t04 01 pki

23
Infraestructura de Clave Pública

Upload: manuel-fernandez-barcell

Post on 18-Aug-2015

41 views

Category:

Government & Nonprofit


0 download

TRANSCRIPT

Infraestructura de Clave Pública

Infraestructuras de Clave Pública(ICPs o PKIs, Public Key Infrastructures)

El modelo basado en Terceras Partes Confiables

Definiciones:

Es un conjunto de protocolos, servicios y estándares que soportan aplicaciones basadas en criptografía de clave pública.

El hardware, software, personas, políticas y procedimientos necesarios para crear, gestionar, almacenar, distribuir y revocar certificados.

Una infraestructura de clave pública, es el conjunto de componentes y políticas necesarias para crear, gestionar y revocar certificados digitales que pueden ser utilizados para autenticar cualquier aplicación, persona, proceso u organización de la red de una empresa, extranet o Internet.

Prestadores de Servicios de Certificación (PSCs)● Son entidades que despliegan y mantienen Entornos de

Confianza en ámbitos bien definidos– Ponen a disposición de sus usuarios herramientas para

solicitar la obtención de certificados digitales de forma telemática.

– Gestionan el ciclo de vida de los certificados electrónicos emitidos.

– Dan servicios de consulta de estado de certificados, Time Stamping, etc.

– Pueden poseer infraestructuras de Autoridad de Registro (RA), o delegar este servicio.

– Definen jerarquías de certificación que permiten dar servicio a sus usuarios.

– Definen sus políticas de funcionamiento en Documentos de Prácticas de Certificación (DPC).

● Ejemplos: FNMT, DGP (eDNI), Firma Profesional, etc.

Prestadores de Servicios de Certificación Reconocidos

● Se denominan Prestadores de Servicios de Certificación Reconocidos a los PSCs admitidos por la ley 59/2003 de firma electrónica.

– La administración mantiene una lista de los PSC españoles reconocidos para trabajar con la Administración General del Estado (en adelante AGE) en la dirección:

● http://www.minetur.gob.es/telecomunicaciones/es-ES/Servicios/FirmaElectronica/Paginas/Prestadores.aspx

● http://forja-ctt.administracionelectronica.gob.es/webdav/site/ctt-map/users/soporte_afirma/public/@FirmaV5p0_ANEXO_PSC.pdf

● Según la Ley 59/2003 la equivalencia entre firma electrónica y firma manuscrita se da cuando la firma ha sido generada con un “certificado reconocido”.

– Los certificados reconocidos son los certificados emitidos por los PSCs Reconocidos publicados en la lista anterior.

Servicios de Certificación● Consulta de Estado de Certificados (CRLs).

– La CA ha de publicar el estado de los certificados (válido, revocado, suspendido) mediante las herramientas y protocolos pertinentes.

● CRL (Certificate Revocation List)● OCSP (Online Certificate Status Protocol)

● TimeStamping – En toda transacción de firma se ha de constatar el instante de tiempo para que sea válida,

y además ese instante de tiempo ha de estar acreditado por un Tercero de Confianza denominado Autoridad de Fechado Digital (TSA).

● Certificación de RA’s. – Formación y acreditación de Autoridades de Registro para la gestión de solicitudes de

certificados. Se provee de las herramientas software y hardware necesarias a los registradores.

● Custodia a largo plazo– Almacenamiento y conservación de transacciones de firma en el tiempo proporcionando

los métodos de disponibilidad pertinentes (según criterios de seguridad del BOE).

● Outsourcing – Suministro de servicios de CA para entidades privadas que lo necesiten.

– Incluyen un convenio de formación e implantación de RA’s exclusivas para estas entidades privadas.

Algunos de los servicios del PKIRegistro de claves:

Emisión de un nuevo certificado para una clave pública.

Revocación de certificados:

Cancelación de un certificado.

Selección de claves:

Publicación de la clave pública

Evaluación de la confianza:

Determinación sobre si un certificado es válido

Recuperación de claves:

Posibilitación de recuperar las claves de un usuario.

