3. certificados y pki

5,058 views

Published on

Published in: Education
  • Be the first to comment

  • Be the first to like this

3. certificados y pki

  1. 1. Certificados Digitales
  2. 2. Técnicas de Identificación En la vida cotidiana necesitamos identificarnos en muchas situaciones: . Bancos . Compras mediante tarjeta bancaria . Aeropuertos ¿Cómo lo hacemos? Presentando un documento de identificación ¿Quién avala ese documento?
  3. 3. Técnicas de Identificación Los certificados digitales han sido diseñados para garantizar la Identidad en las operaciones por el ciberespacio (Internet) Un certificado en un documento emitido y firmado por una Autoridad de Certificación que identifica una clave pública con su propietario . Su efectividad se basa en la combinación de: * Criptografía de llaves públicas * Infraestructura de llaves digitales (PKI) * El sistema legal
  4. 4. Simétrica Problema: Distribución de claves Confidencialidad: Algoritmos simétricos La clave secreta se debe distribuir mediante canales seguros . Es especialmente problemático para comunicaciones entre usuarios desconocidos o múltiples usuarios. La misma clave es utilizada para cifrar/descifrar la información Texto en claro Clave Algoritmo simétrico Criptograma Internet Texto en claro Clave Algoritmo simétrico Criptograma Canal seguro
  5. 5. Algoritmos de Cifrado: Asimétricos Clave diferente para cifrar y descifrar. Es necesario poseer la llave pública del destinatario para cifrar la información que se le enviará. Solo el destinatario posee la llave privada complementaría Para descifrar el documento . Clave pública Clave privada Texto en claro Algoritmo asimétrico Criptograma Internet Texto en claro Algoritmo asimétrico Criptograma Clave pública Clave privada
  6. 6. Clave pública Conocida por todos los usuarios de la red Clave privada Conocida unicamente por un usuario La distribución de claves no es problemática, solo debe enviarse la clave pública. Algoritmos de Cifrado: Asimétricos
  7. 7. <ul><li>Características: </li></ul><ul><ul><li>Integridad. Comprueba que el texto no ha sido modificado. </li></ul></ul><ul><ul><li>Autenticación. Se puede comprobar la identidad del firmante. </li></ul></ul><ul><ul><li>No repudio. El firmante no puede negar haber generado y entregado el documento. </li></ul></ul>Autenticación y Firma electrónica
  8. 8. Integridad Hash Se realiza el Hash del texto en claro en el emisor y el receptor. El resultado debe ser el mismo si el texto no se ha modificado. Autenticación y no repudio Cifra con la clave privada Se cifra el Hash con la clave privada del emisor. Sólo el emisor posee esa clave, por lo tanto no puede negar la firma. Cualquiera tercera persona puede comprobar la firma porque la clave pública está al alcance de todo el mundo. Autenticación y Firma, Implantación tecnológica
  9. 9. Autenticación y Firma: Hash firmado con la clave privada del emisor EMISOR RECEPTOR El receptor realiza la función Hash sobre el texto en claro Con la llave pública del emisor descifra el Hash recibido Clave pública emisor Algoritmo Asimétrico Algoritmo Hash Hash Firma Texto firmado Hash Si ambos hash son iguales se garantiza La integridad y autenticidad del mensaje Texto en claro
  10. 10. Autoridades Certificadoras <ul><li>¿En que consiste una CA? </li></ul><ul><li>Una CA emite certificados de llave pública. Estos certificados contienen: </li></ul><ul><li>La Autoridad de certificación que </li></ul><ul><li>lo emitió </li></ul><ul><li>El nombre de una persona </li></ul><ul><li>Su llave pública </li></ul><ul><li>Un número de serie </li></ul><ul><li>Una huella digital </li></ul><ul><li>Una fecha de validez </li></ul>
