IMPLEMENTACIN DE UNA INFRAESTRUCTURA DE CLAVE PBLICA - PKI

ASTRID LILIANA BOHORQUEZ NUBIA ESPERANZA CASTILLO GUZMAN JOSE ALVARO VARGAS NARANJO

INSTITUCION UNIVERSITARIA POLITECNICO GRANCOLOMBIANO FACULTAD DE INGENIERIA DE INGENIERIA Y CIENCIAS BASICAS BOGOTA 2.013

IMPLEMENTACIN DE UNA INFRAESTRUCTURA DE CLAVE PBLICA - PKI

ASTRID LILIANA BOHORQUEZ NUBIA ESPERANZA CASTILLO GUZMAN JOSE ALVARO VARGAS NARANJO

Conceptos Bsicos sobre infraestructura de clave pblica - PKI Modelo de Arquitectura para una posible implementacin de una infraestructura de clave pblica

VIVIANA MORA DOCENTE

INSTITUCION UNIVERSITARIA POLITECNICO GRANCOLOMBIANO INGENIERIA DE SISTEMAS NOVENO SEMESTRE 2.013

Contenido

INTRODUCCION 1. Conceptos Bsicos sobre infraestructura de clave pblica - PKI 1.1. Que es una PKI 1.2. Cuales son sus Usos 1.3. Cuales son los riesgos asociados al no uso de una PKI 1.4. Cuales son los beneficios de implementar una PKI 1.5. Citar ejemplos de PKI

2. Modelo de Arquitectura para una posible implementacin de una infraestructura de clave pblica 2.1. Un diagrama de una RED Corporativa (local o global) 2.2. Los elementos requeridos para el montaje de una PKI 2.3. Implementacin de cada componente dentro del diagrama de red. 2.4. Poltica para la emisin de certificados en una organizacin 2.5. Funcionamiento de cada componente dentro del diagrama de red Corporativa citando ejemplos y haciendo un flujo de actividades

REFERENCIAS

INTRODUCCION

Una infraestructura de Clave Pblica (PKI) le permite a una compaa contar con sistemas de autenticacin, controles de acceso, confidencialidad y no repudio para sus aplicaciones en redes, usando tecnologa avanzada, tal como firmas digitales, criptografa y certificados digitales.

Este tipo de infraestructura se basa, en el cifrado de clave pblica, sobre todo en la cifra RSA, por dos razones: Porque fue la primera en patentarse y porque sus inventores crearon escuela al formar la empresa que hoy es ms importante en el desarrollo e implantacin de Infraestructuras de Clave Pblica: RSA Data Security Inc y su filial certificadora Verisign.

Este trabajo describe en primera lugar las claves para entender la Infraestructura de Clave Pblica (definicin, tecnologas usadas, objetivos que busca), algunas herramientas usadas para su implantacin y los problemas que se pueden encontrar al hacerlo.

Para terminar se plantea un modelo de arquitectura para una posible implementacin de una estructura de clave PKI.

1. CONCEPTOS BSICOS SOBRE INFRAESTRUCTURA DE CLAVE PBLICA - PKI

1.1.

Que es una PKI

La infraestructura de clave pblica PKI, es un conjunto de elementos de infraestructura necesarios que permiten la ejecucin con garantas de operaciones criptogrficas como el cifrado, la firma digital y el no repudio de transacciones electrnicas. Esta tecnologa se utiliza para que los usuarios puedan autenticarse frente a otros usuarios y aplicar certificados de identidad al momento de obtener la informacin que se requiera, cifrar y descifrar mensajes, confirmacin de un envo sin que exista repudio y realizar firmas digitales. El uso de esta tecnologa consiste en que el usuario del sistema se registra, obtiene un nombre de usuario que vendra ser pblica y la contrasea que claramente es privada, utilizando algoritmos asimtricos. La clave pblica es utilizada a travs de Autoridades Certificantes que publican estas claves junto con los certificados de quien pertenece; la clave privada se mantiene secreta y no puede ser publicada por ningn motivo. Para algunos casos se utilizan medios magnticos, token o en tarjetas inteligentes con Chip. La PKI es un protocolo que trata de describir los procesos organizativos necesarios para la gestin de certificados digitales de claves pblicas para el intercambio seguro de informacin, que permite firmar digitalmente un documento electrnico (un email, el cdigo de un programa, una transaccin bancaria, unos anlisis mdicos), o permite identificar a una persona o empresa en Internet, o permite acceder a un recinto o servicio restringido. Las PKIs, son sistemas mixtos hardware/software, basados en diferentes agentes que permiten dotar a mquinas y usuarios de Certificados Digitales de Identidad.

1.2.

