2. Infraestructura de
Clave Pública (PKI)
Certificados
digitales
(X509)
Directorios de
certificados
(X.500, LDAP).
Organización
jerárquica. CA
y RA
Sistema sofware de
administración de
certificados:
comprobación,
generación y gestión
de certificados.
Protocolo para el
intercambio seguro de
información.
Elementos
3. Autentificación de usuarios
No repudio
Integridad de la información
Auditabilidad
Acuerdo de claves secretas
Infraestructura de
Clave Pública (PKI) OBJETIVOS
5. CRIPTOSISTEMAS
Sistema Cifrado
Clásico
Criptosistemas de
clave privada o
simétricos
ƒ Ejemplos: DES,
IDEA, RC2, RC4, 3DES,
Blowfish, CAST,
SAFER, AES
Problemas: número y
gestión de claves.
Criptosistemas de
clave pública o
asimétricos.
Clave privada
Clave Pública
Funciones resumen o
hash
Transforman mensajes
de longitud arbitraria
en mensajes de
longitud fija.
6. José
María
Dos entidades pueden intercambiar información secreta sobre un canal
inseguro garantizando la confidencialidad, la integridad y el no repudio.
Clave privada Clave pública
9. APLICACIONES DE NEGOCIO.
Esta aplicación está dedicada a transacciones de Banca a
Negocios, de Negocios entre Negocios (B2B), de Gobierno a
Cliente (G2C), de Gobierno a Negocios (G2B) y de Negocios a
Cliente (B2C).
10. ¿QUÉ SE NECESITA PARA FIRMAR UN
DOCUMENTO ELECTRONICO?
• Una clave o llave privada (archivo electrónico con extensión KEY)
y su respectiva contraseña de acceso.
Un certificado digital (archivo
electrónico con extensión
CER) expedido por el organismo
validador, que contiene la clave
o llave pública del titular.
11. Cualidades
Es única por documento y
signatario.
Es posible conocer al
autor.
Es infalsificable.
Es imposible de transferir
a otro documento.
12. CERTIFICADO ELECTRÓNICO
garantizar la identidad
de las partes:
Cualquiera puede generar
un par de claves y pretender
que su clave pública es de
un usuario X.
certificación digital:
Un tercero de confianza
(Autoridad de
Certificación, CA) asume la
responsabilidad
de autenticar la información
de identidad que
figura en el Certificado.
13. Certificado X.509v3
• Nº de versión * Nº de serie
• Nombre del emisor *‰ Nombre del sujeto
• ‰ Periodo de validez *‰ Clave pública
• ‰ Extensiones de certificado
Tipos de Soporte
• Fichero en disco duro
• Fichero en diskette
• Tarjeta TIBC
• Tarjeta criptográfica
• Token USB
Tipos de Certificados
• Personales
• Servidor
• Software
• Entidad
14. Versión del certificado
Núm. de serie del certificado
Algoritmo de firma del certif.
Nombre X.500 del emisor
Periodo de validez
Nombre X.500 del sujeto
Clave pública del sujeto
Uso de la clave
Uso de la clave mejorado
Identificador claves CA
Identificador claves usuario
Punto de distribución CRLs
Firma de la AC
Certificados X.509v3 (ejemplo)
Versión 3
Generado por la CA, único
sha1withRSAEncryption
c=ES, o=Empresa, cn= Autoridad de Certificación
desde dd/mm/aa hasta dd‟/mm‟/aa‟
c=ES, o=Empresa, cn=José Pérez
AC:46:90:6D:F9:.....
Firma digital, cifrado de clave
Autenticación en W2000
Identifica el par de claves utilizado para firmar el certificado
Identifica el par de claves asociado a la clave pub. en el certif.
HTTP://servidor/ruta/nombre.crl (publicación en web)
Firma del certificado por la CA
15. •Inicio de su vigencia
Emisión
•Finalización del periodo de validez
•Renovación del certificado
Expiración de Certificados
• La clave privada asociada al certificado se ha visto comprometida
• Cambio de datos asociados al certificado
• CRLs: Listas firmadas por la CA incluyendo referencias a certificados revocados por
ella.
Renovación de certificados
• Revocación temporal
• Mismas actuaciones que revocación, salvo que es reversible.