  11. 11. Autoridades Certificadoras, Confianza en la CA Para utilizar los certificados emitidos por una CA es necesario “confiar” en ella y tener una copia de su llave pública. Los navegadores incorporan un gran número de ellas pero es posible agregar otras no incluidas manualmente. Una CA debe de distribuir su llave pública para poder ser agregada a la lista de CA Raiz de Confianza
  12. 12. Entidades Raiz de confianza
  13. 13. Autoridades Certificadoras, Política CA <ul><li>Para utilizar un certificado debería de conocerse el documento de política de prácticas de certificación de la Autoridad de Certificación (CPS) debe detallar: </li></ul><ul><li>El proceso seguido para la emisión de certificados. </li></ul><ul><li>Requerimientos exigidos, propósito de los certificados. </li></ul><ul><li>Responsabilidades cubiertas, información y práctica de uso. </li></ul>
  14. 14. Autoridades Certificadoras, Certificados X.509 v3 <ul><li>Utilizado por la mayoría de certificados de llave pública </li></ul><ul><li>Su estructura contempla: </li></ul><ul><li>Número de Versión </li></ul><ul><li>Número de Serie </li></ul><ul><li>Algoritmo utilizado </li></ul><ul><li>Emisor </li></ul><ul><li>Periodo de Validez </li></ul><ul><li>Materia de la llave pública </li></ul><ul><li>Firma </li></ul>
  15. 15. Autoridades Certificadoras, R evocación Certificados <ul><li>En ocasiones un certificado deja de ser valido y la CA debe de “revocar” dicho certificado, las causas pueden ser diversas como: </li></ul><ul><li>La llave privada relacionada ha sido interceptada </li></ul><ul><li>El certificado se emitió para una entidad equivocada </li></ul><ul><li>El certificado se emitió para un propósito erróneo </li></ul><ul><li>La entidad ya no desea seguir utilizando el certificado </li></ul><ul><li>......... </li></ul><ul><li>Para ello se utilizan las “Listas de revocación” (CRL) </li></ul>
  16. 16. Lista de Revocación de Certificados Lista de revocación de Verisign Visible desde la consola de certificados de Usuario
  17. 17. 1 2 3 4 Llave Pública Servidor Web HTTPS 1 Comunicación Segura mediante HTTPS Llave Privada Llave sesión
  18. 18. <ul><li>Clases de Certificados </li></ul>
  19. 19. TIPOS DE CERTIFICADOS <ul><li>Existen cuatro tipos diferentes de certificados: </li></ul><ul><li>Certificados de Autoridades Certificadoras </li></ul><ul><li>Certificados de Servidores </li></ul><ul><li>Certificados Personales </li></ul><ul><li>Certificados de Software </li></ul>
  20. 20. TIPOS DE CERTIFICADOS <ul><li>Certificados de Autoridades Certificadoras </li></ul><ul><li>Contiene el nombre y la llave pública de una Autoridad Certificadora. </li></ul><ul><li>Pueden ser autofirmados, </li></ul><ul><li>Pueden estar firmados por otra CA. </li></ul><ul><li>Pueden ser firmados de manera “cruzada” por otra CA </li></ul><ul><li>Suelen ser distribuidos en los propios navegadores </li></ul>
  21. 21. TIPOS DE CERTIFICADOS <ul><li>Certificados de Servidor </li></ul><ul><li>Necesarios para la conexión mediante SSL </li></ul><ul><li>Este certificado se usa para: </li></ul><ul><li>Autenticar la identidad del servidor </li></ul><ul><li>Distribuir su llave pública </li></ul><ul><li>Cifrar con ella la clave de sesión generada por el navegador del cliente utilizada en el cifrado simétrico </li></ul>
  22. 22. TIPOS DE CERTIFICADOS <ul><li>El formato de un certificado de SSL incluye: </li></ul><ul><li>Longitud de la llave de la firma </li></ul><ul><li>Número de serie del certificado (debe de ser único) </li></ul><ul><li>Nombre distinguido </li></ul><ul><li>Algoritmo utilizado para la firma </li></ul><ul><li>Nombre común del sujeto </li></ul><ul><li>SSL confía en el servicio DNS para comprobar el nombre distinguido del servidor. </li></ul><ul><li>Pero, ¿Es seguro DNS? </li></ul>
