2. Certificados Digitales
INTRODUCCION
Uno de los problemas que surgen en Internet es el de la identificación de las
personas o entidades, por Ejemplo, cómo asegurarnos de que una clave pública
que hemos encontrado en Internet pertenece realmente a quién dice pertenecer.
Una posible solución es la utilización de un certificado digital que es fichero
digital intransferible y no modificable, emitido por una tercera parte de confianza
(AC), que asocia a una persona o entidad una clave pública.
¿QUÉ ES UN CERTIFICADO DIGITAL?
Un certificado digital es un documento otorgado por una autoridad de
certificación que garantiza la asociación de una persona física con una firma digital.
¿PARA QUÉ SIRVE?
Básicamente, el certificado digital es el mecanismo que nos permite obtener
una firma digital válida para firmar documentos de manera electrónica.
Dependiendo de su nivel de seguridad, la firma digital ofrece las mismas garantías
que la firma ológrafa y permite asegurar la integridad de un documento.
¿Cómo funciona?
Para que un certificado digital tenga validez legal, la autoridad de
certificación debe de estar acreditada por la entidad pública de certificación del
país correspondiente. En Ecuador es el Banco Central es la entidad que se
encarga de gestionar este tipo de certificados.
Como mecanismo para asegurar ambos conceptos (integridad e identidad),
el certificado digital utiliza el estándar X.509 basado en un algoritmo de
criptografía asimétrica. Este método criptográfico emplea dos claves por usuario:
una pública y otra privada. Y es la autoridad correspondiente quién certifica que
ambas claves son únicas por usuario y están correctamente vinculadas entre sí.
Dependiendo de cómo se utilicen estas claves, el usuario puede asegurar la
integridad del envío y garantizar la identidad del remitente o proteger la
privacidad del envío.
PÁGINA1
3. Garantizar la integridad del mensaje e identidad del
remitente
Para garantizar la integridad del mensaje y asegurar la identidad del
remitente, la versión resumida del procedimiento es el siguiente: el remitente
firma el mensaje utilizando su clave privada y lo envía a otros usuarios. Gracias a
esta firma, todos los destinatarios pueden comprobar la integridad del mensaje y la
identidad utilizando la clave pública del remitente.
Proteger la privacidad del envío
En cambio, para asegurar la privacidad de un envío el proceso cambia: el
remitente cifra el mensaje utilizando la clave pública del destinatario. Y éste, para
descifrar el mensaje, utiliza su clave privada. Como la clave privada sólo la conoce
el destinatario, es imposible que un tercer usuario descifre el mensaje (excepto por
fuerza bruta).
ESTRUCTURA DE UN CERTIFICADO DIGITAL
Un certificado digital que siga el standard X509v3, utilizado por los
navegadores, contiene la siguiente información:
Identificación del titular del certificado: Nombre, dirección, etc.
Clave pública del titular del certificado.
Fecha de validez.
Número de serie.
Identificación del emisor del certificado.
