1. Certificación Electrónica Una Poderosa Herramienta, no una Varita… Guillermo Dotta - Deloitte gdotta@deloitte.com #GX2409
2. De qué va la charla??? Dónde salen mal las cosas entonces? Con qué Herramientas contamos en una PKI real? Las Bases… Qué es una Firma Electrónica? Qué es una PKI?
3.
4.
5.
6.
7.
8.
9.
10. Las tres patas de una PKI Autoridad de Certificación Suscriptores Terceros Política de Certificación (CP/CPS)
11. Por qué es importante la política de certificación (CP)? Define el perfil del certificado Define los controles que cualquier CA debe hacer para emitirlos Define el tipo de suscriptor y los usos aceptables Declara las garantías que pueden esperar los terceros cuando confían
Lo que se cifra con una llave, solo puede ser descifrado con la otra. La privada sólo la conoce el sujeto, mientras que la pública se difunde. http://en.wikipedia.org/wiki/Public-key_cryptography
Quien lo reciba, usa mi llave pública para descifrar el hash Si el hash verifica, el receptor puede tener algunas certezas http://en.wikipedia.org/wiki/Digital_signature
El poseedor de la llave privada pide a una Autoridad Certificadora que le emita un certificado La CA emite un certificado con los datos del suscriptor, un ID de tipo y su llave pública, firmados por ella http://en.wikipedia.org/wiki/Certificate_authority
- Vencido se mira con el período de validez Revocado con el servicio de estado de la CA, puede ser una CRL básica o un servidor OCSP para consultas online - La cadena de confianza en este caso es solo que el certificado esté correctamente firmado por una CA.
Alguien sabe qué dice este cartel, aparte del boton que dice añadir excepcion?
Explicar qué riesgo hay cuando la CA no es reconocida, y cómo eso influye en generar el hábito de aceptar las excepciones.
A nivel técnico, nada me detiene de usar el certificado emitido a mi persona para firmar otros certificados. Se podria dar esta cadena de confianza perfectamente… La gracia está en el bit CA de cada ceritficado, y yo lo tengo desactivado. Pero si el tercero no verifica esos bits no tiene forma de saber que el certificado emitido a genexus.com es ilegítimo, y lo que es peor, está en una cadena de confianza verificable porque desciende de una root confiable.
Moxie Marlinspike en la Ekoparty 2009 presentó este ataque como uno de los ataques a SSL, pero es más general que eso, abarca cualquier uso de certificados. Algunos navegadores eran vulnerables y Moxie desarrollo SSLSniff, que hace un MITM y genera el certificado “de más abajo” al vuelo según lo que el usuario haya pedido. Permite hacer MITM para sacar datos o ataques de phishing.
Los certificados pueden verse como una credencial de identificación emitida por una autoridad certificadora. Por otro lado, lo que la autoridad certificadora verifica en el registro puede que no sea lo mismo que a mi me interesa que se verifique. Esto se puede leer en la política de certificación, o en la declaración de prácticas de certificación de la CA. No puedo confiar en un certificado, aún de una entidad conocida, si no sé qué es lo que está certificando. Ejemplo de firmar un documento con un certificado de Sitio Ejemplo del carné de conducir de viktor
1 – hay herramientas para protegerse, pero hay que saber usarlas! (listas de revocacion, bits de usos habilitados, firmas, etc.) Además el uso masivo de las PKI depende de cuántos terceros estén dispuestos a usarla, por eso es de interés de las autoridades de certificación dar buenas garantías. 2 – Como tercero hay que leer las políticas y ver cuál es la que me sirve… No conviene hacer control solo basado en la cadena de confianza, porque una misma CA puede emitir múltiples tipos de certificados que no tienen nada que ver el uno con el otro… Cada política tiene su OID y para eso está, para identificar rápidamente de qué tipo es un certificado. Incluso si hay una regulación que me obliga a confiar en un tipo de certificado, leer la política me da una idea real de qué puedo esperar de esos certificados, de cómo se registra la gente, etc. 3 – No puedo usar al certificado como una credencial de pase libre! El certificado es una manera de delegar la autenticación en una autoridad certificadora, la CA no tiene forma de saber exactamente para qué voy a usar el certificado. De última si solo pido certificado, tengo que saber que mi autorización es nula, es decir, cualquiera autenticado puede entrar.
Las herramientas de seguridad pueden hacer mucho por nosotros, pero no van a hacer nuestro trabajo… Invitación a requerir menos soluciones “mágicas” y pensar más!