Post on 02-Mar-2015
CERTIFICADOS DIGITALES
SEGURIDAD INFORMÁTICA
Expositor: RONALD SERNArserna@utp.edu.pe
Contenidos
I. Overview.
II. Fundamentos de seguridad TI.
III. Fundamentos de Certificados Digitales: Criptología.
IV. Aplicaciones en TI
V. Demo.
VI. Preguntas
I. Overview
Overview
• La Internet es una red pública no segura.
• Transacciones Web configura un protocolo seguro que viaja por IP: Certificados Digitales.
• http es por naturaleza sin estado.
Overview
• Reconocimiento–Descubrimiento no autorizado de sistemas, servicios o vulnerabilidades.
• Acceso–Manipulación no autorizada de datos, acceso a redes o privilegios.
• Denial of Service–Negar acceso a servicios o redes.
Tipos de amenazas en la Red
Overview
Análisis de Riesgo
Definición de Política de Seguridad
Implementación de Medidas de
Protección
Cumplimiento de Políticas
Monitoreo y Revisión
“La seguridad no es un producto, es un proceso continuo”
Ciclo De Seguridad
II. Fundamentos de Seguridad
Fundamentos de seguridad TI
• Preservación de la confidencialidad, integridad y disponibilidad de la información.
(ISO/IEC 17799:2000).
Fundamentos de seguridad TI
• Confidencialidad:– Asegura que la información es
accesible sólo a aquellos autorizados a tener acceso.
AUTENTICACIÒNAUTORIZACIÒN
Fundamentos de seguridad TI
• Integridad:– Protege la exactitud y totalidad de la
información.
Fundamentos de seguridad TI
• Disponibilidad:– Asegura que los usuarios autorizados
tienen acceso a la información y bienes asociados cuando lo requieren.
Fundamentos de seguridad TI
Datos Datos Datos Datos
Información Segura
III. Fundamentos de Certificados Digitales: Criptología
Contenidos
• Conceptos• Cifrado Simétrico.• Cifrado de llaves públicas.• Firmas digitales.• Infraestructura de llaves públicas
(PKI)
Conceptos GeneralesDefiniciones
• Criptografía:– Arte de proteger la información al transformarla
en un texto cifrado. Sólo quienes poseen una llave secreta pueden descifrar el mensaje.
• Criptoanálisis:– Técnicas para descifrar mensajes cifrados.
• Criptología.– Comprende la criptografía y el criptoanálisis.
Conceptos GeneralesDefiniciones
• Cifrado: (Encryption).– Traslación de datos en un código secreto.– Brinda confidencialidad de datos.– Tipos: simétrica y asimétrica.
• Descifrado: (Decryption).– Proceso de decodificar datos que han sido
cifrados.– Requiere de una llave secreta o contraseña.
CriptografíaEsquema General
Mensaje enformatoplano
Texto Plano
Mensaje enformatoplano
Texto Plano
ia5f47a87afat7a687f87art747h3h44s7s7r89s
Texto Cifrado
1 2 3
LLave Secreta LLave Secreta
CIFRADO DESCIFRADO
CriptografíaClasificación de sistemas criptográficos
• Sistemas de llave simétrica.– Uso de llave única.
• Sistemas de llave pública.– Uso de dos llaves.
Cifrado Simétrico
Cifrado Simétrico
• Llave común para cifrar y descifrar el mensaje.
• Ventaja: Simple y rápido.• Desventaja: intercambio de llaves.
Cifrado SimétricoEsquema General
Mensaje enformatoplano
Texto Plano
Mensaje enformatoplano
Texto Plano
ia5f47a87afat7a687f87art747h3h44s7s7r89s
Texto Cifrado
1 2
3
Cifrado SimétricoEjemplos de algoritmos
• DES: Data Encryption Standard.• 3DES: Triple DES.• AES: Advanced Encryption
Standard.• IDEA: International Data Encryption
Algorithm.
Cifrado SimétricoDES: Data Encryption Standard
• Sistema de cifrado simétrico más popular.
• Desarrollado por IBM en 1970.• Estándar ANSI X.3.92. (1981).• Trabaja con bloques de 64 bits y
llave de 56 bits.• Referencias:
– http://www.itl.nist.gov/fipspubs/fip46-2.htm.
Cifrado Simétrico3DES: Triple DES
• Cifrado de un texto tres veces con el des.
• Modalidades:– DES-EEE3.– DES-EDE3.– DES-EEE2.– DES-EDE2.
Cifrado SimétricoAES: Advanced Encription Standard
• Reemplaza a DES en el gobierno de EEUU desde octubre 2000.
• Trabaja con bloques de 128 bits y llaves de 128, 192 y 256 bits.
• Referencias:– http://csrc.nist.gov/encryption/aes/.– http://www.esat.kuleuven.ac.be/~rijmen/
rijndael/.
Cifrado SimétricoIDEA
• Es considerado muy seguro.• Patentado por Ascom-Tech.• Es libre para uso no comercial.• Trabaja con bloques de 64 bits y
llave de 128 bits.• Referencias:
– http://www.ascom.ch.
