I.

Principios bsicos sobre PKI

Temtica
1. Seguridad
2. Por qu necesitamos seguridad?
3. Puede la criptografa ayudarnos?
4. Certificados Certificacin
5. Roles en la operacin de PKI
6. Interoperabilidad
7. Qu es PKI?

Seguridad
1. Un error comn es:
sistemas son seguros o no son seguros.
2. Sin embargo, en el mundo real,
hay sistemas ms seguros y menos seguros,
pero la seguridad perfecta es inalcanzable.
3. Surge la necesidad de encontrar
procedimientos tcnicos y legales que
aseguren la confiabilidad de los documentos
electrnicos.

Por qu necesitamos seguridad?
E








Esta es la arquitectura general de un sistema de telfono en la banca.
El banco hace el papel de proveedor de servicios (SP), y
El usuario del telfono pblico (corto para el usuario) necesita una plataforma
de lanzamiento de su telfono mvil para comunicarse con el servidor de
aplicaciones situado en el banco.









Application
Client








Service Provider (SP)
Telco
(Tel.
company)
MIDP
Client
internet
Applicati
on
Server
Database
Server
Por qu necesitamos seguridad?
1. La aplicacin proporciona un
servicio basado en
suscripcin.
Los usuarios pueden
suscribirse ingresando un
nombre de usuario y PSSWD
en el dispositivo mvil.
2. Los usuarios necesitan
alguna manera de probar su
identidad en el servidor por
lo que su informacin de
suscripcin se puede
verificar en la base de datos.
Llamada: Autenticacin
3. El sistema debe garantizar la
confidencialidad, lo que
significa que la informacin
privada se mantiene
privado.


Un sistema seguro proporciona funciones
de PAIN:

P = privacidad (confidencialidad)

A = Autenticacin

I = Integridad

N = No repudio
Por qu necesitamos seguridad?




Application
Client




Service Provider (SP)
Telco (Tel. company)
MIDP
Client
internet
Application
Server
Un espa con un receptor de radio puede
interceptar el trfico de datos entre un telfono
mvil y una torre de celular local.
Un espa con un analizador de paquetes puede
interceptar el trfico de datos en cualquier punto
de la ruta de acceso a Internet entre el dispositivo
y el servidor.
Un atacante puede entrar en el servidor o base de datos, robar
informacin o destruir el software de servidor.
Los ataques ms elaborados son posibles,
que van desde la suplantacin de identidad del servidor (creacin de una mquina para lucir y actuar como el
servidor)
a la ingeniera social (pidiendo a los usuarios de las contraseas o nmeros de tarjetas de crdito con el pretexto de
prestar apoyo tcnico).
El dispositivo cliente puede ser robado.
Puede la criptografa ayudarnos?

Encriptar:
es una funcin
con una clave
determinada,
que puede calcular la
entrada de
texto en un texto cifrado.
Desencriptar:
es una funcin inversa
de la codificacin
predefinidos,
y con la tecla.




Application
Client




Service Provider (SP)
Telco (Tel. company)
MIDP
Client
internet
Application
Server
Qu es criptografa?
Texto encriptado
[bmtalhelittsiliassahayrkamey]
(Entrada de texto):
[Mara tiene un corderito]
Puede la criptografa ayudarnos?

Encripcin:
Clave: (Esta es una clave)
Paso 1. Invertir la entrada
de texto
[Bmal elttil un sah Yram]
Paso 2. Poner en clave
entre los
caracteres de la entrada
de texto

Qu es criptografa?
Texto encriptado
[bmtalhelittsiliassahayrkamey]
(Entrada de texto):
[Mara tiene un corderito]
[bmTalhelittsiliassahayrkaMey]
Un sistema de cifrado es un algoritmo til
para mantener los datos confidenciales.
Se puede traducir entre peridica de
datos, llamado texto plano ,
y de forma encriptada de los datos,
llamada texto cifrado.
Puede la criptografa ayudarnos?
Hay dos tipos de sistemas de cifrado, simtrica y asimtrica.
Un algoritmo de cifrado simtrico utiliza una nica clave para el
cifrado y descifrado.
"Puntos dbiles":
Sistemas de cifrado simtrico puede ser complicado debido a que
tanto las personas que utilizan el sistema de cifrado debe tener la
misma clave.
Una persona puede generar la clave, pero debe ser transmitida con
seguridad a la otra persona.

