SlideShare una empresa de Scribd logo

Infraestructura de clave pública con Software Libre

Toni de la Fuente
Toni de la Fuente

Infraestructura de clave pública con Software Libre. Introducción a la PKI y soluciones actuales para implementar PKI con soluciones Open Source.

Tecnología
1 de 39
Descargar para leer sin conexión
Infraestructura de clave pública -PKI- con Software Libre Febrero 2009 Toni de la Fuente Director de Sistemas y Soporte Intecna Soluciones afuente@intecna.es
Contenidos Quién soy ● ¿Qué es PKI y para qué sirve? ● Conceptos relacionados con PKI ● Criptografía asimétrica ● Firma digital ● Certificados digitales ● Autoridades de certificación ● Validez de los certificados: CRL y OCSP ● Soluciones ●
Quién soy Director de Sistemas y Soporte de Intecna Soluciones España y LATAM. Responsable de Formación de Intecna Soluciones España y LATAM. Miembro del comité de Innovación de Intecna Soluciones. Creador de phpRADmin, solución para seguridad de redes basadas en FreeRADIUS y PKI. Blog personal blyx.com, desde 2002 publicando artículos relacionados con Software Libre, Seguridad y Tecnologías de la Información.
¿Qué es PKI y para qué sirve? I Es un sistema para gestión de certificados digitales y aplicaciones de firma digital o/y cifrado. Debe proporcionar: Autenticidad, la firma digital tendrá la misma ● validez que la manuscrita. Confidencialidad de la información transmitida ● entre las partes. Integridad. Debe asegurarse la capacidad de ● detectar si un documento firmado ha sido manipulado. No Repudio, de un documento firmado ● digitalmente.
¿Qué es PKI y para qué sirve? II Proporciona el marco que permite la implantación de clave pública. Incluye una Autoridad de Certificación (CA) y gestiona la información relacionada con ella. Debe prestar los siguientes servicios: • Emisión de certificados • Generación del par de claves (pública y privada) • Distribución de certificados • Certificación cruzada • Salvaguarda de claves • Suspensión y revocación de certificados • etc.
¿Qué es PKI y para qué sirve? III Los componentes de una PKI son o pueden ser entidades con funciones diferentes: Autoridad de Certificación: CA • Autoridad de Registro: RA • Autoridad Raiz: Root CA • Usuarios finales. • Una PKI sólo es válida si se cumplen las siguientes condiciones: • Las claves privadas estén protegidas. • Las claves públicas estén inequívocamente asociadas a una entidad.
¿Qué es PKI y para qué sirve? IV Las claves privadas se protegen con una contraseña y se deben almacenar de forma cifrada en: Disco duro. • Floppy. • Dispositivo USB. • Smart Card. •
Conceptos relacionados con PKI Criptografía asimétrica o de clave pública • Funciones Hash • Firma digital • Certificados digitales • Autoridad de Certificación • Autoridad de Registro • CRL • OCSP • PEM • PKCS • DER •
Criptografía asimétrica Cifrado simétrico: Se cifra y descifra con la misma clave. (DES, RC2, RC5, Tripe DES, AES, etc.) Cifrado asimétrico: Basado en un par de claves (pública y privada) de modo que lo que se cifra con una sólo se puede descifrar con la otra del mismo par.
Firma digital Esquema de funcionamiento de la firma digital:
Certificados digitales I ¿Qué es un certificado? • Documento electrónico que garantiza la identidad de una persona o fqdn. • Contiene información del titular del certificado.
Certificados digitales II Información que contiene un certificado (X.509v3): La identidad de un usuario y su clave pública. • Un número de serie y versión. • Periodo de validez. • La identidad de quién emite el certificado. • Descripción. • Clave pública. • Algoritmos utilizados. • La firma digital de las informaciones contenidas en el • certificado.
Certificados digitales III ¿Cómo obtengo un certificado digital? • Se solicitan a una autoridad de certificación. • Tienen un tiempo de validez determinado, a partir del cual caducan. • Normalmente hay que pagar por ellos.
Certificados digitales IV Contenido de un certificado: Data: Version: 3 (0x0) Serial Number: 18 (0x12) SignatureAlgorithm: PKCS #1 SHA-1 con cifrado RSA Issuer: OU = FNMT Clase 2 CA, O = FNMT, C = ES Validity: NotBefore: Jan7 13:02:39 2000 GMT NotAfter: Jan6 13:02:39 2001 GMT Subject: CN = Toni, OU = 00011, OU = FNMT Clase 2 CA, O = FNMT, C = ES PublicKeyAlgorithm: rsaEncryption RSA PublicKey: (512 bit) Modulus(512 bit): 00:98:59:ab:d9:7e:a3:40:21:60:ee:54:a5:a4:54: d2:29:fd:50:82:c1:28:05:25:0a:6b:aa:61:aa:e0: 19:3b:d7:5e:18:f2:14:60:ed:58:f6:87:eb:4c:61: fc:9e:ed:9d:b2:19:d4:73:25:cc:d4:63:88:54:f4: 49:2a:ba:ce:7b Exponent: 65537 (0x10001) SignatureAlgorithm: PKCS #1 SHA-1 con cifrado RSA 7a:df:8a:aa:b5:23:5b:c6:ff:f3:02:73:65:bb:0f:05:7a:fd: f4:68:ee:b9:fe:92:72:53:bb:f2:31:9e:38:92:69:b3:04:22: d7:be:f5:18:42:7a:c0:9b:e2:1e:04:a4:66:02:80:76:79:0e: f6:c3:7e:25:2d:ec:00:01:fb:f7
Autoridades de Certificación I Autoridad de Certificación (CA): • Entidad intermediaria y confiable que emite y administra los certificados. • Garantiza la asociación entre una clave pública y una identidad. • Debe verificar los datos incorporados en el certificado. • Problemas asociados a lo difuso de las relaciones de confianza. • Publicación de las listas de certificados no válidos.
Autoridades de Certificación II Tipos de autoridades de certificación: • CA interna • CA ext. certificadora de empleados • CA ext. certificadora de clientes • CA tipo Tercera Parte Confiable Tipos de certificados: • Certificados de usuarios • Certificados de servidores • Certificados de CA
Validez de los certificados: CRL y OCSP Listas de Revocación de Certificados (CRL) Misión: • Detectar que un certificado no es válido en caso de sustracción, errores, cambios de derechos, ruptura de la CA. Problemas: • CRLs de gran longitud • Existe un intervalo de posible fraude • Comprobación on-line de certificados Para verificar una firma de un documento, el usuario no sólo ha de verificar el certificado y su validez, sino que también ha de adquirir la versión más reciente de la CRL y confirmar que el número de serie del certificado no está en tal CRL.
