Tcnico de Soporte

Informtico

TEMA 06
EL CIFRADO DE LOS DATOS

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

TEMA6.ELCIFRADODELOSDATOS
CONTENIDO
1. TCNICASCRIPTOGRFICASYDECIFRADO..........................................................................................2 
1.1CRIPTOGRAFASIMTRICA .................................................................................................................2 
1.2CRIPTOGRAFAASIMTRICAODECLAVEPBLICA ............................................................................3 
2. ALGORITMOSYMECANISMOSDEFIRMADIGITAL...............................................................................5 
2.1ALGORITMOSDECLAVESIMTRICA...................................................................................................5 
Cifradoporbloques ..............................................................................................................................5 
Cifradodeflujodedatos ......................................................................................................................6 
Algunosalgoritmos............................................................................................................................... 6
2.2ALGORITMOSDECLAVEASIMTRICA.FIRMADIGITAL ......................................................................9 
RSA........................................................................................................................................................9
DiffieHellman.......................................................................................................................................9
ALGORITMOSDEAUTENTICACINOHASH .......................................................................................10 
LAFIRMADIGITAL............................................................................................................................... 11
3.CERTIFICADOSDIGITALESYDNIELECTRNICO......................................................................................14 
3.1CERTIFICADOSDIGITALES .................................................................................................................14 
AUTORIDADESCERTIFICADORAS........................................................................................................15 
PROTOCOLOSMSCOMUNES.SSLYTLS...........................................................................................16 
3.2.ELDNIELECTRNICO.......................................................................................................................18 
TiposdeCertificado............................................................................................................................19 
Seguridad............................................................................................................................................19



Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico




Elcifradodelosdatosesunodelosmtodosdeproteccinmsfiable.Bsicamente,
consisteentransformarlosdatosdemaneraqueunapersonaquenodebateneraccesoa
ellosnopuedaentenderlos.Elcifradopuederealizarseatravsdeelementosfsicoso
lgicos.

Lapalabracriptografaprovienedelgriegokryptosquesignificaesconderygrpheinescribir,
esdecirescrituraescondida.Lacriptografahasidoutilizadaatravsdelosaosparamandar
mensajesconfidencialescuyopropsitoesqueslolaspersonasautorizadaspuedanentender
elmensaje.


1.1CRIPTOGRAFASIMTRICA


La criptografa simtrica es un mtodo criptogrfico en el que se utiliza la misma clave para
cifrarydescifrarelmensaje.Lasdospartesquesecomunicandebenponersedeacuerdode
sobrelaclaveausar.Unavezlasdostienenaccesoalaclave,elremitentecifraunmensaje
utilizndolo,loenvaaldestinatario,ystelodescifraconlamismaclave.

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

1. TCNICASCRIPTOGRFICASYDECIFRADO

Texto claro: es el mensaje o los datos originales que se introducen en el algoritmo
comoentrada.

Algoritmo de cifrado: el algoritmo de cifrado realiza varias sustituciones y
transformacioneseneltextoclaro.

Clave secreta: la clave es tambin una entrada en el algoritmo. Las sustituciones y
transformacionesrealizadasporelalgoritmodependendeella.

Textocifrado:elmensajeilegiblequeseproducecomosalida.Dependedeltextoclaro
ydelaclavesecreta.Paraunmensajedeterminado,dosclavesdiferentesproduciran
dostextoscifradosdiferentes.

Algoritmo de descifrado: Es, bsicamente el algoritmo de cifrado ejecutado a la
inversa.Tomaeltextocifradoylamismaclavesecreta,ygenteraeltextoclaro.

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

Unesquemadecifradosimtricotienecincocomponentes:

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico


Haydosrequisitosbsicosparaelusosegurodecifradosimtrico:
1) Se requiere un algoritmo de cifrado robusto, una persona que intentara descifrar la
clave no debera poder averiguarla aunque estuviera en posesin de una serie de
textoscifradosjuntoconsuscorrespondientestextosoriginales.
2) El emisor y el receptor deben haber obtenido copias de la clave secreta de forma
seguraydebenguardarladelamismamanera.Sialguiendescubrelaclaveyconoceel
algoritmo,todaslascomunicacionesqueusenesaclavesondescifrables.
Esimportanteobservarquelaseguridaddelcifradosimtricodependedelaprivacidaddela
clave,nodelaprivacidaddelalgoritmo.Estacausadelcifradosimtricoeslacausadesuuso
tan extendido. El hecho de que el algoritmo no tenga que ser secreto significa que los
fabricantespuedendesarrollaryhandesarrolladoimplementacionesconchipsdebajocoste
de los algoritmos de cifrado de datos. Esos chips se pueden conseguir fcilmente y se han
incorporadoaunaseriedeproductos.Conelusodecifradosimtrico,elproblemaprincipalde
seguridadconsisteenmantenerlaprivacidaddelaclave.
CRIPTOANLISIS:

Eselprocesoporelqueseintentadescubriruntextoclaroounaclavedecifrado.Laestrategia
usada por el criptoanalista depende de la naturaleza del esquema de cifrado y de la
informacindisponible.

1.2CRIPTOGRAFAASIMTRICAODECLAVEPBLICA
La criptografa asimtrica es el mtodo criptogrfico que utiliza una pareja de claves, una
pblica y la otra privada, para la transmisin de mensajes. Ambas claves son generadas a la
vez, la pblica se entrega a las terceras partes, y la privada se guarda de manera que nadie
tengaaccesoaella.Estossistemassecrearonconelfindeevitarelproblemadeintercambio
declavesqueconllevabanlossistemascriptogrficossimtricos.
Estemtodocomienzaconlaencriptacindeunmensajeconlaclavepblicadeldestinatario,
de manera que nicamente l, con la clave privada proporcionada, pueda desencriptar el
envo.
Alserlasclavespblicasdedominiocorriente,conseguirunacopiadelamismanorepresenta
unproblema para este sistema. Este mtodo se utiliza en caso de que se quiera proteger la
informacindesdeunemisor(elqueconocelaclavepblica)aunreceptor(quetienesuclave
privada).
La otra manera de utilizar algoritmos asimtricos es para la autentificacin del mensaje.
Mediante el uso de firmas digitales, el emisor tiene que generar un resumen del mensaje y
codificarloconsuclaveprivada.Elreceptorpuedeahoradescifrarycomprobarelcriptograma,

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

encasodequecoincidaelmensajeesautnticoyaqueelnicoquetienelaclaveprivadapara
codificarelmismoeselemisor.


WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

Los sistemas de cifrado mediante pares de claves pblicaprivada estn basados en el
aprovechamiento de algunas propiedades particulares de las matemticas que otorgan, por
ponerunejemplo,losnmerosprimos.Esfcilmultiplicardosnmerosprimosparaobtener
unocompuesto,peroescasiimposiblefactorizarunocompuestoensuscomponentesprimos.
Perosiseconoceunodelosfactores,esmuyfcilhallarelcomponentequefalta.Elcifradode
paresdeclavesutilizaalgoparecidoparapodercomputarelinversodelafuncin.

ENRESUMEN
Losmecanismosdirigidosagarantizarlaconfidencialidadyautenticidaddelosdocumentos
electrnicossonconocidoscomoCRIPTOGRAFAOCIFRADO.
Bsicamenteexistendostiposdecriptografa,lasimtricaenlaqueseusalamismaclavepara
cifrarydescifrar,ylaasimtricaqueutilizadosclaves:laprivadaylapblica.

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico



2. ALGORITMOSYMECANISMOSDEFIRMADIGITAL.
2.1ALGORITMOSDECLAVESIMTRICA.
Dentrodeestosalgoritmosdistinguimosdostiposdealgoritmosenfuncindelacantidadde
datosdeentradaquemanejanalavez:algoritmosdecifradoporbloquesyalgoritmosde
cifradodeflujo.

CIFRADOPORBLOQUES
Los algoritmos de cifrado por bloques toman bloques de tamao fijo del texto en claro y
producenunbloquedetamaofijodetextocifrado,generalmentedelmismotamaoquela
entrada.Eltamaodelbloquedebeserlosuficientementegrandecomoparaevitarataques
detextocifrado.Laasignacindebloquesdeentradaabloquesdesalidadebeserunoauno
parahacerelprocesoreversibleypareceraleatoria.
Para la asignacin de bloques los algoritmos de cifrado simtrico realizan sustituciones y
permutacioneseneltextoenclarohastaobtenereltextocifrado.
Lasustitucineselreemplazodeunvalordeentradaporotrodelosposiblesvaloresdesalida,
engeneral,siusamosuntamaodebloquek,elbloquedeentradapuedesersustituidopor
cualquieradelos2kbloquesposibles.
Lapermutacinesuntipoespecialdesustitucinenelquelosbitsdeunbloquedeentrada
sonreordenadosparaproducirelbloquecifrado,deestemodosepreservanlasestadsticas
delbloquedeentrada(elnmerodeunosyceros).
Los algoritmosde cifradoporbloquesiterativos funcionanaplicandoen sucesivasrotaciones
unatransformacin(funcinderotacin)aunbloquedetextoenclaro.Lamismafuncines
aplicada a los datos usando una subclave obtenida de la clave secreta proporcionada por el
usuario.Elnmeroderotacionesenunalgoritmodecifradoporbloquesiterativodependedel
niveldeseguridaddeseado.
Un tipo especial de algoritmos de cifrado por bloques iterativos son los denominados
algoritmos decifrado de Feistel. En estosalgoritmos el texto cifrado se obtiene del texto en
claro aplicando repetidamente la misma transformacin o funcin de rotacin. El
funcionamiento es como sigue: el texto a encriptar se divide en dos mitades, la funcin de
rotacin se aplica a unamitadusandounasubclave y la salidade la funcin se empleapara
hacer una oexclusiva con la otra mitad, entonces se intercambian las mitades y se repite la
misma operacin hasta la ltima rotacin, en la que no hay intercambio. Una caracterstica
interesante de estos algoritmos es que la encriptacin y desencriptacin son idnticas
estructuralmente, aunque las subclaves empleadas en la encriptacin se toman en orden
inversoenladesencriptacin.

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

ECB(ElectronicCodeBook).Separteelmensajeenbloquesdekbits,rellenandoel
ultimosiesnecesarioyseencriptacadabloque.Paradesencriptarsetroceaeltexto
cifradoenbloquesdekbitsysedesencriptacadabloque.Estesistemaesvulnerablea
ataquesyaquedosbloquesidnticosdelaentradageneranelmismobloquede
salida.Enlaprcticanoseutiliza.
CBC(CipherBlockChaining).EstemtodosolucionaelproblemadelECBhaciendouna
oexclusivadecadabloquedetextoenclaroconelbloqueanteriorcifradoantesde
encriptar.Paraelprimerbloqueseusaunvectordeinicializacin.Esteesunodelos
esquemasmsempleadosenlaprctica.
OFB(OutputFeedbackMode).Estesistemaemplealaclavedelasesinparacrearun
bloquepseudoaleatoriogrande(pad)queseaplicaenoexclusivaaltextoenclaro
paragenerareltextocifrado.Estemtodotienelaventajadequeelpadpuedeser
generadoindependientementedeltextoenclaro,loqueincrementalavelocidadde
encriptacinydesencriptacin.
CFB(CipherFeedbackMode).Variantedelmtodoanteriorparamensajesmuylargos.


CIFRADODEFLUJODEDATOS

Generalmente operansobre 1 bit(osobrebytes opalabrasde16  32bits) de losdatos de

WWW.ECLAP.JCYL.ES

Losalgoritmosdeestetiposonintentosdeconseguiralgoritmosprcticosqueseaproximenal
funcionamientodelonetimepad.
ALGUNOSALGORITMOS

DES

El DES (Data Encription Standard o Estndar de Encriptacin de Datos) es el nombre del
documento FIPS (Federal Information Processing Standard) 461 del Instituto Nacional de
Estndares y Tecnologa (NIST) del Departamento de Comercio de Estados Unidos. Fue
publicado en 1977. En este documento se describe el DEA (Data Encription Algorithm o
AlgoritmodeEncriptacindeDatos.Eselalgoritmodecifradosimtricomsestudiado,mejor
conocidoymsempleadodelmundo.


WWW.ECLAP.JCYL.ES

ElparadigmadeestetipodealgoritmoseselOneTimePad,quefuncionaaplicandounaXOR
(oexclusiva) a cada bit de la entrada junto con otro generado aleatoriamente para obtener
cada bit de la salida. La secuencia de bits aleatorios es la clave de la sesin, secuencia de
cifradooelpad,queesdelmismotamaoquelaentradaylasalida.Pararecuperareltexto
originaleltextocifradodebepasarporelmismoprocesoempleadoparaencriptarusandoel
mismopad.Estealgoritmoesconocidoporserelnicoincondicionalmenteseguro,aunque,
comolasclavessondelmismotamaoquelaentrada,esdepocautilidadprctica.

