Seguridad en Comercio Electrnico e Implementacin de Certificados Digitales

Objetivos:

Qu es la Criptografa?

Qu es la Criptografa?
Criptografa = Cryptos (oculto) + Graphos (escritura)

Texto cifrado o
Mensaje OriginalLlave criptograma Llve Mensaje Original

Cmo, %&/* Cmo,

Encriptacin Desencriptacin
estas )-h@ estas

Algoritmo de encriptacin Algoritmo de encriptacin

+ llave secreta + llave secreta

Es la tcnica de transformar un mensaje inteligible (texto en claro), en un criptograma o texto

cifrado para lo cual se emplea un algoritmo matemtico y una llave o clave de cifrado.

Una llave puede ser una cadena de caracteres texto o una serie de dgitos hexadecimales. Cuanto
ms complicado sea el mecanismo de cifrado y cuanto ms larga sea la clave, ms difcil ser
romper el sistema y obtener el mensaje original para un extrao. Pero ms complicado ser
tambin para el destinatario del mensaje cifrado realizar las operaciones de descifrado y obtener
el mensaje original, por lo que se crea el dilema seguridad/tiempo.
Los sistemas criptograficos se basan en algoritmos matemticos y en el uso de llaves. Sin
embargo no debera ser de ninguna ayuda para un hacker conocer el algoritmo que se est usando,
slo si el atacante obtuviera la clave le servira conocer el algoritmo.

Objetivos de la criptografa
 Objetivos de la criptografa
Cumplen con los principios bsicos de la
seguridad:
Autentificacin
Control de Acceso
Privacidad
Integridad
No Repudiacin

La seguridad de informacin cubre los siguientes principios. La criptografa se usa para satisfacer
los principios bsicos de la seguridad:
Autentificacin: Garantizar que quien nos enva un mensaje a travs de la red sea quien
realmente dice ser. Nos asegura que la informacin proviene del origen correcto. Validar
la identidad, de tal manera que una entidad pueda estar segura que la otra entidad es
quien dice ser.
Este problema es fundamental en aplicaciones e-commerce, donde los clientes quieren
asegurarse que el vendedor es quien dice ser, y en algunos casos tambin los vendedores
quieren asegurarse que el cliente sea quien dice ser.

Control de acceso: Validar el acceso a los recursos por parte de los usuarios mediante el
uso de contraseas o llaves.

Privacidad: Garantizar que los mensajes sean recibidos e interpretados unicamente por
los destinatarios. La informacin slo podr ser accesible nicamente por las entidades
autorizadas.

Integridad: Garantizar que el mensaje no haya sido modificado antes de llegar a su

destino. La integridad de datos asegura que los datos recibidos no han sido modificados
de ninguna manera.

No repudiacin: Garantizar que un mensaje acpetado no pueda ser rechazado. Ofrece

proteccin a un usuario frente a otro usuario que niegue posteriormente que realiz cierta
comunicacin, es decir que si el usuario A envi un documento al usuario B, el usuario A
no pueda negar que envi el documento o viceversa el usuario B no pueda negar que lo
recibi. Las firmas digitales permiten a los usuarios probar que el intercambio de
informacin realmente est ocurriendo.
.

Calidad o robustez de la encriptacin:

Depende de tres factores:
El algoritmo: Para lo cual existen algoritmos estandarizados y probados.
Privacidad de la llave: Que tan secreta es la llave. Es importante diferenciar entre el
algoritmo y la llave, el algoritmo no necesita ser secreto.
Longitud de la llave: es determinada en bits. Aadir un bit a la longitud de la llave
duplica el nmero de posibles llaves, lo cual es importante para que no se pueda adivinar
la llave. Hoy por hoy, los ordenadores pueden adivinar claves con extrema rapidez, El
nmero posible de combinaciones puede ser expresado como 2 n , donde n : longitud de
la llave.

Algoritmos de Encriptacin:

Clasificacin de los algoritmos (en funcin del tipo de claves):

Algoritmo Simtrico: Se utiliza una sla llave secreta para encriptar y desencriptar
mensajes.
Algoritmo Asimtrico: Se utilizan dos llaves, una llave pblica y otra privada.

Algoritmo Simtrico:

AlgoritmoSimtrico
1. PepequieredarleunmensajeaCarlos
2. Ambos compartenunamismallavesecreta
Pepe Carlos

Llave Llave
Textoplano secreta
ta
Textocifrado secreta
ta Textoplano

Cmo, % &/* Cmo,

ests )-h@ ests
Encriptacin Desencriptacin

Algoritmo Algoritmo

Seutilizalamismallavesecretaparaencriptar ydesencriptar

Caractersticas:
 Se utiliza una sla llave secreta para encriptar y desencriptar mensajes.
Ambas partes tienen que confiar completamente y cada una debe tener la llave secreta.
Por lo tanto la distribucin o trasmisin de la llave es crucial y es a la vez la principal
debilidad. Si la llave es interceptada, la informacin confidencial ya no estara protegida.

Ventajas:
Rpido y sencillo.
Se puede encriptar gran cantidad de informacin en menos de un segundo.

Desventajas:
La trasmisin o distribucin de la llave. Cmo se comparte la misma llave para emisores
y destinatarios entonces debe existir un medio seguro para enviar y recuperar la llave.
Cmo obtener una copia de la llave.

Aplicacin del algoritmo simtrico:

Encriptacin
Autenticacin

Ejemplo: Mecanismo de autenticacin con el uso de SmartCards en aplicaciones por Internet.

Gemplus, fabricante de SmartCards provee una serie de aplicaciones para tarjeta inteligente
que permiten la autenticacin del usuario y de la tarjeta usando algoritmos simtricos y
asimtricos.

Problemtica del algoritmo simtrico:

Si el medio de trasmisin de la llave es internet que es un medio pblico entonces como protego
a la llave?? qu canal de comunicacin que sea seguro han usado para comunicar la llave
entre ellos? Sera mucho ms fcil para un atacante intentar interceptar una clave que probar las
posibles combinaciones del espacio de clavesl
Si se vuelve a encriptar la llave entonces como protego la llave de la nueva enriptacin?? Una
solucin podra ser enriptacin asimtrica!!

