SlideShare una empresa de Scribd logo

Infraestructura de clave pública con Software Libre

Toni de la Fuente
Toni de la Fuente

Infraestructura de clave pública con Software Libre. Introducción a la PKI y soluciones actuales para implementar PKI con soluciones Open Source.

Tecnología
1 de 39
Descargar para leer sin conexión
Infraestructura de clave pública -PKI- con Software Libre Febrero 2009 Toni de la Fuente Director de Sistemas y Soporte Intecna Soluciones afuente@intecna.es
Contenidos Quién soy ● ¿Qué es PKI y para qué sirve? ● Conceptos relacionados con PKI ● Criptografía asimétrica ● Firma digital ● Certificados digitales ● Autoridades de certificación ● Validez de los certificados: CRL y OCSP ● Soluciones ●
Quién soy Director de Sistemas y Soporte de Intecna Soluciones España y LATAM. Responsable de Formación de Intecna Soluciones España y LATAM. Miembro del comité de Innovación de Intecna Soluciones. Creador de phpRADmin, solución para seguridad de redes basadas en FreeRADIUS y PKI. Blog personal blyx.com, desde 2002 publicando artículos relacionados con Software Libre, Seguridad y Tecnologías de la Información.
¿Qué es PKI y para qué sirve? I Es un sistema para gestión de certificados digitales y aplicaciones de firma digital o/y cifrado. Debe proporcionar: Autenticidad, la firma digital tendrá la misma ● validez que la manuscrita. Confidencialidad de la información transmitida ● entre las partes. Integridad. Debe asegurarse la capacidad de ● detectar si un documento firmado ha sido manipulado. No Repudio, de un documento firmado ● digitalmente.
¿Qué es PKI y para qué sirve? II Proporciona el marco que permite la implantación de clave pública. Incluye una Autoridad de Certificación (CA) y gestiona la información relacionada con ella. Debe prestar los siguientes servicios: • Emisión de certificados • Generación del par de claves (pública y privada) • Distribución de certificados • Certificación cruzada • Salvaguarda de claves • Suspensión y revocación de certificados • etc.
¿Qué es PKI y para qué sirve? III Los componentes de una PKI son o pueden ser entidades con funciones diferentes: Autoridad de Certificación: CA • Autoridad de Registro: RA • Autoridad Raiz: Root CA • Usuarios finales. • Una PKI sólo es válida si se cumplen las siguientes condiciones: • Las claves privadas estén protegidas. • Las claves públicas estén inequívocamente asociadas a una entidad.
¿Qué es PKI y para qué sirve? IV Las claves privadas se protegen con una contraseña y se deben almacenar de forma cifrada en: Disco duro. • Floppy. • Dispositivo USB. • Smart Card. •
Conceptos relacionados con PKI Criptografía asimétrica o de clave pública • Funciones Hash • Firma digital • Certificados digitales • Autoridad de Certificación • Autoridad de Registro • CRL • OCSP • PEM • PKCS • DER •
Criptografía asimétrica Cifrado simétrico: Se cifra y descifra con la misma clave. (DES, RC2, RC5, Tripe DES, AES, etc.) Cifrado asimétrico: Basado en un par de claves (pública y privada) de modo que lo que se cifra con una sólo se puede descifrar con la otra del mismo par.
Firma digital Esquema de funcionamiento de la firma digital:
Certificados digitales I ¿Qué es un certificado? • Documento electrónico que garantiza la identidad de una persona o fqdn. • Contiene información del titular del certificado.
Certificados digitales II Información que contiene un certificado (X.509v3): La identidad de un usuario y su clave pública. • Un número de serie y versión. • Periodo de validez. • La identidad de quién emite el certificado. • Descripción. • Clave pública. • Algoritmos utilizados. • La firma digital de las informaciones contenidas en el • certificado.
Certificados digitales III ¿Cómo obtengo un certificado digital? • Se solicitan a una autoridad de certificación. • Tienen un tiempo de validez determinado, a partir del cual caducan. • Normalmente hay que pagar por ellos.
Certificados digitales IV Contenido de un certificado: Data: Version: 3 (0x0) Serial Number: 18 (0x12) SignatureAlgorithm: PKCS #1 SHA-1 con cifrado RSA Issuer: OU = FNMT Clase 2 CA, O = FNMT, C = ES Validity: NotBefore: Jan7 13:02:39 2000 GMT NotAfter: Jan6 13:02:39 2001 GMT Subject: CN = Toni, OU = 00011, OU = FNMT Clase 2 CA, O = FNMT, C = ES PublicKeyAlgorithm: rsaEncryption RSA PublicKey: (512 bit) Modulus(512 bit): 00:98:59:ab:d9:7e:a3:40:21:60:ee:54:a5:a4:54: d2:29:fd:50:82:c1:28:05:25:0a:6b:aa:61:aa:e0: 19:3b:d7:5e:18:f2:14:60:ed:58:f6:87:eb:4c:61: fc:9e:ed:9d:b2:19:d4:73:25:cc:d4:63:88:54:f4: 49:2a:ba:ce:7b Exponent: 65537 (0x10001) SignatureAlgorithm: PKCS #1 SHA-1 con cifrado RSA 7a:df:8a:aa:b5:23:5b:c6:ff:f3:02:73:65:bb:0f:05:7a:fd: f4:68:ee:b9:fe:92:72:53:bb:f2:31:9e:38:92:69:b3:04:22: d7:be:f5:18:42:7a:c0:9b:e2:1e:04:a4:66:02:80:76:79:0e: f6:c3:7e:25:2d:ec:00:01:fb:f7
Autoridades de Certificación I Autoridad de Certificación (CA): • Entidad intermediaria y confiable que emite y administra los certificados. • Garantiza la asociación entre una clave pública y una identidad. • Debe verificar los datos incorporados en el certificado. • Problemas asociados a lo difuso de las relaciones de confianza. • Publicación de las listas de certificados no válidos.
Autoridades de Certificación II Tipos de autoridades de certificación: • CA interna • CA ext. certificadora de empleados • CA ext. certificadora de clientes • CA tipo Tercera Parte Confiable Tipos de certificados: • Certificados de usuarios • Certificados de servidores • Certificados de CA
Validez de los certificados: CRL y OCSP Listas de Revocación de Certificados (CRL) Misión: • Detectar que un certificado no es válido en caso de sustracción, errores, cambios de derechos, ruptura de la CA. Problemas: • CRLs de gran longitud • Existe un intervalo de posible fraude • Comprobación on-line de certificados Para verificar una firma de un documento, el usuario no sólo ha de verificar el certificado y su validez, sino que también ha de adquirir la versión más reciente de la CRL y confirmar que el número de serie del certificado no está en tal CRL.