Cifrado de Llaves Públicas
Cifrado de Llaves Públicas
• Inventada en 1976 por Diffie y Hellman.• Ventajas: mayor seguridad.• Desventajas: mayor procesamiento.• Utiliza 2 llaves independientes pero
relacionadas matemáticamente:– Una pública, otra privada.– Asimétricas: lo que se cifra con una se descifra
con la otra.– A partir de una no se puede deducir la otra.
Cifrado de Llaves Públicas Esquema General
1Las llaves públicasson intercambiadas
2
3
Servidor A
Privada Pública
A B
2
3
Servidor B
PrivadaPública
A B
Se calcula la llave utilizandoDiffie-Hellman
Llave secreta compartida(Llave de sesión básica)
Usada entre A y B
Cifrado de llaves públicasEjemplos de algoritmos
• RSA.• PGP: Pretty Good Privacy.• EEC: Ellictic Curve Criptography.
Cifrado de llaves públicas RSA
• Utilizado en transmisión de datos por internet.
• Inventado por Rivest, Shamir y Adelmar.
• Basado en dificultad de multiplicar dos números primos grandes.
• Referencia:– http://www.rsasecurity.com/.
Cifrado de llaves públicas PGP: Pretty Good Privacy
• Desarrollada por Philip Zimmerman.• Muy utilizada en seguridad de correo
electrónico.• Técnica efectiva, fácil de usar y libre para
uso no comerciales.• Se basa en una combinación de cifrado
simétrico y llaves públicas.• Referencias:
– The International PGP Home Page http://www.pgpi.org/.
Cifrado de llaves públicas ECC: Elliptic Curve Cryptography
• Utilizado en aplicaciones móbiles.• Se basa en las propiedades de la
ecuación de una curva elíptica.– Usa llaves más cortas que RSA.– Más rápido y requiere menos recursos de
procesamiento.
• Referencias:– The IEEE P1363 Home Page. Standard
Specifications For Public-Key Cryptography.– http://grouper.ieee.org/groups/1363/.
Firmas Digitales
Firma digital
• Código digital que se adjunta a un mensaje transmitido electronicamente para identificar al origen.
• Se genera usando una función hash.• Se utiliza ampliamente en comercio
electrónico.• Funciones:
– Integridad de datos.– No-repudiación de origen.
Firma DigitalFunción Hash
• Se aplica a un bloque de datos de cualquier longitud.
• Produce un resultado de longitud fija.
• Del resultado no se puede deducir el mensaje original.
• Es muy improbable que otro bloque produzca el mismo resultado.
• Algorimos: MD5, MD4, SHA.
Firma DigitalMD5
• Algorimo creado por R.Rivest en 1991.
• Usado para crear firmas digitales.• Utiliza resumen de 128bits.• Más seguro y menos rápido que
MD4.• Referencias:
– The MD5 Message-Digest Algorithm http://www.ietf.org/rfc/rfc1321.txt?number=1321.
Infraestructura de llaves públicas
Infraestructura de llaves públicas (PKI)
• PKI: Public Key Infrastructure.• Sistema de certificados digitales y
autoridades certificadores.• Verifica y autentica la validez de una
transacción en Internet.• Arquitectura jerárquica.
PKIAplicaciones
• Correo electrónico seguro.
• Acceso seguro a aplicaciones.
• Sign-on reducido.• Cifrado de archivos de
estaciones.• Trasacciones SSL.• VPNs IPSEC.
PKIComponentes
• Autoridad certificadora (CA).– Emite y verifica los certificados digitales.– El certificado incluye información de la llave
pública.
• Autoridad registradora (RA).– Verificador de la autoridad certificadora antes
de emitir un certificado digital.
• Directorios de almacenamiento de certificados (y llaves públicas).
• Sistema de administración de certificados.
Certificado digital
• Contiene:– Llave pública.– Identifica al dueño de la llave privada.
• Son emitidos por una autoridad certificadora (CA:certificate authority).
• Garantizan la vinculación entre la identidad de algo o alguien y su clave pública.
• Usan estándar X.509.
X.509.
• UIT: Uniòn Internacional de Telecomunicaciones: Estándar más utilizado para definir certificados digitales.
• CERTIFICADO UTILIZADO POR LO NAVEGADORES: Netscape y Microsoft utilizan X.509 para implementar SSL en sus servidores web y browsers.
• USA MD5 y clave privada RCA• Referencias:
– http://www.itu.int.
Autoridad certificadora
• Garantiza que las partes de una transacción electrónica sean quienes dicen ser.
• Funciones:– Generar certificados digitales.– Revocar certificados digitales.