La norma es:

Internet Certificate and CRL Profile RFC 3280

– http:\\www.ietf.org

Componentes de la Infraestructuras de Clave Pública(ICPs o PKIs, Public Key Infrastructures)

Las ICPs están compuestas por distintas terceras partes en los que todos los demás usuarios de la infraestructura confían:·

Autoridades de Certificación (CAs)

Gestión de Certificados ·

Autoridades de Registro (RAs)

Autoriza la asociación entre una clave pública y el titular de un certificado

Entidades finales /Usuarios /Suscriptores (a quien se pretende identificar)

Son los titulares de los Certificados

Los repositorios (Directorios)

Almacenan y distribuyen certificados y estados: expirado, revocado, etc.

Autoridad de Validación

Suministra información de forma online (en tiempo real) acerca del estado de un certificado

Emisores de CRLs.

Otras Terceras Partes Confiables como por ejemplo

Las Autoridades de Fechado Digital.

Las partes utilizadoras

Verifican certificados y firmas

Infraestructura de Clave Pública (PKI)

Ejemplo de funcionamiento de una PKI

Autoridad de CertificaciónEntidad fiable, encargada de garantizar de forma unívoca y segura la identidad asociada a una clave pública

Representan la fuente de credibilidad de la infraestructura de llave pública.

Son quienes emiten los certificados, firmándolos digitalmente con su llave privada.

Certifican que la llave pública asignada en un certificado a una entidad final, corresponde realmente a dicha entidad final.

Recibe y procesa peticiones de certificados de los usuarios finales

Proporciona las herramientas y servicios necesarios para gestionar su ciclo de vida: emisión, suspensión y revocación.

Consulta con una Autoridad de Registro para determinar si acepta o rehúsa la petición de certificado

Gestiona Listas de Revocación de Certificados (CRLs)

Renueva certificados

Proporciona:

Servicios de backup y archivo seguro de claves de cifrado

Infraestructura de seguridad para la confianza, políticas de operación segura, información de auditoría.

Nomenclatura CNI: Entidad de Certificación (EC)

Autoridad de RegistroRealiza el proceso de registro de las entidades finales por encargo de la autoridad de certificación.

Verifica la identidad del usuario

– Requiere presencia física del solicitante de un certificado en la Autoridad de Registro, donde a través de la documentación pertinente se verificará que el solicitante del certificado y la persona presentada son la misma persona y que la información es verídica.

– Valida los atributos del sujeto que solicita el certificado

Gestiona el registro de usuarios y sus peticiones de certificación/revocación, así como los certificados respuesta a dichas peticiones

Indica a la CA si debe emitir un certificado

Autoriza la ASOCIACIÓN entre una clave pública y el titular de un certificado

Son numerosas y dispersas geográficamente para facilitar la accesibilidad de los usuarios finales.

Son formadas y certificadas por la Autoridad Certificadora que les proporciona una licencia de funcionamiento.

Nomenclatura CNI: Entidad de Registro (ER)

Métodos de RegistroRegistro Presencial

El usuario se persona a Autoridad de Registro, y le entrega toda la documentación que requiera.

Si la Autoridad de Registro aprueba la solicitud, pasa los datos a la Autoridad de Certificación para que emita el certificado.

Una vez emitido, la Autoridad de Registro suministra en certificado al usuario

Gestión del ciclo de vida de un certificado

● Revocación● Expiración● Renovación (extensión periodo

validez del certificado, respetando el plan de claves)

● Reemisión del par claves del usuario● Actualización de datos del certificado

Repositorios (directorios LDAP o X500)

Permite guardar información sobre PKI, como puedan ser

Certificados, y

CRLs para su acceso por parte de las entidades finales o de sus delegados.

Tienen por finalidad que la entidad final obtenga la confirmación sobre:

El estatus de revocación de los certificados de otros usuarios, y

La validación del “Certification Path”, o cadena de certificados.

Autoridad de Validación (VA)

Suministra información de forma online acerca del estado de un certificado.

