Seguridad Aplicada (2da Parte)

image_pdfimage_print

Edixon Rojas/Centro de Seguridad Informática y Certificación Electrónica (CSICE).

Infraestructura de clave pública.

La más importante es ¿Qué protegemos?, aunque parezca una pregunta tan simple tiene mucho que ver con las herramientas de seguridad,  sus políticas y la aplicación de las mismas; es de hacer recalcar que se debe tener muy claro de que es lo que protegemos. Un ejemplo claro de fallo de seguridad de información, es el caso Panamá Paper. ¿Qué fue lo que se filtró?

Los 11.5 millones de documentos de la firma de abogados de Panamá, Mossack Fonseca, abarcan 45 años de datos. Desde 19070 hasta finales de 2015; los registros fueron revisados por un equipo de más de 370 periodistas de casi 80m países, en 25 idiomas distintos. Los datos incluyen mensajes de correo electrónico, hojas de cálculo financieras, pasaportes y registros corporativos que revelan secretos de los propietarios de las cuentas bancarias y empresas en 21 jurisdicciones offshore, pasando por Nevada EEUU, Hong Kong y la Isla Vírgenes Británicas.

Este artículo lo puede ver en este link: Claves para entender el caso Panamá Papers

Los documentos –que involucran a 12 jefes de Estado actuales y pasados y más de 60 de sus familiares, además de todo tipo de personalidades políticas y deportivas– demuestran como las personas adineradas y poderosas usan los paraísos fiscales para ocultar su riqueza, en operaciones que a veces se utilizan para el lavado de dinero y la evasión de impuestos.

Todavía no se sabe quién fue el responsable de la filtración.

¿Cómo es el ambiente PKI?,  En forma general, un certificado enlaza una relación entre una entidad nombrada y una clave pública de esa entidad. Un certificado electrónico digital es una declaración digital firmada por una Autoridad de Certificación (En nuestro caso CSICE),  alegando que la clave pública de un certificado del propietario (Ya sea persona, una organización, un programa, una computadora, un negocio, un banco, entre otros) es digna de confianza. Si usted confía en los CA, entonces puede  deducir cierta confianza de la información firmada. Los certificados electrónicos tienen la característica de poder ser abalados por una Autoridad de Certificación CA,  teniendo revocación. Esta capacidad de deducir confianza con un completo conocimiento de solo pocas autoridades de certificación, es de extremadamente de gran alcance ya que permite, que una gran cantidad de entidades diversas y operen con seguridad.

Los certificados electrónicos digitales son usados en una variedad de aplicaciones de transferencias de fondos electrónicos, en la creación de redes virtuales privadas, intercambios en WWW, interacciones cliente/servidor entre otros.

Sí nos hemos concentrado en la clave pública, para ilustrar el concepto, actualmente un certificado electrónico digital incluye más información; el formato estándar más importante para los certificados es X509 V3 y este contiene los siguientes campos:

  1. Versión.
  2. Un número de serial (Para la revocación).
  3. El algoritmo de firma usado.
  4. El nombre del emisor (Nombre del CA)
  5. El periodo de Validez.
  6. El nombre del usuario.
  7. La clave pública del signatario.
  8. Extensiones (Como correo electrónico del signatario).
  9. La firma del CA en la unión de todos los campos antes mencionados.

Elementos de hardware involucrados en el ambiente PKI:

Equipo de criptografía digital donde de general el par de claves asimétricas.

Tarjeta tipo smartcard donde se guarda el certificado electrónico.

Compartir en Redes Sociales