Los datos cifrados
con una clave
se puede descifrar
con la otra llave.
1. sistemas de cifrado asimtricos
utilizan un par de claves, dos claves
que estn relacionados entre s.
2.Se trata de una clave pblica, la otra
es una clave privada.
3. La clave pblica puede ser distribuido
libremente sin comprometer la
seguridad, la clave privada debe
mantenerse privada.
Clave
Imagnese cmo teclas pares podra funcionar
en la prctica:
Alguien que quiera enviar un mensaje secreto
puede cifrar utilizando la clave pblica y enviar
el texto cifrado para usted.
T eres la nica persona que puede descifrar el
texto cifrado con su clave privada en su
ordenador o tarjeta de IC-, si usted mantenga
siempre la clave privada en forma segura.
Puede la criptografa ayudarnos?
Certificacin y PKI
Un sistema seguro debera de proveer las siguientes funciones

P = Privacidad

A = Autenticacin

I = Integridad

N = No repudio


Se puede lograr aplicando
Cifrado Asimtrico
Porque:
Si hay algn poco de prdida en la
transmisin, el receptor no puede
descifrarel msg con la tecla
correspondiente.

Un certificado criptogrfico ofrece una solucin
A solution:

Un certificado es un contenedor de una
clave pblica.
Es un documento electrnico que dice algo
as como "Violeta certifica que la clave
pblica de Pablo tiene este valor".
El certificado incluira informacin sobre
Violeta, la informacin sobre Pablo, y el valor
de la clave pblica de Pablo.
Todo esto sera firmado por Violeta.
El certificado permite la extensin de la
confianza.
Por lo tanto, si conoce la clave pblica de
Violeta, y si usted piensa que ella es
confiable y un buen juez del carcter, y
si usted puede verificar la firma del
certificado, entonces usted puede estar
bastante seguro de que la clave pblica de
Pablo tiene el valor que figura en el
certificado.
Cmo encontrar la clave pblica de alguien?
Dnde guarda su clave privada?
Supongamos que alguien que no conoces,
Pablo, le enva un mensaje con una firma.
Usted necesita obtener su clave pblica para
verificar la firma.
Cmo conseguirlo?
Cmo sabes que tienes verdadera clave
pblica de Pablo y no una falsificacin?
Certificacin y PKI

Certificado de Pablo
firmado por Violeta
Certificado de Violeta
firmado por Henry
Certficado de Henry
firmado por el Rey
de Inglaterra
Podra confiar en Violet??
Yo confo en Violeta pero
cmo se que su
certificado es confiable??
Certficado del Rey.
Autofirmado
Confas en el Rey de Inglaterra?
Certificacin y PKI
Confo en Henry, pero cmo s que su
certificado es confiable??
Realmente hemos cambiado slo el
problema, sin embargo.
Bien, la clave pblica de Violet verifica la
clave pblica de Pablo,
pero que verifica la suya, y
cmo conseguirlo?
Dnde est el final de la cadena?
Cmo podra confiar en el certificado de Pablo

Certificado de Pablo
firmado por Violeta
Certificado de Violeta
firmado por Henry
Certficado de Henry
firmado por el Rey
de Inglaterra
Podra confiar en Violet??
Yo confo en Violeta pero
cmo se que su
certificado es confiable??
Certficado del Rey.
Autofirmado
Confas en el Rey de Inglaterra?
Certificacin y PKI
Confo en Henry, pero cmo s que su
certificado es confiable??
Este tipo de certificado que se llama
un certificado raz.
Las empresas o instituciones que los
utilizan para firmar otros certificados
se denominan entidades emisoras de
certificados (CA).
Entidades emisoras de certificados
raz de generar sus propias y distribuir
lo ms ampliamente posible.
El problema con los certificados con firma personal es
que cualquier persona puede generar una, que afirma ser
el Rey de Noruega.
La confianza en los certificados raz se basa en el hecho
de que son ampliamente publicadas, haciendo que sean
difciles de falsificar.
Si usted tiene un certificado raz en la mano, usted
debera ser capaz de verificar su validez mediante la
comparacin de su firma a la firma publicados en el sitio
web de la entidad emisora.
Out-sourcing to
TWCA
FRCA
Financial Root Certificate Authority
FPCA
Financial Policy Certificate Authority
FUCA 1
Financial User Certificate Authority
RA 1-1
Registration Authority
Users 1-1
Certificate User
Bank Association
Bank Association
TWCA
Bank 1
RA 1-
2
Bank
2
Users 1-2
FUCA 2
HiTRUST
RA 2-
4
Bank
4
Users 2-4
RA 2-
3
Bank
3
Users 2-3
PMA
Poltica de rgano de Gestin
La PKI de los
servicios
financieros xml
de Taiwn

