• Author / Uploaded
• Julio Kaspersky

Citation preview

Seguridad de a Informatica Unidad 2. Evidencia de aprendizaje. Prevención de riesgos en los SI

Universidad Abierta y a Distancia de México Facilitador VICTOR HUGO RAMIREZ SALAZAR. Grupo: DS-DSEI-1801-B2-001

Asignatura Seguridad de la informática  Periodo semestral 2017 bloque 2

Estudiante Julio Cesar García Hernández. Matrícula ES1410902943

Seguridad de a Informatica Unidad 2. Evidencia de aprendizaje. Prevención de riesgos en los SI

Seguridad de a Informatica Unidad 2. Evidencia de aprendizaje. Prevención de riesgos en los SI En esta actividad plantearás los mecanismos de cifrado y descifrado de información mediante los certificados de clave pública en el caso específico que has desarrollado en la unidad. Para ello, sigue las instrucciones de tu Docente en línea; una vez que cuentes con las instrucciones, realiza estos pasos:

1. Identifica en el caso la clave privada asociada a la clave pública y el mecanismo de cifrado o firma digital empleado para protección de la clave privada. Apóyate en la obra de España Boquera (2003).

2. Identifica el mecanismo de cifrado y descifrado de la información mediante el mecanismo de certificados de clave pública.

3. Explica la función de la autoridad de certificación e identifica el modelo de autoridad de certificación que aplica al caso.

4. Explica cómo se protege y cómo se accede a la clave secreta asociada. 5. Una vez identificados los elementos de cifrado y certificación, organiza la información mediante el formato de certificado de clave pública, integrando los elementos: 

Nombre de la entidad a la cual pertenece la clave pública y el certificado.



Algoritmo de firma digital.



Clave pública y parámetros.



Periodo de validez del certificado.



Modelo de autoridad de certificación en relación con el caso.



Nombre, algoritmo de la firma digital y clave pública de la autoridad de certificación.



Procedimiento de actualización y revocación de claves: periodo en el que se realizará y por qué, de acuerdo con el caso.



Copias de seguridad de las claves.



Estándares aplicados a las claves.

6. Elabora un diagrama de flujo donde se observen los pasos de certificación de clave pública.

Seguridad de a Informatica Unidad 2. Evidencia de aprendizaje. Prevención de riesgos en los SI 7. Analiza y explica los errores o riesgos que se evitan utilizando el certificado de clave pública. 8. Integra en el manual de seguridad informática desarrollado a partir de la Actividad 2 un nuevo apartado donde expongas el procedimiento de certificado de clave pública y el formato de certificado de clave pública. 9. Después de realizar tu evidencia, guárdala con el nombre DSEI_U2_EA_XXYZ. Sustituye las XX por las dos primeras letras de tu primer nombre, la Y por tu primer apellido y la Z por tu segundo apellido. 10. Lee detenidamente los criterios de evaluación de la Unidad 2 para que los consideres en el desarrollo de tu actividad. 11. Envía tu actividad a tu Docente en línea mediante el Portafolio de evidencias. Espera y atiende la retroalimentación correspondiente.

Seguridad de a Informatica Unidad 2. Evidencia de aprendizaje. Prevención de riesgos en los SI

Identifica en el caso la clave privada asociada a la clave pública y el mecanismo de cifrado o firma digital empleado para protección de la clave privada. Apóyate en la obra de España Boquera (2003).

El algoritmo utilizado es el cifrado con clave asimétrica, pues se cifrará un mensaje con la llave privada y solo podrá ser descifrado mediante el descifrado con la llave privada asociada. Se cifra con la clave pública y se descifra con la privada.

La criptografía asimétrica nos da autenticidad, integridad y no repudio. La firma digital. Permite al receptor del mensaje que el origen es auténtico, y comprobar si el mensaje ha sido modificado. Para poder falsificar una firma digital es necesario que se conozca la clave privada, es casi imposible. Fases de la firma digital:  

Proceso de firma: el emisor cifra los datos con la clave privada y lo manda al receptor. Verificar la firma: el receptor descifra los datos usando la clave pública del emisor y comprueba que la información coincide con los datos originales.

Seguridad de a Informatica Unidad 2. Evidencia de aprendizaje. Prevención de riesgos en los SI Identifica el mecanismo de cifrado y descifrado de la información mediante el mecanismo de certificados de clave pública.

El cifrado se basa en el algoritmo de pareja de claves, pública y privadas. El tipo de seguridad de este cifrado radica en el problema de factorización de números enteros.

Explica la función de la autoridad de certificación e identifica el modelo de autoridad de certificación que aplica al caso.

