Fuente
Por Alfredo Reyes Krafft*
RSA
Propósito: Encripción y Firma Digital
Por Alfredo Reyes Krafft*
RSA
Propósito: Encripción y Firma Digital
Rango de clave: 1024 bits para uso corporativo y 2048 para claves valuables
Fecha de Creación: 1977
RSA es un sistema de encripción y autenticación que usa un algoritmo desarrollado en 1977 por Ron Rivest, Adi Shamir y Leonard Adleman. El algoritmo RSA es el más usado en Internet dado a que es parte de los navegadores como Netscape e Internet Explorer, así como de muchos otros productos. Los problemas de autenticación y protección de la información en grandes redes de comunicación fueron analizados en 1976, en el plano teórico, por Whitfield Diffie y Martin Hellman, en un trabajo en el que explicaron sus conceptos respecto del intercambio de mensajes sin necesidad de intercambiarse claves secretas. La idea fructificó en 1977 con la creación del Sistema Criptográfico de Clave Pública RSA, por parte de Ronald Rivest, Adi Shamir y Len Adleman, por aquel entonces profesores del Instituto de Tecnología de Massachusetts (M.I.T.). En lugar de emplear una sola clave para encriptar y desencriptar datos, el sistema RSA emplea un par combinado de claves que desarrolla una transformación en un solo sentido. Cada clave es la función inversa de la otra, es decir, lo que una hace, sólo la otra puede deshacerlo.
La Clave Pública en el sistema RSA es publicada por su propietario, en tanto que la Clave Privada es mantenida en secreto. Para enviar un mensaje privado, el emisor lo encripta con la Clave Pública del receptor deseado. Una vez que ha sido encriptado, el mensaje sólo puede ser descifrado con la Clave Privada del receptor. Inversamente, el usuario puede encriptar datos utilizando su Clave Privada. Es decir, las claves del sistema RSA pueden ser empleadas en cualquier dirección. Esto sienta las bases para la firma digital.
Si un usuario puede desencriptar un mensaje con la Clave Pública de otro usuario, éste debe, necesariamente, haber utilizado su Clave Privada para encriptarlo originariamente. Desde el momento que solamente el propietario puede utilizar su propia Clave Privada, el mensaje encriptado se transforma en una especie de firma digital, un documento que nadie más ha podido crear. Bajo RSA se desarrolló el algoritmo estándar de firmas digitales para correos S/MIME Funcionamiento del RSA Los números enteros (el 0,1, 2… y sus opuestos -1.-2, etc.) tienen una estructura algebraica determinada con las operaciones que todos conocemos, el producto y la suma. Esta estructura es la de anillo conmutativo y una de sus caracten’sticas es la existencia de un elemento neutro respecto al producto, que es la unidad. En este anillo existen dos divisores de la unidad (el número 1), el 1 y el -1. Dados dos números enteros, p y q, es posible encontrar otros dos, c y r tales que p = q.c + r. A c se le suele llamar cociente y a r resto. Particularmente, existe un r tal que r< |q|.
Cuando r es cero, entonces decimos que q es un factor de p. Fijado un entero q, existen |q| restos posibles: 0, 1, 2,....,|q-1| y es definible una relación de equivalencia: Dos enteros m y n son equivalentes si y sólo si m-n es un múltiplo de q. Esto es lo mismo que decir que tanto m como n tienen el mismo resto, o que m es congruente con n módulo q, y lo simbolizaremos por m = n (mod q). El conjunto de las clases de equivalencia forma a su vez un anillo y tendremos tantas como restos posibles. Decimos que d es el máximo común divisor de dos números p y q cuando es el factor más grande de p y q: d = m.c.d (p,q).
Dos números p y q son primos entre sí, cuando m.c.d (p,q) = 1. Un número p es primo cuando siempre que exista un factor q tal que p =q.k entonces k es un divisor de la unidad (dicho en pocas palabras, sólo se puede dividir por él mismo). Cualquier número q es un producto de primos y este producto es único (salvo divisores de la unidad).