Validez de los certificados: CRL y OCSP Contenido de una CRL: • Versión • Algoritmo de Firma • Emisor • Actualización Presente • Siguiente Actualización • Nº Serie Certificado • Fecha Revocación • Extensiones Locales • Extensiones Globales
Validez de los certificados: CRL y OCSP Servidor OSCP (Online Certificate Status Protocol) • Confirmación online del estado de un certificado. • Servicio online de alta disponibilidad que debe ofrece la CA a los usuarios. • Proporciona información más adecuada y reciente. • No requiere CRLs: ahorra tráfico y CPU. • Las CRLs contienen información sensible. • Usa LDAP como backend. Funcionamiento: el cliente OSCP envía petición de estado al OSCP responder y suspende su aceptación hasta recibir respuesta.
Soluciones PKI en Software Libre Las soluciones a tener en cuenta son: OpenCA • OpenXPKI (fork de OpenCA) • EJBCA • PHPki • Gnomint • OpenSSL •
Soluciones PKI en Software Libre OpenCA: herramienta que proporciona un interface Web para poder administrar una PKI. Componentes: • Una interface web creado en Perl (Público). • Openssl para operaciones criptográficas. • Una base de datos (MySQL/PgSQL). • Un OpenLDAP, Apache (mod_ssl). Características: • Software Libre. • Integración con otras aplicaciones. • Comunidades de soporte y empresas. • Soporte estándares internacionales. • Versión 1.0.2 • En castellano • Demo en http://mm.cs.dartmouth.edu/pki/pub/
Soluciones PKI en Software Libre OpenCA: Capturas de pantalla, Inicialización:
Soluciones PKI en Software Libre OpenCA: Capturas de pantalla, General:
Soluciones PKI en Software Libre OpenXPKI: fork de OpenCA, con varios componentes reescritos. Componentes: • Similares a OpenCA (perl). Características: • Software Libre. • No se liberan versiones de forma normal, se distribuye en ISO, SVN, nightly builds. • Soporte estándares internacionales. • Versión 0.9.1 • Integrado con RT para solicitud de certificados. • Múltiples instancias de CA • Soporte nCipher y nShield para hardware criptográfico.
Soluciones PKI en Software Libre OpenXPKI: captura de pantalla, listado:
Soluciones PKI en Software Libre EJBCA: Infraestructura completa de PKI realizada en Java. Componentes: • Java JDK. • Servidor de aplicaciones Jboss, Glashfish • Ant Características: • Software Libre. • Proyecto muy activo. • Soporte estándares internacionales. • Versión 3.8.1. • Software complementario para más funcionalidades. • Multiples CAs y multiplataforma. • Soporte a gran variedad de HW criptográfico y eParapher*.
Soluciones PKI en Software Libre EJBCA: Capturas de pantalla, panel de administración:
Soluciones PKI en Software Libre EJBCA: Capturas de pantalla, visor de eventos:
Soluciones PKI en Software Libre PHPki: Infraestructura mínima de PKI realizada en PHP y OpenSSL. Componentes: • Apache + mod_ssl. • OpenSSL • PHP (librerías criptográficas) Características: • Software Libre. • Proyecto parado. • Soporte y funcionalidades limitadas. • Versión 0.82. • Muy fácil de usar e implementar. • No soporta HW criptográfico.
Soluciones PKI en Software Libre PHPki: captura de pantalla, menú de administración:
Soluciones PKI en Software Libre Gnomint: Herramienta gestión de CA y certificados para Gnome. Componentes: • Gnome. • OpenSSL Características: • Software Libre. • Soporte y funcionalidades limitadas. • Versión 0.6.0. • Muy fácil de usar e implementar. • No soporta HW criptográfico. • No soporta OCSP.
Soluciones PKI en Software Libre Gnomint: captura de pantalla, listado:
Soluciones PKI en Software Libre OpenSSL: Herramienta por excelencia para gestión y creación de CAs y certificados. Componentes: • OpenSSL ;) Características: • Software Libre. • Herramienta por línea de comandos. • Soporta gestión de CA, cifrado, firma, etc. • Navaja suiza para certificados. • Multiplataforma. • Dispone de su propia shell. Ver: Usando OpenSSL en el mundo real.pdf (blyx.com)
Soluciones PKI en Software Libre OpenSSL: línea de comandos, ejemplos: $ fnd /etc -type f | xargs openssl md5 > /etc/secure/md5_sigs.txt El anterior comando creará un archivo MD5 hash de todos los archivos del directorio /etc. Estos finger prints deben ser almacenados como solo lectura y en un lugar seguro. Veamos un ejemplo para cifrar un archivo llamado passwd con Blowfish: $ openssl bf -e -in /etc/secure/passwd -out /etc/secure/passwd.enc.bf El siguiente ejemplo muestra como descifrar el archivo /etc/secure/sensitive_data.enc.3des que fue cifrado con el algoritmo 3DES: $ openssl enc -des3 -d -in /etc/secure/sensitive_data.enc.3des -out /etc/secure/sensitive_data El siguiente ejemplo muestra como generar el MD5de la contraseña “blah”: $ echo blah | openssl passwd -stdin -1 La opción quot;-1quot; indica que usaremos MD5 como algoritmo y la opción “-stdin” indica que le pasamos la contraseña a través de la entrada estándar.
Soluciones PKI en Software Libre eParapher: Cliente para firma digital de documentos. Componentes: • Java 5 y 6. • Eclipse. • OpenOffice 2.4+ • Maven. • Apache directory studio. Características: • Software Libre. • Herramienta gráfica multiplataforma. • Windows, Linux y Mac. • En estado inicial, versión 0.0.1. • Bien dimensianada. • Soporta firmas en PDF, PDF/A, CMS and XML. • Firma masiva (bulk sign).
Conclusiones
Preguntas y respuestas
Agradecimientos: Víctor Manuel Fernández Gómez - http://vfernandezg.blogspot.com/ Gonzalo Álvarez Marañón - Univ. Oviedo. Pedro Pablo Pérez García - Univ. Oviedo. José María Sierra - Univ. Comillas.
$ while true; do ; ‘¡gracias!’; done ;-) Toni de la Fuente Director de Sistemas y Soporte Intecna Soluciones afuente@intecna.es

