Temtica 1. Seguridad 2. Por qu necesitamos seguridad? 3. Puede la criptografa ayudarnos? 4. Certificados Certificacin 5. Roles en la operacin de PKI 6. Interoperabilidad 7. Qu es PKI?
Seguridad 1. Un error comn es: sistemas son seguros o no son seguros. 2. Sin embargo, en el mundo real, hay sistemas ms seguros y menos seguros, pero la seguridad perfecta es inalcanzable. 3. Surge la necesidad de encontrar procedimientos tcnicos y legales que aseguren la confiabilidad de los documentos electrnicos.
Por qu necesitamos seguridad? E
Esta es la arquitectura general de un sistema de telfono en la banca. El banco hace el papel de proveedor de servicios (SP), y El usuario del telfono pblico (corto para el usuario) necesita una plataforma de lanzamiento de su telfono mvil para comunicarse con el servidor de aplicaciones situado en el banco.
Application Client
Service Provider (SP) Telco (Tel. company) MIDP Client internet Applicati on Server Database Server Por qu necesitamos seguridad? 1. La aplicacin proporciona un servicio basado en suscripcin. Los usuarios pueden suscribirse ingresando un nombre de usuario y PSSWD en el dispositivo mvil. 2. Los usuarios necesitan alguna manera de probar su identidad en el servidor por lo que su informacin de suscripcin se puede verificar en la base de datos. Llamada: Autenticacin 3. El sistema debe garantizar la confidencialidad, lo que significa que la informacin privada se mantiene privado.
Un sistema seguro proporciona funciones de PAIN:
P = privacidad (confidencialidad)
A = Autenticacin
I = Integridad
N = No repudio Por qu necesitamos seguridad?
Application Client
Service Provider (SP) Telco (Tel. company) MIDP Client internet Application Server Un espa con un receptor de radio puede interceptar el trfico de datos entre un telfono mvil y una torre de celular local. Un espa con un analizador de paquetes puede interceptar el trfico de datos en cualquier punto de la ruta de acceso a Internet entre el dispositivo y el servidor. Un atacante puede entrar en el servidor o base de datos, robar informacin o destruir el software de servidor. Los ataques ms elaborados son posibles, que van desde la suplantacin de identidad del servidor (creacin de una mquina para lucir y actuar como el servidor) a la ingeniera social (pidiendo a los usuarios de las contraseas o nmeros de tarjetas de crdito con el pretexto de prestar apoyo tcnico). El dispositivo cliente puede ser robado. Puede la criptografa ayudarnos?
Encriptar: es una funcin con una clave determinada, que puede calcular la entrada de texto en un texto cifrado. Desencriptar: es una funcin inversa de la codificacin predefinidos, y con la tecla.
Application Client
Service Provider (SP) Telco (Tel. company) MIDP Client internet Application Server Qu es criptografa? Texto encriptado [bmtalhelittsiliassahayrkamey] (Entrada de texto): [Mara tiene un corderito] Puede la criptografa ayudarnos?
Encripcin: Clave: (Esta es una clave) Paso 1. Invertir la entrada de texto [Bmal elttil un sah Yram] Paso 2. Poner en clave entre los caracteres de la entrada de texto
Qu es criptografa? Texto encriptado [bmtalhelittsiliassahayrkamey] (Entrada de texto): [Mara tiene un corderito] [bmTalhelittsiliassahayrkaMey] Un sistema de cifrado es un algoritmo til para mantener los datos confidenciales. Se puede traducir entre peridica de datos, llamado texto plano , y de forma encriptada de los datos, llamada texto cifrado. Puede la criptografa ayudarnos? Hay dos tipos de sistemas de cifrado, simtrica y asimtrica. Un algoritmo de cifrado simtrico utiliza una nica clave para el cifrado y descifrado. "Puntos dbiles": Sistemas de cifrado simtrico puede ser complicado debido a que tanto las personas que utilizan el sistema de cifrado debe tener la misma clave. Una persona puede generar la clave, pero debe ser transmitida con seguridad a la otra persona.
