Your SlideShare is downloading. ×
Infraestructura PKI
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Infraestructura PKI

553
views

Published on

Actividad de Aprendizaje N° 4 …

Actividad de Aprendizaje N° 4
ESPE PAC
CINTHIA DUQUQ

Published in: Education

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
553
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
32
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 1 Infraestructura de clave pública (PKI) Cinthia Duque G.
  • 2. Infraestructura de Clave Pública (PKI) Certificados digitales (X509) Directorios de certificados (X.500, LDAP). Organización jerárquica. CA y RA Sistema sofware de administración de certificados: comprobación, generación y gestión de certificados. Protocolo para el intercambio seguro de información. Elementos
  • 3. Autentificación de usuarios No repudio Integridad de la información Auditabilidad Acuerdo de claves secretas Infraestructura de Clave Pública (PKI) OBJETIVOS
  • 4. PUBLICACIÓN Usuarios REPOSITORIO DE CERTIFICADOS y CRL‟s CERTIFICACIÓN PUBLICACIÓN Autoridad de CertificaciónAutoridad de Registro Autoridad de Validación CONFIRMACIÓN CONSULTA CERTIFICADO CRL VALIDACIÓN Componentes PKI
  • 5. CRIPTOSISTEMAS Sistema Cifrado Clásico Criptosistemas de clave privada o simétricos ƒ Ejemplos: DES, IDEA, RC2, RC4, 3DES, Blowfish, CAST, SAFER, AES Problemas: número y gestión de claves. Criptosistemas de clave pública o asimétricos. Clave privada Clave Pública Funciones resumen o hash Transforman mensajes de longitud arbitraria en mensajes de longitud fija.
  • 6. José María Dos entidades pueden intercambiar información secreta sobre un canal inseguro garantizando la confidencialidad, la integridad y el no repudio. Clave privada Clave pública
  • 7. Mediante cifrado asimétrico. Con funciones resumen. FIRMA ELECTRÓNICA
  • 8. Firma Electrónica procedimiento seguro trámite de contratos facturas organizaciones a autentifican transacciones. B2B B2C G2C G2B e-Procurement
  • 9. APLICACIONES DE NEGOCIO. Esta aplicación está dedicada a transacciones de Banca a Negocios, de Negocios entre Negocios (B2B), de Gobierno a Cliente (G2C), de Gobierno a Negocios (G2B) y de Negocios a Cliente (B2C).
  • 10. ¿QUÉ SE NECESITA PARA FIRMAR UN DOCUMENTO ELECTRONICO? • Una clave o llave privada (archivo electrónico con extensión KEY) y su respectiva contraseña de acceso. Un certificado digital (archivo electrónico con extensión CER) expedido por el organismo validador, que contiene la clave o llave pública del titular.
  • 11. Cualidades Es única por documento y signatario. Es posible conocer al autor. Es infalsificable. Es imposible de transferir a otro documento.
  • 12. CERTIFICADO ELECTRÓNICO garantizar la identidad de las partes: Cualquiera puede generar un par de claves y pretender que su clave pública es de un usuario X. certificación digital: Un tercero de confianza (Autoridad de Certificación, CA) asume la responsabilidad de autenticar la información de identidad que figura en el Certificado.
  • 13. Certificado X.509v3 • Nº de versión * Nº de serie • Nombre del emisor *‰ Nombre del sujeto • ‰ Periodo de validez *‰ Clave pública • ‰ Extensiones de certificado Tipos de Soporte • Fichero en disco duro • Fichero en diskette • Tarjeta TIBC • Tarjeta criptográfica • Token USB Tipos de Certificados • Personales • Servidor • Software • Entidad
  • 14. Versión del certificado Núm. de serie del certificado Algoritmo de firma del certif. Nombre X.500 del emisor Periodo de validez Nombre X.500 del sujeto Clave pública del sujeto Uso de la clave Uso de la clave mejorado Identificador claves CA Identificador claves usuario Punto de distribución CRLs Firma de la AC Certificados X.509v3 (ejemplo) Versión 3 Generado por la CA, único sha1withRSAEncryption c=ES, o=Empresa, cn= Autoridad de Certificación desde dd/mm/aa hasta dd‟/mm‟/aa‟ c=ES, o=Empresa, cn=José Pérez AC:46:90:6D:F9:..... Firma digital, cifrado de clave Autenticación en W2000 Identifica el par de claves utilizado para firmar el certificado Identifica el par de claves asociado a la clave pub. en el certif. HTTP://servidor/ruta/nombre.crl (publicación en web) Firma del certificado por la CA
  • 15. •Inicio de su vigencia Emisión •Finalización del periodo de validez •Renovación del certificado Expiración de Certificados • La clave privada asociada al certificado se ha visto comprometida • Cambio de datos asociados al certificado • CRLs: Listas firmadas por la CA incluyendo referencias a certificados revocados por ella. Renovación de certificados • Revocación temporal • Mismas actuaciones que revocación, salvo que es reversible. Suspensión de certificados ESTADO DE LOS CERTIFICADOS ELECTRONICOS