La renovación del certificado digital se debe realizar con un certificado vigente, logrando garantizar la identidad del titular y que el mismo consiente en la renovación de las condiciones. Los requisitos del titular del certificado para la renovación de este son:   

Solicitar la renovación en el periodo que va desde: los 30 días anteriores a la fecha de caducidad del certificado Que no hayan pasado más de cinco años desde que el clientes se personó en su Cámara para la emisión del primer certificado, siempre que el mismo esté instalado y su caducidad esté próxima. Que no hayan cambiado los datos de su actual certificado.

En caso de que alguno de estos requisitos no se cumpla, el cliente no podrá renovar su certificado, aunque siempre puede solicitar la emisión de un nuevo certificado digital. La revocación es el cambio en el estado del certificado que da lugar a la perdida de validez de este en función de alguna circunstancia distinta a la de su caducidad. Al hablar de revocación nos referimos siempre a la perdida de validez definitiva y no reversible del certificado. Cualquier firma digital con un certificado revocado no tendrá validez, por ello, cuando se valide una firma, se deberá consultar siempre el estado del certificado o validar el mismo en la lista de revocados. 1. 2.

A través del Servicio de Revocación ONLINE Acceda al servicio de revocación e introduzca el PIN de Revocación (este código se le envía por e-mail en el momento de solicitud de su certificado) En su Autoridad de Registro Diríjase a su Autoridad de registro en horario de atención al público identificándose con su DNI.

Seguridad de a Informatica Unidad 2. Evidencia de aprendizaje. Prevención de riesgos en los SI 3.

Revocar un certificado de vinculación por la Entidad implicada. En caso de que una entidad, quiera revocar el certificado de una persona física que le vincula con ella puede enviar una comunicación (por correo ordinario, fax, etc.) debidamente firmado y sellado a su Autoridad de Registro solicitando la revocación de dicho certificado.

4.- Revocar por un tercero. La revocación por parte de un tercero (distinto al suscriptor ó a la empresa a la que se le vincula) se realizara siempre personalmente en la Autoridad de Registro). Se puede revocar un certificado digital por estos motivos:      

Petición voluntaria del suscriptor del certificado digital. Pérdida o Daños en el soporte del certificado digital. Defunción del suscriptor. Cambios o inexactitudes en los datos presentados por el suscriptor para la obtención del certificado. Detección de que el certificado del suscriptor o de la CA han quedada comprometidas. Y el resto de las establecidas en las correspondientes Políticas de Certificación.

Autoridad de Certificación (CA) es un ente u organismo que, de acuerdo con unas políticas y algoritmos, certifica claves públicas de usuarios o servidores. El usuario A enviará al usuario B su certificado (la clave pública firmada por CA) y éste comprobará con esa autoridad su autenticidad. Lo mismo en sentido contrario. En caso de que algún certificado no sea emitido por CA local en la que estamos suscritos, la CA local nos puede facilitar el certificado raíz de la CA remota firmado por ella.

Elabora un diagrama de flujo donde se observen los pasos de certificación de clave pública.

Seguridad de a Informatica Unidad 2. Evidencia de aprendizaje. Prevención de riesgos en los SI Los certificados digitales están conformados por dos parejas de claves: la pública, que podemos mostrar a un tercero, y la privada, que en ningún caso puede ser conocida o accedida por un tercero, ya que se Analiza y explica los errores o

riesgos que se evitan utilizando el certificado de clave pública.

trata de nuestra identidad y de nuestra firma. Proteger y custodiar de manera segura las claves privadas de nuestros certificados contribuye a combatir su sustracción y evitar así tener que enfrentarnos ante un posible fraude por la suplantación de nuestra identidad.

Fuentes de Consulta

España Boquera, M.C (2003). Servicios avanzados de telecomunicación. Madrid: Díaz de Santos. Jesús Rodríguez. (2015). Cómo utilizar los certificados minimizando los riesgos de fraude. 2017, de RedSegirudad.com Sitio web: http://www.redseguridad.com/especialidadestic/dlp-y-fraude/como-utilizar-los-certificados-minimizando-los-riesgos-de-fraude

PAe Portal administración electrónica. (2017). Los Certificados Electrónicos. 2017, de PAe Portal administración electrónica Sitio web: http://firmaelectronica.gob.es/Home/Ciudadanos/Certificados-Electronicos.html Edicom certification authority. (2017). Certificados Digitales. 2017, de ACEDICOMMX Sitio web: http://acedicom.edicomgroup.com/mx/contenidos/certificadosDigitales/punto1.htm CamerFirma Certificado Digital. (2017). Renovación y Revocación de Certificados. 2017, de CamerFirma Certificado Digital Sitio web: http://www.camerfirma.com/area-deusuario/renovacion-de-certificados/