IMPLEMENTACIN DE UNA INFRAESTRUCTURA DE CLAVE PBLICA - PKI

ASTRID LILIANA BOHORQUEZ

NUBIA ESPERANZA CASTILLO GUZMAN
JOSE ALVARO VARGAS NARANJO

INSTITUCION UNIVERSITARIA POLITECNICO GRANCOLOMBIANO

FACULTAD DE INGENIERIA DE INGENIERIA Y CIENCIAS BASICAS
BOGOTA
2.013

IMPLEMENTACIN DE UNA INFRAESTRUCTURA DE CLAVE PBLICA - PKI

ASTRID LILIANA BOHORQUEZ

NUBIA ESPERANZA CASTILLO GUZMAN
JOSE ALVARO VARGAS NARANJO

Conceptos Bsicos sobre infraestructura de clave pblica - PKI

Modelo de Arquitectura para una posible implementacin de una
infraestructura de clave pblica

VIVIANA MORA
DOCENTE

INSTITUCION UNIVERSITARIA POLITECNICO GRANCOLOMBIANO

INGENIERIA DE SISTEMAS
NOVENO SEMESTRE
2.013

Contenido

INTRODUCCION
1. Conceptos Bsicos sobre infraestructura de clave pblica - PKI
1.1. Que es una PKI
1.2. Cuales son sus Usos
1.3. Cuales son los riesgos asociados al no uso de una PKI
1.4. Cuales son los beneficios de implementar una PKI
1.5. Citar ejemplos de PKI

2. Modelo de Arquitectura para una posible implementacin de una

infraestructura de clave pblica
2.1. Un diagrama de una RED Corporativa (local o global)
2.2. Los elementos requeridos para el montaje de una PKI
2.3. Implementacin de cada componente dentro del diagrama de red.
2.4. Poltica para la emisin de certificados en una organizacin
2.5. Funcionamiento de cada componente dentro del diagrama de red Corporativa
citando ejemplos y haciendo un flujo de actividades

REFERENCIAS

INTRODUCCION

Una infraestructura de Clave Pblica (PKI) le permite a una compaa contar con
sistemas de autenticacin, controles de acceso, confidencialidad y no repudio para
sus aplicaciones en redes, usando tecnologa avanzada, tal como firmas digitales,
criptografa y certificados digitales.

Este tipo de infraestructura se basa, en el cifrado de clave pblica, sobre todo en

la cifra RSA, por dos razones: Porque fue la primera en patentarse y porque sus
inventores crearon escuela al formar la empresa que hoy es ms importante en el
desarrollo e implantacin de Infraestructuras de Clave Pblica: RSA Data Security
Inc y su filial certificadora Verisign.

Este trabajo describe en primera lugar las claves para entender la Infraestructura
de Clave Pblica (definicin, tecnologas usadas, objetivos que busca), algunas
herramientas usadas para su implantacin y los problemas que se pueden
encontrar al hacerlo.

Para terminar se plantea un modelo de arquitectura para una posible

implementacin de una estructura de clave PKI.

1. CONCEPTOS BSICOS SOBRE INFRAESTRUCTURA DE CLAVE

PBLICA - PKI

1.1.

Que es una PKI

La infraestructura de clave pblica PKI, es un conjunto de elementos de

infraestructura necesarios que permiten la ejecucin con garantas de
operaciones criptogrficas como el cifrado, la firma digital y el no repudio de
transacciones electrnicas.
Esta tecnologa se utiliza para que los usuarios puedan autenticarse frente
a otros usuarios y aplicar certificados de identidad al momento de obtener la
informacin que se requiera, cifrar y descifrar mensajes, confirmacin de un
envo sin que exista repudio y realizar firmas digitales.
El uso de esta tecnologa consiste en que el usuario del sistema se registra,
obtiene un nombre de usuario que vendra ser pblica y la contrasea que
claramente es privada, utilizando algoritmos asimtricos. La clave pblica
es utilizada a travs de Autoridades Certificantes que publican estas claves
junto con los certificados de quien pertenece; la clave privada se mantiene
secreta y no puede ser publicada por ningn motivo. Para algunos casos se
utilizan medios magnticos, token o en tarjetas inteligentes con Chip.
La PKI es un protocolo que trata de describir los procesos organizativos
necesarios para la gestin de certificados digitales de claves pblicas para
el intercambio seguro de informacin, que permite firmar digitalmente un
documento electrnico (un email, el cdigo de un programa, una
transaccin bancaria, unos anlisis mdicos), o permite identificar a una
persona o empresa en Internet, o permite acceder a un recinto o servicio
restringido.
Las PKIs, son sistemas mixtos hardware/software, basados en diferentes
agentes que permiten dotar a mquinas y usuarios de Certificados Digitales
de Identidad.

1.2.

Cuales son sus Usos

Los usos son innumerables, podemos citar entre otros, los siguientes usos
de la tecnologa PKI:

Autenticacin de usuarios y sistemas como el login: Este nos permite

realizar una gestin ideal de administracin en cuentas y tener un nivel de
confianza ms alto.

