sin título de diapositiva - iit. · pdf filela ac junta la cpub, los datos del usuario,...
TRANSCRIPT
Seguridad InformticaCaptulo 8: Infraestructura de Clave Pblica (PKI)
Titulacin: Ingeniero en Informtica. Curso 5 - Cuatrimestral (2005-2006)
Javier Jarauta SnchezJos Mara SierraRafael Palacios Hielscher
2Captulo 8
Tema 12: Infraestructuras de Clave Pblica-PKI
IntroduccinCertificados digitales: el estndar X.509Autoridades de CertificacinAutoridades de RegistroArquitectura de las PKI. JerarquasTipos de certificados digitalesAlmacenamiento de los certificadosFabricantes existentes en el mercadoAplicaciones y ejemplos reales de PKI
3Captulo 8
Conceptos Bsicos
4Captulo 8
La identidad en el mundo real...
En el mundo real un pasaporte (1)demuestra
QUIENES SOMOS Los pasaportes son emitidos por una
autoridad en cada pas.
La emisin por parte de una Autoridad confiable hacen que el pasaporte y la persona sean de confianza
1: No en todos los pases existe la figura del DNI
5Captulo 8
...y en el mundo digital
En el mundo digital un certificado representa la identidad de una persona, una mquina,...
...es emitido por una Autoridad de Certificacin (e.g. DNIe, FNMT en la que se confa para este fin.
El certificado son los datos pblicos de la persona (identidad, clave pblica y otros,...) firmados por la Autoridad de Certificacin.
6Captulo 8
La firma en el mundo real...
En el mundo real la firma demuestra nuestro acuerdo o autora de un documento o
proceso
La firma est ligada a cada persona y el DNI o pasaporte
permiten demostrarlo y comprobar la firma
7Captulo 8
...y en el mundo digital
Usamos nuestra clave privada para firmar datos. Dado que slo nosotros podemos acceder y usar
la clave privada (mediante PIN), esto demuestra nuestra intervencin en el proceso.
No se firma todo el documento sino que se realiza un resumen matemtico primero.
La firma digital, realizada en las condiciones tcnicas y administrativas es inquebrantable.
La ley de firma electrnica 59/2003 da validez legal y regula la firma electrnica
8Captulo 8
Tarjetas inteligentesLa parte privada de nuestra clave es un elemento que nunca debe ser expuesto.
El medio ms seguro de asegurar la parte privada, y por
tanto que nuestra identidad digital no pueda ser
comprometida, es el uso de tarjetas inteligentes
La tarjeta inteligente genera internamente las claves y no permite que sean extradas por
ningn medio
Y realiza los procesos de firma y verificacin internamente.
9Captulo 8
El certificado digitalX.509v3
10Captulo 8
Definiciones
AC: Autoridad de Certificacin AR: Autoridad de Registro AV: Autoridad de Validacin DN: Distinguished Name Nombre distintivo. Identificacin
unvoca CN: commonName Nombre comn GN: guivenName Nombre SN : surName - Apellido O: Organizacin OU: Unidad organizativa C: Country CRL: Certificate Revocation List Certificados revocados
Certificados digitales (X.509.v3)
Subject DN:CN=Apellido1, Apellido2, NombreOU=DNIE; O=DGP; C=ES
SN= 12345678AStart= 01/03/2006 1:02End:=01/03/2008 1:02CRL=http://crls.dnielectronico.es/crlsSubjectAltName: IP, DNS, email
Public Key:
Issuer DN:CN=AC DNIE 001OU=DNIE; O=DGP; C=ES
Nombre nico del poseedor
Nmero de serie
Periodo de validz
Informacin para publicarla posible revocacin
La clave pblica
Nombre de la AC emisora
Firma de laAutoridad de Certificacin
Posibles alias
12Captulo 8
Estructura detallada
13Captulo 8
Almacen y formato de certificados
Fichero P12 FNMT JJS.pfx
Almacn PKCS#12 con Clave Privada(.pfx; .p12)
Certificado FNMT C2 JJS.cer
Certificado Pblico(.cer)
14Captulo 8
Como se establece la confianza
Cmo se obtienen las claves pblicas? Cmo se sabe que la entidad con la que te
ests comunicando es quien dice ser? Si se puede confiar en ella Si no se ha retirado la confianza en ella
Terceras Partes Confiables (TTP Trusted Third Party)
Prestadores de Servicios de Certificacin(PSC)
15Captulo 8
Terceras partes confiables (TTP)
Autoridad de Certificacin
confianzaconfianza
Alica Benito
Confianza a travs de la AC
Elementos del sistemaCertificados
CredencialesCredenciales &&Clave Clave PPblicablica
Alicia
Benito
CRLs
DirectorioDirectorio
AutoridadAutoridad de de CertificaciCertificacinn
AutoridadAutoridad de de RegistroRegistro
AutoridadAutoridad de de ValidaciValidacinnes vlido el certificado?
