Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

implementación de una infraestructura de clave pública

Anuncio 
IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA DE CLAVE PÚBLICA - PKI
ASTRID LILIANA BOHORQUEZ
NUBIA ESPERANZA CASTILLO GUZMAN
JOSE ALVARO VARGAS NARANJO
INSTITUCION UNIVERSITARIA POLITECNICO GRANCOLOMBIANO
FACULTAD DE INGENIERIA DE INGENIERIA Y CIENCIAS BASICAS
BOGOTA
2.013
IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA DE CLAVE PÚBLICA - PKI
ASTRID LILIANA BOHORQUEZ
NUBIA ESPERANZA CASTILLO GUZMAN
JOSE ALVARO VARGAS NARANJO
Conceptos Básicos sobre infraestructura de clave pública - PKI
Modelo de Arquitectura para una posible implementación de una
infraestructura de clave pública
VIVIANA MORA
DOCENTE
INSTITUCION UNIVERSITARIA POLITECNICO GRANCOLOMBIANO
INGENIERIA DE SISTEMAS
NOVENO SEMESTRE
2.013
Contenido
INTRODUCCION
1. Conceptos Básicos sobre infraestructura de clave pública - PKI
1.1. Que es una PKI
1.2. Cuales son sus Usos
1.3. Cuales son los riesgos asociados al no uso de una PKI
1.4. Cuales son los beneficios de implementar una PKI
1.5. Citar ejemplos de PKI
2. Modelo de Arquitectura para una posible implementación de una
infraestructura de clave pública
2.1. Un diagrama de una RED Corporativa (local o global)
2.2. Los elementos requeridos para el montaje de una PKI
2.3. Implementación de cada componente dentro del diagrama de red.
2.4. Política para la emisión de certificados en una organización
2.5. Funcionamiento de cada componente dentro del diagrama de red Corporativa
citando ejemplos y haciendo un flujo de actividades
REFERENCIAS
INTRODUCCION
Una infraestructura de Clave Pública (PKI) le permite a una compañía contar con
sistemas de autenticación, controles de acceso, confidencialidad y no repudio para
sus aplicaciones en redes, usando tecnología avanzada, tal como firmas digitales,
criptografía y certificados digitales.
Este tipo de infraestructura se basa, en el cifrado de clave pública, sobre todo en
la cifra RSA, por dos razones: Porque fue la primera en patentarse y porque sus
inventores crearon escuela al formar la empresa que hoy es más importante en el
desarrollo e implantación de Infraestructuras de Clave Pública: RSA Data Security
Inc y su filial certificadora Verisign.
Este trabajo describe en primera lugar las claves para entender la Infraestructura
de Clave Pública (definición, tecnologías usadas, objetivos que busca), algunas
herramientas usadas para su implantación y los problemas que se pueden
encontrar al hacerlo.
Para terminar se plantea un modelo de arquitectura para una posible
implementación de una estructura de clave PKI.
1. CONCEPTOS BÁSICOS SOBRE INFRAESTRUCTURA DE CLAVE
PÚBLICA - PKI
1.1.
Que es una PKI
La infraestructura de clave pública PKI, es un conjunto de elementos de
infraestructura necesarios que permiten la ejecución con garantías de
operaciones criptográficas como el cifrado, la firma digital y el no repudio de
transacciones electrónicas.
Esta tecnología se utiliza para que los usuarios puedan autenticarse frente
a otros usuarios y aplicar certificados de identidad al momento de obtener la
información que se requiera, cifrar y descifrar mensajes, confirmación de un
envío sin que exista repudio y realizar firmas digitales.
El uso de esta tecnología consiste en que el usuario del sistema se registra,
obtiene un nombre de usuario que vendría ser pública y la contraseña que
claramente es privada, utilizando algoritmos asimétricos. La clave pública
es utilizada a través de Autoridades Certificantes que publican estas claves
junto con los certificados de quien pertenece; la clave privada se mantiene
secreta y no puede ser publicada por ningún motivo. Para algunos casos se
utilizan medios magnéticos, token o en tarjetas inteligentes con Chip.
