2. Firma Digital
• Una Firma Digital es una Firma Electrónica que
permite validar la identidad del emisor de una
transmisión digital y asegurar que la
información transmitida no ha sido alterada
por personas no autorizadas [9]. Las firmas
digitales están basadas en criptografía de
clave pública.
3. Certificados Digitales
• Un Certificado Digital es una tecnología similar a una
tarjeta de identificación, que certifica la identidad y
autenticidad de su dueño y por lo tanto puede ser utilizado
para verificar la identidad de una entidad
(individuo, servicio, sistema, compañía, etc.) con la cual se
está estableciendo una comunicación electrónica.
• Los certificados son emitidos y firmados digitalmente por
Autoridades Certificadoras (CAs). Además de los datos de
identificación y una copia de la clave pública del dueño, el
certificado contiene un número serial, la identidad y firma
digital de la CA emisora y la fecha de expiración.
4. Pki / encriptacion
Public Key Infraestructure PKI
• Infraestructura que permite la utilización de criptografía de clave
pública en un entorno corporativo o público. Consiste
esencialmente en un grupo de servicios que posibilita la
generación, almacenamiento y transmisión segura de parejas de
claves.
• Estos servicios coordinados generalmente incluyen una autoridad
certificadora de confianza (CA), una autoridad de registro para
aceptar pedidos de certificados digitales, un almacén de
certificados en donde los usuarios pueden acceder a las claves
públicas de otros usuarios, un certificado digital y un sistema para
generar, almacenar y transmitir de forma segura certificados y
parejas de claves a las entidades que los solicitan. [9]
5. Firmas digitales
• Las firmas digitales son el servicio más utilizado de S/MIME. Como su nombre indica, las firmas
digitales son la contrapartida digital a la tradicional firma legal en un documento impreso. Al igual
que ocurre con una firma legal, las firmas digitales ofrecen las siguientes capacidades de seguridad:
• Autenticación La autenticación en una firma digital permite que un destinatario sepa que un
mensaje fue enviado por la persona o la organización que dice haber enviado el mensaje.
• No rechazo La unicidad de una firma impide que el propietario de la firma no reconozca su firma.
Esta capacidad se llama no rechazo. Así, la autenticación proporcionada por una firma aporta el
medio de exigir el no rechazo. Las firmas digitales reconocen como legalmente vinculantes, de
manera similar a una firma en un papel. Como el correo electrónico SMTP no ofrece ningún medio
de autenticación, no puede proporcionar la función de no rechazo. Para el remitente de un mensaje
de correo electrónico SMTP es fácil no reconocer la propiedad del mismo.
• Integridad de los datos cuando el destinatario de un mensaje de correo electrónico firmado
digitalmente valida la firma digital, tiene la seguridad de que el mensaje recibido es el mismo
mensaje que se firmó y se envió, y que no se ha manipulado mientras estaba en tránsito. Cualquier
alteración del mensaje mientras estaba en tránsito una vez firmado invalida la firma.
6. Firmas digitales
Aunque las firmas digitales ofrecen integridad de los datos, no proporcionan
confidencialidad. Los mensajes que sólo tienen una firma digital se envían como texto
no cifrado, de manera similar a los mensajes SMTP, y otras personas pueden leerlos.
En caso de que el mensaje tenga una firma opaca, se consigue un cierto nivel de
ofuscación porque el mensaje está codificado en base64, pero sigue siendo texto no
cifrado. Para proteger el contenido de los mensajes de correo electrónico debe
utilizar el cifrado de mensajes.
7. Firmas Digitales
• La operación de firma que se realiza cuando se envía el mensaje requiere información que sólo el
remitente puede proporcionar. Esta información se utiliza en una operación de firma capturando el
mensaje de correo electrónico y realizando una operación de firma sobre el mensaje. Esta operación
produce la firma digital real. Esta firma se anexa entonces al mensaje y se incluye con él cuando se envía.
• La figura siguiente muestra la secuencia de firma de un mensaje.
8. Firmas Digitales
1. Se captura el mensaje.
2. Se recupera información que identifica de manera única al remitente
3. Se realiza la operación de firma sobre el mensaje utilizando la información única del
remitente para producir una firma digital
4. Se anexa la firma digital al mensaje
5. Se envía el mensaje
Como esta operación requiere información única del remitente, las firmas digitales
ofrecen autenticación y no rechazo. Esta información única puede demostrar que el
mensaje sólo puede proceder del remitente.
