SlideShare ist ein Scribd-Unternehmen logo

PKI Aplicada V1.3

Roger CARHUATOCTO
Roger CARHUATOCTO

Este documento resume el 1er Taller Peruano sobre Seguridad Informática que se llevó a cabo el 29 de diciembre de 2003. El taller incluyó presentaciones sobre Infraestructura de Clave Pública (PKI) aplicada y servicios de seguridad basados en técnicas criptográficas. También se discutieron temas como certificados digitales, listas de revocación de certificados (CRL), y estándares criptográficos.

Technologie
1 von 13
1st Peruvian Workshop on IT Security 29.Dic.2003 Colaboración PKI aplicada Roger Carhuatocto http://escert.upc.es Miembro esCERT -UPC Responsable de Servicios Educacionales Instituto de Investigación UNI -FIIS http://www.uni.edu.pe esCERT-UPC C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ España Tel. (34)934015795 ~ Fax. (34)934017055 1 Servicio de seguridad Confidencialidad, sólo autorizados acceden a la información Integridad, asegurar la no alteración Autenticación, corroborar la identidad Autenticación de mensajes, conocer el origen del mensaje Firma, ligar identidad con información Autorización, permiso de acceso a recursos Validación, evento (limitada en tiempo y espacio) de autorización Control de acceso, ingreso privilegiado Certificación, aval de entidad de confianza Testificación, aval extra de una entidad ajena a la primaria ) Sello de Tiempo (TIME STAMPING), registro de tiempo de un evento Recibo, constancia de entrega para el emisor Título de propiedad (OWNERSHIP), transferencia legal de un derecho de uso Anonimicidad, la no relación de una identidad con una entidad No repudio, prevenir negación de actos realizados Revocación, cese de certificación 2 PKI Aplicada / Roger Carhuatocto 2 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Servicios de Seguridad Las amenazas se reducen implantando Servicios de Seguridad Los servicios de seguridad están basados sistemáticamente en el uso de técnicas criptográficas . 3 PKI Aplicada / Roger Carhuatocto 3 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Infraestructura. ¿Por qué?. Usuarios necesitan claves públicas de otros usuarios. ¿Cómo se accede a claves públicas de otros usuarios?. Se debería disponer de una base de datos de clave públicas asociadas a identidades de los usuarios que las poseen. Los usuarios accederían a la BDs y obtendrían las claves necesarias. 4 PKI Aplicada / Roger Carhuatocto 4 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Infraestructura. Conclusión Amenaza: Si se trata de una BD de acceso público, podría ser fácil cambiar sus contenidos, por ejemplo, cambiar la identidad asociada a una cla ve pública o viceversa. Solución: Asegurar los depósitos de claves (seguridad no absoluta) Asegurar las asociaciones claves públicas- identidades (Certificados digitales). La BDs resultante “garantiza” (acto de fe/confianza) que una determinada clave pública pertenece a un determinado usuario. 5 PKI Aplicada / Roger Carhuatocto 5 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificado y CA 1. Da garantía: Firma digitalmente la relación clave pública e identidad Autoridad de Certificación (CA) del poseedor de la clave. 2. Dicha relación se añade a la Almacén estructura del CERTIFICADO seguro 3. Gestiona la estructura de información (CERTIFICADO) CERTIFICADO • La clave pública. • La identidad del poseedor. • La identidad de la CA. NO HAY INFORMACIÓN • Una fecha de validez para esta CONFIDENCIAL. asociación. • Firma digital (para protegerlo de manipulaciones malintencionadas) 6 PKI Aplicada / Roger Carhuatocto 6 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Certificado y CA Autoridad de 1. Da garantía: Firma digitalmente la Certificación (CA) relación/asociación clave pública e identidad del poseedor de la clave. Almacén 2. Dicha relación se añade a la seguro estructura del CERTIFICADO 3. Gestiona la estructura de información (CERTIFICADO) CERTIFICADO • La clave pública. • La identidad del poseedor. • La identidad de la CA. • Una fecha de validez para esta NO HAY INFORMACIÓN asociación. CONFIDENCIAL. • Identificación de la asociación • Firma digital (para protegerlo de manipulaciones malintencionadas) • Versión del formato • Algoritmos usados en firma y hash 7 PKI Aplicada / Roger Carhuatocto 7 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificado, Firma y cifrado Alice descarga el certificado de Bob del almacén seguro Alice firma el mensaje con su Kpriv, usará la Kpub de Bob si envía dicho