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

Para aplicar un algoritmo por bloques es necesario descomponer el texto de entrada en
bloquesdetamaofijo.Estosepuedehacerdevariasmaneras:

Comentario [v1]: Puede

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

El DEA (llamado con frecuencia DES) es un algoritmo de cifrado por bloques de 64 bits de
tamao. Empleaunaclave de 56bitsdurantela ejecucin (se eliminan8bitsdeparidaddel
bloque de 64). El algoritmo fue diseado para ser implementado en hardware. Cuando se
utiliza en comunicaciones ambos participantes deben conocer la clave secreta (para
intercambiarlasesuelenemplearalgoritmosdeclavepblica).Elalgoritmosepuedeusarpara
encriptarydesencriptarmensajes,generaryverificarcdigosdeautentificacindemensajes
(MAC)yparaencriptacindeunslousuario(p.ejparaguardarunarchivoendisco).
AunqueelDESeraunalgoritmocomputacionalmenteseguro,estohadejadodesercierto,ya
queconhardwareespecficoesposiblerealizarataquesporfuerzabrutaquedescubranuna
claveenpocosdas(verreferencia[EFF98]).Elproblemaprincipalesqueeltamaodelaclave
(56bits)esdemasiadopequeoparalapotenciadeclculoactual.Dehecho,elDESdejde
ser el algoritmo empleado por el gobierno norteamericano en Noviembre de 1998 y de
momento(hastaqueelAESseaelegido),empleanelTripleDES.
TRIPLEDES

ConsisteenencriptartresvecesunaclaveDES.Estosepuedehacerdevariasmaneras:
DESEEE3:TresencriptacionesDEScontresclavesdistintas.
DESEDE3:TresoperacionesDESconlasecuenciaencriptardesencriptarencriptarcon
tresclavesdiferentes.
DESEEE2 y DESEDE2: Igual que los anteriores pero la primera y tercera operacin
empleanlamismaclave.
Dependiendodelmtodoelegido,elgradodeseguridadvara;elmtodomsseguro
eselDESEEE3.
AES

ElAES(AdvancedEncriptionStandardoEstndarCriptogrficoAvanzado)esunalgoritmode
cifradoporbloquesdestinadoareemplazaralDEScomoestndar.
Enlaactualidadsehanaceptado15propuestasdeestndardelasquesaldrn5candidatos
paraunarevisinmscompleta.Elprocesonoparecequevayaaterminarhastapasadoelao
2000.
RC2

ElRC2esunalgoritmodecifradoporbloquesdeclavedetamaovariablediseadoporRon
RivestdeRSADataSecurity(laRCquieredecirRon'sCodeoRivest'sCipher).
Elalgoritmotrabajaconbloquesde64bitsyentredosytresvecesmsrpidoqueelDESen
software.SepuedehacermsomenosseguroqueelDEScontraalgoritmosdefuerzabruta
eligiendoeltamaodeclaveapropiadamente.
ElalgoritmoestdiseadoparareemplazaralDES.
RC4

ElRC4esunalgoritmodecifradodeflujodiseadoporRonRivestparaRSADataSecurity.Es
unalgoritmodetamaodeclavevariableconoperacionesaniveldebyte.Sebasaenelusode

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

una permutacin aleatoria y tiene un periodo estimado de ms de 10100. Adems, es un
algoritmodeejecucinrpidaensoftware.

RC5

El RC5 es un algoritmo parametrizable con tamao de bloque variable, tamao de clave
variableynmeroderotacionesvariable.Losvaloresmscomunesdelosparmetrosson64o
128 bits para el tamao de bloque, de 0 a 255 rotaciones y claves de 0 a 2048 bits. Fue
diseadoen1994porRonRivest.

El RC5 tiene 3 rutinas: expansin de la clave, encriptacin y desencriptacin. En la primera
rutinalaclaveproporcionadaporelusuarioseexpandeparallenarunatabladeclavescuyo
tamao depende del nmero de rotaciones. La tabla se emplea en la encriptacin y
desencriptacin. Para la encriptacinslo se emplean tres operaciones: suma de enteros, o
exclusivadebitsyrotacindevariables.

La mezcla de rotaciones dependientes de los datos y de distintas operaciones lo hace
resistente al criptoanlisis lineal y diferencial. El algoritmo RC5 es fcil de implementar y
analizary,demomento,seconsideraqueesseguro.
IDEA

ElIDEA(InternationalDataEncriptionAlgorithm)esunalgoritmodecifradoporbloquesde64
bits iterativo. La clave es de 128 bits. La encriptacin precisa 8 rotaciones complejas. El
algoritmo funciona de la misma forma para encriptar que para desencriptar (excepto en el
clculo delas subclaves).El algoritmoes fcilmente implementable en hardwareysoftware,
aunque algunas de las operaciones que realiza no son eficientes en software, por lo que su
eficienciaessimilaraladelDES.

WWW.ECLAP.JCYL.ES

SAFER

El SAFER (Secure And Fast Encription Routine) es un algoritmo de cifrado por bloques no
propietario.Estorientadoabytesyempleauntamaodebloquede64bitsyclavesde64
(SAFER K64) o 128 bits (SAFER K128). Tiene un nmero variable de rotaciones, pero es
recomendableemplearcomomnimo6.
Elalgoritmooriginalfueconsideradoinmunealcriptoanlisislinealydiferencial,peroKnudsen
descubriunadebilidadenelgeneradordeclavesyelalgoritmofuemodificado(SAFERSK64
ySAFERSK128).



WWW.ECLAP.JCYL.ES

Elalgoritmoesconsideradoinmunealcriptoanlisisdiferencialynoseconocenataquespor
criptoanlisislinealnidebilidadesalgebraicas.Lanicadebilidadconocidaesunconjuntode
251clavesdbiles,perodadoqueelalgoritmotiene2128clavesposiblesnoseconsideraun
problemaserio.

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

El algoritmo se emplea para encriptacin de ficheros y para encriptar la comunicacin en
protocoloscomoelSSL(TLS).

