Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Certificados X509

5,354 views

Published on

Published in: Technology
  • Be the first to comment

Certificados X509

  1. 1. Dani Gutiérrez Porset [email_address] <ul><ul><li>Certificados digitales X.509 </li></ul></ul>
  2. 2. Índice <ul><li>Introducción </li></ul><ul><li>Ciclo de vida </li></ul><ul><li>Métodos de validación </li></ul><ul><li>Estructura </li></ul><ul><li>Aplicaciones </li></ul><ul><li>Licencia de uso </li></ul>
  3. 3. Introducción <ul><li>Método para asociar una clave pública a una identidad (nombre, dirección,...) mediante una firma digital expedida por: </li></ul><ul><ul><li>Una CA (certification authority), o </li></ul></ul><ul><ul><li>El mismo usuario (self-signed) </li></ul></ul><ul><li>Al confiar en la firma pública de la CA se da por válida la firma pública del usuario. </li></ul><ul><li>A nivel físico, un certificado es, bien un fichero, o bien un directorio. </li></ul><ul><li>Estándar definido en jul-1994. Versión actual: X.509 v3. </li></ul>
  4. 4. Ciclo de vida <ul><li>CSR (Certificate Signing Request): </li></ul><ul><ul><li>Se genera a partir de una pareja de claves privada/pública. </li></ul></ul><ul><ul><li>Está sin firmar. </li></ul></ul><ul><li>Certificado firmado: </li></ul><ul><ul><li>CA. No está online </li></ul></ul><ul><ul><li>RA: registration authority. Está online </li></ul></ul><ul><li>Caducado </li></ul><ul><li>(Revocado) </li></ul>
  5. 5. Métodos de validación <ul><li>Métodos de validación de certificado digital: </li></ul><ul><ul><li>VAs (VA: validation authority) basadas en ldap </li></ul></ul><ul><ul><li>CRL (Certificate Revocation Lists) </li></ul></ul><ul><ul><li>Protocolo OCSP (Online Certificate Status Protocol) </li></ul></ul><ul><ul><li>Netscape URL revocation </li></ul></ul><ul><li>Repositorios: LDAP, DNSSec, X.500,... </li></ul>
  6. 6. Estructura <ul><li>Estructura de un CSR </li></ul><ul><ul><li>Versión </li></ul></ul><ul><ul><li>Nº de serie </li></ul></ul><ul><ul><li>Datos del Subject (Sujeto: persona u organización) en formato DN (Parámetros: cn, l, ou, o, c[ountry], mail), clave pública y algoritmo empleado </li></ul></ul>
  7. 7. Estructura <ul><li>Estructura de un certificado X.509: </li></ul><ul><ul><li>(Los campos del CSR) </li></ul></ul><ul><ul><li>Issuer o entidad CA emisora. Si es autofirmado coincide con el Subject </li></ul></ul><ul><ul><li>Periodo de validez </li></ul></ul><ul><ul><li>Firma digital generada con la clave privada de la CA, y algoritmo empleado (ej. sha1 y RSA) </li></ul></ul>
  8. 8. Estructura <ul><li>Extensiones opcionales de un certificado X.509, ej: </li></ul><ul><ul><li>Propósito de la clave pública (firmar, encriptar claves, encriptar datos,...) </li></ul></ul><ul><ul><li>Clase: 1 personas (ej. mail), 2 organizaciones, 3 servidores y software,... </li></ul></ul><ul><ul><li>URL de revocación (netscape) </li></ul></ul>
  9. 9. Aplicaciones: correo electrónico <ul><li>Mozilla thunderbird: </li></ul><ul><ul><li>idem que firefox </li></ul></ul><ul><ul><li>Ubicación de certificados: ~/.mozilla-thunderbird/<perfil>/cert8.db </li></ul></ul><ul><li>Kmail: </li></ul><ul><ul><li>Emplea kleopatra, que es un gestor de certificados X.509: </li></ul></ul><ul><ul><ul><li>Búsqueda en servidores LDAP </li></ul></ul></ul><ul><ul><ul><li>Almacen en GpgSM (semejante a anillos gpg) </li></ul></ul></ul>
  10. 10. Aplicaciones: navegadores <ul><li>Navegadores (común): </li></ul><ul><ul><li>Certificados: </li></ul></ul><ul><ul><ul><li>De servidores web (adquiridos al navegar o en Firefox importados) </li></ul></ul></ul><ul><ul><ul><li>Personales propios (formato pkcs12) </li></ul></ul></ul><ul><ul><li>Lista de entidades certificadoras fiables. Para cada una se puede elegir qué puede verificar: </li></ul></ul><ul><ul><ul><li>Sitios web </li></ul></ul></ul><ul><ul><ul><li>Correo electrónico </li></ul></ul></ul><ul><ul><ul><li>Código </li></ul></ul></ul>
  11. 11. Aplicaciones: navegadores <ul><li>Firefox: </li></ul><ul><ul><li>Certificados de otras personas </li></ul></ul><ul><ul><li>Listas de revocación </li></ul></ul><ul><ul><li>Uso de OCSP </li></ul></ul><ul><ul><li>Ficheros de certificados, claves, módulos: </li></ul></ul><ul><ul><ul><li>~/.mozilla/firefox/<perfil>/*.db </li></ul></ul></ul><ul><ul><ul><li>Paquete ubuntu para gestionarlos: libnss3-tools. Ej: certutil -L -d .mozilla/firefox/<perfil>/ </li></ul></ul></ul>
  12. 12. Aplicaciones: navegadores <ul><li>Konqueror: </li></ul><ul><ul><li>Cifras SSLv2 y SSLv3 a emplear </li></ul></ul><ul><ul><li>Uso opcional de librerías openssl </li></ul></ul><ul><ul><li>Certificados de cliente a enviar según servidores a los que se conecte </li></ul></ul><ul><ul><li>Ubicación de certificados: ~/.kde/share/config/kssl* </li></ul></ul>
  13. 13. Aplicaciones: smart cards <ul><li>Tarjetas físicas (smart card) con certificado X.509: </li></ul><ul><ul><li>DNI electrónico. Tiene 2 certificados, ambos revocables: </li></ul></ul><ul><ul><ul><li>Certificado de Autenticación: autenticación y acceso seguro a sistemas informáticos. No ofrece garantía de no repudio. </li></ul></ul></ul><ul><ul><ul><li>Certificado de Firma, garantizando la integridad y el no repudio. </li></ul></ul></ul><ul><ul><li>Tarjeta sanitaria ONA </li></ul></ul><ul><ul><li>Tarjeta universitaria </li></ul></ul>
  14. 14. Aplicaciones: smart cards <ul><li>Ejs. de uso: </li></ul><ul><ul><li>Local: Login al S.O., control de presencia,... </li></ul></ul><ul><ul><li>Remoto: Identidad a través de web, VPNs,... </li></ul></ul><ul><li>Requisitos HW/SW: </li></ul><ul><ul><li>Lector de tarjeta (integrado o USB) y driver. </li></ul></ul><ul><ul><ul><li>GNU/Linux: PCSC-lite, OpenCT </li></ul></ul></ul><ul><ul><li>Tarjeta y librerías para el S.O. Teoría: estándar pkcs11. </li></ul></ul><ul><ul><ul><li>GNU/Linux: OpenSC </li></ul></ul></ul><ul><ul><li>Instalar certificado de la CA emisora </li></ul></ul>
  15. 15. Licencia de uso <ul><ul><li>http://creativecommons.org/licenses/by-sa/3.0/ </li></ul></ul>

×