Documente Academic
Documente Profesional
Documente Cultură
Resumen— Hoy en día la conectividad es fundamental receptor del mensaje cifrado o del emisor del
para muchas actividades, y es real a partir de la existencia mensaje firmado. Esto se consigue con el uso de
de Internet, sin embargo, la problemática nace, de la certificados digitales, donde se asigna una
necesidad de determinar cómo conducir las transacciones
de misión crítica, ya sea sobre Internet o sobre las
identidad a una clave pública.
Intranet o Extranet de manera segura. El mecanismo
adoptado por la Universidad Técnica Particular de Loja La utilización de claves (públicas y privadas) y
para suplir ésta necesidad, hoy por hoy, es el uso de certificados digitales para: firmar y cifrar correos
Secure Socket Layer1 (SSL) en las aplicaciones de Internet y electrónicos, autenticarse ante sitios Web,
el uso de redes privadas virtuales para la Intranet. Sin
embargo, las necesidades son cada vez más exigentes,
validar transacciones, solamente tienen éxito
optando sin duda por el uso de algún mecanismo de cuando existe transparencia entre las
seguridad más avanzado, como es una Infraestructura de aplicaciones y los mecanismos que PKI utiliza
Clave Pública - PKI. para garantizar la seguridad [1].
Una PKI está considerada en la actualidad como el
mecanismo de seguridad más completo, por lo cual éste II. INFRAESTRUCTURA DE CLAVE PÚBLICA
artículo resume el resultado de un proyecto de tesis de
ingeniería que tiene como objetivo realizar un estudio ¿Utilizar una PKI es seguro? ¿Cómo funciona
genera de PKI y su implementación en un entorno de una PKI?
prueba como plan piloto dentro de la Universidad que sea
la base para el desarrollo de nuevos proyectos
desarrollados mediante ésta tecnología. De un modo sencillo, una PKI, es el conjunto de
componentes y políticas necesarias para crear,
gestionar y revocar certificados digitales que
I. INTRODUCCIÓN
pueden ser utilizados para autenticar cualquier
Bajo las siglas PKI se engloba a una tecnología aplicación, persona, proceso u organización de
estándar, impulsada por la ISO, ITU, y el IETF, la red de una empresa, Extranet o Internet.
que pretende llevar a la práctica los conceptos
teóricos de la Criptografía de Clave Pública. La meta de una PKI, es asegurar que los datos
sensibles sean protegidos mediante técnicas de
La Criptografía de Clave Pública permite, entre encriptación2.
otras cosas, implementar sistemas de firma
digital y el cifrado de datos sin necesidad de
compartición de secretos. Cada dispositivo de usuario final posee un
software de encriptación y un par de claves:
La firma digital garantiza la Integridad y el pública para distribuirla a otros usuarios y, otra
cifrado garantiza la Confidencialidad, pero privada, guardada y protegida por su
indirectamente la criptografía de clave pública 2
Técnicas de encriptación: son técnicas matemáticas
también permite garantizar la Autenticidad del
avanzadas utilizadas en los procesos de ocultación y
cifrado de la información. Los algoritmos más utilizados
1
Secure Socket Layer, RSA, DSA, RC4, AES.
1
UTPL. Implementación de una Infraestructura de Clave Pública PKI
B. Certificado Digital
2
UTPL. Implementación de una Infraestructura de Clave Pública PKI
Tabla 1
III. MODELO Y ARQUITECTURA PKI
Descripción de los diferentes estados de un certificado
En una tesis desarrollada anteriormente [6],
Cuando se ha superado la fecha previa a la obtención de título de Ingeniero en
de vigencia del certificado. El Informática, se propone un modelo previo a sus
respectivas observaciones.
tiempo de validez que se da a
Caducado los certificados digitales tanto A. Modelo Planteado
3
UTPL. Implementación de una Infraestructura de Clave Pública PKI
certificados emitidos a los usuarios, en un Otra opción para almacenar la clave privada
servidor que no va a estar disponible para los pudieran ser los Smart Tokens
usuarios del sistema PKI. Estos, usan una tecnología idéntica a las
Smart Cards, con la diferencia de su forma y
Los usuarios del sistema PKI solamente su interfaz.
tendrán acceso al servidor CRL, y todos los
certificados válidos, revocados o caducos y La información podrá ser almacenada de una
además al certificado de la CA. La única que manera estructurada en bases de datos
tendrá acceso al servidor de la CA, es la RA, centralizadas, para posteriormente ser
quien brinda la comunicación entre la CA y migradas a bases de datos especializadas
los usuarios. conforme los volúmenes de información que
se generen y las definiciones de seguridad de
Si un estudiante, personal administrativo o la información que se establezcan.
un docente, realiza la petición de un
Certificado Digital, es atendido por la
Autoridad de Registro RA, quien es
responsable del registro y la autenticación de
los usuarios a quienes se les expide un
certificado después de que les ha sido
aprobado la solicitud presentada y una vez
validada toda la información.