Validez de los certificados: CRL y OCSP Contenido de una CRL: • Versión • Algoritmo de Firma • Emisor • Actualización Presente • Siguiente Actualización • Nº Serie Certificado • Fecha Revocación • Extensiones Locales • Extensiones Globales
Validez de los certificados: CRL y OCSP Servidor OSCP (Online Certificate Status Protocol) • Confirmación online del estado de un certificado. • Servicio online de alta disponibilidad que debe ofrece la CA a los usuarios. • Proporciona información más adecuada y reciente. • No requiere CRLs: ahorra tráfico y CPU. • Las CRLs contienen información sensible. • Usa LDAP como backend. Funcionamiento: el cliente OSCP envía petición de estado al OSCP responder y suspende su aceptación hasta recibir respuesta.
Soluciones PKI en Software Libre Las soluciones a tener en cuenta son: OpenCA • OpenXPKI (fork de OpenCA) • EJBCA • PHPki • Gnomint • OpenSSL •
Soluciones PKI en Software Libre OpenCA: herramienta que proporciona un interface Web para poder administrar una PKI. Componentes: • Una interface web creado en Perl (Público). • Openssl para operaciones criptográficas. • Una base de datos (MySQL/PgSQL). • Un OpenLDAP, Apache (mod_ssl). Características: • Software Libre. • Integración con otras aplicaciones. • Comunidades de soporte y empresas. • Soporte estándares internacionales. • Versión 1.0.2 • En castellano • Demo en http://mm.cs.dartmouth.edu/pki/pub/
Soluciones PKI en Software Libre OpenCA: Capturas de pantalla, Inicialización:
Soluciones PKI en Software Libre OpenCA: Capturas de pantalla, General:
Soluciones PKI en Software Libre OpenXPKI: fork de OpenCA, con varios componentes reescritos. Componentes: • Similares a OpenCA (perl). Características: • Software Libre. • No se liberan versiones de forma normal, se distribuye en ISO, SVN, nightly builds. • Soporte estándares internacionales. • Versión 0.9.1 • Integrado con RT para solicitud de certificados. • Múltiples instancias de CA • Soporte nCipher y nShield para hardware criptográfico.
Soluciones PKI en Software Libre OpenXPKI: captura de pantalla, listado:
Soluciones PKI en Software Libre EJBCA: Infraestructura completa de PKI realizada en Java. Componentes: • Java JDK. • Servidor de aplicaciones Jboss, Glashfish • Ant Características: • Software Libre. • Proyecto muy activo. • Soporte estándares internacionales. • Versión 3.8.1. • Software complementario para más funcionalidades. • Multiples CAs y multiplataforma. • Soporte a gran variedad de HW criptográfico y eParapher*.
Soluciones PKI en Software Libre EJBCA: Capturas de pantalla, panel de administración:
Soluciones PKI en Software Libre EJBCA: Capturas de pantalla, visor de eventos:
Soluciones PKI en Software Libre PHPki: Infraestructura mínima de PKI realizada en PHP y OpenSSL. Componentes: • Apache + mod_ssl. • OpenSSL • PHP (librerías criptográficas) Características: • Software Libre. • Proyecto parado. • Soporte y funcionalidades limitadas. • Versión 0.82. • Muy fácil de usar e implementar. • No soporta HW criptográfico.
Soluciones PKI en Software Libre PHPki: captura de pantalla, menú de administración:
Soluciones PKI en Software Libre Gnomint: Herramienta gestión de CA y certificados para Gnome. Componentes: • Gnome. • OpenSSL Características: • Software Libre. • Soporte y funcionalidades limitadas. • Versión 0.6.0. • Muy fácil de usar e implementar. • No soporta HW criptográfico. • No soporta OCSP.
Soluciones PKI en Software Libre Gnomint: captura de pantalla, listado:
Soluciones PKI en Software Libre OpenSSL: Herramienta por excelencia para gestión y creación de CAs y certificados. Componentes: • OpenSSL ;) Características: • Software Libre. • Herramienta por línea de comandos. • Soporta gestión de CA, cifrado, firma, etc. • Navaja suiza para certificados. • Multiplataforma. • Dispone de su propia shell. Ver: Usando OpenSSL en el mundo real.pdf (blyx.com)
Soluciones PKI en Software Libre OpenSSL: línea de comandos, ejemplos: $ fnd /etc -type f | xargs openssl md5 > /etc/secure/md5_sigs.txt El anterior comando creará un archivo MD5 hash de todos los archivos del directorio /etc. Estos finger prints deben ser almacenados como solo lectura y en un lugar seguro. Veamos un ejemplo para cifrar un archivo llamado passwd con Blowfish: $ openssl bf -e -in /etc/secure/passwd -out /etc/secure/passwd.enc.bf El siguiente ejemplo muestra como descifrar el archivo /etc/secure/sensitive_data.enc.3des que fue cifrado con el algoritmo 3DES: $ openssl enc -des3 -d -in /etc/secure/sensitive_data.enc.3des -out /etc/secure/sensitive_data El siguiente ejemplo muestra como generar el MD5de la contraseña “blah”: $ echo blah | openssl passwd -stdin -1 La opción quot;-1quot; indica que usaremos MD5 como algoritmo y la opción “-stdin” indica que le pasamos la contraseña a través de la entrada estándar.
Soluciones PKI en Software Libre eParapher: Cliente para firma digital de documentos. Componentes: • Java 5 y 6. • Eclipse. • OpenOffice 2.4+ • Maven. • Apache directory studio. Características: • Software Libre. • Herramienta gráfica multiplataforma. • Windows, Linux y Mac. • En estado inicial, versión 0.0.1. • Bien dimensianada. • Soporta firmas en PDF, PDF/A, CMS and XML. • Firma masiva (bulk sign).
Conclusiones
Preguntas y respuestas
Agradecimientos: Víctor Manuel Fernández Gómez - http://vfernandezg.blogspot.com/ Gonzalo Álvarez Marañón - Univ. Oviedo. Pedro Pablo Pérez García - Univ. Oviedo. José María Sierra - Univ. Comillas.
$ while true; do ; ‘¡gracias!’; done ;-) Toni de la Fuente Director de Sistemas y Soporte Intecna Soluciones afuente@intecna.es