Recomendados

Criptografia simetrica
Criptografia simetricaCriptografia simetrica
Criptografia simetricaBaruch Ramos
 
Servicios web
Servicios webServicios web
Servicios webVictor Mijangos
 
Servidores web o http
Servidores web o httpServidores web o http
Servidores web o httpJesús Baltan Ramírez
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Presentacion Ftp
Presentacion FtpPresentacion Ftp
Presentacion Ftpalexmerono
 
Algoritmo Blowfish y TwoFish
Algoritmo Blowfish y TwoFishAlgoritmo Blowfish y TwoFish
Algoritmo Blowfish y TwoFishDavid Fernando Valladarez Muñoz
 
Proceso del software
Proceso del softwareProceso del software
Proceso del softwareTensor
 

Recomendados

Criptografia simetrica
Criptografia simetricaCriptografia simetrica
Criptografia simetricaBaruch Ramos
 
Servicios web
Servicios webServicios web
Servicios webVictor Mijangos
 
Servidores web o http
Servidores web o httpServidores web o http
Servidores web o httpJesús Baltan Ramírez
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Presentacion Ftp
Presentacion FtpPresentacion Ftp
Presentacion Ftpalexmerono
 
Algoritmo Blowfish y TwoFish
Algoritmo Blowfish y TwoFishAlgoritmo Blowfish y TwoFish
Algoritmo Blowfish y TwoFishDavid Fernando Valladarez Muñoz
 
Proceso del software
Proceso del softwareProceso del software
Proceso del softwareTensor
 
Presentación IPv6
Presentación IPv6Presentación IPv6
Presentación IPv6santisegui
 
Tabla comparativa servidores web
Tabla comparativa servidores webTabla comparativa servidores web
Tabla comparativa servidores webjuancma77
 
DESARROLLO DE APLICACIONES MOVILES.pptx
DESARROLLO DE APLICACIONES MOVILES.pptxDESARROLLO DE APLICACIONES MOVILES.pptx
DESARROLLO DE APLICACIONES MOVILES.pptxNELSON RODRIGUEZ
 
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesUnidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesSergio Sanchez
 
Opciones en la Adquisicion de sistemas de informacion.pdf (1).pdf
Opciones en la Adquisicion de sistemas de informacion.pdf (1).pdfOpciones en la Adquisicion de sistemas de informacion.pdf (1).pdf
Opciones en la Adquisicion de sistemas de informacion.pdf (1).pdfSANTIAGOALEJANDROGUT
 
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOSINGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOSLenin Acosta Mata
 
Contraseñas seguras
Contraseñas segurasContraseñas seguras
Contraseñas segurasRober Garamo
 
Metasploit
MetasploitMetasploit
MetasploitCristian Alejandro Rojas Quintero
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuariosUriel Hernandez
 
IV Unidad Sistemas Operativos 2 Cliente-Servidor
IV Unidad Sistemas Operativos 2 Cliente-Servidor IV Unidad Sistemas Operativos 2 Cliente-Servidor
IV Unidad Sistemas Operativos 2 Cliente-Servidor Samuel Cervantes
 
Casos de prueba
Casos de pruebaCasos de prueba
Casos de prueba481200601
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccionCarolina Cols
 
MANUAL PARA CONFIGURACIÓN DE ELASTIX
MANUAL PARA CONFIGURACIÓN DE ELASTIXMANUAL PARA CONFIGURACIÓN DE ELASTIX
MANUAL PARA CONFIGURACIÓN DE ELASTIXmiguelangelperezhenao
 
La auditoría de software
La auditoría de softwareLa auditoría de software
La auditoría de softwareLuis Domingo
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Análisis de los protocolos de tiempo real RTP, RTCP y RTSP
Análisis de los protocolos de tiempo real RTP, RTCP y RTSPAnálisis de los protocolos de tiempo real RTP, RTCP y RTSP
Análisis de los protocolos de tiempo real RTP, RTCP y RTSPmanuelfloresv
 
Malware
MalwareMalware
MalwareJanetzy Berumen Gutierrez
 
Tema 02
Tema 02Tema 02
Tema 02Ivett Maribel Tipian Peña
 
Manual De Instalacion De Asterisk
Manual De Instalacion De AsteriskManual De Instalacion De Asterisk
Manual De Instalacion De AsteriskCesar Pineda
 
Instalacion desde cero pdf
Instalacion desde cero pdfInstalacion desde cero pdf
Instalacion desde cero pdfmarlon maldonado
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKICinthia Duque
 
Encriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.pptEncriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.pptEfrain Meza Romero
 