Un ejemplo sería:
issuer: C=ES ST=L=Barcelona O=SECURITY ZUTANEZ OU=Division de
certificados CN=Fulano Menganez Email=Fulano@fulanez.es subject: C=ES
ST=O=OU=CN=Jaimito Email=Jaimito@jaimito serial:15
Certificate: Data: Version: 1 (0x0) Serial Number: 21 (0x15)
SignatureAlgorithm: md5WithRSAEncryption Issuer: C=ES ST=L=Barcelona
O=SECURITY ZUTANEZ OU=Division de certificados CN=Fulano Menganez
Email=Fulano@fulanez.es ValidityNotBefore: Nov 18 15:15:31 1998 GMT
NotAfter : Nov 13 15:15:31 1999 GMT Subject: C=ES, ST=, O=, OU=,
CN=Jaimito Email=Jaimito@jaimitoSubjectPublic Key Info: Public Key
Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit):
00:9e:74:de:c9:1a:6b:f4:fe:d1:04:30:58:7e:8b:
51:7a:98:23:e9:45:a9:c2:a7:7c:f8:f8:b5:9a:a2:
ea:c1:99:68:ba:f7:c3:d8:06:05:1b:6a:47:a1:44:
5c:2c:a6:e0:4b:6f:ce:02:c4:06:32:20:34:be:13:
97:39:a3:aa:6f:2f:41:a7:bc:14:c8:f3:0c:ad:9d:
PÁGINA2
4. 09:63:8a:f5:eb:60:5b:06:a6:01:fb:1a:07:b2:c6:
39:48:bb:b7:00:56:4e:20:6d:87:3f:67:0b:2f:f4:
b0:5f:74:7f:90:6b:b4:47:6f:56:1a:b5:c5:42:54:
9b:e5:e3:00:e2:4f:e3:14:47 Exponent: 65537 (0x10001)
SignatureAlgorithm: md5WithRSAEncryption
3b:2b:e9:ff:48:48:35:ab:30:5c:e2:d1:88:c9:29:8b:bc:09:
b2:58:80:17:9c:e7:08:0a:7d:8a:5e:46:a8:83:3b:ee:84:de:
62:e3:ea:51:cb:92:bc:fa:db:90:bd:cd:9f:25:d4:4a:48:63:
ac:b8:93:f9:dc:9c:cf:ef:fd:45
-----BEGIN
CERTIFICATE----MIICOzCCAeUCARUwDQYJKoZIhvcNAQEEBQAwgaYxCzAJBgNVBAYTAkVTMRIwEAYD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= - ----END CERTIFICATE-----
Este es un certificado, válido durante un año, emitido por la autoridad
certificadora SECURITY ZUTANEZ para el usuario Jaimito cuya clave pública RSA
es:
exponente: 65537
modulo: 11127195552971827497702000105328725497115357432563948646524265
42649114539614030882310105443040321585401884991855044788817550
61645893205889184340440484177173313682979482908132499473623983
65177107544610936519826706567881109010715263259238888910151015
7610404623906744451048525264576885364836810773621503974118471
Todos los datos están firmados por la AC usando la función hash MD5 y su
clave privada RSA. Una firma digital es el equivalente de la firma convencional, en
el sentido de que es un añadido al final del mensaje conforme se está de acuerdo
con lo que allí se dice. Formalmente, una firma digital es una transformación de un
mensaje de forma que cualquier persona con conocimiento del mensaje y de la
clave pública del firmante pueda comprobar que dicha transformación ha sido
realizada realmente por el firmante.
PÁGINA3
5. Para verificar que el certificado es correcto deberíamos hacernos con el
certificado digital emitido para dicha AC por una segunda AC. Para verificar la
veracidad de este segundo certificado deberíamos obtener el certificado digital
emitido para segunda AC por una tercera AC. Como este proceso podría
eternizarse, existen las llamadas autoridades raíz que firman sus propios
certificados, un ejemplo de autoridad raíz es Verisign.
Aparte de los datos del emisor y del propietario del certificado éste puede
contener información referente a las limitaciones que se hayan establecido para su
uso: e-mail, www, etc...
Como puede observarse en el certificado del ejemplo, no existe ninguna
referencia a algoritmos de clave secreta. Cuando navegamos con Netscape y
recibimos un certificado de un servidor web 'seguro' aparece la ventana:
New SiteCertificate
HereistheCertificatethatisbeingpresented:
Certificatefor: UPC Signedby: UPC Encryption: Highest Grade (RC4 with
128-bit secretkey)
Thesigner of theCertificatepromisesyouthattheholder of
thisCertificateiswhotheysaythey are. Theencryptionlevelisanindication
of howdifficultitwould be
forsomeonetoeavesdroponanyinformationexchangedbetweenyou and this web
site.
PÁGINA4
6. La información ''Encryption: Highest Grade (RC4 with 128-bit secret key)''
no tiene nada que ver con el certificado presentado por el servidor, sólo depende
del navegador utilizado y del servidor, a distinto navegador distinto grado de
cifrado.
