Certificados Digitales

En la vida cotidiana necesitamos identificarnos en muchassituaciones:

. Bancos

. Compras mediante tarjeta bancaria

. Aeropuertos

¿Cómo lo hacemos?

Presentando un documento de identificación

¿Quién avala ese documento?

Técnicas de Identificación

Los certificados digitales han sido diseñados para garantizar la Identidad en las operaciones por el ciberespacio (Internet)

Un certificado en un documento emitido y firmado por una Autoridad de Certificación que identifica una clave pública con su propietario.

Su efectividad se basa en la combinación de:

* Criptografía de llaves públicas* Infraestructura de llaves digitales (PKI)* El sistema legal

Técnicas de Identificación

Texto en claro

Clave

Algoritmosimétrico

Criptograma

Internet

Texto en claro

Clave

Algoritmosimétrico

Criptograma

Canal seguro

Simétrica

Problema: Distribución de claves

Confidencialidad:Algoritmos simétricos

La clave secreta se debe distribuir mediante canales seguros. Es especialmente problemático para comunicaciones entre usuarios desconocidos o múltiples usuarios.

La misma clave es utilizada para cifrar/descifrar la información

Algoritmos de Cifrado: Asimétricos

Clave diferente para cifrar y descifrar.

Es necesario poseer la llave pública del destinatario paracifrar la información que se le enviará.Solo el destinatario posee la llave privada complementaríaPara descifrar el documento .

Clave pública Clave privada

Texto en claro

Algoritmoasimétrico

Criptograma

Internet

Texto en claro

Algoritmoasimétrico

Criptograma

Clavepública

Claveprivada

Clave pública

Conocida por todos los usuarios de la red

Clave privada

Conocida unicamente por un usuario

La distribución de claves no es problemática, solodebe enviarse la clave pública.

Algoritmos de Cifrado: Asimétricos

Características:

• Integridad. Comprueba que el texto no ha sido modificado.•Autenticación. Se puede comprobar la identidad del firmante.• No repudio. El firmante no puede negar haber generado y entregado el documento.

Autenticación y Firma electrónica

IntegridadIntegridad HashHash

Se realiza el Hash del texto en claro en el emisor y el receptor. El resultado debe ser el mismo si el texto no se ha modificado.

Se realiza el Hash del texto en claro en el emisor y el receptor. El resultado debe ser el mismo si el texto no se ha modificado.

Autenticación y no repudioAutenticación y no repudio Cifra con la clave privadaCifra con la clave privada

Se cifra el Hash con la clave privada del emisor. Sólo el emisor posee esa clave, por lo tanto no puede negar la firma. Cualquiera tercera persona puede comprobar la firma porque la clave pública está al alcance de todo el mundo.

Se cifra el Hash con la clave privada del emisor. Sólo el emisor posee esa clave, por lo tanto no puede negar la firma. Cualquiera tercera persona puede comprobar la firma porque la clave pública está al alcance de todo el mundo.

Autenticación y Firma, Implantación tecnológica

Clavepúblicaemisor

AlgoritmoAsimétrico

AlgoritmoHash

HashFirma

Texto firmadoHash

Si ambos hash son iguales se garantizaLa integridad y autenticidad del mensaje

Texto en claro

Autenticación y Firma:

Hash firmado con la clave privada del emisor

EMISOR

RECEPTOR

El receptor realiza la función Hash sobre el texto en claro

Con la llave pública del emisor descifra el Hash recibido

¿En que consiste una CA?

Una CA emite certificados de llave pública. Estos certificados contienen:

•La Autoridad de certificación que lo emitió•El nombre de una persona•Su llave pública•Un número de serie•Una huella digital•Una fecha de validez

Autoridades Certificadoras

Para utilizar los certificados emitidos por una CA es necesario “confiar” en ella y tener una copia de su llave pública.

Los navegadores incorporan un gran número de ellas pero es posible agregar otras no incluidas manualmente.

Una CA debe de distribuir su llave pública para poder ser agregada a la lista de CA Raiz de Confianza

Autoridades Certificadoras, Confianza en la CA

Entidades Raiz de confianza

Para utilizar un certificado debería de conocerse el documento de política de prácticas de certificación de la Autoridad de Certificación (CPS) debe detallar:

•El proceso seguido para la emisión de certificados.•Requerimientos exigidos, propósito de los certificados.•Responsabilidades cubiertas, información y práctica de uso.

