Seguretat_Obert: Elements i conceptes claus

Elements i conceptes claus

Diferenciem diferents tipus de certificats segon la informació que acrediten:

certificat personal acredita la identitat de la persona,
certificat de pertinència a una empresa o entitat acredita la pertinència a una empresa o entitat,
certificat de representant afegeix al certificat de pertinència els poders de la persona,
certificat de persona jurídica identifica una entitat o empresa alhora de realitzar tràmits, i
certificat d'atribut va associat al certificat personal i acredita per exemple què la persona és metge, o director, o apoderat, etc.

Més enllà existeixen els certificats de servidors segurs (visible el candau tancat al navegador), i certificats de codi font que acrediten l'autoria del codi i que no s'ha modificat una aplicació.

Avantatges de la firma electrònica reconeguda

La firma electrònica és la versió digital de la firma manuscrita i ofereix una sèrie de garanties per al món digital. Quines son els avantatges d'un document o correu electrònic signat amb una firma digital reconeguda?

Identitat: permet comprovar la identitat de de la persona autora, física o jurídica.
Integritat: confirmar la integritat del document firmat, comprovar que el missatge rebut és el missatge original i sense modificacions emès per l'emissor.
El no rebuig en l'origen vol dir que la persona emissora no pugui negar haver enviat el missatge.
La confidencialitat implica que el missatge o document no hagi pogut ser llegit per terceres persones durant el procés de transmissió.

Xifratge

Els dos tipus de xifratge més importants i coneguts són el xifratge simètric, i el xifratge asimètric.

Xifrat simètric

Totes les persones que intervenen a la comunicació han de conèixer la clau. Per això, si es perd o algú la descobreix, el sistema es veu compromès d'immediat.

Totes les persones que coneixen la clau poden introduir o extreure un missatge (xifrar/desxifrar un missatge), totes tenen la mateixa clau, no es pot saber qui ha deixat el missatge i qui l'ha visualitzat. Per evitar això, s'haurien de gestionar diferents claus per a cada un dels agents que hi intervenen en la comunicació.

Xifrat asimètric

Utilitza dues claus, una privada i una de pública. La clau privada no li mostrem a ningú, mentre que la pública està disposició de qualsevol. Amb el xifrat asimètric s'assegura que només rep el missatge o l'ha generat qui tingui la clau privada.

L'esquema del xifrat asimètric de Wikipedia

1. L'Alice genera dues claus. La clau pública (verda), és la que envia a en Bob. La clau privada (vermella) és la que ella conserva sense compartir-la amb ningú.

Criptografia asimetrica - part 1 (de Wikipedia http://upload.wikimedia.org/wikipedia/commons/2/27/Asymetric_cryptography_-_step_1.svg)

2. En Bob xifra el missatge amb la clau pública de l'Alice, i li envia el text encriptat. L'Alice desxifra el missatge gràcies a la seva clau privada.

Criptografia asimètrica - part 2 (de Wikipedia http://upload.wikimedia.org/wikipedia/commons/thumb/b/be/Asymetric_cryptography_-_step_2.svg/800px-Asymetric_cryptography_-_step_2.svg.png)

Per a la signatura electrònica és molt important garantir la procedència firma, la identitat de la persona que ha firmat. Amb el xifrat asimètric tenim la garantia que només una persona ha pogut realitzar la signatura, perquè és l'única que té la clau privada.

Qualsevol persona pot verificar aquesta signatura, perquè tenim accés a la clau pública, amb la qual es pot recollir i verificar que efectivament una única persona ha signat el missatge.

Clau pública i privada

La certificació digital utilitza el que s'anomena infraestructura de claus públiques (PKI Public Key Infrastructure). Aquesta infraestructura es basa en un sistema de dues claus: una clau privada i una clau pública, que són complementàries; és a dir, allò que xifra l’una, només ho pot desxifrar l’altra.

Això vol dir que treballem amb parelles de claus, una clau privada per a xifrar i la clau pública per a desxifrar o verificar documents i identitats.

La clau privada és secreta no només en disposa el propietari del certificat digital; és important protegir aquesta part de la clau, donat que s'utilitza, per desxifrar missatges rebuts i en el procés de generar la signatura digital.
La clau pública és a disposició de qualsevol persona i serveix per xifrar missatges i verificar signatures digitals generades amb la clau privada complementària.

Per això qualsevol persona pot xifrar un missatges fent servir la nostra clau pública, però tant sols qui té la clau privada pot desxifrar-lo!

Si disposeu d'un certificat digital reconegut, com per exemple d'IDCat, disposeu de la clau privada que s'us va entregar alhora de validar les vostres dades. En cas d'IDCat és per exemple un llapis de memòria amb la clau privada, el DNIe és una targeta intel·ligent on es guarda la clau privada.

Cicle de vida dels certificats

El certificat digital té un cicle de vida, des del moment de demanar el certificat, fins passat la data de caducitat un certificat pot passar per diferents fases.