4
UTPL. Implementación de una Infraestructura de Clave Pública PKI
Dado que no existe un plan de pruebas del responsabilidad única del usuario del
modelo planteado, no se pueden tomar datos certificado.
numéricos para su evaluación, sin embargo, se
lo realiza de forma descriptiva. Escalabilidad:
5
UTPL. Implementación de una Infraestructura de Clave Pública PKI
6
UTPL. Implementación de una Infraestructura de Clave Pública PKI
Memoria Procesador
VI. DESARROLLO E IMPLEMENTACIÓN
CA
1 GB 3.4 GHz
RA Para el proceso de implementación de un plan
2048 MB 3.4 GHz
Servidor de piloto de PK, se requiere montar la red de
Copias de 2048 MB 3.4 GHz pruebas, requiriendo como recursos hardware,
Seguridad
dos computadores, que actuarán como
PC aislado 1 GB 3 GHz
servidores, tanto de CA y RA. La RA tiene acceso
al Internet, mientras que la CA se encuentra
C. Costo y Beneficios
conectada a la RA sin acceso a la red pública.
Los aspectos más destacados en cuanto a costos
se muestran en Anexo 3:
Tabla 4
Costos mínimos de inversión en una PKI
PC2 PC1
.
Tiempo Núme
de Horas costo ro de Costo
trabajo diarias (hora) perso Total
(meses) nas
Costos
4 4 3,75 1 600
estratégicos
Desarrollo e
6 8 3,75 2 2400
implementación
Capacitación 5 dias 4 10 1 200 Figura 5
La inversión en el Topología de la red PKI
establecimiento 12 8 3,75
y operación
1 7200
7
UTPL. Implementación de una Infraestructura de Clave Pública PKI
La topología de la red de prueba, opera con dos datos distribuido en el sentido de OpenCA, tal
computadores conectados al Switch, donde sistema de base de datos distribuido se
cada computador simulará las funciones de una identifica como una base de datos en el árbol. Si
PKI. Estos dos PC se integran y forman la realmente se tiene una base de datos aislada
implementación total de la PKI, distinguidas por (por ejemplo: nodo offline y nodo online),
diferentes dominios, como se muestra en la entonces se tiene la tecnología para el
Figura 7. Sin embargo, para un entorno en intercambio de datos y la gestión completa del
producción deberá evaluarse el esquema de nodo en la jerarquía. Esta gestión de la
seguridad de la red y ubicar los servidores en las funcionalidad que se incluye en una interfaz
distintas DMZ´s dependiendo del nivel de llamada nodo o también denominada, nodo de
seguridad requerido, que para el caso de la CA gestión.
debe ser la red más segura.
Por lo tanto, para la implementación en la red
Tabla 7 de pruebas, se utiliza bases de datos aisladas, de
Dominios para la red de pruebas PKI acuerdo al diseño que propone OpenCA, mismo
Para la Autoridad Certificadora
que se describe a continuación en la Figura 6.
8
UTPL. Implementación de una Infraestructura de Clave Pública PKI
b) PC2: a. CA
9
UTPL. Implementación de una Infraestructura de Clave Pública PKI
10
UTPL. Implementación de una Infraestructura de Clave Pública PKI
IETF
Anexo 2. Descripción de niveles para seleccionar
[Disponible en Internet] los requerimientos hardware.
http://www.ietf.org/html.charters/pkix-charter.html
11
UTPL. Implementación de una Infraestructura de Clave Pública PKI
Capa de Base de Existe una base de datos por cada asegura la compatibilidad de
módulo, por lo tanto las Bases de las aplicaciones internas con
Datos
Dato se alojará en los mismos los sistemas.
servidores de CA y la RA. En el caso Adquisición de programas,
que sea necesario será conveniente desarrollo y programación de
utilizar servidores de alta las interfaces de aplicación,
disponibilidad, para el servidor de mejoramiento del software de
base de datos aplicación interno para
Desarrollo
aprovechar todas las ventajas
de una PKI y las pruebas
Nivel 3
Se requiere de un servidor de necesarias para la óptima
Sistemas de copias de seguridad que permitan implementación de la nueva
hacer Backups de los servidores Tecnología.
copias de
tanto, CA, RA y la parte pública de En cuanto a los
seguridad la PKI. requerimientos software se
evalúa el tipo de software que
puede ser propietario o
Requerimientos de
Nivel 4 Para esta capa, el equipo humano software libre u Open Source
software y
de PKI debe proveer las y en cuanto al hardware se
Seguridad de la Hardware
características que crea necesarios evalúa de acuerdo a los
PKI para garantizar la seguridad de la requerimientos de la
PKI, como lo es el Firewall, en que universidad.
subred se encuentran.
Este aspecto incluye tanto el
El equipo informático corresponde entrenamiento del personal
Equipo a un PC estándar para la interno para definir y asumir
administración remota de todos nuevas responsabilidades en
Informático un ambiente de seguridad,
los dispositivos de la plataforma. Capacitación
Este PC deberá estar aislado del como así también la
exterior. educación de los usuarios
externos que eventualmente
queden implicados en una
Anexo 3. Tipo de Costos aplicación de ésta tecnología.
La inversión en el Depósitos de claves públicas y
establecimiento y todos los servicios necesarios
Tipo Costo Descripción
operación efectiva para el funcionamiento de
Aquellos costos que implica el
de la PKI estos procesos.
tiempo invertido en el
planeamiento de todo lo que
Costos estratégicos tenga que ver con el diseño e
implementación de una
Infraestructura de Clave
Pública.
Incluye el costo del personal
Implementación
del área de Sistemas que
12
UTPL. Implementación de una Infraestructura de Clave Pública PKI
13