Recomendados

Criptografia simetrica
Criptografia simetricaCriptografia simetrica
Criptografia simetrica
Baruch Ramos
 
ALGORITMO DES
ALGORITMO DESALGORITMO DES
ALGORITMO DES
elichokis2
 
manual de practicas de opengl
manual de practicas de openglmanual de practicas de opengl
manual de practicas de opengl
Alincita Simon
 
Métodos para la detección y corrección de errores
Métodos para la detección y corrección de erroresMétodos para la detección y corrección de errores
Métodos para la detección y corrección de errores
Daniel Huerta Cruz
 
Pascal
PascalPascal
Pascal
Paola Blanco
 
Portafolio Lenguajes y Autómatas Unidad 1
Portafolio Lenguajes y Autómatas Unidad 1Portafolio Lenguajes y Autómatas Unidad 1
Portafolio Lenguajes y Autómatas Unidad 1
Humano Terricola
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifrado
kyaalena
 
Investigación Técnicas de detección de errores de transmisión
Investigación Técnicas de detección de errores de transmisiónInvestigación Técnicas de detección de errores de transmisión
Investigación Técnicas de detección de errores de transmisión
José Alexis Cruz Solar
 

Recomendados

Criptografia simetrica
Criptografia simetricaCriptografia simetrica
Criptografia simetrica
Baruch Ramos
 
ALGORITMO DES
ALGORITMO DESALGORITMO DES
ALGORITMO DES
elichokis2
 
manual de practicas de opengl
manual de practicas de openglmanual de practicas de opengl
manual de practicas de opengl
Alincita Simon
 
Métodos para la detección y corrección de errores
Métodos para la detección y corrección de erroresMétodos para la detección y corrección de errores
Métodos para la detección y corrección de errores
Daniel Huerta Cruz
 
Pascal
PascalPascal
Pascal
Paola Blanco
 
Portafolio Lenguajes y Autómatas Unidad 1
Portafolio Lenguajes y Autómatas Unidad 1Portafolio Lenguajes y Autómatas Unidad 1
Portafolio Lenguajes y Autómatas Unidad 1
Humano Terricola
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifrado
kyaalena
 
Investigación Técnicas de detección de errores de transmisión
Investigación Técnicas de detección de errores de transmisiónInvestigación Técnicas de detección de errores de transmisión
Investigación Técnicas de detección de errores de transmisión
José Alexis Cruz Solar
 
Compilador
CompiladorCompilador
Compilador
FARIDROJAS
 
ARQUITECTURA TCP/IP
ARQUITECTURA TCP/IPARQUITECTURA TCP/IP
ARQUITECTURA TCP/IP
Daniel Cerda
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
Taringa!
 
