Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad3 Santi
Seguridad3 Santi
Integridad y no repudio.
Firmas digitales y certificados
Agenda de seguridad
1.- Secretos: criptografa
2.- Protocolos de seguridad
3.- Aplicaciones y seguridad
4.- Redes y seguridad
Aspectos generales
Una gran parte de las transacciones
realizadas en Internet son cerradas
(comprador y vendedor se conocen
previamente).
Las transacciones abiertas (comercio
electrnico e-bussiness), usan clave pblica
o firma digital
La RED es todava
demasiado insegura?
integridad
integridad
integridad
integridad
10
11
Firma digital
La validacin de identificacin (autenticidad) de
muchos documentos legales, financieros y de
otros tipos se determina por la presencia/ausencia
de
12
No repudio
13
No repudio
14
Remoto
Clave simtrica
compartida
Mensaje
Mensaje a mandar
recibido
Pay to Terry Smith
$100.00
Dollars
Clave simtrica
compartida
$100.00
Dollars
Funcin
Funcin
Hash
Hash
4ehIDx67NMop9
$100.00
Dollars
4ehIDx67NMop9
4ehIDx67NMop9
Mensaje + Hash
Message Authentication Code MAC and Hash MAC (HMAC) son mtodos de autenticacin basado en
clave simtrica compartida entre ambas partes. Cuando el emisor necesita autenticarse, aade al
mensaje a mandar la clave y lo pasa atravs de la funcin Hash. Este compendio lo envia junto con el
mensaje, paso 1 y el receptor realiza el mismo proceso con su clave compartida, para comprobar que
coincide el resultado y por tanto autentica al emisor, paso 2.
No repudio
15
No repudio
16
Usuario A
DA EA
Usuario B
Calculo DA(P)
Calculo EB(DA(P))
DB EB
Envo EB(DA(P))
Calculo DB(EB(DA(P))) = DA(P)
Calculo EA(DA(P)) = P
No repudio
17
No repudio
18
Qu es un Certificado?
Un archivo, firmado con la clave privada de CA (autoridad de
certificacin) que incluyendo,
la identidad
la clave pblica del dicha identidad
atributos varios y
compendio de dicha informacin
20
certificado
21
certificado
22
Ejemplo de
certificados
raz en un
navegador
certificado
Enviado a
Emitido por
ABA.ECOM Root CA
AC del Colegio Nacional de Correduria Publica Mexicana, A.C.
Baltimore EZ by DST
Belgacom E-Trust Primary CA
C&W HKT SecureNet CA Class A
CA 1
Certiposte Classe A Personne
Certiposte Serveur
Certisign - Autoridade Certificadora - AC2
Class 1 Primary CA
Copyright (c) 1997 Microsoft Corp.
Deutsche Telekom Root CA 1
DST (ANX Network) CA
DST (NRF) RootCA
DST-Entrust GTI CA
Entrust.net Secure Server Certification Authority
Equifax Secure Certificate Authority
FNMT Clase 2 CA
GlobalSign Root CA
http://www.valicert.com/
IPS SERVIDORES
Microsoft Authenticode(tm) Root Authority
Microsoft Root Authority
NetLock Uzleti (Class B) Tanusitvanykiado
PTT Post Root CA
Saunalahden Serveri CA
Secure Server Certification Authority
SecureNet CA Class A
SecureSign RootCA
SERVICIOS DE CERTIFICACION - A.N.C.
SIA Secure Client CA
SIA Secure Server CA
Swisskey Root CA
TC TrustCenter Class CA
TC TrustCenter Time Stamping CA
Thawte Personal CA
UTN - DATACorp SGC
UTN-USERFirst-Client Authentication and Email
VeriSign Commercial Software Publishers CA
VeriSign Individual Software Publishers CA
VeriSign Trust Network
Xcert EZ by DST
ABA.ECOM Root CA
AC del Colegio Nacional de Correduria Publica Mexicana, A.C.
Baltimore EZ by DST
Belgacom E-Trust Primary CA
C&W HKT SecureNet CA Class A
CA 1
Certiposte Classe A Personne
Certiposte Serveur
Certisign - Autoridade Certificadora - AC2
Class 1 Primary CA
Copyright (c) 1997 Microsoft Corp.
Deutsche Telekom Root CA 1
DST (ANX Network) CA
DST (NRF) RootCA
DST-Entrust GTI CA
Entrust.net Secure Server Certification Authority
Equifax Secure Certificate Authority
FNMT Clase 2 CA
GlobalSign Root CA
http://www.valicert.com/
IPS SERVIDORES
Microsoft Authenticode(tm) Root Authority
Microsoft Root Authority
NetLock Uzleti (Class B) Tanusitvanykiado
PTT Post Root CA
Saunalahden Serveri CA
Secure Server Certification Authority
SecureNet CA Class A
SecureSign RootCA
SERVICIOS DE CERTIFICACION - A.N.C.
