IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA DE CLAVE PÚBLICA - PKI ASTRID LILIANA BOHORQUEZ NUBIA ESPERANZA CASTILLO GUZMAN JOSE ALVARO VARGAS NARANJO INSTITUCION UNIVERSITARIA POLITECNICO GRANCOLOMBIANO FACULTAD DE INGENIERIA DE INGENIERIA Y CIENCIAS BASICAS BOGOTA 2.013 IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA DE CLAVE PÚBLICA - PKI ASTRID LILIANA BOHORQUEZ NUBIA ESPERANZA CASTILLO GUZMAN JOSE ALVARO VARGAS NARANJO Conceptos Básicos sobre infraestructura de clave pública - PKI Modelo de Arquitectura para una posible implementación de una infraestructura de clave pública VIVIANA MORA DOCENTE INSTITUCION UNIVERSITARIA POLITECNICO GRANCOLOMBIANO INGENIERIA DE SISTEMAS NOVENO SEMESTRE 2.013 Contenido INTRODUCCION 1. Conceptos Básicos sobre infraestructura de clave pública - PKI 1.1. Que es una PKI 1.2. Cuales son sus Usos 1.3. Cuales son los riesgos asociados al no uso de una PKI 1.4. Cuales son los beneficios de implementar una PKI 1.5. Citar ejemplos de PKI 2. Modelo de Arquitectura para una posible implementación de una infraestructura de clave pública 2.1. Un diagrama de una RED Corporativa (local o global) 2.2. Los elementos requeridos para el montaje de una PKI 2.3. Implementación de cada componente dentro del diagrama de red. 2.4. Política para la emisión de certificados en una organización 2.5. Funcionamiento de cada componente dentro del diagrama de red Corporativa citando ejemplos y haciendo un flujo de actividades REFERENCIAS INTRODUCCION Una infraestructura de Clave Pública (PKI) le permite a una compañía contar con sistemas de autenticación, controles de acceso, confidencialidad y no repudio para sus aplicaciones en redes, usando tecnología avanzada, tal como firmas digitales, criptografía y certificados digitales. Este tipo de infraestructura se basa, en el cifrado de clave pública, sobre todo en la cifra RSA, por dos razones: Porque fue la primera en patentarse y porque sus inventores crearon escuela al formar la empresa que hoy es más importante en el desarrollo e implantación de Infraestructuras de Clave Pública: RSA Data Security Inc y su filial certificadora Verisign. Este trabajo describe en primera lugar las claves para entender la Infraestructura de Clave Pública (definición, tecnologías usadas, objetivos que busca), algunas herramientas usadas para su implantación y los problemas que se pueden encontrar al hacerlo. Para terminar se plantea un modelo de arquitectura para una posible implementación de una estructura de clave PKI. 1. CONCEPTOS BÁSICOS SOBRE INFRAESTRUCTURA DE CLAVE PÚBLICA - PKI 1.1. Que es una PKI La infraestructura de clave pública PKI, es un conjunto de elementos de infraestructura necesarios que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital y el no repudio de transacciones electrónicas. Esta tecnología se utiliza para que los usuarios puedan autenticarse frente a otros usuarios y aplicar certificados de identidad al momento de obtener la información que se requiera, cifrar y descifrar mensajes, confirmación de un envío sin que exista repudio y realizar firmas digitales. El uso de esta tecnología consiste en que el usuario del sistema se registra, obtiene un nombre de usuario que vendría ser pública y la contraseña que claramente es privada, utilizando algoritmos asimétricos. La clave pública es utilizada a través de Autoridades Certificantes que publican estas claves junto con los certificados de quien pertenece; la clave privada se mantiene secreta y no puede ser publicada por ningún motivo. Para algunos casos se utilizan medios magnéticos, token o en tarjetas inteligentes con Chip. La PKI es un protocolo que trata de describir los procesos organizativos necesarios para la gestión de certificados digitales de claves públicas para el intercambio seguro de información, que permite firmar digitalmente un documento electrónico (un email, el código de un programa, una transacción bancaria, unos análisis médicos), o permite identificar a una persona o empresa en Internet, o permite acceder a un recinto o servicio restringido. Las PKIs, son sistemas mixtos hardware/software, basados en diferentes agentes que permiten dotar a máquinas y usuarios de Certificados Digitales de Identidad. 1.2. Cuales son sus Usos Los usos son innumerables, podemos citar entre otros, los siguientes usos de la tecnología PKI: • Autenticación de usuarios y sistemas como el login: Este nos permite realizar una gestión ideal de administración en cuentas y tener un nivel de confianza más alto. • Identificación del interlocutor: Reconocer al usuario entre la comunicación. • Cifrado de datos digitales: Nos permite la confidencialidad de los datos. • Firmado digital de datos: Se logra identificar la autenticación de origen del mensaje. • Asegurar las comunicaciones: Se obtiene confidencialidad del tráfico de los datos • Garantía de no repudio: como el negar que cierta transacción tuvo lugar. 