Cuales son sus Usos

Los usos son innumerables, podemos citar entre otros, los siguientes usos de la tecnologa PKI: Autenticacin de usuarios y sistemas como el login: Este nos permite realizar una gestin ideal de administracin en cuentas y tener un nivel de confianza ms alto. Identificacin del interlocutor: Reconocer al usuario entre la comunicacin. Cifrado de datos digitales: Nos permite la confidencialidad de los datos. Firmado digital de datos: Se logra identificar la autenticacin de origen del mensaje. Asegurar las comunicaciones: Se obtiene confidencialidad del trfico de los datos Garanta de no repudio: como el negar que cierta transaccin tuvo lugar.

1.3.

Cuales son los riesgos asociados al no uso de una PKI

Existen slo diecisiete pases en el mundo con un marco legal establecido por sus respectivos gobiernos en el desarrollo de tecnologa PKI. Esto nos da una idea de en que situacin se encuentra la utilizacin de las Infraestructuras de Clave Pblica: en paales, aunque hay que tener en cuenta que el RSA se public en 1997. Como ancdota patritica comentar que Espaa fue uno de los primeros pases que se subi al carro. En concreto en 1999, pero esto se comenta en el siguiente punto. La situacin en Europa es muy distinta de la estadounidense. En Estados Unidos reina una mayor libertad de mercado, porque las reglas no siempre son claras. Por el contrario, en Europa la Directiva de Firma Electrnica y las correspondientes leyes nacionales sobre la materia han restringido el mbito en el que se pueden mover los prestadores de servicios de

certificacin y los proveedores de estas tecnologas. Esto es, en Europa los gobiernos deciden qu dispositivos de certificacin son seguros y quin puede convertirse en prestador de servicios de certificacin. Adems, en los pases de la Unin Europea suele haber una autoridad auspiciada por el gobierno con vocacin de establecerse como prestador de servicios genrico para facilitar el acceso a la firma electrnica por parte de los ciudadanos, como Ceres en Espaa o las fbricas de moneda y timbre de cada pas. Evidentemente la situacin de las administraciones pblicas no tienen nada que ver con el entorno privado y estas se han desarrollado de forma mucho ms rpida, espoleadas por el boom de las empresas punto com y por la rpida implantacin de productos de distribucin de claves y comunicaciones seguras en grandes empresas (como los bancos por ejemplo). Aunque esta implantacin no se produjo de cara al cliente final.

Los fabricantes de tecnologa PKI que se crearon confiando en el boom de final del siglo pasado se han dado un buen porrazo debido a varios factores entre los que se encuentran el famoso 11-S o la ralentizacin de la adopcin masiva del comercio electrnico. Slo aquellos que se han diversificado en otros campos (como las otras necesidades de las 3A) son las que se han mantenido y confan en un futuro muy prometedor.

En general, el mercado mundial de software y servicios de securizacin en 2001 fue de 12.045 millones de euros, en 2002 ser de 15.455 millones de euros, y para el ao 2005 alcanzar 34.432 millones de euros. Tambin de acuerdo con la misma consultora, el mercado mundial de PKI en 2001 supuso 738 millones de euros, en 2002 alcanzar los 1.106 millones, y para 2005 ser de 2.955 millones. Fuente: Datamonitor.

Algunos riesgos asociados al no uso de la tecnologa PKI, son: La informacin del usuario est expuesta a cualquier otro usuario.

 Sin esta seguridad el sistema est expuesto a robos de informacin, datos bancarios, etc No tener claridad en la identidad del usuario Prdida de tiempo y costos en el anlisis de autenticacin del usuario Procesos dispendiosos e intiles Intranquilidad de los usuarios a utilizar el sistema.

1.4.

Cuales son los beneficios de implementar una PKI

Los objetivos que persigue una PKI, se consigue gracias a la propiedades de la criptografa de clave pblica, y son los siguientes: Autentificacin de usuarios: Asegurar la identidad de un usuario, bien como signatario de documentos o para garantizar el acceso a servicios distribuidos en red, ya que slo l puede conocer su clave privada, evitando as la suplantacin. No repudio: Impedir que una vez firmado un documento el signatario se retracte o niegue haberlo redactado. Integridad de la informacin: Prevenir la modificacin deliberada o accidental de los datos firmados, durante su transporte, almacenamiento o manipulacin. Auditabilidad: Identificar y rastrear las operaciones, especialmente cuando se incorporan marcas de tiempo. Acuerdo de claves secretas: para garantizar la confidencialidad de la informacin intercambiada, est firmada o no.