Autoridades Certificadoras, Política CA

Utilizado por la mayoría de certificados de llave públicaSu estructura contempla:

•Número de Versión•Número de Serie•Algoritmo utilizado•Emisor•Periodo de Validez•Materia de la llave pública•Firma

Autoridades Certificadoras,Certificados X.509 v3

En ocasiones un certificado deja de ser valido y la CA debe de “revocar” dicho certificado, las causas pueden ser diversas como:

•La llave privada relacionada ha sido interceptada•El certificado se emitió para una entidad equivocada•El certificado se emitió para un propósito erróneo•La entidad ya no desea seguir utilizando el certificado•.........

Para ello se utilizan las “Listas de revocación” (CRL)

Autoridades Certificadoras, Revocación Certificados

Lista de Revocación de Certificados

Lista de revocación de Verisign

Visible desde la consola de certificados de Usuario

1

2

3

4

Llave PúblicaServidor Web

HTTPSHTTPS1

Comunicación Segura mediante HTTPS

Llave Privada

Llave sesión

Clases de Certificados

TIPOS DE CERTIFICADOS

Existen cuatro tipos diferentes de certificados:

•Certificados de Autoridades Certificadoras

•Certificados de Servidores

•Certificados Personales

•Certificados de Software

TIPOS DE CERTIFICADOS

Certificados de Autoridades Certificadoras

Contiene el nombre y la llave pública de una Autoridad Certificadora.

•Pueden ser autofirmados,

•Pueden estar firmados por otra CA.

•Pueden ser firmados de manera “cruzada” por otra CA

•Suelen ser distribuidos en los propios navegadores

TIPOS DE CERTIFICADOS

Certificados de Servidor

Necesarios para la conexión mediante SSL

Este certificado se usa para:

•Autenticar la identidad del servidor•Distribuir su llave pública•Cifrar con ella la clave de sesión generada por el navegador del cliente utilizada en el cifrado simétrico

TIPOS DE CERTIFICADOS

El formato de un certificado de SSL incluye:

•Longitud de la llave de la firma•Número de serie del certificado (debe de ser único)•Nombre distinguido•Algoritmo utilizado para la firma•Nombre común del sujeto

SSL confía en el servicio DNS para comprobar el nombre distinguido del servidor.

Pero, ¿Es seguro DNS?

TIPOS DE CERTIFICADOS

Certificados para clientes

Diseñados para comprobar la identidad de una persona,vinculan un nombre específico con una llave pública.Son emitidos por las Autoridades de Certificación

Pueden tener un único propósito o servir para diferentes propósitos.

TIPOS DE CERTIFICADOS

Certificados para clientes

Su uso posibilita:

•Eliminar la utilización de usuario/password para autenticación•Son asignados individualmente y por ello no pueden ser compartidos (a diferencia del par usuario/password)•Pueden servir para firmar y/o cifrar correo.•Pueden incluir información adicional (edad, sexo,..) para permitir el acceso a cierto contenido restringido.•Permiten eliminar el anonimato

TIPOS DE CERTIFICADOS

Certificados para clientes

Soportados por los navegadores actuales incluyen:

•Creación de llaves•Obtención de certificados•Desafio/Respuesta frente a un servidor SSL•Almacenamiento seguro de las llaves

TIPOS DE CERTIFICADOS

Certificados de Código

La firma de código tiene como finalidad proporcionar un sistema para descargar código de manera confiable y reducir el impacto de programas hostiles como virus, troyanos, ...

¿Por qué firmar el código?

TIPOS DE CERTIFICADOS

Certificados de Código

Al adquirir un programa en una tienda de informática podemos estar bastante seguros de lo que compramos y quien lo produjo.

El programa viene en una caja sellada, con un holograma de seguridad, e incluye un numero único de licencia.

Si hubiera cualquier error se sabe a quien se debe recurrir y como se debe proceder.

TIPOS DE CERTIFICADOS

Certificados de Código

Cuando descargamos software de Internet no se cumplen ninguna de las premisas anteriores.

no tenemos la certeza de que el fichero que descargamos no ha sido manipulado.

El mismo software puede ser buscado y descargado de diferentes lugares.

TIPOS DE CERTIFICADOS

Firma de Código

La firma de código debe dar al software distribuido la misma confiabilidad que ofrece el software “empaquetado”:

•Una firma digital “marca” el ejecutable con una llave secreta.