SP
Proveedor de servicio



CA
Autoridad de
certificacin

RA
Autoridad de
Registro

Usuario
Aplica para certificado
Procesa la aplicacin a
la certificacin
Usuario enva una solicitud de
servicio al proveedor de
servicio con su certificado.
CA emite un certificado al usuario
Registro /
Autenticacin /
Autorizacin /
Roles en la Operacin de PKI
Usuario de + SP + RA + CA
Servicio Proveedor Autoridad Autoridad
Servicio Registro Certificacion
17

SP
Proveedor de servicio



CA
Autoridad de
Certificacin

RA
Autoridad de
Registro

Usuario de Servicio/aplicacin
Suscriptor.
Se le expide un certificado.
El beneficiario de un certificado que acta
confiando en el certificado y las firmas
digitales.
Registro de Autoridad:
Una entidad que es responsible de uno o ms de las siguientes funciones:
1. La identificacin y autenticacin de los solicitantes de certificados
2. Aprobacion o rechazo de las solicitudes de certificados
3. Iniciar revocaciones de certificados o suspensiones en determinadas circunstancias
4. Tramitacin de las solicitudes de abonado para revocar o suspender sus certificados
5. Aprobar o rechazar las solicitudes de los abonados para renovar sus certificados de clave.
6. Los RA s no firman o emiten certificados (RA es un delegado de determinadas tareas en
nombre de una CA.
Autoridad de Certificacin Opera el mecanismo
de certificacion incluyendo la emision y el
mantenimiento de los certificados.

Roles en la Operacin de PKI




1. PKI es una Infraestructura
2. PKI es neutral, y se supone que no est
diseado para cualquier aplicacin
especfica.
3. Idealmente , un certificado puede ser
aplicado a mltiples aplicaciones.
Sin embargo, prcticamente cada aplicacin tiene su propio nicho.
El grado en que la parte que confa puede confiar en el enlace incorporado en un certificado
depende de varios factores, incluyendo:
1. Las prcticas seguidas por la entidad emisora de certificados (CA) en la autencin del
sujeto.
2. La poltica de funcionamiento de la CA, procedimientos y controles de seguridad.
3. El alcance de las responsabilidades del abonado (por ejemplo: en la proteccin de la
clave privada).
4. Las responsabilidades establecidas y los trminos de responsabilidad y condiciones de
la entidad emisora (por ejemplo: garantas, renuncias de garantas y limitaciones de
responsabilidad.
El Proveedor de servicio tiene
la ltima palabra, tendr
que considerar:
1. Costo
2. Riesgo
3. Usabilidad
Roles en la Operacin de PKI
Interoperabilidad

Usuario final
de certificado
EU solicita un servicio pblico en lnea
EU: Puedo tener este servicio a travs de internet?
GV: Claro que s, pero necesita un certificado.
EU: Est bien, deme uno.
GV: Con mucho gusto.
EU solicita un servicio bancario
EU: Puedo tener una cuenta de cheque digital a travs de mi certificado emitido por el
gobierno??
BK: Lo siento pero por regulaciones internas usted puede tener una cuenta de cheque
electrnica solo cuando usted tiene un certificado emitido por la entidad financiera nacional de
PKI.
EU: Quiere usted decir que el certificado del gobierno no puede representarme legalmente?
BK: Lo siento, no quise decir eso. Pero aqu, debemos de seguir reglas impustas por la
Asociacin de Bancos.
EU: Ok. Deme un certificado que me pueda representar legalmente aqu.
BK: Con gusto.
Gobierno.
Proveedor de servicios
pblicos
Banco BK
proveedor de
servicios
electronicos
bancarios
Interoperabilidad

