Transcript
1. LOS MATRICULA VIEJA 2. MATERIA: POO PROFESOR: STARLIN GERMOSEN. REPORTE DE PRACTICA FIRMA DIGITAL SECCION:0908. GRUPO: INTEGRANTE: ALEXIS ENCARNACIÓN 11-SISN-1-049 WILEIDY YASER MORDEN ANDUJAR 12-EISN-1-095 ISBELIA VEIGUETE 10-MISN-1-120 3. CONTENIDO TEMA I TEMA II 4. TEMA I 5. FIRMA DIGITAL • ¿Qué es firma digital? La Firma Digital es un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje. • La Firma Electrónica es un concepto más amplio que el de Firma Digital. Mientras que el segundo hace referencia a una serie de métodos criptográficos, el concepto de “Firma Electrónica” es de naturaleza fundamentalmente legal, ya que confiere a la firma un marco normativo que le otorga validez jurídica. • • La Firma Electrónica, puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con el contenido, para indicar que se ha leído o, según el tipo de firma, garantizar que no se pueda modificar su contenido. 6. QUE ES LA FIRMA DIGITAL • La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel. Una firma digital es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje. • La firma digital no implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente. La firma digital es un instrumento con características técnicas y normativas. Esto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen. • ¿Cómo funciona? La firma digital funciona utilizando complejos procedimientos matemáticos que relacionan el documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse de que los contenidos no han sido modificados. • El firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la clave privada del firmante. El resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. De esta manera el firmante adjuntará al documento una marca que es única para dicho documento y que sólo él es capaz de producir. • Para realizar la verificación del mensaje, en primer término, el receptor generará la huella digital del mensaje recibido, luego descifrará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que no hubo alteración y que el firmante es quien dice serlo. 7. CLAVES PRIVADAS Y CLAVES PUBLICAS • En la elaboración de una firma digital y en su correspondiente verificación se utilizan complejos procedimientos matemáticos basados en criptografía asimétrica (también llamada criptografía de clave pública). • En un sistema criptográfico asimétrico, cada usuario posee un par de claves propio. Estas dos claves, llamadas clave privada y clave pública, poseen la característica de que, si bien están fuertemente relacionadas entre sí, no es posible calcular la primera a partir de los datos de la segunda, ni tampoco a partir de los documentos cifrados con la clave privada. • El sistema opera de tal modo que la información cifrada con una de las claves sólo puede ser descifrada con la otra. De este modo si un usuario cifra determinada información con su clave privada, cualquier persona que conozca su clave pública podrá descifrar la misma. En consecuencia, si es posible descifrar un mensaje utilizando la clave pública de una persona, entonces puede afirmarse que el mensaje lo generó esa persona utilizando su clave privada (probando su autoría). • Las dos principales ramas de la criptografía de clave pública son: • Cifrado de clave pública: un mensaje cifrado con la clave pública de un destinatario no puede ser descifrado por nadie (incluyendo al que lo cifró), excepto un poseedor de la clave privada correspondiente, presumiblemente su propietario y la persona asociada con la clave pública utilizada. Su función es garantizar la confidencialidad del mensaje. • Firmas digitales: un mensaje firmado con la clave privada del remitente puede ser verificado por cualquier persona que tenga acceso a la clave pública de dicho remitente, lo que demuestra que este remitente tenía acceso a la clave privada (y por lo tanto, es probable que sea la persona asociada con la clave pública utilizada). Se asegura así que el mensaje no ha sido alterado, puesto que cualquier manipulación del mensaje repercutiría en un distinto resultado del algoritmo de resumen del mensaje (encoded message digest). Se utiliza para garantizar la autenticidad del mensaje. 