Más contenido relacionado

La actualidad más candente

Presentación IPv6
Presentación IPv6Presentación IPv6
Presentación IPv6santisegui
 
Tabla comparativa servidores web
Tabla comparativa servidores webTabla comparativa servidores web
Tabla comparativa servidores webjuancma77
 
DESARROLLO DE APLICACIONES MOVILES.pptx
DESARROLLO DE APLICACIONES MOVILES.pptxDESARROLLO DE APLICACIONES MOVILES.pptx
DESARROLLO DE APLICACIONES MOVILES.pptxNELSON RODRIGUEZ
 
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesUnidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesSergio Sanchez
 
Opciones en la Adquisicion de sistemas de informacion.pdf (1).pdf
Opciones en la Adquisicion de sistemas de informacion.pdf (1).pdfOpciones en la Adquisicion de sistemas de informacion.pdf (1).pdf
Opciones en la Adquisicion de sistemas de informacion.pdf (1).pdfSANTIAGOALEJANDROGUT
 
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOSINGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOSLenin Acosta Mata
 
Contraseñas seguras
Contraseñas segurasContraseñas seguras
Contraseñas segurasRober Garamo
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuariosUriel Hernandez
 
IV Unidad Sistemas Operativos 2 Cliente-Servidor
IV Unidad Sistemas Operativos 2 Cliente-Servidor IV Unidad Sistemas Operativos 2 Cliente-Servidor
IV Unidad Sistemas Operativos 2 Cliente-Servidor Samuel Cervantes
 
Casos de prueba
Casos de pruebaCasos de prueba
Casos de prueba481200601
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccionCarolina Cols
 
MANUAL PARA CONFIGURACIÓN DE ELASTIX
MANUAL PARA CONFIGURACIÓN DE ELASTIXMANUAL PARA CONFIGURACIÓN DE ELASTIX
MANUAL PARA CONFIGURACIÓN DE ELASTIXmiguelangelperezhenao
 
La auditoría de software
La auditoría de softwareLa auditoría de software
La auditoría de softwareLuis Domingo
 
Análisis de los protocolos de tiempo real RTP, RTCP y RTSP
Análisis de los protocolos de tiempo real RTP, RTCP y RTSPAnálisis de los protocolos de tiempo real RTP, RTCP y RTSP
Análisis de los protocolos de tiempo real RTP, RTCP y RTSPmanuelfloresv
 
Manual De Instalacion De Asterisk
Manual De Instalacion De AsteriskManual De Instalacion De Asterisk
Manual De Instalacion De AsteriskCesar Pineda
 
Instalacion desde cero pdf
Instalacion desde cero pdfInstalacion desde cero pdf
Instalacion desde cero pdfmarlon maldonado
 

La actualidad más candente (20)

Presentación IPv6
Presentación IPv6Presentación IPv6
Presentación IPv6
 
Tabla comparativa servidores web
Tabla comparativa servidores webTabla comparativa servidores web
Tabla comparativa servidores web
 
DESARROLLO DE APLICACIONES MOVILES.pptx
DESARROLLO DE APLICACIONES MOVILES.pptxDESARROLLO DE APLICACIONES MOVILES.pptx
DESARROLLO DE APLICACIONES MOVILES.pptx
 
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesUnidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
 
Opciones en la Adquisicion de sistemas de informacion.pdf (1).pdf
Opciones en la Adquisicion de sistemas de informacion.pdf (1).pdfOpciones en la Adquisicion de sistemas de informacion.pdf (1).pdf
Opciones en la Adquisicion de sistemas de informacion.pdf (1).pdf
 
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOSINGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
 
Contraseñas seguras
Contraseñas segurasContraseñas seguras
Contraseñas seguras
 
Metasploit
MetasploitMetasploit
Metasploit
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuarios
 
IV Unidad Sistemas Operativos 2 Cliente-Servidor
IV Unidad Sistemas Operativos 2 Cliente-Servidor IV Unidad Sistemas Operativos 2 Cliente-Servidor
IV Unidad Sistemas Operativos 2 Cliente-Servidor
 
Casos de prueba
Casos de pruebaCasos de prueba
Casos de prueba
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccion
 
MANUAL PARA CONFIGURACIÓN DE ELASTIX
MANUAL PARA CONFIGURACIÓN DE ELASTIXMANUAL PARA CONFIGURACIÓN DE ELASTIX
MANUAL PARA CONFIGURACIÓN DE ELASTIX
 
La auditoría de software
La auditoría de softwareLa auditoría de software
La auditoría de software
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Análisis de los protocolos de tiempo real RTP, RTCP y RTSP
Análisis de los protocolos de tiempo real RTP, RTCP y RTSPAnálisis de los protocolos de tiempo real RTP, RTCP y RTSP
Análisis de los protocolos de tiempo real RTP, RTCP y RTSP
 
Malware
MalwareMalware
Malware
 
Tema 02
Tema 02Tema 02
Tema 02
 
Manual De Instalacion De Asterisk
Manual De Instalacion De AsteriskManual De Instalacion De Asterisk
Manual De Instalacion De Asterisk
 
Instalacion desde cero pdf
Instalacion desde cero pdfInstalacion desde cero pdf
Instalacion desde cero pdf
 

Similar a Infraestructura de clave pública con Software Libre

Encriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.pptEncriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.pptEfrain Meza Romero
 
Infrestructura PKIx
Infrestructura PKIxInfrestructura PKIx
Infrestructura PKIxjunral
 
Alternativas de Autentificación por dos Factores en Portales Web
Alternativas de Autentificación por dos Factores en Portales WebAlternativas de Autentificación por dos Factores en Portales Web
Alternativas de Autentificación por dos Factores en Portales WebAndres Gallo
 
El e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEl e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEventos Creativos
 
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Logicalis Latam
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki1 2d
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKIdsantosc
 
05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplos05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplosSantos Pajarito
 
3051 tarjeta criptografica_ceres
3051 tarjeta criptografica_ceres3051 tarjeta criptografica_ceres
3051 tarjeta criptografica_ceresHilario Morales
 