Ejemplos de algoritmos simtricos:

DES (Data Encryption Standard)
Triple DES
Algoritmos RSA (RC2, RC4, RC5, RC6)
IDEA (International Data Encryption Algorithm)
MARS
Blowfish and Twofish
Rijndael and Serpent
AES (Advanced Encryption Standard)

DES(Data Encryption Standard):

Se basa en un sistema monoalfabtico, con un algoritmo de cifrado consistente en la aplicacin
sucesiva de varias permutaciones y sustituciones.
Proceso del DES: El texto en claro se somete a una permutacin, con bloque de entrada de 64
bits. Luego es sometido a la accin de dos funciones principales, una funcin de permutacin con
entrada de 8 bits y otra de sustitucin con entrada de 5 bits, en un proceso que consta de 16 etapas
de cifrado.
DES utiliza una llave simtrica de 56 bits, por lo tanto el total de llaves posibles sera de: 2 56
aproximadamente 72,000,000,000,000,000 claves posibles, es decir, unos 72,000 billones de
claves.
Actualmente DES ya no es estndar y fu roto en Enero de 1999 con un poder de cmputo que
efectuaba aproximadamente 250 mil millones de ensayos en un segundo.

Triple DES:
Para solucionar el problema de la corta longitud de la llave se cre 3DES basado en tres
iteraciones sucesivas del algoritmo DES con lo que se consigue una longitud de llave de 168 bits.
Aqu la descripcin del proceso:
Se aplica al documento a cifrar un primer cifrado mediante la llave A.
Al resultado(denominado ANTIDES) se le aplica un segundo cifrado con la segunda llave
B.
Y al resultado se le vuelve a aplicar un tercer cifrado con la primera llave, A.
Algoritmos simtricos creados por RSA:
El algoritmo de clave pblica RSA fue creado en 1977 por Rivest, Shamir y Adlman. Desde ese
entonces han inventado una serie de algoritmos. Los algoritmos RSA son usados en sistemas
operativos y aplicaciones como Windows y Netscape Navigator.
Es un mtodo pblico de cifrado basado en la dificultad de factorizar nmeros grandes. Nota:
RSA tambin es concoido por su algoritmo de encriptacin asimtrica llamado RSA, no
confundir los los algoritmos simtricos creados por RSA(p.e.: RC2 y RC4) con el algoritmo
asimtrico llamado RSA.
RC2 y RC4 son algoritmos de llaves simtricas. Usan longitudes variables de llaves de hasta 128
bits.
Algoritmo Asimtrico:

Algoritmo Asimtrico
2 llaves matemticamente relacionadas
Llave
Privada
Llave 1 Texto cifrado Llave 2 Texto plano
Texto plano
%&/* Cmo,
Cmo,
ests
ests )-h@
Encriptacin Desencriptacin

Lo que se encripta con la llave 1 slo se puede desencriptar

con la llave 2.
A partir de la llave 1 no es posible obtener la llave 2.
A cada participante se le genera un par de llaves:
- una Llave Privada de uso exclusivo
- una Llave Pblica a disposicin de todos.

Caractersticas:
No se comparte el secreto.
Una pareja de llaves creadas al mismo tiempo.
o Relacionadas matemticamente.
o Se utilizan nmero primos muy grandes.
o Muy difcil determinar el valor de una a partir de la otra.
Ms lenta debido a los clculos requeridos.

Con este algoritmo se soluciona el problema de la distribucin de la llave, al usar un par de llaves
en el proceso de encriptacin. La pareja de llaves est matemticamente relacionada, lo que una
llave A encripta la otra llave B desencripta; y lo que la llave B encripta, la llave A desencripta.
A la encriptacin asimtrica tambin se le suele llamar encriptacin de llave pblica.

Ventajas:
Es ms seguro que el simtrico.
Se resuelve el problema de la distribucin de la llave.

Desventajas:
Es ms lento debido a los clculos matemticos intensivos que el programa requiere.
Qu se puede hacer con este par de llaves?
- Encriptar
- Firmar

Encriptar

Qusepuedehacer coneste
par dellaves? (1)
Encriptar: PepequiereenviarleunmensajeaCarlos
Llave Llave
Pblica Privada
Carlos Carlos

Pepe Carlos

LlavepblicadeCarlos LlaveprivadadeCarlos

Textoplano Textocifrado Textoplano

% &/* Cmo,
Cmo,
ests
ests Encriptacin )-h@ Desencriptacin

Las dos llaves pertenecen a la misma persona a la que se la ha envado el mensaje. Una llave es
pblica y se le puede entregar a cualquier persona, la otra llave es privada y el destinatario debe
guardarla para que nadie tenga acceso a ella. El remitente usa la llave pblica del destinatario
para cifrar el mensaje, y una vez cifrado, slo la llave del destinatario podr descifrar el mensaje.

Ejemplos:
- Enviar informacin segura por Internet.
- Envo de emails encriptados.
Aplicacin de la encriptacin:
El proceso ms seguro de encriptacin es el que usa una combinacin de la encriptacin
simtrica, asimtrica y algoritmos hash.
Aplicaciones como ISS, Netscape Suite Spot, Pretty Goodo Privay (PCP), Exchange Server y
Windows NT y protocolos como S-MIME, SSL, HTTPS usan esta combinacin.
Firmar

Qusepuedehacer coneste
par dellaves? (2)
Firmar: Pepequierefirmar undocumento
Llave Llave
Pblica Privada
Pepe Pepe

Pepe Carlos

Llavepriv
rivadadePepe LlavepblicadePepe

Textoplano Textocifrado Textoplano

% &/* Cmo,
Cmo,
ests
ests Encriptacin )-h@ Desencriptacin

Aplicacin del Algoritmo Asimtrico:

Autenticacin(Validad la identidad):
Pepe quiere autenticar a Carlos, Carlos tiene el par de llaves
Pepe enva un nmero aleatorio a Carlos
Pepe (RND) Carlos
Carlos (Llave Privada + RND)=CR Pepe
Pepe desencripta el mensaje con la llave pblica y el resultado lo compara con el nmero
aleatorio. Si son iguales Pepe sabe que est hablando con Carlos.

Ejemplo: Criptografa de llave pblica RSA

Certificado Personal
Un certificado personal puede ser usado para dos propsitos:
Autenticacin del cliente
Firmar y encriptar correo electrnico

Algunos sites requieren autenticacin del cliente con un certificado personal antes de poder ser
accesados. Este tipo de autenticacin es ms confiable que el clsico login con nombre de usuario
y password por las siguientes razones:
Un certificado robado es inutilizable sin la llave privada, mientras que cualquier persona
que obtenga el nombre usuario y password puede ingresar al site.
Un certificado no requiere que el usuario recuerde su nombre de usuario y password.
Un certificado definitivamente asocia a un usuario con sus transacciones, con lo cual
evitamos la no-repudiacin.