mensaje de forma cifrada Bob verifica la firma electrónica del mensaje y luego el certificado del remitente Autoridad de Certificación (CA) Almacén seguro KAlice pública KAlice privada Verificación de Firma SI? Digital Firma Digital 8 PKI Aplicada / Roger Carhuatocto 8 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Validación de mensajes firmados Validación de mensaje + Validación Certificado Verificar la validez del certificado del remitente. Existencia del certificado Dentro del período de validez. Certificado no revocado. Firma electrónica de la CA correcta. Verificar la firma electrónica del mensaje con la clave pública del remitente Es necesario que el destinatario y el remitente pertenezcan al mismo circulo de confianza, es decir que ambas claves pública deben estar en “posesión” de una misma CA 9 PKI Aplicada / Roger Carhuatocto 9 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Infraestructura. Ldap Un lugar idóneo para guardar certificados es la base de datos distribuida X.500 (directorio). X.500 asocia una entrada de una base de datos distribuida y organizada jerárquicamente según un árbol, a cada agente del sistema. Cada usuario puede depositar su certificado en su entrada del directorio y el resto de usuarios puede acceder a dicha entrada y recogerlo. 10 PKI Aplicada / Roger Carhuatocto 10 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Infraestructura. Ldap Autoridad de Certificación (CA) Almacén seguro X.500 Usuario A Usuario B 11 PKI Aplicada / Roger Carhuatocto 11 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Ldap CA Raíz X.500: Estructura de directorios jerárquica. Cada entrada se etiqueta con un CA Sub A CA Sub B Nombre Distintivo (Distinguished Name -DN-). Un DN contiene valores de atributos: CA Sub A.1 País C=PE C=ES Organización Unidad organizativa O=UNI-FIIS Nombre de usuario OU=ACME CAs y usuarios pueden depositar sus CN=Roger Carhuatocto certificados en el directorio X.500 12 PKI Aplicada / Roger Carhuatocto 12 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Certificados y CRLs Los certificados tienen una vida limitada. Al finalizar el período de validez, expiran. Un certificado puede dejar de ser válido por varios motivos (REVOCADO): Si se sospecha que alguien ha tenido acceso a la clave privada, debe revocarse el certificado con la correspondiente clave pública. Cuando el poseedor de un certificado cambia de empresa su DN no es válido. En tales casos, la CA debe realizar las operaciones necesarias para REVOCAR el certificado. Una alternativa es disponer de Listas Firmadas (CRL) por la CA en las que se incluyan los certificados generados y revocados por ella o referencias a éstos. Estas listas pueden depositarse en la entrada de la CA en el directorio X.500. 13 PKI Aplicada / Roger Carhuatocto 13 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificados, CRLs y verificación La verificación de un certificado implicará pues, la inspección de estas listas por ver si el certificado en cuestión está o no revocado. Proceso: Recepción de mensaje firmado. Acceso a X.500 para recoger certificado de usuario. Comprobación de que no está revocado. Si el certificado NO ha sido expedido por una CA conocida, ír hacia arriba en el árbol de X.500 hasta dar con una en la que confiemos. 14 PKI Aplicada / Roger Carhuatocto 14 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Conclusiones En sistemas complejos: jerarquías de CAs. Necesidad de verificar secuencias de certificados de CAs hasta llegar al de una CA en la que se confíe. Usuarios y CAs intercambiarán mensajes de gestión de certificados (para solicitar certificados, entregarlos, solicitar revocación, confirmarla, etc.). Al hablar de infraestructura pues, estamos refiriéndonos a agentes presentes, mensajes intercambiados y “reglas de juego”: Servicios, plataformas, algoritmos, normas, protocolos, responsabilidades, estructutras 15 PKI Aplicada / Roger Carhuatocto 15 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificado X.509 Definición en ASN.1. Codificación DER. Certificate ::= SIGNED SEQUENCE { version [0] Version DEFAULT v1, serialNumber CertificateSerialNumber , signature AlgorithmIdentifier , issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueId [1] IMPLICIT UniqueIdentifier OPTIONAL, subjectUniqueI [2] IMPLICIT UniqueIdentifier OPTIONAL, extensions [3] Extensions OPTIONAL } 16 PKI Aplicada / Roger Carhuatocto 16 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Certificado Reconocido (Qualified Cert.) Tipo de certificados que debe usarse para generar Firmas Electrónicas Avanzadas (según la Directiva Europea) Es un perfil de certificado definido a partir del formato X.509, en el que se describen una serie de Extensiones que deben aparecer obligatoriamente. 