  23. 23. TIPOS DE CERTIFICADOS Certificados para clientes Diseñados para comprobar la identidad de una persona, vinculan un nombre específico con una llave pública. Son emitidos por las Autoridades de Certificación Pueden tener un único propósito o servir para diferentes propósitos.
  24. 24. TIPOS DE CERTIFICADOS <ul><li>Certificados para clientes </li></ul><ul><li>Su uso posibilita: </li></ul><ul><li>Eliminar la utilización de usuario/password para autenticación </li></ul><ul><li>Son asignados individualmente y por ello no pueden ser compartidos (a diferencia del par usuario/password) </li></ul><ul><li>Pueden servir para firmar y/o cifrar correo. </li></ul><ul><li>Pueden incluir información adicional (edad, sexo,..) para permitir el acceso a cierto contenido restringido. </li></ul><ul><li>Permiten eliminar el anonimato </li></ul>
  25. 25. TIPOS DE CERTIFICADOS <ul><li>Certificados para clientes </li></ul><ul><li>Soportados por los navegadores actuales incluyen: </li></ul><ul><li>Creación de llaves </li></ul><ul><li>Obtención de certificados </li></ul><ul><li>Desafio/Respuesta frente a un servidor SSL </li></ul><ul><li>Almacenamiento seguro de las llaves </li></ul>
  26. 26. TIPOS DE CERTIFICADOS Certificados de Código La firma de código tiene como finalidad proporcionar un sistema para descargar código de manera confiable y reducir el impacto de programas hostiles como virus, troyanos, ... ¿Por qué firmar el código?
  27. 27. TIPOS DE CERTIFICADOS Certificados de Código Al adquirir un programa en una tienda de informática podemos estar bastante seguros de lo que compramos y quien lo produjo. El programa viene en una caja sellada, con un holograma de seguridad, e incluye un numero único de licencia. Si hubiera cualquier error se sabe a quien se debe recurrir y como se debe proceder.
  28. 28. TIPOS DE CERTIFICADOS Certificados de Código Cuando descargamos software de Internet no se cumplen ninguna de las premisas anteriores. no tenemos la certeza de que el fichero que descargamos no ha sido manipulado. El mismo software puede ser buscado y descargado de diferentes lugares.
  29. 29. TIPOS DE CERTIFICADOS <ul><li>Firma de Código </li></ul><ul><li>La firma de código debe dar al software distribuido la misma confiabilidad que ofrece el software “empaquetado”: </li></ul><ul><li>Una firma digital “marca” el ejecutable con una llave secreta. </li></ul><ul><li>Un certificado digital con la llave pública correspondiente que incluye el nombre de la organización o persona a quien pertenece y una firma digital de una autoridad certificadora reconocida. </li></ul>
  30. 30. TIPOS DE CERTIFICADOS Firma de Código Las firmas deben ser verificadas. De manera ideal deberían revisarse al descargar cada fragmento de código y antes de que se ejecutase. Pueden detectar tanto intentos hostiles de modificación (troyano) como alteraciones accidentales por errores del Sistema Operativo o fallos del hardware. Actualmente se desarrolla software para ofrecer esta funcionalidad
  31. 31. TIPOS DE CERTIFICADOS <ul><li>Otros métodos para firmar código </li></ul><ul><li>Como alternativa puede utilizarse certificados de firma con PGP. Las limitaciones son: </li></ul><ul><li>PGP no está integrado en los navegadores, por lo que la firma y verificación deben hacerse en dos pasos. </li></ul><ul><li>No pueden utilizar la infraestructura de llaves públicas desarrollada para los navegadores </li></ul><ul><li>Como ventaja cabe destacar que con PGP es posible firmar cualquier tipo de archivo, documento o programa (a diferencia de Authenticode solo para código 32 bits) </li></ul>
  32. 32. TIPOS DE CERTIFICADOS URL relacionados con la firma de codigo http:// www.w3 . org / DSig / Overview.html Iniciativa de firmas digitales del Consorcio del Worl Wide Web http:// msdn.microsoft.com / library / default.asp?url =/ workshop / security / authcode / authenticode_ovw_entry.asp Tutorial sobre la tecnología Authenticode de Microsoft.
