actividas n5
TRANSCRIPT
INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI)
Public Key Infrastructure
Tematica
Tecnología de seguridad TIC aplicables al CE.
Políticas de seguridad Tecnología de seguridad utilizado en el
CE. Protocolos de seguridad aplicables al CE. Criptografía aplicable al CE. Certificados digitales y firma digital Aspectos jurídicos aplicables al CE.
PKI
El Modelo PKIX es el modelo de las entidades que gestionan la infraestructura de llave pública, designando sus funciones y protocolos.
Es una combinación de software, tecnologías de cifrado, y servicios que permiten proteger la seguridad de las transacciones de información en un sistema distribuido.
Se utiliza para referirse a la autoridad de certificación y a los componentes .
Es un conjunto de elementos necesarios para crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales.
Protocolo que permite intercambiar información de forma segura y posee factores claves que contribuyen con la seguridad de la información. (Autenticación, Autorización, Control de Acceso, Contabilidad, Disponibilidad, Identificación, Confidencialidad)
Usos de la tecnología PKI
Autenticación de usuarios y sistemas (login)
Identificación del interlocutor Cifrado de datos digitales Firmado digital de datos (documentos,
software, etc.) Asegurar las comunicaciones Garantía de no repudio (negar que cierta
transacción tuvo lugar)
Política de seguridad
Con respecto a PKI una política de seguridad se refiere a un plan de acción para afrontar riesgos de seguridad.
Conjunto de reglas que indican la aplicabilidad de un certificado y los requerimientos de seguridad
Generalmente se fija en los requerimientos de políticas de alto nivel.
La seguridad en la infraestructura PKI depende en parte de cómo se guarden las claves privadas., para esto se tienen:
Tokens de Seguridad Facilitan la seguridad de la clave privada Evitan que las claves privadas puedan ser
exportadas. Pueden incorporar medidas biométricas
(huella dactilar)
Estándares y Protocolos Aplicables IPSec. MIME Security. PKIX (IETF). PKCS (RSA). Secure Socket Layer (SSL) &
Transport Layer Security (TLS). Secure Electronic Transactions (SET). X509, X500 OSCP
Criptografía
Ámbito de aplicación del regimen criptografico Simétrico.- Criptografía de clave secreta Asimétrico.- Criptografía de clave pública Hybrido
Elementos Claves
Secretas
Públicas
Relación entre claves públicas y secretas
Certificado Digital
Documento que vincula una llave pública con una entidad final y que es firmado por una autoridad certificadora para demostrar su validez e integridad.
Garantiza la identidad de una persona
Tipos de Certificados
Personal
Pertenencia a empresa
Representante
Persona jurídica
Atributo
Servidor seguro
Firma de código
Acredita la identidad del titular
Acredita la vinculación con una entidad para la que trabaja
Acredita como Representante de una entidad
Identifica una empresa o sociedad
Identifica una cualidad, estado o situación
Garantiza la autoría y la no modificación del código de aplicaciones informáticas
Protege el intercambio de información entre usuarios y terceros
Firma Digital
Es un mecanismo criptográfico que permite verificar que un mensaje no haya sido alterado desde que fue firmado hasta la recepción del mismo.
Es la equivalencia de la firma manuscrita.
Permite tener transacciones seguras de documentos y operaciones.
Marco Legal
Directiva 1999/93/CE del parlamento europeo y del consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica
Legislación Española „ LEY 59/2003, de 19 de diciembre, de
firma electrónica (BOE nº 304, 20/12/2003)
Ejemplos de Uso
Cifrado y/o autenticación de mensajes de correo electrónico (ej., utilizandoOpenPGP o S/MIME).
Cifrado y/o autenticación de documentos (ej., la firma XML * o Cifrado XML* si los documentos son codificados como XML).
Autenticación de usuarios o aplicaciones (ej., logon por tarjeta inteligente, autenticación de cliente por SSL).
Bootstrapping de protocolos seguros de comunicación, como Internet key exchange (IKE) y SSL
Ejemplo
En el Ecuador el ejemplo que se tiene es el Quipux, ya que es un sistema documenta utilizado en todos las entidades publicas del país, el mismo que ayuda a elaborar documentos y a la vez enviarlos a servidores públicos con su respectiva firma digital.
Conclusiones
Con la Infraestructura PKI se puede decir que existe certeza en la integridad de la información.
El costo de soporte técnico es alto Los certificados digitales pueden ser
incompatibles entre empresas si están bajo el estándar X509.v3
Problemas de invalides de todo el esquema de PKI.
Recomendaciones
Mantener y mejorar la infraestructura PKI Se debe extender el mercado de PKI par
que se puedan abaratar los costos para que las pequeñas empresas puedan tener acceso a está tecnología
Validar que los estándares sean compatibles entre empresas.
Crear un procedimiento que ayude a verificar la confianza AC es de confianza, para que no deshabilite el esquema de PKI