134 certificación electrónica-una_poderosa_herramienta_no_una_varita

147 views
97 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
147
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Lo que se cifra con una llave, solo puede ser descifrado con la otra. La privada sólo la conoce el sujeto, mientras que la pública se difunde. http://en.wikipedia.org/wiki/Public-key_cryptography
  • Quien lo reciba, usa mi llave pública para descifrar el hash Si el hash verifica, el receptor puede tener algunas certezas http://en.wikipedia.org/wiki/Digital_signature
  • El poseedor de la llave privada pide a una Autoridad Certificadora que le emita un certificado La CA emite un certificado con los datos del suscriptor, un ID de tipo y su llave pública, firmados por ella http://en.wikipedia.org/wiki/Certificate_authority
  • - Vencido se mira con el período de validez Revocado con el servicio de estado de la CA, puede ser una CRL básica o un servidor OCSP para consultas online - La cadena de confianza en este caso es solo que el certificado esté correctamente firmado por una CA.
  • Alguien sabe qué dice este cartel, aparte del boton que dice añadir excepcion?
  • Explicar qué riesgo hay cuando la CA no es reconocida, y cómo eso influye en generar el hábito de aceptar las excepciones.
  • A nivel técnico, nada me detiene de usar el certificado emitido a mi persona para firmar otros certificados. Se podria dar esta cadena de confianza perfectamente… La gracia está en el bit CA de cada ceritficado, y yo lo tengo desactivado. Pero si el tercero no verifica esos bits no tiene forma de saber que el certificado emitido a genexus.com es ilegítimo, y lo que es peor, está en una cadena de confianza verificable porque desciende de una root confiable.
  • Moxie Marlinspike en la Ekoparty 2009 presentó este ataque como uno de los ataques a SSL, pero es más general que eso, abarca cualquier uso de certificados. Algunos navegadores eran vulnerables y Moxie desarrollo SSLSniff, que hace un MITM y genera el certificado “de más abajo” al vuelo según lo que el usuario haya pedido. Permite hacer MITM para sacar datos o ataques de phishing.
  • Los certificados pueden verse como una credencial de identificación emitida por una autoridad certificadora. Por otro lado, lo que la autoridad certificadora verifica en el registro puede que no sea lo mismo que a mi me interesa que se verifique. Esto se puede leer en la política de certificación, o en la declaración de prácticas de certificación de la CA. No puedo confiar en un certificado, aún de una entidad conocida, si no sé qué es lo que está certificando. Ejemplo de firmar un documento con un certificado de Sitio Ejemplo del carné de conducir de viktor
  • 1 – hay herramientas para protegerse, pero hay que saber usarlas! (listas de revocacion, bits de usos habilitados, firmas, etc.) Además el uso masivo de las PKI depende de cuántos terceros estén dispuestos a usarla, por eso es de interés de las autoridades de certificación dar buenas garantías. 2 – Como tercero hay que leer las políticas y ver cuál es la que me sirve… No conviene hacer control solo basado en la cadena de confianza, porque una misma CA puede emitir múltiples tipos de certificados que no tienen nada que ver el uno con el otro… Cada política tiene su OID y para eso está, para identificar rápidamente de qué tipo es un certificado. Incluso si hay una regulación que me obliga a confiar en un tipo de certificado, leer la política me da una idea real de qué puedo esperar de esos certificados, de cómo se registra la gente, etc. 3 – No puedo usar al certificado como una credencial de pase libre! El certificado es una manera de delegar la autenticación en una autoridad certificadora, la CA no tiene forma de saber exactamente para qué voy a usar el certificado. De última si solo pido certificado, tengo que saber que mi autorización es nula, es decir, cualquiera autenticado puede entrar.
  • Las herramientas de seguridad pueden hacer mucho por nosotros, pero no van a hacer nuestro trabajo… Invitación a requerir menos soluciones “mágicas” y pensar más!
  • 134 certificación electrónica-una_poderosa_herramienta_no_una_varita

