1 / 33

I. Principios básicos sobre PKI

I. Principios básicos sobre PKI. Temática. 1. Seguridad 2. ¿Por qué necesitamos seguridad? 3. ¿Puede la criptografía ayudarnos? 4. Certificados – Certificación 5. Roles en la operación de PKI 6. Interoperabilidad 7. ¿Qué es PKI?. Seguridad. 1. Un error común es:

juro
Download Presentation

I. Principios básicos sobre PKI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. I. Principios básicos sobre PKI

  2. Temática 1. Seguridad 2. ¿Por qué necesitamos seguridad? 3. ¿Puede la criptografía ayudarnos? 4. Certificados – Certificación 5. Roles en la operación de PKI 6. Interoperabilidad 7. ¿Qué es PKI?

  3. Seguridad 1. Un error común es: sistemas son seguros o no son seguros. 2. Sin embargo, en el mundo real,hay sistemas más seguros y menos seguros,pero la seguridad perfecta es inalcanzable. 3. Surge la necesidad de encontrar procedimientos técnicos y legales que aseguren la confiabilidad de los documentos electrónicos.

  4. internet ¿Por qué necesitamos seguridad? Application Client • E • Esta es la arquitectura general de un sistema de teléfono en la banca. • El banco hace el papel de proveedor de servicios (SP), y • El usuario del teléfono público (corto para el usuario) necesita una plataforma de lanzamiento de su teléfono móvil para comunicarse con el servidor de aplicaciones situado en el banco. Service Provider (SP) MIDP Client Application Server Database Server Telco (Tel. company)

  5. ¿Por qué necesitamos seguridad? • La aplicación proporciona un servicio basado en suscripción.Los usuarios pueden suscribirse ingresando un nombre de usuario y PSSWD en el dispositivo móvil. • Los usuarios necesitan alguna manera de probar su identidad en el servidor por lo que su información de suscripción se puede verificar en la base de datos.Llamada: Autenticación • El sistema debe garantizar la confidencialidad, lo que significa que la información privada se mantiene privado. Un sistema seguro proporciona funciones de PAIN:P = privacidad (confidencialidad)A = AutenticaciónI = IntegridadN = No repudio

  6. internet ¿Por qué necesitamos seguridad? Application Client Service Provider (SP) MIDP Client Application Server Telco (Tel. company) Un espía con un analizador de paquetes puede interceptar el tráfico de datos en cualquier punto de la ruta de acceso a Internet entre el dispositivo y el servidor. Un espía con un receptor de radio puede interceptar el tráfico de datos entre un teléfono móvil y una torre de celular local. Un atacante puede entrar en el servidor o base de datos, robar información o destruir el software de servidor. Los ataques más elaborados son posibles,que van desde la suplantación de identidad del servidor (creación de una máquina para lucir y actuar como el servidor)a la ingeniería social (pidiendo a los usuarios de las contraseñas o números de tarjetas de crédito con el pretexto de prestar apoyo técnico).El dispositivo cliente puede ser robado.

  7. internet ¿Puede la criptografía ayudarnos? Application Client Service Provider (SP) MIDP Client Application Server Telco (Tel. company) ¿Quéescriptografía? Encriptar: es una función con una clave determinada, que puede calcular la entrada de texto en un texto cifrado. Desencriptar: es una función inversa de la codificación predefinidos, y con la tecla. Texto encriptado: [bmtalhelittsiliassahayrkamey] (Entrada de texto):[María tiene un corderito]

  8. ¿Puede la criptografía ayudarnos? ¿Quéescriptografía? Encripción: Clave: (Esta es una clave) Paso 1. Invertir la entrada de texto[Bmal elttil un sah Yram]Paso 2. Poner en clave entre los caracteres de la entrada de texto Texto encriptado: [bmtalhelittsiliassahayrkamey] (Entrada de texto):[María tiene un corderito] [bmTalhelittsiliassahayrkaMey]

  9. ¿Puede la criptografía ayudarnos? • Un sistema de cifrado es un algoritmo útil • para mantener los datos confidenciales. • Se puede traducir entre periódica de • datos, llamado texto plano , • y de forma encriptada de los datos, • llamada texto cifrado. • Hay dos tipos de sistemas de cifrado, simétrica y asimétrica. • Un algoritmo de cifrado simétrico utiliza una única clave para el cifrado y descifrado."Puntos débiles": • Sistemas de cifrado simétrico puede ser complicado debido a que tanto las personas que utilizan el sistema de cifrado debe tener la misma clave. • Una persona puede generar la clave, pero debe ser transmitida con seguridad a la otra persona.