La PKI es un protocolo que trata de describir los procesos organizativos
necesarios para la gestión de certificados digitales de claves públicas para
el intercambio seguro de información, que permite firmar digitalmente un
documento electrónico (un email, el código de un programa, una
transacción bancaria, unos análisis médicos), o permite identificar a una
persona o empresa en Internet, o permite acceder a un recinto o servicio
restringido.
Las PKIs, son sistemas mixtos hardware/software, basados en diferentes
agentes que permiten dotar a máquinas y usuarios de Certificados Digitales
de Identidad.
1.2.
Cuales son sus Usos
Los usos son innumerables, podemos citar entre otros, los siguientes usos
de la tecnología PKI:
•
Autenticación de usuarios y sistemas como el login: Este nos permite
realizar una gestión ideal de administración en cuentas y tener un nivel de
confianza más alto.
•
Identificación del interlocutor: Reconocer al usuario entre la
comunicación.
•
Cifrado de datos digitales: Nos permite la confidencialidad de los
datos.
•
Firmado digital de datos: Se logra identificar la autenticación de
origen del mensaje.
•
Asegurar las comunicaciones: Se obtiene confidencialidad del tráfico
de los datos
•
Garantía de no repudio: como el negar que cierta transacción tuvo
lugar.
1.3.
Cuales son los riesgos asociados al no uso de una PKI
Existen sólo diecisiete países en el mundo con un marco legal establecido
por sus respectivos gobiernos en el desarrollo de tecnología PKI. Esto nos
da una idea de en que situación se encuentra la utilización de las
Infraestructuras de Clave Pública: en pañales, aunque hay que tener en
cuenta que el RSA se publicó en 1997. Como anécdota “patriótica”
comentar que España fue uno de los primeros países que se subió al carro.
En concreto en 1999, pero esto se comenta en el siguiente punto.
La situación en Europa es muy distinta de la estadounidense. En Estados
Unidos reina una mayor libertad de mercado, porque las reglas no siempre
son claras. Por el contrario, en Europa la Directiva de Firma Electrónica y
las correspondientes leyes nacionales sobre la materia han restringido el
ámbito en el que se pueden mover los prestadores de servicios de
certificación y los proveedores de estas tecnologías. Esto es, en Europa los
gobiernos deciden qué dispositivos de certificación son seguros y quién
puede convertirse en prestador de servicios de certificación. Además, en los
países de la Unión Europea suele haber una autoridad auspiciada por el
gobierno con vocación de establecerse como prestador de servicios
genérico para facilitar el acceso a la firma electrónica por parte de los
ciudadanos, como Ceres en España o las fábricas de moneda y timbre de
cada país.
Evidentemente la situación de las administraciones públicas no tienen nada
que ver con el entorno privado y estas se han desarrollado de forma mucho
más rápida, espoleadas por el boom de las empresas punto com y por la
rápida implantación de productos de distribución de claves y
comunicaciones seguras en grandes empresas (como los bancos por
ejemplo). Aunque esta implantación no se produjo de cara al cliente final.
Los fabricantes de tecnología PKI que se crearon confiando en el boom de
final del siglo pasado se han dado un buen porrazo debido a varios factores
entre los que se encuentran el famoso 11-S o la ralentización de la
adopción masiva del comercio electrónico. Sólo aquellos que se han
diversificado en otros campos (como las otras necesidades de las 3A) son
las que se han mantenido y confían en un futuro muy prometedor.
En general, el mercado mundial de software y servicios de securización en
2001 fue de 12.045 millones de euros, en 2002 será de 15.455 millones de
euros, y para el año 2005 alcanzará 34.432 millones de euros. También de
acuerdo con la misma consultora, el mercado mundial de PKI en 2001
supuso 738 millones de euros, en 2002 alcanzará los 1.106 millones, y para
2005 será de 2.955 millones. Fuente: Datamonitor.