    1. 1. Certificación Electrónica Una Poderosa Herramienta, no una Varita… Guillermo Dotta - Deloitte gdotta@deloitte.com #GX2409
    2. 2. De qué va la charla??? Dónde salen mal las cosas entonces? Con qué Herramientas contamos en una PKI real? Las Bases… Qué es una Firma Electrónica? Qué es una PKI?
    3. 3. El porqué… <ul><li>Se usan certificados desde los 90 </li></ul>1 El modelo no se entiende 100% 2 Está creciendo notoriamente el uso de Certificados 3
    4. 4. <ul><li>Albert Einstein </li></ul>La perfección de los medios, y la confusión de los objetivos, parece ser nuestro mayor problema actualmente “ ”
    5. 5. LAS BASES <ul><li>Lo primero es lo primero… </li></ul>
    6. 6. <ul><li>Para usar firmas electrónicas se necesita un par de llaves “Hermanas”, una descifra lo que la otra cifra </li></ul>Las llaves… Pública Privada
    7. 7. <ul><li>Cifro un hash del mensaje con mi llave privada, y mando mensaje + hash cifrado </li></ul>La firma electrónica… Pública + = Certeza de Integridad Certeza de Origen Ver si vale la pena esta diapo
    8. 8. <ul><li>¿Cómo sé quién es el dueño de la llave privada que firmó el mensaje? </li></ul>El certificado… Certeza de Identidad Vigente No Revocado + = Emitido por una CA confiable
    9. 9. UNA PKI DE VERDAD <ul><li>Cómo se implementa esto? </li></ul>
    10. 10. Las tres patas de una PKI Autoridad de Certificación Suscriptores Terceros Política de Certificación (CP/CPS)
    11. 11. Por qué es importante la política de certificación (CP)? Define el perfil del certificado Define los controles que cualquier CA debe hacer para emitirlos Define el tipo de suscriptor y los usos aceptables Declara las garantías que pueden esperar los terceros cuando confían
    12. 12. Ejemplo – Thawte
    13. 13. Ejemplo – Thawte Usos y OID Nombre del Suscriptor Nombre de la CA Período de Validez Link a la CP/CPS
    14. 14. Ejemplo – Thawte Cadena de Confianza Estado de Revocación
    15. 15. DÓNDE SALEN MAL LAS COSAS??? <ul><li>Todo lindo, pero entonces… </li></ul>
    16. 16. Dónde sale mal? <ul><li>Cuando no se utiliza bien las herramientas que la PKI le da a cada actor </li></ul><ul><li>Las CA están muy controladas… No hablaremos de ellas hoy </li></ul><ul><li>Si los suscriptores hacen las cosas mal, probablemente nadie les acepte la firma en primer lugar… tampoco hablaremos de ellos… </li></ul><ul><li>Los más vulnerables son los terceros, que por definición confían en los certificados y en las CA!!! </li></ul>
    17. 17. Casos a ver <ul><li>Validación del Certificado </li></ul>1 Validación de la CA 2 Usos de los Certificados 3 Tipo de Certificado 4
    18. 18. Validación del Certificado Vencido Revocado Cadena de confianza no verificable
    19. 19. Validación de la CA
    20. 20. Validación de la CA
    21. 21. Usos de los Certificados Provider X rootCA Provider X Subordinate CA N Guillermo Dotta 4.090.681-6 genexus.com CA=true CA=true CA=false
    22. 22. Usos de los Certificados Guillermo Dotta 4.090.681-6 SSLSniff
    23. 23. Tipo de Certificado <ul><li>Tengo que estar seguro que el subject del certificado que me están presentando es efectivamente algo que espero! </li></ul><ul><li>Una historia del mundo físico sobre confiar en un tipo equivocado de certificado… </li></ul>
    24. 24. CONCLUSIONES <ul><li>Sabiendo todo esto… </li></ul>
    25. 25. Conclusiones <ul><li>El tercero es el más vulnerable de las tres patas </li></ul><ul><li>Las políticas de certificación están hechas para leerse, y tomar decisiones en base a ellas </li></ul><ul><li>Un certificado a priori no autoriza a nada, en el mejor de los casos sólo autentica! </li></ul>
    26. 26. <ul><li>Bruce Schneier </li></ul>Si piensas que puedes solucionar problemas de seguridad sólo con tecnología, entonces no entiendes los problemas ni tampoco entiendes la tecnología “ ”
    27. 27. ¡Muchas Gracias! ¿Preguntas? [email_address] @ghdotta

    ×