Luis Ordóñez | Administración de Redes TCP/IP | 27 de diciembre de 2013

Certificados Digitales

PÁGINA1

Certificados Digitales

INTRODUCCION

Uno de los problemas que surgen en Internet es el de la identificación de las personas o entidades, por Ejemplo, cómo asegurarnos de que una clave pública que hemos encontrado en Internet pertenece realmente a quién dice pertenecer.

Una posible solución es la utilización de un certificado digital que es fichero digital intransferible y no modificable, emitido por una tercera parte de confianza (AC), que asocia a una persona o entidad una clave pública.

¿QUÉ ES UN CERTIFICADO DIGITAL?

Un certificado digital es un documento otorgado por una autoridad de certificación que garantiza la asociación de una persona física con una firma digital.

¿PARA QUÉ SIRVE?

Básicamente, el certificado digital es el mecanismo que nos permite obtener una firma digital válida para firmar documentos de manera electrónica. Dependiendo de su nivel de seguridad, la firma digital ofrece las mismas garantías que la firma ológrafa y permite asegurar la integridad de un documento.

¿Cómo funciona?

Para que un certificado digital tenga validez legal, la autoridad de certificación debe de estar acreditada por la entidad pública de certificación del país correspondiente. En Ecuador es el Banco Central es la entidad que se encarga de gestionar este tipo de certificados.

Como mecanismo para asegurar ambos conceptos (integridad e identidad), el certificado digital utiliza el estándar X.509 basado en un algoritmo de criptografía asimétrica. Este método criptográfico emplea dos claves por usuario: una pública y otra privada. Y es la autoridad correspondiente quién certifica que ambas claves son únicas por usuario y están correctamente vinculadas entre sí.

Dependiendo de cómo se utilicen estas claves, el usuario puede asegurar la integridad del envío y garantizar la identidad del remitente o proteger la privacidad del envío.

PÁGINA2

Garantizar la integridad del mensaje e identidad del remitente

Para garantizar la integridad del mensaje y asegurar la identidad del remitente, la versión resumida del procedimiento es el siguiente: el remitente firma el mensaje utilizando su clave privada y lo envía a otros usuarios. Gracias a esta firma, todos los destinatarios pueden comprobar la integridad del mensaje y la identidad utilizando la clave pública del remitente.

Proteger la privacidad del envío

En cambio, para asegurar la privacidad de un envío el proceso cambia: el remitente cifra el mensaje utilizando la clave pública del destinatario. Y éste, para descifrar el mensaje, utiliza su clave privada. Como la clave privada sólo la conoce el destinatario, es imposible que un tercer usuario descifre el mensaje (excepto por fuerza bruta).

ESTRUCTURA DE UN CERTIFICADO DIGITAL

Un certificado digital que siga el standard X509v3, utilizado por los navegadores, contiene la siguiente información:

Identificación del titular del certificado: Nombre, dirección, etc.

Clave pública del titular del certificado.

Fecha de validez.

Número de serie.

Identificación del emisor del certificado.

Un ejemplo sería:

issuer: C=ES ST=L=Barcelona O=SECURITY ZUTANEZ OU=Division de

certificados CN=Fulano Menganez Email=Fulano@fulanez.es subject: C=ES

ST=O=OU=CN=Jaimito Email=Jaimito@jaimito serial:15

Certificate: Data: Version: 1 (0x0) Serial Number: 21 (0x15)

SignatureAlgorithm: md5WithRSAEncryption Issuer: C=ES ST=L=Barcelona

O=SECURITY ZUTANEZ OU=Division de certificados CN=Fulano Menganez

Email=Fulano@fulanez.es ValidityNotBefore: Nov 18 15:15:31 1998 GMT

NotAfter : Nov 13 15:15:31 1999 GMT Subject: C=ES, ST=, O=, OU=,

CN=Jaimito Email=Jaimito@jaimitoSubjectPublic Key Info: Public Key

Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit):

00:9e:74:de:c9:1a:6b:f4:fe:d1:04:30:58:7e:8b:

51:7a:98:23:e9:45:a9:c2:a7:7c:f8:f8:b5:9a:a2:

ea:c1:99:68:ba:f7:c3:d8:06:05:1b:6a:47:a1:44:

5c:2c:a6:e0:4b:6f:ce:02:c4:06:32:20:34:be:13:

97:39:a3:aa:6f:2f:41:a7:bc:14:c8:f3:0c:ad:9d:

PÁGINA3

09:63:8a:f5:eb:60:5b:06:a6:01:fb:1a:07:b2:c6:

39:48:bb:b7:00:56:4e:20:6d:87:3f:67:0b:2f:f4:

b0:5f:74:7f:90:6b:b4:47:6f:56:1a:b5:c5:42:54:

9b:e5:e3:00:e2:4f:e3:14:47 Exponent: 65537 (0x10001)

SignatureAlgorithm: md5WithRSAEncryption

3b:2b:e9:ff:48:48:35:ab:30:5c:e2:d1:88:c9:29:8b:bc:09:

b2:58:80:17:9c:e7:08:0a:7d:8a:5e:46:a8:83:3b:ee:84:de:

62:e3:ea:51:cb:92:bc:fa:db:90:bd:cd:9f:25:d4:4a:48:63:

ac:b8:93:f9:dc:9c:cf:ef:fd:45

- -----BEGIN CERTIFICATE-----

MIICOzCCAeUCARUwDQYJKoZIhvcNAQEEBQAwgaYxCzAJBgNVBAYTAkVTMRIwEAYD

VQQIEwlDYXRhbHVueWExDDAKBgNVBAcTA0JjbjEVMBMGA1UEChMMU0VDVVJJVFkg

QkNOMRowGAYDVQQLExFzZWNjaW8gZCdlbXByZXNlczEdMBsGA1UEAxMURGF2aWQg

R3VlcnJlcm8gVmlkYWwxIzAhBgkqhkiG9w0BCQEWFGd1ZXJyZXJvQGdyZWMudXBj

LmVzMB4XDTk4MTExODE1MTUzMVoXDTk5MTExMzE1MTUzMVowZjELMAkGA1UEBhMC

RVMxCTAHBgNVBAgTADEJMAcGA1UEChMAMQkwBwYDVQQLEwAxGDAWBgNVBAMUD0Nh

bHZpbiAmIEhvYmJlczEcMBoGCSqGSIb3DQEJARYNY2FsdmluQGhvYmJlczCBnzAN

BgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAnnTeyRpr9P7RBDBYfotRepgj6UWpwqd8

+Pi1mqLqwZlouvfD2AYFG2pHoURcLKbgS2/OAsQGMiA0vhOXOaOqby9Bp7wUyPMM

rZ0JY4r162BbBqYB+xoHssY5SLu3AFZOIG2HP2cLL/SwX3R/kGu0R29WGrXFQlSb

5eMA4k/jFEcCAwEAATANBgkqhkiG9w0BAQQFAANBADsr6f9ISDWrMFzi0YjJKYu8

CbJYgBec5wgKfYpeRqiDO+6E3mLj6lHLkrz625C9zZ8l1EpIY6y4k/ncnM/v/UU= - ----

-END CERTIFICATE-----

Este es un certificado, válido durante un año, emitido por la autoridad certificadora SECURITY ZUTANEZ para el usuario Jaimito cuya clave pública RSA es:

exponente: 65537

modulo: 11127195552971827497702000105328725497115357432563948646524265

42649114539614030882310105443040321585401884991855044788817550

61645893205889184340440484177173313682979482908132499473623983

65177107544610936519826706567881109010715263259238888910151015

7610404623906744451048525264576885364836810773621503974118471

Todos los datos están firmados por la AC usando la función hash MD5 y su clave privada RSA. Una firma digital es el equivalente de la firma convencional, en el sentido de que es un añadido al final del mensaje conforme se está de acuerdo con lo que allí se dice. Formalmente, una firma digital es una transformación de un mensaje de forma que cualquier persona con conocimiento del mensaje y de la clave pública del firmante pueda comprobar que dicha transformación ha sido realizada realmente por el firmante.

PÁGINA4

Para verificar que el certificado es correcto deberíamos hacernos con el certificado digital emitido para dicha AC por una segunda AC. Para verificar la veracidad de este segundo certificado deberíamos obtener el certificado digital emitido para segunda AC por una tercera AC. Como este proceso podría eternizarse, existen las llamadas autoridades raíz que firman sus propios certificados, un ejemplo de autoridad raíz es Verisign.