DSA
Propósito: Firmas Digitales
Rango de clave: 56 bits
Fecha de creación: 1994
El Digital Signatura Algorithm (DSA) fue publicado por el Instituto Nacional de Tecnología y Estándares (NIST) en el estándar llamado Digital Signatura Standard (DSS) que es parte de gobierno de los Estados Unidos. DSS fue seleccionado por el NIST con ayuda del NSA (National Security Agency) para ser el estándar de autenticación digital del gobierno de los Estados Unidos a partir de Mayo 19 de 1994. DSA está basado en el problema de logaritmos discretos y se deriva de sistemas criptográficos propuestos por Schnorr y EIGamal. Es únicamente para autenticación.
Diffie-Hellman (DH)
Propósito: Firmas Digitales
Rango de clave: 1536 bits
Fecha de Creación: 1976 Este fue el primer algoritmo de clave pública inventado. Tiene su seguridad en la dificultad de calcular logaritmos discretos infinitamente. DH se usa principalmente para distribución de claves. Es usado para generar claves secretas, mas no se usa para encriptar ni decriptar.
DES
Propósito: Encripción
Rango de clave: 56 bits
Fecha de Creación: 1976
El Data Encryption Standard (DES) conocido también como el Algoritmo de Encripción de Datos (DEA) ha sido un estándar por cerca de 20 años. Aunque muestra signos de que tiene mucho tiempo, se ha desempeñado muy bien a través de años de criptoanalisis y es aún seguro contra los adversarios. DES es un bloque cifrado, encriptando los datos en bloques de 64 bits. DES es un algoritmo simétrico, el mismo algoritmo se usa para encriptar y desencriptar. La clave tiene un tamaño de 56 bits, la clave usa un número de 56 bits y puede ser cambiado a cualquier hora. La seguridad recae directamente en la clave. Otros algoritmos de Encripción:
- 3DES y ya se está implementando el AES (Advanced Encryption Standard).
- RC2
- RC4
- RC5
- ECC (Criptografía de Curva Elíptica) MD5
Propósito: Hashing (Digestión de documentos digitales)
Rango de clave: 128 bits
Fecha de Creación: 1992 MD5 es una función de hashing de una sola dirección, produciendo un resultada de 128 bits. Después de un proceso inicial, MD5 procesa e! texto insertado en bloques de 512 bits, divididos en 16 bloques de 32 bits. El resultado de el algoritmo son 4 bloques de 32 bits, que juntos forman un bloque de 128 bits.
Otros algoritmos de hashing: -
SHA-1
Estándares abiertos: No hay que olvidar que utilizar estándares abiertos para la generación y utilizado de firmas digitales permite (1): Interoperabilidad entre diferentes plataformas en redes heterogéneas
Sectores Comercial, Financiero, Gobierno, TIC.
Interoperabilidad con empresas e instituciones internacionales
TLCAN, todos estamos conectados, reconocer comprobantes multinacionales.
Ambientes competitivos que benefician a los clientes.
Precios, servicios, calidad.
Implementación de soluciones probadas y seguras.
Outsourcing. No hay que inventar nada. Enfoque a procesos y servicios propios.
Evita tecnologías patentadas.
Riesgos de obsolescencia y especialización.
Implantación libremente disponible (open source) así como implantad o ríe comerciales.
