Certificados X509
Upcoming SlideShare
Loading in...5
×
 

Certificados X509

on

  • 6,827 views

 

Statistics

Views

Total Views
6,827
Views on SlideShare
6,805
Embed Views
22

Actions

Likes
2
Downloads
79
Comments
0

1 Embed 22

http://www.slideshare.net 22

Accessibility

Categories

Upload Details

Uploaded via as OpenOffice

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Certificados X509 Certificados X509 Presentation Transcript

  • Dani Gutiérrez Porset [email_address]
      • Certificados digitales X.509
  • Índice
    • Introducción
    • Ciclo de vida
    • Métodos de validación
    • Estructura
    • Aplicaciones
    • Licencia de uso
  • Introducción
    • Método para asociar una clave pública a una identidad (nombre, dirección,...) mediante una firma digital expedida por:
      • Una CA (certification authority), o
      • El mismo usuario (self-signed)
    • Al confiar en la firma pública de la CA se da por válida la firma pública del usuario.
    • A nivel físico, un certificado es, bien un fichero, o bien un directorio.
    • Estándar definido en jul-1994. Versión actual: X.509 v3.
  • Ciclo de vida
    • CSR (Certificate Signing Request):
      • Se genera a partir de una pareja de claves privada/pública.
      • Está sin firmar.
    • Certificado firmado:
      • CA. No está online
      • RA: registration authority. Está online
    • Caducado
    • (Revocado)
  • Métodos de validación
    • Métodos de validación de certificado digital:
      • VAs (VA: validation authority) basadas en ldap
      • CRL (Certificate Revocation Lists)
      • Protocolo OCSP (Online Certificate Status Protocol)
      • Netscape URL revocation
    • Repositorios: LDAP, DNSSec, X.500,...
  • Estructura
    • Estructura de un CSR
      • Versión
      • Nº de serie
      • Datos del Subject (Sujeto: persona u organización) en formato DN (Parámetros: cn, l, ou, o, c[ountry], mail), clave pública y algoritmo empleado
  • Estructura
    • Estructura de un certificado X.509:
      • (Los campos del CSR)
      • Issuer o entidad CA emisora. Si es autofirmado coincide con el Subject
      • Periodo de validez
      • Firma digital generada con la clave privada de la CA, y algoritmo empleado (ej. sha1 y RSA)
  • Estructura
    • Extensiones opcionales de un certificado X.509, ej:
      • Propósito de la clave pública (firmar, encriptar claves, encriptar datos,...)
      • Clase: 1 personas (ej. mail), 2 organizaciones, 3 servidores y software,...
      • URL de revocación (netscape)
  • Aplicaciones: correo electrónico
    • Mozilla thunderbird:
      • idem que firefox
      • Ubicación de certificados: ~/.mozilla-thunderbird/<perfil>/cert8.db
    • Kmail:
      • Emplea kleopatra, que es un gestor de certificados X.509:
        • Búsqueda en servidores LDAP
        • Almacen en GpgSM (semejante a anillos gpg)
  • Aplicaciones: navegadores
    • Navegadores (común):
      • Certificados:
        • De servidores web (adquiridos al navegar o en Firefox importados)
        • Personales propios (formato pkcs12)
      • Lista de entidades certificadoras fiables. Para cada una se puede elegir qué puede verificar:
        • Sitios web
        • Correo electrónico
        • Código
  • Aplicaciones: navegadores
    • Firefox:
      • Certificados de otras personas
      • Listas de revocación
      • Uso de OCSP
      • Ficheros de certificados, claves, módulos:
        • ~/.mozilla/firefox/<perfil>/*.db
        • Paquete ubuntu para gestionarlos: libnss3-tools. Ej: certutil -L -d .mozilla/firefox/<perfil>/
  • Aplicaciones: navegadores
    • Konqueror:
      • Cifras SSLv2 y SSLv3 a emplear
      • Uso opcional de librerías openssl
      • Certificados de cliente a enviar según servidores a los que se conecte
      • Ubicación de certificados: ~/.kde/share/config/kssl*
  • Aplicaciones: smart cards
    • Tarjetas físicas (smart card) con certificado X.509:
      • DNI electrónico. Tiene 2 certificados, ambos revocables:
        • Certificado de Autenticación: autenticación y acceso seguro a sistemas informáticos. No ofrece garantía de no repudio.
        • Certificado de Firma, garantizando la integridad y el no repudio.
      • Tarjeta sanitaria ONA
      • Tarjeta universitaria
  • Aplicaciones: smart cards
    • Ejs. de uso:
      • Local: Login al S.O., control de presencia,...
      • Remoto: Identidad a través de web, VPNs,...
    • Requisitos HW/SW:
      • Lector de tarjeta (integrado o USB) y driver.
        • GNU/Linux: PCSC-lite, OpenCT
      • Tarjeta y librerías para el S.O. Teoría: estándar pkcs11.
        • GNU/Linux: OpenSC
      • Instalar certificado de la CA emisora
  • Licencia de uso
      • http://creativecommons.org/licenses/by-sa/3.0/