  10. ¿Puede la criptografía ayudarnos? Imagínese cómo teclas pares podría funcionar en la práctica:Alguien que quiera enviar un mensaje secreto puede cifrar utilizando la clave pública y enviar el texto cifrado para usted.Tú eres la única persona que puede descifrar el texto cifrado con su clave privada en su ordenador o tarjeta de IC-, si usted mantenga siempre la clave privada en forma segura. 1. sistemas de cifrado asimétricos utilizan un par de claves, dos claves que están relacionados entre sí.2.Se trata de una clave pública, la otra es una clave privada.3. La clave pública puede ser distribuido libremente sin comprometer la seguridad, la clave privada debe mantenerse privada. Clave Los datos cifrados con una clavese puede descifrar con la otra llave.

  11. Certificación y PKI • Un sistemasegurodebería de proveerlassiguientesfunciones • P = Privacidad • A = Autenticación • I = Integridad • N = No repudio Se puedelograraplicando CifradoAsimétrico Porque:Si hay algún poco de pérdida en la transmisión, el receptor no puede descifrarelmsg con la tecla correspondiente.

  12. Certificación y PKI Un certificadocriptográficoofreceunasolución • Un certificado es un contenedor de una clave pública. • Es un documento electrónico que dice algo así como "Violeta certifica que la clave pública de Pablo tiene este valor". • El certificado incluiría información sobre Violeta, la información sobre Pablo, y el valor de la clave pública de Pablo. • Todo esto sería firmado por Violeta. • El certificado permite la extensión de la confianza. • Por lo tanto, si conoce la clave pública de Violeta, y si usted piensa que ella es confiable y un buen juez del carácter, ysi usted puede verificar la firma del certificado, entonces usted puede estar bastante seguro de que la clave pública de Pablo tiene el valor que figura en el certificado. • A solution: ¿Cómo encontrar la clave pública de alguien?¿Dónde guarda su clave privada?Supongamos que alguien que no conoces, Pablo, le envía un mensaje con una firma.Usted necesita obtener su clave pública para verificar la firma.¿Cómo conseguirlo?¿Cómo sabes que tienes verdadera clave pública de Pablo y no una falsificación?

  13. Certificación y PKI Certficado del Rey. Autofirmado Confías en el Rey de Inglaterra? Confío en Henry, perocómoséquesucertificadoesconfiable?? Realmente hemos cambiado sólo el problema, sin embargo.Bien, la clave pública de Violet verifica la clave pública de Pablo,pero que verifica la suya, y¿cómo conseguirlo?¿Dónde está el final de la cadena? Certficado de Henry firmadopor el Rey de Inglaterra Certificado de Violeta firmadopor Henry Yoconfío en Violetaperocómo se quesucertificadoesconfiable?? Certificado de Pablo firmado por Violeta Podríaconfiar en Violet?? Cómopodríaconfiar en el certificado de Pablo

  14. Certificación y PKI Certficado del Rey. Autofirmado Este tipo de certificado que se llama un certificado raíz. Las empresas o instituciones que los utilizan para firmar otros certificados se denominan entidades emisoras de certificados (CA).Entidades emisoras de certificados raíz de generar sus propias y distribuir lo más ampliamente posible. Confías en el Rey de Inglaterra? Confío en Henry, perocómoséquesucertificadoesconfiable?? Certficado de Henry firmadopor el Rey de Inglaterra El problema con los certificados con firma personal es que cualquier persona puede generar una, que afirma ser el Rey de Noruega.La confianza en los certificados raíz se basa en el hecho de que son ampliamente publicadas, haciendo que sean difíciles de falsificar.Si usted tiene un certificado raíz en la mano, usted debería ser capaz de verificar su validez mediante la comparación de su firma a la firma publicados en el sitio web de la entidad emisora. Certificado de Violeta firmadopor Henry Yoconfío en Violetaperocómo se quesucertificadoesconfiable?? Certificado de Pablo firmado por Violeta Podríaconfiar en Violet??