Extensible — se puede usar en el futuro, cuando surgen aplicaciones nuevas. Las pautas que apoyan a los estándares abiertos (2): WebTrust para Autoridades de Certificación: Tiene la cobertura de áreas específicamente definidas por el AICPA/CHCA, para auditar las prácticas de negocio de AC, integridad de servicio (incluso ciclo de vida de llaves y actividades de administración de certificados} y controles ambientales de AC. Fue diseñado expresamente para los exámenes de actividades de negocios de AC. Federal Bridge CA (FBCA): El FBCA es el elemento que une las Autoridades de Certificación de agencias que por otra parte no se podrían conectar en un PKI sistemáticamente federal. El FBCA funciona como un ‘puente’ no jerárquico que crea un camino de su dominio hasta el dominio de la agencia que publicó el certificado, de modo que los niveles de aseguramiento honrado por PKIs puedan ser reconciliados. American National Standards Institute (ANSÍ): el ANSI X9F5 Política de Certificado y Firma Digital desarrolla el X9.79 PKI Prácticas y Marco de Política (X9.79) estándar para la comunidad de servicios financieros. American Bar Association’s Information Security Committee (ABA-ISC): Han desarrollado las Pautas de Evaluación PKI (PAG) que se dirigen a las exigencias legales y técnicas para Autoridades de Certificación. EU (European Commission) Electronic Signatura Directive: La directiva proporciona un marco común para firmas electrónicas. Armonización de los aspectos: legal, confianza, y técnico. Propone un marco para los estándares abiertos en proporcionar la base para la realización, revisión de cuentas y acreditación. European Telecommunications Standards Insütute (ETSI): El objetivo principal del ETSI es apoyar la armonización global proporcionando un foro en el cual todos los jugadores clave, puedan contribuirse activamente. El ETSI es oficialmente reconocido por la Comisión Europea y la secretaría de EFTA. Internet Engineenng Task Forcé (IETF): El IETF es una comunidad internacional abierta de diseñadores de red, operadores, vendedores e investigadores preocupados por la evolución de la arquitectura y la operación del Internet. Escribieron un documento (RFC2459) cuyo objetivo es desarrollar un perfil para facilitar el uso de certificados X.509 dentro de las aplicaciones de Internet y PKI. Microsoft Program: Microsoft inició un programa de PKI usando los principios y criterios de WebTrust para Autoridades de Certifición para auditar y revisar las autoridades de certificación de raíz en el Windows XP. Identrus: Identrus es una red global de instituciones financieras que proporciona un marco legal, empresarial al tradicional PKI y técnico a los estándares que permiten a los bancos servir a sus dientes de negocio. Estas actúan como terceras partes de confianza para el comercio electrónico en el que intervienen algunas instituciones financieras.
Alfredo Reyes Krafft es Doctor en Derecho por la
Universidad Panamericana. Actualmente es Director jurídico de
e-business en BBVA Bancomer y Vicepresidente Ejecutivo de la Asociación
Mexicana de Internet (AMIPCI)
Fecha de Creación: 1977
RSA es un sistema de encripción y autenticación que usa un algoritmo desarrollado en 1977 por Ron Rivest, Adi Shamir y Leonard Adleman. El algoritmo RSA es el más usado en Internet dado a que es parte de los navegadores como Netscape e Internet Explorer, así como de muchos otros productos. Los problemas de autenticación y protección de la información en grandes redes de comunicación fueron analizados en 1976, en el plano teórico, por Whitfield Diffie y Martin Hellman, en un trabajo en el que explicaron sus conceptos respecto del intercambio de mensajes sin necesidad de intercambiarse claves secretas. La idea fructificó en 1977 con la creación del Sistema Criptográfico de Clave Pública RSA, por parte de Ronald Rivest, Adi Shamir y Len Adleman, por aquel entonces profesores del Instituto de Tecnología de Massachusetts (M.I.T.). En lugar de emplear una sola clave para encriptar y desencriptar datos, el sistema RSA emplea un par combinado de claves que desarrolla una transformación en un solo sentido. Cada clave es la función inversa de la otra, es decir, lo que una hace, sólo la otra puede deshacerlo.
La Clave Pública en el sistema RSA es publicada por su propietario, en tanto que la Clave Privada es mantenida en secreto. Para enviar un mensaje privado, el emisor lo encripta con la Clave Pública del receptor deseado. Una vez que ha sido encriptado, el mensaje sólo puede ser descifrado con la Clave Privada del receptor. Inversamente, el usuario puede encriptar datos utilizando su Clave Privada. Es decir, las claves del sistema RSA pueden ser empleadas en cualquier dirección. Esto sienta las bases para la firma digital.