9. Uso de una firma digital
Adición de una línea de firma digital
• Agregar una firma digital a un documento es agregar una o varias líneas de
firma digital. El siguiente procedimiento es un ejemplo de cómo crear una
línea de firma digital.
• Haga clic en la ficha Insertar y, a continuación, haga clic en el botón Línea
de firma. Aparece el cuadro de diálogo Configuración de firma. Escriba
información en los cuadros Firmante sugerido, Puesto del firmante
sugerido y Dirección de correo electrónico del firmante sugerido.
• Active la casilla Permitir que el firmante agregue comentarios en el
cuadro de diálogo Firmar si desea que el firmante agregue información
adicional en la línea de firma y, después, active la casilla Mostrar la fecha
en la línea de firma para agregar la fecha en que se firmó el documento.
Haga clic en Aceptar.
•
10. Uso de firma digital
• Ahora aparece en el documento una línea de firma digital.
Haga doble clic en la línea de firma para proporcionar más
información.
• En el cuadro de diálogo Firmar, puede escribir su nombre.
Si tiene un Tablet PC, puede escribir su nombre en el
cuadro de texto. Si no tiene un Tablet PC, pero desea incluir
una imagen de la firma real en la línea de firma, puede
hacer clic en el vínculo Seleccionar imagen e insertar un
archivo gráfico que contenga la firma manuscrita. En este
ejemplo, se hará clic en el vínculo Seleccionar imagen para
insertar un gráfico de una firma real.
• En el cuadro de diálogo Seleccionar imagen de la
firma, seleccione la imagen de la firma y, a
continuación, haga clic en el botón Seleccionar.
11. Uso de firma digital
• La imagen aparece en el cuadro de diálogo Firmar. Antes de firmar el
documento, puede escribir una razón para firmar el documento en el
cuadro Razón para firmar este documento. Haga clic en Firmarpara firmar
digitalmente el documento.
• Aparece el cuadro de diálogo Confirmación de la firma para informar de
que la firma digital se ha aplicado al documento.
• Observe en este ejemplo que aparece una advertencia de Firma no válida
en el cuadro de línea de firma. Haga clic en Firma no válida para investigar
las razones por las que la firma no es válida.
• En el cuadro de diálogo Detalles de la firma, verá que el certificado no es
de confianza. Para confiar en el certificado, haga clic en el vínculo Haga clic
aquí para confiar en la identidad de este usuario.
• Después de confiar en la firma, el cuadro de diálogo Detalles de la firma
confirmará que la firma es válida. Haga clic en Cerrar.
• La línea de firma ya no muestra un problema con el certificado y la fecha
en que se firmó el documento aparece ahora encima de la línea de firma.
12. Requisitos de las firmas digitales
• Para establecer estas condiciones, el creador del contenido
debe firmar digitalmente el contenido mediante una firma
que cumpla los criterios siguientes:
• La firma digital es válida. Una entidad de certificación en la
que confíe el sistema operativo debe firmar el certificado
digital en el que se basa la firma digital.
• El certificado asociado a la firma digital no ha caducado.
• La persona o la organización que firma (conocida como el
publicador) es de confianza para el destinatario.
• El certificado asociado a la firma digital ha sido emitido
para el publicador firmante por una entidad de certificación
acreditada
14. Técnicas de encriptación
• Enseñe a los usuarios a exportar sus certificados y claves privadas a medios
extraíbles, y a almacenar los medios de manera segura cuando no estén en uso.
Para lograr la máxima seguridad posible, se debe quitar del equipo la clave privada
siempre que el equipo no esté en uso. Esto protege contra los atacantes que
obtienen físicamente el equipo e intentan tener acceso a la clave privada. Cuando
se debe tener acceso a los archivos cifrados, se puede importar fácilmente la clave
privada de los medios extraíbles.
• Cifre la carpeta Mis documentos para todos los usuarios (perfilDeUsuarioMis
documentos). Esto asegura que la carpeta personal, donde se almacenan la
mayoría de los documentos, se cifra de forma predeterminada.
