Infrastructura y Servicios de Firma Digital

Infrastructura y servicios de firma digital
Ricardo Borillo Domenech Universitat Jaume I

borillo@uji.es
ndice
InfrastructuraPKI:

Autoridadesdecertificacin Serviciosdeverificaciondecertificados Serviciodeselladodetiempos
Formatosdefirma Integracionyusosdelafirmadigital
Autoridades de certificacin
Conceptosbsicos:Funcionesderesumen
Conceptosbsicos:Firma
Esunaentidaddeconfianza,responsabledeemitiry revocarloscertificadosdigitales,paralocualseemplea lacriptografadeclavepblica. LaAutoridaddeCertificacinverificalaidentidaddel solicitantedeuncertificadoantesdesuexpedicino eliminalarevocacindeloscertificadosalcomprobar dichaidentidad. Loscertificadosrecogendatosdesutitularysuclave pblicayestnfirmadoselectrnicamenteporla AutoridaddeCertificacinutilizandosuclaveprivada.
Certificadosrevocados:
Uncertificadorevocadoesuncertificadoque noesvlidoaunqueseempleedentrodesu perododevigencia. Uncertificadorevocadotienelacondicinde suspendidosisuvigenciapuede restablecerseendeterminadascondiciones.
PeticionesdeemisindecertificadosCSR:
Elsolicitantecompletaciertosdatosidentificativos(entrelos queseincluyeellocalizadorURLdelservidor)ygenera unaparejadeclavespblica/privada. Conesainformacinsecomponeunficheroquecontieneuna peticinCSR(CertificateSigningRequest)enformato PKCS#10quecontienelaclavepblicayquesehacellegar alaCAelegida. LaCAverificadlainformacindeidentificacinaportadayla realizacindelpago,envaelcertificadofirmadoal solicitante,queloinstalaenelservidorwebconlamisma herramientaconlaquegenerlapeticinCSR.
Certificadosdigitales:
Uncertificadodigitalsecomponedeunaclavepblicayun identificador,firmadosdigitalmenteporunaautoridadde certificacin,ysuutilidadesdemostrarqueunaclave pblicaperteneceaunusuarioconcreto. LasCAactancomoautoridadescertificadoras,firmandolas clavespblicasdelosciudadanosygenerandolos certificadosdigitalescorrespondientes. CualquierentidadquedispongadelaclavepblicadeesaCA estarencondicionesdeverificarsuscertificadosdigitales, otorgandolaconfianzacorrespondientealasclaves pblicasasociadasalosmismos
Almacenamientodeloscertificadosdigitales:
PKCS#12.Defineunformatodeficherousadocomnmente paraalmacenarclavesprivadasconsucertificadodeclave pblicaprotegidomedianteclavesimtrica.Evoluciondel estndarPFX(PersonalinFormationeXchange)yseusa paraintercambiarobjetospblicosyprivadosdentrodeun archivo. Tarjetasinteligentes.Almacenamientodeclavessin posibilidaddeexportacindelasmismas.Ayudanala firmaencliente DispositivosdealmacenamientosegurodeclavesHSM.
ndice
InfrastructuraPKI:

Servicios de verificacin de certificados
CRL:
Eselacrnimode"CertificateRevocationList",que significa"listadecertificadosrevocados". UnaCRLesunalistadecertificados(ms concretamentesusnmerosdeserie)quehansido revocados,yanosonvlidosyenlosquenodebe confiarningnusuariodelsistema.
UtilidaddelasCRL:
Cadacerificadotieneunperiodomximodevalidezque oscilaentretresycincoaos.Lafechadecaducidadviene indicadaenelpropiocertificadodigital. Existenotrassituacionesquepuedeninvalidarelcertificado digitalancuandonohacaducado,demanerainesperada:

Robodelaclaveprivada Desaparecelacondicinporlaqueelcertificadofue expedido. Elcertificadocontieneinformacinerrneao informacinquehacambiado. Unaordenjudicial.
ProblemasdelasCRL:
Uncertificadohayasidorevocado,puedequeno aparezcaenlaCRLdelterceroquecompruebasu validez.EstosedebeaquelaCRLutilizadapodrano estaractualizada. Siexisteresponsabilidadlegalporelusodeun certificadorevocado,nohayformadedemostrarquin eselculpable:elterceropornocomprobarlavalidez, olaautoridaddecertificacinpornoincluirloenla CRLatiempo. LasCRLsolamentecrecenentamao,resultando ineficientesparasutratamientodirecto.
OCSP(OnlineCertificateStatusProtocol):
Determinaelestadoderevocacindeuncertificado digitalX.509usandootrosmediosquenoseanel usodeCRL. LosmensajesOCSPsecodificanenASN.1y habitualmentesetransmitensobreelprotocolo HTTP.Lanaturalezadelaspeticionesyrespuestas deOCSPhacequealosservidoresOCSPseles conozcacomo"OCSPresponders".
VentajassobrelasCRL:
Proporcionaunainformacinmsadecuadayrecientedelestadode revocacindeuncertificado. Eliminalanecesidaddequelosclientestenganqueobteneryprocesarlas CRL,ahorrandodeestemodotrficoderedyprocesadoporpartedel cliente. ElcontenidodelasCRLpuedeconsiderarseinformacinsensible, anlogamentealalistademorososdeunbanco. Un"OCSPresponder"puedeimplementarmecanismosdetarificacin parapasarleelcostedelavalidacindelastransaccionesalvendedor, msbienquealcliente.. UnaconsultasobreelestadodeuncertificadosobreunaCRL,debe recorrerlacompletasecuencialmenteparadecirsiesvlidoono.Un "OCSPresponder"enelfondo,usaunmotordebasededatospara consultarelestadodelcertificadosolicitado.
ndice
InfrastructuraPKI:

Servicio de sellado de tiempos
ElselladodetiempooTimestampingesun mecanismoonlinequepermitedemostrarqueuna seriededatoshanexistidoynohansidoalterados desdeuninstanteespecficoeneltiempo. UnaAutoridaddeSelladodeTiempoactacomo tercerapartedeconfianzatestificandola existenciadedichosdatoselectrnicosenuna fechayhoraconcretos.
Servicio de sellado de tiempos
ndice
InfrastructuraPKI:

Formatos de firma
Firma"enbruto"oRSAbsica. FormatosdefirmaXML:
XMLSignature XAdES:PerfilesBES,EPES,T,C,X,XLoA OpenOffice:OpenDocument CMS/PKCS#7. CAdES. FirmaPDF. FirmaPDFPAdES.
FirmasCMS:
Formatos de firma
DEMO
ndice
InfrastructuraPKI:

Integracin y usos de la firma
CryptoApplet:
AplicacinJavaparalarealizacindefirmaelectrnica avanzada. Sufuncionamientoesmuysimple.Dadaunaentradade datosyunaconfiguracindefinidaenelservidor,un clientewebpodrrealizarunafirmadigitalsobrelos datos,ydevolvercomoresultadounarepresentacin delafirmaenelformatodefinidoenlaconfiguracin. Generacinenclientedetodoslosformatosdefirma expuestosanteriormente.
Portafirmas:
Gestindelosflujosdefirma:serie/paralelo. Interfazdeaccesounificadoalosdocumentos pendientesdefirmayfirmados. FacilitalafirmadedocumentosconCryptoApplet. Permitlafirmaenlotesdedocumentos. Generacindecopiasautnticasdelosdocumentos.
Otrasaplicaciones:

Facturaelectrnica. Digitalizacincertificadadedocumentos. Serviciosdenotarioelectrnico. Generacindelogsseguros. Recogidaspopularesdefirmas. Yunlargoetc...
Fin
Preguntas?

Infrastructura y Servicios de Firma Digital

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Infrastructura y Servicios de Firma Digital

Transféré par

Droits d'auteur :

Formats disponibles

Infrastructura y servicios de firma digital

Ricardo Borillo Domenech Universitat Jaume I

Autoridadesdecertificacin Serviciosdeverificaciondecertificados Serviciodeselladodetiempos

Uncertificadorevocadoesuncertificadoque noesvlidoaunqueseempleedentrodesu perododevigencia. Uncertificadorevocadotienelacondicinde suspendidosisuvigenciapuede restablecerseendeterminadascondiciones.

Autoridadesdecertificacin Serviciosdeverificaciondecertificados Serviciodeselladodetiempos

Servicios de verificacin de certificados

Eselacrnimode"CertificateRevocationList",que significa"listadecertificadosrevocados". UnaCRLesunalistadecertificados(ms concretamentesusnmerosdeserie)quehansido revocados,yanosonvlidosyenlosquenodebe confiarningnusuariodelsistema.

Servicios de verificacin de certificados

Cadacerificadotieneunperiodomximodevalidezque oscilaentretresycincoaos.Lafechadecaducidadviene indicadaenelpropiocertificadodigital. Existenotrassituacionesquepuedeninvalidarelcertificado digitalancuandonohacaducado,demanerainesperada:

Robodelaclaveprivada Desaparecelacondicinporlaqueelcertificadofue expedido. Elcertificadocontieneinformacinerrneao informacinquehacambiado. Unaordenjudicial.

Servicios de verificacin de certificados

Servicios de verificacin de certificados

Determinaelestadoderevocacindeuncertificado digitalX.509usandootrosmediosquenoseanel usodeCRL. LosmensajesOCSPsecodificanenASN.1y habitualmentesetransmitensobreelprotocolo HTTP.Lanaturalezadelaspeticionesyrespuestas deOCSPhacequealosservidoresOCSPseles conozcacomo"OCSPresponders".

Servicios de verificacin de certificados

Autoridadesdecertificacin Serviciosdeverificaciondecertificados Serviciodeselladodetiempos

Servicio de sellado de tiempos

ElselladodetiempooTimestampingesun mecanismoonlinequepermitedemostrarqueuna seriededatoshanexistidoynohansidoalterados desdeuninstanteespecficoeneltiempo. UnaAutoridaddeSelladodeTiempoactacomo tercerapartedeconfianzatestificandola existenciadedichosdatoselectrnicosenuna fechayhoraconcretos.

Servicio de sellado de tiempos

Autoridadesdecertificacin Serviciosdeverificaciondecertificados Serviciodeselladodetiempos

XMLSignature XAdES:PerfilesBES,EPES,T,C,X,XLoA OpenOffice:OpenDocument CMS/PKCS#7. CAdES. FirmaPDF. FirmaPDFPAdES.

Autoridadesdecertificacin Serviciosdeverificaciondecertificados Serviciodeselladodetiempos

Integracin y usos de la firma

Integracin y usos de la firma

Gestindelosflujosdefirma:serie/paralelo. Interfazdeaccesounificadoalosdocumentos pendientesdefirmayfirmados. FacilitalafirmadedocumentosconCryptoApplet. Permitlafirmaenlotesdedocumentos. Generacindecopiasautnticasdelosdocumentos.

Integracin y usos de la firma

Facturaelectrnica. Digitalizacincertificadadedocumentos. Serviciosdenotarioelectrnico. Generacindelogsseguros. Recogidaspopularesdefirmas. Yunlargoetc...

Vous aimerez peut-être aussi