Autoridad CertificadoraEsquema de Funcionamiento
Sitio de Registro del Certificado
1. El cliente solicita CertificadoDigital por intermedio de laAutoridad de Registro (RA)
2. La RA realiza la identificacion yautenticación (I&A) en todos los
requerimientos de certificado
CA3
Autoridad Certificadora
CA2
CA1
3. RA solicita la emisión deun certificado desde la
infraestructura CA
5. El certificado digital esentregado al cliente final
Usuario propietariodel certificado
4. CA genera un certificadodigital en favor del clienteOBTENCIÓN DE
CERTIFICADODIGITAL
Sistema de Registro
Autoridad CertificadoraEjemplos
• Baltimore Technologies, www.baltimore.com• Certicom, www.certicom.com• Computer Associates eTrustPKI, www.ca.com • Entrust, www.entrust.com• GeoTrust, www.geotrust.com• Identrus DST, www.identrus.com • MS Windows 2000, www.microsoft.com• Novell Certificate Server, www.novell.com • RSA Security Keon, www.rsa.com• VeriSign, www.verisign.com
IV. Aplicaciones en TI
Kerberos
KerberosMecanismo criptográfico
Cliente (C)
Servidor deAutenticación (AS)
ServidorDestino (S)
1
2
5
6
Servidor deTickets (TGS)
3
4
KerberosIntercambios de información
C C,S AS
C KC(KS(t), KTGS(A,KS)) AS
C KTGS(C, KS), S, KS(t) TGS
C KS(S, KC-S), KS(A, Kc-s) TGS
C KS(A, Kc-s) , K c-s (mensaje) S
C K c-s (respuesta) S
RSA
RSATeoría
• Paso 1: Seleccionar p y q.– 2 números primos grandes: (mayores que
10100).
• Paso 2: Calcular n y z.– n = p x q.– z = (p-1) x (q-1).
• Paso 3: Seleccionar d.– d = número primo con respecto a z.
• Paso 4: Encontrar e.– e x d = 1 mod z.
RSAFuncionamiento
• Paso 5: Dividir los datos en P bloques de k bits.– Donde: 2k < n.
• Paso 6: Para cifrar C=Pe (mod n).– Clave pública (e,n).
• Paso 7: Para descifrar P=Cd (mod n).– Clave privada (d,n).
RSAEjemplo Simple
• Paso 1: Elegimos p=3, q=11.• Paso 2: Calculamos n=33, z=20.
– n = p x q, z = (p-1) x (q-1).
• Paso 3: Seleccionamos d=7.– 7 es primo con 20.
• Paso 4: Encontramos e=3.– ex7=1(mod 20).
RSAEjemplo Simple
• Sea el texto “SUZA.”– En forma numérica: 19 21 26 1.
• Paso 6: Para cifrar C=P3 (mod 33).– P3 =6859 9261 17576 1.– C=28 21 20 1.
• Paso 7: Para descifrar P=C7 (mod 33).– C7 = 13492928512 1801088541 1280000000 1.– P = 19 21 26 1 “SUZA”.
V. Demo: Transacciones Web
Transacción Web
Mecanismos de protección
• SSL (Secure Sockets Layer)– HTTPS (HTTP over SSL)
• SET (Secure Electronic Transaction)
SSLSecure Sockets Layer
• Protocolo muy usado para manejar la seguridad de la transmisión de un mensaje por Internet.– Trabaja entre las capas HTTP y TCP.– Es incluído como parte de los
navegadores Microsoft y Netscape y la mayoría de productos de servidores web.
SSL
– Desarrollado por Netscape.– El término "sockets" se refiere al
método de pasar datos entre programas cliente y servidor o entre diferentes capas de programa de un mismo computador.
SSL
– Utiliza sistema de cifrado de llaves públicas y privadas de RSA.
– Incluye uso de certificado digital.– Su sucesor es TLS (Transport Layer
Security) RFC2246.– TLS y SSL están integrados en la
mayoría de navegadores y servidores web, y no son interoperables.
SSL
HTTPS
• HTTPS (Hypertext Transfer Protocol over Secure Socket Layer, o HTTP over SSL)
• Protocolo web desarrollado por Netscape.– Cifra y decifra los requerimientos de página de
un usuario y las páginas del servidor Web.– Es el uso de SSL como una subcapa de la
aplicación HTTP.– Utiliza puerto 443 (En lugar de 80).
HTTPS
• HTTPS y SSL soportan el uso de certificados digitales X.509 en el servidor.– El usuario puede autenticar el origen.
• No confundir con S-HTTP.– Versión mejorada en seguridad de
HTTP desarrollada y propuesta como estándar por EIT.
HTTPS
• Acceso a páginas seguras.
HTTPS
• Identificador de página segura– Netscape
– Internet Explorer
HTTPS
• Certificado digital
Configurando un servidor web
• Configuración de IIS 6.0.• Visualización de la Key.• Envío a una entidad certificadora.
Procesos de la entidad certificadora
• Recepción de la solicitud.• Investigación del solicitante• Autorización.• Enviando su clave pública.
Utilizando https
• Configuración de la petición.• Utilización de https.
VI. Preguntas
rserna@utp.edu.pe
Gracias.