SUBNETEO clase b y c, Vlan, dhcp extendido y topología funcional
SUBNETEO clase b y c, Vlan, dhcp extendido y topología funcionalSUBNETEO clase b y c, Vlan, dhcp extendido y topología funcional
SUBNETEO clase b y c, Vlan, dhcp extendido y topología funcional
Mario Hernandez Burgos
 
Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4
Daniel Oscar Fortin
 
Diffie-hellman algorithm
Diffie-hellman algorithmDiffie-hellman algorithm
Diffie-hellman algorithm
Computer_ at_home
 
Key management
Key managementKey management
Key management
Sujata Regoti
 
Automatas de estado finito
Automatas de estado finitoAutomatas de estado finito
Automatas de estado finito
Pedro Antonio Villalta (Pavillalta)
 
Introduccion a python 3
Introduccion a python 3Introduccion a python 3
Introduccion a python 3
Diego Camilo Peña Ramirez
 
capítulo 6 Algoritmos de criptografía clásica.pdf
capítulo 6 Algoritmos de criptografía clásica.pdfcapítulo 6 Algoritmos de criptografía clásica.pdf
capítulo 6 Algoritmos de criptografía clásica.pdf
medicolaboraldesat
 
Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografía
Medialab en Matadero
 
Actividad 3 herramientas administrativas de red en diferentes sistemas operat...
Actividad 3 herramientas administrativas de red en diferentes sistemas operat...Actividad 3 herramientas administrativas de red en diferentes sistemas operat...
Actividad 3 herramientas administrativas de red en diferentes sistemas operat...
dianamarcela0611
 
Poo 3-herencia-10-11
Poo 3-herencia-10-11Poo 3-herencia-10-11
Poo 3-herencia-10-11
Yahir Hernandez
 
Listas
ListasListas
Listas
menamigue
 
Ejemplos Criptografia
Ejemplos CriptografiaEjemplos Criptografia
Ejemplos Criptografia
prof.2007
 
Intro to modern cryptography
Intro to modern cryptographyIntro to modern cryptography
Intro to modern cryptography
zahid-mian
 
Cryptography ppt
Cryptography pptCryptography ppt
Cryptography ppt
OECLIB Odisha Electronics Control Library
 
Key Management and Distribution
Key Management and DistributionKey Management and Distribution
Key Management and Distribution
Syed Bahadur Shah
 
métodos cifrado
métodos cifradométodos cifrado
métodos cifrado
irenech92
 
Algoritmos De Encriptacion
Algoritmos De EncriptacionAlgoritmos De Encriptacion
Algoritmos De Encriptacion
dnisse
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
Cinthia Duque
 
Encriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.pptEncriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.ppt
Efrain Meza Romero
 

Más contenido relacionado

La actualidad más candente

Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
Taringa!
 
Actividad 3 herramientas administrativas de red en diferentes sistemas operat...
Actividad 3 herramientas administrativas de red en diferentes sistemas operat...Actividad 3 herramientas administrativas de red en diferentes sistemas operat...
Actividad 3 herramientas administrativas de red en diferentes sistemas operat...
dianamarcela0611
 
Ejemplos Criptografia
Ejemplos CriptografiaEjemplos Criptografia
Ejemplos Criptografia
prof.2007
 
Algoritmos De Encriptacion
Algoritmos De EncriptacionAlgoritmos De Encriptacion
Algoritmos De Encriptacion
dnisse
 

La actualidad más candente (20)

Compilador
CompiladorCompilador
Compilador
 
ARQUITECTURA TCP/IP
ARQUITECTURA TCP/IPARQUITECTURA TCP/IP
ARQUITECTURA TCP/IP
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
 
SUBNETEO clase b y c, Vlan, dhcp extendido y topología funcional
SUBNETEO clase b y c, Vlan, dhcp extendido y topología funcionalSUBNETEO clase b y c, Vlan, dhcp extendido y topología funcional
SUBNETEO clase b y c, Vlan, dhcp extendido y topología funcional
 
Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4
 
Diffie-hellman algorithm
Diffie-hellman algorithmDiffie-hellman algorithm
Diffie-hellman algorithm
 
Key management
Key managementKey management
Key management
 
Automatas de estado finito
Automatas de estado finitoAutomatas de estado finito
Automatas de estado finito
 
Introduccion a python 3
Introduccion a python 3Introduccion a python 3
Introduccion a python 3
 
capítulo 6 Algoritmos de criptografía clásica.pdf
capítulo 6 Algoritmos de criptografía clásica.pdfcapítulo 6 Algoritmos de criptografía clásica.pdf
capítulo 6 Algoritmos de criptografía clásica.pdf
 
Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografía
 
Actividad 3 herramientas administrativas de red en diferentes sistemas operat...
Actividad 3 herramientas administrativas de red en diferentes sistemas operat...Actividad 3 herramientas administrativas de red en diferentes sistemas operat...
Actividad 3 herramientas administrativas de red en diferentes sistemas operat...
 