Aparte de los datos del emisor y del propietario del certificado éste puede contener información referente a las limitaciones que se hayan establecido para su uso: e-mail, www, etc...

Como puede observarse en el certificado del ejemplo, no existe ninguna referencia a algoritmos de clave secreta. Cuando navegamos con Netscape y recibimos un certificado de un servidor web 'seguro' aparece la ventana:

New SiteCertificate

HereistheCertificatethatisbeingpresented:

Certificatefor: UPC Signedby: UPC Encryption: Highest Grade (RC4 with

128-bit secretkey)

Thesigner of theCertificatepromisesyouthattheholder of

thisCertificateiswhotheysaythey are. Theencryptionlevelisanindication

of howdifficultitwould be

forsomeonetoeavesdroponanyinformationexchangedbetweenyou and this web

site.

PÁGINA5

La información ''Encryption: Highest Grade (RC4 with 128-bit secret key)'' no tiene nada que ver con el certificado presentado por el servidor, sólo depende del navegador utilizado y del servidor, a distinto navegador distinto grado de cifrado.

Aunque desde un punto de vista técnico cualquiera puede erigirse en AC (sólo es necesario disponer de un par de claves pública-privada para firmar y verificar la firma, y todo aquel que desee obtener un certificado las tiene), una AC, además de emitir certificados, debería ofrecer los servicios siguientes:

Búsqueda de certificados: Una persona puede querer buscar el certificado referente a otra persona o entidad.

Revocación: Si un certificado se pierde, el titular debe poder informar a la AC para que lo anule y emita otro. También si la clave privada ha quedado comprometida debe ser posible su revocación.

Suspensión: La AC debe suspender la validez de un certificado si se hace un uso anormal de él.

Estado del certificado: Las personas a las que se les presenta un certificado deben de poder comprobar que no ha sido revocado o suspendido.

Actualmente aún se está desarrollando el marco legal que regule el reconocimiento de la validez legal de las firmas digitales y cuáles han de ser los requerimientos mínimos que han de reunir las autoridades certificadoras para ser reconocidas como tales.

PÁGINA6

¿QUÉ ES ISA SERVER?

ISA Server es un Gateway integrado de seguridad perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rápido y seguro a las aplicaciones y los datos.

Publicación segura de aplicaciones.- Publicación de servidores Exchange, SharePoint y otros servidores de aplicaciones.

PÁGINA7

La publicación segura de aplicaciones con ISA Server 2006 permite el acceso de forma protegida a aplicaciones Exchange, SharePoint y otros servidores de aplicaciones Web. Los usuarios remotos pueden acceder a ellas desde fuera de la red corporativa con el mismo nivel de seguridad y privacidad que desde dentro.

Gateway para redes de oficinas.- Conexión segura y eficiente para redes remotas

ISA Server 2006 puede utilizarse como Gateway para redes de oficinas. Permite conectar y proteger los enlaces entre oficinas remotas y departamentos centrales y optimizar el uso del ancho de banda.

PÁGINA8

Protección del acceso a la Web.- Proteja su infraestructura de IT frente a amenazas basadas en Internet.

La protección del acceso a la Web que proporciona ISA Server 2006 aumenta la seguridad a los entornos de IT corporativos frente a amenazas internas y externas basadas en Internet.

Soluciones que ofece ISA Server

Necesidades de la organización ISA Server ofrece

Publicación rápida de correo electrónico y otros contenidos

Herramientas para la publicación automática de Exchange y SharePoint®

Acceso seguro para cualquier aplicación Web y desde cualquier dispositivo de cliente

Autenticación basada en formularios Web personalizable

Control riguroso de la identidad Autenticación multifactorial mejorada (con soporte para tarjetas inteligentes, RADIUS OTP), y delegación (NTLM, Kerberos)

Experiencias de usuario transparentes Logon único (SSO, Single Sign-on), y traducción automática de enlace

Publicar un número elevado de servidores Balanceo de carga para la publicación Web

Integración flexible con el Active Directory® Soporte para LDAP

Una gestión más sencilla de SSL Administración de certificados mejorada

Finalización automática del acceso cuando los usuarios no utilizan el enlace (tiempo máximo de inactividad)

Gestión mejorada de la sesión

Protección frente a ataques desde sistemas externos Integración de cuarentena para VPNs

Bloqueo para ataques con paquetes cifrados Bridging basado en SSL

Mínima exposición a ataques externos de Denegación de Servicio (DoS) y DDOS

Mayor resistencia a ataques por inundación.