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico


BLOWFISH

Esunalgoritmodecifradoporbloquesde64bitsdesarrolladoporScheiner.Esunalgoritmo
de tipo Feistel y cada rotacin consiste en una permutacin que depende de la clave y una
sustitucinquedependedelaclaveylosdatos.Todaslasoperacionessebasanenoexclusivas
sobre palabras de 32 bits. La clave tiene tamao variable (con un mximo de 448 bits) y se
empleaparagenerarvariosvectoresdesubclaves.
Estealgoritmosediseoparamquinasde32bitsyesconsiderablementemsrpidoqueel
DES.
El algoritmo es considerado seguro aunque se han descubierto algunas claves dbiles, un
ataquecontraunaversindelalgoritmocontresrotacionesyunataquediferencialcontrauna
variantedelalgoritmo.

2.2ALGORITMOSDECLAVEASIMTRICA.FIRMADIGITAL
Lacriptografaasimtricaproporcionaautenticidad,integridadynorepudio.
RSA
Este algoritmo est basado en la pareja de claves, pblica y privada de las que ya hemos
hablado antes. La seguridad de este algoritmo reside en el problema de la factorizacin de
nmerosenteros.
Ventajas:
Resuelveelproblemadeladistribucindelasllavessimtricas(cifradosimtrico).
Sepuedeemplearparaserutilizadoenfirmasdigitales.
Desventajas:
Laseguridaddependedelaeficienciadelosordenadores.
Esmslentoquelosalgoritmosdeclavesimtrica.
Laclaveprivadadebesercifradaporalgnalgoritmosimtrico.

DIFFIEHELLMAN
Se emplea para generar una clave privada simtrica a ambos extremos de un canal de
comunicacininseguro.Seusaparaconseguirlaclavesecretaconlaquedespussevaacifrar
lainformacin,juntoconunalgoritmodecifradosimtrico.

10

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

Su seguridad radica en la dificultad de calcular el logaritmo discreto de un nmero muy
grande.

WWW.ECLAP.JCYL.ES

ALGORITMOSDEAUTENTICACINOHASH

Una funcin hash es mtodo para generar claves o llaves que representen de manera casi
particularaundocumentooconjuntodedatos.Esunaoperacinmatemticaqueserealiza
sobre este conjunto de datos de cualquier longitud, y su salida es una huella digital, de
tamaofijoeindependientedeladimensindeldocumentooriginal.Elcontenidoesilegible.


Cifrarunahuelladigitalseconocecomofirmadigital.

Losrequisitosquedebencumplirlasfuncioneshashson:
Imposibilidaddeobtenereltextooriginalapartirdelahuelladigital.
Imposibilidad de encontrar un conjunto de datos diferentes que tengan la misma
huelladigital(aunquecomohemosvistoanteriormenteesposiblequeesterequisito
nosecumpla).
Podertransformaruntextodelongitudvariableenunahuelladetamaofijo(comoel
SHA1queesde160bits).

WWW.ECLAP.JCYL.ES

Elproblemadeestealgoritmoesquenoofreceautenticacin,nopuedevalidarlaidentidadde
losusuarios,portantosiuntercerusuariointerceptalaconversacintambinseharacon
las claves y por tanto podra establecer comunicaciones con el emisor y el receptor
suplantandolasidentidades.

Lasfuncioneshashmsconocidassonlassiguientes:

SHA1

Estealgoritmotomacomoentradaunmensajeconunalongitudmximamenroque264bitsy
producecomosalidaunresumendemensajede160bits.Laentradaseprocesaenbloquesde
512bits.Realizasufuncinen5pasosqueson:
1) Aadirbitsderelleno.
2) Aadirlongitud.

3) InicializarelbufferMD

4) Procesarelmensajeenbolquesde512bits(16palabras).

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

Facilidaddeempleoeimplementacin.

11

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

5) Salida.
MD5

Esotroalgoritmoderesumendemensaje.
Es una funcin hash de 128 bits. Como todas las funciones hash, toma unos determinados
tamaosalaentrada,ysalenconunalongitudfija(128bits).
El algoritmo MD5 no sirve para cifrar un mensaje. La informacin original no se puede
recuperaralhaberprdidadedatos.MD5esutilizadoparafirmasdigitales.
SHA2

LasprincipalesdiferenciasconSHA1resideensudiseoyquelosrangosdesalidahansido
incrementadosypodemosencontrar:
SHA224,SHA256,SHA384,ySHA512
Elmsseguro,eselquemayorsalidadebitstiene,elSHA512,quetiene80rondas(pasos),
comoelSHA1perosediferenciadesteen:
Tamaodesalida512porlos160deSHA1.
Tamaodelbloque,tamaodelapalabraytamaointernoqueeseldoblequeSHA1.
Comoocurrecontodosloscifradosyhash,cuantomsseguro,mslentosuprocesamientoy
uso,debemosencontrarunequilibrioentreseguridadyvelocidad.

LAFIRMADIGITAL
La firma digital reconoce al receptor de un mensaje que el origen es autntico, tambin
podremos comprobar si el mensaje ha sido transformado. Falsificar una firma digital es
prcticamenteimposibleanoserqueconozcanlaclaveprivadadelapersonaquefirma.
Haydosfasesparalarealizacindelafirmadigital:
Procesodefirma:elemisorcifralosdatosconlaclaveprivadaylomandaalreceptor.
Verificarlafirma:elreceptordescifralosdatosusandolaclavepblicadeelemisory
compruebaquelainformacincoincideconlosdatosoriginales(sicoincideesqueno
sehamodificado).
En las firmas digitales se hace uso de las funciones HASH como MD5 o SHA1 ya que como
hemoscomentadoanteriormente,elcifradoasimtricoeslento.
El emisor emplear la funcin hash al mensaje original para obtener la huella digital. A
continuacin se cifra la huella con la clave privada y se enva al destinatario para que la
descifre. El destinatario tambin aplicar la funcin hash a sus datos y comparar los

12

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

resultados(laquehaobtenidoylaqueharecibido).Aspodrcomprarquelainformacinno
hasidoalterada.

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

Sialguienalteralosdatos,lahuelladigitalserdiferente.

WWW.ECLAP.JCYL.ES

13

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico


Contodoestohemoscumplido:
9 Autenticidad(elemisoresquiendiceser).
9 Integridad(elmensajenohasidomodificado).
9 Norepudio(elemisornopuedenegarhaberenviadoelmensajealreceptor).
Siqueremosintroducirlaconfidencialidadbastaqueelemisorcifreelmensajeoriginalconla
clavepblicadelreceptor.




