02 PKI - Aplicada - v1 - 3

1st Peruvian Workshop on IT Security
29.Dic.2003
Colaboracin
PKI aplicada
Roger Carhuatocto
http://escert.upc.es
Miembro esCERT -UPC Responsable de Servicios Educacionales

Instituto de Investigacin UNI -FIIS http://www.uni.edu.pe
esCERT-UPC C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ Espaa Tel. (34)934015795 ~ Fax. (34)934017055
1
Servicio de seguridad
Confidencialidad, slo autorizados acceden a la informacin Integridad, asegurar la no alteracin Autenticacin, corroborar la identidad Autenticacin de mensajes, conocer el origen del mensaje Firma, ligar identidad con informacin Autorizacin, permiso de acceso a recursos Validacin, evento (limitada en tiempo y espacio) de autorizacin Control de acceso, ingreso privilegiado Certificacin, aval de entidad de confianza Testificacin, aval extra de una entidad ajena a la primaria ) Sello de Tiempo (TIME STAMPING), registro de tiempo de un evento Recibo, constancia de entrega para el emisor Ttulo de propiedad (OWNERSHIP), transferencia legal de un derecho de uso Anonimicidad, la no relacin de una identidad con una entidad No repudio, prevenir negacin de actos realizados Revocacin, cese de certificacin
2 2
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Servicios de Seguridad
Las amenazas se reducen implantando Servicios de Seguridad Los servicios de seguridad estn basados sistemticamente en el uso de tcnicas criptogrficas .
3 3
Infraestructura. Por qu?.

Usuarios necesitan claves pblicas de otros usuarios. Cmo se accede a claves pblicas de otros usuarios?. Se debera disponer de una base de datos de clave pblicas asociadas a identidades de los usuarios que las poseen. Los usuarios accederan a la BDs y obtendran las claves necesarias.
4 4
Infraestructura. Conclusin
Amenaza: Si se trata de una BD de acceso pblico, podra ser fcil cambiar sus contenidos, por ejemplo, cambiar la identidad asociada a una cla ve pblica o viceversa. Solucin: Asegurar los depsitos de claves (seguridad no absoluta) Asegurar las asociaciones claves pblicas- identidades (Certificados digitales). La BDs resultante garantiza (acto de fe/confianza) que una determinada clave pblica pertenece a un determinado usuario.
5 5
Certificado y CA
1.
Autoridad de Certificacin (CA) Almacn seguro
2. 3.
Da garanta: Firma digitalmente la relacin clave pblica e identidad del poseedor de la clave. Dicha relacin se aade a la estructura del CERTIFICADO Gestiona la estructura de informacin (CERTIFICADO)
CERTIFICADO La clave pblica. La identidad del poseedor. La identidad de la CA. Una fecha de validez para esta asociacin. Firma digital (para protegerlo de manipulaciones malintencionadas)
NO HAY INFORMACIN CONFIDENCIAL.
6 6
Certificado y CA
1.
2. 3.
Da garanta: Firma digitalmente la relacin/asociacin clave pblica e identidad del poseedor de la clave. Dicha relacin se aade a la estructura del CERTIFICADO Gestiona la estructura de informacin (CERTIFICADO)
CERTIFICADO La clave pblica. La identidad del poseedor. La identidad de la CA. Una fecha de validez para esta asociacin. Identificacin de la asociacin Firma digital (para protegerlo de manipulaciones malintencionadas) Versin del formato Algoritmos usados en firma y hash
7
NO HAY INFORMACIN CONFIDENCIAL.
7
Certificado, Firma y cifrado

Alice descarga el certificado de Bob del almacn seguro Alice firma el mensaje con su Kpriv, usar la Kpub de Bob si enva dicho mensaje de forma cifrada Bob verifica la firma electrnica del mensaje y luego el certificado del remitente
KAlice pblica KAlice privada
Firma Digital
Verificacin de Firma Digital
SI?
8 8
Validacin de mensajes firmados