Aunque desde un punto de vista técnico cualquiera puede erigirse en AC
(sólo es necesario disponer de un par de claves pública-privada para firmar y
verificar la firma, y todo aquel que desee obtener un certificado las tiene), una AC,
además de emitir certificados, debería ofrecer los servicios siguientes:
Búsqueda de certificados: Una persona puede querer buscar el certificado
referente a otra persona o entidad.
Revocación: Si un certificado se pierde, el titular debe poder informar a la
AC para que lo anule y emita otro. También si la clave privada ha quedado
comprometida debe ser posible su revocación.
Suspensión: La AC debe suspender la validez de un certificado si se hace un
uso anormal de él.
Estado del certificado: Las personas a las que se les presenta un certificado
deben de poder comprobar que no ha sido revocado o suspendido.
Actualmente aún se está desarrollando el marco legal que regule el
reconocimiento de la validez legal de las firmas digitales y cuáles han de ser los
requerimientos mínimos que han de reunir las autoridades certificadoras para ser
reconocidas como tales.
PÁGINA5
7. ¿QUÉ ES ISA SERVER?
ISA Server es un Gateway integrado de seguridad perimetral que protege su
entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un
acceso remoto rápido y seguro a las aplicaciones y los datos.
Publicación segura de aplicaciones.- Publicación de servidores Exchange, SharePoint
y otros servidores de aplicaciones.
PÁGINA6
8. La publicación segura de aplicaciones con ISA Server 2006 permite el acceso
de forma protegida a aplicaciones Exchange, SharePoint y otros servidores de
aplicaciones Web. Los usuarios remotos pueden acceder a ellas desde fuera de la
red corporativa con el mismo nivel de seguridad y privacidad que desde dentro.
Gateway para redes de oficinas.- Conexión segura y eficiente para redes remotas
ISA Server 2006 puede utilizarse como Gateway para redes de oficinas.
Permite conectar y proteger los enlaces entre oficinas remotas y departamentos
centrales y optimizar el uso del ancho de banda.
PÁGINA7
9. Protección del acceso a la Web.- Proteja su infraestructura de IT frente a amenazas
basadas en Internet.
La protección del acceso a la Web que proporciona ISA Server 2006
aumenta la seguridad a los entornos de IT corporativos frente a amenazas internas
y externas basadas en Internet.
Soluciones que ofece ISA Server
Necesidades de la organización
Publicación rápida de correo electrónico y otros
contenidos
Acceso seguro para cualquier aplicación Web y desde
cualquier dispositivo de cliente
Control riguroso de la identidad
Experiencias de usuario transparentes
Publicar un número elevado de servidores
Integración flexible con el Active Directory®
Una gestión más sencilla de SSL
Finalización automática del acceso cuando los
usuarios no utilizan el enlace (tiempo máximo de
inactividad)
Protección frente a ataques desde sistemas externos
Bloqueo para ataques con paquetes cifrados
Mínima exposición a ataques externos de Denegación
de Servicio (DoS) y DDOS
ISA Server ofrece
Herramientas para la publicación automática de Exchange
y SharePoint®
Autenticación basada en formularios Web personalizable
Autenticación multifactorial mejorada (con soporte para
tarjetas inteligentes, RADIUS OTP), y delegación (NTLM,
Kerberos)
Logon único (SSO, Single Sign-on), y traducción
automática de enlace
Balanceo de carga para la publicación Web
Soporte para LDAP
Administración de certificados mejorada
Gestión mejorada de la sesión
Integración de cuarentena para VPNs
Bridging basado en SSL
Mayor resistencia a ataques por inundación.
PÁGINA8
10. Protección contra gusanos que se propagan
internamente
Medidas de mitigación del impacto en caso de ataque.