17 PKI Aplicada / Roger Carhuatocto 17 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificado Reconocido (Qualified Cert.) Definición en ASN.1. Codificación DER. Certificate ::= SIGNED SEQUENCE { version [0] Version DEFAULT v1, serialNumber CertificateSerialNumber , signature AlgorithmIdentifier , issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueId [1] IMPLICIT UniqueIdentifier OPTIONAL, subjectUniqueI [2] IMPLICIT UniqueIdentifier OPTIONAL, extensions [3] Extensions OPTIONAL } AuthorityKeyId SubjectKeyId KeyUsage CertPolicies CRLDistributionPoint 18 PKI Aplicada / Roger Carhuatocto 18 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Public Key Cryptography Standards Necesidad de estándares: asegurar la INTEROPERABILIDAD entre aplicaciones que aplican Criptografía de Clave Pública, desarrolladas por fabricantes diferentes. Desarrollados por RSA Security y fabricantes (Microsoft, Sun, Apple, etc) Qué se ha estandarizado?: la sintaxis de los mensajes los algoritmos Qué asuntos quedan abiertos, a criterio del desarrollador 19 PKI Aplicada / Roger Carhuatocto 19 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Public Key Cryptography Standards Public-Key Cryptography Standards http://www.rsasecurity.com/rsalabs/pkcs/index.html 20 PKI Aplicada / Roger Carhuatocto 20 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Aplicaciones. email Autenticación del Origen Integridad del Contenido Confidencialidad del Contenido No Repudio del Origen PEM (Privacy enhancen mail) fue la primera propuesta realizada en Internet para asegurar mensajes de correo electrónico haciendo uso de firmas digitales y certificados X.509. No tuvo éxito porque no era compatible con MIME. Sólo permite firma y cifrado de parte del mail S/MIME (Multipurpose Internet Mail Extensions ), igual que anterior, soporte MIME PGP J 21 PKI Aplicada / Roger Carhuatocto 21 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Aplicaciones. Web seguro Firma de formularios, Firma de páginas web, Firma de código Autenticación SSL Desarrollado por Netscape Communications Corp. Permite proteger cualquier comunicación de cualquier aplicación que opere sobre TCP (http, FTP, Telne, cualquier tunel SSL) Ofrece servicios de Seguridad para Sesiones entre cliente/servidor Autenticación del Servidor Autenticación del Cliente Integridad del Contenido transferido Confidencialidad 22 PKI Aplicada / Roger Carhuatocto 22 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
Aplicaciones. Transacciones seguras Pasarelas/medios de pago e-commerce, e-business, m-commerce e-gambling, e-voting (avanzada) Firma y cifrado con XML, web services Autenticación: SSO, Kerberos Tokens : SmartCards de memoria y criptográfica, JavaCards 23 PKI Aplicada / Roger Carhuatocto 23 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES PKI: Ejemplos Autoridades de Certificación OpenCA – http://www.openca.org Linux, GPL, basado en OpenSSL, Apache, Perl, MySQL y Ldap NewPKI – http://www.newpki.org Windows, GPL, C/C++, desarrollo propietario, MySQL y Ldap EJBCA – http://ejbca.sourceforge.net Multiplataforma(Java), basada en API Criptográfico de Java, J2EE/Jboss, MySQL y Ldap BDs y Ldap MySQL – http://www.mysql.org Postgres – http://www.postgres.org OpenLdap – http://www.openldap.org Servidores web, application server Apache – http://www.apache.org JBoss – http://www.jboss.org 24 PKI Aplicada / Roger Carhuatocto 24 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
June 2003 Survey on PKI Obstacles Objetivo Identificar principales obstáculos para el despliegue y uso de PKI Cómo Web-based survey deployed June 9 to 22, 2003 (OASIS) Invitation distributedthrough PKI standards bodies, trade groups, user associations, etc. Encuestados 216 valid responses, many with careful text comments 44% IT management and staff, remainder developers, consultants, etc. PrimaryWork Location: 61% North America, 24% Europe, 6% Asia Over 75% with 5 or more years experience in InfoSec/Privacy 90% either helped deployPKI or developedPKI-related software Ver encuesta http://www.ietf.org/proceedings/03nov/slides/pkix-2/pkix-2.ppt 25 PKI Aplicada / Roger Carhuatocto 25 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES

Empfohlen

Boletin fdv vol_b1_tecnologico_1_trimestre_
Boletin fdv vol_b1_tecnologico_1_trimestre_Boletin fdv vol_b1_tecnologico_1_trimestre_
Boletin fdv vol_b1_tecnologico_1_trimestre_Da Vinci Foundation
 
Reto nooc intef_#estafas_dig
Reto nooc intef_#estafas_digReto nooc intef_#estafas_dig
Reto nooc intef_#estafas_digNombre Apellidos
 
Protocolos de seguridad - Seguridad de contraseñas personales
Protocolos de seguridad - Seguridad de contraseñas personalesProtocolos de seguridad - Seguridad de contraseñas personales
Protocolos de seguridad - Seguridad de contraseñas personalesCentro de Formación en Periodismo Digital
 
La firma Digital En Colombia
La firma Digital En ColombiaLa firma Digital En Colombia
La firma Digital En ColombiaFaiber Ruiz Acosta
 
Pki
PkiPki
PkiG Hoyos A
 
Public Key Infrastructure
Public Key InfrastructurePublic Key Infrastructure
Public Key InfrastructureRoger CARHUATOCTO
 
Practica 5
Practica 5Practica 5
Practica 5Uzziel Mendez
 
Pki
PkiPki
Pkidanielmon1
 

Empfohlen

Boletin fdv vol_b1_tecnologico_1_trimestre_
Boletin fdv vol_b1_tecnologico_1_trimestre_Boletin fdv vol_b1_tecnologico_1_trimestre_
Boletin fdv vol_b1_tecnologico_1_trimestre_Da Vinci Foundation
 
Reto nooc intef_#estafas_dig
Reto nooc intef_#estafas_digReto nooc intef_#estafas_dig
Reto nooc intef_#estafas_digNombre Apellidos
 
Protocolos de seguridad - Seguridad de contraseñas personales
Protocolos de seguridad - Seguridad de contraseñas personalesProtocolos de seguridad - Seguridad de contraseñas personales
Protocolos de seguridad - Seguridad de contraseñas personalesCentro de Formación en Periodismo Digital
 
La firma Digital En Colombia
La firma Digital En ColombiaLa firma Digital En Colombia
La firma Digital En ColombiaFaiber Ruiz Acosta
 
Pki
PkiPki
PkiG Hoyos A
 
Public Key Infrastructure
Public Key InfrastructurePublic Key Infrastructure
Public Key InfrastructureRoger CARHUATOCTO
 
Practica 5
Practica 5Practica 5
Practica 5Uzziel Mendez
 
Pki
PkiPki
Pkidanielmon1
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetOscar
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1veronicamacuarisma
 
TIC
TICTIC
TICSole González
 
Infraestructura PIkx
Infraestructura PIkxInfraestructura PIkx
Infraestructura PIkxAdela Cueva
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pkiCecyCueva
 
Mizar
MizarMizar
Mizarsmateura
 
Actividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKIActividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKIdavichoman
 
Resci2014 certificate pinning con ppt
Resci2014 certificate pinning con pptResci2014 certificate pinning con ppt
Resci2014 certificate pinning con pptboligoma200
 
Tc2 15
Tc2 15Tc2 15
Tc2 15claoeusse
 
Ingeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaIngeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaPablo Martínez
 
Curso Virtual Forense de Redes
Curso Virtual Forense de RedesCurso Virtual Forense de Redes
Curso Virtual Forense de RedesAlonso Caballero
 
Grid1
Grid1Grid1
Grid1Jessica
 
Grid1
Grid1Grid1
Grid1Jessica
 
Grid
GridGrid
GridJessica
 
Grid
GridGrid
GridJessica
 
Grid
GridGrid
GridJessica
 
Grid
GridGrid
GridJessica
 
Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publicaAbraham Fernández
 
Trabajo colaborativo II punto B
Trabajo colaborativo II punto BTrabajo colaborativo II punto B
Trabajo colaborativo II punto Bclaoeusse
 
seguridad basica informática
seguridad basica informáticaseguridad basica informática
seguridad basica informáticaJorge Pfuño
 
[Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 [Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 Roger CARHUATOCTO
 
[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2Roger CARHUATOCTO
 

Weitere ähnliche Inhalte

Ähnlich wie PKI Aplicada V1.3

Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetOscar
 
Infraestructura PIkx
Infraestructura PIkxInfraestructura PIkx
Infraestructura PIkxAdela Cueva
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pkiCecyCueva
 
Actividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKIActividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKIdavichoman
 
Resci2014 certificate pinning con ppt
Resci2014 certificate pinning con pptResci2014 certificate pinning con ppt
Resci2014 certificate pinning con pptboligoma200
 
Ingeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaIngeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaPablo Martínez
 
Curso Virtual Forense de Redes
Curso Virtual Forense de RedesCurso Virtual Forense de Redes
Curso Virtual Forense de RedesAlonso Caballero
 
Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publicaAbraham Fernández
 
Trabajo colaborativo II punto B
Trabajo colaborativo II punto BTrabajo colaborativo II punto B
Trabajo colaborativo II punto Bclaoeusse
 
seguridad basica informática
seguridad basica informáticaseguridad basica informática
seguridad basica informáticaJorge Pfuño
 

Ähnlich wie PKI Aplicada V1.3 (20)

Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1
 
TIC
TICTIC
TIC
 
Infraestructura PIkx
Infraestructura PIkxInfraestructura PIkx
Infraestructura PIkx
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
 
Mizar
MizarMizar
Mizar
 
Actividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKIActividad N5 david-barrionuevo-Infraestructura PKI
Actividad N5 david-barrionuevo-Infraestructura PKI
 
Resci2014 certificate pinning con ppt
Resci2014 certificate pinning con pptResci2014 certificate pinning con ppt
Resci2014 certificate pinning con ppt
 
Tc2 15
Tc2 15Tc2 15
Tc2 15
 
Ingeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaIngeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpeta
 
Curso Virtual Forense de Redes
Curso Virtual Forense de RedesCurso Virtual Forense de Redes
Curso Virtual Forense de Redes
 
Grid1
Grid1Grid1
Grid1
 
Grid1
Grid1Grid1
Grid1
 
Grid
GridGrid
Grid
 
Grid
GridGrid
Grid
 
Grid
GridGrid
Grid
 
Grid
GridGrid
Grid
 
Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publica
 
Trabajo colaborativo II punto B
Trabajo colaborativo II punto BTrabajo colaborativo II punto B
Trabajo colaborativo II punto B
 
seguridad basica informática
seguridad basica informáticaseguridad basica informática
seguridad basica informática
 

Mehr von Roger CARHUATOCTO

[Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 [Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 Roger CARHUATOCTO
 
[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2Roger CARHUATOCTO
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...Roger CARHUATOCTO
 
Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Roger CARHUATOCTO
 
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Roger CARHUATOCTO
 
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2Roger CARHUATOCTO
 
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseChakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseRoger CARHUATOCTO
 
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xIntroducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xRoger CARHUATOCTO
 
WSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformWSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformRoger CARHUATOCTO
 
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Roger CARHUATOCTO
 
Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Roger CARHUATOCTO
 
03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intixRoger CARHUATOCTO
 
01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intixRoger CARHUATOCTO
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intixRoger CARHUATOCTO
 
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Roger CARHUATOCTO
 
1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop FlyerRoger CARHUATOCTO
 
Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Roger CARHUATOCTO
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 
QA and Security in Development Process
QA and Security in Development ProcessQA and Security in Development Process
QA and Security in Development ProcessRoger CARHUATOCTO
 

Mehr von Roger CARHUATOCTO (20)

[Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 [Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2
 
[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
 
Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)
 
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
 
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
 
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseChakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
 
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xIntroducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
 
WSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformWSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto Platform
 
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
 
Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network
 
03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix
 
01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix
 
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
 
1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer
 
Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
 
QA and Security in Development Process
QA and Security in Development ProcessQA and Security in Development Process
QA and Security in Development Process
 

Kürzlich hochgeladen

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Kürzlich hochgeladen (10)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 