Cuando accesamos a un site que requiere autenticacin del cliente, el browser enva el certificado
al servidor web permitindole verificar nuestra identidad.

Se puede usar certificados personales en nuestros programas de correo electrnico para firmar un
mensaje, permitindole al destinatario verificar que el mensaje que ha sido envado no ha sido
modificado en el camino. Cuando uno firma un mensaje se agrega un attachment que contiene la
firma electrnica del contenido y el certificado. Este attachmente es verficado por el destinatario.
El proceso de verificacin es generalmente realizado por el programa de correo electrnico.

Client Certificate Mapping

Cmo habilitar el IIS para autenticar al usuario, y poder chequear el contenido del certificado
personal enviado por el browser durante el proceso de logon?
IIS tiene una opcin de client certificate mapping que autentica a los usuarios que se logean con
un certificado personal, sin requerir del uso de basic Authentication o Challenge Response.
El mapping relaciona el contenido del certificado de cliente a una cuenta de Windows que define
los permisos y las polticas de acceso del usuario
El IIS puede ser configurado para ignorar, aceptar o requerir certificados personales cuando un
cliente hace un request y se encuentra habilitado SSL.
Estas son las opciones de las IIS:
Ignore certificates: El IIS no usa certificados personales para autenticar al usuario.
Accept certificates: Si el cliente enva un certificado, IIS usar la informacin contenida
en el certificado para autenticar al usuario. Sino se enva certificado, el IIS usar
cualquier otro mtodo como Challenge Response.
Requiere certificates: IIS slo aceptar certificados personales vlidos.

Existen dos mtodos que el IIS usa para mapear certificados de cliente a las cuentas:
One-to-one:
o Mapea un certificado personal a una sla cuenta especfica de Windows.
o El servidor necesita tener una copia del certificado personal debido a que
compara la copia del certificado con el certificado envado por el cliente. Los dos
certificados deben ser idnticos para que el mapping proceda.
o Cuando un usuario obtiene un nuevo certificado, el antiguo mapping ya no
funcionar y se tendr que crear un nuevo mapping para el nuevo certificado,
esto porque el servidor necesita tener una copia del certificado personal.
 Many-to-one:
o Mapea mltipes certificados a una sla cuenta de Windows.
o Uno puede definir reglas con wildcards como aceptar slo los certificados de
una determinada Autoridad Certificadora (CA), o slo aceptar certificados de
un usuario en particular. De esta manera facilmente se pueden mapear muchos
certificados a una cuenta.
o No se requiere una copia del certificado en el servidor, acepta todos los
certificados de cliente que cunplan con la regla.
o Si el usuario obtiene un nuevo certificado, el mapping automticamente lo
aceptar.

Qu debemos setear en el IIS 5.0 para usar certificados personales?

1. Abrir Internet Services Manager, en el web site al cual deseamos aplicarle cerficate
mapping, hacer click derecho y seleccionar Properties.

2. Seleccionar el tab de Directory Security y hacer click en Edit dentro del marco Secure
communications.

3. Seleccionar el check box: Require secure channel (SSL) . Seleccionar el radio button:
Require client certificates y luego seleccionar el check box Enable cliente certificate
mapping.
4. Hacer click en el botn Edit. Ahora debemos escoger si es que queremos mapear
certificados 1-to-1 o definir una regla que nos permitar mapear muchos certificados a una
sla cuenta de usuario.
5. Seleccionar el tab 1-to-1 y hacer click en Add. Escribir el nombre del archivo del
certificado de usuario que se desea mapear a la cuenta de Windows. Luego seleccionar la
cuenta de usuario y el password.

6. Hacer click en Ok para aplicar los cambios.

Si deseas aplicar many-to-one certificate mapping, debes realizar los pasos del 1 al 4 luego
continuar con los siguientes:

1. Seleccionar el tab Many-to-1.

2. Hacer click en el botn Add, ingresar el nombre de la regla y aprecer la ventana de
reglas.
3. Hacer click en el botn New.de la ventana Rules y aprecer la siguiente ventana:

4. Ingresar el nombre de la regla.

5. En esta ventana debes definir las regla . Puedes definir tantos campos como sean
necesarios con el botn New.
6. En este ejemplo la regla especifica que el common name (CN) del emisor del certificado
debe ser Verisign. Tambin se pueden usar wildcards en el campo Criteria. Hacer click en
OK.
7. Aparecer una ventana con dos opciones en caso el certificado envado por el cliente
cumpla con la regla: (Seleccionar la opcin segn sea el caso)
a. Aceptar el certificado para autenticacin en el logon.
b. Rechazar el acceso.
Usando un Certificado Personal:
1. Para certificados personales no se necesita generar explicitamente una llave pblica y
privada, stas son generadas por el browser durante el request. El primer paso es accesar
al web site del CA y submitir el certificate request llenando el formulario con los datos de
nombre, direccin, fecha de nacimiento, email,...Cuando se sumite la data al CA, el
control ActiveX Xenroll.dll genera el par de llaves y el CSR y almacena la llave privada
en el registry.
2. Despus que el request ha sido envado al CA, debemos esperar que termine el proceso
de verificacin. La direccin de correo se verificar debido a que el CA nos enviar
instruccin instrucciones para instalar el certificado.
3. En el paso final, uno debe instalar el certificado en el browser y/o en el programa de
correo que se use para la autenticacin del cliente y encriptacin del mensaje. El
procedimiento de instalacin depende del programa de correos o del browser.

Certificados y ASP:
Al habilitar client certificate mapping en el IIS se pueden usar certificados personales. Sin
embargo en algunos casos donde queramos definir reglas con criterios ms complejos podemos
hacerlo de una manera programtica con ASP y la coleccin ClientCertificate.
La coleccin ClientCertificate recupera los campos de certificacin de una solicitud emitida por
un Web Browser.
Antes de usar la coleccin ClientCertificate, se debe configurar el IIS (Client Certificate
Mapping) para que requiera certificados del cliente.

Cmo accesamos al contenido de los campos de un certificado del cliente?