En una tecnologa PKI es fundamental la implementacin ya que se obtienen beneficios como las siguientes:

1. Los certificados contienen informacin comprobable vinculada con la identidad del usuario, permitiendo con esto la autenticacin real del usuario y no basado en direcciones IP donde puedan ser dinmicas, nombres de dominio y direcciones de correo donde puedan ser vigiladas. 2. Las claves no viajan a travs de la red

3. Los certificados garantizan la validez de la informacin y estos deben estar emitidos por una autoridad de certificacin reconocida. 4. Permite mejorar los procesos de negocio, optimizando tiempos, gestin de errores y reduciendo costos. 5. Aumento en la satisfaccin del cliente, los usuarios pueden utilizar la tecnologa desde cualquier sitio y en cualquier instante.

1.5.

Citar ejemplos de PKI

Algunos ejemplos de PKI

Comunicaciones entre servidores y buscadores de internet Correo electrnico Intercambio electrnico de datos (EDI) Transacciones con tarjeta de crdito en internet Redes privadas virtuales (VPN) Cifrado y/o autenticacin de documentos

2. MODELO DE ARQUITECTURA PARA UNA POSIBLE IMPLEMENTACIN DE UNA INFRAESTRUCTURA DE CLAVE PBLICA

2.1.

Un diagrama de una RED Corporativa (local o global)

Diagrama de una red corporativa de una compaa estndar

Diagrama de una red corporativa de una gran compaa

2.2.

Los elementos requeridos para el montaje de una PKI

Los componentes de una PKI

1. Autoridad de certificacin (CA): Es el componente responsable de establecer las identidades de los usuarios y realizan la creacin de los certificados que forman una asociacin entre la identidad y el conjunto de claves pblica y privada. 2. Autoridad de registro (RA): Es el responsable del registro y de la autenticacin inicial de los usuarios a quienes se les expide un certificado posteriormente si cumplen todos los requisitos. 3. Servidor de certificados: Este componente es encargado de expedir los certificados aprobados con la autoridad de registro. La generacin de la clave pblica para el usuario es compuesto con los datos del usuario y finalmente se firma digitalmente con la clave privada de la autoridad de certificacin. 4. Repositorio de certificados: Este componente es encargado de hacer disponibles las claves pblicas de las identidades registradas. Cuando se requiere validar un certificado se realiza la consulta en el repositorio, se verifica la firma, el estado del certificado. 5. Autoridad de sellado de tiempo: Es encargado de firmar los documentos con el objetivo de comprobar si existan antes de En el siguiente diagrama de RED, se muestra un ejemplo de los elementos.

En el siguiente diagrama de RED, se muestra un ejemplo de los elementos requeridos para el montaje de una PKI.

2.3.

Implementacin de cada componente dentro del diagrama de red

Elementos que la componen:

La PKI se basa en el cifrado de clave pblica y est formada por: Certificados Digitales, por ejemplo X509.

Una estructura jerrquica para la generacin y verificado de estos certificados formada por las Agencias de Certificacin (CA) y las Autoridades de Registro (RA) (que cumplen la funcin de sucursales de las primeras). Donde la CA es una organizacin independiente y confiable. Directorios de certificados, que son el soporte software adecuado (bases de datos) para el almacenamiento de los certificados. Por ejemplo directorios X.500 o LDAP (simplificacin del primero). Aunque no tienen por qu estar localizados en un servidor central (modelo de Tercera Parte Confiable) y estar distribuidos entre los usuarios como hace PGP (modelo de Confianza Directa). Un sistema de administracin de certificados, que es el programa que utiliza la Agencia de Certificacin o la empresa donde se ha instalado la PKI para que realice la comprobacin, la generacin, la revocacin de certificados, etc.... Y este es el producto que cada compaa intenta vender en el mercado. Mercado al que se le augura un prometedor crecimiento

2.4.

Poltica para la emisin de certificados en una organizacin

Este es un prototipo de las polticas de certificado dictadas por la compaa certificadora de firma digitales para una corporacin. La autoridad certificadora registrada debe implementar las polticas en los servicios de certificacin que incluyen la emisin, gestin, suspensin y renovacin de los certificados. Se debe desarrollar conforme a lo estipulado en el RFC 3647 Internet X.509 Public Key Infraestructure. La poltica debe incluir: Nombre e identificacin del documento Participantes en la PKI - Autoridades certificadoras - Autoridades de registro - Suscriptores - Partes que confan - Otros participantes Uso del certificado - Usos apropiados del certificado - Usos prohibidos del certificado Administracin de la poltica - Organizacin que administra el documento - Persona de contacto - Persona que determina la adecuacin de a PKI - Procedimientos de aprobacin de la PKI Definiciones y acrnimos Responsabilidades de publicacin y del repositorio - Repositorios - Publicacin de informacin de certificacin - Tiempo o frecuencia de la publicacin - Control de acceso a los repositorios Identificacin y autenticacin - Nombres, tipos de nombres - Contraseas seguras - Validacin inicial de identidad

- Autenticacin de identidad dentro de la organizacin - Autenticacin de identidad individual - Validacin de la autoridad - Criterios para interoperabilidad Reemision de llaves - Identidicacion y autenticacin para reemision de llaves y para solicitudes de renovacin. Procesamiento de solicitud de la PKI - Aprobacin o rechazo - Tiempo de para procesar solicitudes - Emisin del certificado, - Renovacin del certificado, requisitos y procesamiento. - Notificacin al suscriptor - Modificacin de certificados - Suspensin de la PKI

2.5.

