View
426
Download
1
Category
Preview:
Citation preview
Certificación Electrónica
Una Poderosa Herramienta, no una Varita…Guillermo Dotta - Deloittegdotta@deloitte.com
#GX2409
De qué va la charla???
Dónde salen mal las cosas entonces?
Con qué Herramientas contamos en una PKI real?
Las Bases… Qué es una Firma Electrónica? Qué es una PKI?
El porqué…
Se usan certificados desde los 901El modelo no se entiende
100%2Está creciendo notoriamente el
uso de Certificados3
“Albert Einstein
La perfección de los medios, y la confusión de los objetivos, parece ser nuestro mayor problema actualmente ”
• Para usar firmas electrónicas se necesita un par de llaves “Hermanas”, una descifra lo que la otra cifra
Pública
Las llaves…
Privada
• Cifro un hash del mensaje con mi llave privada, y mando mensaje + hash cifrado
La firma electrónica…
Pública
+ =Certeza de Integridad
Certeza de Origen
Ver si vale la pena esta diapo
• ¿Cómo sé quién es el dueño de la llave privada que firmó el mensaje?
El certificado…
Certeza de Identidad
Vigente
No Revocado+ =Emitido por una
CA confiable
Las tres patas de una PKI
Autoridad de Certificación
SuscriptoresTerceros
Política de Certificación (CP/CPS)
Por qué es importante la política de certificación (CP)?
Define el perfil del certificado
Define los controles que cualquier CA debe hacer para emitirlos
Define el tipo de suscriptor y los usos aceptables
Declara las garantías que pueden esperar los terceros cuando confían
Ejemplo – Thawte
Usos y OID
Nombre del Suscriptor
Nombre de la CA
Período de Validez
Link a la CP/CPS
Dónde sale mal?• Cuando no se utiliza bien las herramientas que la PKI le da a
cada actor
• Las CA están muy controladas… No hablaremos de ellas hoy
• Si los suscriptores hacen las cosas mal, probablemente nadie les acepte la firma en primer lugar… tampoco hablaremos de ellos…
• Los más vulnerables son los terceros, que por definición confían en los certificados y en las CA!!!
Casos a ver
Validación del Certificado1Validación de la CA2Usos de los Certificados3Tipo de Certificado4
Usos de los Certificados
Provider X rootCA
Provider X Subordinate CA N
Guillermo Dotta4.090.681-6
genexus.com
CA=true
CA=true
CA=false
Tipo de Certificado
• Tengo que estar seguro que el subjectdel certificado que me están presentandoes efectivamente algo que espero!
• Una historia del mundo físico sobre confiar en un tipo equivocado de certificado…
Conclusiones• El tercero es el más vulnerable de las tres patas
• Las políticas de certificación están hechas para leerse, y tomar decisiones en base a ellas
• Un certificado a priori no autoriza a nada, en el mejor de los casos sólo autentica!
“Bruce Schneier
Si piensas que puedes solucionar problemas de seguridad sólo con tecnología, entonces no entiendes los problemas ni tampoco entiendes la tecnología”
Recommended