Algunos riesgos asociados al no uso de la tecnología PKI, son:
•
La información del usuario está expuesta a cualquier otro usuario.
•
Sin esta seguridad el sistema está expuesto a robos de información,
datos bancarios, etc
•
No tener claridad en la identidad del usuario
•
Pérdida de tiempo y costos en el análisis de autenticación del usuario
•
Procesos dispendiosos e inútiles
•
Intranquilidad de los usuarios a utilizar el sistema.
1.4.
Cuales son los beneficios de implementar una PKI
Los objetivos que persigue una PKI, se consigue gracias a la propiedades
de la criptografía de clave pública, y son los siguientes:
•
Autentificación de usuarios: Asegurar la identidad de un usuario, bien
como signatario de documentos o para garantizar el acceso a servicios
distribuidos en red, ya que sólo él puede conocer su clave privada, evitando
así la suplantación.
•
No repudio: Impedir que una vez firmado un documento el signatario
se retracte o niegue haberlo redactado.
•
Integridad de la información: Prevenir la modificación deliberada o
accidental de los datos firmados, durante su transporte, almacenamiento o
manipulación.
•
Auditabilidad: Identificar y rastrear las operaciones, especialmente
cuando se incorporan marcas de tiempo.
•
Acuerdo de claves secretas: para garantizar la confidencialidad de la
información intercambiada, esté firmada o no.
En una tecnología PKI es fundamental la implementación ya que se
obtienen beneficios como las siguientes:
1.
Los certificados contienen información comprobable vinculada con la
identidad del usuario, permitiendo con esto la autenticación real del usuario
y no basado en direcciones IP donde puedan ser dinámicas, nombres de
dominio y direcciones de correo donde puedan ser vigiladas.
2.
Las claves no viajan a través de la red
3.
Los certificados garantizan la validez de la información y estos deben
estar emitidos por una autoridad de certificación reconocida.
4.
Permite mejorar los procesos de negocio, optimizando tiempos,
gestión de errores y reduciendo costos.
5.
Aumento en la satisfacción del cliente, los usuarios pueden utilizar la
tecnología desde cualquier sitio y en cualquier instante.
1.5.
Citar ejemplos de PKI
Algunos ejemplos de PKI
•
Comunicaciones entre servidores y buscadores de internet
•
Correo electrónico
•
Intercambio electrónico de datos (EDI)
•
Transacciones con tarjeta de crédito en internet
•
Redes privadas virtuales (VPN)
•
Cifrado y/o autenticación de documentos
2. MODELO DE ARQUITECTURA PARA UNA POSIBLE
IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA DE CLAVE PÚBLICA
2.1.
Un diagrama de una RED Corporativa (local o global)
Diagrama de una red corporativa de una compañía estándar
Diagrama de una red corporativa de una gran compañía
2.2.
Los elementos requeridos para el montaje de una PKI
Los componentes de una PKI
1.
Autoridad de certificación (CA): Es el componente responsable de
establecer las identidades de los usuarios y realizan la creación de los
certificados que forman una asociación entre la identidad y el conjunto de
claves pública y privada.
2.
Autoridad de registro (RA): Es el responsable del registro y de la
autenticación inicial de los usuarios a quienes se les expide un certificado
posteriormente si cumplen todos los requisitos.
3.
Servidor de certificados: Este componente es encargado de expedir
los certificados aprobados con la autoridad de registro. La generación de la
clave pública para el usuario es compuesto con los datos del usuario y
finalmente se firma digitalmente con la clave privada de la autoridad de
certificación.
4.
Repositorio de certificados: Este componente es encargado de hacer
disponibles las claves públicas de las identidades registradas. Cuando se
requiere validar un certificado se realiza la consulta en el repositorio, se
verifica la firma, el estado del certificado.