PKI Aplicada V1.3

  • 1. 1st Peruvian Workshop on IT Security 29.Dic.2003 Colaboración PKI aplicada Roger Carhuatocto http://escert.upc.es Miembro esCERT -UPC Responsable de Servicios Educacionales Instituto de Investigación UNI -FIIS http://www.uni.edu.pe esCERT-UPC C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ España Tel. (34)934015795 ~ Fax. (34)934017055 1 Servicio de seguridad Confidencialidad, sólo autorizados acceden a la información Integridad, asegurar la no alteración Autenticación, corroborar la identidad Autenticación de mensajes, conocer el origen del mensaje Firma, ligar identidad con información Autorización, permiso de acceso a recursos Validación, evento (limitada en tiempo y espacio) de autorización Control de acceso, ingreso privilegiado Certificación, aval de entidad de confianza Testificación, aval extra de una entidad ajena a la primaria ) Sello de Tiempo (TIME STAMPING), registro de tiempo de un evento Recibo, constancia de entrega para el emisor Título de propiedad (OWNERSHIP), transferencia legal de un derecho de uso Anonimicidad, la no relación de una identidad con una entidad No repudio, prevenir negación de actos realizados Revocación, cese de certificación 2 PKI Aplicada / Roger Carhuatocto 2 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 2. Servicios de Seguridad Las amenazas se reducen implantando Servicios de Seguridad Los servicios de seguridad están basados sistemáticamente en el uso de técnicas criptográficas . 3 PKI Aplicada / Roger Carhuatocto 3 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Infraestructura. ¿Por qué?. Usuarios necesitan claves públicas de otros usuarios. ¿Cómo se accede a claves públicas de otros usuarios?. Se debería disponer de una base de datos de clave públicas asociadas a identidades de los usuarios que las poseen. Los usuarios accederían a la BDs y obtendrían las claves necesarias. 4 PKI Aplicada / Roger Carhuatocto 4 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 3. Infraestructura. Conclusión Amenaza: Si se trata de una BD de acceso público, podría ser fácil cambiar sus contenidos, por ejemplo, cambiar la identidad asociada a una cla ve pública o viceversa. Solución: Asegurar los depósitos de claves (seguridad no absoluta) Asegurar las asociaciones claves públicas- identidades (Certificados digitales). La BDs resultante “garantiza” (acto de fe/confianza) que una determinada clave pública pertenece a un determinado usuario. 5 PKI Aplicada / Roger Carhuatocto 5 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificado y CA 1. Da garantía: Firma digitalmente la relación clave pública e identidad Autoridad de Certificación (CA) del poseedor de la clave. 2. Dicha relación se añade a la Almacén estructura del CERTIFICADO seguro 3. Gestiona la estructura de información (CERTIFICADO) CERTIFICADO • La clave pública. • La identidad del poseedor. • La identidad de la CA. NO HAY INFORMACIÓN • Una fecha de validez para esta CONFIDENCIAL. asociación. • Firma digital (para protegerlo de manipulaciones malintencionadas) 6 PKI Aplicada / Roger Carhuatocto 6 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 4. Certificado y CA Autoridad de 1. Da garantía: Firma digitalmente la Certificación (CA) relación/asociación clave pública e identidad del poseedor de la clave. Almacén 2. Dicha relación se añade a la seguro estructura del CERTIFICADO 3. Gestiona la estructura de información (CERTIFICADO) CERTIFICADO • La clave pública. • La identidad del poseedor. • La identidad de la CA. • Una fecha de validez para esta NO HAY INFORMACIÓN asociación. CONFIDENCIAL. • Identificación de la asociación • Firma digital (para protegerlo de manipulaciones malintencionadas) • Versión del formato • Algoritmos usados en firma y hash 7 PKI Aplicada / Roger Carhuatocto 7 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificado, Firma y cifrado Alice descarga el certificado de Bob del almacén seguro Alice firma el mensaje con su Kpriv, usará la Kpub de Bob si envía dicho mensaje de forma cifrada Bob verifica la firma electrónica del mensaje y luego el certificado del remitente Autoridad de Certificación (CA) Almacén seguro KAlice pública KAlice privada Verificación de Firma SI? Digital Firma Digital 8 PKI Aplicada / Roger Carhuatocto 8 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 5. Validación