Identificacin del interlocutor: Reconocer al usuario entre la

comunicacin.

Cifrado de datos digitales: Nos permite la confidencialidad de los

datos.

Firmado digital de datos: Se logra identificar la autenticacin de

origen del mensaje.

Asegurar las comunicaciones: Se obtiene confidencialidad del trfico

de los datos

Garanta de no repudio: como el negar que cierta transaccin tuvo

lugar.

1.3.

Cuales son los riesgos asociados al no uso de una PKI

Existen slo diecisiete pases en el mundo con un marco legal establecido

por sus respectivos gobiernos en el desarrollo de tecnologa PKI. Esto nos
da una idea de en que situacin se encuentra la utilizacin de las
Infraestructuras de Clave Pblica: en paales, aunque hay que tener en
cuenta que el RSA se public en 1997. Como ancdota patritica
comentar que Espaa fue uno de los primeros pases que se subi al carro.
En concreto en 1999, pero esto se comenta en el siguiente punto.
La situacin en Europa es muy distinta de la estadounidense. En Estados
Unidos reina una mayor libertad de mercado, porque las reglas no siempre
son claras. Por el contrario, en Europa la Directiva de Firma Electrnica y
las correspondientes leyes nacionales sobre la materia han restringido el
mbito en el que se pueden mover los prestadores de servicios de

certificacin y los proveedores de estas tecnologas. Esto es, en Europa los

gobiernos deciden qu dispositivos de certificacin son seguros y quin
puede convertirse en prestador de servicios de certificacin. Adems, en los
pases de la Unin Europea suele haber una autoridad auspiciada por el
gobierno con vocacin de establecerse como prestador de servicios
genrico para facilitar el acceso a la firma electrnica por parte de los
ciudadanos, como Ceres en Espaa o las fbricas de moneda y timbre de
cada pas.
Evidentemente la situacin de las administraciones pblicas no tienen nada
que ver con el entorno privado y estas se han desarrollado de forma mucho
ms rpida, espoleadas por el boom de las empresas punto com y por la
rpida implantacin de productos de distribucin de claves y
comunicaciones seguras en grandes empresas (como los bancos por
ejemplo). Aunque esta implantacin no se produjo de cara al cliente final.

Los fabricantes de tecnologa PKI que se crearon confiando en el boom de

final del siglo pasado se han dado un buen porrazo debido a varios factores
entre los que se encuentran el famoso 11-S o la ralentizacin de la
adopcin masiva del comercio electrnico. Slo aquellos que se han
diversificado en otros campos (como las otras necesidades de las 3A) son
las que se han mantenido y confan en un futuro muy prometedor.

En general, el mercado mundial de software y servicios de securizacin en

2001 fue de 12.045 millones de euros, en 2002 ser de 15.455 millones de
euros, y para el ao 2005 alcanzar 34.432 millones de euros. Tambin de
acuerdo con la misma consultora, el mercado mundial de PKI en 2001
supuso 738 millones de euros, en 2002 alcanzar los 1.106 millones, y para
2005 ser de 2.955 millones. Fuente: Datamonitor.

Algunos riesgos asociados al no uso de la tecnologa PKI, son:

La informacin del usuario est expuesta a cualquier otro usuario.


Sin esta seguridad el sistema est expuesto a robos de informacin,
datos bancarios, etc

No tener claridad en la identidad del usuario

Prdida de tiempo y costos en el anlisis de autenticacin del usuario

Procesos dispendiosos e intiles

Intranquilidad de los usuarios a utilizar el sistema.

1.4.

Cuales son los beneficios de implementar una PKI

Los objetivos que persigue una PKI, se consigue gracias a la propiedades

de la criptografa de clave pblica, y son los siguientes:

Autentificacin de usuarios: Asegurar la identidad de un usuario, bien

como signatario de documentos o para garantizar el acceso a servicios
distribuidos en red, ya que slo l puede conocer su clave privada, evitando
as la suplantacin.

No repudio: Impedir que una vez firmado un documento el signatario

se retracte o niegue haberlo redactado.

Integridad de la informacin: Prevenir la modificacin deliberada o

accidental de los datos firmados, durante su transporte, almacenamiento o
manipulacin.

Auditabilidad: Identificar y rastrear las operaciones, especialmente

cuando se incorporan marcas de tiempo.

Acuerdo de claves secretas: para garantizar la confidencialidad de la

informacin intercambiada, est firmada o no.

En una tecnologa PKI es fundamental la implementacin ya que se

obtienen beneficios como las siguientes:

1.
Los certificados contienen informacin comprobable vinculada con la
identidad del usuario, permitiendo con esto la autenticacin real del usuario
y no basado en direcciones IP donde puedan ser dinmicas, nombres de
dominio y direcciones de correo donde puedan ser vigiladas.
2.

Las claves no viajan a travs de la red

3.
Los certificados garantizan la validez de la informacin y estos deben
estar emitidos por una autoridad de certificacin reconocida.
4.
Permite mejorar los procesos de negocio, optimizando tiempos,
gestin de errores y reduciendo costos.
5.
Aumento en la satisfaccin del cliente, los usuarios pueden utilizar la
tecnologa desde cualquier sitio y en cualquier instante.

