Certificados Digitales
En la vida cotidiana necesitamos identificarnos en muchassituaciones:
. Bancos
. Compras mediante tarjeta bancaria
. Aeropuertos
¿Cómo lo hacemos?
Presentando un documento de identificación
¿Quién avala ese documento?
Técnicas de Identificación
Los certificados digitales han sido diseñados para garantizar la Identidad en las operaciones por el ciberespacio (Internet)
Un certificado en un documento emitido y firmado por una Autoridad de Certificación que identifica una clave pública con su propietario.
Su efectividad se basa en la combinación de:
* Criptografía de llaves públicas* Infraestructura de llaves digitales (PKI)* El sistema legal
Técnicas de Identificación
Texto en claro
Clave
Algoritmosimétrico
Criptograma
Internet
Texto en claro
Clave
Algoritmosimétrico
Criptograma
Canal seguro
Simétrica
Problema: Distribución de claves
Confidencialidad:Algoritmos simétricos
La clave secreta se debe distribuir mediante canales seguros. Es especialmente problemático para comunicaciones entre usuarios desconocidos o múltiples usuarios.
La misma clave es utilizada para cifrar/descifrar la información
Algoritmos de Cifrado: Asimétricos
Clave diferente para cifrar y descifrar.
Es necesario poseer la llave pública del destinatario paracifrar la información que se le enviará.Solo el destinatario posee la llave privada complementaríaPara descifrar el documento .
Clave pública Clave privada
Texto en claro
Algoritmoasimétrico
Criptograma
Internet
Texto en claro
Algoritmoasimétrico
Criptograma
Clavepública
Claveprivada
Clave pública
Conocida por todos los usuarios de la red
Clave privada
Conocida unicamente por un usuario
La distribución de claves no es problemática, solodebe enviarse la clave pública.
Algoritmos de Cifrado: Asimétricos
Características:
• Integridad. Comprueba que el texto no ha sido modificado.•Autenticación. Se puede comprobar la identidad del firmante.• No repudio. El firmante no puede negar haber generado y entregado el documento.
Autenticación y Firma electrónica
IntegridadIntegridad HashHash
Se realiza el Hash del texto en claro en el emisor y el receptor. El resultado debe ser el mismo si el texto no se ha modificado.
Se realiza el Hash del texto en claro en el emisor y el receptor. El resultado debe ser el mismo si el texto no se ha modificado.
Autenticación y no repudioAutenticación y no repudio Cifra con la clave privadaCifra con la clave privada
Se cifra el Hash con la clave privada del emisor. Sólo el emisor posee esa clave, por lo tanto no puede negar la firma. Cualquiera tercera persona puede comprobar la firma porque la clave pública está al alcance de todo el mundo.
Se cifra el Hash con la clave privada del emisor. Sólo el emisor posee esa clave, por lo tanto no puede negar la firma. Cualquiera tercera persona puede comprobar la firma porque la clave pública está al alcance de todo el mundo.
Autenticación y Firma, Implantación tecnológica
Clavepúblicaemisor
AlgoritmoAsimétrico
AlgoritmoHash
HashFirma
Texto firmadoHash
Si ambos hash son iguales se garantizaLa integridad y autenticidad del mensaje
Texto en claro
Autenticación y Firma:
Hash firmado con la clave privada del emisor
EMISOR
RECEPTOR
El receptor realiza la función Hash sobre el texto en claro
Con la llave pública del emisor descifra el Hash recibido
¿En que consiste una CA?
Una CA emite certificados de llave pública. Estos certificados contienen:
•La Autoridad de certificación que lo emitió•El nombre de una persona•Su llave pública•Un número de serie•Una huella digital•Una fecha de validez
Autoridades Certificadoras
Para utilizar los certificados emitidos por una CA es necesario “confiar” en ella y tener una copia de su llave pública.
Los navegadores incorporan un gran número de ellas pero es posible agregar otras no incluidas manualmente.
Una CA debe de distribuir su llave pública para poder ser agregada a la lista de CA Raiz de Confianza
Autoridades Certificadoras, Confianza en la CA
Entidades Raiz de confianza
Para utilizar un certificado debería de conocerse el documento de política de prácticas de certificación de la Autoridad de Certificación (CPS) debe detallar:
•El proceso seguido para la emisión de certificados.•Requerimientos exigidos, propósito de los certificados.•Responsabilidades cubiertas, información y práctica de uso.