ENRESUMEN
Los algoritmos de clave simtrica pueden ser por bloques o por flujo de datos. Los algoritmos de
claveasimtricasonlosqueusalafirmadigital.Estafirmadigitalpermitedemostrarlaautenticidad
deunmensajedigitalodeundocumentoelectrnico.

14

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico




3.1CERTIFICADOSDIGITALES

Los certificados digitales son el equivalente digital del DNI, en lo que a autentificacin de
individuosserefiere,yaquepermitenqueunindividuodemuestrequeesquiendiceser,es
decirqueestenposesindelaclavesecretaasociadaasucertificado.
Para los usuarios proporcionan un mecanismo para verificar la autenticidad de programas y
documentos obtenidos a travs de la red, el envo ce correo encriptado y/o firmado
digitalmente,elcontroldeaccesoarecursos,etc.

Uncertificadodigital(Iddigitalosimplementecertificado)esunpuntodeuninentrelaclave
pblicadeunaentidadyunoomsatributosreferidosasuidentidad.Elcertificadogarantiza
que la clave pblica pertenece a la entidad identificada y que la entidad posee la
correspondienteclaveprivada.

La entidad identificada se denomina sujeto del certificado o subscriptor (si es una entidad
legal,comoporejemplounapersona)
LoscertificadosdigitalesslosontilesencasodequeexistaalgunaAutoridadCertificadora
(Certification Authority o CA) que los valide, ya que si uno se certifica a s mismo no hay
ningunagarantadequesuidentidadsealaqueanunciayportanto,nodebeseraceptadapor
unterceroquenoloconozca.

WWW.ECLAP.JCYL.ES

Los certificados digitales proporcionan un mecanismo criptogrfico para implementar la
autentificacin;tambinproporcionanunmecanismoseguroyescalableparadistribuirclaves
pblicasencomunidadesgrandes.
CICLODEVIDADEUNCERTIFICADODIGITAL.

Los certificados tienen un periodo de validez que va de unos meses a unos pocos aos.
Duranteeltiempoqueelcertificadoesvlidolaentidadcertificadoraquelogenermantiene
informacinsobreelestadodeesecertificado.
La informacin ms importante que guarda es el estado de anulacin, que indica que el
periododevalidezdelcertificadohaterminadoantesdetiempoyelsistemaqueloempleeno
debeconfiarenl.Lasrazonesdeanulacindeuncertificadosonvarias:laclaveprivadadel
sujetosehavistocomprometida,laclaveprivadadelaCAsehavistocomprometidaoseha

WWW.ECLAP.JCYL.ES

Es importante poder verificar que una autoridad certificadora ha emitido un certificado y
detectar si un certificado no es vlido. Para evitar la falsificacin de certificados, la entidad
certificadora despus de autentificar la identidad de un sujeto, firma el certificado
digitalmente.

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

3.CERTIFICADOSDIGITALESYDNIELECTRNICO

15

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

16

producidouncambioenlaafiliacindelsujeto,porejemplocuandounempleadoabandona
unaempresa.
Las CA utilizan un mecanismo llamado listas de anulacin de certificados mediante el cual
publicanydistribuyeninformacinacercadeloscertificadosanuladosalasaplicacionesque
losemplean.
Dentro de las aplicaciones bsicas de la certificacin digital podemos encontrar la
autenticacin,elcifrado,laprivacidad,ylafirmadigital.

ElestndarX.509especificaqueloscertificadosdigitalescontieneninformacinnormalizada.
Enconcreto,loscertificadosdelaversin3deX.509contienenloscampossiguientes:
9 Versionnumber:LaversindelestndarX.509alaqueseatieneelcertificado.
9 Serial number: Un nmero que identifica de manera nica al certificado y que est
emitidoporlaentidademisoradecertificados.
9 Certificatealgorithmidentifier:Losnombresdelosalgoritmosdeclavespblicasquela
entidademisorahautilizadoparafirmarelcertificadodigital.
9 Issuername:Laidentidaddelaentidademisoradecertificadosqueemitirealmente
elcertificado.
9 Validity period: El perodo de tiempo durante el cual un certificado digital es vlido;
contieneunafechadeinicioyunafechadecaducidad.
9 Subjectname:Elnombredelpropietariodelcertificadodigital.
9 Subjectpublickeyinformation:Laclavepblicaasociadaalpropietariodelcertificado
digitalylosalgoritmosdeclavespblicasasociadosalaclavepblica.
9 Issuer unique identifier: Informacin que puede utilizarse para identificar de manera
nicaalemisordelcertificadodigital.
9 Subjectuniqueidentifier:Informacinquepuedeutilizarseparaidentificardemanera
nicaalpropietariodelcertificadodigital.
9 Extensions: Informacin adicional relacionada con el uso y el tratamiento del
certificado.
9 Certification authority's digital signature: La firma digital real realizada con la clave
privada de la entidad emisora utilizando el algoritmo especificado en el campo
Certificatealgorithmidentifiers.

AUTORIDADESCERTIFICADORAS

Comentario [v2]: Usar

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

Una CA es una organizacin fiable que acepta solicitudes de certificados de entidades, las
valida,generacertificadosymantienelainformacindesuestado.

WWW.ECLAP.JCYL.ES


LaslaboresdeunCAson:
Admisindesolicitudes.
Autentificacindelsujeto.
Generacindecertificados.
Distribucindecertificados.
Anulacindecertificados.
Almacenesdedatos.

Algunas de las Autoridades Certificadoras ms conocidas actualmente son VerySign, BelSign,
IPS


WWW.ECLAP.JCYL.ES

Una CA debe proporcionar una Declaracin de Prcticas de Certificacin que indique
claramente sus polticas y prcticas relativas a la seguridad y mantenimiento de los
certificados, las responsabilidades de la CA respecto a los sistemas que emplean sus
certificadosylasobligacionesdelossubscriptoresrespectodelamisma.

PROTOCOLOSMSCOMUNES.SSLYTLS

WWW.ECLAP.JCYL.ES

El protocolo SSL fue diseado originalmente por Netscape para establecer comunicaciones
segurasconprotocoloscomoHTTPoFTP.