Similar a Infraestructura de clave pública con Software Libre (20)

Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
Encriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.pptEncriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.ppt
 
17 certdigitalespkcs
17 certdigitalespkcs17 certdigitalespkcs
17 certdigitalespkcs
 
Infrestructura PKIx
Infrestructura PKIxInfrestructura PKIx
Infrestructura PKIx
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digital
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitales
 
Alternativas de Autentificación por dos Factores en Portales Web
Alternativas de Autentificación por dos Factores en Portales WebAlternativas de Autentificación por dos Factores en Portales Web
Alternativas de Autentificación por dos Factores en Portales Web
 
Pcr2008
Pcr2008Pcr2008
Pcr2008
 
Realsec I Criptografia Y Firma Digital
Realsec I Criptografia Y Firma DigitalRealsec I Criptografia Y Firma Digital
Realsec I Criptografia Y Firma Digital
 
El e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEl e-dni como herramienta de seguridad
El e-dni como herramienta de seguridad
 
Cryptosec Openkey CA | Autoridad de certificación
Cryptosec Openkey CA | Autoridad de certificaciónCryptosec Openkey CA | Autoridad de certificación
Cryptosec Openkey CA | Autoridad de certificación
 
Pki
PkiPki
Pki
 
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
 
Respuestas
RespuestasRespuestas
Respuestas
 
Eap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptxEap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptx
 
Voip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libreVoip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libre
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplos05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplos
 
3051 tarjeta criptografica_ceres
3051 tarjeta criptografica_ceres3051 tarjeta criptografica_ceres
3051 tarjeta criptografica_ceres
 

Más de Toni de la Fuente

SANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a ServiceSANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a ServiceToni de la Fuente
 
OWASP Atlanta 2018: Forensics as a Service
OWASP Atlanta 2018: Forensics as a ServiceOWASP Atlanta 2018: Forensics as a Service
OWASP Atlanta 2018: Forensics as a ServiceToni de la Fuente
 
Alfresco DevCon 2018: From Zero to Hero Backing up Alfresco
Alfresco DevCon 2018: From Zero to Hero Backing up AlfrescoAlfresco DevCon 2018: From Zero to Hero Backing up Alfresco
Alfresco DevCon 2018: From Zero to Hero Backing up AlfrescoToni de la Fuente
 
Alabama CyberNow 2018: Cloud Hardening and Digital Forensics Readiness
Alabama CyberNow 2018: Cloud Hardening and Digital Forensics ReadinessAlabama CyberNow 2018: Cloud Hardening and Digital Forensics Readiness
Alabama CyberNow 2018: Cloud Hardening and Digital Forensics ReadinessToni de la Fuente
 
Prowler: BlackHat Europe Arsenal 2018
Prowler: BlackHat Europe Arsenal 2018Prowler: BlackHat Europe Arsenal 2018
Prowler: BlackHat Europe Arsenal 2018Toni de la Fuente
 
Alfresco DevCon 2019: Encryption at-rest and in-transit
Alfresco DevCon 2019: Encryption at-rest and in-transitAlfresco DevCon 2019: Encryption at-rest and in-transit
Alfresco DevCon 2019: Encryption at-rest and in-transitToni de la Fuente
 
From zero to hero Backing up alfresco
From zero to hero Backing up alfrescoFrom zero to hero Backing up alfresco
From zero to hero Backing up alfrescoToni de la Fuente
 
TTL Alfresco Product Security and Best Practices 2017
TTL Alfresco Product Security and Best Practices 2017TTL Alfresco Product Security and Best Practices 2017
TTL Alfresco Product Security and Best Practices 2017Toni de la Fuente
 
Automate or die! Rootedcon 2017
Automate or die! Rootedcon 2017Automate or die! Rootedcon 2017
Automate or die! Rootedcon 2017Toni de la Fuente
 
Seguridad en Internet para todos los públicos
Seguridad en Internet para todos los públicosSeguridad en Internet para todos los públicos
Seguridad en Internet para todos los públicosToni de la Fuente
 
Alfresco security best practices CHECK LIST ONLY
Alfresco security best practices CHECK LIST ONLYAlfresco security best practices CHECK LIST ONLY
Alfresco security best practices CHECK LIST ONLYToni de la Fuente
 
Alfresco Security Best Practices Guide
Alfresco Security Best Practices GuideAlfresco Security Best Practices Guide
Alfresco Security Best Practices GuideToni de la Fuente
 
Alfresco Security Best Practices 2014
Alfresco Security Best Practices 2014Alfresco Security Best Practices 2014
Alfresco Security Best Practices 2014Toni de la Fuente
 
Alfresco Backup and Disaster Recovery White Paper
Alfresco Backup and Disaster Recovery White PaperAlfresco Backup and Disaster Recovery White Paper
Alfresco Backup and Disaster Recovery White PaperToni de la Fuente
 
Alfresco One (Enterprise) vs Alfresco Community 2014
Alfresco One (Enterprise) vs Alfresco Community 2014Alfresco One (Enterprise) vs Alfresco Community 2014
Alfresco One (Enterprise) vs Alfresco Community 2014Toni de la Fuente
 
Alfresco Backup and Recovery Tool: a real world backup solution for Alfresco
Alfresco Backup and Recovery Tool: a real world backup solution for AlfrescoAlfresco Backup and Recovery Tool: a real world backup solution for Alfresco
Alfresco Backup and Recovery Tool: a real world backup solution for AlfrescoToni de la Fuente
 
Comparativa entre Alfresco Enterprise vs Community
Comparativa entre Alfresco Enterprise vs Community Comparativa entre Alfresco Enterprise vs Community
Comparativa entre Alfresco Enterprise vs Community Toni de la Fuente
 
Alfresco Security Best Practices 2012
Alfresco Security Best Practices 2012Alfresco Security Best Practices 2012
Alfresco Security Best Practices 2012Toni de la Fuente
 