Autoridades Certificadoras, Política CA
Utilizado por la mayoría de certificados de llave públicaSu estructura contempla:
•Número de Versión•Número de Serie•Algoritmo utilizado•Emisor•Periodo de Validez•Materia de la llave pública•Firma
Autoridades Certificadoras,Certificados X.509 v3
En ocasiones un certificado deja de ser valido y la CA debe de “revocar” dicho certificado, las causas pueden ser diversas como:
•La llave privada relacionada ha sido interceptada•El certificado se emitió para una entidad equivocada•El certificado se emitió para un propósito erróneo•La entidad ya no desea seguir utilizando el certificado•.........
Para ello se utilizan las “Listas de revocación” (CRL)
Autoridades Certificadoras, Revocación Certificados
Lista de Revocación de Certificados
Lista de revocación de Verisign
Visible desde la consola de certificados de Usuario
1
2
3
4
Llave PúblicaServidor Web
HTTPSHTTPS1
Comunicación Segura mediante HTTPS
Llave Privada
Llave sesión
Clases de Certificados
TIPOS DE CERTIFICADOS
Existen cuatro tipos diferentes de certificados:
•Certificados de Autoridades Certificadoras
•Certificados de Servidores
•Certificados Personales
•Certificados de Software
TIPOS DE CERTIFICADOS
Certificados de Autoridades Certificadoras
Contiene el nombre y la llave pública de una Autoridad Certificadora.
•Pueden ser autofirmados,
•Pueden estar firmados por otra CA.
•Pueden ser firmados de manera “cruzada” por otra CA
•Suelen ser distribuidos en los propios navegadores
TIPOS DE CERTIFICADOS
Certificados de Servidor
Necesarios para la conexión mediante SSL
Este certificado se usa para:
•Autenticar la identidad del servidor•Distribuir su llave pública•Cifrar con ella la clave de sesión generada por el navegador del cliente utilizada en el cifrado simétrico
TIPOS DE CERTIFICADOS
El formato de un certificado de SSL incluye:
•Longitud de la llave de la firma•Número de serie del certificado (debe de ser único)•Nombre distinguido•Algoritmo utilizado para la firma•Nombre común del sujeto
SSL confía en el servicio DNS para comprobar el nombre distinguido del servidor.
Pero, ¿Es seguro DNS?
TIPOS DE CERTIFICADOS
Certificados para clientes
Diseñados para comprobar la identidad de una persona,vinculan un nombre específico con una llave pública.Son emitidos por las Autoridades de Certificación
Pueden tener un único propósito o servir para diferentes propósitos.
TIPOS DE CERTIFICADOS
Certificados para clientes
Su uso posibilita:
•Eliminar la utilización de usuario/password para autenticación•Son asignados individualmente y por ello no pueden ser compartidos (a diferencia del par usuario/password)•Pueden servir para firmar y/o cifrar correo.•Pueden incluir información adicional (edad, sexo,..) para permitir el acceso a cierto contenido restringido.•Permiten eliminar el anonimato
TIPOS DE CERTIFICADOS
Certificados para clientes
Soportados por los navegadores actuales incluyen:
•Creación de llaves•Obtención de certificados•Desafio/Respuesta frente a un servidor SSL•Almacenamiento seguro de las llaves
TIPOS DE CERTIFICADOS
Certificados de Código
La firma de código tiene como finalidad proporcionar un sistema para descargar código de manera confiable y reducir el impacto de programas hostiles como virus, troyanos, ...
¿Por qué firmar el código?
TIPOS DE CERTIFICADOS
Certificados de Código
Al adquirir un programa en una tienda de informática podemos estar bastante seguros de lo que compramos y quien lo produjo.
El programa viene en una caja sellada, con un holograma de seguridad, e incluye un numero único de licencia.
Si hubiera cualquier error se sabe a quien se debe recurrir y como se debe proceder.
TIPOS DE CERTIFICADOS
Certificados de Código
Cuando descargamos software de Internet no se cumplen ninguna de las premisas anteriores.
no tenemos la certeza de que el fichero que descargamos no ha sido manipulado.
El mismo software puede ser buscado y descargado de diferentes lugares.
TIPOS DE CERTIFICADOS
Firma de Código
La firma de código debe dar al software distribuido la misma confiabilidad que ofrece el software “empaquetado”:
•Una firma digital “marca” el ejecutable con una llave secreta.