8. QUE CONTIENE UN CERTIFICADO DIGITAL • En su forma más simple, el certificado contiene una clave pública y un nombre. Habitualmente, también contiene una fecha de expiración, el nombre de la Autoridad Certificante que la emitió, un número de serie y alguna otra información. Pero lo más importante es que el certificado propiamente dicho está firmado digitalmente por el emisor del mismo. • Su formato está definido por el estándar internacional ITU-T X.509. De esta forma, puede ser leído o escrito por cualquier aplicación que cumpla con el mencionado estándar. • ¿Qué valor legal tiene la firma digital? • Para la legislación argentina los términos “Firma Digital” y “Firma Electrónica” no poseen el mismo significado. La diferencia radica en el valor probatorio atribuido a cada uno de ellos, dado que en el caso de la “Firma Digital” existe una presunción “iuris tantum” en su favor; esto significa que si un documento firmado digitalmente es verificado correctamente, se presume salvo prueba en contrario que proviene del suscriptor del certificado asociado y que no fue modificado. Por el contrario, en el caso de la firma electrónica, de ser desconocida por su titular, corresponde a quien la invoca acreditar su validez. • Por otra parte, para reconocer que un documento ha sido firmado digitalmente se requiere que el certificado digital del firmante haya sido emitido por un certificador licenciado (o sea que cuente con la aprobación del Ente Licenciante). • Es por esto que, si bien entendemos que en los ambientes técnicos se emplea habitualmente el término Firma Digital para hacer referencia al instrumento tecnológico, independientemente de su relevancia jurídica, solicitamos a todos los proveedores de servicios de certificación, divulgadores de tecnología, consultores, etc. que empleen la denominación correcta según sea el caso a fin de no generar confusión respecto a las características de la firma en cuestión. 9. QUE ES UNA INFRAESTRUCTURA DE FIRMA DIGITAL • En nuestro país se denomina “Infraestructura de Firma Digital” al conjunto de leyes, normativa legal complementaria, obligaciones legales, hardware, software, bases de datos, redes, estándares tecnológicos y procedimientos de seguridad que permiten que distintas entidades (individuos u organizaciones) se identifiquen entre sí de manera segura al realizar transacciones en redes (por ej. Internet). • Realmente esta definición es conocida mundialmente con las siglas PKI que significan Public Key Infraestructure o Infraestructura de Clave Pública. 10. ALGORTIMO HASH Los hash o funciones de resumen son algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a crear con esos mismos datos). Estas funciones no tienen el mismo propósito que la criptografía simétrica y asimétrica, tiene varios cometidos, entre ellos está asegurar que no se ha modificado un archivo en una transmisión, hacer ilegible una contraseña o firmar digitalmente un documento. •Características: En definitiva, las funciones hash se encargan de representar de forma compacta un archivo o conjunto de datos que normalmente es de mayor tamaño que el hash independientemente del propósito de su uso. Este sistema de criptografía usa algoritmos que aseguran que con la respuesta (o hash) nunca se podrá saber cuáles han sido los datos insertados, lo que indica que es una función unidireccional. Sabiendo que se puede generar cualquier resumen a partir de cualquier dato nos podemos preguntar si se podrían repetir estos resúmenes (hash) y la respuesta es que teóricamente si, podría haber colisiones, ya que no es fácil tener una función hash perfecta (que consiga que no se repita la respuesta), pero esto no supone un problema, ya que si se consiguieran (con un buen algoritmo) dos hashes iguales los contenidos serían totalmente distintos. 11. MD5 • MD5, ¿qué es y cómo funciona? • En vez de dar una definición técnica, vamos a tratar de explicar de una forma más básica qué es y cómo funciona el MD5. Es un algoritmo que proporciona un código asociado a un archivo o un texto concreto. De esta forma, a la hora de descargar un determinado archivo, como puede ser un instalador, el código generado por el algoritmo, también llamado hash, viene “unido” al archivo. • Para que nosotros podamos ver este código MD5, existe software que analiza el archivo descargado y obtiene dicho código de él. Con el hash de nuestra descarga, podemos acudir a la web del desarrollador del programa del que tenemos el instalador y buscar el código MD5 de su instalador original. Una vez tengamos disponibles los dos códigos MD5, el de nuestro archivo descargado y el del instalador o software de la web oficial del desarrollador, podremos comparar ambos y ver si coinciden y nuestro archivo es fiable o no. • ¿Qué usos tiene? • Aparte de asegurarnos si un instalador es fiable –que es su uso más extenso– el algoritmo MD5 tiene otros usos también muy interesantes. El primero de ellos, es que, mediante un programa, también podemos crear el código MD5 de un archivo propio, para que quien haga uso de él pueda comprobar su integridad. • Otra