
http://www.upv.es/contenidos/CD/info/711545normalc.html
http://www.seg-social.es/Internet_1/Sede/Certificadosdigital47735/index.htm
FIRMA ELECTRÓNICA
El término firma electrónica implica el uso de cualquier medio electrónico para firmar un documento. Es este sentido, el simple escaneo de una firma autógrafa y su inserción como imagen en un documento digital puede considerarse como firma electrónica. Sin embargo, este tipo de firma electrónica no garantiza los servicios de no repudio, por ejemplo. Otro ejemplo es el uso de un lápiz electrónico para recabar la firma autógrafa (común para expedir credenciales) o mediante la selección de algo en una pantalla táctil por parte del firmante. De igual forma, este tipo de firma no provee los servicios de integridad y no-repudio.
Ejemplos:
• Usando una firma biométrica.
• Firma con un lápiz electrónico al usar una tarjeta de crédito o débito en una tienda.
• Marcando una casilla en una computadora, a máquina o aplicada con el ratón o con el dedo en una pantalla táctil.
• Usando una firma digital.
• Usando usuario y contraseña.
• Usando una tarjeta de coordenadas.
La firma electrónica a su vez puede tener diferentes técnicas para firmar un documento, así tenemos las siguientes: Código secreto o de ingreso: es la necesidad de una combinación determinada de números o letras, que son sólo conocidas por el dueño del documento, o lo que todos usamos, por ejemplo en los cajeros automáticos, es el famoso PIN (Personal Identification Number). Métodos basados en la Biometría: se realiza el acceso al documento mediante mecanismos de identificación física o biológica del usuario o dueño del documento. La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos.
Los lectores biométricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz). En el perfeccionamiento del cifrado de mensajes, llegamos a lo que se conoce como criptografía. Esta consiste en un sistema de codificación de un texto con claves de carácter confidencial y procesos matemáticos complejos, de manera que para el tercero resulta incomprensible el documento si desconoce la clave decodificadora, que permite ver el documento en su forma original.
De ahí es que surgen dos tipos de criptografía:
1. de clave secreta o simétrica: las partes en los dos procesos de cifrado y descifrado comparten una clave común previamente acordada. Debe ser conocida solamente por ambas partes para evitar que un tercero ajeno a la operación pueda descifrar el mensaje transmitido y de esa forma haga caer toda la seguridad del sistema.
2. Por ese motivo surgió el sistema de clave asimétrica o de doble clave, clave pública y clave privada. Este sistema fue creado por investigadores de la Universidad de Stanford en 1976. Tal como lo indica su nombre el sistema posee dos claves: una de ellas sólo es conocida por el autor del documento y la otra puede ser conocida por cualquier persona. Y si bien esas dos claves se encuentran relacionadas matemáticamente mediante un algoritmo, no es posible por medio de la clave pública, conocer la clave privada, por lo menos en los estándares tecnológicos actuales.
Una firma electrónica crea un historial de auditoría que incluye la verificación de quién envía el documento firmado y un sello con la fecha y hora.
¿Para qué se usa la firma digital?
Una firma digital es una firma electrónica que se puede usar para autenticar la identidad de quien envía un mensaje o quien firma un documento electrónico, así como asegurar que el contenido original del mensaje o del documento electrónico que ha sido enviado no ha sido modificado. Las firmas digitales son fácilmente transportables y no pueden imitarse. La firma digital puede aplicarse a cualquier tipo de información electrónica, ya sea que se encuentre cifrada o en texto claro. En la tabla 1 se muestra una comparación entre la firma digital y la firma autógrafa.
CERTIFICADOS DIGITALES
Un certificado digital o certificado electrónico es un fichero informático generado por una entidad de servicios de certificación que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet. El certificado digital es válido principalmente para autenticar a un usuario o sitio web en internet por lo que es necesaria la colaboración de un tercero que sea de confianza para cualquiera de las partes que participe en la comunicación. El nombre asociado a esta entidad de confianza es Autoridad Certificadora pudiendo ser un organismo público o empresa reconocida en Internet.
El certificado digital tiene como función principal autenticar al poseedor pero puede servir también para cifrar las comunicaciones y firmar digitalmente. En algunas administraciones públicas y empresas privadas es requerido para poder realizar ciertos trámites que involucren intercambio de información delicada entre las partes.
La estructura de un certificado digital X.509 (versión 3) es la siguiente:
• Certificado
– Versión
– Número de serie
– ID del algoritmo
– Emisor
– Validez
∗ No antes de
∗ No después de
– Sujeto
– Información de clave pública del sujeto
∗ Algoritmo de clave pública
∗ Clave pública del sujeto
– Identificador único de emisor (opcional)
– Identificador único de sujeto (opcional)
– Extensiones (opcional)
• Algoritmo usado para firmar el certificado
• Firma digital del certificado
Una parte importante de los certificados digitales es el campo "Extensions", en el cual se puede agregar información propia de la aplicación de firma electrónica que se desarrolla, por ejemplo, el ID de empleado, ID de funcionario o Matricula de estudiante.
Infraestructura de llave pública (PKI)
Los certificados digitales son emitidos por una autoridad certificadora, en la cual se confía y es ella quién verifica que una llave pública particular está asociada con un individuo específico, quién posee la llave privada con la que éste genera las firmas digitales. Los certificados digitales tienen un periodo de validez 10 3. Firma digital en México aunque también pueden revocarse. Cuando se verifica una firma digital, se debe garantizar que el certificado usado en el proceso de verificación es auténtico (está firmado digitalmente por la autoridad certificadora que lo emite) y no ha sido revocado. La creación y administración de certificados digitales requiere de una infraestructura, que se conoce como PKI (Public Key Infraestructure). Una PKI es el conjunto del hardware, software, recursos humanos, políticas y procedimientos que se necesitan para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales.
BIBLIOGRAFIA:
http://www.tamps.cinvestav.mx/~mmorales/documents/dsMexico.pdf
http://www.firmadigital.gba.gov.ar
http://www.upv.es/contenidos/CD/info/711545normalc.html
http://www.seg-social.es/Internet_1/Sede/Certificadosdigital47735/index.htm
EZEQUIEL TORRES- Invitado
Temas similares
» UNIDAD 3 SEGURIDAD EN APLICACIONES WEB
» 3.- Software De Aplicacion
» 3.- Seguridad Para Las Aplicaciones Web (Incluya cómputo móvil)
» UNIDAD II: SEGURIDAD EN LA RED.
» UNIDAD II: SEGURIDAD EN LA RED.
» 3.- Software De Aplicacion
» 3.- Seguridad Para Las Aplicaciones Web (Incluya cómputo móvil)
» UNIDAD II: SEGURIDAD EN LA RED.
» UNIDAD II: SEGURIDAD EN LA RED.
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.