1.3. Cuales son los riesgos asociados al no uso de una PKI Existen sólo diecisiete países en el mundo con un marco legal establecido por sus respectivos gobiernos en el desarrollo de tecnología PKI. Esto nos da una idea de en que situación se encuentra la utilización de las Infraestructuras de Clave Pública: en pañales, aunque hay que tener en cuenta que el RSA se publicó en 1997. Como anécdota “patriótica” comentar que España fue uno de los primeros países que se subió al carro. En concreto en 1999, pero esto se comenta en el siguiente punto. La situación en Europa es muy distinta de la estadounidense. En Estados Unidos reina una mayor libertad de mercado, porque las reglas no siempre son claras. Por el contrario, en Europa la Directiva de Firma Electrónica y las correspondientes leyes nacionales sobre la materia han restringido el ámbito en el que se pueden mover los prestadores de servicios de certificación y los proveedores de estas tecnologías. Esto es, en Europa los gobiernos deciden qué dispositivos de certificación son seguros y quién puede convertirse en prestador de servicios de certificación. Además, en los países de la Unión Europea suele haber una autoridad auspiciada por el gobierno con vocación de establecerse como prestador de servicios genérico para facilitar el acceso a la firma electrónica por parte de los ciudadanos, como Ceres en España o las fábricas de moneda y timbre de cada país. Evidentemente la situación de las administraciones públicas no tienen nada que ver con el entorno privado y estas se han desarrollado de forma mucho más rápida, espoleadas por el boom de las empresas punto com y por la rápida implantación de productos de distribución de claves y comunicaciones seguras en grandes empresas (como los bancos por ejemplo). Aunque esta implantación no se produjo de cara al cliente final. Los fabricantes de tecnología PKI que se crearon confiando en el boom de final del siglo pasado se han dado un buen porrazo debido a varios factores entre los que se encuentran el famoso 11-S o la ralentización de la adopción masiva del comercio electrónico. Sólo aquellos que se han diversificado en otros campos (como las otras necesidades de las 3A) son las que se han mantenido y confían en un futuro muy prometedor. En general, el mercado mundial de software y servicios de securización en 2001 fue de 12.045 millones de euros, en 2002 será de 15.455 millones de euros, y para el año 2005 alcanzará 34.432 millones de euros. También de acuerdo con la misma consultora, el mercado mundial de PKI en 2001 supuso 738 millones de euros, en 2002 alcanzará los 1.106 millones, y para 2005 será de 2.955 millones. Fuente: Datamonitor. Algunos riesgos asociados al no uso de la tecnología PKI, son: • La información del usuario está expuesta a cualquier otro usuario. • Sin esta seguridad el sistema está expuesto a robos de información, datos bancarios, etc • No tener claridad en la identidad del usuario • Pérdida de tiempo y costos en el análisis de autenticación del usuario • Procesos dispendiosos e inútiles • Intranquilidad de los usuarios a utilizar el sistema. 1.4. Cuales son los beneficios de implementar una PKI Los objetivos que persigue una PKI, se consigue gracias a la propiedades de la criptografía de clave pública, y son los siguientes: • Autentificación de usuarios: Asegurar la identidad de un usuario, bien como signatario de documentos o para garantizar el acceso a servicios distribuidos en red, ya que sólo él puede conocer su clave privada, evitando así la suplantación. • No repudio: Impedir que una vez firmado un documento el signatario se retracte o niegue haberlo redactado. • Integridad de la información: Prevenir la modificación deliberada o accidental de los datos firmados, durante su transporte, almacenamiento o manipulación. • Auditabilidad: Identificar y rastrear las operaciones, especialmente cuando se incorporan marcas de tiempo. • Acuerdo de claves secretas: para garantizar la confidencialidad de la información intercambiada, esté firmada o no. En una tecnología PKI es fundamental la implementación ya que se obtienen beneficios como las siguientes: 1. Los certificados contienen información comprobable vinculada con la identidad del usuario, permitiendo con esto la autenticación real del usuario y no basado en direcciones IP donde puedan ser dinámicas, nombres de dominio y direcciones de correo donde puedan ser vigiladas. 