Con la coleccin Request.ClientCertificate.
Sintaxis:
Request.Client.Certificate(Key[subfield])
Parmetros:
La key o clave especifica el nombre del campo del certificado a recuperar. Estos son los campos:
Subfield o el subcampo es un parmetro opcional que se usa para recuperar un campo individual
de las llaves Subject o Issuer.

Key Significado
Certificate Una cadena que contiene la tira binaria de todo el certificado
Flags Un conjunto de flags que proveen informacin adicional del certificado de
cliente.
Issuer Cadena que contiene los valores de la lista de subcampos conteniendo
informacin acerca del emisor del certificado. Si este valor es especificado si un
subcampo, la coleccin ClientCertificate retorna una lista de subcampos
separados por comas. P.e.: C=US, O=Versign.
SerialNumber Una cadena que contiene el nmero de serie del certificado.
Subject Una cadena que contiene informacin acerca del usuario del cerificado. Si este
valor es especificado si un subcampo, la coleccin ClientCertificate retorna una
lista de subcampos separados por comas. P.e.: OU=Gerencia Adm., S=Lima
ValidFrom Una fecha que indica cuando el certificado comienza a ser vlido.
ValidUntil Una fecha que indica cuando el certificado expira.

Las llaves Subject e Issuer presentan informacin estrucutrada en subcampos. Los campos son los
siguientes:
Subfield Significado

C Identificador del pas de origen.

CN Common name

GN Given name

I Conjunto de iniciales.

L Localidad.

O Compaa o nombre de la organizacin.

OU Nombre de la unidad organizacional.

S Estado o provincia.

T Ttulo de la persona u organizacin.

Ejemplos:

El siguiente ejemplo usa la llave Subject para verificar si un certificado de cliente ha sido
envado.
<%
If Len(Request.ClientCertificate("Subject")) = 0
Response.Write("No client certificate was presented")
End if
%>

El siguiente ejemplo recupera el common name la Autoridad Certificadora (CA) que emiti el
certificado de cliente.
<%= Request.ClientCertificate("IssuerCN") %>

El siguiente ejemplo verifica el nombre de la organizacin de la llave Subject del certificado de

cliente.
<%
If (Request.ClientCertificate("Subject")="Msft")
Response.Write("Good Choice!")
End if
%>

El siguiente ejemplo muestra la la fecha de expiracin del certificado de cliente.

Este certificado expirar en:
<%= Request.ClientCertificate("ValidUntil") %>
El siguiente ejemplo usa la llave Flags para verificar si el emisor del certificado es conocido.
<!--#include file="cervbs.inc" -->
<%
If Request.ClientCertificate("Flags") and ceUnrecognizedIssuer then
Response.Write "Unrecognized issuer"
End If
%>

Encriptacin de la informacin entre el Browser y el Servidor Web:

La manera para trasmitir informacin encriptada entre el Browser y el Servidor Web se obtiene a
travs de dos protocolos:
Hypertext Transfer Protocol Secure (HTTPS)
Secure Sockets Layer (SSL).
Ambos protocolos son soportados por la mayora de browsers incluyendo Internet Explorer y
Netscape y usan encriptacin simtrica, asimtrica y el algoritmo hash (one way encription) para
la encriptacin. La encriptacin asimtrica se usa para intercambiar la llave simtrica y el
algoritmo hash para firmar los paquetes de datos.
Cuando nos conectamos a un web site que usa SSL para la encriptacin, slo el servidor web
tiene el certificado digital. Por lo cual el servidor Web es autenticado y no el browser.

HTTP Seguro (HTTPS):

Es el protocolo HTTP sobre un protocolo de transporte seguro que puede ser SSL (o TLS).
Al usar HTTPS en vez de HTTP en la URL el request se redirecciona a un puerto seguro del
servidor web (por default 443) en vez del puerto 80, la sesin es luego manejada por un protocolo
seguro.
La informacin se encripta en el browser y se desencriptan en el servidor web.
HTTPS usa la encriptacin asimtrica para proteger la llave simtrica.

Secure Sockets Layer (SSL):

Es un protocolo de transporte de capa intermedia que puede estar debajo de HTTP, FTP, NNTP,
Telnet y sobre TCP/IP

Eee HTTP, FTP, TELNET, NNTP

SSL
TCP/IP

EL protocolo SSL provee encriptacin, autenticacin del servidor, integridad del mensaje.
El protocolo SSL provee una conexin segura que tiene tres propiedades bsicas:
1. La conexin es privada. La encriptacin es usada despus de un handshake para definir
una llave secreta. La data es encriptada usando la llave secreta y un algoritmo simtrico
como DES, RC4,..
2. La identidad del par es autenticada usando encriptacin asimtrica.
3. Se usan funciones Hash para asegurar la integridad de la data.
Pasos del SSL:
Para establecer una comunicacin segura utilizando SSL se tienen que seguir una serie de pasos.
Primero se debe hacer una solicitud de seguridad. Despus se realiza el protocolo SSL Handshake
donde se establecen los parmetros que se utilizarn para SSL.

1. Solicitud de SSL:
El web browser establece una comunicacin segura con el servidor web usando el protocolo
HTTPS.
Una vez que se ha hecho la solicitud, el cliente y el servidor empiezan a negociar la conexin
SSL, es decir hacen el SSL Handshake.

2. SSL Handshake:

SSL Handshake:

Durante el hanshake se cumplen varios propsitos. Se hace autenticacin del servidor y

opcionalmente del cliente, se determina que algoritmos de criptografa sern utilizados y
se genera una llave secreta para ser utilizada durante el intercambio de mensajes
subsiguientes durante la comunicacin SSL.

Los pasos que se siguen son los siguientes:

Client Hello : El "saludo de cliente" tiene por objetivo informar al servidor que
algoritmos de criptografa puede utilizar y solicita una verificacin de la identidad del
servidor. El cliente enva el conjunto de algoritmos de criptografa y compresin que
soporta y un nmero aleatorio.. El propsito del nmero aleatorio es para que en caso de
que el servidor no posea un certificado para comprobar su identidad, an se pueda
establecer una comunicacin segura utilizando un conjunto distinto de algoritmos. Dentro
de los protocolos de criptografa hay un protocolo de intercambio de llave que define
como cliente y servidor van a intercambiar la informacin, los algoritmos de llave secreta
que definen que mtodos pueden utilizar y un algoritmo de hash de una sola va. Hasta
ahora no se ha intercambiado informacin secreta, solo una lista de opciones.