PÁGINA9

Protección contra gusanos que se propagan internamente

Mayor resistencia ante ataques de gusanos

Medidas de mitigación del impacto en caso de ataque. Registro y control del consumo de memoria y peticiones DNS pendientes.

Detección de ataques más rápida Sistema de alertas, condiciones de disparo y respuestas completo y totalmente automatizado

Control e informes de actividad de los gateways remotos

Integración con Microsoft® Operations Manager (MOM) 2005

Detección de ataques sofisticados Inspección de contenidos multinivel y en profundidad.

Adaptabilidad ante cambios en las modalidades de amenaza

SDK Flexible para crear complementos de protección, como filtros antivirus y Web

Gestión rápida y sencilla de políticas complejas Herramientas de gestión sencillas y fáciles de aprender y utilizar.

Configuración sencilla de las conexiones de oficinas remotas

Herramientas automatizadas y soporte para instalaciones desatendidas

Actualización rápida de los sistemas de las oficinas remotas

Cache basada en BITS para la distribución de actualizaciones de software

Uso eficiente de un ancho de banda limitado Compresión y cache de HTTP

Reducir los costes de soporte de las infraestructuras remotas

Propagación más rápida de políticas y optimización de conexiones de escaso ancho de banda

Una mejor gestión de prioridades del tráfico de red Soporte para DiffServ

Acceso rápido con enlaces de ancho de banda mínimo Cache distribuido jerárquicamente cache para contenidos Web

Gestión centralizado y seguro de las oficinas remotas Funcionalidades de gestión central y remota

Aprovechar al máximo la infraestructura existente Arquitectura multirred con plantillas de administración de redes.

Licencias

Licencias de Producto Descripción

ISA Server 2006 Ed. Estándar ISA Server 2006 es un Gateway perimetral integrado que protege el entorno de IT frente a amenazas

basadas en Internet y ofrece a los usuarios remotos un acceso rápido y seguro a las aplicaciones y datos.

ISA Server 2006 Ed. Enterprise ISA Server 2006 Ed.Enterprise está diseñado para grandes organizaciones que necesitan opciones de

instalación flexibles con los máximos niveles de disponibilidad, escalabilidad y capacidad de gestión.

ISA Server 2006 Ed. Enterprise, paquete de 25

procesadores

El paquete de licencias para 25 procesadores de ISA

Server 2006 Enterprise se ofrece con un descuento del 50% para clientes que necesitan ISA Server en escenarios de grandes despliegues, como son las redes de oficinas.

Microsoft Windows Server 2003 ISA Server 2006 Ediciones Estándar y Enterprise requieren el sistema operativo Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft

Windows Server 2003 R2.

Requisitos del sistema

Para utilizar las ediciones Estándar o Enterprise de ISA Server 2006 necesitará esta configuración mínima:

PÁGINA10

Procesador PC con procesador Pentium III a 733 MHz o superior. Sistema Operativo

Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft Windows Server 2003 R2.

Memoria Se recomienda 512 megabytes (MB) de RAM o más Disco duro Partición en disco duro local con formato NTFS con 150 Mb de espacio de disco disponible; puede

necesitarse más espacio para cache Web Adaptador de red

Adaptador de red para la conexión a la red interna. Otro adaptador de red adicional, modem o adaptador RDSI para cada una de las redes a las que se conecta el equipo. Otra tarjeta de red adicional para comunicaciones internas si el servidor pertenece a un array con balanceo de carga (NLB) de ISA Server 2006 Enterprise Edition.

Referencias 1. http://www.iec.csic.es/criptonomicon/articulos/expertos51.html 2. http://www.uv.es/~sto/articulos/BEI-2003-11/certificados_digitales.html 3. http://ecuador.isigmaglobal.com/2011/12/28/aduana-empieza-a-usar-la-firma-electronica/ 4. https://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=7&sqi=2&ved=0C

EMQFjAG&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2FA%2FC%2F1%2FAC1FE88A-ADBF-4D88-9BEA-2113542B42E7%2FESP_ISA_Server_2006_DS.pdf&ei=3a-XUtrONcu1kAeg1YDYCA&usg=AFQjCNFhuUgZ6bsCTmVbvFMXSTyhlVSBEw