5.
Autoridad de sellado de tiempo: Es encargado de firmar los
documentos con el objetivo de comprobar si existían antes de En el
siguiente diagrama de RED, se muestra un ejemplo de los elementos.
En el siguiente diagrama de RED, se muestra un ejemplo de los elementos
requeridos para el montaje de una PKI.
2.3.
Implementación de cada componente dentro del diagrama de
red
Elementos que la componen:
La PKI se basa en el cifrado de clave pública y está formada por:
•
Certificados Digitales, por ejemplo X509.
•
Una estructura jerárquica para la generación y verificado de estos
certificados formada por las Agencias de Certificación (CA) y las
Autoridades de Registro (RA) (que cumplen la función de sucursales de las
primeras). Donde la CA es una organización independiente y confiable.
•
Directorios de certificados, que son el soporte software adecuado
(bases de datos) para el almacenamiento de los certificados. Por ejemplo
directorios X.500 o LDAP (simplificación del primero). Aunque no tienen por
qué estar localizados en un servidor central (modelo de Tercera Parte
Confiable) y estar distribuidos entre los usuarios como hace PGP (modelo
de Confianza Directa).
•
Un sistema de administración de certificados, que es el programa
que utiliza la Agencia de Certificación o la empresa donde se ha instalado la
PKI para que realice la comprobación, la generación, la revocación de
certificados, etc.... Y este es el producto que cada compañía intenta vender
en el mercado. Mercado al que se le augura un prometedor crecimiento
2.4.
Política para la emisión de certificados en una organización
Este es un prototipo de las políticas de certificado dictadas por la compañía
certificadora de firma digitales para una corporación.
La autoridad certificadora registrada debe implementar las políticas en los
servicios de certificación que incluyen la emisión, gestión, suspensión y
renovación de los certificados.
Se debe desarrollar conforme a lo estipulado en el RFC 3647 Internet X.509
Public Key Infraestructure.
La política debe incluir:







Nombre e identificación del documento
Participantes en la PKI
- Autoridades certificadoras
- Autoridades de registro
- Suscriptores
- Partes que confían
- Otros participantes
Uso del certificado
- Usos apropiados del certificado
- Usos prohibidos del certificado
Administración de la política
- Organización que administra el documento
- Persona de contacto
- Persona que determina la adecuación de a PKI
- Procedimientos de aprobación de la PKI
Definiciones y acrónimos
Responsabilidades de publicación y del repositorio
- Repositorios
- Publicación de información de certificación
- Tiempo o frecuencia de la publicación
- Control de acceso a los repositorios
Identificación y autenticación
- Nombres, tipos de nombres
- Contraseñas seguras
- Validación inicial de identidad


- Autenticación de identidad dentro de la organización
- Autenticación de identidad individual
- Validación de la autoridad
- Criterios para interoperabilidad
Reemision de llaves
- Identidicacion y autenticación para reemision de llaves y para
solicitudes de renovación.
Procesamiento de solicitud de la PKI
- Aprobación o rechazo
- Tiempo de para procesar solicitudes
- Emisión del certificado,
- Renovación del certificado, requisitos y procesamiento.
- Notificación al suscriptor
- Modificación de certificados
- Suspensión de la PKI
2.5.
Funcionamiento de cada componente dentro del diagrama de
red Corporativa citando ejemplos y haciendo un flujo de
actividades
A continuación se muestra del proceso cuando se realiza una petición por
parte del usuario:
AUTORIDAD DE CERTIFICACION
 Entidad fiable, encargada de garantizar de forma unívoca y segura la
identidad asociada a una clave pública
 Recibe y procesa peticiones de certificados de los usuarios finales
 Consulta con una Autoridad de Registro para determinar si acepta o
rehúsa la petición de certificado
 Emite el certificado
 Gestiona Listas de Revocación de Certificados (CRLs)
 Renueva certificados
 Proporciona:
 Servicios de backup y archivo seguro de claves de cifrado
 Infraestructura de seguridad para la confianza, políticas de operación
segura, información de auditoría.