•Un certificado digital con la llave pública correspondiente que incluye el nombre de la organización o persona a quien pertenece y una firma digital de una autoridad certificadora reconocida.

TIPOS DE CERTIFICADOS

Firma de Código

Las firmas deben ser verificadas.

De manera ideal deberían revisarse al descargar cada fragmento de código y antes de que se ejecutase.

Pueden detectar tanto intentos hostiles de modificación (troyano) como alteraciones accidentales por errores del Sistema Operativo o fallos del hardware.

Actualmente se desarrolla software para ofrecer esta funcionalidad

TIPOS DE CERTIFICADOS

Otros métodos para firmar código

Como alternativa puede utilizarse certificados de firma con PGP. Las limitaciones son:

•PGP no está integrado en los navegadores, por lo que la firma y verificación deben hacerse en dos pasos.•No pueden utilizar la infraestructura de llaves públicas desarrollada para los navegadores

Como ventaja cabe destacar que con PGP es posible firmar cualquier tipo de archivo, documento o programa (a diferencia de Authenticode solo para código 32 bits)

TIPOS DE CERTIFICADOS

URL relacionados con la firma de codigo

http://www.w3.org/DSig/Overview.html

Iniciativa de firmas digitales del Consorcio del Worl Wide Web

http://msdn.microsoft.com/library/default.asp?url=/workshop/security/authcode/authenticode_ovw_entry.asp

Tutorial sobre la tecnología Authenticode de Microsoft.

Trabajando con Certificados

Gestión de PKI con Windows 2000

Indice de contenido

Introducción a la PKI

Instalación de la PKI de W200x

Certificado autenticación de servidor

Certificados de cliente para navegación

Requerimientos

Windows 200x Server

Internet Information Services (IIS) instalado

Instalación de la PKI

Panel de ControlAgregar quitar programas

Agregar Componentes WindowsServicios Certificate Server

Seleccionar “Autoridad de certificación raiz independiente”

Gestión de la CA desde la MMC “Entidad Emisora de Certificados”

Gestión de la PKI

Certificados revocados

Certificados emitidos

Certificados pendientes

Error en las peticiones

Entidades emisoras de certificados raiz de

confianza

Autenticación del servidor

Acceder a las propiedades de seguridad de directorio del site a configurar.Crear una petición de certificado.Abrir el archivo generado (certreq.txt) y copiar en memoria su contenido.Solicitar a la CA un certificado (petición avanzada) y “pegar” la información anterior.

Autenticación del servidor (II)

Esperar a la aprobación por parte de la CAUna vez aceptada, grabar el certificado en el disco (certnew.cer)Volver a la configuración del site (SeguridadCertificados) y procesar la petición pendiente seleccionando el certificado guardado anteriormente.

autenticación del servidor (III)

Modificar las propiedades de Seguridad y Certificado marcando: “Requerir canal seguro SSL”

Seleccionar el puerto SSL (por defecto 443) en las propiedades “Sitio Web” del site.

Capturas de pantalla del proceso

Capturas de pantalla del proceso (II)

Capturas de pantalla del proceso (III)Contenido del fichero codificado en Base 64 de la solicitud

Capturas pantalla del proceso (IV)

Capturas de pantalla del proceso (V)

Capturas de pantalla del proceso (VI)

Capturas de pantalla del proceso (VII)

Descarga Certificado Raiz

Conexión a http://servidor/certsrvRecuperar certificado CAInstalar ruta de certificación de Entidad emisora de certificadosComprobar su instalación (Internet ExplorerHerramientasOpciones InternetContenidoCertificadosEntidades Emisoras de Certificados de Raiz de Confianza)

Solicitud de certificado a la PKI

Conexión a http://servidor/certsrvSeleccionar “Solicitar un certificado”Elegir el propósito del mismoRellenar la solicitud, enviarla y esperar la autorización de la misma.

Solicitud de certificado a la PKI

Autorización por la PKI

•Seleccionar el certificado•Comprobar su información•Emitir el certificado (AccionTodas las TareasEmitir)

Instalación por el usuario•Comprobar un certificado pendiente•Seleccionar e instalar el certificado

Comprobación de su instalación

•Internet ExplorerHerramientasOpciones InternetContenidoCertificados

Gracias por su atención