Server Hello : El servidor responde enviando su identificador digital el cual incluye su

llave pblica, el conjunto de algoritmos criptogrficos y de compresin y otro nmero
aleatorio. La decisin de que algortmos sern utilizados est basada en el ms fuerte que
tanto cliente como servidor soporten. En algunas situaciones el servidor tambin puede
solicitar al cliente que se identifique solicitando un identificador digital.

Aprobacin del Cliente: El cliente verifica la validez del identificador digital o certificado
enviado por el servidor. Esto se lleva a cabo desencriptando el certificado utilizando la
llave pblica del emisor y determinando si este proviene de una entidad certificadora de
confianza. Despus se hace una serie de verificaciones sobre el certificado, tales como
fecha, URL del servidor, etc. Una vez se ha verificado la autenticidad de la identidad del
servidor. El cliente genera una llave aleatoria y la encripta utilizando la llave pblica del
servidor y el algortmo criptogrfico y de compresin seleccionado anteriormente. Esta
llave se le enva al servidor y en caso de que el handshake tenga xito ser utilizada en el
envo de futuros mensajes durante la sesin.
 Verificacin: En este punto ambas partes conocen la llave secreta, el cliente por que la
gener y el servidor por que le fu enviada utilizando su llave pblica, siendo la nica
forma posible de desencriptarla utilizando la llave privada del servidor. Se hace una
ltima verificacin para comprobar si la informacin transmitida hasta el momento no ha
sido alterada. Ambas partes se envan una copia de las anteriores transacciones encriptada
con la llave secreta. Si ambas partes confirman la validez de las transacciones, el
handshake se completa, de otra forma se reinicia el proceso.

Ahora ambas partes estn listas para intercambiar informacin de manera segura
utilizando la llave secreta acordada y los algoritmos criptogrficos y de compresin. El
handshake se realiza solo una vez y se utiliza una llave secreta por sesin.

Intercambio de datos:

Ahora que se ha establecido un canal de transmisin seguro SSL, es posible el

intercambio de datos. Cuando el servidor o el cliente desea enviar un mensaje al otro, se
genera un digest (utilizando un algoritmo de hash de una va acordado durante el
handshake), encriptan el mensaje y el digest y se enva, cada mensaje es verificado
utilizando el digest.

Terminacin de una sesin SSL:

Cuando el cliente deja una sesin SSL, generalmente la aplicacin presenta un mensaje
advirtiendo que la comunicacin no es segura y confirma que el cliente efectiva,mente
desea abandonar la sesin SSL.

4. Transport Layer Security (TLS):

Protocolo seguro resultado de la combinacin de SSL y otros protocolos.
Se convertir en el protocolo estndar reesmplazando a SSL.
Es compatible con SSL y usa la encriptacin 3DES.

Public Key Infrastructure (PKI)

Para poder aplicar la encriptacin asimtrica al comercio electrnico se requiere:
Definicin de las polticas que determinarn la operativa de la encriptacin asimtrica.
Productos que generen, almacenen y administren las llaves.
Procedimientos que determinen cmo las llaves y los certificados deben ser generados,
distribudos y usados.

En resumen se requiere de una infraestructura!!!

PKI provee el marco de trabajo que combina polticas, componentes, aplicaciones y prcticas
para asegurar el cumplimiento de la privacidad, integridad, autenticacin y no repudiacin.
Son servidores repositorios de administracin de llaves pblicas, certificados y firmas digitales.
Permiten la generacin y revocacin de llaves y certificados.

Firmas Digitales:
Algoritmo Hash:

Se usa para aseguridad la integridad de la data: Firmar una documento. Las firmas digitales se
implementan al aplicar al texto un algoritmo de encripcin, el resutlado ser un valor hash.

Caractersticas:

Se usa para las firmas digitales (verificar si la data ha sido modificada en el camino).
Se utilizan digest de 128 bits o 160 bits.
El contenido no necesariamente est encriptado, normalmente se encripta el digest.
El digest es la firma digital que le pone la persona.

Firma Digital:
Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la
identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje est
encriptado, es decir, que este no pueda ser ledo por otras personas; al igual que cuando se firma
un documento hologrficamente este puede ser visto por otras personas.
El procedimiento utilizado para firmar digitalmente un mensaje es el siguiente: el firmante genera
mediante una funcin matemtica una huella digital del mensaje. Esta huella digital se encripta
con la clave privada del firmante, y el resultado es lo que se denomina firma digital la cual se
enviar adjunta al mensaje original. De esta manera el firmante va a estar adjuntando al
documento una marca que es nica para ese documento y que slo l es capaz de producir.
El receptor del mensaje podr comprobar que el mensaje no fue modificado desde su creacin y
que el firmante es quin dice serlo a travs del siguiente procedimiento: en primer trmino
generar la huella digital del mensaje recibido, luego desencriptar la firma digital del mensaje
utilizando la clave pblica del firmante y obtendr de esa forma la huella digital del mensaje
original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el
firmante es quien dice serlo.
 Firma Digital:
Cliente Servidor

Mensaje
Mensaje

Funcin
Funcin Mensaje HASH
HASH
Apendice Llave
Publica
Digest
Llave
Privada
Cifrado
Descrifrar

Apendice Digest
Digest

Problemtica de la distribucin de la llave pblica. Qu pasa si un impostor me da su llave

pblica?
SET:
SSL deja lado demasiados aspectos para considerarse como una solucin definitiva:
SSL slo protege transacciones entre dos puntos(el servidor web comercial y el browser
del comprador). Sin embargo, una operacin de pago con tarjeta de crdito involucra
como mnimo tres partes: el consumidor, el comerciante y el emisor de tarjetas.
No protege al comprador del riesgo que un comerciante deshonesto utilice ilcitamente su
tarjeta.
Los comerciantes corren el riesgo de que el nmero de tarjeta de un cliente sea
fraudulento o que esta no haya sido aprobada.

Son demasiados problemas e incertidumbres como para dejar las cosas como estn. Se haca
necesaria la existencia de un protocolo especfico para el pago, que superase todos los
inconvenientes y limitaciones anteriores, motivo por el que se cre el SET.