Poo 3-herencia-10-11
Poo 3-herencia-10-11Poo 3-herencia-10-11
Poo 3-herencia-10-11
 
Listas
ListasListas
Listas
 
Ejemplos Criptografia
Ejemplos CriptografiaEjemplos Criptografia
Ejemplos Criptografia
 
Intro to modern cryptography
Intro to modern cryptographyIntro to modern cryptography
Intro to modern cryptography
 
Cryptography ppt
Cryptography pptCryptography ppt
Cryptography ppt
 
Key Management and Distribution
Key Management and DistributionKey Management and Distribution
Key Management and Distribution
 
métodos cifrado
métodos cifradométodos cifrado
métodos cifrado
 
Algoritmos De Encriptacion
Algoritmos De EncriptacionAlgoritmos De Encriptacion
Algoritmos De Encriptacion
 

Similar a Infraestructura de clave pública con Software Libre

3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
1 2d
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
dsantosc
 
3051 tarjeta criptografica_ceres
3051 tarjeta criptografica_ceres3051 tarjeta criptografica_ceres
3051 tarjeta criptografica_ceres
Hilario Morales
 

Similar a Infraestructura de clave pública con Software Libre (20)

Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
Encriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.pptEncriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.ppt
 
17 certdigitalespkcs
17 certdigitalespkcs17 certdigitalespkcs
17 certdigitalespkcs
 
Infrestructura PKIx
Infrestructura PKIxInfrestructura PKIx
Infrestructura PKIx
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digital
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitales
 
Alternativas de Autentificación por dos Factores en Portales Web
Alternativas de Autentificación por dos Factores en Portales WebAlternativas de Autentificación por dos Factores en Portales Web
Alternativas de Autentificación por dos Factores en Portales Web
 
Pcr2008
Pcr2008Pcr2008
Pcr2008
 
Realsec I Criptografia Y Firma Digital
Realsec I Criptografia Y Firma DigitalRealsec I Criptografia Y Firma Digital
Realsec I Criptografia Y Firma Digital
 
El e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEl e-dni como herramienta de seguridad
El e-dni como herramienta de seguridad
 
Cryptosec Openkey CA | Autoridad de certificación
Cryptosec Openkey CA | Autoridad de certificaciónCryptosec Openkey CA | Autoridad de certificación
Cryptosec Openkey CA | Autoridad de certificación
 
Pki
PkiPki
Pki
 
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
 
Respuestas
RespuestasRespuestas
Respuestas
 
Eap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptxEap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptx
 
Voip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libreVoip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libre
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplos05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplos
 
3051 tarjeta criptografica_ceres
3051 tarjeta criptografica_ceres3051 tarjeta criptografica_ceres
3051 tarjeta criptografica_ceres
 

Más de Toni de la Fuente

Alfresco DevCon 2019: Encryption at-rest and in-transit
Alfresco DevCon 2019: Encryption at-rest and in-transitAlfresco DevCon 2019: Encryption at-rest and in-transit
Alfresco DevCon 2019: Encryption at-rest and in-transit
Toni de la Fuente
 
Monitoring Alfresco with Nagios/Icinga
Monitoring Alfresco with Nagios/IcingaMonitoring Alfresco with Nagios/Icinga
Monitoring Alfresco with Nagios/Icinga
Toni de la Fuente
 

Más de Toni de la Fuente (20)

SANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a ServiceSANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a Service
 
OWASP Atlanta 2018: Forensics as a Service
OWASP Atlanta 2018: Forensics as a ServiceOWASP Atlanta 2018: Forensics as a Service
OWASP Atlanta 2018: Forensics as a Service
 
Alfresco DevCon 2018: From Zero to Hero Backing up Alfresco
Alfresco DevCon 2018: From Zero to Hero Backing up AlfrescoAlfresco DevCon 2018: From Zero to Hero Backing up Alfresco
Alfresco DevCon 2018: From Zero to Hero Backing up Alfresco
 
Alabama CyberNow 2018: Cloud Hardening and Digital Forensics Readiness
Alabama CyberNow 2018: Cloud Hardening and Digital Forensics ReadinessAlabama CyberNow 2018: Cloud Hardening and Digital Forensics Readiness
Alabama CyberNow 2018: Cloud Hardening and Digital Forensics Readiness
 
Prowler: BlackHat Europe Arsenal 2018
Prowler: BlackHat Europe Arsenal 2018Prowler: BlackHat Europe Arsenal 2018
Prowler: BlackHat Europe Arsenal 2018
 
Alfresco DevCon 2019: Encryption at-rest and in-transit
Alfresco DevCon 2019: Encryption at-rest and in-transitAlfresco DevCon 2019: Encryption at-rest and in-transit
Alfresco DevCon 2019: Encryption at-rest and in-transit
 
From zero to hero Backing up alfresco
From zero to hero Backing up alfrescoFrom zero to hero Backing up alfresco
From zero to hero Backing up alfresco
 
TTL Alfresco Product Security and Best Practices 2017
TTL Alfresco Product Security and Best Practices 2017TTL Alfresco Product Security and Best Practices 2017
TTL Alfresco Product Security and Best Practices 2017
 