Si un usuario puede desencriptar un mensaje con la Clave Pública de otro usuario, éste debe, necesariamente, haber utilizado su Clave Privada para encriptarlo originariamente. Desde el momento que solamente el propietario puede utilizar su propia Clave Privada, el mensaje encriptado se transforma en una especie de firma digital, un documento que nadie más ha podido crear. Bajo RSA se desarrolló el algoritmo estándar de firmas digitales para correos S/MIME Funcionamiento del RSA Los números enteros (el 0,1, 2… y sus opuestos -1.-2, etc.) tienen una estructura algebraica determinada con las operaciones que todos conocemos, el producto y la suma. Esta estructura es la de anillo conmutativo y una de sus caracten’sticas es la existencia de un elemento neutro respecto al producto, que es la unidad. En este anillo existen dos divisores de la unidad (el número 1), el 1 y el -1. Dados dos números enteros, p y q, es posible encontrar otros dos, c y r tales que p = q.c + r. A c se le suele llamar cociente y a r resto. Particularmente, existe un r tal que r< |q|.
Cuando r es cero, entonces decimos que q es un factor de p. Fijado un entero q, existen |q| restos posibles: 0, 1, 2,....,|q-1| y es definible una relación de equivalencia: Dos enteros m y n son equivalentes si y sólo si m-n es un múltiplo de q. Esto es lo mismo que decir que tanto m como n tienen el mismo resto, o que m es congruente con n módulo q, y lo simbolizaremos por m = n (mod q). El conjunto de las clases de equivalencia forma a su vez un anillo y tendremos tantas como restos posibles. Decimos que d es el máximo común divisor de dos números p y q cuando es el factor más grande de p y q: d = m.c.d (p,q).
Dos números p y q son primos entre sí, cuando m.c.d (p,q) = 1. Un número p es primo cuando siempre que exista un factor q tal que p =q.k entonces k es un divisor de la unidad (dicho en pocas palabras, sólo se puede dividir por él mismo). Cualquier número q es un producto de primos y este producto es único (salvo divisores de la unidad).
DSA
Propósito: Firmas Digitales
Rango de clave: 56 bits
Fecha de creación: 1994
El Digital Signatura Algorithm (DSA) fue publicado por el Instituto Nacional de Tecnología y Estándares (NIST) en el estándar llamado Digital Signatura Standard (DSS) que es parte de gobierno de los Estados Unidos. DSS fue seleccionado por el NIST con ayuda del NSA (National Security Agency) para ser el estándar de autenticación digital del gobierno de los Estados Unidos a partir de Mayo 19 de 1994. DSA está basado en el problema de logaritmos discretos y se deriva de sistemas criptográficos propuestos por Schnorr y EIGamal. Es únicamente para autenticación.
Diffie-Hellman (DH)
Propósito: Firmas Digitales
Rango de clave: 1536 bits
Fecha de Creación: 1976 Este fue el primer algoritmo de clave pública inventado. Tiene su seguridad en la dificultad de calcular logaritmos discretos infinitamente. DH se usa principalmente para distribución de claves. Es usado para generar claves secretas, mas no se usa para encriptar ni decriptar.
DES
Propósito: Encripción
Rango de clave: 56 bits
Fecha de Creación: 1976
El Data Encryption Standard (DES) conocido también como el Algoritmo de Encripción de Datos (DEA) ha sido un estándar por cerca de 20 años. Aunque muestra signos de que tiene mucho tiempo, se ha desempeñado muy bien a través de años de criptoanalisis y es aún seguro contra los adversarios. DES es un bloque cifrado, encriptando los datos en bloques de 64 bits. DES es un algoritmo simétrico, el mismo algoritmo se usa para encriptar y desencriptar. La clave tiene un tamaño de 56 bits, la clave usa un número de 56 bits y puede ser cambiado a cualquier hora. La seguridad recae directamente en la clave. Otros algoritmos de Encripción:
- 3DES y ya se está implementando el AES (Advanced Encryption Standard).
- RC2
- RC4
- RC5
- ECC (Criptografía de Curva Elíptica) MD5
Propósito: Hashing (Digestión de documentos digitales)
Rango de clave: 128 bits
Fecha de Creación: 1992 MD5 es una función de hashing de una sola dirección, produciendo un resultada de 128 bits. Después de un proceso inicial, MD5 procesa e! texto insertado en bloques de 512 bits, divididos en 16 bloques de 32 bits. El resultado de el algoritmo son 4 bloques de 32 bits, que juntos forman un bloque de 128 bits.
