Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
La Arquitectura PKI
Introduccin
Hoy en da los medios digitales son susceptibles de substitucin, modificacin, y replicacin, a menos que estn explcitamente protegidos con el objetivo de que se pueda confiar en estas comunicaciones. Definimos un sistema seguro como aquel en el que el coste de irrumpir en el sistema es mayor al valor de la informacin contenida en l, tanto en dinero como en riesgo personal.
La Arquitectura PKI se compone de: 1. La Infraestructura de llave pblica o PKI, 2. El Modelo PKIX, o modelo de las Entidades que gestionan la infraestructura de llave pblica, designando sus funciones y protocolos, y 3. Las Polticas y Prcticas de certificacin, CPS y CP.
1 de 1
son diferentes, estn matematicamente asociadas, no se puede obtener la llave privada a partir de la pblica. a.- con la llave pblica del suscriptor, qualquiera puede cifrar un mensaje, que solo
Cada llave unicamente puede descifrar lo que la otra ha cifrado, por tanto; puede ser descifrado por la llave privada del suscriptor, se logra la confidencialidad. b.- con la llave pblica del suscriptor, cualquiera puede descifrar un mesaje, y as verificar la identidad del documento que ha sido cifrado por el suscriptor usando su llave privada. 2 de 2
Sus implicacines son las siguientes: a.- El suscriptor puede establecer la integridad y el origen (autora) de la informacin (datos) que envia a otro participante, firmando digitalmente dicha informacin, cifrandola con su llave privada. b.- Quien recibe la informacin puede usar la llave pblica asociada del suscriptor para validar que proviene del suscriptor (tenedor de la llave privada), y verificar la integridad de la informacin. El suscriptor puede garantizar la confidencialidad, cifrando la informacin a su vez con la llave pblica del verificador, con lo que slo ste podra descifrar con su llave privada la informacin.
3 de 3
El suscriptor lo obtiene apartir de; algoritmos de message digest como SHA-1, Ripe_MD, o algoritmos de firma digital que lo incluyen como DSA o RSA, Ms el mensaje original, y la llave privada del suscriptor. Y el verificador lo obtiene descifrando la firma digital recibida del suscriptor, utilizando la llave pblica del suscriptor, y el algoritmo de firma digital. Da por resultado un valor, o Message Digest Value. El objeto es que el verificador se asegure de la integridad de los datos transmitidos, lo que se logra comparando el valor del message digest descifrado por el verificador utilizando su llave privada, y el que ha recibido, descifrado por la llave pblica del suscriptor. Si stos son iguales, entonces se confirma la integridad del mensaje. El message digest debe estar siempre suscriptor privada, firmado usando para por su el llave que
previnir
4 de 4
2) El Modelo PKIX:
El Modelo PKIX es el modelo de las entidades que gestionan la infraestructura de llave pblica, designando sus funciones y protocolos. 1 Entidades Finales (a quien se pretende identificar)
El modelo PKIX tiene 5 componentes: 1. Entidades finales 2. Autoridades de Certificacin 3. Autoridades de Registro 4. Repositorios 5. Emisores de CRLs.
El sujeto de un certificado, su identidad es garantizada por una autoridad de certificacin. stas pueden ser Usuarios finales, la autoridad de registro respecto a la autoridad de certificacin en el nombre de quien actua, o incluso una autoridad de certificacin cuando sta se ve certificada por otra autoridad de certificacin.
Representan Quienes
la
fuente los
de
credibilidad
de
la
emiten
certificados,
firmndolos
Certifican que la llave pblica asignada en un certificado a una entidad final, corresponde realmente a dicha entidad final. Ver: CA Trust.pdf en www.pkiforum.org.
5 de 5
Realiza el proceso de registro de las entidades finales por encargo de la autoridad de certificacin. Valida los atributos del sujeto que solicita el certificado, Verifica que el sujeto posee la llave privada a registrar, Genera los secretos compartidos que permiten el proceso de inicializacin y certificacin. Genera el par de llaves pblico/privada, ver ANSI X.9 standards. Valida los parmetros de las llaves pblicas presentadas para su registro.
4 Repositorios o Repositories Mtodo que permite guardar informacin sobre PKI, como puedan ser certificados, y CRLs para su acceso por parte de las entidades finales o de sus delegados. Tienen por finalidad que la entidad final obtenga la confirmacin sobre:
el estatus de revocacin de los certificados de otros usuarios, y la validacin del Certification Path, o cadena de certificados.