aplicación verdaderamente interesante está en las instalaciones de firmware, en las que además de proporcionarnos la información referente a la seguridad del archivo, puede servir también para comprobar que la descarga de éste se ha realizado correctamente , y dispongamos del archivo completo y correcto. Esto, como decimos, es de gran utilidad a la hora de instalar un nuevo firmware o sistema operativo en nuestros dispositivos, como puede ser un router, o en el momento de flashear una ROM cocinada en un smartphone Android, ya que realizar una instalación de estas características con un archivo dañado o incompleto, puede dejarnos en ocasiones con un dispositivo inutilizable, o hacernos perder una buena parte de nuestro tiempo. 12. SHA-1 • SHA-1 ( Secure Hash Algorithm 1 ) es una función hash criptográfica que toma una entrada y produce un valor hash de 160 bits (20 bytes ) conocido como resumen del mensaje , normalmente representa un número hexadecimal de 40 dígitos. Fue diseñado por la Agencia de Seguridad Nacional de los Estados Unidos y es un Estándar Federal de Procesamiento de Información de los Estados Unidos. • • Desde 2005 SHA-1 no se ha considerado seguro contra oponentes bien financiados, y desde 2010 muchas organizaciones han recomendado su reemplazo por SHA-2 o SHA-3 . Microsoft , Google , Apple y Mozilla anunciaron que sus respectivos navegadores dejarán de aceptar los certificados SSL SHA-1 para 2017. • • En 2017, CWI Amsterdam y Google anunciaron que habían realizado un ataque de colisión contra SHA-1, publicando dos archivos PDF diferentes que producían el mismo hash SHA-1. • 13. CRIPTOANALISIS Y VALIDACION • Para una función hash para la cual L es el número de bits en el resumen del mensaje, encontrar un mensaje que corresponda a un resumen del mensaje dado siempre se puede hacer usando una búsqueda de fuerza bruta en evaluaciones de aproximadamente 2 L. Esto se denomina ataque de preimagen y puede o no ser práctico dependiendo de L y del entorno informático particular. Sin embargo, una colisión, que consiste en encontrar dos mensajes diferentes que producen el mismo resumen del mensaje, requiere en promedio solo alrededor de 1.2 × 2 L / 2 evaluaciones usando un ataque de cumpleaños . Por lo tanto, la potencia de una función hash generalmente se compara con un cifrado simétrico de la mitad de la longitud del resumen del mensaje. SHA-1, que tiene un resumen de mensaje de 160 bits, originalmente se pensó que tenía una potencia de 80 bits. • En 2005, los criptógrafos Xiaoyun Wang , Yiqun Lisa Yin y Hongbo Yu produjeron pares de colisiones para SHA-0 y encontraron algoritmos que deberían producir colisiones SHA-1 en mucho menos de las 2 80 evaluaciones esperadas originalmente. • En términos de seguridad práctica, una gran preocupación sobre estos nuevos ataques es que podrían allanar el camino a otros más eficientes. Si este es el caso aún no se ha visto, pero se cree una migración a hashes más fuertes ser prudente. Algunas de las aplicaciones que usan hashes criptográficos, como el almacenamiento de contraseñas, solo se ven mínimamente afectadas por un ataque de colisión. Construir una contraseña que funcione para una cuenta dada requiere un ataque de pre imagen , así como acceso al hash de la contraseña original, que puede o no ser trivial. Invertir el cifrado de contraseñas (por ejemplo, para obtener una contraseña para probar contra la cuenta de un usuario en otro lugar) no es posible gracias a los ataques. (Sin embargo, incluso un hash seguro de contraseñas no puede prevenir los ataques de fuerza bruta contra contraseñas débiles ). • En el caso de la firma de documentos, un atacante no podía simplemente falsificar una firma de un documento existente: el atacante tendría que producir un par de documentos, uno inofensivo y el otro dañino, y obtener el titular de la clave privada para firmar el documento inocuo. Hay circunstancias prácticas en las que esto es posible; hasta finales de 2008, fue posible crear certificados SSL falsificados utilizando una colisión MD5 . • Debido al bloque y la estructura iterativa de los algoritmos y la ausencia de pasos finales adicionales, todas las funciones de SHA (excepto SHA-3 ) son vulnerables a los ataques de colisión de extensión de longitud y mensaje parcial. 14. TEMA II 15. MERCADO POR INTERNTET • El comercio electrónico, también conocido como e-commerce (electronic commerce en inglés) o bien negocios por Internet o negocios online, consiste en la compra y venta de productos o de servicios a través de medios electrónicos, tales como Internet y otras redes informáticas. Originalmente el término se aplicaba a la realización de transacciones mediante medios electrónicos tales como el Intercambio electrónico de datos, sin embargo con el advenimiento de la Internet y la World Wide Web a mediados de la década de 1990 comenzó a referirse principalmente a la venta de bienes y servicios a través de Internet, usando como forma de pago medios electrónicos, tales como las tarjetas de crédito. • La cantidad de comercio llevada a cabo electrónicamente ha crecido de manera extraordinaria debido a Internet. Una gran variedad de comercio se realiza de esta manera, estimulando la creación y utilización de innovaciones como la transferencia de fondos electrónica, la administración de cadenas de suministro, el marketing en Internet, el procesamiento de transacciones en línea (OLTP), el intercambio electrónico de datos (EDI), los sistemas de administración del inventario y los sistemas automatizados de recolección de datos.f 16. COMERCIO ELECTRONICO • La idea de comercio electrónico, por su parte, se vincula al desarrollo de operaciones comerciales a través de Internet. También conocido como electronic commerce o e-commerce, esta modalidad comercial aprovecha las herramientas tecnológicas para la concreción de las transacciones. • El comercio electrónico puede desarrollarse de múltiples maneras. Un portal, por ejemplo, puede publicar ofertas de calzado deportivo. Los usuarios recorren las opciones y, si desean adquirir un producto, deben ingresar sus datos personales incluyendo la información de su tarjeta de crédito. De esta manera concretan la compra y realizan el pago. Luego el portal envía por correo postal o entrega el producto en el domicilio del comprador. 17. NEGOCIO ELECTRONICO • Negocio electrónico o e-business, (acrónimo del idioma inglés electronic y business), se refiere al conjunto de actividades y prácticas de gestión empresariales resultantes de la incorporación a los negocios de las tecnologías de la información y la comunicación (TIC) generales y particularmente de Internet, así como a la nueva configuración descentralizada de las organizaciones y su adaptación a las características de la nueva economía. El e-business, que surgió a mediados de la década de los años 1990, ha supuesto un notable cambio en el enfoque tradicional del capital y del trabajo, pilares fundamentales de la empresa, y en sus prácticas productivas y organizacionales. • Las actividades que ponen en contacto clientes, proveedores y socios como la mercadotecnia y ventas, la producción y logística, gestión y finanzas tienen lugar en el e-business dentro de redes informáticas que permiten a su vez una descentralización en líneas de negocio. 18. INTELIGENCIA DEL NEGOCIO • Se denomina inteligencia empresarial, inteligencia de negocios o BI (del inglés business intelligence), al conjunto de estrategias, aplicaciones, datos, productos, tecnologías y arquitectura técnicas, los cuales están enfocados a la administración y creación de conocimiento sobre el medio, a través del análisis de los datos existentes en una organización o empresa. • Es posible diferenciar datos, informaciones, y conocimientos, conceptos en los que se centra la inteligencia empresarial, ya que como sabemos, un dato es algo vago, por ejemplo "10 000", la información es algo más preciso, por ejemplo "Las ventas del mes de mayo fueron de 10 000", y el conocimiento se obtiene mediante el análisis de la información, por ejemplo • "Las ventas del mes de mayo fueron 10 000. Mayo es el mes más bajo en ventas". Aquí es donde la BI entra en juego, ya que al obtener conocimiento del negocio una vez capturada la información de todas las áreas en la empresa, es posible establecer estrategias y determinar cuáles son las fortalezas y las debilidades. 19. APLICACIONES DE NEGOCIOS ELECTRONICOS • B2C es la abreviatura de la expresión Business-to-Consumer («del negocio al consumidor»). B2C se refiere a la estrategia que desarrollan las empresas comerciales para llegar directamente al cliente o usuario final. • Un ejemplo de transacción B2C puede ser la compra de un par de zapatos en una zapatería de barrio, por un individuo. Sin embargo, todas las transacciones necesarias para que ese par de zapatos esté disponible para la venta en el establecimiento comercial, compra de la piel, suela, cordones, etc. así como la venta de zapatos del fabricante al comerciante forman parte de lo que se llama B2B o • Business-to-Business («de negocio a negocio») • TIPOS DE APLICACIONES DE NEGOCIOS ELECTRONICOS • E-CRM: Permite establecer relaciones con el cliente a través de sistemas que operan en Internet. El obje