• Explique a los usuarios que no deben cifrar nunca archivos individuales, sino
carpetas. Los programas trabajan sobre los archivos de varias maneras. El cifrar de
forma coherente los archivos en el nivel de carpeta asegura que los archivos no se
descifran inesperadamente.
15. Técnicas de Encriptación
• Las claves privadas asociadas a certificados de recuperación son sumamente
sensibles. Estas claves se deben generar en un equipo que esté protegido
físicamente o sus certificados se deben exportar a un archivo .pfx, protegido con
una contraseña segura, y guardarse en un disco que esté almacenado en una
ubicación físicamente segura.
• Los certificados de agente de recuperación deben asignarse a cuentas especiales
de agente de recuperación que no se utilicen para ningún otro fin.
• No destruya certificados de recuperación ni claves privadas cuando se modifiquen
los agentes de recuperación. (Los agentes se cambian periódicamente.)
Consérvelos todos, hasta que todos los archivos que puedan haberse cifrado con
ellos estén actualizados.
16. Técnicas de Encriptación
• Designe dos o más cuentas de agente de recuperación por unidad organizativa
(OU), dependiendo del tamaño de la OU. Designe dos o más equipos para la
recuperación, uno para cada cuenta de agente de recuperación designada.
Conceda permisos a los administradores adecuados para utilizar las cuentas de
agente de recuperación.
• Es conveniente tener dos cuentas de agente de recuperación con el fin de
proporcionar redundancia para la recuperación de archivos. El hecho de tener dos
equipos que contengan estas claves proporciona más redundancia para permitir la
recuperación de datos perdidos.
• Implemente un programa de almacenamiento de agentes de recuperación para
asegurarse de que los archivos cifrados puedan recuperarse utilizando claves de
recuperación obsoletas.
• Los certificados de recuperación y las claves privadas se deben exportar y
almacenar de forma controlada y segura. Idealmente, como ocurre con todos los
datos seguros, los archivos de almacenamiento deben guardarse en un recinto con
acceso controlado y debe disponer de dos archivos: uno maestro y una copia de
seguridad. El maestro se guarda en las instalaciones, mientras que la copia de
seguridad se guarda en una ubicación externa segura.
17. Técnicas de Encriptación
• Evite utilizar archivos de cola de impresión en su arquitectura del servidor de
impresión o asegúrese de que esos archivos de cola de impresión se generan en
una carpeta cifrada.
• El Sistema de archivos de cifrado consume bastante CPU cada vez que un usuario
cifra y descifra un archivo. Planee exhaustivamente su uso del servidor. Equilibre la
carga de sus servidores cuando haya muchos clientes que utilicen el Sistema de
archivos de cifrado (EFS).
18. Técnicas de encriptación
• Cómo se cifran los archivos
• Los archivos se cifran mediante el uso de algoritmos que básicamente
reorganizan, combinan y codifican los datos. Se genera aleatoriamente un
par de claves cuando cifra su primer archivo. Este par de claves consta de
una clave privada y una clave pública. El par de claves se utiliza para
codificar y descodificar los archivos cifrados.
Si el par de claves se pierde o resulta dañado y no ha designado ningún
agente de recuperación, no hay ninguna manera de recuperar los datos.
• Por qué debe hacer copia de seguridad de sus certificados
• Puesto que no hay ninguna forma de recuperar los datos cifrados con un
certificado dañado o perdido, es fundamental hacer copia de seguridad de
los certificados y almacenarlos en una ubicación segura.
19. Ejemplo Cifrado
Cifrar una carpeta y su contenido
Aunque puede cifrar archivos individualmente, suele ser conveniente designar una carpeta concreta donde
almacenará los archivos cifrados y cifrar esa carpeta. Si lo hace, todos los archivos que se creen en esta carpeta
o que se muevan a ella obtendrán automáticamente el atributo de cifrado.
Para cifrar una carpeta y su contenido actual, siga estos pasos: Haga clic con el botón secundario del mouse en
la carpeta que desee cifrar y, a continuación, haga clic en Propiedades
En el cuadro de diálogo Propiedades, haga clic en Opciones avanzadas.
El cuadro de diálogo Atributos avanzados mostrará las opciones de atributo para la compresión y el cifrado.
Este cuadro de diálogo también incluye atributos de almacenamiento e indización.