17Captulo 8
Que es una PKI
18Captulo 8
Infraestructura de clave pblica -PKI
Para organizar correctamente la criptografa, los certificados, las AC, ... de una manera gestionable, flexible y segura, el sistema utilizado es la Infraestructura de Clave Pblica PKI
La PKI es la Infraestructura que da los servicios de seguridad ala organizacin utilizando criptografa de clave pblica
Conceptos como AC, AR, renovacin de certs automtica, recuperacin de claves, revocacin, cross-certs, no-repudio... Son parte esencial de la PKI
Hay componentes adicionales al software PKI que son necesarios para el funcionamiento de todo el sistema de confianza
19Captulo 8
Ciclo de vida de los certificados
Generacin de clavesExpiracin
Validacin
Uso de claves
Emisin de Certificados
Actualizacin
20Captulo 8
Componentes de un sistema PKI
Autoridad de Certificacin (AC) Se encarga de emitir los certificados
Autoridad de Registro (RA) Se encarga de registrar a los usuarios
Autoridad de Validacin (VA) Se encarga de validar los certificados on-line
Autoridad de Sellado de Tiempos (TSA) Se encarga de sellar fecha y hora de transacciones
Directorio de certificados (LDAP) Se encarga de almacenar los certificados
Hardware criptogrfico (HSM) Tarjetas Criptogrficas (TI)
21Captulo 8
Tipos de certificados
Certificados Web para Navegador Certificados para VPN Certificados de doble o triple pareja de claves Certificados cualificados (autenticacin y
firma) Certificados de roaming Certificados de atributos
22Captulo 8
Otros conceptos asociados
Qu es y que contiene una CRL1?
DN: cn=CRL2,o=ACME, c=USStart: 1/5/04 1:02End: 1/6/06 1:02
Revoked:191231123832923756
CA DN: o=ACME, c=US
Nombre nico de la CRL
Periodo de validez
Nmeros de serie de los certificados revocados
Nombre de la AC emisora
Firma de la AC enla lista de revocados
1 Lista de Certificados Revocados
24Captulo 8
El concepto de varias parejas de claves (varios certificados)
Un certificado (un par de claves) para firmar y garantizar el no repudio La clave privada bajo control exclusivo del usuario
Otro certificado (otro par de claves) para cifrar la informacin almacenada y garantizar su recuperacin Se hace backup de la clave privada de cifrado
Para certificados cualificados (tercer par de claves) Para autenticacin del usuario
25Captulo 8
Otros conceptos (1)
Declaracin de Prcticas y Polticas de Certificacin (DPC CP/CPS) RFC 3647. Documento donde se detalla la
estructura, mbito de uso y caractersticas de los certificados emitidos.
Reglas de relacin entre el Prestador y usuarios Certificados cualificados
RFC 3039. Certificados separados para Autenticacin, Firma y Cifrado
Dispositivo seguro de creacin de firma Sistema que garantice la seguridad de la firma
26Captulo 8
Otros conceptos (2)
Certificados (firma) electrnica avanzada Certificados (firma) electrnica reconocida
Generados por un dispositivo seguro de creacin de firma Certificados (firma) avanzada Emitidos por un Prestador de Servicios de Certificacin
reconocido Cumplimiento de la ley 59/2003
Jerarqua de confianza Conjunto de AC que mantienen relaciones de confianza entre
s. Raiz y Subordinadas
Dispositivo seguro de creacin de firma Sistema que garantice la seguridad de la firma
27Captulo 8
Aplicaciones que requieren una PKI
Aplicaciones Internet Correo electrnico Comercio electrnico EDI Acceso Remoto y teletrabajo Redes Privadas Virtuales Seguridad en la Intranet Seguridad en el puesto de Trabajo ERPs Secure Single Sing-On Y ms...
28Captulo 8
Procedimientos
29Captulo 8
Generacin de certificados
1. En la tarjeta del usuario (o en el PC) se genera un par de claves Cpub y Cpriv
2. La Cpriv se protege con un PIN y nunca sale de la tarjeta (o almacn de software seguro)
3. Se enva la Cpub a la AC (PKCS#10) solicitando un cetificado
4. La AR verifica la identidad del usuario y proporciona a la AC dichos datos junto con su aprobacin
5. La AC junta la Cpub, los datos del usuario, y sus polticas y los firma con su Cpriv(AC) para formar el certificado digital
6. La AC enva el certificado al usuario (PKCS#7) y se carga en la tarjeta (o almacn Sw)
30Captulo 8
Revocacin y Validacin de Certificados
REVOCACIN1. Si el usuario pierde el PIN, la tarjeta o cree que ha sido
comprometido, solicita a la AC que revoque su cert.2. La AC emite cada cierto tiempo (minutos, horas, das)
una lista de certificados revocados (CRL)3. Cualquier aplicacin que quiera utilizar el certificado se
deber ir a la CRL para verificar que no est revocado
VALIDACIN1. Las Autoridades de Validacin AV (suele habe