  • 16. • Adecuados para el uso de la firma electrónica • Para especificar cómo deben generarse, distribuirse y utilizarse las claves y los certificados • Para definir las reglas bajo las cuales deben operar los sistemas criptográficos • Titulares de certificados y utilizadores Personas Políticas de Seguridad Marco LegalProcedimientos Arquitecturas Certificación
  • 17. EJEMPLO DE FUNCIONAMIENTO DE UNA PKI Aplicaciones y otros usuarios Directorio 4. Se hace una petición de certificado a la CA 5. CA firma la petición válida 6. …y envia el certificado a la RA 9. El certificado es además publicado en un Directorio Las aplicaciones que utilizan los certificados pueden: ƒ Extraer informaciones del certificado ƒ Verificar posible revocación ƒ Comprobar validez del certificado ƒ Comprobar firmas ƒ Descifrar datos 7. La RA entrega entonces el certificado firmado al usuario 8. El certificado ha sido ya emitido 2. El sistema de Registro inicia la captura la información de registro y activa generación claves 3. Devuelve la clave pública y la información de registro a la RA 1. Un nuevo usuario se registra para obtener un certificado Las relaciones de confianza entre titulares de certificados existen por la confianza en la Autoridad de Certificación: un "Tercero de Confianza"
  • 18. Cifrado individual Los certificados electrónicos con el „key usage‟ de „Data Encipherment‟ permiten el cifrado de información. Cifrado para grupos Existen soluciones orientadas al cifrado para grupos (o cifrado departamental). „ „ El uso habitual de estos certificados es el cifrado de las comunicaciones con un tercero, por ejemplo cifrar un correo electrónico, así como el cifrado individual de archivos propios. Problemas: ¾ Necesidad de un archivo de claves. ¾ No es operativo para compartir información cifrada entre más de dos personas. „ „ „ CIFRADO La solución ha de gestionar la caducidad de las claves y el que más de una persona pueda acceder a la información cifrada. Asimismo ha de gestionar los grupos para los que se puede cifrar.
  • 19. CIFRADO PARA GRUPOS Política 1 Política 2 Política 3 Círculo de confianza 03 Círculo de confianza 01 Círculo de confianza 02 Los círculos de confianza, o grupos de cifrado, normalmente están definidos en un LDAP. La persona que desea cifrar un archivo selecciona qué grupo/s van a poder acceder al mismo.
  • 20. OCSP: Online Certificate Status Protocol „ Protocolo que permite el acceder al estado del certificado de manera online „ IETF RFC 2560 CAAPLICACION OCSP Request OCSP Response OCSP CLIENT Autoridad de Validación OCSP RESPONDER LDAP SERVER
  • 21. Una llave muy segura „ Algo que se posee „ No duplicable e inviolable Además protegida por PIN secreto y/o biometría „ Algo que se conoce y/o se es. Portabilidad total „ Claves y certificados grabados en la tarjeta Firma electrónica avanzada „ Según la normativa vigente TARJETA INTELIGENTE
  • 22. TARJETAS Y CHIP CRIPTOGRÁFICOS Tarjeta Criptográfica „ El chip criptográfico contiene un microprocesador que realiza las operaciones criptográficas con la clave privada. La clave nunca se expone al exterior. „ Doble seguridad: posesión de la tarjeta y PIN de acceso (o mecanismos biométrico). „ Puede ser multipropósito: ¾ Tarjeta de identificación gráfica. ¾ Tarjeta de control de acceso/horariomediante banda magnética o chip de radiofrecuencia. ¾ Tarjeta monedero. ¾ Tarjeta generadora de contraseñas de un solo uso (OTP). „ Se precisa de un middleware (CSP) específico para utilizar la tarjeta, así como de un lector (USB, integrado en teclado o PCMCIA) „ El número de certificados que se pueden cargar depende del perfil de certificado, de la capacidad del chip y del espacio que se reserve para los certificados. ¾ Chip de 32 KB: 3 a 5 certificados tipo ¾ Chip de 64 KB: de 6 a 10 certificados tipo
  • 23. Tarjetas y chip criptográficos Otros tipos „ Token USB: al igual que las tarjetas criptográficas sirven de almacén de claves/certificados y realizan las operaciones criptográficas en su interior. ¾ Ventajas: no precisan de lector (sólo puerto USB), reducido tamaño. ¾ Inconveniente: no sirven como tarjeta de identificación, monedero, de acceso. „ Chip de radiofrecuencia (p. ej. Mifare): El chip criptográfico puede ser de acceso por radiofrecuencia (sin contacto). ¾ Ventajas: se reduce el desgaste físico, no es necesaria la introducción de la tarjeta. ¾ Inconveniente: las operaciones criptográficas son lentas, lo que exige mantener la proximidad un tiempo significativo „ En la práctica el chip de radiofrecuencia se usa para control de acceso físico y horario. El lector lee el número de serie del chip o un código almacenado y lo compara con su base de datos de acceso.
