Cert Pki

Seguridad en Sistemas de Informacin
Francisco Rodrguez Henrquez

Certificados e Infraestructura
de Llave Pblica
Francisco Rodrguez-Henrquez
CINVESTAV-IPN
Depto. de Ingeniera Elctrica
Seccin de Computacin

Conceptos Bsicos
Autenticacin: Definicin
La Autenticacin es un proceso que tiene como
finalidad verificar la informacin referente a un
determinado objeto, por ejemplo:
La identidad del remitente (ya sea un
dispositivo electrnico y/o un usuario).
La integridad de la informacin enviada.
El momento de envo de la informacin.
La validez de la firma.
.
Autenticacin: Mecanismos
La autenticacin asegura que la identidad de los
participantes sea verdadera. Se pueden evaluar tres
aspectos para autenticar usuarios:
verificar algo que el usuario tiene;
poner a prueba al usuario sobre algo que sabe, esto
es, pedirle una contrasea y,
verificar algo que el usuario es, por ejemplo,
analizar sus huellas dactilares o su retina.
Confidencialidad con llave pblica
Funciones Hash
Producen huellas digitales de longitud fija para
documentos de longitud arbitraria. De esta manera
producen informacin til para detectar modificaciones
maliciosas
Traducen contraseas a salidas de longitud fija.
Pueden ser utilizadas para producir nmeros aleatorios
Proveen autenticacin bsica a travs de la funcionalidad
MAC [Message Authentication Code]
Utilizadas como bloques bsicas para firmas digitales
Esquema bsico de una funcin hash
Obtencin de llave privada
Generacin de nmeros aleatorios con
funciones hash
Funcin hash+Llave= MAC
Autenticacin bsica con firmas
digitales
Infraestructura de Llave
Pblica (PKI)
Autenticacin a travs de una
tercera entidad
Para qu y por qu utilizar
PKI?
Los problemas que surgen del uso de algoritmos
asimtricos sin el respaldo de infraestructuras
adicionales pueden dividirse en cuatro reas
[Schneier03]:
1. Autenticidad de llave.
2. Revocacin de llaves.
3. No repudio
4. Aplicacin de Polticas
Problemas con algoritmos asimtricos
1. Autenticidad de llave. El objetivo primario de la
autenticacin de la llave pblica de una entidad es
fundamentalmente evitar ataques como intruso de en medio y
usurpacin de identidad
Autenticidad de Llave
2. Revocacin de llaves. C ha robado la llave privada de la
computadora de A. Ergo,
C es capaz de usarla para leer todos los mensajes que fueron
cifrados con la llave pblica de A;
C puede generar firmas digitales a nombre de A.

La nica forma que tiene A para protegerse es generar un nuevo
par de llaves y no continuar utilizando las anteriores.
Problema de diseo:
Cmo hacer saber a las personas que envan correo electrnico
a A, que su par de llaves han sido revocado?
Revocacin de Llaves
3. No Repudio. Uno de los propsitos de una firma digital
es asegurar el no-repudio. Si A mantiene su llave privada
en secreto, significa que nadie ms puede generar una
firma digital de un documento ms que A mismo. Sin
embargo, A puede no honrar su firma digital afirmando
simplemente que la llave con la cual se gener la firma no
es la suya.
Problema de diseo:
Cmo probar que la llave privada con la que se gener la
firma digital realmente pertenece a A?

No Repudio
4. Aplicacin de Polticas. Suponga que una compaa desea asignar un
par de llaves a cada empleado, de manera tal que cada uno de ellos
pueda cifrar y firmar informacin, de acuerdo a la siguiente poltica:
Cada empleado debe de tener nicamente un par de llaves.
Todas las llaves pblicas deben de estar registradas de manera
centralizada.
Las llaves utilizadas deben de usar un tamao de longitud de llave
adecuada.
Cada par de llave debe ser cambiado despus de un determinado
perodo de validez.
Si un empleado deja de laborar en la compaa, su llave pblica debe de
ser revocada automticamente.
Problema de diseo:
Cmo implementar tales polticas sin la ayuda de sistemas externos a la
Criptografa de llave pblica?

Aplicacin de Polticas
La Infraestructura de Llave Pblica (PKI) es una
combinacin de software, tecnologas de cifrado, y
servicios que permiten proteger la seguridad de las
transacciones de informacin en un sistema distribuido.

PKI integra [o al menos intenta !] certificados digitales,
criptografa de llave pblica y autoridades de
certificacin en una arquitectura de seguridad unificada.