Los datos cifrados con una clave se puede descifrar con la otra llave. 1. sistemas de cifrado asimtricos utilizan un par de claves, dos claves que estn relacionados entre s. 2.Se trata de una clave pblica, la otra es una clave privada. 3. La clave pblica puede ser distribuido libremente sin comprometer la seguridad, la clave privada debe mantenerse privada. Clave Imagnese cmo teclas pares podra funcionar en la prctica: Alguien que quiera enviar un mensaje secreto puede cifrar utilizando la clave pblica y enviar el texto cifrado para usted. T eres la nica persona que puede descifrar el texto cifrado con su clave privada en su ordenador o tarjeta de IC-, si usted mantenga siempre la clave privada en forma segura. Puede la criptografa ayudarnos? Certificacin y PKI Un sistema seguro debera de proveer las siguientes funciones
P = Privacidad
A = Autenticacin
I = Integridad
N = No repudio
Se puede lograr aplicando Cifrado Asimtrico Porque: Si hay algn poco de prdida en la transmisin, el receptor no puede descifrarel msg con la tecla correspondiente.
Un certificado criptogrfico ofrece una solucin A solution:
Un certificado es un contenedor de una clave pblica. Es un documento electrnico que dice algo as como "Violeta certifica que la clave pblica de Pablo tiene este valor". El certificado incluira informacin sobre Violeta, la informacin sobre Pablo, y el valor de la clave pblica de Pablo. Todo esto sera firmado por Violeta. El certificado permite la extensin de la confianza. Por lo tanto, si conoce la clave pblica de Violeta, y si usted piensa que ella es confiable y un buen juez del carcter, y si usted puede verificar la firma del certificado, entonces usted puede estar bastante seguro de que la clave pblica de Pablo tiene el valor que figura en el certificado. Cmo encontrar la clave pblica de alguien? Dnde guarda su clave privada? Supongamos que alguien que no conoces, Pablo, le enva un mensaje con una firma. Usted necesita obtener su clave pblica para verificar la firma. Cmo conseguirlo? Cmo sabes que tienes verdadera clave pblica de Pablo y no una falsificacin? Certificacin y PKI
Certificado de Pablo firmado por Violeta Certificado de Violeta firmado por Henry Certficado de Henry firmado por el Rey de Inglaterra Podra confiar en Violet?? Yo confo en Violeta pero cmo se que su certificado es confiable?? Certficado del Rey. Autofirmado Confas en el Rey de Inglaterra? Certificacin y PKI Confo en Henry, pero cmo s que su certificado es confiable?? Realmente hemos cambiado slo el problema, sin embargo. Bien, la clave pblica de Violet verifica la clave pblica de Pablo, pero que verifica la suya, y cmo conseguirlo? Dnde est el final de la cadena? Cmo podra confiar en el certificado de Pablo
Certificado de Pablo firmado por Violeta Certificado de Violeta firmado por Henry Certficado de Henry firmado por el Rey de Inglaterra Podra confiar en Violet?? Yo confo en Violeta pero cmo se que su certificado es confiable?? Certficado del Rey. Autofirmado Confas en el Rey de Inglaterra? Certificacin y PKI Confo en Henry, pero cmo s que su certificado es confiable?? Este tipo de certificado que se llama un certificado raz. Las empresas o instituciones que los utilizan para firmar otros certificados se denominan entidades emisoras de certificados (CA). Entidades emisoras de certificados raz de generar sus propias y distribuir lo ms ampliamente posible. El problema con los certificados con firma personal es que cualquier persona puede generar una, que afirma ser el Rey de Noruega. La confianza en los certificados raz se basa en el hecho de que son ampliamente publicadas, haciendo que sean difciles de falsificar. Si usted tiene un certificado raz en la mano, usted debera ser capaz de verificar su validez mediante la comparacin de su firma a la firma publicados en el sitio web de la entidad emisora. Out-sourcing to TWCA FRCA Financial Root Certificate Authority FPCA Financial Policy Certificate Authority FUCA 1 Financial User Certificate Authority RA 1-1 Registration Authority Users 1-1 Certificate User Bank Association Bank Association TWCA Bank 1 RA 1- 2 Bank 2 Users 1-2 FUCA 2 HiTRUST RA 2- 4 Bank 4 Users 2-4 RA 2- 3 Bank 3 Users 2-3 PMA Poltica de rgano de Gestin La PKI de los servicios financieros xml de Taiwn
