Cmo contribuye la certificacin a la seguridad de la tecnologa de la informacin

1
Autenticación electrónica Infraestructuras de
clave pública - PKI -
2
La autenticación de los participantes en una
transacción electrónica (I)

• Las claves públicas, por definición se encuentran
  a disposición de todo el mundo y su distribución
  no presenta ningún riesgo ya que no revela nada
  sobre la clave privada.
• (Las claves privadas no se transmiten nunca, se
  deben conservar en secreto. La clave simétrica de
  sesión se transmite una sola vez cifrada.)
• Sin embargo, es importante garantizar la
  auntenticidad y propiedad de la clave pública por
  su legítimo propietario mediante la certificación
  de claves públicas.

3
La autenticación de los participantes en una
transacción electrónica (II)

• Los criptosistemas asimétricos requieren la
  presencia de una infraestructura sólida de
  certificación de claves.
• La certificación es esencial para las
  comunicaciones seguras, ya que de una buena
  estructura de certificación depende la validez de
  las claves empleadas para autenticar y cifrar las
  transacciones.

4
PKI. Definición
Conjunto de elementos hardware, software,
personas, políticas y procedimientos necesarios
para crear, gestionar, almacenar, distribuir y
revocar certificados basados en criptografía de
clave pública.
5
PKI. Componentes (I)

• Proveedores de servicios de certificación
• - Autoridad de Certificación
• - Autoridad de Registro
• - Autoridad de fechado electrónico
• Directorio de Certificados
• Protocolos de certificación

6
PKI. Componentes (II)
Una infraestructura de clave pública (PKI)
establece una jerarquía de autoridades con
diferentes tipos de responsabilidades dependiendo
de sus respectivos niveles en la jerarquía. - PAA
Policy Approving Authority. Crea y emite
políticas generales para toda la infraestructura
y aprueba políticas para las diferentes PCA. -
PCA Policy Certification Authority. Establece
una política que ha de ser seguida por todas las
entidades de su dominio. La PCA certifica las
Autoridades de Certificación pertenecientes a ese
dominio. - CA Certification Authority. Sigue
las políticas impuestas por una PCA y su
principal responsabilidad es certificar
usuarios. - ORA Organizational Registration
Authority. Su principal responsabilidad es
identificar correctamente al usuario final y
registrarlo en la CA. - Usuarios. RFC 2527
(Internet X.509 Public Key Infrastructure
Certificate Policy and Certification Practices
Framework).
7
Autoridad de Certificación (I)
Tercera parte de confianza que acredita la
conexión entre una determinada clave pública y su
propietario.

• La confianza en la autoridad de certificación
  supone la confianza en los certificados que
  emite.
• En ella confían uno más usuarios para la creación
  y firma de certificados.
• La AC firma digitalmente con su clave privada la
  información del certificado.
• La AC emite periódicamente listas de certificados
  revocados (CRLs).
• Un certificado puede ser revocado porque la
  información en el mismo ya no es válida, porque
  la clave privada asociada al mismo se ha perdido,
  o simplemente ha caducado su período de validez.

8
Autoridad de Certificación (II)
La firma digital por la AC da lugar a 3 elementos
de confianza 1. Por definición, una firma
digital de un certificado es una garantía de la
integridad del certificado. 2. Puesto que la AC
es la única entidad con acceso a su clave
privada, cualquiera que verifique la firma
digital de la AC tiene la garantía de que sólo
dicha autoridad puede haber creado y firmado el
certificado en cuestión. 3. Puesto que sólo la
Autoridad de Certificación tiene acceso a su
clave privada, no puede denegar que haya firmado
el certificado.
9
Autoridad de Certificación (III)

• Las Autoridades de Certificación no operan de
  forma aislada.
• Habitualmente pertenecen a una comunidad
  homogénea en cuanto a sus necesidades de
  certificación, y en la que existen varias
  Autoridades de Certificación siguiendo para su
  infraestructura modelos de arquitectura
  jerárquicos, en red o combinados.