Secure Electronic Transaction (SET):

Fue desarrollado en 1995 por Visa y MasterCard con la colaboracin de Microsoft, IBM y
Netscape. La gran ventaja de este protocolo es que ofrece autenticacin de todas las partes
implicadas (el cliente, el comerciante y los bancos, emisor o adquiriente); confidencialidad e
integridad, gracias a tcnicas criptogrficas robustas, que impiden que el comerciante acceda
a la informacin de pago (eliminando as su potencial de fraude) y que el banco acceda a la
informacin de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo
gestin del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran
importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de
pagos, anulaciones, etc.

Entonces, si todo son alabanzas, ventajas y puntos fuertes, por qu SET no termina de
implantarse? Por qu no goza de la popularidad de SSL, si se supone mejor adaptado? En
primer lugar, su despliegue est siendo muy lento. Exige software especial, tanto para el
comprador (aplicacin de monedero electrnico) como para el comerciante (aplicacin POST
o terminal de punto de venta), que se est desarrollando con lentitud. En segundo lugar,
aunque varios productos cumplan con el estndar SET, esto no significa necesariamente que
sean compatibles. Este es un problema que exige mayores esfuerzos de coordinacin y ms
pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos fuertes son tambin
su taln de Aquiles: la autenticacin de todas las partes exige rgidas jerarquas de
certificacin, ya que tanto los clientes como comerciantes deben adquirir certificados
distintos para cada tipo de tarjeta de crdito, trmites que resultan engorrosos, cuando no
esotricos, para la mayora de los usuarios.

En definitiva, SET es un elefante de gran tamao y fuerza, pero de movimientos

extraordinariamente pesados. SSL es una liebre que le ha tomado la delantera hace aos. No
es tan perfecto, no ofrece su seguridad ni sus garantas, pero funciona. Y lo que es ms: el
usuario de a pie no tiene que hacer nada! Entretanto, mientras SET llega a la meta o muere
por el camino, eso s, no olvide pagar todas sus compras usando SSL.
Certificate Server / Certificate Services:

Microsoft Certificate Server (NT 4.0) Certificate Services (W2K) provee servicios para la
administracin (emisin, renovacin y revocacin) de certificados digitales.
Con Certificate Services nos convertimos en una autoridad certificadora(CA), ya no
dependemos de una autoridad certificadora externa, es decir recibimos la solicitudes de
certificados, verificamos la informacin del solicitante y su identidad, emitimos el
certificado, revocamos el certificado y publicamos una lista de certificados revocados(CLR).

Certificate Server est diseado para aplicaciones web que requieren autenticacin y
comunicaciones seguras basadas en el protocolo SSL. Certificate Server tambin soporta
otras aplicaciones basadas en certificados como Secure/Multipurpose Internet Mail
Extensions (S/MIME), pagos seguros como Secure Electronic Transactions(SET) y firmas
digitales como Microsoft Authenticode. En el caso de SSL, una organizacin puede usar
Certificate Server o Certificate Services para emitir certificados del servidor y del cliente
usando el estndar X.509.

En trminos generales, el rol del Certificate Server es recibir una solicitud PKCS #10 (Public
Key Cryptography Standard), verificar la informacin de la solicitud y emitir el
correspondiente certificado X.509 con el par de llaves y en un formato PKCS #7.

Dnde se puede usar Certificate Services?

Aplicaciones que requieran autenticacin y comunicaciones seguras con el
protocolo SSL.
Firma de mensajes de correo electrnico usando el protoco S/MIME.
Firmas electrnicas con Microsoft Authenticode.

Nota: Las tres trabajan con certificados con formato X.509.

Caractersticas del Certificate Server:

Independencia de las polticas:

Las funcionalidad del Certificate Server es completemente independiente de las polticas que
definamos para la emisin de certificados. Por ejemplo, un poltica puede ser identificacin
personal del solicitante, o procesar solicitudes a trves de correo, etc...

Adopcin de Estndares:
Acepta los estndares PKCS#10(Public Key Cryptography Standard) para las solicitudes y
emite certificados X.509 versin 3.0.
Certificate Services tambin puede trabajar con browsers y servidores web que no sean
Microsoft.

Independencia del Transporte:

Los certificados pueden ser solicitados y distribudos a travs de Hypertext Transfer Protocol
(HTTP), distributed component object model (DCOM), remote procedure call (RPC), archivo
en disco, etc...
Glosario de trminos:

Certificado Digital:

Llave Privada:

Llave Pblica:

Authenticode: (Mircrosoft Authenticode Tecnology).

Tecnologa que permite al usuario verificar antes de la descarga del software(control activex,
plug-in, applet) que su contenido no haya sido alterado. Para lo cual se usa certificado digital y
firma digital.
 Implementacin de Certificados Digitales

LABORATORIO No 1

Objetivo: Implementar un certificado digital de servidor en un web site.

Parte 1: Generar un Certificate Signing Request (CSR) en IIS 5.0.

Lo primero que tenemos que hacer para obtener un certificado del servidor es crear un archivo
Certificate Signing Request (CSR).

1. Abrir Internet Services Manager.

2. Escoger el site al cual le queremos implementar el certificado.

3. Click derecho al site y escoger propiedades.

4. Click a Directory Security tab.

5. Debajo de la seccin de Secure Communications, hacer click en Server Certificate.

6. Se inicia el Web Server Certificate Wizard.

7. Hacer Click en Next.

8. Seleccionar la opcin Create a New Certificate y hacer click en Next.

9. Seleccionar la opcin Prepare a New Request but Send it Later y hacer click en
Next.
NOTA : La opcin Send the request immediately to an online certification authority
aparece deshabilitada a menos que el IIS tenga acceso a un Enterprise CA, el cual debe
tener instalado Certificate Server 2.0 sobre Microsoft Windows 2000 con Active
Directory.

10. Escribir un nombre sencillo para el certificado (puede ser el nombre del site o el nombre
del propietario del certificado).

11. Escoger la longitud de la llave y hacer click en Next.

12. Ingresar el nombre de la Organizacin (O) y la Unidad Organizacional (OU).

13. Ingresar el Common Name (CN) para el site. Este nombre debe ser la URL del site por
ejemplo: www.cibertec.edu.pe y hacer click en Next.
NOTA: Si el site es intranet se puede ingresar el computer name del servidor.

14. Ingresar Pas /Regin /Ciudad /Estado y hacer click en Next. Es muy importante que no
se abrevie el nombre de la Ciudad o Estado.

15. Ingresar el nombre del certificate request file y hacer click en Next.
 Aparecer la siguiente ventana con los campos del certificado.

16. Hacer click en Next y ya se gener el CSR en la ruta especificada.

Conclusin: Hemos generado un archivo de solicitud Certificate Signing Request CSR- con
nuestros datos de identificacin y la url del site. Tambin se gener el par de llaves, sin embargo
slo la llave pblica es includa en el CSR y envada a la Autoridad Certificadora (CA).
El archivo CSR es un archivo ASCII que contiene la informacin del certificado en un formato
estndar conocido como PKCS #10.

El siguiente paso es enviar el archivo CSR a la CA escogida. El contenido de este archivo puede
ser envado por correo o mediante una pgina web de enrollment publicada por el CA.
El contenido de este archivo debe tener un formato similar a:

-----BEGIN NEW CERTIFICATE REQUEST-----
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-----END NEW CERTIFICATE REQUEST-
Parte 2: Enviar el certificado del servidor a una Autoridad Certificadora, en este caso a nuestro
servidor de certificados (Certificate Server).

1. Abrir Internet Explorer e ingresar la siguiente URL: http://<nombreservidor>/certsrv

2. Seleccionar la opcin Request a certificate y hacer click en Next.

3. Debajo de Choose Request Type , seleccionar Advanced Request, y hacer click en

Next.

4. El Certificate Wizard nos gener un CSR con el formato PKCS #10, por lo tanto se debe
seleccionar la opcin Submit a certificate request using a base64 encoded PKCS #10
file or a renewal request using a base64 encoded PKCS #7 file. Hacer click en Next.

5. The Web Site Certificate Wizard that generates your key request file uses the standard
PKCS #10 (Certificate Request file) format. Choose the Submit a certificate request
using a base64 encoded PKCS #10 file or a renewal request using a base64
encoded PKCS #7 file option, and then click Next .
6. En la siguiente pgina aparece el formulario para pegar el contenido de nuestro archivo
de texto CSR. Es importante no modificar el contenido del archivo!!!. Hacer click en
Submit.

7. Nuestra solicitud ha sido recibida por la Autoridad Certificadora.

Parte 3: Generar el certificado (firmado) con nuestro servidor de certificados (Certificate Server).

Primero es necesario aprobar el request, para lo cual se deben realizar los siguientes pasos:

1. En Administrative Tools abrir la consola de Certification Authority.

2. Expandir el nombre de nuestro certificate server.

3. Expandir la carpeta de Pending Requests.

4. Debe aparecer el certificado que envamos desde el browser. Hacer click derecho en el
certificado, seleccionar All Tasks, y luego hacer click en Issue (o Resubmit). El certificado
debe desaparecer de la lista y aparecer en la carpeta de Issued Certificates (certificados
emitidos).

El siguiente paso es recibir el certificado firmado, para lo cual se deben realizar los
siguientes pasos:

5. Abrir Internet Explorer e ingresar la siguiente URL: http://<nombreservidor>/certsrv

6. Escoger la opcin Check on a pending certificate y hacer click en Next.

7. Debe aparecer una lista de los certificados pendientes aprobados. Escoger el certificado que
aprobamos en los pasos anteriores y hacer click en Next.

8. La siguiente pantalla nos permite hacer un download del certificado. Guardar el archivo del
certificado en nuestra carpeta de trabajo.

NOTA: El contenido del certificado(llave pblica, fecha de expiracin, identidad,...) se

encuentra firmado por la CA, con su llave privada. El certificado es un archivo ASCII con el
formato estndar PKCS# 7.
Parte 4: Instalar el certificado del servidor en el site usando IIS 5.0

Despus de recibir el archivo de certificado del servidor procedemos a instalarlo en el web server.

NOTA: El archivo de respuesta contiene los datos de identificacin del servidor y la llave pblica
firmada por la CA.

1. Abrir Internet Services Manager.

2. Escoger el site al cual le queremos instalar el certificado.

3. Click derecho al site y escoger propiedades.

4. Click a Directory Security tab.

5. Debajo de la seccin de Secure Communications, hacer click en Server Certificate.

6. Se inicia el Web Server Certificate Wizard y hacer Click en Next.

7. Seleccionar Process the Pending Request and Install the Certificate y hacer Click en
Next.

8. Ingresar la ubicacin del certificado, y hacer click en Next.

9. Debe aparecer la siguiente ventana de confirmacin, verificar los datos del certificado y
hacer click en next.
 10. Deber aparecer una pantalla de confirmacin.

Parte 5: Configurar el puerto seguro 443 y SSL para el web site en el IIS.

Primero debemos configurar el puerto seguro 443:

1. Abrir Internet Services Manager.

2. Escoger el site al cual le queremos configurar SSL.

3. Click derecho al site y escoger propiedades.

4. Click derecho al site y escoger propiedades.

5. Escoger el tab de Web Site, y en la seccin de Web Site Identification escribir 443 en el
campo de SSL port.

6. Hacer click en Advanced. Deben aparecer dos campos: Multiple identities for this web
site y Multiple SSL identities for this web site. La direccin IP y el puerto del web site
deben estar listados en el campo Multiple identities for this web site. En el campo
Multiple SSL identities for this web site, verificar que aparezca la direccin IP del
servidor y el puerto seguro 443.
Luego debemos configurar SSL:

7. Hacer click en el tab Directory Security. En la seccin de Secure Communications,

hacer click en Edit (que ahora si se encuentre habilitado).

8. Seleccionar el check box Require Secure Channel (SSL) y hacer click en Ok.

Ahora si podemos ingresar al site seguro:

Primero probemos con la direccin: http://localhost:<puerto>/<pgina>

Deber aparecer el mensaje:

The page must be viewed over a secure channel

The page you are trying to view requires the use of "https" in the address.

Please try the following: Try again by typing https:// at the beginning of the
address you are attempting to reach. HTTP 403.4 - Forbidden: SSL required
Internet Information Services
Technical Information (for support personnel) Background: This error
indicates that the page you are trying to access is secured with Secure
Sockets Layer (SSL).

Cmo est configurado SSL slo podermos conectarnos con la direccin:

https://localhost:<puerto>/<pgina>
 LABORATORIO No 2

Objetivo: Implementar un certificado digital de cliente en un browser.