Validacin de mensaje + Validacin Certificado Verificar la validez del certificado del remitente. Existencia del certificado Dentro del perodo de validez. Certificado no revocado. Firma electrnica de la CA correcta. Verificar la firma electrnica del mensaje con la clave pblica del remitente Es necesario que el destinatario y el remitente pertenezcan al mismo circulo de confianza, es decir que ambas claves pblica deben estar en posesin de una misma CA
9 9
Infraestructura. Ldap
Un lugar idneo para guardar certificados es la base de datos distribuida X.500 (directorio). X.500 asocia una entrada de una base de datos distribuida y organizada jerrquicamente segn un rbol, a cada agente del sistema. Cada usuario puede depositar su certificado en su entrada del directorio y el resto de usuarios puede acceder a dicha entrada y recogerlo.
10 10
Infraestructura. Ldap
Autoridad de Certificacin (CA)
Almacn seguro
X.500
Usuario A
Usuario B
11 11
Ldap
X.500: Estructura de directorios jerrquica. Cada entrada se etiqueta con un CA Sub A Nombre Distintivo (Distinguished Name -DN-). CA Sub A.1 Un DN contiene valores de atributos: Pas C=PE Organizacin Unidad organizativa O=UNI-FIIS OU=ACME Nombre de usuario CAs y usuarios pueden depositar sus CN=Roger Carhuatocto certificados en el directorio X.500
CA Raz
CA Sub B
C=ES
12 12
Certificados y CRLs
Los certificados tienen una vida limitada. Al finalizar el perodo de validez, expiran. Un certificado puede dejar de ser vlido por varios motivos (REVOCADO): Si se sospecha que alguien ha tenido acceso a la clave privada, debe revocarse el certificado con la correspondiente clave pblica. Cuando el poseedor de un certificado cambia de empresa su DN no es vlido. En tales casos, la CA debe realizar las operaciones necesarias para REVOCAR el certificado. Una alternativa es disponer de Listas Firmadas (CRL) por la CA en las que se incluyan los certificados generados y revocados por ella o referencias a stos. Estas listas pueden depositarse en la entrada de la CA en el directorio X.500.
13 13
Certificados, CRLs y verificacin

La verificacin de un certificado implicar pues, la inspeccin de estas listas por ver si el certificado en cuestin est o no revocado. Proceso: Recepcin de mensaje firmado. Acceso a X.500 para recoger certificado de usuario. Comprobacin de que no est revocado. Si el certificado NO ha sido expedido por una CA conocida, r hacia arriba en el rbol de X.500 hasta dar con una en la que confiemos.
14 14
Conclusiones
En sistemas complejos: jerarquas de CAs. Necesidad de verificar secuencias de certificados de CAs hasta llegar al de una CA en la que se confe. Usuarios y CAs intercambiarn mensajes de gestin de certificados (para solicitar certificados, entregarlos, solicitar revocacin, confirmarla, etc.). Al hablar de infraestructura pues, estamos refirindonos a agentes presentes, mensajes intercambiados y reglas de juego: Servicios, plataformas, algoritmos, normas, protocolos, responsabilidades, estructutras
15 15
Certificado X.509
Definicin en ASN.1. Codificacin DER.
Certificate ::= SIGNED SEQUENCE { version [0] serialNumber signature issuer validity subject subjectPublicKeyInfo issuerUniqueId [1] subjectUniqueI [2] extensions [3] Version DEFAULT v1, CertificateSerialNumber , AlgorithmIdentifier , Name, Validity, Name, SubjectPublicKeyInfo, IMPLICIT UniqueIdentifier OPTIONAL, IMPLICIT UniqueIdentifier OPTIONAL, Extensions OPTIONAL }
16 16
Certificado Reconocido (Qualified Cert.)

Tipo de certificados que debe usarse para generar Firmas Electrnicas Avanzadas (segn la Directiva Europea) Es un perfil de certificado definido a partir del formato X.509, en el que se describen una serie de Extensiones que deben aparecer obligatoriamente.
17 17
Certificado Reconocido (Qualified Cert.)

