10. Sistemas de confianza
– PGP (sistema horizontal)
Keyring B
BOB
Keyring A
ALICE
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
10
11. Sistemas de confianza
– X509 (sistema vertical)
AC raíz
…
Cadena …
AC de nivel n
de
certificación
…
…
Certificados
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
11
12. Almacenes de claves
– Necesitamos almacenar todos los
componentes:
• Certificados Raíz
• Certificados (parte pública)
• Claves privadas (parte secreta)
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
12
13. Almacenes de claves (I)
– Instalación directa en la máquina que va a
usarlas:
• OS X KeyChain
• MS CryptoApi
• Almacenes de claves de los navegadores
• Almacenes específicos (Java keystores, …)
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
13
14. Almacenes de claves (II)
– Dispositivos accedidos por software:
• Clauer
• Básicamente módulos que tienen acceso a la clave
privada pero permiten el uso sin instalación
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
14
15. Almacenes de claves (III)
– Dispositivos Hardware
• Tokens criptográficos
• Hardware Security Modules (HSM)
• SmartCards (por ejemplo el DNIe)
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
15
16. Almacenes de claves (y IV)
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
16
17. DNIe
• Carácterísticas:
– Parte física
• Seguridad contra falsificaciones
– Parte electrónica
• Chip certificado EAL5+
• Software certificado EAL4+
• Dividido en tres zonas (pública, privada y de
seguridad)
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
17
19. DNIe
• Parte electrónica (chip)
– Zona pública (sin PIN):
• Certificado AC intermedia
• Claves Diffie-Hellman
• Datos del “cardholder”: nombre, apellidos, número
DNI
– No accesibles a través del driver (APDU)
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
19
20. DNIe
• Parte electrónica
– Zona privada (con PIN):
• Certificado autenticación
• Certificado de firma
• Par de claves para cada certificado (RSA 2048 bits)
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
20
21. DNIe
• Parte electrónica
– Zona de seguridad (accesible sólo en PAC):
• Datos de filiación
• Fotografía
• Firma manuscrita
• Impresión dactilar
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
21
22. DNIe
• Instalación
– Instalación previa del driver del lector
– Drivers para Windows (CSP), Linux y OS X
(PKCS#11)
• http://www.dnielectronico.es/descargas/index.html
– En Linux/OS X se utiliza OpenSC (problemas
con versiones
– Para la firma electrónica -> Java Applets
Jornadas
VilaNet:
Comunicaciones,
Ocio
y
Nuevas
Tecnologías
22