Automate or die! Rootedcon 2017
Automate or die! Rootedcon 2017Automate or die! Rootedcon 2017
Automate or die! Rootedcon 2017
 
Seguridad en Internet para todos los públicos
Seguridad en Internet para todos los públicosSeguridad en Internet para todos los públicos
Seguridad en Internet para todos los públicos
 
Storage and Alfresco
Storage and AlfrescoStorage and Alfresco
Storage and Alfresco
 
Alfresco security best practices CHECK LIST ONLY
Alfresco security best practices CHECK LIST ONLYAlfresco security best practices CHECK LIST ONLY
Alfresco security best practices CHECK LIST ONLY
 
Alfresco Security Best Practices Guide
Alfresco Security Best Practices GuideAlfresco Security Best Practices Guide
Alfresco Security Best Practices Guide
 
Alfresco Security Best Practices 2014
Alfresco Security Best Practices 2014Alfresco Security Best Practices 2014
Alfresco Security Best Practices 2014
 
Alfresco Backup and Disaster Recovery White Paper
Alfresco Backup and Disaster Recovery White PaperAlfresco Backup and Disaster Recovery White Paper
Alfresco Backup and Disaster Recovery White Paper
 
Alfresco One (Enterprise) vs Alfresco Community 2014
Alfresco One (Enterprise) vs Alfresco Community 2014Alfresco One (Enterprise) vs Alfresco Community 2014
Alfresco One (Enterprise) vs Alfresco Community 2014
 
Alfresco Backup and Recovery Tool: a real world backup solution for Alfresco
Alfresco Backup and Recovery Tool: a real world backup solution for AlfrescoAlfresco Backup and Recovery Tool: a real world backup solution for Alfresco
Alfresco Backup and Recovery Tool: a real world backup solution for Alfresco
 
Comparativa entre Alfresco Enterprise vs Community
Comparativa entre Alfresco Enterprise vs Community Comparativa entre Alfresco Enterprise vs Community
Comparativa entre Alfresco Enterprise vs Community
 
Alfresco Security Best Practices 2012
Alfresco Security Best Practices 2012Alfresco Security Best Practices 2012
Alfresco Security Best Practices 2012
 
Monitoring Alfresco with Nagios/Icinga
Monitoring Alfresco with Nagios/IcingaMonitoring Alfresco with Nagios/Icinga
Monitoring Alfresco with Nagios/Icinga
 

Último

Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
silviayucra2
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Último (10)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Infraestructura de clave pública con Software Libre