Otros algoritmos de hashing: -
SHA-1
Estándares abiertos: No hay que olvidar que utilizar estándares abiertos para la generación y utilizado de firmas digitales permite (1): Interoperabilidad entre diferentes plataformas en redes heterogéneas
Sectores Comercial, Financiero, Gobierno, TIC.
Interoperabilidad con empresas e instituciones internacionales
TLCAN, todos estamos conectados, reconocer comprobantes multinacionales.
Ambientes competitivos que benefician a los clientes.
Precios, servicios, calidad.
Implementación de soluciones probadas y seguras.
Outsourcing. No hay que inventar nada. Enfoque a procesos y servicios propios.
Evita tecnologías patentadas.
Riesgos de obsolescencia y especialización.
Implantación libremente disponible (open source) así como implantad o ríe comerciales.
Extensible — se puede usar en el futuro, cuando surgen aplicaciones nuevas. Las pautas que apoyan a los estándares abiertos (2): WebTrust para Autoridades de Certificación: Tiene la cobertura de áreas específicamente definidas por el AICPA/CHCA, para auditar las prácticas de negocio de AC, integridad de servicio (incluso ciclo de vida de llaves y actividades de administración de certificados} y controles ambientales de AC. Fue diseñado expresamente para los exámenes de actividades de negocios de AC. Federal Bridge CA (FBCA): El FBCA es el elemento que une las Autoridades de Certificación de agencias que por otra parte no se podrían conectar en un PKI sistemáticamente federal. El FBCA funciona como un ‘puente’ no jerárquico que crea un camino de su dominio hasta el dominio de la agencia que publicó el certificado, de modo que los niveles de aseguramiento honrado por PKIs puedan ser reconciliados. American National Standards Institute (ANSÍ): el ANSI X9F5 Política de Certificado y Firma Digital desarrolla el X9.79 PKI Prácticas y Marco de Política (X9.79) estándar para la comunidad de servicios financieros. American Bar Association’s Information Security Committee (ABA-ISC): Han desarrollado las Pautas de Evaluación PKI (PAG) que se dirigen a las exigencias legales y técnicas para Autoridades de Certificación. EU (European Commission) Electronic Signatura Directive: La directiva proporciona un marco común para firmas electrónicas. Armonización de los aspectos: legal, confianza, y técnico. Propone un marco para los estándares abiertos en proporcionar la base para la realización, revisión de cuentas y acreditación. European Telecommunications Standards Insütute (ETSI): El objetivo principal del ETSI es apoyar la armonización global proporcionando un foro en el cual todos los jugadores clave, puedan contribuirse activamente. El ETSI es oficialmente reconocido por la Comisión Europea y la secretaría de EFTA. Internet Engineenng Task Forcé (IETF): El IETF es una comunidad internacional abierta de diseñadores de red, operadores, vendedores e investigadores preocupados por la evolución de la arquitectura y la operación del Internet. Escribieron un documento (RFC2459) cuyo objetivo es desarrollar un perfil para facilitar el uso de certificados X.509 dentro de las aplicaciones de Internet y PKI. Microsoft Program: Microsoft inició un programa de PKI usando los principios y criterios de WebTrust para Autoridades de Certifición para auditar y revisar las autoridades de certificación de raíz en el Windows XP. Identrus: Identrus es una red global de instituciones financieras que proporciona un marco legal, empresarial al tradicional PKI y técnico a los estándares que permiten a los bancos servir a sus dientes de negocio. Estas actúan como terceras partes de confianza para el comercio electrónico en el que intervienen algunas instituciones financieras.
Alfredo Reyes Krafft es Doctor en Derecho por la
Universidad Panamericana. Actualmente es Director jurídico de
e-business en BBVA Bancomer y Vicepresidente Ejecutivo de la Asociación
Mexicana de Internet (AMIPCI)
1 Antonio Pecoar Musolino, Auditoria de PKI y Estandares Abiertos, CISA, CISM, CRP, Deloitte and Touche, México, 2003
2 Ibidem
2 Ibidem
No comments:
Post a Comment