Riesgos y seguridad II Cifrado |
|
Una aplicación de los sistemas de clave pública es la firma digital. El objetivo final es enviar un documento, y poder demostrar quien lo ha enviado. En un papel normal, lo que se hace es firmarlo.
En el caso electrónico, quien envía el mensaje aplica su clave privada y con ello lo firma digitalmente. Sólo la clave pública correspondiente a dicha persona o institución permite comprobar que . Si efectivamente con dicha clave se descifra es señal de que quien dice que envió el mensaje, realmente lo hizo.
Lo vemos paso a paso.
En este caso es Carlos quien quiere enviar un mensaje a Fernando, pero firmado digitalmente. Tomemos nuevamente el mismo mensaje, "hola".
1) Carlos escribe un documento de texto con el siguiente mensaje: "hola".
2) En el programa PGP, Carlos selecciona la opción de firmar digitalmente dicho documento. O lo que es lo mismo, el PGP aplica la clave privada de Carlos, opción [firma digital].
[encriptar] [firma digital] [encriptar y firmar] [desencriptar]Para ello nuevamente el PGP pide a Carlos el password para poder aplicar la clave privada.
Una vez aplicada la firma digital, el mensaje "hola" con la firma digital se convierte en esto:
-----BEGIN PGP SIGNED MESSAGE----- hola -----BEGIN PGP SIGNATURE----- iQA/AwUBPIOVallyxNs7kDT0EQIkEgCgsG3yq8lCzjQ90fVH1i8s8chte3wAnjd8 |
A continuación Carlos envía dicho mensaje a Fernando
3) Fernando recibe el mensaje y puede leerlo sin problemas pues no está encriptado, sólo firmado digitalmente -nótese que está el "hola" en la parte superior del documento-.Si Fernando quiere comprobar que el mensaje fue escrito por quien lo envió, que efectivamente corresponde a quien dice, debe usar la opción del PGP [desencriptar]
|
Y efectivamente el programa muestra a Fernando la siguiente pantalla:
Ahora las dos a la vez: encriptar y
firmar digitalmente
|
Todo esto está muy bien, pero aunque obtengamos la clave pública de una persona ¿quien nos garantiza que la persona es realmente quien dice ser?. De hecho, en esa página de Rediris no tuvimos que hacer nada especial para solicitar la clave pública, sólo instalar el PGP, copiar la clave y pegarla en un formulario de Rediris, que a su vez se encarga de enviarla a otros serviodres de Internet similares. Este sistema sólo garantiza que ese mensaje ha sido enviado por la persona que obtuvo la clave pública, pero no que esa persona es quien dice ser.
Ahí intervienen las autoridades de certificación, con lo que el destinatario tiene la seguridad de quién es la persona que se lo envió. Para usuarios particulares hay certificados de varios tipos.
- B1. Certificado de Correo con validez mensual/anual. La entidad relaciona el nombre que introduzca con una cuenta de correo válida. Permite la firma y encriptación de correo. No tiene caracter comercial pues no existe comprobación de la identidad del sujeto.
- B2. Certificado Personal con verificación documental. Es necesaria la comprobación de la identidad del sujeto mediante un documento de identidad válido. Deberá enviarse una fotocopia del documento y abonarse la correspondiente tarifa.
- B3. Certificado Personal Presencial. La comprobación de la persona será presencial y documental. El individuo deberá presentarse ante el registrador con un documento de identidad válido. y abonar la correspondiente tarifa.
En el caso de serviodres de comercio electrónico, la entidad certificadora concede los certificados después de haber controlado la correcta configuración del proceso de encriptación (SSL) y haber comprobado los datos de la empresa solicitante. El certificado de servidor seguro se concede a entidades cuyas referencias han sido comprobadas, para asegurar que efectivamente quien recibe los datos encriptados es quien debe de recibirlos.
La Entidad de Certificación garantiza la identidad de los interlocutores mediante la emisión de certificados, permite la firma electrónica y el intercambio de claves de cifrado.
Entidades de certificación como FESTE, Verisign, IPSCA, ACE, etc. FESTE (http://www.feste.org/); VERISIGN
(http://www.verisign.com); IPSCA (http://www.ipsca.com): ACE (http://www.ace.es/) TIPOS DE CERTIFICADOS PERSONALES. Con objeto de ofrecerle el producto que cubre mejor sus necesidades le ofrecemos varios tipos diferentes de Certificados Personales: - B1. Certificado de Correo con validez mensual/anual.
- B2. Certificado Personal con verificación documental.
-B3. Certificado Personal Presencial.
|
Obtenga una firma digital
gratis Observe en las siguientes pantallas un mensaje de correo electrónico que incluye una firma digital (ojo, no es la firma escrita sino el icono de la derecha!). Al hacer click sobre dicho icono comprobamos su autenticidad.
|
En IPSCA
gratis
durante 3 meses Ejercicio: Obtenga e instale uno de esos certificados |
Citar como: Serrano Cinca C. (2003): "Riesgos y seguridad en los sistemas de información", [en línea] 5campus.org, Sistemas Informativos Contables <http://www.5campus.org/leccion/buscar> [y añadir fecha consulta] |
[Índice] |
---|