Suspensión de certificados
ESTADO DE LOS CERTIFICADOS
ELECTRONICOS
16. • Adecuados
para el uso de
la firma
electrónica
• Para especificar
cómo deben
generarse,
distribuirse y
utilizarse las claves
y los certificados
• Para definir
las reglas bajo
las cuales
deben operar
los sistemas
criptográficos
• Titulares de
certificados y
utilizadores
Personas
Políticas de
Seguridad
Marco LegalProcedimientos
Arquitecturas
Certificación
17. EJEMPLO DE FUNCIONAMIENTO DE UNA PKI
Aplicaciones
y otros
usuarios
Directorio
4. Se hace una
petición de
certificado a la CA
5. CA firma la
petición válida
6. …y envia el
certificado a la RA
9. El certificado es
además publicado
en un Directorio
Las aplicaciones que utilizan
los certificados pueden:
ƒ Extraer informaciones del certificado
ƒ Verificar posible revocación
ƒ Comprobar validez del certificado
ƒ Comprobar firmas
ƒ Descifrar datos
7. La RA entrega entonces el
certificado firmado al usuario
8. El certificado ha sido ya emitido
2. El sistema de Registro inicia la captura la
información de registro y activa generación claves
3. Devuelve la clave pública y la
información de registro a la RA
1. Un nuevo usuario se registra
para obtener un certificado Las relaciones de confianza entre
titulares de certificados existen por la
confianza en la Autoridad de
Certificación: un "Tercero de Confianza"
18. Cifrado individual
Los certificados electrónicos con el
„key usage‟ de „Data Encipherment‟
permiten el cifrado de información.
Cifrado para grupos
Existen soluciones orientadas al
cifrado para grupos (o cifrado
departamental).
„
„
El uso habitual de estos
certificados es el cifrado de las
comunicaciones con un tercero,
por ejemplo cifrar un correo
electrónico, así como el cifrado
individual de archivos propios.
Problemas:
¾ Necesidad de un archivo de claves.
¾ No es operativo para compartir
información cifrada entre más de
dos personas.
„
„
„
CIFRADO
La solución ha de gestionar la
caducidad de las claves y el que
más de una persona pueda
acceder a la información cifrada.
Asimismo ha de gestionar los
grupos para los que se puede
cifrar.
19. CIFRADO PARA GRUPOS
Política 1 Política 2 Política 3
Círculo de
confianza 03
Círculo de
confianza 01 Círculo de
confianza 02
Los círculos de confianza, o grupos de cifrado, normalmente están definidos en un LDAP.
La persona que desea cifrar un archivo selecciona qué grupo/s van a poder acceder al mismo.
20. OCSP: Online Certificate Status Protocol
„ Protocolo que permite el acceder al estado del certificado de manera online
„ IETF RFC 2560
CAAPLICACION
OCSP
Request
OCSP
Response
OCSP
CLIENT
Autoridad de Validación
OCSP
RESPONDER
LDAP SERVER
21. Una llave muy segura
„ Algo que se posee
„ No duplicable e inviolable
Además protegida por PIN secreto y/o biometría
„ Algo que se conoce y/o se es.
Portabilidad total
„ Claves y certificados grabados en la tarjeta
Firma electrónica avanzada
„ Según la normativa vigente
TARJETA INTELIGENTE
22. TARJETAS Y CHIP
CRIPTOGRÁFICOS
Tarjeta Criptográfica
„ El chip criptográfico contiene un microprocesador que realiza las operaciones
criptográficas con la clave privada. La clave nunca se expone al exterior.
„ Doble seguridad: posesión de la tarjeta y PIN de acceso (o mecanismos biométrico).
„ Puede ser multipropósito:
¾ Tarjeta de identificación gráfica.
¾ Tarjeta de control de acceso/horariomediante banda magnética o chip de radiofrecuencia.
¾ Tarjeta monedero.
¾ Tarjeta generadora de contraseñas de un solo uso (OTP).
„ Se precisa de un middleware (CSP) específico para utilizar la tarjeta, así como de un
lector (USB, integrado en teclado o PCMCIA)
„ El número de certificados que se pueden cargar depende del perfil de certificado, de la
capacidad del chip y del espacio que se reserve para los certificados.
¾ Chip de 32 KB: 3 a 5 certificados tipo
¾ Chip de 64 KB: de 6 a 10 certificados tipo
23. Tarjetas y chip criptográficos
Otros tipos
„ Token USB: al igual que las tarjetas criptográficas sirven de almacén de
claves/certificados y realizan las operaciones criptográficas en su interior.