Definicin en ASN.1. Codificacin DER.
Certificate ::= SIGNED SEQUENCE { version [0] serialNumber signature issuer validity subject subjectPublicKeyInfo issuerUniqueId [1] subjectUniqueI [2] extensions [3] AuthorityKeyId SubjectKeyId KeyUsage CertPolicies CRLDistributionPoint
18 18
Version DEFAULT v1, CertificateSerialNumber , AlgorithmIdentifier , Name, Validity, Name, SubjectPublicKeyInfo, IMPLICIT UniqueIdentifier OPTIONAL, IMPLICIT UniqueIdentifier OPTIONAL, Extensions OPTIONAL }
Public Key Cryptography Standards

Necesidad de estndares: asegurar la INTEROPERABILIDAD entre aplicaciones que aplican Criptografa de Clave Pblica, desarrolladas por fabricantes diferentes. Desarrollados por RSA Security y fabricantes (Microsoft, Sun, Apple, etc) Qu se ha estandarizado?: la sintaxis de los mensajes los algoritmos Qu asuntos quedan abiertos, a criterio del desarrollador
19 19
Public Key Cryptography Standards

Public-Key Cryptography Standards http://www.rsasecurity.com/rsalabs/pkcs/index.html
20 20
Aplicaciones. email
Autenticacin del Origen Integridad del Contenido Confidencialidad del Contenido No Repudio del Origen PEM (Privacy enhancen mail) fue la primera propuesta realizada en Internet para asegurar mensajes de correo electrnico haciendo uso de firmas digitales y certificados X.509. No tuvo xito porque no era compatible con MIME. Slo permite firma y cifrado de parte del mail S/MIME (Multipurpose Internet Mail Extensions ), igual que anterior, soporte MIME PGP J
21 21
Aplicaciones. Web seguro

Firma de formularios, Firma de pginas web, Firma de cdigo Autenticacin SSL
Desarrollado por Netscape Communications Corp. Permite proteger cualquier comunicacin de cualquier aplicacin que opere sobre TCP (http, FTP, Telne, cualquier tunel SSL) Ofrece servicios de Seguridad para Sesiones entre cliente/servidor Autenticacin del Servidor Autenticacin del Cliente Integridad del Contenido transferido Confidencialidad
22 22
Aplicaciones. Transacciones seguras

Pasarelas/medios de pago e-commerce, e-business, m-commerce e-gambling, e-voting (avanzada) Firma y cifrado con XML, web services Autenticacin: SSO, Kerberos Tokens : SmartCards de memoria y criptogrfica, JavaCards
23 23
PKI: Ejemplos
Autoridades de Certificacin OpenCA http://www.openca.org Linux, GPL, basado en OpenSSL, Apache, Perl, MySQL y Ldap NewPKI http://www.newpki.org Windows, GPL, C/C++, desarrollo propietario, MySQL y Ldap EJBCA http://ejbca.sourceforge.net Multiplataforma(Java), basada en API Criptogrfico de Java, J2EE/Jboss, MySQL y Ldap BDs y Ldap MySQL http://www.mysql.org Postgres http://www.postgres.org OpenLdap http://www.openldap.org Servidores web, application server Apache http://www.apache.org JBoss http://www.jboss.org
24
24
June 2003 Survey on PKI Obstacles

Objetivo Identificar principales obstculos para el despliegue y uso de PKI Cmo Web-based survey deployed June 9 to 22, 2003 (OASIS) Invitation distributedthrough PKI standards bodies, trade groups, user associations, etc. Encuestados 216 valid responses, many with careful text comments 44% IT management and staff, remainder developers, consultants, etc. PrimaryWork Location: 61% North America, 24% Europe, 6% Asia Over 75% with 5 or more years experience in InfoSec/Privacy 90% either helped deployPKI or developedPKI-related software
Ver encuesta
http://www.ietf.org/proceedings/03nov/slides/pkix-2/pkix-2.ppt
25 25

02 PKI - Aplicada - v1 - 3

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

02 PKI - Aplicada - v1 - 3

Hochgeladen von

Copyright:

Verfügbare Formate

1st Peruvian Workshop on IT Security

Miembro esCERT -UPC Responsable de Servicios Educacionales

Infraestructura. Por qu?.

NO HAY INFORMACIN CONFIDENCIAL.

NO HAY INFORMACIN CONFIDENCIAL.

Certificado, Firma y cifrado

KAlice pblica KAlice privada

Verificacin de Firma Digital

Validacin de mensajes firmados

Certificados, CRLs y verificacin

Certificado Reconocido (Qualified Cert.)

Certificado Reconocido (Qualified Cert.)

Public Key Cryptography Standards

Public Key Cryptography Standards

Aplicaciones. Web seguro

Aplicaciones. Transacciones seguras

June 2003 Survey on PKI Obstacles

Das könnte Ihnen auch gefallen