1
Infraestructura de
clave pública (PKI)
Cinthia Duque G.
Infraestructura de
Clave Pública (PKI)
Certificados
digitales
(X509)
Directorios de
certificados
(X.500, LDAP).
Organizaci...
Autentificación de usuarios
No repudio
Integridad de la información
Auditabilidad
Acuerdo de claves secretas
Infraestructu...
PUBLICACIÓN
Usuarios
REPOSITORIO DE
CERTIFICADOS
y CRL‟s
CERTIFICACIÓN
PUBLICACIÓN
Autoridad de
CertificaciónAutoridad de
...
CRIPTOSISTEMAS
Sistema Cifrado
Clásico
Criptosistemas de
clave privada o
simétricos
ƒ Ejemplos: DES,
IDEA, RC2, RC4, 3DES,...
José
María
Dos entidades pueden intercambiar información secreta sobre un canal
inseguro garantizando la confidencialidad,...
Mediante cifrado asimétrico.
Con funciones resumen.
FIRMA ELECTRÓNICA
Firma Electrónica
procedimiento seguro
trámite de contratos
facturas
organizaciones a
autentifican transacciones.
B2B
B2C
...
APLICACIONES DE NEGOCIO.
Esta aplicación está dedicada a transacciones de Banca a
Negocios, de Negocios entre Negocios (B2...
¿QUÉ SE NECESITA PARA FIRMAR UN
DOCUMENTO ELECTRONICO?
• Una clave o llave privada (archivo electrónico con extensión KEY)...
Cualidades
Es única por documento y
signatario.
Es posible conocer al
autor.
Es infalsificable.
Es imposible de transferir...
CERTIFICADO ELECTRÓNICO
garantizar la identidad
de las partes:
Cualquiera puede generar
un par de claves y pretender
que s...
Certificado X.509v3
• Nº de versión * Nº de serie
• Nombre del emisor *‰ Nombre del sujeto
• ‰ Periodo de validez *‰ Clave...
Versión del certificado
Núm. de serie del certificado
Algoritmo de firma del certif.
Nombre X.500 del emisor
Periodo de va...
•Inicio de su vigencia
Emisión
•Finalización del periodo de validez
•Renovación del certificado
Expiración de Certificados...
• Adecuados
para el uso de
la firma
electrónica
• Para especificar
cómo deben
generarse,
distribuirse y
utilizarse las cla...
EJEMPLO DE FUNCIONAMIENTO DE UNA PKI
Aplicaciones
y otros
usuarios
Directorio
4. Se hace una
petición de
certificado a la ...
Cifrado individual
Los certificados electrónicos con el
„key usage‟ de „Data Encipherment‟
permiten el cifrado de informac...
CIFRADO PARA GRUPOS
Política 1 Política 2 Política 3
Círculo de
confianza 03
Círculo de
confianza 01 Círculo de
confianza ...
OCSP: Online Certificate Status Protocol
„ Protocolo que permite el acceder al estado del certificado de manera online
„ I...
Una llave muy segura
„ Algo que se posee
„ No duplicable e inviolable
Además protegida por PIN secreto y/o biometría
„ Alg...
TARJETAS Y CHIP
CRIPTOGRÁFICOS
Tarjeta Criptográfica
„ El chip criptográfico contiene un microprocesador que realiza las o...
Tarjetas y chip criptográficos
Otros tipos
„ Token USB: al igual que las tarjetas criptográficas sirven de almacén de
clav...
Gestión de los
certificados CPS
Proceso de
registro
Política
de la
PKI
CP
Roadmap
Aplicaciones con soporte
de certificados...
Establecer la política de certificación
„ Certificados de identidad, firma, cifrado
„ Certificados de autorización
¾ Dan a...
„ Cómo se solicitan los certificados
• Prácticas de identificación y registro
„ Gestión de claves y certificados
• Cómo se...
„ La Declaración de Prácticas de Certificación (CPS) indica cuales son las prácticas
utilizadas para emitir los certificad...
DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN• La Declaración de Prácticas de Certificación (CPS) indica cuales son las prácti...
RSA LABs
PKCS#
ITU X.500 (88)
ISO/IEC 9594-8 (90)
Cert X.509 v1
Cert X.509 v2
ITU X.500 (97)
ISO/IEC 9594-8 (97)
Cert X.50...
EVOLUCIÓN DE LOS
ESTÁNDARES
IETF SMIME v3
RFC 2634
(v2 2311)
IETF CMS
RFC 3852
(OLD 3369, 2630)
IETF TLS v1
RFC 2246
IETF ...
Próxima SlideShare
Cargando en…5
×

Infraestructura PKI

1.371 visualizaciones

Publicado el

Actividad de Aprendizaje N° 4
ESPE PAC
CINTHIA DUQUQ

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.371
En SlideShare
0
De insertados
0
Número de insertados
1
Acciones
Compartido
0
Descargas
55
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Infraestructura PKI