El protocolo SSL (Secure Sockets Layer) permite establecer conexiones seguras a travs de
Internet, de forma sencilla y transparente. La idea consiste en interponer una fase de
codificacin de los mensajes antes de enviarlospor la red. Una vez que se ha establecido la
comunicacin,cuandounaaplicacinquiereenviarinformacinaotracomputadora,lacapa
SSLlarecogeylacodifica,paraluegoenviarlaasudestinoatravsdelared.Anlogamente,el
mdulo SSL del otro ordenador se encarga de decodificar los mensajes y se los pasa como
textoplanoalaaplicacindestino.
UnacomunicacinSSLconstafundamentalmentededosfases:
1. Fase de saludo (handshaking). Consiste bsicamente en una identificacin mutua de los
interlocutores, para la cual se emplean habitualmente los certificados X.509. Tras el

WWW.ECLAP.JCYL.ES

SSL

17

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

intercambio de claves pblicas, los dos sistemas escogen una clave de sesin, de tipo
simtrico.
2. Fase de comunicacin. En esta fase se produce el autntico intercambio de informacin,
quesecodificamediantelaclavedesesinacordadaenlafasedesaludo.
Cada sesin SSL lleva asociado un identificador nico que evita la posibilidad de que un
atacante escuche la red y repita exactamente lo mismo que ha oido, an sin saber lo que
significa,paraengaaraunodelosinterlocutores.
Lasventajasdeesteprotocolosonevidentes,yaqueliberanalasaplicacionesdellevaracabo
lasoperacionescriptogrficasantesdeenviarlainformacin,ysutransparenciapermiteusarlo
demanerainmediatasinmodificarapenaslosprogramasyaexistentes.Desdehacetiempolos
principales navegadores de Internet incorporan un mdulo SSL, que se activa de forma
automtica cuando es necesario. Desgraciadamente, las versiones de exportacin tanto de
NetscapecomodeInternetExplorertrabajanconclavesdesesinde40bits,quepuedenser
descifradasencuestindepocashorasporcualquierPCmsomenospotente,porloqueen
ningncasopuedensermerecedorasdenuestraconfianza.Afortunadamente,esteproblema
se puede subsanar con utilidades como Fortify, que restauran su total funcionalidad a estos
programas.
TLS
TLSesunamejoradelprotocoloSSL,enconcretoeslaversinSSLV3.
Elprotocolotienevariosobjetivos:
Seguridad criptogrfica. El protocolo se debe emplear para establecer una conexin
seguraentredospartes.
Interoperabilidad. Aplicaciones distintas deben permitir intercambiar parmetros
criptogrficossinnecesidaddequeningunadelasdosconozcaelcdigodelaotra.
Extensibilidad. El protocolo admite la incorporacin de nuevos algoritmos
criptogrficos.
Eficiencia.Losalgoritmoscriptogrficossoncostososcomputacionalmente,porloque
el protocolo incluye un esquema de cache de sesiones para reducir el nmero de
sesionesquedebeninicializarsedesdecero(usandocriptografadeclavepblica).
Elprotocoloestdivididoendosniveles:
ProtocoloderegistroTLS(TLSRECORDPROTOCOL).
ProtocolodemutuoacuerdoTLS(TLSHANDSHAKEPROTOCOL).
EldemsbajoniveleselPROTOCOLODEREGISTRO,queseimplementasobreunprotocolode
transporte fiable como el TCP. El protocolo proporciona seguridad en la conexin con dos
propiedadesfundamentales:

18

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

19

Laconexinesfiable.Eltransportedemensajesincluyeunaverificacindeintegridad.

El protocolo de mutuo acuerdo, proporciona seguridad en la conexin con tres propiedades
bsicas:
La identidad del interlocutor puede ser autentificada usando criptografa de clave
pblica. Esta autentificacin puede ser opcional, pero generalmente es necesaria al
menosparaunodelosinterlocutores.
Lanegociacindeunsecretocompartidoessegura.
La negociacin es fiable, nadie puede modificar la negociacin sin ser detectado por
losinterlocutores.

3.2.ELDNIELECTRNICO


ElDNI(DocumentoNacionaldeIdentidad)electrnicoeseldocumentoqueacreditafsicay
digitalmentelaidentidadpersonaldesutitularypermitelafirmaelectrnicade
documentos.

Permite la identificacin al usuario ante terceros, y tambin la firma electrnica. Este DNI
aportaseguridad,rapidez,comodidadyrealizarlagranmayoradetrmitesadministrativosy
comercialesatravsdemediostelemticos.

WWW.ECLAP.JCYL.ES

El abanico de usos para este sistema es enorme. Para empezar, la utilizacin del DNI
electrnico es vlida para todo tipo de tramitacin telemtica: desde solicitar una beca a
presentarlaDeclaracindelaRentayotrosimpuestosoaccederalosdatosdelaSeguridad
Social,ascomoelaccesoainformacinpersonalenbasesdedatospblicas,larealizacinde
transaccionesconempresas,etc.
SuaparienciaesmuysimilaralDNInormal,peroenestecasoseincorporaunchipelectrnico,
quecontienelainformacinbsicaquepermitaacreditarelectrnicamentelaidentidaddesu
titularylafirmadedocumentoselectrnicosconplenavalidezlegal.

Comentario [v3]:
Habla de esto desde un
punto de vista demasiado
de usuario comn. Como
mnimo incluira los tipos
de certificados que tiene el
DNI electrnico:
Certificado de
Autenticacin (Digital
Signature), cuyo propsito
exclusivo es el de
identificar al ciudadano.
Este certificado no vincula
al ciudadano en ninguna
forma y es exclusivamente
utilizado para el
establecimiento de canales
privados y confidenciales
con los prestadores de
servicio. Permite cerrar el
tnel SSL con el certificado
del ciudadano y el del
prestador de servicios, as
como facilitar su identidad
a ste ultimo.

WWW.ECLAP.JCYL.ES

ElnicoorganismoautorizadoaexpedirestoscertificadosdigitalesparaelDNIelectrnicoes
laDireccinGeneraldelaPolica.

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

La conexin es privada. Para encriptar los datos se usan algoritmos de cifrado
simtrico. Las claves se generan para cada conexin y se basan en un secreto
negociado por otro protocolo (como el de mutuo acuerdo). El protocolo tambin se
puedeusarsinencriptacin.