La VA suele proporcionar dos servicios de validación:

La descarga de CRLs para que el usuario las interprete él mismo, o

A través del protocolo OCSP (Online Certification Status Protocol).

Los usuarios y las aplicaciones que deseen obtener el estado de un certificado, sólo tienen que realizar una petición OCSP contra la VA para obtener dicho estado.

La CA actualiza la información de la VA cada vez que se modifica el estado de un certificado, con lo que, a diferencia de las CRLs, se dispone de información en tiempo real.

Nomenclatura CNI: Entidad de Validación (EV)

OCSP: Online Certificate Status Protocol

Protocolo que permite el acceder al estado del certificado de manera online

IETF RFC 2560

Emisores de CRLs o “Certificate Revocation List Issuers” Los emisores de Listas de Revocación de Certificados actúan en nombre de la Autoridad de Certificación, siendo de carácter opcional aunque sumamente convenientes.

Son listas de los Certificados que han dejado de ser válidos y por tanto en los que no se puede confiar.

Los Certificados son revocados en los casos que:

a) La llave privada se vea comprometida,

b) Hayan cambiado los atributos del certificado.

Autoridad de Sellado de Tiempo (TSA -TIME STAMPING AUTHORITY )● Esta autoridad garantiza la existencia de un documento en un

determinado instante de tiempo.● Asocia un tiempo “certificado” a los documento

– Esta garantía se obtiene gracias a la firma electrónica de la propia entidad y a la confianza y fiabilidad que deben transmitir los mecanismos establecidos para la obtención de una unidad temporal precisa.

● La TS@ del MINHAP es una plataforma de sellado de tiempo, sincronizada con la hora legal provista por el Real Observatorio de la Armada, con las funcionalidades de sellado, validación y resellado de sellos de tiempo. – Mediante la emisión de un sello de tiempo sobre un documento, se generará una

evidencia, que determinará la existencia de ese documento en un instante determinado.

● Enlace– http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_G

eneral&langPae=es&iniciativa=201

¿Qué es el Código de Verificación Electrónica (CVE)?

● El CVE es un código seguro originado mediante un algoritmo matemático que combina letras y números y que asocia de forma unívoca cada copia impresa de una certificación con su documento electrónico original.

● De esta manera, si tuviera que presentar la certificación impresa ante un tercero, éste podrá verificar su validez (es decir, cotejar la copia impresa frente al original) introduciendo ese CVE desde la opción 'Verficación de Certificaciones’ del Servicio de Notificaciones Electrónicas del Portal 060.

● Enlace– http://www.boe.es/diario_boe/preguntas_frecuentes/cve.php

¿Cómo puedo verificar la integridad de una certificación en papel que incluya un CVE● Cuando cargue el fichero de una certificación (fichero XML) a través de la

funcionalidad disponible en la pestaña ‘Carga Certificación’, el servicio procederá a su validación y, de ser correcta, generará un documento PDF con su contenido e incluyendo un Código de Verificación Electrónica (CVE).

● Ese CVE asocia la copia impresa al documento electrónico original, permitiéndole presentar la copia ante un tercero que se lo pudiera requerir.

● Con el objeto de que ese tercero pueda validar la autenticidad e integridad de la copia impresa, éste podrá introducir el CVE a través de la opción ‘Verificación de Certificaciones’ disponible en el Servicio de Notificaciones Electrónicas del Portal 060 https://notificaciones.060.es

● Si el CVE es correcto, el servicio recuperará el documento electrónico original en formato PDF pudiendo proceder al cotejo de su contenido con el de la copia impresa (además podrá descargarse la certificación en formato XML o acceder a la notificación/comunicación asociada - si ésta fue aceptada por el receptor).

Enlaces

● Junta de andalucia– https://www.juntadeandalucia.es/haciendayadmini

stracionpublica/clara/portada.html– https://ws024.juntadeandalucia.es/ae/

● Universidad de Cádiz– https://oficinavirtual.uca.es/oficinaVirtual/jsp/index

.jsf

– http://ae.uca.es/catalogo

● PAE– http://administracionelectronica.gob.es/