Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

134 certificación electrónica-una_poderosa_herramienta_no_una_varita….

132 views

Published on

  • Be the first to comment

  • Be the first to like this

134 certificación electrónica-una_poderosa_herramienta_no_una_varita….

  1. 1. Certificación Electrónica Una Poderosa Herramienta, no una Varita… Guillermo Dotta - Deloitte gdotta@deloitte.com #GX2409
  2. 2. De qué va la charla??? Dónde salen mal las cosas entonces? Con qué Herramientas contamos en una PKI real? Las Bases… Qué es una Firma Electrónica? Qué es una PKI?
  3. 3. El porqué… <ul><li>Se usan certificados desde los 90 </li></ul>1 El modelo no se entiende 100% 2 Está creciendo notoriamente el uso de Certificados 3
  4. 4. <ul><li>Albert Einstein </li></ul>La perfección de los medios, y la confusión de los objetivos, parece ser nuestro mayor problema actualmente “ ”
  5. 5. LAS BASES <ul><li>Lo primero es lo primero… </li></ul>
  6. 6. <ul><li>Para usar firmas electrónicas se necesita un par de llaves “Hermanas”, una descifra lo que la otra cifra </li></ul>Las llaves… Pública Privada
  7. 7. <ul><li>Cifro un hash del mensaje con mi llave privada, y mando mensaje + hash cifrado </li></ul>La firma electrónica… Pública + = Certeza de Integridad Certeza de Origen Ver si vale la pena esta diapo
  8. 8. <ul><li>¿Cómo sé quién es el dueño de la llave privada que firmó el mensaje? </li></ul>El certificado… Certeza de Identidad Vigente No Revocado + = Emitido por una CA confiable
  9. 9. UNA PKI DE VERDAD <ul><li>Cómo se implementa esto? </li></ul>
  10. 10. Las tres patas de una PKI Autoridad de Certificación Suscriptores Terceros Política de Certificación (CP/CPS)
  11. 11. Por qué es importante la política de certificación (CP)? Define el perfil del certificado Define los controles que cualquier CA debe hacer para emitirlos Define el tipo de suscriptor y los usos aceptables Declara las garantías que pueden esperar los terceros cuando confían
  12. 12. Ejemplo – Thawte
  13. 13. Ejemplo – Thawte Usos y OID Nombre del Suscriptor Nombre de la CA Período de Validez Link a la CP/CPS
  14. 14. Ejemplo – Thawte Cadena de Confianza Estado de Revocación
  15. 15. DÓNDE SALEN MAL LAS COSAS??? <ul><li>Todo lindo, pero entonces… </li></ul>
  16. 16. Dónde sale mal? <ul><li>Cuando no se utiliza bien las herramientas que la PKI le da a cada actor </li></ul><ul><li>Las CA están muy controladas… No hablaremos de ellas hoy </li></ul><ul><li>Si los suscriptores hacen las cosas mal, probablemente nadie les acepte la firma en primer lugar… tampoco hablaremos de ellos… </li></ul><ul><li>Los más vulnerables son los terceros, que por definición confían en los certificados y en las CA!!! </li></ul>
  17. 17. Casos a ver <ul><li>Validación del Certificado </li></ul>1 Validación de la CA 2 Usos de los Certificados 3 Tipo de Certificado 4
  18. 18. Validación del Certificado Vencido Revocado Cadena de confianza no verificable
  19. 19. Validación de la CA
  20. 20. Validación de la CA
  21. 21. Usos de los Certificados Provider X rootCA Provider X Subordinate CA N Guillermo Dotta 4.090.681-6 genexus.com CA=true CA=true CA=false
  22. 22. Usos de los Certificados Guillermo Dotta 4.090.681-6 SSLSniff
  23. 23. Tipo de Certificado <ul><li>Tengo que estar seguro que el subject del certificado que me están presentando es efectivamente algo que espero! </li></ul><ul><li>Una historia del mundo físico sobre confiar en un tipo equivocado de certificado… </li></ul>
  24. 24. CONCLUSIONES <ul><li>Sabiendo todo esto… </li></ul>
  25. 25. Conclusiones <ul><li>El tercero es el más vulnerable de las tres patas </li></ul><ul><li>Las políticas de certificación están hechas para leerse, y tomar decisiones en base a ellas </li></ul><ul><li>Un certificado a priori no autoriza a nada, en el mejor de los casos sólo autentica! </li></ul>
  26. 26. <ul><li>Bruce Schneier </li></ul>Si piensas que puedes solucionar problemas de seguridad sólo con tecnología, entonces no entiendes los problemas ni tampoco entiendes la tecnología “ ”
  27. 27. ¡Muchas Gracias! ¿Preguntas? [email_address] @ghdotta

×