  • 1. Infraestructura de clave pública -PKI- con Software Libre Febrero 2009 Toni de la Fuente Director de Sistemas y Soporte Intecna Soluciones afuente@intecna.es
  • 2. Contenidos Quién soy ● ¿Qué es PKI y para qué sirve? ● Conceptos relacionados con PKI ● Criptografía asimétrica ● Firma digital ● Certificados digitales ● Autoridades de certificación ● Validez de los certificados: CRL y OCSP ● Soluciones ●
  • 3. Quién soy Director de Sistemas y Soporte de Intecna Soluciones España y LATAM. Responsable de Formación de Intecna Soluciones España y LATAM. Miembro del comité de Innovación de Intecna Soluciones. Creador de phpRADmin, solución para seguridad de redes basadas en FreeRADIUS y PKI. Blog personal blyx.com, desde 2002 publicando artículos relacionados con Software Libre, Seguridad y Tecnologías de la Información.
  • 4. ¿Qué es PKI y para qué sirve? I Es un sistema para gestión de certificados digitales y aplicaciones de firma digital o/y cifrado. Debe proporcionar: Autenticidad, la firma digital tendrá la misma ● validez que la manuscrita. Confidencialidad de la información transmitida ● entre las partes. Integridad. Debe asegurarse la capacidad de ● detectar si un documento firmado ha sido manipulado. No Repudio, de un documento firmado ● digitalmente.
  • 5. ¿Qué es PKI y para qué sirve? II Proporciona el marco que permite la implantación de clave pública. Incluye una Autoridad de Certificación (CA) y gestiona la información relacionada con ella. Debe prestar los siguientes servicios: • Emisión de certificados • Generación del par de claves (pública y privada) • Distribución de certificados • Certificación cruzada • Salvaguarda de claves • Suspensión y revocación de certificados • etc.
  • 6. ¿Qué es PKI y para qué sirve? III Los componentes de una PKI son o pueden ser entidades con funciones diferentes: Autoridad de Certificación: CA • Autoridad de Registro: RA • Autoridad Raiz: Root CA • Usuarios finales. • Una PKI sólo es válida si se cumplen las siguientes condiciones: • Las claves privadas estén protegidas. • Las claves públicas estén inequívocamente asociadas a una entidad.
  • 7. ¿Qué es PKI y para qué sirve? IV Las claves privadas se protegen con una contraseña y se deben almacenar de forma cifrada en: Disco duro. • Floppy. • Dispositivo USB. • Smart Card. •
  • 8. Conceptos relacionados con PKI Criptografía asimétrica o de clave pública • Funciones Hash • Firma digital • Certificados digitales • Autoridad de Certificación • Autoridad de Registro • CRL • OCSP • PEM • PKCS • DER •
  • 9. Criptografía asimétrica Cifrado simétrico: Se cifra y descifra con la misma clave. (DES, RC2, RC5, Tripe DES, AES, etc.) Cifrado asimétrico: Basado en un par de claves (pública y privada) de modo que lo que se cifra con una sólo se puede descifrar con la otra del mismo par.
  • 10. Firma digital Esquema de funcionamiento de la firma digital:
  • 11. Certificados digitales I ¿Qué es un certificado? • Documento electrónico que garantiza la identidad de una persona o fqdn. • Contiene información del titular del certificado.
  • 12. Certificados digitales II Información que contiene un certificado (X.509v3): La identidad de un usuario y su clave pública. • Un número de serie y versión. • Periodo de validez. • La identidad de quién emite el certificado. • Descripción. • Clave pública. • Algoritmos utilizados. • La firma digital de las informaciones contenidas en el • certificado.
  • 13. Certificados digitales III ¿Cómo obtengo un certificado digital? • Se solicitan a una autoridad de certificación. • Tienen un tiempo de validez determinado, a partir del cual caducan. • Normalmente hay que pagar por ellos.
  • 14. Certificados digitales IV Contenido de un certificado: Data: Version: 3 (0x0) Serial Number: 18 (0x12) SignatureAlgorithm: PKCS #1 SHA-1 con cifrado RSA Issuer: OU = FNMT Clase 2 CA, O = FNMT, C = ES Validity: NotBefore: Jan7 13:02:39 2000 GMT NotAfter: Jan6 13:02:39 2001 GMT Subject: CN = Toni, OU = 00011, OU = FNMT Clase 2 CA, O = FNMT, C = ES PublicKeyAlgorithm: rsaEncryption RSA PublicKey: (512 bit) Modulus(512 bit): 00:98:59:ab:d9:7e:a3:40:21:60:ee:54:a5:a4:54: d2:29:fd:50:82:c1:28:05:25:0a:6b:aa:61:aa:e0: 19:3b:d7:5e:18:f2:14:60:ed:58:f6:87:eb:4c:61: fc:9e:ed:9d:b2:19:d4:73:25:cc:d4:63:88:54:f4: 49:2a:ba:ce:7b Exponent: 65537 (0x10001) SignatureAlgorithm: PKCS #1 SHA-1 con cifrado RSA 7a:df:8a:aa:b5:23:5b:c6:ff:f3:02:73:65:bb:0f:05:7a:fd: f4:68:ee:b9:fe:92:72:53:bb:f2:31:9e:38:92:69:b3:04:22: d7:be:f5:18:42:7a:c0:9b:e2:1e:04:a4:66:02:80:76:79:0e: f6:c3:7e:25:2d:ec:00:01:fb:f7
  • 15. Autoridades de Certificación I Autoridad de Certificación (CA): • Entidad intermediaria y confiable que emite y administra los certificados. • Garantiza la asociación entre una clave pública y una identidad. • Debe verificar los datos incorporados en el certificado. • Problemas asociados a lo difuso de las relaciones de confianza. • Publicación de las listas de certificados no válidos.
  • 16. Autoridades de Certificación II Tipos de autoridades de certificación: • CA interna • CA ext. certificadora de empleados • CA ext. certificadora de clientes • CA tipo Tercera Parte Confiable Tipos de certificados: • Certificados de usuarios • Certificados de servidores • Certificados de CA
  • 17. Validez de los certificados: CRL y OCSP Listas de Revocación de Certificados (CRL) Misión: • Detectar que un certificado no es válido en caso de sustracción, errores, cambios de derechos, ruptura de la CA. Problemas: • CRLs de gran longitud • Existe un intervalo de posible fraude • Comprobación on-line de certificados Para verificar una firma de un documento, el usuario no sólo ha de verificar el certificado y su validez, sino que también ha de adquirir la versión más reciente de la CRL y confirmar que el número de serie del certificado no está en tal CRL.
