Fernando León

Revolución en la criptografía ahora es pública.

Avance criptográfico: Sistema de distribución de claves.

A lo largo de la historia fue un arma secreta.

Internet ha cambiado la comunicación y los negocios.

PKI ofrece hacer un uso seguro. Se basa en RSA.

Definición:

Protocolo para el intercambio seguro de información.

Infraestructura de red formada por servidores y

servicios.

Tecnología basada en clave pública.(Ciberpaís)

Elementos que la componen:

Certificados digitales (X509)

Organización jerárquica. CA y RA.

Directorios de certificados (X.500, LDAP).

Sistema sofware de administración de certificados:

comprobación, generación y gestión de certificados.

Objetivos: Autentificación de usuarios

No repudio

Integridad de la información

Auditabilidad

Acuerdo de claves secretas

Marco de la PKI dentro de la seguridad

informática (3A): Autentificación (PKI y tokens).

Autorización (cortafuegos, VPN, IDS,

Smartcards,Biometria).

Administración (gestión de perfiles y control

centralizado).

IPSec.

MIME Security.

PKIX (IETF).

PKCS (RSA).

Secure Socket Layer (SSL) & Transport Layer Security (TLS).

Secure Electronic Transactions (SET).

X509, X500, etc…

El PKIx se convirtio en la seguridad que nos permite manejar de forma segura el comercio electronico con base a protocolos seguros como: SSL, IPSEC.

Tambien se usan firmas digitales, certificados digitales, cifrado como PGP, etc.

Se usa para evitar ataques a los servidores

Evitar sacar información personal de las personas que usan el sitio

Protecciones perimetrales

Cifrado de información para la comunicacion entre empresas y organizaciones, envio seguro entre ellos.

Proteger información respaldada

Cuidar la información personal de parte de los usuarios

Cifrar información personal en el equipo de punto final

Cifrar enlaces de comunicación entre servidores

Proteger indentidad de usuarios y equipos de comunicacion

EDI: Es un conjunto coherente de datos para la transmisión por medios electrónicos, estructurados conforme a normas de mensajes acordadas, preparados en un formato capaz de ser leído por un computador y de ser procesado automáticamente y sin ambigüedad.

XML (Extensible Markup Language): es un metalenguaje extensible de etiquetas desarrollado por el World Wide Web Consortium (W3C). XML no es realmente un lenguaje en particular, sino una manera de definir lenguajes para diferentes necesidades.

ISO 8730: se trata de la norma más antigua y más extendida en el tema de seguridad para las transferencias bancarias. La norma ISO 8730, utiliza cifrado de clave simétrica (DES) para autenticar transferencias. Los mecanismos de distribución de claves están regulados por la norma ISO 8732. Según ISO 8730 varios de los campos que integran una transferencia interbancaria deben estar incluidos en el mensaje de autenticación.

SWIFT (Society for Worldwide Interbank Financial Telecommunication): es una organización que tiene a cargo una red internacional de comunicaciones financieras entre bancos y otras entidades financieras. Ofrece un servicio para transferencias de pagos con varios mecanismos de seguridad, como son el cifrado de líneas, la protección de acceso a la red mediante códigos y la posibilidad de cifrado en las conexiones usuarios-red.

ETEBAC 5: es un protocolo diseñado para su utilización en la banca francesa, que permite realizar de forma segura operaciones de cierta envergadura entre instituciones financieras y sus clientes. ETEBAC 5 utiliza un protocolo de transferencia de archivo llamado PeSIT. Este acepta criptografía con clave simétrica o asimétrica, DES y RSA respectivamente.

PCI DSS: Payment Card Industry Data Security Standard (PCI DSS), es un estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito. Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos.

Secure Sockets Layer (SSL): Cómo funciona

¿Qué ocurre cuando un navegador encuentra SSL? El navegador intenta conectarse al sitio web protegido con

SSL. El navegador solicita que el servidor web se identifique. El servidor envía al navegador una copia de su certificado

SSL. El navegador comprueba si confía en el certificado SSL. De

ser así, envía un mensaje al servidor. El servidor reenvía un reconocimiento firmado digitalmente

para iniciar una sesión cifrada con SSL. Los datos cifrados se comparten entre el navegador y el

servidor.

El cifrado protege los datos durante la transmisión

Los servidores y los navegadores web confían en el protocolo Secure Sockets Layer (SSL) para ayudar a los usuarios a proteger sus datos durante la transferencia mediante la creación de un canal cifrado para comunicaciones privadas por medio de Internet pública. Cada certificado SSL consta de un par de claves y de información de identificación verificada

Mas información: http://www.symantec.com/es/es/theme.jsp?themeid=how-ssl-works

PGP es un criptosistema híbrido que combina técnicas de criptografía simétrica y criptografía asimétrica. http://www.symantec.com/es/mx/products-

solutions/families/?fid=encryption

Existe para protegere lo siguiente: ENDPOINT

PERIMETRO

COMUNICACION SEGURA

CORREO ELECTRONICO

CONTENIDO

El certificado digital es un conjunto de datos que se incorpora a tu navegador y a partir del cual es posible identificarse en Internet y realizar gestiones de todo tipo desde casa. El certificado también protege los datos que facilitas cada vez que realizas algún trámite on-line, preservando el secreto de tus comunicaciones. Está disponible tanto para personas físicas como para empresas o asociaciones