Para cifrar la carpeta, haga clic para activar la casilla de verificación Cifrar contenido para proteger datos y, a
continuación, haga clic en Aceptar.
Haga clic en Aceptar para cerrar el cuadro de diálogo Atributos avanzados.
Si la carpeta que decidió cifrar en los pasos 1 a 3 ya contiene archivos, aparecerá un cuadro de diálogo
Confirmar cambios de atributos.
Puede elegir cifrar sólo la carpeta para que se cifren todos los archivos que se muevan a esa carpeta o se creen
en ella. Si también desea cifrar todo el contenido de esta carpeta, haga clic en Aplicar los cambios a esta
carpeta, y sus subcarpetas y archivos y, a continuación, haga clic en Aceptar.
20. Ejemplo Cifrado
Descifrar una carpeta
• Para descifrar una carpeta, utilice básicamente el mismo proceso pero en orden
inverso: Haga clic con el botón secundario del mouse en la carpeta que desee
descifrar y, a continuación, haga clic en Propiedades.
• Haga clic en Opciones avanzadas.
• Haga clic para desactivar la casilla de verificación Cifrar contenido para proteger
datos con el fin de descifrar los datos.
• Haga clic en Aceptar para cerrar el cuadro de diálogo Atributos avanzados.
• Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.
• Si la carpeta contiene archivos, aparecerá el cuadro de diálogo Confirmar cambios
de atributos. Puede elegir descifrar sólo la carpeta. Sin embargo, esto no
descifrará los archivos contenidos actualmente en la carpeta.
Si desea descifrar todo el contenido de esta carpeta, haga clic en Aplicar los
cambios a esta carpeta, y sus subcarpetas y archivos y, a continuación, haga clic
en Aceptar.
21. Certificados Digitales
los certificados de la versión 3 de X.509 contienen los campos siguientes:
• Version number La versión del estándar X.509 a la que se atiene el certificado.
• Serial number Un número que identifica de manera única al certificado y que está emitido por la entidad emisora de certificados.
• Certificate algorithm identifier Los nombres de los algoritmos de claves públicas que la entidad emisora ha utilizado para firmar el certificado
digital.
• Issuer name La identidad de la entidad emisora de certificados que emitió realmente el certificado.
• Validity period El período de tiempo durante el cual un certificado digital es válido; contiene una fecha de inicio y una fecha de caducidad.
• Subject name El nombre del propietario del certificado digital.
• Subject public key information La clave pública asociada al propietario del certificado digital y los algoritmos de claves públicas asociados a la clave
pública.
• Issuer unique identifier Información que puede utilizarse para identificar de manera única al emisor del certificado digital.
• Subject unique identifier Información que puede utilizarse para identificar de manera única al propietario del certificado digital.
• Extensions Información adicional relacionada con el uso y el tratamiento del certificado.
• Certification authority's digital signature La firma digital real realizada con la clave privada de la entidad emisora utilizando el algoritmo
especificado en el campo Certificate algorithm identifiers.
22. Certificados Digitales
Procedimientos para realizar una copia de seguridad:
Para hacer copia de seguridad de sus certificados, siga estos pasos: Inicie Microsoft Internet
Explorer.
• En el menú Herramientas, haga clic en Opciones de Internet.
• En la ficha Contenido, en la sección Certificados, haga clic en Certificados.
• Haga clic en la ficha Personal.
Seleccione un certificado cada vez hasta que el campo Propósitos planteados del certificado
muestre Sistema de archivos de cifrado. Éste es el certificado que se generó cuando cifró su
primera carpeta.
• Haga clic en Exportar para iniciar el Asistente para exportación de certificados y, a
continuación, haga clic en Siguiente.
• Haga clic en Exportar la clave privada para exportar la clave privada y, a continuación, haga
clic en Siguiente.
• Haga clic en Permitir protección segura y, a continuación, haga clic en Siguiente.
• Escriba su contraseña. (Debe tener una contraseña para proteger la clave privada.)
• Especifique la ruta de acceso donde desea guardar la clave. Puede guardar la clave en un
disquete, en otra ubicación del disco duro o en un CD. Si se produce un error en el disco duro
o se vuelve a formatear, se perderán la clave y la copia de seguridad.
• Especifique el destino y haga clic en Siguiente.