 Nomenclatura CNI: Entidad de Certificación (EC)
AUTORIDAD DE REGISTRO
 Gestiona
el
registro
de
usuarios
y
sus
peticiones
de
certificación/revocación, así como los certificados respuesta a dichas
peticiones
 Indica a la CA si debe emitir un certificado
 Autoriza la ASOCIACIÓN entre una clave pública y el titular de un
certificado
 Gestión del ciclo de vida de un certificado:
 Revocación
 Expiración
 Renovación (extensión periodo validez del certificado, respetando el
plan de claves)
 Reemisión del par claves del usuario
 Actualización de datos del certificado
 Nomenclatura CNI: Entidad de Registro (ER)
TITULARES CERTIFICADOS
 Entidades finales
 Usuarios finales
 Suscriptores
PARTES UTILIZADORAS
Una vez la entidad final tiene un certificado...
Hay partes que confían en el certificado para comunicarse y realizar transacciones
con sus suscriptores.
Las partes utilizadoras verifican los certificados, las firmas electrónicas y los
caminos de certificación.
REPOSITORIO/DIRECTORIO
Los directorios proporcionan almacenamiento & distribución de certificados & listas
de revocación (CRLs)
Cuando la CA emite un certificado o CRL, lo envía al Directorio
La CA también guarda el certificado o CRL en su base de datos local
La CA utiliza LDAP (Light-weight Directory Access Protocol) para acceder a los
directorios.
El usuario puede obtener certificados de otros usuarios y comprobar el estado de
los mismos.
AUTORIDAD DE VALIDACION
Suministra información de forma online acerca del estado de un certificado.
La VA suele proporcionar dos servicios de validación:

el tradicional, permitiendo la descarga de CRLs para que el usuario las
interprete él mismo, o a través del protocolo OCSP (Online Certification
Status Protocol).
Los usuarios y las aplicaciones que deseen obtener el estado de un certificado,
sólo tienen que realizar una petición OCSP contra la VA para obtener dicho
estado.
La CA actualiza la información de la VA cada vez que se modifica el estado de un
certificado, con lo que, a diferencia de las CRLs, se dispone de información en
tiempo real.
Nomenclatura CNI: Entidad de Validación (EV)
FLUJO DE ACTIVIDADES
EJEMPLO DE FUNCIONAMIENTO DE UNA PKI
REFERENCIAS










Ciberp@ís mensual nº 24 Julio / año 2002
The Internet Protocol Journal: “Code Signing”
Proveedores de certificación: www.ipsCA.com; www.ace.com;
www.entrust.com; www.certisur.com; www.feste.com; www.verisign.com;
www.cert.fnmt.es
http://home.xcert.com/~marcnarc//PKI/thesis/PKI-Thesis.pdf : Tesis de la
universidad de McGill, Montreal
www.securytymanagement.com : Empresa desarrolladora de soluciones
PKI.
www.judiciary.senate.gov/privacy.htm : Conozca las Reglas, Use las reglas.
Documento del Senado de los EE.UU. para difundir el cifrado y los
conceptos de seguridad en Internet así como algunas aplicaciones.
Networking Tips & Newsletters- searchNetworking: Revista electrónica
sobre redes. De aquí cogí alguna idea para el último ejemplo. No pongo el
link porque no lo encuentro.
www.pki.gov.ar: Página de la administración Argentina sobre PKI.
“Los códigos secretos”. Simon Singh
“Infraestructura de clave pública PKI” – Seminario, Indra Sistemas S.A.,
2005.
Documentos relacionados
Certificados Digitales
Certificados Digitales
cronograma de validacion gerencia regional nombre del centro
cronograma de validacion gerencia regional nombre del centro
Descargar
Anuncio
Anuncio