Certificados X509

4,732 views
4,515 views

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,732
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
90
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Certificados X509

  1. 1. Dani Gutiérrez Porset [email_address] <ul><ul><li>Certificados digitales X.509 </li></ul></ul>
  2. 2. Índice <ul><li>Introducción </li></ul><ul><li>Ciclo de vida </li></ul><ul><li>Métodos de validación </li></ul><ul><li>Estructura </li></ul><ul><li>Aplicaciones </li></ul><ul><li>Licencia de uso </li></ul>
  3. 3. Introducción <ul><li>Método para asociar una clave pública a una identidad (nombre, dirección,...) mediante una firma digital expedida por: </li></ul><ul><ul><li>Una CA (certification authority), o </li></ul></ul><ul><ul><li>El mismo usuario (self-signed) </li></ul></ul><ul><li>Al confiar en la firma pública de la CA se da por válida la firma pública del usuario. </li></ul><ul><li>A nivel físico, un certificado es, bien un fichero, o bien un directorio. </li></ul><ul><li>Estándar definido en jul-1994. Versión actual: X.509 v3. </li></ul>
  4. 4. Ciclo de vida <ul><li>CSR (Certificate Signing Request): </li></ul><ul><ul><li>Se genera a partir de una pareja de claves privada/pública. </li></ul></ul><ul><ul><li>Está sin firmar. </li></ul></ul><ul><li>Certificado firmado: </li></ul><ul><ul><li>CA. No está online </li></ul></ul><ul><ul><li>RA: registration authority. Está online </li></ul></ul><ul><li>Caducado </li></ul><ul><li>(Revocado) </li></ul>
  5. 5. Métodos de validación <ul><li>Métodos de validación de certificado digital: </li></ul><ul><ul><li>VAs (VA: validation authority) basadas en ldap </li></ul></ul><ul><ul><li>CRL (Certificate Revocation Lists) </li></ul></ul><ul><ul><li>Protocolo OCSP (Online Certificate Status Protocol) </li></ul></ul><ul><ul><li>Netscape URL revocation </li></ul></ul><ul><li>Repositorios: LDAP, DNSSec, X.500,... </li></ul>
  6. 6. Estructura <ul><li>Estructura de un CSR </li></ul><ul><ul><li>Versión </li></ul></ul><ul><ul><li>Nº de serie </li></ul></ul><ul><ul><li>Datos del Subject (Sujeto: persona u organización) en formato DN (Parámetros: cn, l, ou, o, c[ountry], mail), clave pública y algoritmo empleado </li></ul></ul>
  7. 7. Estructura <ul><li>Estructura de un certificado X.509: </li></ul><ul><ul><li>(Los campos del CSR) </li></ul></ul><ul><ul><li>Issuer o entidad CA emisora. Si es autofirmado coincide con el Subject </li></ul></ul><ul><ul><li>Periodo de validez </li></ul></ul><ul><ul><li>Firma digital generada con la clave privada de la CA, y algoritmo empleado (ej. sha1 y RSA) </li></ul></ul>
  8. 8. Estructura <ul><li>Extensiones opcionales de un certificado X.509, ej: </li></ul><ul><ul><li>Propósito de la clave pública (firmar, encriptar claves, encriptar datos,...) </li></ul></ul><ul><ul><li>Clase: 1 personas (ej. mail), 2 organizaciones, 3 servidores y software,... </li></ul></ul><ul><ul><li>URL de revocación (netscape) </li></ul></ul>
  9. 9. Aplicaciones: correo electrónico <ul><li>Mozilla thunderbird: </li></ul><ul><ul><li>idem que firefox </li></ul></ul><ul><ul><li>Ubicación de certificados: ~/.mozilla-thunderbird/<perfil>/cert8.db </li></ul></ul><ul><li>Kmail: </li></ul><ul><ul><li>Emplea kleopatra, que es un gestor de certificados X.509: </li></ul></ul><ul><ul><ul><li>Búsqueda en servidores LDAP </li></ul></ul></ul><ul><ul><ul><li>Almacen en GpgSM (semejante a anillos gpg) </li></ul></ul></ul>
  10. 10. Aplicaciones: navegadores <ul><li>Navegadores (común): </li></ul><ul><ul><li>Certificados: </li></ul></ul><ul><ul><ul><li>De servidores web (adquiridos al navegar o en Firefox importados) </li></ul></ul></ul><ul><ul><ul><li>Personales propios (formato pkcs12) </li></ul></ul></ul><ul><ul><li>Lista de entidades certificadoras fiables. Para cada una se puede elegir qué puede verificar: </li></ul></ul><ul><ul><ul><li>Sitios web </li></ul></ul></ul><ul><ul><ul><li>Correo electrónico </li></ul></ul></ul><ul><ul><ul><li>Código </li></ul></ul></ul>
  11. 11. Aplicaciones: navegadores <ul><li>Firefox: </li></ul><ul><ul><li>Certificados de otras personas </li></ul></ul><ul><ul><li>Listas de revocación </li></ul></ul><ul><ul><li>Uso de OCSP </li></ul></ul><ul><ul><li>Ficheros de certificados, claves, módulos: </li></ul></ul><ul><ul><ul><li>~/.mozilla/firefox/<perfil>/*.db </li></ul></ul></ul><ul><ul><ul><li>Paquete ubuntu para gestionarlos: libnss3-tools. Ej: certutil -L -d .mozilla/firefox/<perfil>/ </li></ul></ul></ul>
  12. 12. Aplicaciones: navegadores <ul><li>Konqueror: </li></ul><ul><ul><li>Cifras SSLv2 y SSLv3 a emplear </li></ul></ul><ul><ul><li>Uso opcional de librerías openssl </li></ul></ul><ul><ul><li>Certificados de cliente a enviar según servidores a los que se conecte </li></ul></ul><ul><ul><li>Ubicación de certificados: ~/.kde/share/config/kssl* </li></ul></ul>
  13. 13. Aplicaciones: smart cards <ul><li>Tarjetas físicas (smart card) con certificado X.509: </li></ul><ul><ul><li>DNI electrónico. Tiene 2 certificados, ambos revocables: </li></ul></ul><ul><ul><ul><li>Certificado de Autenticación: autenticación y acceso seguro a sistemas informáticos. No ofrece garantía de no repudio. </li></ul></ul></ul><ul><ul><ul><li>Certificado de Firma, garantizando la integridad y el no repudio. </li></ul></ul></ul><ul><ul><li>Tarjeta sanitaria ONA </li></ul></ul><ul><ul><li>Tarjeta universitaria </li></ul></ul>
  14. 14. Aplicaciones: smart cards <ul><li>Ejs. de uso: </li></ul><ul><ul><li>Local: Login al S.O., control de presencia,... </li></ul></ul><ul><ul><li>Remoto: Identidad a través de web, VPNs,... </li></ul></ul><ul><li>Requisitos HW/SW: </li></ul><ul><ul><li>Lector de tarjeta (integrado o USB) y driver. </li></ul></ul><ul><ul><ul><li>GNU/Linux: PCSC-lite, OpenCT </li></ul></ul></ul><ul><ul><li>Tarjeta y librerías para el S.O. Teoría: estándar pkcs11. </li></ul></ul><ul><ul><ul><li>GNU/Linux: OpenSC </li></ul></ul></ul><ul><ul><li>Instalar certificado de la CA emisora </li></ul></ul>
  15. 15. Licencia de uso <ul><ul><li>http://creativecommons.org/licenses/by-sa/3.0/ </li></ul></ul>

×