Detección de ataques más rápida
Control e informes de actividad de los gateways
remotos
Detección de ataques sofisticados
Adaptabilidad ante cambios en las modalidades de
amenaza
Gestión rápida y sencilla de políticas complejas
Configuración sencilla de las conexiones de oficinas
remotas
Actualización rápida de los sistemas de las oficinas
remotas
Uso eficiente de un ancho de banda limitado
Reducir los costes de soporte de las infraestructuras
remotas
Una mejor gestión de prioridades del tráfico de red
Acceso rápido con enlaces de ancho de banda mínimo
Gestión centralizado y seguro de las oficinas remotas
Aprovechar al máximo la infraestructura existente
Mayor resistencia ante ataques de gusanos
Registro y control del consumo de memoria y peticiones
DNS pendientes.
Sistema de alertas, condiciones de disparo y respuestas
completo y totalmente automatizado
Integración con Microsoft® Operations Manager (MOM)
2005
Inspección de contenidos multinivel y en profundidad.
SDK Flexible para crear complementos de protección,
como filtros antivirus y Web
Herramientas de gestión sencillas y fáciles de aprender y
utilizar.
Herramientas automatizadas y soporte para instalaciones
desatendidas
Cache basada en BITS para la distribución de
actualizaciones de software
Compresión y cache de HTTP
Propagación más rápida de políticas y optimización de
conexiones de escaso ancho de banda
Soporte para DiffServ
Cache distribuido jerárquicamente cache para contenidos
Web
Funcionalidades de gestión central y remota
Arquitectura multirred con plantillas de administración de
redes.
Licencias
Licencias de Producto
ISA Server 2006 Ed. Estándar
ISA Server 2006 Ed. Enterprise
ISA Server 2006 Ed. Enterprise, paquete de 25
procesadores
Microsoft Windows Server 2003
Descripción
ISA Server 2006 es un Gateway perimetral integrado
que protege el entorno de IT frente a amenazas
basadas en Internet y ofrece a los usuarios remotos
un acceso rápido y seguro a las aplicaciones y datos.
ISA Server 2006 Ed.Enterprise está diseñado para
grandes organizaciones que necesitan opciones de
instalación flexibles con los máximos niveles de
disponibilidad, escalabilidad y capacidad de gestión.
El paquete de licencias para 25 procesadores de ISA
Server 2006 Enterprise se ofrece con un descuento
del 50% para clientes que necesitan ISA Server en
escenarios de grandes despliegues, como son las
redes de oficinas.
ISA Server 2006 Ediciones Estándar y Enterprise
requieren el sistema operativo Microsoft Windows
Server 2003 con Service Pack 1 (SP1) o Microsoft
Windows Server 2003 R2.
Requisitos del sistema
Para utilizar las ediciones Estándar o Enterprise de ISA Server 2006
necesitará esta configuración mínima:
PÁGINA9
11. Procesador
Sistema
Operativo
PC con procesador Pentium III a 733 MHz o superior.
Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft Windows Server 2003 R2.
Memoria
Disco duro
Se recomienda 512 megabytes (MB) de RAM o más
Partición en disco duro local con formato NTFS con 150 Mb de espacio de disco disponible; puede
necesitarse más espacio para cache Web
Adaptador de red para la conexión a la red interna. Otro adaptador de red adicional, modem o
adaptador RDSI para cada una de las redes a las que se conecta el equipo.
Otra tarjeta de red adicional para comunicaciones internas si el servidor pertenece a un array con
balanceo de carga (NLB) de ISA Server 2006 Enterprise Edition.
Adaptador de
red
Referencias
1.
2.
3.
4.
http://www.iec.csic.es/criptonomicon/articulos/expertos51.html
http://www.uv.es/~sto/articulos/BEI-2003-11/certificados_digitales.html
http://ecuador.isigmaglobal.com/2011/12/28/aduana-empieza-a-usar-la-firma-electronica/
https://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=7&sqi=2&ved=0C
EMQFjAG&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2FA%2FC%2F1%
2FAC1FE88A-ADBF-4D88-9BEA-2113542B42E7%2FESP_ISA_Server_2006_DS.pdf&ei=3aXUtrONcu1kAeg1YDYCA&usg=AFQjCNFhuUgZ6bsCTmVbvFMXSTyhlVSBEw
PÁGINA10