SIA Secure Client CA
SIA Secure Server CA
Swisskey Root CA
TC TrustCenter Class CA
TC TrustCenter Time Stamping CA
Thawte Personal CA
UTN - DATACorp SGC
UTN-USERFirst-Client Authentication and Email
VeriSign Commercial Software Publishers CA
VeriSign Individual Software Publishers CA
VeriSign Trust Network
Xcert EZ by DST
24
certificado
certificado de A
certificado de B
CA
Autoridad de Certificacin
CA
25
Servidores de Directorio
Ejemplo de directorios son los listines telefnicos que refleja el
usuario, la direccin, el telfono(s), etc pero slo se edita cada ao.
Los directorios electrnicos pueden ser consultados y actualizados en
tiempo real y su fiabilidad es mucho mayor que los directorios
tradicionales. Las ventaja aportadas son:
la organizacin de la informacin permite localizar sta de diferentes
maneras, incluso realizar bsquedas aproximadas
la informacin puede estar protegida por niveles de seguridad y permisos, y
mostrarla al solicitante segn sus privilegios (p.ej gerente/empleado)
27
directorio
LDAP y X.500
En 1988, la CCITT cre el estndar X.500, sobre servicios de
directorio que fue adoptado por la ISO en 1990, como ISO 9594.
X.500:
organiza las entradas en el directorio de manera jerrquica, capaz de
almacenar gran cantidad de datos, con grandes capacidades de bsqueda y
fcilmente escalable. X.500
especifica que la comunicacin entre el cliente y el servidor de directorio
debe emplear el Directory Access Protocol (DAP), protocolo a nivel de
aplicacin entre mquinas con protocolos OSI.
29
30
Ejemplo de directorio
C= ES
Clase Universitat
O= Universitat
OU= Informtica
Clase Asignaturas
dn= Redes
directorio
32
Distribuciones de LDAP:
OpenLDAP (versin gratuita http://www.openldap.org)
Iplanet Directory Server (versin comercial http://www.iplanet.com
directorio
33
36
Tarjetas
Dispositivo de plstico de dimensiones estndar, capaz de
almacenar y, en algunos casos, procesar informacin de manera
segura.
Son sistemas patentados por Roland Moreno (periodista francs) a
finales de los 70.
Actualmente utilizan tecnologa VLSI con microprocesador y
sistemas de ficheros cifrado.
Utilidad: almacenamiento y procesamiento de datos
confidenciales:
38
39
Tipos de tarjetas
Magnticas (ISO 7811): muy extendidas, de fcil fraude, con poco espacio
de memoria 180 bytes. Utilizada en accesos e identificacin
Con memoria (ISO 7816): con chip integrado que almacena informacin
de forma segura. Utilizada como monederos, ejemplo tarjetas para
telfonos pblicos. Llamadas Chipcards
Con microprocesador (ISO 7816/ISO 14443): son tarjetas seguras, pueden
ser programadas, con memoria de entre 2-4kbytes, pueden ser multiaplicacin, pero tienen el inconvenientes que slo acepta aplicaciones
desarrolladas por el fabricante. Utilizada en mdulos SIM,
SIM comercio
electrnico, donde el usuario de identifica con PIN (personal
identification number). Llamadas SmartCards
JAVA cards: incorporan microprocesador y utilizan un subconjunto de
lenguaje JAVA, Java Card Api. Permiten aplicaciones independiente del
hardware escritas en lenguaje de alto nivel, son 10 a 200 veces mas lentas
que las anteriores
40
Tarjetas de Microprocesador
Subsistemas de una
tarjeta de
microprocesador:
Existen tarjetas:
Sin contacto (contactless smart card) utilizando una antena (ISO14443)
Con contacto (ISO7816, ISO7813)
La CPU del microprocesador actua como guardin en la E/S del resto de
dispositivos de la tarjeta.
Las CPU suelen ser de 8 bits. Implementan RSA con claves de 512 (32 dgitos
hexadecimales) a 1024 bits.
Smart cards & PKI
41
42
Programa
en Java
Byte code
Optimizado
Compilador
Optimizador Conversor
Byte code
3
Cargador
JavaCard APIs
JavaTM Interpreter
OS
Smart cards & PKI
Apple
t
#1
applet
loader
43
SSL
Secure Socket Layer (SSL), desarrollado por Netscape en 1995.
SSL se localiza sobre el nivel de transporte, e independiente del
protocolo superior (interfaz similar a BSD Sockets). Se puede
utilizar con cualquier protocolo: HTTP, FTP, SMTP, etc .
Ejemplo: https://correo.uv.es
SSL cifra los datos intercambiados entre el servidor y el cliente
con cifrado simtrico (RC4 o IDEA) y cifrando la clave de
sesin mediante un algoritmo de cifrado de clave pblica,
tpicamente el RSA. Antes de establecer la conexin, pueden
pactar o negociar la forma de conectarse de forma segura.
HTTP FTP
Comprende los protocolos
SSL y TSL
SSL
HP
AP
CSCP ADP
RP
TCP
45
SSL/TSL
Cuando el navegador opera en modo de conexin segura,
aparece el dibujo de un candado o llave en la barra inferior.
Los puertos utilizados son