¾ Ventajas: no precisan de lector (sólo puerto USB), reducido tamaño.
¾ Inconveniente: no sirven como tarjeta de identificación, monedero, de acceso.
„ Chip de radiofrecuencia (p. ej. Mifare): El chip criptográfico puede ser de acceso por
radiofrecuencia (sin contacto).
¾ Ventajas: se reduce el desgaste físico, no es necesaria la introducción de la tarjeta.
¾ Inconveniente: las operaciones criptográficas son lentas, lo que exige mantener la
proximidad un tiempo significativo
„ En la práctica el chip de radiofrecuencia se usa para control de acceso físico y horario.
El lector lee el número de serie del chip o un código almacenado y lo compara con su
base de datos de acceso.
24. Gestión de los
certificados CPS
Proceso de
registro
Política
de la
PKI
CP
Roadmap
Aplicaciones con soporte
de certificados
Factores a considerar en el
despliegue
25. Establecer la política de certificación
„ Certificados de identidad, firma, cifrado
„ Certificados de autorización
¾ Dan a su poseedor derecho a realizar ciertas operaciones
„ Certificados de “sello de tiempo”
¾ Aseguran que un documento existió en un determinado momento
„ Certificados de firma de código
„ ¿Debe de haber una CA de mayor rango que certifique a mi servidor?
„ ¿Necesito una CA o varias?
„ ¿Hay certificaciones cruzadas con otras organizaciones?
„ ¿Necesito una red de RAs?
Autoridades de registro
Árbol de confianza
Qué tipos de certificados emitir
Factores a considerar en el
despliegue
26. „ Cómo se solicitan los certificados
• Prácticas de identificación y registro
„ Gestión de claves y certificados
• Cómo se generan (cliente, PKI, tarjeta)
• Cómo se distribuyen
• Cómo se aceptan
„ Política de almacenamiento de
certificados y claves
• ¿Tarjeta inteligente?
• Directorio LDAP
„ Tratamiento de la validez
• Periodo de validez ¿largo? ¿corto?
• Revocaciones,
cancelaciones,
suspensiones
• ¿CRL? ¿otros mecanismos
como reconfirmación on line?
Publicación, distribución, consulta de CRLs
„ Marco legal
• Acreditación
• Registro
• Inspección
• Infracciones/sanciones
„ Responsabilidades
• Negligencia
• Daño
„ Compromisos
• Niveles de servicio
• Seguridad
• Recursos
Provisiones legalesProcedimientos operativos
Política de Certificación
27. „ La Declaración de Prácticas de Certificación (CPS) indica cuales son las prácticas
utilizadas para emitir los certificados. Incluye los equipos, las políticas y procedimientos
a implantar para satisfacer las especificaciones de la política de certificación. Se trata de
un documento publicable.
„ Describe como se interpreta la política de certificación en el contexto de la arquitectura
de sistemas y los procedimientos operativos de la organización
„ Política vs CPS
• La CPS es el manual de uso de los poseedores de un certificado.
• La política es importante para la interoperabilidad
• Una CA puede tener una CPS y varias políticas
‰ Certificados para diferentes propósitos
‰ Certificados para comunidades diferentes
• Diferentes CAs con diferentes CPS pueden soportar políticas idénticas.
„ Existe una recomendación para la estructura de la CPS y CPs del IETF: RFC3647
“Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices
Framework” de Noviembre 2003
Declaración de Prácticas de Certificación
28. DECLARACIÓN DE PRÁCTICAS DE
CERTIFICACIÓN• La Declaración de Prácticas de Certificación (CPS) indica cuales son las prácticas
utilizadas para emitir los certificados. Incluye los equipos, las políticas y
procedimientos a implantar para satisfacer las especificaciones de la política de
certificación. Se trata de
• un documento publicable.
• „ Describe como se interpreta la política de certificación en el contexto de la
arquitectura de sistemas y los procedimientos operativos de la organización
• „ Política vs CPS
• La CPS es el manual de uso de los poseedores de un certificado.
• La política es importante para la interoperabilidad
• Una CA puede tener una CPS y varias políticas
‰Certificados para diferentes propósitos
Certificados para comunidades diferentes
• Diferentes CAs con diferentes CPS pueden soportar políticas idénticas.
• „ Existe una recomendación para la estructura de la CPS y CPs del IETF:
RFC3647
• “Internet X.509 Public Key Infrastructure Certificate Policy and Certification
Practices
• Framework” de Noviembre 2003