2. Las claves no viajan a través de la red 3. Los certificados garantizan la validez de la información y estos deben estar emitidos por una autoridad de certificación reconocida. 4. Permite mejorar los procesos de negocio, optimizando tiempos, gestión de errores y reduciendo costos. 5. Aumento en la satisfacción del cliente, los usuarios pueden utilizar la tecnología desde cualquier sitio y en cualquier instante. 1.5. Citar ejemplos de PKI Algunos ejemplos de PKI • Comunicaciones entre servidores y buscadores de internet • Correo electrónico • Intercambio electrónico de datos (EDI) • Transacciones con tarjeta de crédito en internet • Redes privadas virtuales (VPN) • Cifrado y/o autenticación de documentos 2. MODELO DE ARQUITECTURA PARA UNA POSIBLE IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA DE CLAVE PÚBLICA 2.1. Un diagrama de una RED Corporativa (local o global) Diagrama de una red corporativa de una compañía estándar Diagrama de una red corporativa de una gran compañía 2.2. Los elementos requeridos para el montaje de una PKI Los componentes de una PKI 1. Autoridad de certificación (CA): Es el componente responsable de establecer las identidades de los usuarios y realizan la creación de los certificados que forman una asociación entre la identidad y el conjunto de claves pública y privada. 2. Autoridad de registro (RA): Es el responsable del registro y de la autenticación inicial de los usuarios a quienes se les expide un certificado posteriormente si cumplen todos los requisitos. 3. Servidor de certificados: Este componente es encargado de expedir los certificados aprobados con la autoridad de registro. La generación de la clave pública para el usuario es compuesto con los datos del usuario y finalmente se firma digitalmente con la clave privada de la autoridad de certificación. 4. Repositorio de certificados: Este componente es encargado de hacer disponibles las claves públicas de las identidades registradas. Cuando se requiere validar un certificado se realiza la consulta en el repositorio, se verifica la firma, el estado del certificado. 5. Autoridad de sellado de tiempo: Es encargado de firmar los documentos con el objetivo de comprobar si existían antes de En el siguiente diagrama de RED, se muestra un ejemplo de los elementos. En el siguiente diagrama de RED, se muestra un ejemplo de los elementos requeridos para el montaje de una PKI. 2.3. Implementación de cada componente dentro del diagrama de red Elementos que la componen: La PKI se basa en el cifrado de clave pública y está formada por: • Certificados Digitales, por ejemplo X509. • Una estructura jerárquica para la generación y verificado de estos certificados formada por las Agencias de Certificación (CA) y las Autoridades de Registro (RA) (que cumplen la función de sucursales de las primeras). Donde la CA es una organización independiente y confiable. • Directorios de certificados, que son el soporte software adecuado (bases de datos) para el almacenamiento de los certificados. Por ejemplo directorios X.500 o LDAP (simplificación del primero). Aunque no tienen por qué estar localizados en un servidor central (modelo de Tercera Parte Confiable) y estar distribuidos entre los usuarios como hace PGP (modelo de Confianza Directa). • Un sistema de administración de certificados, que es el programa que utiliza la Agencia de Certificación o la empresa donde se ha instalado la PKI para que realice la comprobación, la generación, la revocación de certificados, etc.... Y este es el producto que cada compañía intenta vender en el mercado. Mercado al que se le augura un prometedor crecimiento 2.4. Política para la emisión de certificados en una organización Este es un prototipo de las políticas de certificado dictadas por la compañía certificadora de firma digitales para una corporación. La autoridad certificadora registrada debe implementar las políticas en los servicios de certificación que incluyen la emisión, gestión, suspensión y renovación de los certificados. Se debe desarrollar conforme a lo estipulado en el RFC 3647 Internet X.509 Public Key Infraestructure. La política debe incluir: Nombre e identificación del documento Participantes en la PKI - Autoridades certificadoras - Autoridades de registro - Suscriptores - Partes que confían - Otros participantes Uso del certificado - Usos apropiados del certificado - Usos prohibidos del certificado Administración de la política - Organización que administra el documento - Persona de contacto - Persona que determina la adecuación de a PKI - Procedimientos de aprobación de la PKI Definiciones y acrónimos Responsabilidades de publicación y del repositorio - Repositorios - Publicación de información