CERTIFICADOS DIGITALES SEGURIDAD INFORMÁTICA Expositor: RONALD SERNA rserna@utp.edu.pe

CERTIFICADOS DIGITALES

SEGURIDAD INFORMÁTICA

Expositor: RONALD SERNArserna@utp.edu.pe

Contenidos

I. Overview.

II. Fundamentos de seguridad TI.

III. Fundamentos de Certificados Digitales: Criptología.

IV. Aplicaciones en TI

V. Demo.

VI. Preguntas

I. Overview

Overview

• La Internet es una red pública no segura.

• Transacciones Web configura un protocolo seguro que viaja por IP: Certificados Digitales.

• http es por naturaleza sin estado.

Overview

• Reconocimiento–Descubrimiento no autorizado de sistemas, servicios o vulnerabilidades.

• Acceso–Manipulación no autorizada de datos, acceso a redes o privilegios.

• Denial of Service–Negar acceso a servicios o redes.

Tipos de amenazas en la Red

Overview

Análisis de Riesgo

Definición de Política de Seguridad

Implementación de Medidas de

Protección

Cumplimiento de Políticas

Monitoreo y Revisión

“La seguridad no es un producto, es un proceso continuo”

Ciclo De Seguridad

II. Fundamentos de Seguridad

Fundamentos de seguridad TI

• Preservación de la confidencialidad, integridad y disponibilidad de la información.

(ISO/IEC 17799:2000).

Fundamentos de seguridad TI

• Confidencialidad:– Asegura que la información es

accesible sólo a aquellos autorizados a tener acceso.

AUTENTICACIÒNAUTORIZACIÒN

Fundamentos de seguridad TI

• Integridad:– Protege la exactitud y totalidad de la

información.

Fundamentos de seguridad TI

• Disponibilidad:– Asegura que los usuarios autorizados

tienen acceso a la información y bienes asociados cuando lo requieren.

Fundamentos de seguridad TI

Datos Datos Datos Datos

Información Segura

III. Fundamentos de Certificados Digitales: Criptología

Contenidos

• Conceptos• Cifrado Simétrico.• Cifrado de llaves públicas.• Firmas digitales.• Infraestructura de llaves públicas

(PKI)

Conceptos GeneralesDefiniciones

• Criptografía:– Arte de proteger la información al transformarla

en un texto cifrado. Sólo quienes poseen una llave secreta pueden descifrar el mensaje.

• Criptoanálisis:– Técnicas para descifrar mensajes cifrados.

• Criptología.– Comprende la criptografía y el criptoanálisis.

Conceptos GeneralesDefiniciones

• Cifrado: (Encryption).– Traslación de datos en un código secreto.– Brinda confidencialidad de datos.– Tipos: simétrica y asimétrica.

• Descifrado: (Decryption).– Proceso de decodificar datos que han sido

cifrados.– Requiere de una llave secreta o contraseña.

CriptografíaEsquema General

Mensaje enformatoplano

Texto Plano

Mensaje enformatoplano

Texto Plano

ia5f47a87afat7a687f87art747h3h44s7s7r89s

Texto Cifrado

1 2 3

LLave Secreta LLave Secreta

CIFRADO DESCIFRADO

CriptografíaClasificación de sistemas criptográficos

• Sistemas de llave simétrica.– Uso de llave única.

• Sistemas de llave pública.– Uso de dos llaves.

Cifrado Simétrico

Cifrado Simétrico

• Llave común para cifrar y descifrar el mensaje.

• Ventaja: Simple y rápido.• Desventaja: intercambio de llaves.

Cifrado SimétricoEsquema General

Mensaje enformatoplano

Texto Plano

Mensaje enformatoplano

Texto Plano

ia5f47a87afat7a687f87art747h3h44s7s7r89s

Texto Cifrado

1 2

3

Cifrado SimétricoEjemplos de algoritmos

• DES: Data Encryption Standard.• 3DES: Triple DES.• AES: Advanced Encryption

Standard.• IDEA: International Data Encryption

Algorithm.

Cifrado SimétricoDES: Data Encryption Standard

• Sistema de cifrado simétrico más popular.

• Desarrollado por IBM en 1970.• Estándar ANSI X.3.92. (1981).• Trabaja con bloques de 64 bits y

llave de 56 bits.• Referencias:

– http://www.itl.nist.gov/fipspubs/fip46-2.htm.

Cifrado Simétrico3DES: Triple DES

• Cifrado de un texto tres veces con el des.

• Modalidades:– DES-EEE3.– DES-EDE3.– DES-EEE2.– DES-EDE2.

Cifrado SimétricoAES: Advanced Encription Standard

• Reemplaza a DES en el gobierno de EEUU desde octubre 2000.

• Trabaja con bloques de 128 bits y llaves de 128, 192 y 256 bits.

• Referencias:– http://csrc.nist.gov/encryption/aes/.– http://www.esat.kuleuven.ac.be/~rijmen/

rijndael/.