•Un certificado digital con la llave pública correspondiente que incluye el nombre de la organización o persona a quien pertenece y una firma digital de una autoridad certificadora reconocida.
TIPOS DE CERTIFICADOS
Firma de Código
Las firmas deben ser verificadas.
De manera ideal deberían revisarse al descargar cada fragmento de código y antes de que se ejecutase.
Pueden detectar tanto intentos hostiles de modificación (troyano) como alteraciones accidentales por errores del Sistema Operativo o fallos del hardware.
Actualmente se desarrolla software para ofrecer esta funcionalidad
TIPOS DE CERTIFICADOS
Otros métodos para firmar código
Como alternativa puede utilizarse certificados de firma con PGP. Las limitaciones son:
•PGP no está integrado en los navegadores, por lo que la firma y verificación deben hacerse en dos pasos.•No pueden utilizar la infraestructura de llaves públicas desarrollada para los navegadores
Como ventaja cabe destacar que con PGP es posible firmar cualquier tipo de archivo, documento o programa (a diferencia de Authenticode solo para código 32 bits)
TIPOS DE CERTIFICADOS
URL relacionados con la firma de codigo
http://www.w3.org/DSig/Overview.html
Iniciativa de firmas digitales del Consorcio del Worl Wide Web
http://msdn.microsoft.com/library/default.asp?url=/workshop/security/authcode/authenticode_ovw_entry.asp
Tutorial sobre la tecnología Authenticode de Microsoft.
Trabajando con Certificados
Gestión de PKI con Windows 2000
Indice de contenido
Introducción a la PKI
Instalación de la PKI de W200x
Certificado autenticación de servidor
Certificados de cliente para navegación
Requerimientos
Windows 200x Server
Internet Information Services (IIS) instalado
Instalación de la PKI
Panel de ControlAgregar quitar programas
Agregar Componentes WindowsServicios Certificate Server
Seleccionar “Autoridad de certificación raiz independiente”
Gestión de la CA desde la MMC “Entidad Emisora de Certificados”
Gestión de la PKI
Certificados revocados
Certificados emitidos
Certificados pendientes
Error en las peticiones
Entidades emisoras de certificados raiz de
confianza
Autenticación del servidor
Acceder a las propiedades de seguridad de directorio del site a configurar.Crear una petición de certificado.Abrir el archivo generado (certreq.txt) y copiar en memoria su contenido.Solicitar a la CA un certificado (petición avanzada) y “pegar” la información anterior.
Autenticación del servidor (II)
Esperar a la aprobación por parte de la CAUna vez aceptada, grabar el certificado en el disco (certnew.cer)Volver a la configuración del site (SeguridadCertificados) y procesar la petición pendiente seleccionando el certificado guardado anteriormente.
autenticación del servidor (III)
Modificar las propiedades de Seguridad y Certificado marcando: “Requerir canal seguro SSL”
Seleccionar el puerto SSL (por defecto 443) en las propiedades “Sitio Web” del site.
Capturas de pantalla del proceso
Capturas de pantalla del proceso (II)
Capturas de pantalla del proceso (III)Contenido del fichero codificado en Base 64 de la solicitud
Capturas pantalla del proceso (IV)
Capturas de pantalla del proceso (V)
Capturas de pantalla del proceso (VI)
Capturas de pantalla del proceso (VII)
Descarga Certificado Raiz
Conexión a http://servidor/certsrvRecuperar certificado CAInstalar ruta de certificación de Entidad emisora de certificadosComprobar su instalación (Internet ExplorerHerramientasOpciones InternetContenidoCertificadosEntidades Emisoras de Certificados de Raiz de Confianza)
Solicitud de certificado a la PKI
Conexión a http://servidor/certsrvSeleccionar “Solicitar un certificado”Elegir el propósito del mismoRellenar la solicitud, enviarla y esperar la autorización de la misma.
Solicitud de certificado a la PKI
Autorización por la PKI
•Seleccionar el certificado•Comprobar su información•Emitir el certificado (AccionTodas las TareasEmitir)
Instalación por el usuario•Comprobar un certificado pendiente•Seleccionar e instalar el certificado
Comprobación de su instalación
•Internet ExplorerHerramientasOpciones InternetContenidoCertificados
Gracias por su atención