SP Proveedor de servicio
CA Autoridad de certificacin
RA Autoridad de Registro
Usuario Aplica para certificado Procesa la aplicacin a la certificacin Usuario enva una solicitud de servicio al proveedor de servicio con su certificado. CA emite un certificado al usuario Registro / Autenticacin / Autorizacin / Roles en la Operacin de PKI Usuario de + SP + RA + CA Servicio Proveedor Autoridad Autoridad Servicio Registro Certificacion 17
SP Proveedor de servicio
CA Autoridad de Certificacin
RA Autoridad de Registro
Usuario de Servicio/aplicacin Suscriptor. Se le expide un certificado. El beneficiario de un certificado que acta confiando en el certificado y las firmas digitales. Registro de Autoridad: Una entidad que es responsible de uno o ms de las siguientes funciones: 1. La identificacin y autenticacin de los solicitantes de certificados 2. Aprobacion o rechazo de las solicitudes de certificados 3. Iniciar revocaciones de certificados o suspensiones en determinadas circunstancias 4. Tramitacin de las solicitudes de abonado para revocar o suspender sus certificados 5. Aprobar o rechazar las solicitudes de los abonados para renovar sus certificados de clave. 6. Los RA s no firman o emiten certificados (RA es un delegado de determinadas tareas en nombre de una CA. Autoridad de Certificacin Opera el mecanismo de certificacion incluyendo la emision y el mantenimiento de los certificados.
Roles en la Operacin de PKI
1. PKI es una Infraestructura 2. PKI es neutral, y se supone que no est diseado para cualquier aplicacin especfica. 3. Idealmente , un certificado puede ser aplicado a mltiples aplicaciones. Sin embargo, prcticamente cada aplicacin tiene su propio nicho. El grado en que la parte que confa puede confiar en el enlace incorporado en un certificado depende de varios factores, incluyendo: 1. Las prcticas seguidas por la entidad emisora de certificados (CA) en la autencin del sujeto. 2. La poltica de funcionamiento de la CA, procedimientos y controles de seguridad. 3. El alcance de las responsabilidades del abonado (por ejemplo: en la proteccin de la clave privada). 4. Las responsabilidades establecidas y los trminos de responsabilidad y condiciones de la entidad emisora (por ejemplo: garantas, renuncias de garantas y limitaciones de responsabilidad. El Proveedor de servicio tiene la ltima palabra, tendr que considerar: 1. Costo 2. Riesgo 3. Usabilidad Roles en la Operacin de PKI Interoperabilidad
Usuario final de certificado EU solicita un servicio pblico en lnea EU: Puedo tener este servicio a travs de internet? GV: Claro que s, pero necesita un certificado. EU: Est bien, deme uno. GV: Con mucho gusto. EU solicita un servicio bancario EU: Puedo tener una cuenta de cheque digital a travs de mi certificado emitido por el gobierno?? BK: Lo siento pero por regulaciones internas usted puede tener una cuenta de cheque electrnica solo cuando usted tiene un certificado emitido por la entidad financiera nacional de PKI. EU: Quiere usted decir que el certificado del gobierno no puede representarme legalmente? BK: Lo siento, no quise decir eso. Pero aqu, debemos de seguir reglas impustas por la Asociacin de Bancos. EU: Ok. Deme un certificado que me pueda representar legalmente aqu. BK: Con gusto. Gobierno. Proveedor de servicios pblicos Banco BK proveedor de servicios electronicos bancarios Interoperabilidad
Certificate End-User EU Dr. Tu