Parte 1: Solicitar el certificado a una Autoridad Certificadora, en este caso a nuestro servidor de
certificados: Certificate Server.

NOTA: Para un certificado personal no es necesario explcitamente generar el par de

llaves(privada y pblica), stas sern generadas por el browser durante la solicitud.

1. Abrir Internet Explorer e ingresar la siguiente URL: http://<nombreservidor>/certsrv

2. Escoger la opcin Request a certificate y hacer click en Next.

3. Seleccionar el radio button: User certificate request y el item Web Brower Certificate.

4. Ingresar los datos solicitados: Nombre, e-mail, Compaa, departamento, ciudad, estado,
pas. Hacer click en submit.

5. Aparece una pantalla de confirmacin de recepcin de la solicitud.

NOTA: En el momento que es enva la data un control activeX genera el par de llaves y el
CSR, la llave privada se almacena en el registry.
Parte 2: Generar el certificado (firmado) con nuestro servidor de certificados (Certificate Server).

Primero es necesario aprobar el request, para lo cual se deben realizar los siguientes pasos:

9. En Administrative Tools abrir la consola de Certification Authority.

10. Expandir el nombre de nuestro certificate server.

11. Expandir la carpeta de Pending Requests.

12. Debe aparecer el certificado que envamos desde el browser. Hacer click derecho en el
certificado, seleccionar All Tasks, y luego hacer click en Issue (o Resubmit). El certificado
debe desaparecer de la lista y aparecer en la carpeta de Issued Certificates (certificados
emitidos).

El siguiente paso es recibir el certificado firmado, para lo cual se deben realizar los
siguientes pasos:

13. Abrir Internet Explorer e ingresar la siguiente URL: http://<nombreservidor>/certsrv

14. Escoger la opcin Check on a pending certificate y hacer click en Next.

15. Debe aparecer una lista de los certificados pendientes aprobados. Escoger el certificado que
aprobamos en los pasos anteriores y hacer click en Next.
Parte 3: Instalarlo en el browser.
16. La siguiente pantalla nos permite realizar la instalacin del certificado en el browser. Hacer
click en Install this certificate. Luego aparecer una pgina de confirmacin.

17. Para verificar que se ha instalado correctamente el certificado, en el Internet Explorar

ingresar a la opcin de Tools/Internet Options. Escoger el tab de Content y dentro de la
seccin Certificates hacer click en el botn Certificates. Verificar en el tab Personal que
se encuentre instalado nuestro certificado personal.
Parte 4: Configurar Client Certificate Mapping en el IIS 5.0.

NOTA: Debemos escoger el mtodo de mapeo:

One-to-One: Mapea un certificado a un usuario
Many-to-One: Definir una regla que nos permitar mapear muchos certificados a una sla
cuenta de usuario (many-to-1).

*Estudiaremos ambos casos.

Mapeo One-to-One

Antes de proceder con el mapeo debemos exportar el certificado personal (del browser).

Exportar el Certificado en el Internet Explorer:

1. Iniciar el Internet Explorer, y hacer click en el men Tools/Internet Options.

2. Escoger el tab de Content y dentro de la seccin Certificates hacer click en el botn

Certificates. Luego escoger el tab Personal.

3. Seleccionar el certificado que desea exportar y hacer click en Export para iniciar el
Certificate Export Wizard.

4. Hacer click en Next

5. Seleccionar No, do not export the private key. Hacer click en Next.

6. Seleccionar Base-64 encoded X.509 (.CER) y hacer click en Next.

7. Ingresar la ubicacin donde se desea guardar el archivo de certificado y hacer click en

Save.

8. Hacer click en Next y luego Finish.

9. Deber aparecer una confirmacin, click en Close y luego Ok.

Qu debemos setear en el IIS 5.0 para validar certificados personales?

1. Abrir Internet Services Manager, en el web site al cual deseamos aplicarle cerficate
mapping, hacer click derecho y seleccionar Properties.

2. Seleccionar el tab de Directory Security y hacer click en Edit dentro del marco Secure
communications.

3. Seleccionar el check box: Require secure channel (SSL) . Seleccionar el radio button:
Require client certificates y luego seleccionar el check box: Enable client certificate
mapping.
4. Hacer click en el botn Edit y aparecer la siguiente pantalla:
4. Seleccionar el tab 1-to-1 y hacer click en Add. Escribir el nombre del archivo del
certificado de usuario que se desea mapear a la cuenta de Windows. Luego escribir la
cuenta de usuario y el password. Al final deber quedar la siguiente pantalla:

5. Hacer click en Ok para aplicar los cambios.

Mapeo Many-to-One

NOTA: Si deseas aplicar many-to-one certificate mapping, debes realizar los pasos del 1 al 4
luego continuar con los siguientes:

1. Seleccionar el tab Many-to-1.

2. Hacer click en el botn Add, en la ventana ingresar el nombre de la regla: Rule1 y hacer
click en Next . Luego aprecer la ventana de reglas.

3. Hacer click en el botn New de la ventana Rules y aparecer la siguiente ventana en la

cual debe definirse la regla. Puedes definir tantos campos como sean necesarios con el
botn New.
4. En este ejemplo la regla especifica que el common name (CN) del emisor del certificado
debe ser Verisign. Tambin se pueden usar wildcards en el campo Criteria. Hacer click en
OK.

5. Aparecer una ventana con dos opciones en caso el certificado envado por el cliente
cumpla con la regla: (Seleccionar la opcin segn sea el caso)
a. Aceptar el certificado para autenticacin en el logon.
b. Rechazar el acceso.
Preguntas:

1. Un certificado del servidor se asigna a:

a. Un site
b. Un directorio virtual
c. Un servidor
d. Un browser

2. Si tengo tres sites seguros en mi servidor web, cuntos certificados digitales como
mnimo se deben instalar si deseo minimizar costos?
a. Un certificado
b. Dos certificados
c. Tres certficados
d. Cuatro certificados

3. Cul de las siguientes funciones es falsa con respecto a un certificado digital?

a. Firmar emails
b. Enviar informacin encriptada
c. Verficar la identidad ante una computadora remota
d. Distribuir la llave privada del propietario
e. Firmar software
 f.
Bibliografa:

Network security and Firewalls CIW Security Professional Series.

Curso Internacional: Seguridad en Internet y Comercio Electrnico. Dr. Jordi Forn.