  1. 1. 1 Infraestructura de clave pública (PKI) Cinthia Duque G.
  2. 2. Infraestructura de Clave Pública (PKI) Certificados digitales (X509) Directorios de certificados (X.500, LDAP). Organización jerárquica. CA y RA Sistema sofware de administración de certificados: comprobación, generación y gestión de certificados. Protocolo para el intercambio seguro de información. Elementos
  3. 3. Autentificación de usuarios No repudio Integridad de la información Auditabilidad Acuerdo de claves secretas Infraestructura de Clave Pública (PKI) OBJETIVOS
  4. 4. PUBLICACIÓN Usuarios REPOSITORIO DE CERTIFICADOS y CRL‟s CERTIFICACIÓN PUBLICACIÓN Autoridad de CertificaciónAutoridad de Registro Autoridad de Validación CONFIRMACIÓN CONSULTA CERTIFICADO CRL VALIDACIÓN Componentes PKI
  5. 5. CRIPTOSISTEMAS Sistema Cifrado Clásico Criptosistemas de clave privada o simétricos ƒ Ejemplos: DES, IDEA, RC2, RC4, 3DES, Blowfish, CAST, SAFER, AES Problemas: número y gestión de claves. Criptosistemas de clave pública o asimétricos. Clave privada Clave Pública Funciones resumen o hash Transforman mensajes de longitud arbitraria en mensajes de longitud fija.
  6. 6. José María Dos entidades pueden intercambiar información secreta sobre un canal inseguro garantizando la confidencialidad, la integridad y el no repudio. Clave privada Clave pública
  7. 7. Mediante cifrado asimétrico. Con funciones resumen. FIRMA ELECTRÓNICA
  8. 8. Firma Electrónica procedimiento seguro trámite de contratos facturas organizaciones a autentifican transacciones. B2B B2C G2C G2B e-Procurement
  9. 9. APLICACIONES DE NEGOCIO. Esta aplicación está dedicada a transacciones de Banca a Negocios, de Negocios entre Negocios (B2B), de Gobierno a Cliente (G2C), de Gobierno a Negocios (G2B) y de Negocios a Cliente (B2C).
  10. 10. ¿QUÉ SE NECESITA PARA FIRMAR UN DOCUMENTO ELECTRONICO? • Una clave o llave privada (archivo electrónico con extensión KEY) y su respectiva contraseña de acceso. Un certificado digital (archivo electrónico con extensión CER) expedido por el organismo validador, que contiene la clave o llave pública del titular.
  11. 11. Cualidades Es única por documento y signatario. Es posible conocer al autor. Es infalsificable. Es imposible de transferir a otro documento.
  12. 12. CERTIFICADO ELECTRÓNICO garantizar la identidad de las partes: Cualquiera puede generar un par de claves y pretender que su clave pública es de un usuario X. certificación digital: Un tercero de confianza (Autoridad de Certificación, CA) asume la responsabilidad de autenticar la información de identidad que figura en el Certificado.
  13. 13. Certificado X.509v3 • Nº de versión * Nº de serie • Nombre del emisor *‰ Nombre del sujeto • ‰ Periodo de validez *‰ Clave pública • ‰ Extensiones de certificado Tipos de Soporte • Fichero en disco duro • Fichero en diskette • Tarjeta TIBC • Tarjeta criptográfica • Token USB Tipos de Certificados • Personales • Servidor • Software • Entidad
  14. 14. Versión del certificado Núm. de serie del certificado Algoritmo de firma del certif. Nombre X.500 del emisor Periodo de validez Nombre X.500 del sujeto Clave pública del sujeto Uso de la clave Uso de la clave mejorado Identificador claves CA Identificador claves usuario Punto de distribución CRLs Firma de la AC Certificados X.509v3 (ejemplo) Versión 3 Generado por la CA, único sha1withRSAEncryption c=ES, o=Empresa, cn= Autoridad de Certificación desde dd/mm/aa hasta dd‟/mm‟/aa‟ c=ES, o=Empresa, cn=José Pérez AC:46:90:6D:F9:..... Firma digital, cifrado de clave Autenticación en W2000 Identifica el par de claves utilizado para firmar el certificado Identifica el par de claves asociado a la clave pub. en el certif. HTTP://servidor/ruta/nombre.crl (publicación en web) Firma del certificado por la CA
  15. 15. •Inicio de su vigencia Emisión •Finalización del periodo de validez •Renovación del certificado Expiración de Certificados • La clave privada asociada al certificado se ha visto comprometida • Cambio de datos asociados al certificado • CRLs: Listas firmadas por la CA incluyendo referencias a certificados revocados por ella. Renovación de certificados • Revocación temporal • Mismas actuaciones que revocación, salvo que es reversible. Suspensión de certificados ESTADO DE LOS CERTIFICADOS ELECTRONICOS
  16. 16. • Adecuados para el uso de la firma electrónica • Para especificar cómo deben generarse, distribuirse y utilizarse las claves y los certificados • Para definir las reglas bajo las cuales deben operar los sistemas criptográficos • Titulares de certificados y utilizadores Personas Políticas de Seguridad Marco LegalProcedimientos Arquitecturas Certificación
  17. 17. EJEMPLO DE FUNCIONAMIENTO DE UNA PKI Aplicaciones y otros usuarios Directorio 4. Se hace una petición de certificado a la CA 5. CA firma la petición válida 6. …y envia el certificado a la RA 9. El certificado es además publicado en un Directorio Las aplicaciones que utilizan los certificados pueden: ƒ Extraer informaciones del certificado ƒ Verificar posible revocación ƒ Comprobar validez del certificado ƒ Comprobar firmas ƒ Descifrar datos 7. La RA entrega entonces el certificado firmado al usuario 8. El certificado ha sido ya emitido 2. El sistema de Registro inicia la captura la información de registro y activa generación claves 3. Devuelve la clave pública y la información de registro a la RA 1. Un nuevo usuario se registra para obtener un certificado Las relaciones de confianza entre titulares de certificados existen por la confianza en la Autoridad de Certificación: un "Tercero de Confianza"
  18. 18. Cifrado individual Los certificados electrónicos con el „key usage‟ de „Data Encipherment‟ permiten el cifrado de información. Cifrado para grupos Existen soluciones orientadas al cifrado para grupos (o cifrado departamental). „ „ El uso habitual de estos certificados es el cifrado de las comunicaciones con un tercero, por ejemplo cifrar un correo electrónico, así como el cifrado individual de archivos propios. Problemas: ¾ Necesidad de un archivo de claves. ¾ No es operativo para compartir información cifrada entre más de dos personas. „ „ „ CIFRADO La solución ha de gestionar la caducidad de las claves y el que más de una persona pueda acceder a la información cifrada. Asimismo ha de gestionar los grupos para los que se puede cifrar.
  19. 19. CIFRADO PARA GRUPOS Política 1 Política 2 Política 3 Círculo de confianza 03 Círculo de confianza 01 Círculo de confianza 02 Los círculos de confianza, o grupos de cifrado, normalmente están definidos en un LDAP. La persona que desea cifrar un archivo selecciona qué grupo/s van a poder acceder al mismo.
  20. 20. OCSP: Online Certificate Status Protocol „ Protocolo que permite el acceder al estado del certificado de manera online „ IETF RFC 2560 CAAPLICACION OCSP Request OCSP Response OCSP CLIENT Autoridad de Validación OCSP RESPONDER LDAP SERVER
  21. 21. Una llave muy segura „ Algo que se posee „ No duplicable e inviolable Además protegida por PIN secreto y/o biometría „ Algo que se conoce y/o se es. Portabilidad total „ Claves y certificados grabados en la tarjeta Firma electrónica avanzada „ Según la normativa vigente TARJETA INTELIGENTE
  22. 22. TARJETAS Y CHIP CRIPTOGRÁFICOS Tarjeta Criptográfica „ El chip criptográfico contiene un microprocesador que realiza las operaciones criptográficas con la clave privada. La clave nunca se expone al exterior. „ Doble seguridad: posesión de la tarjeta y PIN de acceso (o mecanismos biométrico). „ Puede ser multipropósito: ¾ Tarjeta de identificación gráfica. ¾ Tarjeta de control de acceso/horariomediante banda magnética o chip de radiofrecuencia. ¾ Tarjeta monedero. ¾ Tarjeta generadora de contraseñas de un solo uso (OTP). „ Se precisa de un middleware (CSP) específico para utilizar la tarjeta, así como de un lector (USB, integrado en teclado o PCMCIA) „ El número de certificados que se pueden cargar depende del perfil de certificado, de la capacidad del chip y del espacio que se reserve para los certificados. ¾ Chip de 32 KB: 3 a 5 certificados tipo ¾ Chip de 64 KB: de 6 a 10 certificados tipo
  23. 23. Tarjetas y chip criptográficos Otros tipos „ Token USB: al igual que las tarjetas criptográficas sirven de almacén de claves/certificados y realizan las operaciones criptográficas en su interior. ¾ Ventajas: no precisan de lector (sólo puerto USB), reducido tamaño. ¾ Inconveniente: no sirven como tarjeta de identificación, monedero, de acceso. „ Chip de radiofrecuencia (p. ej. Mifare): El chip criptográfico puede ser de acceso por radiofrecuencia (sin contacto). ¾ Ventajas: se reduce el desgaste físico, no es necesaria la introducción de la tarjeta. ¾ Inconveniente: las operaciones criptográficas son lentas, lo que exige mantener la proximidad un tiempo significativo „ En la práctica el chip de radiofrecuencia se usa para control de acceso físico y horario. El lector lee el número de serie del chip o un código almacenado y lo compara con su base de datos de acceso.
  24. 24. Gestión de los certificados CPS Proceso de registro Política de la PKI CP Roadmap Aplicaciones con soporte de certificados Factores a considerar en el despliegue
  25. 25. Establecer la política de certificación „ Certificados de identidad, firma, cifrado „ Certificados de autorización ¾ Dan a su poseedor derecho a realizar ciertas operaciones „ Certificados de “sello de tiempo” ¾ Aseguran que un documento existió en un determinado momento „ Certificados de firma de código „ ¿Debe de haber una CA de mayor rango que certifique a mi servidor? „ ¿Necesito una CA o varias? „ ¿Hay certificaciones cruzadas con otras organizaciones? „ ¿Necesito una red de RAs? Autoridades de registro Árbol de confianza Qué tipos de certificados emitir Factores a considerar en el despliegue
  26. 26. „ Cómo se solicitan los certificados • Prácticas de identificación y registro „ Gestión de claves y certificados • Cómo se generan (cliente, PKI, tarjeta) • Cómo se distribuyen • Cómo se aceptan „ Política de almacenamiento de certificados y claves • ¿Tarjeta inteligente? • Directorio LDAP „ Tratamiento de la validez • Periodo de validez ¿largo? ¿corto? • Revocaciones, cancelaciones, suspensiones • ¿CRL? ¿otros mecanismos como reconfirmación on line? Publicación, distribución, consulta de CRLs „ Marco legal • Acreditación • Registro • Inspección • Infracciones/sanciones „ Responsabilidades • Negligencia • Daño „ Compromisos • Niveles de servicio • Seguridad • Recursos Provisiones legalesProcedimientos operativos Política de Certificación
  27. 27. „ La Declaración de Prácticas de Certificación (CPS) indica cuales son las prácticas utilizadas para emitir los certificados. Incluye los equipos, las políticas y procedimientos a implantar para satisfacer las especificaciones de la política de certificación. Se trata de un documento publicable. „ Describe como se interpreta la política de certificación en el contexto de la arquitectura de sistemas y los procedimientos operativos de la organización „ Política vs CPS • La CPS es el manual de uso de los poseedores de un certificado. • La política es importante para la interoperabilidad • Una CA puede tener una CPS y varias políticas ‰ Certificados para diferentes propósitos ‰ Certificados para comunidades diferentes • Diferentes CAs con diferentes CPS pueden soportar políticas idénticas. „ Existe una recomendación para la estructura de la CPS y CPs del IETF: RFC3647 “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework” de Noviembre 2003 Declaración de Prácticas de Certificación
  28. 28. DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN• La Declaración de Prácticas de Certificación (CPS) indica cuales son las prácticas utilizadas para emitir los certificados. Incluye los equipos, las políticas y procedimientos a implantar para satisfacer las especificaciones de la política de certificación. Se trata de • un documento publicable. • „ Describe como se interpreta la política de certificación en el contexto de la arquitectura de sistemas y los procedimientos operativos de la organización • „ Política vs CPS • La CPS es el manual de uso de los poseedores de un certificado. • La política es importante para la interoperabilidad • Una CA puede tener una CPS y varias políticas ‰Certificados para diferentes propósitos Certificados para comunidades diferentes • Diferentes CAs con diferentes CPS pueden soportar políticas idénticas. • „ Existe una recomendación para la estructura de la CPS y CPs del IETF: RFC3647 • “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices • Framework” de Noviembre 2003
  29. 29. RSA LABs PKCS# ITU X.500 (88) ISO/IEC 9594-8 (90) Cert X.509 v1 Cert X.509 v2 ITU X.500 (97) ISO/IEC 9594-8 (97) Cert X.509 v3 / CRL v2 (2000) IETF PKIX (Cert&CRL Profile) RFC 3280 (Old 2459) IETF QCP RFC 3739 (Old 3039) ITU X.500 (93) ISO/IEC 9594-8 (95) EVOLUCIÓN DE LOS ESTÁNDARES
  30. 30. EVOLUCIÓN DE LOS ESTÁNDARES IETF SMIME v3 RFC 2634 (v2 2311) IETF CMS RFC 3852 (OLD 3369, 2630) IETF TLS v1 RFC 2246 IETF Cert Req MF RFC 2511 IETF PKCS7 RFC 2315 RSA LABs PKCS#10 RSA LABs PKCS#7 Netscape SSL v3

×