Infraestructura de Llave Pblica
(PKI)
Componentes PKI
Entidad final. Trmino genrico para denotar a los usuarios
finales o cualquier entidad que pueda ser identificada
(personas, servidores, compaas, etc.) mediante un
certificado digital expedido por una Autoridad
Certificadora.
Autoridad Certificadora (AC). La AC es la entidad que
expide los certificados digitales, as como la lista de
revocacion (CRL). Adicionalmente puede soportar
funciones administrativas, aunque generalmente stas son
delegadas a una o varias Autoridades de Registro.

(PKI) (1/2)
Autoridad de Registro (AR). Una AR es componente
opcional que puede asumir funciones administrativas de la
CA.
Repositorio. El repositorio es el trmino genrico utilizado
para denotar cualquier mtodo para almacenamiento de
certificados y listas de revocacin (CRLs) que permita el
acceso por parte de las entidades finales a dichos
documentos.
Emisor CRL. El emisor CRL es un componente opcional el
cual puede ser utilizado por una AC para delegar las tareas
de publicacin de las listas de revocacin.
(PKI) (2/2)
Certificados y Autoridades
certificadoras
Una Autoridad Certificadora, es el componente fundamental
de la infraestructura de llave pblica. Es una combinacin de
hardware, software, y personas que conforman una
arquitectura de seguridad. La AC es conocida por sus dos
atributos ms importantes: su llave pblica y su nombre o
identificador.
La AC expide certificados de llave pblica para cada
entidad, confirmando plenamente la identidad del suscriptor
con sus respectivos documentos de identidad.
Autoridad Certificadora
Una Autoridad Certificadora desempea cuatro funciones
bsicas en PKI:
1. Expedicin de certificados digitales.
2. Expedicin de listas de revocacin.
3. Publicacin de sus certificados digitales y correspondiente
lista de revocacin.
4. Almacenamiento del estado de los certificados expirados
que ha expedido.
ACs
Usuarios finales
ACs de nivel alto
AC raz
La arquitectura de PKI es
jerrquica
El verificador debe conocer la
llave pblica de la AC raz.
Cada llave pblica es resuelta una
a una
Todas las ACs en la trayectoria
deben ser de toda la confianza dle
verificador
Trayectorias de Certificados
Arquitecturas PKI
ACs
Usuarios Finales
Certificados puente
Certificados Puente
Un Certificado Digital es un documento que vincula una
llave pblica con una entidad final y que es firmado por una
autoridad certificadora para demostrar su validez e
integridad.

Certificado Digital: Definicin
firma
Llave Pb Datos usuario: atributos, privilegios, etc.
firma del digesto de los datos

Informacin de
identificacin del sujeto
Llave pblica del sujeto
Nombre de la Autoridad
Certificadora
Nmero de serie
Firma digital de la
Generar
Firma digital
Llave privada de la Autoridad de
Certificacin
Certificado
Certificados
Un certificado digital incluye la llave pblica, informacin
acerca de la identidad del suscriptor que posee la llave
privada, un perodo de validez del certificado, y la firma
digital de la propia autoridad certificadora. El certificado
puede contener otros campos como por ejemplo:
informacin adicional sobre la autoridad certificadora o
informacin acerca de usos recomendados para la llave
pblica.
Certificado Digital
Ciclo de vida un certificado digital
Generar llaves
Generar certificado

certificado vlido y en
uso
Llave privada
comprometida
Certificado expirado
recertificar
Certificado
revocado
Llaves expiradas
Certificados Comerciales
Varias compaas comerciales producen AC: Nortel, GTE
y VeriSign entre otras. La ms dominante en el mercado es
esta ltima.
Ms de 35K sitios comerciales WEB utilizaban
certificados Verisign en los noventas.
Ms de un milln de certificados han sido expedidos a
navegadores Netscape y de Microsoft.
El certificado clase 1 De Verisign cuesta $14.95 USD al
ao. Existe una edicin de 60 das de prueba
Certificado X.509
Lista de Revocacin de
Certificados
Fig. 1. Entorno de una Autoridad Certificadora
Certificado TBS
Generacin de certificado X.509
Separacin de componentes de un certificado
X.509
Firma de Certificado
Verificacin de certificado digital

Cert Pki

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Cert Pki

Загружено:

Авторское право:

Доступные форматы

Seguridad en Sistemas de Informacin

Francisco Rodrguez Henrquez

Вам также может понравиться