  • 18. Validez de los certificados: CRL y OCSP Contenido de una CRL: • Versión • Algoritmo de Firma • Emisor • Actualización Presente • Siguiente Actualización • Nº Serie Certificado • Fecha Revocación • Extensiones Locales • Extensiones Globales
  • 19. Validez de los certificados: CRL y OCSP Servidor OSCP (Online Certificate Status Protocol) • Confirmación online del estado de un certificado. • Servicio online de alta disponibilidad que debe ofrece la CA a los usuarios. • Proporciona información más adecuada y reciente. • No requiere CRLs: ahorra tráfico y CPU. • Las CRLs contienen información sensible. • Usa LDAP como backend. Funcionamiento: el cliente OSCP envía petición de estado al OSCP responder y suspende su aceptación hasta recibir respuesta.
  • 20. Soluciones PKI en Software Libre Las soluciones a tener en cuenta son: OpenCA • OpenXPKI (fork de OpenCA) • EJBCA • PHPki • Gnomint • OpenSSL •
  • 21. Soluciones PKI en Software Libre OpenCA: herramienta que proporciona un interface Web para poder administrar una PKI. Componentes: • Una interface web creado en Perl (Público). • Openssl para operaciones criptográficas. • Una base de datos (MySQL/PgSQL). • Un OpenLDAP, Apache (mod_ssl). Características: • Software Libre. • Integración con otras aplicaciones. • Comunidades de soporte y empresas. • Soporte estándares internacionales. • Versión 1.0.2 • En castellano • Demo en http://mm.cs.dartmouth.edu/pki/pub/
  • 22. Soluciones PKI en Software Libre OpenCA: Capturas de pantalla, Inicialización:
  • 23. Soluciones PKI en Software Libre OpenCA: Capturas de pantalla, General:
  • 24. Soluciones PKI en Software Libre OpenXPKI: fork de OpenCA, con varios componentes reescritos. Componentes: • Similares a OpenCA (perl). Características: • Software Libre. • No se liberan versiones de forma normal, se distribuye en ISO, SVN, nightly builds. • Soporte estándares internacionales. • Versión 0.9.1 • Integrado con RT para solicitud de certificados. • Múltiples instancias de CA • Soporte nCipher y nShield para hardware criptográfico.
  • 25. Soluciones PKI en Software Libre OpenXPKI: captura de pantalla, listado:
  • 26. Soluciones PKI en Software Libre EJBCA: Infraestructura completa de PKI realizada en Java. Componentes: • Java JDK. • Servidor de aplicaciones Jboss, Glashfish • Ant Características: • Software Libre. • Proyecto muy activo. • Soporte estándares internacionales. • Versión 3.8.1. • Software complementario para más funcionalidades. • Multiples CAs y multiplataforma. • Soporte a gran variedad de HW criptográfico y eParapher*.
  • 27. Soluciones PKI en Software Libre EJBCA: Capturas de pantalla, panel de administración:
  • 28. Soluciones PKI en Software Libre EJBCA: Capturas de pantalla, visor de eventos:
  • 29. Soluciones PKI en Software Libre PHPki: Infraestructura mínima de PKI realizada en PHP y OpenSSL. Componentes: • Apache + mod_ssl. • OpenSSL • PHP (librerías criptográficas) Características: • Software Libre. • Proyecto parado. • Soporte y funcionalidades limitadas. • Versión 0.82. • Muy fácil de usar e implementar. • No soporta HW criptográfico.
  • 30. Soluciones PKI en Software Libre PHPki: captura de pantalla, menú de administración:
  • 31. Soluciones PKI en Software Libre Gnomint: Herramienta gestión de CA y certificados para Gnome. Componentes: • Gnome. • OpenSSL Características: • Software Libre. • Soporte y funcionalidades limitadas. • Versión 0.6.0. • Muy fácil de usar e implementar. • No soporta HW criptográfico. • No soporta OCSP.
  • 32. Soluciones PKI en Software Libre Gnomint: captura de pantalla, listado:
  • 33. Soluciones PKI en Software Libre OpenSSL: Herramienta por excelencia para gestión y creación de CAs y certificados. Componentes: • OpenSSL ;) Características: • Software Libre. • Herramienta por línea de comandos. • Soporta gestión de CA, cifrado, firma, etc. • Navaja suiza para certificados. • Multiplataforma. • Dispone de su propia shell. Ver: Usando OpenSSL en el mundo real.pdf (blyx.com)
  • 34. Soluciones PKI en Software Libre OpenSSL: línea de comandos, ejemplos: $ fnd /etc -type f | xargs openssl md5 > /etc/secure/md5_sigs.txt El anterior comando creará un archivo MD5 hash de todos los archivos del directorio /etc. Estos finger prints deben ser almacenados como solo lectura y en un lugar seguro. Veamos un ejemplo para cifrar un archivo llamado passwd con Blowfish: $ openssl bf -e -in /etc/secure/passwd -out /etc/secure/passwd.enc.bf El siguiente ejemplo muestra como descifrar el archivo /etc/secure/sensitive_data.enc.3des que fue cifrado con el algoritmo 3DES: $ openssl enc -des3 -d -in /etc/secure/sensitive_data.enc.3des -out /etc/secure/sensitive_data El siguiente ejemplo muestra como generar el MD5de la contraseña “blah”: $ echo blah | openssl passwd -stdin -1 La opción quot;-1quot; indica que usaremos MD5 como algoritmo y la opción “-stdin” indica que le pasamos la contraseña a través de la entrada estándar.
  • 35. Soluciones PKI en Software Libre eParapher: Cliente para firma digital de documentos. Componentes: • Java 5 y 6. • Eclipse. • OpenOffice 2.4+ • Maven. • Apache directory studio. Características: • Software Libre. • Herramienta gráfica multiplataforma. • Windows, Linux y Mac. • En estado inicial, versión 0.0.1. • Bien dimensianada. • Soporta firmas en PDF, PDF/A, CMS and XML. • Firma masiva (bulk sign).
  • 38. Agradecimientos: Víctor Manuel Fernández Gómez - http://vfernandezg.blogspot.com/ Gonzalo Álvarez Marañón - Univ. Oviedo. Pedro Pablo Pérez García - Univ. Oviedo. José María Sierra - Univ. Comillas.
  • 39. $ while true; do ; ‘¡gracias!’; done ;-) Toni de la Fuente Director de Sistemas y Soporte Intecna Soluciones afuente@intecna.es