Cifrado SimétricoIDEA

• Es considerado muy seguro.• Patentado por Ascom-Tech.• Es libre para uso no comercial.• Trabaja con bloques de 64 bits y

llave de 128 bits.• Referencias:

– http://www.ascom.ch.

Cifrado de Llaves Públicas

Cifrado de Llaves Públicas

• Inventada en 1976 por Diffie y Hellman.• Ventajas: mayor seguridad.• Desventajas: mayor procesamiento.• Utiliza 2 llaves independientes pero

relacionadas matemáticamente:– Una pública, otra privada.– Asimétricas: lo que se cifra con una se descifra

con la otra.– A partir de una no se puede deducir la otra.

Cifrado de Llaves Públicas Esquema General

1Las llaves públicasson intercambiadas

2

3

Servidor A

Privada Pública

A B

2

3

Servidor B

PrivadaPública

A B

Se calcula la llave utilizandoDiffie-Hellman

Llave secreta compartida(Llave de sesión básica)

Usada entre A y B

Cifrado de llaves públicasEjemplos de algoritmos

• RSA.• PGP: Pretty Good Privacy.• EEC: Ellictic Curve Criptography.

Cifrado de llaves públicas RSA

• Utilizado en transmisión de datos por internet.

• Inventado por Rivest, Shamir y Adelmar.

• Basado en dificultad de multiplicar dos números primos grandes.

• Referencia:– http://www.rsasecurity.com/.

Cifrado de llaves públicas PGP: Pretty Good Privacy

• Desarrollada por Philip Zimmerman.• Muy utilizada en seguridad de correo

electrónico.• Técnica efectiva, fácil de usar y libre para

uso no comerciales.• Se basa en una combinación de cifrado

simétrico y llaves públicas.• Referencias:

– The International PGP Home Page http://www.pgpi.org/.

Cifrado de llaves públicas ECC: Elliptic Curve Cryptography

• Utilizado en aplicaciones móbiles.• Se basa en las propiedades de la

ecuación de una curva elíptica.– Usa llaves más cortas que RSA.– Más rápido y requiere menos recursos de

procesamiento.

• Referencias:– The IEEE P1363 Home Page. Standard

Specifications For Public-Key Cryptography.– http://grouper.ieee.org/groups/1363/.

Firmas Digitales

Firma digital

• Código digital que se adjunta a un mensaje transmitido electronicamente para identificar al origen.

• Se genera usando una función hash.• Se utiliza ampliamente en comercio

electrónico.• Funciones:

– Integridad de datos.– No-repudiación de origen.

Firma DigitalFunción Hash

• Se aplica a un bloque de datos de cualquier longitud.

• Produce un resultado de longitud fija.

• Del resultado no se puede deducir el mensaje original.

• Es muy improbable que otro bloque produzca el mismo resultado.

• Algorimos: MD5, MD4, SHA.

Firma DigitalMD5

• Algorimo creado por R.Rivest en 1991.

• Usado para crear firmas digitales.• Utiliza resumen de 128bits.• Más seguro y menos rápido que

MD4.• Referencias:

– The MD5 Message-Digest Algorithm http://www.ietf.org/rfc/rfc1321.txt?number=1321.

Infraestructura de llaves públicas

Infraestructura de llaves públicas (PKI)

• PKI: Public Key Infrastructure.• Sistema de certificados digitales y

autoridades certificadores.• Verifica y autentica la validez de una

transacción en Internet.• Arquitectura jerárquica.

PKIAplicaciones

• Correo electrónico seguro.

• Acceso seguro a aplicaciones.

• Sign-on reducido.• Cifrado de archivos de

estaciones.• Trasacciones SSL.• VPNs IPSEC.

PKIComponentes

• Autoridad certificadora (CA).– Emite y verifica los certificados digitales.– El certificado incluye información de la llave

pública.

• Autoridad registradora (RA).– Verificador de la autoridad certificadora antes

de emitir un certificado digital.

• Directorios de almacenamiento de certificados (y llaves públicas).

• Sistema de administración de certificados.

Certificado digital

• Contiene:– Llave pública.– Identifica al dueño de la llave privada.

• Son emitidos por una autoridad certificadora (CA:certificate authority).

• Garantizan la vinculación entre la identidad de algo o alguien y su clave pública.

• Usan estándar X.509.

X.509.

• UIT: Uniòn Internacional de Telecomunicaciones: Estándar más utilizado para definir certificados digitales.

• CERTIFICADO UTILIZADO POR LO NAVEGADORES: Netscape y Microsoft utilizan X.509 para implementar SSL en sus servidores web y browsers.

• USA MD5 y clave privada RCA• Referencias:

– http://www.itu.int.

Autoridad certificadora

• Garantiza que las partes de una transacción electrónica sean quienes dicen ser.

• Funciones:– Generar certificados digitales.– Revocar certificados digitales.