  33. 33. Trabajando con Certificados Gestión de PKI con Windows 2000
  34. 34. Indice de contenido <ul><li>Introducción a la PKI </li></ul><ul><li>Instalación de la PKI de W200x </li></ul><ul><li>Certificado autenticación de servidor </li></ul><ul><li>Certificados de cliente para navegación </li></ul>
  35. 35. Requerimientos <ul><li>Windows 200x Server </li></ul><ul><li>Internet Information Services (IIS) instalado </li></ul>
  36. 36. Instalación de la PKI <ul><li>Panel de Control  Agregar quitar programas </li></ul><ul><li>Agregar Componentes Windows  Servicios Certificate Server </li></ul><ul><li>Seleccionar “Autoridad de certificación raiz independiente” </li></ul><ul><li>Gestión de la CA desde la MMC “Entidad Emisora de Certificados” </li></ul>
  37. 37. Gestión de la PKI <ul><li>Certificados revocados </li></ul><ul><li>Certificados emitidos </li></ul><ul><li>Certificados pendientes </li></ul><ul><li>Error en las peticiones </li></ul>
  38. 38. Entidades emisoras de certificados raiz de confianza
  39. 39. Autenticación del servidor <ul><li>Acceder a las propiedades de seguridad de directorio del site a configurar. </li></ul><ul><li>Crear una petición de certificado. </li></ul><ul><li>Abrir el archivo generado (certreq.txt) y copiar en memoria su contenido. </li></ul><ul><li>Solicitar a la CA un certificado (petición avanzada) y “pegar” la información anterior. </li></ul>
  40. 40. Autenticación del servidor (II) <ul><li>Esperar a la aprobación por parte de la CA </li></ul><ul><li>Una vez aceptada, grabar el certificado en el disco (certnew.cer) </li></ul><ul><li>Volver a la configuración del site (Seguridad  Certificados) y procesar la petición pendiente seleccionando el certificado guardado anteriormente. </li></ul>
  41. 41. autenticación del servidor (III) <ul><li>Modificar las propiedades de Seguridad y Certificado marcando: </li></ul><ul><li>“ Requerir canal seguro SSL” </li></ul><ul><li>Seleccionar el puerto SSL (por defecto 443) en las propiedades “Sitio Web” del site. </li></ul>
  42. 42. Capturas de pantalla del proceso
  43. 43. Capturas de pantalla del proceso (II)
  44. 44. Capturas de pantalla del proceso (III) Contenido del fichero codificado en Base 64 de la solicitud
  45. 45. Capturas pantalla del proceso (IV)
  46. 46. Capturas de pantalla del proceso (V)
  47. 47. Capturas de pantalla del proceso (VI)
  48. 48. Capturas de pantalla del proceso (VII)
  49. 49. Descarga Certificado Raiz <ul><li>Conexión a http://servidor/ certsrv </li></ul><ul><li>Recuperar certificado CA </li></ul><ul><li>Instalar ruta de certificación de Entidad emisora de certificados </li></ul><ul><li>Comprobar su instalación (Internet Explorer  Herramientas  Opciones Internet  Contenido  Certificados  Entidades Emisoras de Certificados de Raiz de Confianza) </li></ul>
  50. 50. Solicitud de certificado a la PKI <ul><li>Conexión a http://servidor/ certsrv </li></ul><ul><li>Seleccionar “Solicitar un certificado” </li></ul><ul><li>Elegir el propósito del mismo </li></ul><ul><li>Rellenar la solicitud, enviarla y esperar la autorización de la misma. </li></ul>
  51. 51. Solicitud de certificado a la PKI
  52. 52. Autorización por la PKI <ul><li>Seleccionar el certificado </li></ul><ul><li>Comprobar su información </li></ul><ul><li>Emitir el certificado (Accion  Todas las Tareas  Emitir) </li></ul>
  53. 53. Instalación por el usuario <ul><li>Comprobar un certificado pendiente </li></ul><ul><li>Seleccionar e instalar el certificado </li></ul>
  54. 54. Comprobación de su instalación <ul><li>Internet Explorer  Herramientas  Opciones Internet  </li></ul><ul><li> Contenido  Certificados </li></ul>
  55. 55. <ul><li>Gracias por su atención </li></ul>

×