Monitoring Alfresco with Nagios/Icinga
Monitoring Alfresco with Nagios/IcingaMonitoring Alfresco with Nagios/Icinga
Monitoring Alfresco with Nagios/IcingaToni de la Fuente
 

Más de Toni de la Fuente (20)

SANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a ServiceSANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a Service
 
OWASP Atlanta 2018: Forensics as a Service
OWASP Atlanta 2018: Forensics as a ServiceOWASP Atlanta 2018: Forensics as a Service
OWASP Atlanta 2018: Forensics as a Service
 
Alfresco DevCon 2018: From Zero to Hero Backing up Alfresco
Alfresco DevCon 2018: From Zero to Hero Backing up AlfrescoAlfresco DevCon 2018: From Zero to Hero Backing up Alfresco
Alfresco DevCon 2018: From Zero to Hero Backing up Alfresco
 
Alabama CyberNow 2018: Cloud Hardening and Digital Forensics Readiness
Alabama CyberNow 2018: Cloud Hardening and Digital Forensics ReadinessAlabama CyberNow 2018: Cloud Hardening and Digital Forensics Readiness
Alabama CyberNow 2018: Cloud Hardening and Digital Forensics Readiness
 
Prowler: BlackHat Europe Arsenal 2018
Prowler: BlackHat Europe Arsenal 2018Prowler: BlackHat Europe Arsenal 2018
Prowler: BlackHat Europe Arsenal 2018
 
Alfresco DevCon 2019: Encryption at-rest and in-transit
Alfresco DevCon 2019: Encryption at-rest and in-transitAlfresco DevCon 2019: Encryption at-rest and in-transit
Alfresco DevCon 2019: Encryption at-rest and in-transit
 
From zero to hero Backing up alfresco
From zero to hero Backing up alfrescoFrom zero to hero Backing up alfresco
From zero to hero Backing up alfresco
 
TTL Alfresco Product Security and Best Practices 2017
TTL Alfresco Product Security and Best Practices 2017TTL Alfresco Product Security and Best Practices 2017
TTL Alfresco Product Security and Best Practices 2017
 
Automate or die! Rootedcon 2017
Automate or die! Rootedcon 2017Automate or die! Rootedcon 2017
Automate or die! Rootedcon 2017
 
Seguridad en Internet para todos los públicos
Seguridad en Internet para todos los públicosSeguridad en Internet para todos los públicos
Seguridad en Internet para todos los públicos
 
Storage and Alfresco
Storage and AlfrescoStorage and Alfresco
Storage and Alfresco
 
Alfresco security best practices CHECK LIST ONLY
Alfresco security best practices CHECK LIST ONLYAlfresco security best practices CHECK LIST ONLY
Alfresco security best practices CHECK LIST ONLY
 
Alfresco Security Best Practices Guide
Alfresco Security Best Practices GuideAlfresco Security Best Practices Guide
Alfresco Security Best Practices Guide
 
Alfresco Security Best Practices 2014
Alfresco Security Best Practices 2014Alfresco Security Best Practices 2014
Alfresco Security Best Practices 2014
 
Alfresco Backup and Disaster Recovery White Paper
Alfresco Backup and Disaster Recovery White PaperAlfresco Backup and Disaster Recovery White Paper
Alfresco Backup and Disaster Recovery White Paper
 
Alfresco One (Enterprise) vs Alfresco Community 2014
Alfresco One (Enterprise) vs Alfresco Community 2014Alfresco One (Enterprise) vs Alfresco Community 2014
Alfresco One (Enterprise) vs Alfresco Community 2014
 
Alfresco Backup and Recovery Tool: a real world backup solution for Alfresco
Alfresco Backup and Recovery Tool: a real world backup solution for AlfrescoAlfresco Backup and Recovery Tool: a real world backup solution for Alfresco
Alfresco Backup and Recovery Tool: a real world backup solution for Alfresco
 
Comparativa entre Alfresco Enterprise vs Community
Comparativa entre Alfresco Enterprise vs Community Comparativa entre Alfresco Enterprise vs Community
Comparativa entre Alfresco Enterprise vs Community
 
Alfresco Security Best Practices 2012
Alfresco Security Best Practices 2012Alfresco Security Best Practices 2012
Alfresco Security Best Practices 2012
 
Monitoring Alfresco with Nagios/Icinga
Monitoring Alfresco with Nagios/IcingaMonitoring Alfresco with Nagios/Icinga
Monitoring Alfresco with Nagios/Icinga
 

Último

EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Último (12)

EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Infraestructura de clave pública con Software Libre

