Title: Cmo contribuye la certificacin a la seguridad de la tecnologa de la informacin
1Autenticación electrónica Infraestructuras de
clave pública - PKI -
2La autenticación de los participantes en una
transacción electrónica (I)
- Las claves públicas, por definición se encuentran
a disposición de todo el mundo y su distribución
no presenta ningún riesgo ya que no revela nada
sobre la clave privada. - (Las claves privadas no se transmiten nunca, se
deben conservar en secreto. La clave simétrica de
sesión se transmite una sola vez cifrada.) - Sin embargo, es importante garantizar la
auntenticidad y propiedad de la clave pública por
su legítimo propietario mediante la certificación
de claves públicas.
3La autenticación de los participantes en una
transacción electrónica (II)
- Los criptosistemas asimétricos requieren la
presencia de una infraestructura sólida de
certificación de claves. - La certificación es esencial para las
comunicaciones seguras, ya que de una buena
estructura de certificación depende la validez de
las claves empleadas para autenticar y cifrar las
transacciones.
4PKI. Definición
Conjunto de elementos hardware, software,
personas, políticas y procedimientos necesarios
para crear, gestionar, almacenar, distribuir y
revocar certificados basados en criptografía de
clave pública.
5PKI. Componentes (I)
- Proveedores de servicios de certificación
- - Autoridad de Certificación
- - Autoridad de Registro
- - Autoridad de fechado electrónico
- Directorio de Certificados
- Protocolos de certificación
6PKI. Componentes (II)
Una infraestructura de clave pública (PKI)
establece una jerarquía de autoridades con
diferentes tipos de responsabilidades dependiendo
de sus respectivos niveles en la jerarquía. - PAA
Policy Approving Authority. Crea y emite
políticas generales para toda la infraestructura
y aprueba políticas para las diferentes PCA. -
PCA Policy Certification Authority. Establece
una política que ha de ser seguida por todas las
entidades de su dominio. La PCA certifica las
Autoridades de Certificación pertenecientes a ese
dominio. - CA Certification Authority. Sigue
las políticas impuestas por una PCA y su
principal responsabilidad es certificar
usuarios. - ORA Organizational Registration
Authority. Su principal responsabilidad es
identificar correctamente al usuario final y
registrarlo en la CA. - Usuarios. RFC 2527
(Internet X.509 Public Key Infrastructure
Certificate Policy and Certification Practices
Framework).
7Autoridad de Certificación (I)
Tercera parte de confianza que acredita la
conexión entre una determinada clave pública y su
propietario.
- La confianza en la autoridad de certificación
supone la confianza en los certificados que
emite. - En ella confían uno más usuarios para la creación
y firma de certificados. - La AC firma digitalmente con su clave privada la
información del certificado. - La AC emite periódicamente listas de certificados
revocados (CRLs). - Un certificado puede ser revocado porque la
información en el mismo ya no es válida, porque
la clave privada asociada al mismo se ha perdido,
o simplemente ha caducado su período de validez.
8Autoridad de Certificación (II)
La firma digital por la AC da lugar a 3 elementos
de confianza 1. Por definición, una firma
digital de un certificado es una garantía de la
integridad del certificado. 2. Puesto que la AC
es la única entidad con acceso a su clave
privada, cualquiera que verifique la firma
digital de la AC tiene la garantía de que sólo
dicha autoridad puede haber creado y firmado el
certificado en cuestión. 3. Puesto que sólo la
Autoridad de Certificación tiene acceso a su
clave privada, no puede denegar que haya firmado
el certificado.
9Autoridad de Certificación (III)
- Las Autoridades de Certificación no operan de
forma aislada. - Habitualmente pertenecen a una comunidad
homogénea en cuanto a sus necesidades de
certificación, y en la que existen varias
Autoridades de Certificación siguiendo para su
infraestructura modelos de arquitectura
jerárquicos, en red o combinados.
10Protocolos de certificación
El funcionamiento de la Autoridad de
Certificación implica la definición de unos
procedimientos para todas las tareas. Debe haber
unos protocolos de certificación que articulen -
qué formato tiene una petición de certificado, -
cómo se envía la respuesta, qué datos van en una
lista de revocación de certificados, - que
aseguren la interoperabilidad con otras
Autoridades de Certificación.