  • 24. Gestión de los certificados CPS Proceso de registro Política de la PKI CP Roadmap Aplicaciones con soporte de certificados Factores a considerar en el despliegue
  • 25. Establecer la política de certificación „ Certificados de identidad, firma, cifrado „ Certificados de autorización ¾ Dan a su poseedor derecho a realizar ciertas operaciones „ Certificados de “sello de tiempo” ¾ Aseguran que un documento existió en un determinado momento „ Certificados de firma de código „ ¿Debe de haber una CA de mayor rango que certifique a mi servidor? „ ¿Necesito una CA o varias? „ ¿Hay certificaciones cruzadas con otras organizaciones? „ ¿Necesito una red de RAs? Autoridades de registro Árbol de confianza Qué tipos de certificados emitir Factores a considerar en el despliegue
  • 26. „ Cómo se solicitan los certificados • Prácticas de identificación y registro „ Gestión de claves y certificados • Cómo se generan (cliente, PKI, tarjeta) • Cómo se distribuyen • Cómo se aceptan „ Política de almacenamiento de certificados y claves • ¿Tarjeta inteligente? • Directorio LDAP „ Tratamiento de la validez • Periodo de validez ¿largo? ¿corto? • Revocaciones, cancelaciones, suspensiones • ¿CRL? ¿otros mecanismos como reconfirmación on line? Publicación, distribución, consulta de CRLs „ Marco legal • Acreditación • Registro • Inspección • Infracciones/sanciones „ Responsabilidades • Negligencia • Daño „ Compromisos • Niveles de servicio • Seguridad • Recursos Provisiones legalesProcedimientos operativos Política de Certificación
  • 27. „ La Declaración de Prácticas de Certificación (CPS) indica cuales son las prácticas utilizadas para emitir los certificados. Incluye los equipos, las políticas y procedimientos a implantar para satisfacer las especificaciones de la política de certificación. Se trata de un documento publicable. „ Describe como se interpreta la política de certificación en el contexto de la arquitectura de sistemas y los procedimientos operativos de la organización „ Política vs CPS • La CPS es el manual de uso de los poseedores de un certificado. • La política es importante para la interoperabilidad • Una CA puede tener una CPS y varias políticas ‰ Certificados para diferentes propósitos ‰ Certificados para comunidades diferentes • Diferentes CAs con diferentes CPS pueden soportar políticas idénticas. „ Existe una recomendación para la estructura de la CPS y CPs del IETF: RFC3647 “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework” de Noviembre 2003 Declaración de Prácticas de Certificación
  • 28. DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN• La Declaración de Prácticas de Certificación (CPS) indica cuales son las prácticas utilizadas para emitir los certificados. Incluye los equipos, las políticas y procedimientos a implantar para satisfacer las especificaciones de la política de certificación. Se trata de • un documento publicable. • „ Describe como se interpreta la política de certificación en el contexto de la arquitectura de sistemas y los procedimientos operativos de la organización • „ Política vs CPS • La CPS es el manual de uso de los poseedores de un certificado. • La política es importante para la interoperabilidad • Una CA puede tener una CPS y varias políticas ‰Certificados para diferentes propósitos Certificados para comunidades diferentes • Diferentes CAs con diferentes CPS pueden soportar políticas idénticas. • „ Existe una recomendación para la estructura de la CPS y CPs del IETF: RFC3647 • “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices • Framework” de Noviembre 2003
  • 29. RSA LABs PKCS# ITU X.500 (88) ISO/IEC 9594-8 (90) Cert X.509 v1 Cert X.509 v2 ITU X.500 (97) ISO/IEC 9594-8 (97) Cert X.509 v3 / CRL v2 (2000) IETF PKIX (Cert&CRL Profile) RFC 3280 (Old 2459) IETF QCP RFC 3739 (Old 3039) ITU X.500 (93) ISO/IEC 9594-8 (95) EVOLUCIÓN DE LOS ESTÁNDARES
  • 30. EVOLUCIÓN DE LOS ESTÁNDARES IETF SMIME v3 RFC 2634 (v2 2311) IETF CMS RFC 3852 (OLD 3369, 2630) IETF TLS v1 RFC 2246 IETF Cert Req MF RFC 2511 IETF PKCS7 RFC 2315 RSA LABs PKCS#10 RSA LABs PKCS#7 Netscape SSL v3

×