HR: Dr. Tu, todo est listo. Lo nico que necesitamos es su certificado HS. EU: Qu? HR: Disculpe, necesita un certificado de servicio de hospital para poder accesar a los expedientes de los pacientes. EU: Tengo dos certificados: Uno de servicios pblicos del gobierno y otro para servicios financieros bancarios. Puedo usarlos? HR: Disculpe pero por regulaciones de la ley de salud, un doctor puede accesar a los expedientes de sus pacientes solo a travs de un certificado HS EU: Qu mundo maravilloso!!! Cuantos certificados necesito ???? EU: Ok, deme uno. HR: Con gusto. El nuevo empleador del Dr. Tu. Un hospital. HR Interoperabilidad
CA universal Qu mundo ms maravilloso!! Certificado universal Usuario final del certificado EU Dr. Tu El nuevo empleador del Dr. Tu. Un hospital. HR Proveedor de servicios bancarios electronicos BK. Proveedor de servicios pblicos Interoperabilidad
Cmo interoperar? Tenemos la misma sintaxis en cada parte del certificado. Pero contiene diferente contexto. Lo que significa que las aplicaciones los interpreta de forma diferente. Pero qu pasa con la liabilidad? Todos los certificados tienen el mismo ciclo de vida? Cuestin legal? Quines son: Proveedor de servicio, Autoridad de registro y la autoridad de certificacin? Lo ms importante: Quin pagar por ello? Interoperabilidad Los problemas tcnicos son fciles de manejar
La parte fundamental es cmo hacer una solicitud para aceptar diferentes certificados o para hacer que un certificado sea aceptado por las diferentes aplicaciones. Cada CA tiene su propio PC (certificado de poltica) y CPS (declaracin de prcticas de certificacin). Quin puede tomar la decisin final? Quien ser el encargado de hacer una regulacin y que todo el mundo la siga?
Por lo tanto, la interoperabilidad es una cuestin de GESTIN y no una cuestin TCNICA. Debera de existir un departamento u organismo encargado de todo el tema de interoperabilidad.
Qu es PKI? Los factores clave de la seguridad de la Informacin
Autenticacin Autorizacin Control de acceso Contabilidad Disponibilidad Confidencialidad Identificacin
Qu es PKI? Infraestructura de Clave Pblica = PKI (Public Key Infrastructure) PKI es un conjunto de elementos necesarios para crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales: Hardware Software Recursos humanos Polticas Procedimientos Aspectos jurdicos
Qu es PKI? En criptografa una PKI es un acuerdo que une a las claves pblicas con las identidades del usuario correspondiente a travs de una entidad emisora de certificados. La identidad del usuario debe ser nica dentro de cada dominio del CA. La unin se establece a travs del proceso de registro y expedicin, que, dependiendo del nivel de garanta que la unin tiene, puede llevarse a cabo a travs de software en una CA o bajo supervisin. El rol PKI que asegura esta unin se llama Autoridad de Registro. (RA)
Qu es PKI?
Diagrama de una Infraestructura de Clave Pblica
Qu es PKI? mbito de aplicacin del regimen criptografico Simtrico Asimtrico Hybrido Elementos Claves Secretas Pblicas Relacin entre claves pblicas y secretas
Qu es PKI? Algoritmo Con clave, el mensaje es transformado de leble a no leble y viceversa. MAC(Message Authentication Code) Cdigo de Mensaje de Autenticacin.
Qu es PKI? Tcnicas de PKI Mensaje seguro Resumen del mensaje Certificado digital certificado de lista de revocacin
Componentes de PKI CA Autoridad certificadora RA Autoridad de Registro
Qu es PKI? Aplicacin Digital Integridad Integridad de la entidad Integridad de los datos Lo digital envuelve confidencialidad.
Qu es PKI? Certificado de Repositorio Sistemas y aplicaciones PKI permitidos PKI Tokens La seguridad de la empresa se puede mejorar mediante la utilizacin de tokens como la lnea de base para la autenticacin del usuario y la certificacin. mbito de aplicacin Hardware Tokens Software Tokens