  • 1. Infraestructura de clave pública -PKI- con Software Libre Febrero 2009 Toni de la Fuente Director de Sistemas y Soporte Intecna Soluciones afuente@intecna.es
  • 2. Contenidos Quién soy ● ¿Qué es PKI y para qué sirve? ● Conceptos relacionados con PKI ● Criptografía asimétrica ● Firma digital ● Certificados digitales ● Autoridades de certificación ● Validez de los certificados: CRL y OCSP ● Soluciones ●
  • 3. Quién soy Director de Sistemas y Soporte de Intecna Soluciones España y LATAM. Responsable de Formación de Intecna Soluciones España y LATAM. Miembro del comité de Innovación de Intecna Soluciones. Creador de phpRADmin, solución para seguridad de redes basadas en FreeRADIUS y PKI. Blog personal blyx.com, desde 2002 publicando artículos relacionados con Software Libre, Seguridad y Tecnologías de la Información.
  • 4. ¿Qué es PKI y para qué sirve? I Es un sistema para gestión de certificados digitales y aplicaciones de firma digital o/y cifrado. Debe proporcionar: Autenticidad, la firma digital tendrá la misma ● validez que la manuscrita. Confidencialidad de la información transmitida ● entre las partes. Integridad. Debe asegurarse la capacidad de ● detectar si un documento firmado ha sido manipulado. No Repudio, de un documento firmado ● digitalmente.
  • 5. ¿Qué es PKI y para qué sirve? II Proporciona el marco que permite la implantación de clave pública. Incluye una Autoridad de Certificación (CA) y gestiona la información relacionada con ella. Debe prestar los siguientes servicios: • Emisión de certificados • Generación del par de claves (pública y privada) • Distribución de certificados • Certificación cruzada • Salvaguarda de claves • Suspensión y revocación de certificados • etc.
  • 6. ¿Qué es PKI y para qué sirve? III Los componentes de una PKI son o pueden ser entidades con funciones diferentes: Autoridad de Certificación: CA • Autoridad de Registro: RA • Autoridad Raiz: Root CA • Usuarios finales. • Una PKI sólo es válida si se cumplen las siguientes condiciones: • Las claves privadas estén protegidas. • Las claves públicas estén inequívocamente asociadas a una entidad.
  • 7. ¿Qué es PKI y para qué sirve? IV Las claves privadas se protegen con una contraseña y se deben almacenar de forma cifrada en: Disco duro. • Floppy. • Dispositivo USB. • Smart Card. •
  • 8. Conceptos relacionados con PKI Criptografía asimétrica o de clave pública • Funciones Hash • Firma digital • Certificados digitales • Autoridad de Certificación • Autoridad de Registro • CRL • OCSP • PEM • PKCS • DER •
  • 9. Criptografía asimétrica Cifrado simétrico: Se cifra y descifra con la misma clave. (DES, RC2, RC5, Tripe DES, AES, etc.) Cifrado asimétrico: Basado en un par de claves (pública y privada) de modo que lo que se cifra con una sólo se puede descifrar con la otra del mismo par.
  • 10. Firma digital Esquema de funcionamiento de la firma digital:
  • 11. Certificados digitales I ¿Qué es un certificado? • Documento electrónico que garantiza la identidad de una persona o fqdn. • Contiene información del titular del certificado.
  • 12. Certificados digitales II Información que contiene un certificado (X.509v3): La identidad de un usuario y su clave pública. • Un número de serie y versión. • Periodo de validez. • La identidad de quién emite el certificado. • Descripción. • Clave pública. • Algoritmos utilizados. • La firma digital de las informaciones contenidas en el • certificado.
  • 13. Certificados digitales III ¿Cómo obtengo un certificado digital? • Se solicitan a una autoridad de certificación. • Tienen un tiempo de validez determinado, a partir del cual caducan. • Normalmente hay que pagar por ellos.
  • 14. Certificados digitales IV Contenido de un certificado: Data: Version: 3 (0x0) Serial Number: 18 (0x12) SignatureAlgorithm: PKCS #1 SHA-1 con cifrado RSA Issuer: OU = FNMT Clase 2 CA, O = FNMT, C = ES Validity: NotBefore: Jan7 13:02:39 2000 GMT NotAfter: Jan6 13:02:39 2001 GMT Subject: CN = Toni, OU = 00011, OU = FNMT Clase 2 CA, O = FNMT, C = ES PublicKeyAlgorithm: rsaEncryption RSA PublicKey: (512 bit) Modulus(512 bit): 00:98:59:ab:d9:7e:a3:40:21:60:ee:54:a5:a4:54: d2:29:fd:50:82:c1:28:05:25:0a:6b:aa:61:aa:e0: 19:3b:d7:5e:18:f2:14:60:ed:58:f6:87:eb:4c:61: fc:9e:ed:9d:b2:19:d4:73:25:cc:d4:63:88:54:f4: 49:2a:ba:ce:7b Exponent: 65537 (0x10001) SignatureAlgorithm: PKCS #1 SHA-1 con cifrado RSA 7a:df:8a:aa:b5:23:5b:c6:ff:f3:02:73:65:bb:0f:05:7a:fd: f4:68:ee:b9:fe:92:72:53:bb:f2:31:9e:38:92:69:b3:04:22: d7:be:f5:18:42:7a:c0:9b:e2:1e:04:a4:66:02:80:76:79:0e: f6:c3:7e:25:2d:ec:00:01:fb:f7
  • 15. Autoridades de Certificación I Autoridad de Certificación (CA): • Entidad intermediaria y confiable que emite y administra los certificados. • Garantiza la asociación entre una clave pública y una identidad. • Debe verificar los datos incorporados en el certificado. • Problemas asociados a lo difuso de las relaciones de confianza. • Publicación de las listas de certificados no válidos.
  • 16. Autoridades de Certificación II Tipos de autoridades de certificación: • CA interna • CA ext. certificadora de empleados • CA ext. certificadora de clientes • CA tipo Tercera Parte Confiable Tipos de certificados: • Certificados de usuarios • Certificados de servidores • Certificados de CA
  • 17. Validez de los certificados: CRL y OCSP Listas de Revocación de Certificados (CRL) Misión: • Detectar que un certificado no es válido en caso de sustracción, errores, cambios de derechos, ruptura de la CA. Problemas: • CRLs de gran longitud • Existe un intervalo de posible fraude • Comprobación on-line de certificados Para verificar una firma de un documento, el usuario no sólo ha de verificar el certificado y su validez, sino que también ha de adquirir la versión más reciente de la CRL y confirmar que el número de serie del certificado no está en tal CRL.