Certificate End-User EU
Dr. Tu

HR: Dr. Tu, todo est listo. Lo nico que necesitamos es su certificado HS.
EU: Qu?
HR: Disculpe, necesita un certificado de servicio de hospital para poder accesar a los
expedientes de los pacientes.
EU: Tengo dos certificados:
Uno de servicios pblicos del gobierno y otro para servicios financieros bancarios.
Puedo usarlos?
HR: Disculpe pero por regulaciones de la ley de salud, un doctor puede accesar a los expedientes
de sus pacientes solo a travs de un certificado HS
EU: Qu mundo maravilloso!!! Cuantos certificados necesito ????
EU: Ok, deme uno.
HR: Con gusto.
El nuevo
empleador del
Dr. Tu. Un
hospital. HR
Interoperabilidad

CA universal
Qu mundo ms maravilloso!!
Certificado universal
Usuario final
del certificado
EU
Dr. Tu
El nuevo
empleador del
Dr. Tu. Un
hospital. HR
Proveedor de
servicios bancarios
electronicos BK.
Proveedor de
servicios pblicos
Interoperabilidad


Cmo interoperar?
Tenemos la misma sintaxis en cada parte del certificado.
Pero contiene diferente contexto.
Lo que significa que las aplicaciones los interpreta de
forma diferente.
Pero qu pasa con la liabilidad?
Todos los certificados tienen el mismo ciclo de vida?
Cuestin legal?
Quines son: Proveedor de servicio, Autoridad de
registro y la autoridad de certificacin?
Lo ms importante: Quin pagar por ello?
Interoperabilidad
Los problemas tcnicos son fciles de manejar

La parte fundamental es cmo hacer una solicitud para aceptar
diferentes certificados o para hacer que un certificado sea aceptado
por las diferentes aplicaciones.
Cada CA tiene su propio PC (certificado de poltica) y CPS (declaracin de prcticas
de certificacin).
Quin puede tomar la decisin final?
Quien ser el encargado de hacer una regulacin y que todo el mundo la siga?

Por lo tanto, la interoperabilidad es una cuestin de GESTIN y
no una cuestin TCNICA.
Debera de existir un departamento u organismo encargado de todo el
tema de interoperabilidad.

Qu es PKI?
Los factores clave de la seguridad de la Informacin

Autenticacin
Autorizacin
Control de acceso
Contabilidad
Disponibilidad
Confidencialidad
Identificacin




Qu es PKI?
Infraestructura de Clave Pblica = PKI (Public Key
Infrastructure)
PKI es un conjunto de elementos necesarios para crear,
gestionar, distribuir, usar, almacenar y revocar certificados
digitales:
Hardware
Software
Recursos humanos
Polticas
Procedimientos
Aspectos jurdicos

Qu es PKI?
En criptografa una PKI es un acuerdo que une a las claves
pblicas con las identidades del usuario correspondiente a
travs de una entidad emisora de certificados.
La identidad del usuario debe ser nica dentro de cada
dominio del CA.
La unin se establece a travs del proceso de registro y
expedicin, que, dependiendo del nivel de garanta que la unin
tiene, puede llevarse a cabo a travs de software en una CA o
bajo supervisin.
El rol PKI que asegura esta unin se llama Autoridad de
Registro. (RA)

Qu es PKI?

Diagrama de una Infraestructura de Clave Pblica

Qu es PKI?
mbito de aplicacin del regimen criptografico
Simtrico
Asimtrico
Hybrido
Elementos
Claves
Secretas
Pblicas
Relacin entre claves pblicas y secretas

Qu es PKI?
Algoritmo
Con clave, el mensaje es transformado de leble a no leble y
viceversa.
MAC(Message Authentication Code)
Cdigo de Mensaje de Autenticacin.

Qu es PKI?
Tcnicas de PKI
Mensaje seguro
Resumen del mensaje
Certificado digital
certificado de lista de revocacin

Componentes de PKI
CA Autoridad certificadora
RA Autoridad de Registro

Qu es PKI?
Aplicacin
Digital
Integridad
Integridad de la entidad
Integridad de los datos
Lo digital envuelve confidencialidad.

Qu es PKI?
Certificado de Repositorio
Sistemas y aplicaciones PKI permitidos
PKI Tokens
La seguridad de la empresa se puede mejorar mediante la
utilizacin de tokens como la lnea de base para la
autenticacin del usuario y la certificacin.
mbito de aplicacin
Hardware Tokens
Software Tokens




Gracias