Obtenir un certificat – demanar-l a una autoritat de certificació (CA) consisteix en 3 passos: feu la sol·licitud via Internet des de la pàgina web de l'autoritat de certificació, valideu la sol·licitud presencialment davant de l'Administració, i descarregueu i/o instal·leu el certificat.
Instal·lar el certificat un cop emès, en realitat és importar-lo. Els certificats en targeta no s'instal·len, i per això cal un lector de targeta cada cop que el feu servir.
Exportar un certificat per tal de crear una còpia de seguretat, només podem fer-ho amb certificats prèviament instal·lats. S'aconsella fer una còpia de seguretat per evitar la pèrdua d'aquesta eina, o en el cas que es vulgui fer servir el mateix certificat en diferents ordinadors.
Període de validesa del certificat digital és el temps durant el qual es pot emprar el certificat. Aquest temps varia segons el tipus de certificat i l'entitat certificadora.
Caducitat del certificat; significa que el temps de validesa ha expirat, i el certificat deixa d'estar operatiu. Qualsevol certificat permet veure la seva data de caducitat.
Renovar un certificat: s'ha de fer abans que el certificat caduqui, es renova via Internet sense necessitat de fer els altres passos de la sol·licitud inicial. La renovació s'ha de demanar amb antelació, s'aconsella un o dos mesos abans de la data de caducitat.
Revocar el certificat és el proces d'invalidar un certificat en cas de pèrdua.
Eliminar un certificat és com qualsevol altre eliminació, desprès ja no existirà el certificat. S'acostuma fer això només amb certificats caducats.

Tercer de confiança o entitat certificador

Garanteixen que hi hagi uns estàndards pel que fa als certificats electrònics, i que es puguin verificar les claus públiques.

Es tracta d'organitzacions independents acreditades per emetre i revocar certificats digitals, tant a persones físiques com a organitzacions o empreses (persones jurídiques). Aquests tercers de confiança són prestadors de serveis de certificació.

A l'estat espanyol, el Ministeri d'Indústria, Turisme i Comerç ofereix un cercador d'entitats prestadores de certificació digital: https://www11.mityc.es/prestadores/busquedaPrestadores.jsp

A Catalunya se n'encarrega el Consorci de l'Administració Oberta de Catalunya, a través de l'Agència Catalana de Certificació, qui és prestadora de serveis de certificació: http://www.catcert.cat/web/cat/index.jsp

Alguns dispositius segurs de creació de signatura digital:

IDCat http://www.idcat.net/idcat/ciutada/menu.do
Fàbrica Nacional de Moneda i Timbre http://www.fnmt.es/index.php?cha=citizen&scha=6&page=76
DNI electrònic http://www.dnielectronico.es/
CECOT http://www.cecot.org/certificaciodigital/index.html

Aquestes entitats certificadores generen certificats digitals personals, però també els diferents altres tipus de certificats que acrediten un requisit especial, com per exemple la pertinència a una entitat o empresa.

Tot i així, no totes les entitats ofereixen tots els tipus de certificats! Un certificat de representant d'una entitat sense anim de lucre s'ha de demanar a la FNMT per exemple.

Respecte a la categoria de certificats de servidors segurs, cal anar en compte amb el preu d'aquest tipus de certificats, que ja no són gratuïts.

Darrera modificació: dimarts, 5 de gener 2016, 15:00

Xarxa Punt TIC

General

Presentació del curs

Informació prèvia

Quatre consells pels debats virtuals

Tema 1

El concepte de seguretat

Els àmbits on és aplicable la seguretat

Les dimensions públic-privat

La família, l'empresa, l'escola, l'administració...

En resum...

Consells per a infants i joves, i per a les seves famílies

La campanya A Internet, posa-hi seny!

Consells per a persones adultes: ús intel·ligent de les TIC

Tema 2

La comunicació interpersonal o intergrupal

Recomanacions relatives a l'us del correu electrònic

Les eines de missatgeria instantània

Recomanacions relatives a l'us de les eines de xat

Els continguts a la xarxa

Recomanacions relacionades amb els continguts

Filtres de protecció en qüestions de navegació

Les eines 2.0. i les xarxes socials

Els espais lúdics i de joc

La seguretat i la telefonia mòbil

Tema 3

E-govern i e-democràcia

Recurs: Guia d'usos i estil a les xarxes socials de la Generalitat de Catalunya

L'Administració electrònica

Exemple dins l'e-administració: EACAT

Banca en línia

Mesures de seguretat de la banca per Internet

Altres operacions i gestions telemàtiques

Recomanacions generals: introducció a la protecció de les dades personals

Recurs: vídeo sobre l'Agència Catalana de Protecció de Dades

El comerç electrònic

La botiga virtual

Formes de pagament en línia

Mesures i consells relacionats amb la banca i les compres en línia

Recurs Joves.cat: Guia per comprar per Internet

Recurs de VeriSign: Picar o no Picar?

La firma electrònica i el certificat digital

Elements i conceptes claus

Preparar l'ordinador i demanar un certificat

L'ús pràctic de certificats digitals!

Manuals CATCert

Tema 4

Protegim el nostre equip informàtic

Equips informàtics

Suports d'emmagatzematge de la informació

Sistemes informàtics

Components de xarxa

Topologia de xarxes locals

Canals de comunicació: com ens connectem a Internet

Les amenaces informàtiques: tinc un virus?

Virus i cucs: malware infecciós

Malware que s'amaga: troians, rootkits i la porta del darrera.

Malware publicitari: amb l'objectiu de fer diners

També cal vigilar amb...

Mesures de protecció

Actualitzar sistema operatiu i programari

Antivirus

Tallafocs

Còpies de seguretat

Encriptació de dades

Tema 5

Context i precedents (Europa i Espanya)

La situació a Catalunya

Estudi sobre la seguretat de la informació a les llars i ciutadans 2010

El rol de Catalunya en matèria de seguretat

Pla nacional d'impuls de la seguretat de les TIC a Catalunya

Termes i especificacions a tenir en compte respecte de la protecció de dades

La Llei Orgànica de Protecció de Dades (LOPD)

Recomanació 1/2008 de l'APDCAT

Condicions generals de la difusió de dades per Internet

Definició: Propietat intel·lectual i mesures proposades

Qui és qui en matèria de propietat intel·lectual

Drets de la Propietat Intel·lectual

Més respostes sobre propietat intel·lectual

Els Creative Commons i les llicències de compartició