Autoridad CertificadoraEsquema de Funcionamiento

Sitio de Registro del Certificado

1. El cliente solicita CertificadoDigital por intermedio de laAutoridad de Registro (RA)

2. La RA realiza la identificacion yautenticación (I&A) en todos los

requerimientos de certificado

CA3

Autoridad Certificadora

CA2

CA1

3. RA solicita la emisión deun certificado desde la

infraestructura CA

5. El certificado digital esentregado al cliente final

Usuario propietariodel certificado

4. CA genera un certificadodigital en favor del clienteOBTENCIÓN DE

CERTIFICADODIGITAL

Sistema de Registro

Autoridad CertificadoraEjemplos

• Baltimore Technologies, www.baltimore.com• Certicom, www.certicom.com• Computer Associates eTrustPKI, www.ca.com • Entrust, www.entrust.com• GeoTrust, www.geotrust.com• Identrus DST, www.identrus.com • MS Windows 2000, www.microsoft.com• Novell Certificate Server, www.novell.com • RSA Security Keon, www.rsa.com• VeriSign, www.verisign.com

IV. Aplicaciones en TI

Kerberos

KerberosMecanismo criptográfico

Cliente (C)

Servidor deAutenticación (AS)

ServidorDestino (S)

1

2

5

6

Servidor deTickets (TGS)

3

4

KerberosIntercambios de información

C C,S AS

C KC(KS(t), KTGS(A,KS)) AS

C KTGS(C, KS), S, KS(t) TGS

C KS(S, KC-S), KS(A, Kc-s) TGS

C KS(A, Kc-s) , K c-s (mensaje) S

C K c-s (respuesta) S

RSA

RSATeoría

• Paso 1: Seleccionar p y q.– 2 números primos grandes: (mayores que

10100).

• Paso 2: Calcular n y z.– n = p x q.– z = (p-1) x (q-1).

• Paso 3: Seleccionar d.– d = número primo con respecto a z.

• Paso 4: Encontrar e.– e x d = 1 mod z.

RSAFuncionamiento

• Paso 5: Dividir los datos en P bloques de k bits.– Donde: 2k < n.

• Paso 6: Para cifrar C=Pe (mod n).– Clave pública (e,n).

• Paso 7: Para descifrar P=Cd (mod n).– Clave privada (d,n).

RSAEjemplo Simple

• Paso 1: Elegimos p=3, q=11.• Paso 2: Calculamos n=33, z=20.

– n = p x q, z = (p-1) x (q-1).

• Paso 3: Seleccionamos d=7.– 7 es primo con 20.

• Paso 4: Encontramos e=3.– ex7=1(mod 20).

RSAEjemplo Simple

• Sea el texto “SUZA.”– En forma numérica: 19 21 26 1.

• Paso 6: Para cifrar C=P3 (mod 33).– P3 =6859 9261 17576 1.– C=28 21 20 1.

• Paso 7: Para descifrar P=C7 (mod 33).– C7 = 13492928512 1801088541 1280000000 1.– P = 19 21 26 1 “SUZA”.

V. Demo: Transacciones Web

Transacción Web

Mecanismos de protección

• SSL (Secure Sockets Layer)– HTTPS (HTTP over SSL)

• SET (Secure Electronic Transaction)

SSLSecure Sockets Layer

• Protocolo muy usado para manejar la seguridad de la transmisión de un mensaje por Internet.– Trabaja entre las capas HTTP y TCP.– Es incluído como parte de los

navegadores Microsoft y Netscape y la mayoría de productos de servidores web.

SSL

– Desarrollado por Netscape.– El término "sockets" se refiere al

método de pasar datos entre programas cliente y servidor o entre diferentes capas de programa de un mismo computador.

SSL

– Utiliza sistema de cifrado de llaves públicas y privadas de RSA.

– Incluye uso de certificado digital.– Su sucesor es TLS (Transport Layer

Security) RFC2246.– TLS y SSL están integrados en la

mayoría de navegadores y servidores web, y no son interoperables.

SSL

HTTPS

• HTTPS (Hypertext Transfer Protocol over Secure Socket Layer, o HTTP over SSL)

• Protocolo web desarrollado por Netscape.– Cifra y decifra los requerimientos de página de

un usuario y las páginas del servidor Web.– Es el uso de SSL como una subcapa de la

aplicación HTTP.– Utiliza puerto 443 (En lugar de 80).

HTTPS

• HTTPS y SSL soportan el uso de certificados digitales X.509 en el servidor.– El usuario puede autenticar el origen.

• No confundir con S-HTTP.– Versión mejorada en seguridad de

HTTP desarrollada y propuesta como estándar por EIT.

HTTPS

• Acceso a páginas seguras.

HTTPS

• Identificador de página segura– Netscape

– Internet Explorer

HTTPS

• Certificado digital

Configurando un servidor web

• Configuración de IIS 6.0.• Visualización de la Key.• Envío a una entidad certificadora.

Procesos de la entidad certificadora

• Recepción de la solicitud.• Investigación del solicitante• Autorización.• Enviando su clave pública.

Utilizando https

• Configuración de la petición.• Utilización de https.

VI. Preguntas

rserna@utp.edu.pe

Gracias.