de mensajes firmados Validación de mensaje + Validación Certificado Verificar la validez del certificado del remitente. Existencia del certificado Dentro del período de validez. Certificado no revocado. Firma electrónica de la CA correcta. Verificar la firma electrónica del mensaje con la clave pública del remitente Es necesario que el destinatario y el remitente pertenezcan al mismo circulo de confianza, es decir que ambas claves pública deben estar en “posesión” de una misma CA 9 PKI Aplicada / Roger Carhuatocto 9 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Infraestructura. Ldap Un lugar idóneo para guardar certificados es la base de datos distribuida X.500 (directorio). X.500 asocia una entrada de una base de datos distribuida y organizada jerárquicamente según un árbol, a cada agente del sistema. Cada usuario puede depositar su certificado en su entrada del directorio y el resto de usuarios puede acceder a dicha entrada y recogerlo. 10 PKI Aplicada / Roger Carhuatocto 10 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 6. Infraestructura. Ldap Autoridad de Certificación (CA) Almacén seguro X.500 Usuario A Usuario B 11 PKI Aplicada / Roger Carhuatocto 11 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Ldap CA Raíz X.500: Estructura de directorios jerárquica. Cada entrada se etiqueta con un CA Sub A CA Sub B Nombre Distintivo (Distinguished Name -DN-). Un DN contiene valores de atributos: CA Sub A.1 País C=PE C=ES Organización Unidad organizativa O=UNI-FIIS Nombre de usuario OU=ACME CAs y usuarios pueden depositar sus CN=Roger Carhuatocto certificados en el directorio X.500 12 PKI Aplicada / Roger Carhuatocto 12 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 7. Certificados y CRLs Los certificados tienen una vida limitada. Al finalizar el período de validez, expiran. Un certificado puede dejar de ser válido por varios motivos (REVOCADO): Si se sospecha que alguien ha tenido acceso a la clave privada, debe revocarse el certificado con la correspondiente clave pública. Cuando el poseedor de un certificado cambia de empresa su DN no es válido. En tales casos, la CA debe realizar las operaciones necesarias para REVOCAR el certificado. Una alternativa es disponer de Listas Firmadas (CRL) por la CA en las que se incluyan los certificados generados y revocados por ella o referencias a éstos. Estas listas pueden depositarse en la entrada de la CA en el directorio X.500. 13 PKI Aplicada / Roger Carhuatocto 13 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificados, CRLs y verificación La verificación de un certificado implicará pues, la inspección de estas listas por ver si el certificado en cuestión está o no revocado. Proceso: Recepción de mensaje firmado. Acceso a X.500 para recoger certificado de usuario. Comprobación de que no está revocado. Si el certificado NO ha sido expedido por una CA conocida, ír hacia arriba en el árbol de X.500 hasta dar con una en la que confiemos. 14 PKI Aplicada / Roger Carhuatocto 14 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 8. Conclusiones En sistemas complejos: jerarquías de CAs. Necesidad de verificar secuencias de certificados de CAs hasta llegar al de una CA en la que se confíe. Usuarios y CAs intercambiarán mensajes de gestión de certificados (para solicitar certificados, entregarlos, solicitar revocación, confirmarla, etc.). Al hablar de infraestructura pues, estamos refiriéndonos a agentes presentes, mensajes intercambiados y “reglas de juego”: Servicios, plataformas, algoritmos, normas, protocolos, responsabilidades, estructutras 15 PKI Aplicada / Roger Carhuatocto 15 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificado X.509 Definición en ASN.1. Codificación DER. Certificate ::= SIGNED SEQUENCE { version [0] Version DEFAULT v1, serialNumber CertificateSerialNumber , signature AlgorithmIdentifier , issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueId [1] IMPLICIT UniqueIdentifier OPTIONAL, subjectUniqueI [2] IMPLICIT UniqueIdentifier OPTIONAL, extensions [3] Extensions OPTIONAL } 16 PKI Aplicada / Roger Carhuatocto 16 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 9. Certificado Reconocido (Qualified Cert.) Tipo de certificados que debe usarse para generar Firmas Electrónicas Avanzadas (según la Directiva Europea) Es un perfil de certificado definido a partir del formato X.509, en el que se describen una serie de Extensiones que deben aparecer obligatoriamente. 