11Protocolos de certificación. PKCS
PKCS1, define mecanismos y firma digital
mediante el algoritmo RSA. PKCS3, mecanismos de
intercambio de clave con algoritmo
Diffie-Hellman. PKCS5, explica cómo cifrar un
texto mediante una clave secreta obtenida de una
contraseña. PKCS6, define el formato de los
certificados. PKCS7, sintaxis genérica para
mensajes que incluyan mejoras criptográficas,
tales como firma digital y/o cifrado. PKCS8,
define el formato de las claves privadas. PKCS9,
diversos tipos de atributos que son usados en
toda la serie PKCS. PKCS10, define la sintaxis
de una petición de certificado. PKCS11, define
una interfaz de programación independiente de la
tecnología (Cryptoki) para tarjetas inteligentes
y PCMCIA como medio de autenticación. PKCS12,
sintaxis para el intercambio de información
personal. PKCS13, criptografía basada en curvas
elípticas. PKCS15, formato de información de
token criptográfico. http//www.rsasecurity.com/rs
alabs/pkcs/
12Políticas de certificación
Las políticas de certificación se refieren a -
qué tipos de certificados se emiten, - quiénes
pueden recibir un certificado, - qué prueba de
identidad se considera aceptable, - qué medidas
de seguridad protegen los datos de los usuarios,
- qué procedimientos garantizan que estas normas
se cumplen cuál es la responsabilidad de la
Autoridad de Certificación en caso de no ser así,
- etc.
13Autoridad de Certificación. Servicios prestados
Gestión del ciclo de vida de las claves -
Generación - Custodia y desvelado -
Recuperación - Renovación Gestión del ciclo de
vida de los certificados - Generación -
Renovación - Revocación de certificados -
Servicios de certificación cruzada Publicación -
Certificados - Políticas de certificación
14Autoridad de Registro. Definición y funciones
básicas
Entidad autorizada por al AC para registrar a los
usuarios de la infraestructura asignándoles un
identificador único de usuario.
Funciones básicas 1. Verificación de datos de
registro (peticiones de certificado, revocación,
suspensión y cambios) 2. Verificación de la
asociación de certificados y claves con su
propietario (peticiones de certificado,
revocación, suspensión y cambios)
15La necesidad de relaciones temporales
La necesidad de establecer relaciones temporales
entre un documento y su utilización aparece en
numerosas situaciones. -Plazos -gt Toda clase de
procedimientos administrativos - Propiedad
intelectual y patentes industriales -gt quién
presentó laidea o concibió el proceso antes. -
Certificación de claves públicas -gt instantes de
emisión y revocación. - Disputas judiciales -gt
cuando es necesario conocer fehacientemente la
fecha de un documento o cuándo ocurrió cierto
hecho.
16Los servicios de fechado electrónico
- Servicios de no repudio seguridad de que nadie
puede negar algo que tuvo lugar. - Esencial prueba de la existencia de unos ciertos
datos en ciertas manos en cierto momento en el
tiempo. - El tiempo puede ser absoluto o en relación con
otros - sucesos significativos (antes de, después de).
- Clave para hacer del comercio electrónico una
realidad. - Características de los documentos en soporte
electrónico - facilidad de retocar el contenido sin que queden
huellas mecánicas.
17Las autoridades de fechado electrónico
Las autoridades de fechado electrónico (TSA)
aparecen para dar fe de un documento en un
momento dado. Proporcionan servicios de fechado
electrónico. Se estructuran en redes de
confianza.
18Relaciones temporales
- Para demostrar que un doc. electrónico existe
antes de una determinada fecha se publica en un
periódico (entero o un resumen hash). - Si queremos demostrar que tenemos un doc. después
de una fecha, basta insertar información que no
se sabía anteriormente el tiempo en un sitio
determinado, o las cotizaciones de bolsa). - Para delimitar un período basta con combinar las
técnicas anteriores.
19Fechado electrónico. Mecanismo
Un sistema de fechado electrónico para generar un
certificado de tiempo - toma el resumen hash de
un documento, - lo junta con información de la
fecha y hora (con la precisión que corresponda a
la calidad del servicio que se presta), indicando
en todo caso la zona horaria en que se trabaja
para lograr una interpretación universal - el
conjunto se firma electrónicamente.
20Fechado electrónico
Protocolo básico - Una autoridad central con un
reloj confiable. - Sella documentos con fecha y
hora sin establecer vínculos entre ellos. -
Desarrolado por el grupo PKIX del IETF de
Internet. - Muy rápido Protocolo enlazado -
Relación de orden entre los documentos. - Siempre
se sabe cuál es antes y cuál es después. -
Apropiado para escenarios heterogéneos. - Ejemplo
de Surety. Protocolo distribuido - Varias
autoridades para fundamentar la corrección del
fechado. - Cuando se requieren varias dataciones.
21El proyecto PKITS
PKITS (InfoSec ETS Project 23.192) Requisitos
funcionales y no funcionales para la provisión
de servicios de fechado electrónico En tres
escenarios datos en general, mensajes EDI, e
información multimedia. Participantes FNMT,
MAP, Correos y Telégrafos, UPC.