5 Emisores de CRLs o Certificate Revocation List Issuers Los emisores de Listas de Revocacin de Certificados actan en nombre de la Autoridad de Certificacin, siendo de carcter opcional aunque sumamente convenientes. Son listas de los Certificados que han dejado de ser vlidos y por tanto en los que no se puede confiar. Los Certificados son revocados en los casos en los cuales: a) la llave privada se vea comprometida, b) hayan cambiado los atributos del certificado. Los Certificados Digitales tambien dejan de ser validos cuando vence su fecha de expiracin, caso este que no debe representarse en los CRLs.
6 de 6
Procedimiento de la Certificacin:
1 Solicitud a la Autoridad de Certificacin de un certificado por parte de la Entidad Final, a travs de la Autoridad de Registro, con el objeto de que la Autoridad de Certificacin garantice la identidad de la entidad final. 2 La Autoridad de Certificacin comprueba que cada usuario es quien dice ser y que la clave pblica que inscriba en el certificado realmente le pertenece. 3 El Certificado de la entidad final se firma digitalmente, cifrandolo con la llave privada de la Autoridad de Certificacin. 4 A su vez la autoridad de certificacin es certificada por otra/s Autoridad/es de Certificacin. 5 Dicho certificado se distribuye globalmente, es decir, al mayor numero de destinatarios posibles. El certificado distribuido de la Entidad Final sirve a los destinatarios o verificadores de un documento enviado por la Entidad Final para verificar la firma y la legitimidad del documento enviado, y por lo tanto tambien la identidad del emisor del documento. El Objetivo del proceso de certificacin es garantizar la identidad de la Entidad Final, y con ella la identidad de las comunicaciones digitales
7 de 7
El estndar de Certificados es el X.509 v3, creado por el Cuerpo de Estndares de Telefonia Internacional, y desarrollado por Internet Engineering Task Force.
Identificador nico o N de serie del certificado. El algoritmo de firma digital empleado. Datos de la autoridad de Certificacin: ID nico del emisor de certificados. Fechas de expedicin y expiracin de la llave pblica y privada. Llave pblica del titular del certificado.
8 de 8
a) Certificados de Clase 2 no reconocidos (Clase 2 tipo 1), usados para transaciones de bajo riesgo como servicios de suscripcin de la Sociedad de la Informacin. b) Certificados de Clase 2 reconocidos (Clase 2 tipo 2), pueden ser usados como soporte de firmas electrnicas legalmente reconocidas, obtienen una razonable seguridad de la identidad del Suscriptor, comparando automticamente el nombre del solicitante, direccin y otra informacin personal contenida en la solicitud de certificado, con la informacin contenida en las bases de datos propiedad de la EE o ERL. Certificados de Clase 3, se emiten a:
Individuos: requiere la presentacin de evidencias probatorias de la identidad de la identidad del sujeto, personndose ante una Entidad de Registro Local (ERL) o su delegado, como puede ser un notario pblico.
Los Certificados de Clase 2 Tipo 2 y los Certificados de Clase 3 emitidos a individuos deben ser usados de acuerdo con los requisitos establecidos en el Real Decreto-Ley 14/1999, de 17 de Septiembre, sobre Firma Electrnica.
Organizaciones: se emiten a individuos con capacidad de firma dentro de una organizacin, probada esta capacidad de firma por evidencia notarial, y de la propia organizacin a travs de organizaciones empresariales que confirmen su identidad.
10 de 10
Describe las prcticas empleadas en la emisin y gestin de certificados. Gobierna la gestion de la Infraestructura de llaves pblicas, y podra tambien incluir la descripcin de los servicios ofrecidos, y el detalle de los procedimientos de la gestin del ciclo de vida del certificado, informacin operacional, etc.
La Declaracion de Practicas de Certificacion provee de un marco legal que describe las obligaciones y margenes de responsabilidad que asume la Autoridad de Certificacin, as como sus derechos con los titulares de los certificados emitidos por sta.
documentacin tcnica y procedimental, detallada y comprensiva, es decir completa, acerca de la operativa de la infrastructura que soportan los servicios PKI.
Consiste en un conjunto de reglas que indican la aplicabilidad de un certificado a una particular comunidad y/o clase de aplicaciones con requerimientos de seguridad comunes.
ActiveSign
seguridad en movilidad
C/ Rodriguez Arias 56, 6 Int. 48013 BILBAO Espaa
juan.anacabe@activesign.net www.activesign.net
Telfono:
944 27 59 59
11 de 11