17 PKI Aplicada / Roger Carhuatocto 17 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Certificado Reconocido (Qualified Cert.) Definición en ASN.1. Codificación DER. Certificate ::= SIGNED SEQUENCE { version [0] Version DEFAULT v1, serialNumber CertificateSerialNumber , signature AlgorithmIdentifier , issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueId [1] IMPLICIT UniqueIdentifier OPTIONAL, subjectUniqueI [2] IMPLICIT UniqueIdentifier OPTIONAL, extensions [3] Extensions OPTIONAL } AuthorityKeyId SubjectKeyId KeyUsage CertPolicies CRLDistributionPoint 18 PKI Aplicada / Roger Carhuatocto 18 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 10. Public Key Cryptography Standards Necesidad de estándares: asegurar la INTEROPERABILIDAD entre aplicaciones que aplican Criptografía de Clave Pública, desarrolladas por fabricantes diferentes. Desarrollados por RSA Security y fabricantes (Microsoft, Sun, Apple, etc) Qué se ha estandarizado?: la sintaxis de los mensajes los algoritmos Qué asuntos quedan abiertos, a criterio del desarrollador 19 PKI Aplicada / Roger Carhuatocto 19 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Public Key Cryptography Standards Public-Key Cryptography Standards http://www.rsasecurity.com/rsalabs/pkcs/index.html 20 PKI Aplicada / Roger Carhuatocto 20 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 11. Aplicaciones. email Autenticación del Origen Integridad del Contenido Confidencialidad del Contenido No Repudio del Origen PEM (Privacy enhancen mail) fue la primera propuesta realizada en Internet para asegurar mensajes de correo electrónico haciendo uso de firmas digitales y certificados X.509. No tuvo éxito porque no era compatible con MIME. Sólo permite firma y cifrado de parte del mail S/MIME (Multipurpose Internet Mail Extensions ), igual que anterior, soporte MIME PGP J 21 PKI Aplicada / Roger Carhuatocto 21 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES Aplicaciones. Web seguro Firma de formularios, Firma de páginas web, Firma de código Autenticación SSL Desarrollado por Netscape Communications Corp. Permite proteger cualquier comunicación de cualquier aplicación que opere sobre TCP (http, FTP, Telne, cualquier tunel SSL) Ofrece servicios de Seguridad para Sesiones entre cliente/servidor Autenticación del Servidor Autenticación del Cliente Integridad del Contenido transferido Confidencialidad 22 PKI Aplicada / Roger Carhuatocto 22 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 12. Aplicaciones. Transacciones seguras Pasarelas/medios de pago e-commerce, e-business, m-commerce e-gambling, e-voting (avanzada) Firma y cifrado con XML, web services Autenticación: SSO, Kerberos Tokens : SmartCards de memoria y criptográfica, JavaCards 23 PKI Aplicada / Roger Carhuatocto 23 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES PKI: Ejemplos Autoridades de Certificación OpenCA – http://www.openca.org Linux, GPL, basado en OpenSSL, Apache, Perl, MySQL y Ldap NewPKI – http://www.newpki.org Windows, GPL, C/C++, desarrollo propietario, MySQL y Ldap EJBCA – http://ejbca.sourceforge.net Multiplataforma(Java), basada en API Criptográfico de Java, J2EE/Jboss, MySQL y Ldap BDs y Ldap MySQL – http://www.mysql.org Postgres – http://www.postgres.org OpenLdap – http://www.openldap.org Servidores web, application server Apache – http://www.apache.org JBoss – http://www.jboss.org 24 PKI Aplicada / Roger Carhuatocto 24 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES
  • 13. June 2003 Survey on PKI Obstacles Objetivo Identificar principales obstáculos para el despliegue y uso de PKI Cómo Web-based survey deployed June 9 to 22, 2003 (OASIS) Invitation distributedthrough PKI standards bodies, trade groups, user associations, etc. Encuestados 216 valid responses, many with careful text comments 44% IT management and staff, remainder developers, consultants, etc. PrimaryWork Location: 61% North America, 24% Europe, 6% Asia Over 75% with 5 or more years experience in InfoSec/Privacy 90% either helped deployPKI or developedPKI-related software Ver encuesta http://www.ietf.org/proceedings/03nov/slides/pkix-2/pkix-2.ppt 25 PKI Aplicada / Roger Carhuatocto 25 WALC 2003 - VI ESCUELA LATINOAMERICANA DE REDES