  15. Out-sourcing to TWCA HiTRUST FUCA 2 RA 1-2 RA 2-3 RA 2-4 Bank 2 Bank 3 Bank 4 Users 2-4 Users 1-2 Users 2-3 PMA Política de Órgano de Gestión Bank Association FRCA Financial Root Certificate Authority Bank Association FPCA Financial Policy Certificate Authority La PKI de los servicios financieros xml de Taiwán TWCA FUCA 1 Financial User Certificate Authority Bank 1 RA 1-1 Registration Authority Users 1-1 Certificate User

  16. Procesa la aplicación a la certificación CA emite un certificado al usuario Roles en la Operación de PKI Aplicaparacertificado Usuario SP Proveedor de servicio RA Autoridad de Registro Registro/ Autenticación / Autorización/ Usuarioenvíaunasolicitud de servicio al proveedor de servicio con sucertificado. Usuario de + SP + RA + CA ServicioProveedorAutoridadAutoridad ServicioRegistroCertificacion CA Autoridad de certificación

  17. Roles en la Operación de PKI SP Proveedor de servicio RA Autoridad de Registro Usuario de Servicio/aplicación Suscriptor. Se le expide un certificado. El beneficiario de un certificadoqueactúaconfiando en el certificado y lasfirmasdigitales. • Registro de Autoridad: • Unaentidadquees responsible de uno o más de lassiguientesfunciones: • La identificación y autenticación de los solicitantes de certificados • Aprobacion o rechazo de las solicitudes de certificados • Iniciarrevocaciones de certificados o suspensiones en determinadascircunstancias • Tramitación de las solicitudes de abonadopararevocar o suspender suscertificados • Aprobar o rechazarlas solicitudes de los abonadospararenovarsuscertificados de clave. • Los RA s no firman o emitencertificados (RA es un delegado de determinadastareas en nombre de una CA. CA Autoridad de Certificación Autoridad de Certificación Opera el mecanismo de certificacionincluyendo la emision y el mantenimiento de los certificados.

  18. Roles en la Operación de PKI • El Proveedor de serviciotiene la últimapalabra, tendráqueconsiderar: • Costo • Riesgo • Usabilidad • PKI esunaInfraestructura • PKI es neutral, y se suponeque no estádiseñadoparacualquieraplicaciónespecífica. • Idealmente , un certificadopuede ser aplicado a múltiplesaplicaciones. Sin embargo, prácticamentecadaaplicacióntienesupropionicho. • El grado en que la parte queconfíapuedeconfiar en el enlace incorporado en un certificadodepende de variosfactores, incluyendo: • Las prácticasseguidaspor la entidademisora de certificados (CA) en la autención del sujeto. • La política de funcionamiento de la CA, procedimientos y controles de seguridad. • El alcance de lasresponsabilidades del abonado (porejemplo: en la protección de la clave privada). • Las responsabilidadesestablecidas y los términos de responsabilidad y condiciones de la entidademisora (porejemplo: garantías, renuncias de garantías y limitaciones de responsabilidad.

  19. Banco BKproveedor de servicioselectronicosbancarios Gobierno. Proveedor de serviciospúblicos Interoperabilidad EU solicita un serviciopúblico en línea EU: Puedoteneresteservicio a través de internet? GV: Claro quesí, peronecesita un certificado. EU: Estábien, demeuno. GV: Con mucho gusto. Usuario final de certificado EU solicita un serviciobancario EU: Puedotenerunacuenta de cheque digital a través de mi certificadoemitidopor el gobierno?? BK: Lo sientoperoporregulacionesinternasustedpuedetenerunacuenta de chequeelectrónica solo cuandoustedtiene un certificadoemitidopor la entidadfinancieranacional de PKI. EU: Quiereusteddecirque el certificado del gobierno no puederepresentarmelegalmente? BK: Lo siento, no quisedecireso. Peroaquí, debemos de seguirreglasimpustaspor la Asociación de Bancos. EU: Ok. Deme un certificadoque me puedarepresentarlegalmenteaquí. BK: Con gusto.