Funcionamiento de cada componente dentro del diagrama de red Corporativa citando ejemplos y haciendo un flujo de actividades

A continuacin se muestra del proceso cuando se realiza una peticin por parte del usuario:

AUTORIDAD DE CERTIFICACION Entidad fiable, encargada de garantizar de forma unvoca y segura la identidad asociada a una clave pblica Recibe y procesa peticiones de certificados de los usuarios finales Consulta con una Autoridad de Registro para determinar si acepta o rehsa la peticin de certificado Emite el certificado Gestiona Listas de Revocacin de Certificados (CRLs) Renueva certificados

 Proporciona: Servicios de backup y archivo seguro de claves de cifrado Infraestructura de seguridad para la confianza, polticas de operacin segura, informacin de auditora. Nomenclatura CNI: Entidad de Certificacin (EC)

AUTORIDAD DE REGISTRO Gestiona el registro de usuarios y sus peticiones de certificacin/revocacin, as como los certificados respuesta a dichas peticiones Indica a la CA si debe emitir un certificado Autoriza la ASOCIACIN entre una clave pblica y el titular de un certificado Gestin del ciclo de vida de un certificado: Revocacin Expiracin Renovacin (extensin periodo validez del certificado, respetando el plan de claves) Reemisin del par claves del usuario Actualizacin de datos del certificado

Nomenclatura CNI: Entidad de Registro (ER)

TITULARES CERTIFICADOS Entidades finales Usuarios finales Suscriptores

PARTES UTILIZADORAS Una vez la entidad final tiene un certificado...

Hay partes que confan en el certificado para comunicarse y realizar transacciones con sus suscriptores. Las partes utilizadoras verifican los certificados, las firmas electrnicas y los caminos de certificacin.

REPOSITORIO/DIRECTORIO Los directorios proporcionan almacenamiento & distribucin de certificados & listas de revocacin (CRLs) Cuando la CA emite un certificado o CRL, lo enva al Directorio La CA tambin guarda el certificado o CRL en su base de datos local La CA utiliza LDAP (Light-weight Directory Access Protocol) para acceder a los directorios. El usuario puede obtener certificados de otros usuarios y comprobar el estado de los mismos.

AUTORIDAD DE VALIDACION Suministra informacin de forma online acerca del estado de un certificado. La VA suele proporcionar dos servicios de validacin: el tradicional, permitiendo la descarga de CRLs para que el usuario las interprete l mismo, o a travs del protocolo OCSP (Online Certification Status Protocol).

Los usuarios y las aplicaciones que deseen obtener el estado de un certificado, slo tienen que realizar una peticin OCSP contra la VA para obtener dicho estado. La CA actualiza la informacin de la VA cada vez que se modifica el estado de un certificado, con lo que, a diferencia de las CRLs, se dispone de informacin en tiempo real. Nomenclatura CNI: Entidad de Validacin (EV)

FLUJO DE ACTIVIDADES

EJEMPLO DE FUNCIONAMIENTO DE UNA PKI

REFERENCIAS

Ciberp@s mensual n 24 Julio / ao 2002 The Internet Protocol Journal: Code Signing Proveedores de certificacin: www.ipsCA.com; www.ace.com; www.entrust.com; www.certisur.com; www.feste.com; www.verisign.com; www.cert.fnmt.es http://home.xcert.com/~marcnarc//PKI/thesis/PKI-Thesis.pdf : Tesis de la universidad de McGill, Montreal www.securytymanagement.com : Empresa desarrolladora de soluciones PKI. www.judiciary.senate.gov/privacy.htm : Conozca las Reglas, Use las reglas. Documento del Senado de los EE.UU. para difundir el cifrado y los conceptos de seguridad en Internet as como algunas aplicaciones. Networking Tips & Newsletters- searchNetworking: Revista electrnica sobre redes. De aqu cog alguna idea para el ltimo ejemplo. No pongo el link porque no lo encuentro. www.pki.gov.ar: Pgina de la administracin Argentina sobre PKI. Los cdigos secretos. Simon Singh Infraestructura de clave pblica PKI Seminario, Indra Sistemas S.A., 2005.