  • 18. Validez de los certificados: CRL y OCSP Contenido de una CRL: • Versión • Algoritmo de Firma • Emisor • Actualización Presente • Siguiente Actualización • Nº Serie Certificado • Fecha Revocación • Extensiones Locales • Extensiones Globales
  • 19. Validez de los certificados: CRL y OCSP Servidor OSCP (Online Certificate Status Protocol) • Confirmación online del estado de un certificado. • Servicio online de alta disponibilidad que debe ofrece la CA a los usuarios. • Proporciona información más adecuada y reciente. • No requiere CRLs: ahorra tráfico y CPU. • Las CRLs contienen información sensible. • Usa LDAP como backend. Funcionamiento: el cliente OSCP envía petición de estado al OSCP responder y suspende su aceptación hasta recibir respuesta.
  • 20. Soluciones PKI en Software Libre Las soluciones a tener en cuenta son: OpenCA • OpenXPKI (fork de OpenCA) • EJBCA • PHPki • Gnomint • OpenSSL •
  • 21. Soluciones PKI en Software Libre OpenCA: herramienta que proporciona un interface Web para poder administrar una PKI. Componentes: • Una interface web creado en Perl (Público). • Openssl para operaciones criptográficas. • Una base de datos (MySQL/PgSQL). • Un OpenLDAP, Apache (mod_ssl). Características: • Software Libre. • Integración con otras aplicaciones. • Comunidades de soporte y empresas. • Soporte estándares internacionales. • Versión 1.0.2 • En castellano • Demo en http://mm.cs.dartmouth.edu/pki/pub/
  • 22. Soluciones PKI en Software Libre OpenCA: Capturas de pantalla, Inicialización:
  • 23. Soluciones PKI en Software Libre OpenCA: Capturas de pantalla, General:
  • 24. Soluciones PKI en Software Libre OpenXPKI: fork de OpenCA, con varios componentes reescritos. Componentes: • Similares a OpenCA (perl). Características: • Software Libre. • No se liberan versiones de forma normal, se distribuye en ISO, SVN, nightly builds. • Soporte estándares internacionales. • Versión 0.9.1 • Integrado con RT para solicitud de certificados. • Múltiples instancias de CA • Soporte nCipher y nShield para hardware criptográfico.
  • 25. Soluciones PKI en Software Libre OpenXPKI: captura de pantalla, listado:
  • 26. Soluciones PKI en Software Libre EJBCA: Infraestructura completa de PKI realizada en Java. Componentes: • Java JDK. • Servidor de aplicaciones Jboss, Glashfish • Ant Características: • Software Libre. • Proyecto muy activo. • Soporte estándares internacionales. • Versión 3.8.1. • Software complementario para más funcionalidades. • Multiples CAs y multiplataforma. • Soporte a gran variedad de HW criptográfico y eParapher*.
  • 27. Soluciones PKI en Software Libre EJBCA: Capturas de pantalla, panel de administración:
  • 28. Soluciones PKI en Software Libre EJBCA: Capturas de pantalla, visor de eventos:
  • 29. Soluciones PKI en Software Libre PHPki: Infraestructura mínima de PKI realizada en PHP y OpenSSL. Componentes: • Apache + mod_ssl. • OpenSSL • PHP (librerías criptográficas) Características: • Software Libre. • Proyecto parado. • Soporte y funcionalidades limitadas. • Versión 0.82. • Muy fácil de usar e implementar. • No soporta HW criptográfico.
  • 30. Soluciones PKI en Software Libre PHPki: captura de pantalla, menú de administración:
  • 31. Soluciones PKI en Software Libre Gnomint: Herramienta gestión de CA y certificados para Gnome. Componentes: • Gnome. • OpenSSL Características: • Software Libre. • Soporte y funcionalidades limitadas. • Versión 0.6.0. • Muy fácil de usar e implementar. • No soporta HW criptográfico. • No soporta OCSP.
  • 32. Soluciones PKI en Software Libre Gnomint: captura de pantalla, listado:
  • 33. Soluciones PKI en Software Libre OpenSSL: Herramienta por excelencia para gestión y creación de CAs y certificados. Componentes: • OpenSSL ;) Características: • Software Libre. • Herramienta por línea de comandos. • Soporta gestión de CA, cifrado, firma, etc. • Navaja suiza para certificados. • Multiplataforma. • Dispone de su propia shell. Ver: Usando OpenSSL en el mundo real.pdf (blyx.com)
  • 34. Soluciones PKI en Software Libre OpenSSL: línea de comandos, ejemplos: $ fnd /etc -type f | xargs openssl md5 > /etc/secure/md5_sigs.txt El anterior comando creará un archivo MD5 hash de todos los archivos del directorio /etc. Estos finger prints deben ser almacenados como solo lectura y en un lugar seguro. Veamos un ejemplo para cifrar un archivo llamado passwd con Blowfish: $ openssl bf -e -in /etc/secure/passwd -out /etc/secure/passwd.enc.bf El siguiente ejemplo muestra como descifrar el archivo /etc/secure/sensitive_data.enc.3des que fue cifrado con el algoritmo 3DES: $ openssl enc -des3 -d -in /etc/secure/sensitive_data.enc.3des -out /etc/secure/sensitive_data El siguiente ejemplo muestra como generar el MD5de la contraseña “blah”: $ echo blah | openssl passwd -stdin -1 La opción quot;-1quot; indica que usaremos MD5 como algoritmo y la opción “-stdin” indica que le pasamos la contraseña a través de la entrada estándar.
  • 35. Soluciones PKI en Software Libre eParapher: Cliente para firma digital de documentos. Componentes: • Java 5 y 6. • Eclipse. • OpenOffice 2.4+ • Maven. • Apache directory studio. Características: • Software Libre. • Herramienta gráfica multiplataforma. • Windows, Linux y Mac. • En estado inicial, versión 0.0.1. • Bien dimensianada. • Soporta firmas en PDF, PDF/A, CMS and XML. • Firma masiva (bulk sign).
  • 38. Agradecimientos: Víctor Manuel Fernández Gómez - http://vfernandezg.blogspot.com/ Gonzalo Álvarez Marañón - Univ. Oviedo. Pedro Pablo Pérez García - Univ. Oviedo. José María Sierra - Univ. Comillas.
  • 39. $ while true; do ; ‘¡gracias!’; done ;-) Toni de la Fuente Director de Sistemas y Soporte Intecna Soluciones afuente@intecna.es