Foaf+ssl

536 views

Published on

Presentación del protocolo FOAF+SSL durante el segundo workshop

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
536
On SlideShare
0
From Embeds
0
Number of Embeds
121
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Foaf+ssl

  1. 1. AutentificaciónDistribuida en la Web: FOAF+SSL Philippe Camacho Universidad de Chile II Workshop “Web de Datos” Noviembre 2010
  2. 2. Problema Hola, soy Bob ¿Qué tal Bob?
  3. 3. Problema Hola, soy Bob ¿Qué tal Bob?
  4. 4. Identidad¿De qué Bob estamos hablando?
  5. 5. Problema Hola, soy Bob Marley ¿Que tal Bob?
  6. 6. Autenticidad¿Cómo Bob Marley convence Alicede que realmente es Bob Marley? ¡Sí en verdad soy YO!
  7. 7. La identidad de una persona es entregada por un Para demostrar quién soy tengo que… intermediario de confianza… sonreir . Identidad Autenticidad El intermediario de confianza establece el vinculo entre información sobre la identidad y autenticidad
  8. 8. De vuelta al Cuenta Identidadmundo digital VERIFICADA
  9. 9. La identidad de una persona es entregadapor un intermediario de confianza… Identidad
  10. 10. Para demostrar que soy realmenteBarack Obama necesito una contraseñapara publicar en mi cuenta… Autenticidad
  11. 11. Usuario / Contraseña IdentidadAutenticidad
  12. 12. Problema
  13. 13. Otro problema
  14. 14. Más problemas
  15. 15. De vuelta al mundo “real” Hola Philippe, te presento Tim Berners Lee, el inventor de http.
  16. 16. Criptografía de clave pública C = Enc( , M) El secreto (clave privada) queda exclusivamente en la posesión del usuario. M = Dec(C, )
  17. 17. Ataque del hombre del medio
  18. 18. ¿Cómo vincular la identidad a clave pública?Claudio Gutierrez Tim Berners Lee M=La clave SHG56515454 Es la de Tim Berners Lee. Firma(M, XJKGHJSDGHFD) XJKGHJSDGHFD SHG56515454
  19. 19. Red de Confianza conPretty Good Privacy (PGP)
  20. 20. Infraestructura de Clave Pública (ICP) Autoridad firma certificados de subautoridades
  21. 21. ¿Por qué en la práctica no funciona tan bien? REVOCACIÓN¿Quizás deberíausar FOAF+SSL? Mi clave privada ha sido comprometida. Tengo que llamar a mis 17.445 contactos para que firmen mi nueva clave pública…
  22. 22. Friend of a Friend (FOAF)Axel Polleres Francois Scharffe Yves Raimond
  23. 23. Secure Socket Layer (SSL)• Permite – Autentificar ambos participantes – Verificar la integridad de los mensajes – Establecer clave de sesión secreta compartida – Evitar ataques de re-envio – Relacionar clave pública con identidad – SSL no provee “no-repudiación”: no hay firmas digitales de por medio
  24. 24. FOAF+SSL Henry Story http://vimeo.com/14797957¿Como armar redes sociales distribuidas y seguras?
  25. 25. http://blogs.sun.com/bblfish/entry/foaf_ssl_creating_a_global
  26. 26. Ventajas de FOAF+SSL• Descentralizado – La información en una red suficientemente grande es difícil adulterar. – Cada participante controla su información.• Flexible – No hay que firmar claves (como en PGP) (Puedo cambiar mi clave sin tener que avisar a todos mis amigos)• Políticas de seguridad sofisticadas – “Si al menos 5 de mis amigos conocen a Bob Marley entonces le doy acceso.”• Simple
  27. 27. ¿Cuál es el “truco”?
  28. 28. ¿Todo bien entonces?
  29. 29. ¿Qué pasa con DNS?Hi Henry,Im trying to understand FOAF+SSL and have the same issue than John. You say that: "If Romeo does not control the <https://romeo.net/> resource, he will not be ableto place information there about his public key."But if Alice contacts https://romeo.net/ to retrieve its public key, how can she besure that she reaches the proper server (Im thinking of DNS poisoning or otherman in the middle attacks). The only way is to either have obtained romeos publickey through another mean (which one ?) or to have romeo provide a certificatesigned by a party that Alice trust (need key signing parties).Can you please elaborate on how you protect against man in the middle attacks inFOAF+SSL ?Thanks a lot,-Laurent http://blogs.sun.com/bblfish/entry/more_on_authorization_in_foaf
  30. 30. ¿Qué pasa con DNS?Hi Laurent.DNS poisoning is indeed a serious issue. Indeed it is *so* serious an issue, with somany implications for commerce and security, that it is forcing the introduction ofDNS-SEC. This will be mandated by the United States for the Military and thegovernement controlled DNS by the end of the year (2009). *…+Henry Story. http://blogs.sun.com/bblfish/entry/more_on_authorization_in_foaf
  31. 31. DNS(SEC):de vuelta al mismo problema… ¿Con quien estoy conversando? google.com? 209.85.195.104
  32. 32. DNS(SEC):¿Cómo se resuelve hoy?

×