  20. El nuevoempleador del Dr. Tu. Un hospital. HR Interoperabilidad Certificate End-User EU Dr. Tu HR: Dr. Tu, todoestálisto. Lo únicoquenecesitamosessucertificado HS. EU: Qué? HR: Disculpe, necesita un certificado de servicio de hospital parapoderaccesar a los expedientes de los pacientes. EU: Tengo dos certificados: Uno de serviciospúblicos del gobierno y otroparaserviciosfinancieros – bancarios. Puedousarlos? HR: Disculpeperoporregulaciones de la ley de salud, un doctor puedeaccesar a los expedientes de suspacientes solo a través de un certificado HS EU: Quémundomaravilloso!!! Cuantoscertificadosnecesito ???? EU: Ok, demeuno. HR: Con gusto.

  21. Proveedor de serviciosbancarioselectronicos BK. CA universal Proveedor de serviciospúblicos Certificado universal El nuevoempleador del Dr. Tu. Un hospital. HR Interoperabilidad Qué mundo más maravilloso!! Usuario final del certificado EU Dr. Tu

  22. Interoperabilidad Peroquépasa con la liabilidad? Todos los certificadostienen el mismociclo de vida? Cuestión legal? Quiénes son: Proveedor de servicio, Autoridad de registro y la autoridad de certificación? Lo másimportante: ¿Quiénpagaráporello? Cómointeroperar? Tenemosla mismasintaxis en cada parte del certificado. Perocontienediferentecontexto. Lo quesignificaquelasaplicaciones los interpreta de forma diferente.

  23. Interoperabilidad • Los problemastécnicos son fáciles de manejar… • La parte fundamental escómohacerunasolicitudparaaceptardiferentescertificados o parahacerque un certificado sea aceptadoporlasdiferentesaplicaciones. • Cada CA tienesupropio PC (certificado de política) y CPS (declaración de prácticas de certificación). • Quiénpuedetomar la decisión final? • Quienserá el encargado de hacerunaregulación y quetodo el mundo la siga? • Por lo tanto, la interoperabilidadesunacuestión de GESTIÓN y no unacuestión TÉCNICA. • Debería de existir un departamento u organismoencargado de todo el tema de interoperabilidad.

  24. ¿Qué es PKI? Los factores clave de la seguridad de la Información Autenticación Autorización Control de acceso Contabilidad Disponibilidad Confidencialidad Identificación

  25. ¿Qué es PKI? • Infraestructura de Clave Pública = PKI (Public Key Infrastructure) • PKI es un conjunto de elementos necesarios para crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales: • Hardware • Software • Recursos humanos • Políticas • Procedimientos • Aspectos jurídicos

  26. ¿Qué es PKI? En criptografíauna PKI es un acuerdoqueune a las claves públicas con lasidentidades del usuariocorrespondiente a través de unaentidademisora de certificados. • La identidad del usuariodebe ser únicadentro de cadadominio del CA. • La unión se establece a través del proceso de registro y expedición, que, dependiendo del nivel de garantíaque la unióntiene, puedellevarse a cabo a través de software en una CA o bajosupervisión. • El rol PKI queaseguraestaunión se llama Autoridad de Registro. (RA)

  27. ¿Qué es PKI? • Diagrama de una Infraestructura de Clave Pública

  28. ¿Qué es PKI? Ámbito de aplicación del regimen criptografico • Simétrico • Asimétrico • Hybrido Elementos • Claves Secretas Públicas Relación entre claves públicas y secretas

  29. ¿Qué es PKI? • Algoritmo • Con clave, el mensajeestransformado de leíble a no leíble y viceversa. • MAC(Message Authentication Code) Código de Mensaje de Autenticación.

  30. ¿Qué es PKI? Técnicas de PKI • Mensajeseguro • Resumen del mensaje • Certificado digital • certificado de lista de revocación Componentes de PKI • CA – Autoridadcertificadora • RA – Autoridad de Registro

  31. ¿Qué es PKI? Aplicación • Digital • Integridad • Integridad de la entidad • Integridad de los datos • Lo digital envuelveconfidencialidad.

  32. ¿Qué es PKI? Certificado de Repositorio Sistemas y aplicaciones PKI permitidos • PKI Tokens • La seguridad de la empresa se puedemejorarmediante la utilización de tokens como la línea de base para la autenticación del usuario y la certificación. • Ámbito de aplicación • Hardware Tokens • Software Tokens

  33. Gracias

More Related