de certificación - Tiempo o frecuencia de la publicación - Control de acceso a los repositorios Identificación y autenticación - Nombres, tipos de nombres - Contraseñas seguras - Validación inicial de identidad - Autenticación de identidad dentro de la organización - Autenticación de identidad individual - Validación de la autoridad - Criterios para interoperabilidad Reemision de llaves - Identidicacion y autenticación para reemision de llaves y para solicitudes de renovación. Procesamiento de solicitud de la PKI - Aprobación o rechazo - Tiempo de para procesar solicitudes - Emisión del certificado, - Renovación del certificado, requisitos y procesamiento. - Notificación al suscriptor - Modificación de certificados - Suspensión de la PKI 2.5. Funcionamiento de cada componente dentro del diagrama de red Corporativa citando ejemplos y haciendo un flujo de actividades A continuación se muestra del proceso cuando se realiza una petición por parte del usuario: AUTORIDAD DE CERTIFICACION Entidad fiable, encargada de garantizar de forma unívoca y segura la identidad asociada a una clave pública Recibe y procesa peticiones de certificados de los usuarios finales Consulta con una Autoridad de Registro para determinar si acepta o rehúsa la petición de certificado Emite el certificado Gestiona Listas de Revocación de Certificados (CRLs) Renueva certificados Proporciona: Servicios de backup y archivo seguro de claves de cifrado Infraestructura de seguridad para la confianza, políticas de operación segura, información de auditoría. Nomenclatura CNI: Entidad de Certificación (EC) AUTORIDAD DE REGISTRO Gestiona el registro de usuarios y sus peticiones de certificación/revocación, así como los certificados respuesta a dichas peticiones Indica a la CA si debe emitir un certificado Autoriza la ASOCIACIÓN entre una clave pública y el titular de un certificado Gestión del ciclo de vida de un certificado: Revocación Expiración Renovación (extensión periodo validez del certificado, respetando el plan de claves) Reemisión del par claves del usuario Actualización de datos del certificado Nomenclatura CNI: Entidad de Registro (ER) TITULARES CERTIFICADOS Entidades finales Usuarios finales Suscriptores PARTES UTILIZADORAS Una vez la entidad final tiene un certificado... Hay partes que confían en el certificado para comunicarse y realizar transacciones con sus suscriptores. Las partes utilizadoras verifican los certificados, las firmas electrónicas y los caminos de certificación. REPOSITORIO/DIRECTORIO Los directorios proporcionan almacenamiento & distribución de certificados & listas de revocación (CRLs) Cuando la CA emite un certificado o CRL, lo envía al Directorio La CA también guarda el certificado o CRL en su base de datos local La CA utiliza LDAP (Light-weight Directory Access Protocol) para acceder a los directorios. El usuario puede obtener certificados de otros usuarios y comprobar el estado de los mismos. AUTORIDAD DE VALIDACION Suministra información de forma online acerca del estado de un certificado. La VA suele proporcionar dos servicios de validación: el tradicional, permitiendo la descarga de CRLs para que el usuario las interprete él mismo, o a través del protocolo OCSP (Online Certification Status Protocol). Los usuarios y las aplicaciones que deseen obtener el estado de un certificado, sólo tienen que realizar una petición OCSP contra la VA para obtener dicho estado. La CA actualiza la información de la VA cada vez que se modifica el estado de un certificado, con lo que, a diferencia de las CRLs, se dispone de información en tiempo real. Nomenclatura CNI: Entidad de Validación (EV) FLUJO DE ACTIVIDADES EJEMPLO DE FUNCIONAMIENTO DE UNA PKI REFERENCIAS Ciberp@ís mensual nº 24 Julio / año 2002 The Internet Protocol Journal: “Code Signing” Proveedores de certificación: www.ipsCA.com; www.ace.com; www.entrust.com; www.certisur.com; www.feste.com; www.verisign.com; www.cert.fnmt.es http://home.xcert.com/~marcnarc//PKI/thesis/PKI-Thesis.pdf : Tesis de la universidad de McGill, Montreal www.securytymanagement.com : Empresa desarrolladora de soluciones PKI. www.judiciary.senate.gov/privacy.htm : Conozca las Reglas, Use las reglas. Documento del Senado de los EE.UU. para difundir el cifrado y los conceptos de seguridad en Internet así como algunas aplicaciones. Networking Tips & Newsletters- searchNetworking: Revista electrónica sobre redes. De aquí cogí alguna idea para el último ejemplo. No pongo el link porque no lo encuentro. www.pki.gov.ar: Página de la administración Argentina sobre PKI. “Los códigos secretos”. Simon Singh “Infraestructura de clave pública PKI” – Seminario, Indra Sistemas S.A., 2005.