10
Protocolos de certificación
El funcionamiento de la Autoridad de
Certificación implica la definición de unos
procedimientos para todas las tareas. Debe haber
unos protocolos de certificación que articulen -
qué formato tiene una petición de certificado, -
cómo se envía la respuesta, qué datos van en una
lista de revocación de certificados, - que
aseguren la interoperabilidad con otras
Autoridades de Certificación.
11
Protocolos de certificación. PKCS
PKCS1, define mecanismos y firma digital
mediante el algoritmo RSA. PKCS3, mecanismos de
intercambio de clave con algoritmo
Diffie-Hellman. PKCS5, explica cómo cifrar un
texto mediante una clave secreta obtenida de una
contraseña. PKCS6, define el formato de los
certificados. PKCS7, sintaxis genérica para
mensajes que incluyan mejoras criptográficas,
tales como firma digital y/o cifrado. PKCS8,
define el formato de las claves privadas. PKCS9,
diversos tipos de atributos que son usados en
toda la serie PKCS. PKCS10, define la sintaxis
de una petición de certificado. PKCS11, define
una interfaz de programación independiente de la
tecnología (Cryptoki) para tarjetas inteligentes
y PCMCIA como medio de autenticación. PKCS12,
sintaxis para el intercambio de información
personal. PKCS13, criptografía basada en curvas
elípticas. PKCS15, formato de información de
token criptográfico. http//www.rsasecurity.com/rs
alabs/pkcs/
12
Políticas de certificación
Las políticas de certificación se refieren a -
qué tipos de certificados se emiten, - quiénes
pueden recibir un certificado, - qué prueba de
identidad se considera aceptable, - qué medidas
de seguridad protegen los datos de los usuarios,
- qué procedimientos garantizan que estas normas
se cumplen cuál es la responsabilidad de la
Autoridad de Certificación en caso de no ser así,
- etc.
13
Autoridad de Certificación. Servicios prestados
Gestión del ciclo de vida de las claves -
Generación - Custodia y desvelado -
Recuperación - Renovación Gestión del ciclo de
vida de los certificados - Generación -
Renovación - Revocación de certificados -
Servicios de certificación cruzada Publicación -
Certificados - Políticas de certificación
14
Autoridad de Registro. Definición y funciones
básicas
Entidad autorizada por al AC para registrar a los
usuarios de la infraestructura asignándoles un
identificador único de usuario.
Funciones básicas 1. Verificación de datos de
registro (peticiones de certificado, revocación,
suspensión y cambios) 2. Verificación de la
asociación de certificados y claves con su
propietario (peticiones de certificado,
revocación, suspensión y cambios)
15
La necesidad de relaciones temporales
La necesidad de establecer relaciones temporales
entre un documento y su utilización aparece en
numerosas situaciones. -Plazos -gt Toda clase de
procedimientos administrativos - Propiedad
intelectual y patentes industriales -gt quién
presentó laidea o concibió el proceso antes. -
Certificación de claves públicas -gt instantes de
emisión y revocación. - Disputas judiciales -gt
cuando es necesario conocer fehacientemente la
fecha de un documento o cuándo ocurrió cierto
hecho.
16
Los servicios de fechado electrónico

• Servicios de no repudio seguridad de que nadie
  puede negar algo que tuvo lugar.
• Esencial prueba de la existencia de unos ciertos
  datos en ciertas manos en cierto momento en el
  tiempo.
• El tiempo puede ser absoluto o en relación con
  otros
• sucesos significativos (antes de, después de).
• Clave para hacer del comercio electrónico una
  realidad.
• Características de los documentos en soporte
  electrónico
• facilidad de retocar el contenido sin que queden
  huellas mecánicas.

17
Las autoridades de fechado electrónico
Las autoridades de fechado electrónico (TSA)
aparecen para dar fe de un documento en un
momento dado. Proporcionan servicios de fechado
electrónico. Se estructuran en redes de
confianza.
18
Relaciones temporales

• Para demostrar que un doc. electrónico existe
  antes de una determinada fecha se publica en un
  periódico (entero o un resumen hash).
• Si queremos demostrar que tenemos un doc. después
  de una fecha, basta insertar información que no
  se sabía anteriormente el tiempo en un sitio
  determinado, o las cotizaciones de bolsa).
• Para delimitar un período basta con combinar las
  técnicas anteriores.

19
Fechado electrónico. Mecanismo
Un sistema de fechado electrónico para generar un
certificado de tiempo - toma el resumen hash de
un documento, - lo junta con información de la
fecha y hora (con la precisión que corresponda a
la calidad del servicio que se presta), indicando
en todo caso la zona horaria en que se trabaja
para lograr una interpretación universal - el
conjunto se firma electrónicamente.
20
Fechado electrónico
Protocolo básico - Una autoridad central con un
reloj confiable. - Sella documentos con fecha y
hora sin establecer vínculos entre ellos. -
Desarrolado por el grupo PKIX del IETF de
Internet. - Muy rápido Protocolo enlazado -
Relación de orden entre los documentos. - Siempre
se sabe cuál es antes y cuál es después. -
Apropiado para escenarios heterogéneos. - Ejemplo
de Surety. Protocolo distribuido - Varias
autoridades para fundamentar la corrección del
fechado. - Cuando se requieren varias dataciones.
21
El proyecto PKITS
PKITS (InfoSec ETS Project 23.192) Requisitos
funcionales y no funcionales para la provisión
de servicios de fechado electrónico En tres
escenarios datos en general, mensajes EDI, e
información multimedia. Participantes FNMT,
MAP, Correos y Telégrafos, UPC.