Certificado de Firma
(nonRepudiation), cuyo fin
es permitir al ciudadano
firmar tramites o
documentos. Este
certificado (certificado
cualificado segn ETSI y
las RFC3039, RFC3739)
permite sustituir la firma
manuscrita por la
electrnica en las
relaciones del ciudadano
con terceros (Ley 59/2003,
de firma electrnica,
artculos 3.4 y 15.2).
HECHO. HE DEJADO LA
INFORMACIN TAL Y
COMO APARECE EN EL
PORTAL OFICIAL, YA
QUE ME PARECE LO MS
FIABLE EN ESTE CASO.
HE AADIDO TAMBIN
EL TEMA DE LA
SEGURIDAD.

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico



La tarjeta de soporte del DNI electrnico es de
un material llamado policarbonato, es muy
resistente, de alta calidad y durabilidad, que
permite el grabado de los datos con lser
destructivo, lo que hace virtualmente imposible
falsificarlaimpresin.








TIPOSDECERTIFICADO
Existendostiposdecertificadoselectrnicosporpartedelciudadano:
Certificado de Autenticacin (Digital Signature), cuyo propsito exclusivo es el de
identificaralciudadano.Estecertificadonovinculaalciudadanoenningunaformayes
exclusivamenteutilizadoparaelestablecimientodecanalesprivadosyconfidenciales
con los prestadores de servicio. Permite cerrar el tnel SSL con el certificado del
ciudadanoyeldelprestadordeservicios,ascomofacilitarsuidentidadasteltimo.
Certificado de Firma (nonRepudiation), cuyo fin es permitir al ciudadano firmar
trmites o documentos. Este certificado (certificado cualificado segn ETSI y las
RFC3039, RFC3739) permite sustituir la firma manuscrita por la electrnica en las
relacionesdelciudadanoconterceros(Ley59/2003,defirmaelectrnica,artculos3.4
y15.2).

SEGURIDAD
ParahacerusodelDNIelectrnicosteproveelassiguientesfuncionesdeseguridad:
1.Autenticacin

20

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

WWW.ECLAP.JCYL.ES

Autenticacindeusuario(PIN)

LatarjetaDNIesoportaverificacindeusuario(CHVCardHolderverification).Estaoperacin
es realizada comprobando el cdigo facilitado por la entidad externa a travs del
correspondientecomando.

CadacdigoCHVtienesupropiocontadordeintentos.TrasunapresentacinvlidadePIN,el
contador de reintentos correspondiente es automticamente puesto a su valor inicial
(tpicamente = 3). El contador de intentos es decrementado cada vez que se realiza una
presentacin errnea, pudiendo llegar a bloquearlo si el contador llega a cero. Es posible
desbloquearuncdigotrasunacorrectapresentacindelahuelladactilardelusuario,queen
estecasoactadecdigodedesbloqueo.Asuvezestaspresentacionesdehuellastienensu
propio contador de intentos. Si el nmero de intentos de presentacin de huella dactilar se
agota, no ser posible realizar la operacin de desbloqueo. Es posible cambiar el cdigo de
CHVaunnuevovalorpresentandoelvaloractualopresentandolahuelladactilar.
El cdigo PIN es personal e intransferible, por tanto, nicamente debe ser conocido por el
titulardelatarjetaencuestin.
Autenticacindeusuariosmediantedatosbiomtricos

La tarjeta DNIe permite realizaruna identificacin biomtricadel titular de sta, sibien est
funcinsloestardisponibleenpuntosdeaccesocontrolados.

WWW.ECLAP.JCYL.ES

Silaevaluacinsuperaelumbral,laverificacinescorrecta.Encasocontrario,latarjetaanota
unapresentacinerrneasobreesahuelladevolviendoelnmerodeintentosrestantes.
Autenticacindeaplicacin

El propsito de este mtodo de autenticacin es que la entidad externa demuestre tener
conocimiento del nombre y valor de un cdigo secreto. Para realizar esta autenticacin de
aplicacin,seutilizaunprotocolodedesaforespuesta,conlossiguientespasos:
Laaplicacinpideundesafoalatarjeta

WWW.ECLAP.JCYL.ES

LaaplicacinqueaccedealDNIe,unavezconocidalainformacinsobrelashuellascontenidas
en la tarjeta, decide sobre que huella va a proceder a verificar, solicitando al portador que
coloqueeldedoadecuado.Trasobtenerlosdatosbiomtricosdesdeeneldispositivolectorde
huellas,presentalainformacinbiomtricaalatarjetaatravsdelcorrespondientecomando.
Tras las comprobaciones iniciales de condiciones de uso y seguridad, la tarjeta procede,
mediantesualgoritmoMatchonCard,aevaluarlacorrespondenciaentrelahuellapresentada
ylareferencia.

WWW.ECLAP.JCYL.ES

LatarjetaDNIedisponededistintosmtodosdeautenticacin,mediantelosqueunaentidad
externa demuestra su identidad, o el conocimiento de algn dato secreto almacenado en la
tarjeta. La correcta realizacin de cada uno de estos mtodos, permite obtener unas
condicionesdeseguridad,quepodrnserrequeridasparaelaccesoalosdistintosrecursosde
latarjeta.

21

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

La aplicacin debe aplicar un algoritmo a este desafo junto con el correspondiente cdigo
secretoynombredelaclave
Latarjetarealizalamismaoperacinycomparaelresultadoconlosdatostransmitidosporla
aplicacin. En caso de coincidir, considera correcta la presentacin para posteriores
operaciones
Autenticacinmutua
Esteprocedimientopermitequecadaunadelaspartes(tarjetayaplicacinexterna)confeen
laotra,mediantelapresentacinmutuadecertificados,ysuverificacin.
Enelproceso,tambinseincluyeelintercambiosegurodeunasclavesdesesin,quedebern
ser utilizadas para securizar (cifrar) todos los mensajes intercambiados posteriormente. Este
serviciopermiteelusodediferentesalternativas,quepodrnseleccionarseimplcitamenteen
funcin de la secuencia de comandos, o explcitamente, indicando su identificador de
algoritmoenuncomandodegestindeentornodeseguridadanterior(MSE).

