Beruflich Dokumente
Kultur Dokumente
29.Dic.2003
Colaboracin
PKI aplicada
Roger Carhuatocto
http://escert.upc.es
esCERT-UPC C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ Espaa Tel. (34)934015795 ~ Fax. (34)934017055
1
Servicio de seguridad
Confidencialidad, slo autorizados acceden a la informacin Integridad, asegurar la no alteracin Autenticacin, corroborar la identidad Autenticacin de mensajes, conocer el origen del mensaje Firma, ligar identidad con informacin Autorizacin, permiso de acceso a recursos Validacin, evento (limitada en tiempo y espacio) de autorizacin Control de acceso, ingreso privilegiado Certificacin, aval de entidad de confianza Testificacin, aval extra de una entidad ajena a la primaria ) Sello de Tiempo (TIME STAMPING), registro de tiempo de un evento Recibo, constancia de entrega para el emisor Ttulo de propiedad (OWNERSHIP), transferencia legal de un derecho de uso Anonimicidad, la no relacin de una identidad con una entidad No repudio, prevenir negacin de actos realizados Revocacin, cese de certificacin
2 2
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Servicios de Seguridad
Las amenazas se reducen implantando Servicios de Seguridad Los servicios de seguridad estn basados sistemticamente en el uso de tcnicas criptogrficas .
3 3
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Infraestructura. Conclusin
Amenaza: Si se trata de una BD de acceso pblico, podra ser fcil cambiar sus contenidos, por ejemplo, cambiar la identidad asociada a una cla ve pblica o viceversa. Solucin: Asegurar los depsitos de claves (seguridad no absoluta) Asegurar las asociaciones claves pblicas- identidades (Certificados digitales). La BDs resultante garantiza (acto de fe/confianza) que una determinada clave pblica pertenece a un determinado usuario.
5 5
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Certificado y CA
1.
Autoridad de Certificacin (CA) Almacn seguro
2. 3.
Da garanta: Firma digitalmente la relacin clave pblica e identidad del poseedor de la clave. Dicha relacin se aade a la estructura del CERTIFICADO Gestiona la estructura de informacin (CERTIFICADO)
CERTIFICADO La clave pblica. La identidad del poseedor. La identidad de la CA. Una fecha de validez para esta asociacin. Firma digital (para protegerlo de manipulaciones malintencionadas)
6 6
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Certificado y CA
Autoridad de Certificacin (CA) Almacn seguro
1.
2. 3.
Da garanta: Firma digitalmente la relacin/asociacin clave pblica e identidad del poseedor de la clave. Dicha relacin se aade a la estructura del CERTIFICADO Gestiona la estructura de informacin (CERTIFICADO)
CERTIFICADO La clave pblica. La identidad del poseedor. La identidad de la CA. Una fecha de validez para esta asociacin. Identificacin de la asociacin Firma digital (para protegerlo de manipulaciones malintencionadas) Versin del formato Algoritmos usados en firma y hash
7
7
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Firma Digital
SI?
8 8
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
9 9
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Infraestructura. Ldap
Un lugar idneo para guardar certificados es la base de datos distribuida X.500 (directorio). X.500 asocia una entrada de una base de datos distribuida y organizada jerrquicamente segn un rbol, a cada agente del sistema. Cada usuario puede depositar su certificado en su entrada del directorio y el resto de usuarios puede acceder a dicha entrada y recogerlo.
10 10
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Infraestructura. Ldap
Autoridad de Certificacin (CA)
Almacn seguro
X.500
Usuario A
Usuario B
11 11
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Ldap
X.500: Estructura de directorios jerrquica. Cada entrada se etiqueta con un CA Sub A Nombre Distintivo (Distinguished Name -DN-). CA Sub A.1 Un DN contiene valores de atributos: Pas C=PE Organizacin Unidad organizativa O=UNI-FIIS OU=ACME Nombre de usuario CAs y usuarios pueden depositar sus CN=Roger Carhuatocto certificados en el directorio X.500
CA Raz
CA Sub B
C=ES
12 12
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Certificados y CRLs
Los certificados tienen una vida limitada. Al finalizar el perodo de validez, expiran. Un certificado puede dejar de ser vlido por varios motivos (REVOCADO): Si se sospecha que alguien ha tenido acceso a la clave privada, debe revocarse el certificado con la correspondiente clave pblica. Cuando el poseedor de un certificado cambia de empresa su DN no es vlido. En tales casos, la CA debe realizar las operaciones necesarias para REVOCAR el certificado. Una alternativa es disponer de Listas Firmadas (CRL) por la CA en las que se incluyan los certificados generados y revocados por ella o referencias a stos. Estas listas pueden depositarse en la entrada de la CA en el directorio X.500.
13 13
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Conclusiones
En sistemas complejos: jerarquas de CAs. Necesidad de verificar secuencias de certificados de CAs hasta llegar al de una CA en la que se confe. Usuarios y CAs intercambiarn mensajes de gestin de certificados (para solicitar certificados, entregarlos, solicitar revocacin, confirmarla, etc.). Al hablar de infraestructura pues, estamos refirindonos a agentes presentes, mensajes intercambiados y reglas de juego: Servicios, plataformas, algoritmos, normas, protocolos, responsabilidades, estructutras
15 15
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Certificado X.509
Definicin en ASN.1. Codificacin DER.
Certificate ::= SIGNED SEQUENCE { version [0] serialNumber signature issuer validity subject subjectPublicKeyInfo issuerUniqueId [1] subjectUniqueI [2] extensions [3] Version DEFAULT v1, CertificateSerialNumber , AlgorithmIdentifier , Name, Validity, Name, SubjectPublicKeyInfo, IMPLICIT UniqueIdentifier OPTIONAL, IMPLICIT UniqueIdentifier OPTIONAL, Extensions OPTIONAL }
16 16
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
17 17
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Version DEFAULT v1, CertificateSerialNumber , AlgorithmIdentifier , Name, Validity, Name, SubjectPublicKeyInfo, IMPLICIT UniqueIdentifier OPTIONAL, IMPLICIT UniqueIdentifier OPTIONAL, Extensions OPTIONAL }
19 19
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
20 20
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Aplicaciones. email
Autenticacin del Origen Integridad del Contenido Confidencialidad del Contenido No Repudio del Origen PEM (Privacy enhancen mail) fue la primera propuesta realizada en Internet para asegurar mensajes de correo electrnico haciendo uso de firmas digitales y certificados X.509. No tuvo xito porque no era compatible con MIME. Slo permite firma y cifrado de parte del mail S/MIME (Multipurpose Internet Mail Extensions ), igual que anterior, soporte MIME PGP J
21 21
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
22 22
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
23 23
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
PKI: Ejemplos
Autoridades de Certificacin OpenCA http://www.openca.org Linux, GPL, basado en OpenSSL, Apache, Perl, MySQL y Ldap NewPKI http://www.newpki.org Windows, GPL, C/C++, desarrollo propietario, MySQL y Ldap EJBCA http://ejbca.sourceforge.net Multiplataforma(Java), basada en API Criptogrfico de Java, J2EE/Jboss, MySQL y Ldap BDs y Ldap MySQL http://www.mysql.org Postgres http://www.postgres.org OpenLdap http://www.openldap.org Servidores web, application server Apache http://www.apache.org JBoss http://www.jboss.org
24
24
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Ver encuesta
http://www.ietf.org/proceedings/03nov/slides/pkix-2/pkix-2.ppt
25 25
PKI Aplicada / Roger Carhuatocto WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES