Tema 3: Mecanismo criptográficos de aseguramiento de información financiera. Flashcards
Cifradores simétricos
❖ Ambas claves son iguales
❖ Los comunicantes deben intercambiar la clave empleando un canal
seguro
❖ En la práctica son más rápidos que los asimétricos
❖ Pueden cifrar por bloques o en flujo
Ejemplos de cifradores simétricos.
❖ Data Encryption Standard (DES)
❖ Advanced Encryption Standard (AES)
Cifradores asimétricos
❖ Ambas claves son diferentes (particularmente, inversas)
❖ Resuelve el problema del intercambio de clave
❖ Cada entidad dispone de una clave pública y su contraparte privada
Ejemplos de cifradores asimétricos.
❖ RSA
❖ El Gamal
- Variantes basadas en curvas elípticas (EC-RSA). Son más rápidas y menor tamaño de clave.
Modos de cifrado.
- Mensaje más grande que tamaño del bloque del cifrador -> se puede trocear en bloques independientes.
- Ej: ECB, CBC, CCM
CBC: salida de uno influye en la entrada del siguiente.
Funciones resumen.
- Dado mensaje de cualquier tamaño, la salida siempre tiene un tamaño fijo.
- Procedimiento criptográfico rápido.
- Intenta garantizar la integridad de la información.
- Deben ser funciones en un solo sentido.
- Debe ser eficientes de computar.
Ejemplos funciones resumen
MD5 (no es segura)
- SHA1, SHA2, SHA3 (son más seguras)
Autenticación de identidades.
- 2FA: sistema de autenticación multifactor.
Verificación de autoridad (modelo centralizado)
- Autoridad de registro
- DigiCert: entidad de certificados (vienen instalados por defecto en el navegador) -> nos tenemos que fiar.
- Validez de certificado: fecha de caducidad.
- Cuando caduca es revocado del protocolo OCSP (Online Certificate Status Protocol) (revocado de forma inmediata) y de las listas CRL (no inmediato)
Modelo distribuido
- Modelo PGP: Pretty Good Privacy -> descentralización.
Firma electrónica.
Datos añadidos a un conjunto de datos, o transformación de éstos, que permiten al receptor probar el origen y la integridad de los datos
recibidos, así como protegerlos contra falsificaciones [ISO/IEC 7498-2:1989]
Implementación de la firma electrónica.
- Algoritmo cifrado mediante clave pública: emplea la clave privada del firmante.
- Se suele aplicar una función resumen al mensaje para firmar.
Tipos de firmas electrónicas.
- Firma electrónica.
- Firma electrónica avanzada
- Firma electrónica cualificada.
Firma electrónica simple o básica (SES).
Los datos en formato electrónico anejos a otros
datos electrónicos o asociados de manera lógica con ellos que utiliza el
firmante para firmar.
Firma electrónica avanzada
a) estar vinculada al firmante de manera única;
b) permitir la identificación del firmante;
c) haber sido creada utilizando datos de creación de la firma
electrónica que el firmante puede utilizar, con un alto nivel de
confianza, bajo su control exclusivo
d) estar vinculada con los datos firmados por la misma de modo tal
que cualquier modificación ulterior de los mismos sea detectable
Firma electrónica cualificada
- Una firma electrónica avanzada que se
crea mediante un dispositivo cualificado de creación de firmas
electrónicas y que se basa en un certificado cualificado de firma
electrónica. - Tendrá un efecto jurídico equivalente al
de una firma manuscrita. - Una firma electrónica cualificada basada en un certificado cualificado
emitido en un Estado miembro será reconocida como una firma
electrónica cualificada en todos los demás Estados miembros.
Variante opaca (firma electrónica).
- Permiten a una entidad A conseguir que otra B (cierta autoridad) firme un
mensaje M sin que en el proceso B pueda conocer el contenido de M -> útil para notariado electrónico.
Pasos firma electrónica variante opaca.
❖ A envía el mensaje M, encubierto, al Notario N, quien lo firma y remite a A
❖ A invierte el encubrimiento y dispone del mensaje M firmado
❖ El notario no ha conocido M
❖ El encubrimiento debe ser compatible con el algoritmo de firma
Firma electrónica - Variante en anillo.
❖ Permiten que un usuario, que forma parte de un grupo, pueda firmar un
elemento, de forma tal que:
❖ Cualquiera pueda verificar la firma y saber que es correcta
❖ La verificación permita concluir que un miembro del grupo ha
efectuado la firma, pero sin revelar su identidad
❖ En ocasiones, una autoridad puede revelar la identidad del firmante
Problema de la firma electrónica. Validez a largo plazo.
- Necesidad de mantener la validez de la firma a lo largo del tiempo.
- Long-term validation (LTV):
PDF Advanced Electronic Signature (PAdES)
Aplicación de la firma electrónica: Sellado de tiempo.
❖ Acreditar que un determinado documento existía antes de un determinado momento temporal ❖ Se necesita un tercero de confianza (TTP) para ofrecer la “hora oficial” y dar fe de este evento: Time Stamping Authorities (TSA)
Pruebas de conocimiento nulo (ZKP: Zero Knowledge Proof)
❖ Proceso interactivo donde una parte (cliente, C) convence a otra
(verificador, V), hasta un nivel aceptable, de que conoce un secreto, sin
que el verificador pueda aprender ninguna información sobre el secreto.
- Ej. Protocolo Fiat-Shamir
ISO 20022 (ISO TC68)
❖ Catálogo normalizado de mensajes entre todos los actores implicados en el
proceso de pago (banco, pasarelas, intermediarios, usuarios, etc.)
❖ Útil para los distintos sectores financieros: pagos en efectivo, con tarjeta,
securities, etc.
Enlace con los tipos de firmas electrónicas.
https://connective.eu/es/tres-tipos-de-firmas-electronicas-y-como-elegir-el-tipo-adecuado-para-tus-transacciones/