Las dos opciones disponibles estn basadas en la especificacin CWA 148901 Application
Interface for smart cards used as Secured Signature Creation Devices  Part 1, y son las
siguientes:
Autenticacinconintercambiodeclaves(descritaenelcaptulo8.4deCWA148901).
Autenticacin de dispositivos con proteccin de la privacidad, (descrita en el captulo 8.5 de
CWA148901).
2.Securizacindemensajes
La tarjeta DNIe permite la posibilidad de establecer un canal seguro entre el terminal y la
tarjeta que securice los mensajes transmitidos. Para el establecimiento es necesaria la
autenticacin previa del terminal y la tarjeta, mediante el uso de certificados. Durante la
presenciadelcanalsegurolosmensajessecifranyautentican,detalformaqueseasegurauna
comunicacinunaaunoentrelosdospuntosoriginariosdelcanal.
El canal seguro puede ser requerido por la aplicacin o puede ser una restriccin de acceso
impuestaaalgnrecursodelatarjeta.
Para el establecimiento del canal seguro, en primer lugar, se realiza un intercambio de las
claves pblicas de la tarjeta y el terminal mediante certificados que sern verificados por
ambaspartes.Acontinuacinserealizaunprotocolodeautenticacinmutua,conintercambio
de semillas para la derivacin de una semilla comn que d lugar a las claves de sesin de
cifradoyautenticado.
Unavezconcluidoelprotocoloparaelestablecimientodelasemillacomntodoslosmensajes
debentransmitirsesecurizados.
3.DesbloqueoycambiodePIN

22

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

SepermiteelcambiodePIN,mediantelapresentacindelvalorantiguo.Esposibletambinel
cambio de PIN bajo determinadas condiciones tras la realizacin de una verificacin
biomtrica.

WWW.ECLAP.JCYL.ES

ElcambiodePIN,haciendousodelahuelladactilar(desbloqueo),nicamenteestpermitido
endispositivosautorizadosporlaDireccinGeneraldelaPolica(DGP)ynosepuederealizar,
bajoningnconcepto,enotrosterminales.
4.Funcionalidadcriptogrfica
ClavesRSA
LatarjetaDNIeescapazdegenerarygestionarclavesRSA.Lageneracindelaparejadeclaves
RSAsigueelestndarPKCS#1v1.5.SeusaelalgoritmoMillerRabincomotestdeprimalidad.
Hash

La tarjeta DNIe es capazderealizar hash dedatos con el algoritmo SHA1.Esposible realizar
todoelprocesoenlatarjetaofinalizarunhashcalculadoexternamente.Despusdefinalizar
cualquieroperacindehash,elcdigoresultanteesalmacenadoenlamemoriadelatarjeta
paraserusadoposteriormenteporuncomando.Elhashslopermaneceenmemoriahastala
siguienteoperacin.
Firmaselectrnicas

WWW.ECLAP.JCYL.ES

Debido a la criticidad de esta operacin, el cambio de PIN se ha de realizar siempre en
condiciones de mxima confidencialidad y en terminales especficamente habilitados a tal
efectooconlasdebidascondicionesdeseguridad,exigindoseportanto,elestablecimiento
deuncanalseguro.

La tarjeta DNIe tiene capacidad para la realizacin de firmas electrnicas de dos modos
diferentes:

WWW.ECLAP.JCYL.ES

ModorellenoPKCS#1
5.Intercambiodeclaves
Laoperacindeintercambiodeclavesesusadaparacompartirclavessimtricasodesesin
entredosentidades.EsposiblecifrarunaclaveKsconlaclavepblicadeundestinatario,la
cual puede ser cargada en la memoria de la tarjeta protegida mediante una clave RSA. El
destinatariopuededescifrarlaclaveKsusandolaclaveprivadaRSAcorrespondiente.
6.Cifrado

La tarjeta puede realizar operaciones 3 DES CBC con claves de 16 bytes (k1, k2, k1). Para
realizaroperaciones3DESenlatarjeta,laclavede16bytesdelongituddebesercargadaen
memoria. El proceso de carga est protegido por algoritmo RSA. La clave permanece en
memoriahastaquesefinalizalasesinconlatarjetaosecargaunanueva.

WWW.ECLAP.JCYL.ES

Modoraw

23

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

Aplicacionesdefirma
Uno de los principales usos del DNI electrnico es la realizacin de firma electrnica. Para
utilizar esta funcionalidad de firma, numerosas aplicaciones pueden ser empleadas, ya que
stas acceden a las capas o mdulos intermedios de CSP y PKCS#11, que proporcionan un
interfazestndardeaccesoalatarjeta.
Es recomendable seguir los consejos y buenas prcticas que se describen en la direccin
www.dnielectronico.es/Asi_es_el_dni_electronico/consejos.html
Requisitosdeseguridaddelentorno
Para el correcto y seguro funcionamiento de la tarjeta DNIe se han de utilizar los mdulos
criptogrficos CSP y PKCS#11 que se encuentran en la direccin
www.dnielectronico.es/descargas/
Estosmduloscontienenlonecesarioparaestablecerunentornoseguroenlaoperacincon
el DNI electrnico y satisfacer los requisitos de seguridad aplicables al entorno de las
tecnologasdelainformacindescritosenelperfildeproteccinCWA14169.



ENRESUMEN
Es un documento digital mediante el cual un tercero (una autoridad de certificacin) garantiza la
vinculacin entre la identidad de un sujeto o entidad (por ejemplo: nombre, direccin y otros
aspectosdeidentificacin)yunaclavepblica.
Estetipodecertificadosseempleaparacomprobarqueunaclavepblicaperteneceaunindividuo
oentidad.
ElDNIelectrnicoesunnuevoDocumentoNacionaldeIdentidad,quepermitealapersonaquelo
poseerealizartrmitesadministrativostelemticamente.

24

Promocin Interna de
Tcnico de Soporte Informtico

TEMA 06

Tcnico de Soporte informtico

BIBLIOGRAFA

ISMAELGUTIERREZGARCAYWOLFGANGWILLEMS.Unaintroduccinalacriptografa
declavepblica.

WWW.ECLAP.JCYL.ES

TCNICOENSEGURIDADDEREDESYSISTEMAS.NeptunosFormacin.

WILLIAMSTALLINGS.FundamentosdeSeguridaddeRedes.AplicacionesyEstndares.

ABADDOMINGOA.RedesdereaLocal.McGrawHill


PGINASWEBCONSULTADAS

http://www.inteco.es/(InstitutoNacionaldeTecnologasdelaComunicacin)

http://www.dnielectronico.es/(PortaloficialsobreelDNIelectrnico)

http://www.uv.es

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

WWW.ECLAP.JCYL.ES

25