1.5.

Citar ejemplos de PKI

Algunos ejemplos de PKI

Comunicaciones entre servidores y buscadores de internet

Correo electrnico

Intercambio electrnico de datos (EDI)

Transacciones con tarjeta de crdito en internet

Redes privadas virtuales (VPN)

Cifrado y/o autenticacin de documentos

2. MODELO DE ARQUITECTURA PARA UNA POSIBLE

IMPLEMENTACIN DE UNA INFRAESTRUCTURA DE CLAVE PBLICA

2.1.

Un diagrama de una RED Corporativa (local o global)

Diagrama de una red corporativa de una compaa estndar

Diagrama de una red corporativa de una gran compaa

2.2.

Los elementos requeridos para el montaje de una PKI

Los componentes de una PKI

1.
Autoridad de certificacin (CA): Es el componente responsable de
establecer las identidades de los usuarios y realizan la creacin de los
certificados que forman una asociacin entre la identidad y el conjunto de
claves pblica y privada.
2.
Autoridad de registro (RA): Es el responsable del registro y de la
autenticacin inicial de los usuarios a quienes se les expide un certificado
posteriormente si cumplen todos los requisitos.
3.
Servidor de certificados: Este componente es encargado de expedir
los certificados aprobados con la autoridad de registro. La generacin de la
clave pblica para el usuario es compuesto con los datos del usuario y
finalmente se firma digitalmente con la clave privada de la autoridad de
certificacin.
4.
Repositorio de certificados: Este componente es encargado de hacer
disponibles las claves pblicas de las identidades registradas. Cuando se
requiere validar un certificado se realiza la consulta en el repositorio, se
verifica la firma, el estado del certificado.
5.
Autoridad de sellado de tiempo: Es encargado de firmar los
documentos con el objetivo de comprobar si existan antes de En el
siguiente diagrama de RED, se muestra un ejemplo de los elementos.

En el siguiente diagrama de RED, se muestra un ejemplo de los elementos

requeridos para el montaje de una PKI.

2.3.

Implementacin de cada componente dentro del diagrama de

red

Elementos que la componen:

La PKI se basa en el cifrado de clave pblica y est formada por:

Certificados Digitales, por ejemplo X509.

Una estructura jerrquica para la generacin y verificado de estos

certificados formada por las Agencias de Certificacin (CA) y las
Autoridades de Registro (RA) (que cumplen la funcin de sucursales de las
primeras). Donde la CA es una organizacin independiente y confiable.

Directorios de certificados, que son el soporte software adecuado

(bases de datos) para el almacenamiento de los certificados. Por ejemplo
directorios X.500 o LDAP (simplificacin del primero). Aunque no tienen por
qu estar localizados en un servidor central (modelo de Tercera Parte
Confiable) y estar distribuidos entre los usuarios como hace PGP (modelo
de Confianza Directa).

Un sistema de administracin de certificados, que es el programa

que utiliza la Agencia de Certificacin o la empresa donde se ha instalado la
PKI para que realice la comprobacin, la generacin, la revocacin de
certificados, etc.... Y este es el producto que cada compaa intenta vender
en el mercado. Mercado al que se le augura un prometedor crecimiento

2.4.

Poltica para la emisin de certificados en una organizacin

Este es un prototipo de las polticas de certificado dictadas por la compaa

certificadora de firma digitales para una corporacin.
La autoridad certificadora registrada debe implementar las polticas en los
servicios de certificacin que incluyen la emisin, gestin, suspensin y
renovacin de los certificados.
Se debe desarrollar conforme a lo estipulado en el RFC 3647 Internet X.509
Public Key Infraestructure.
La poltica debe incluir:

Nombre e identificacin del documento

Participantes en la PKI
- Autoridades certificadoras
- Autoridades de registro
- Suscriptores
- Partes que confan
- Otros participantes
Uso del certificado
- Usos apropiados del certificado
- Usos prohibidos del certificado
Administracin de la poltica
- Organizacin que administra el documento
- Persona de contacto
- Persona que determina la adecuacin de a PKI
- Procedimientos de aprobacin de la PKI
Definiciones y acrnimos
Responsabilidades de publicacin y del repositorio
- Repositorios
- Publicacin de informacin de certificacin
- Tiempo o frecuencia de la publicacin
- Control de acceso a los repositorios
Identificacin y autenticacin
- Nombres, tipos de nombres
- Contraseas seguras
- Validacin inicial de identidad

- Autenticacin de identidad dentro de la organizacin

- Autenticacin de identidad individual
- Validacin de la autoridad
- Criterios para interoperabilidad
Reemision de llaves
- Identidicacion y autenticacin para reemision de llaves y para
solicitudes de renovacin.
Procesamiento de solicitud de la PKI
- Aprobacin o rechazo
- Tiempo de para procesar solicitudes
- Emisin del certificado,
- Renovacin del certificado, requisitos y procesamiento.
- Notificacin al suscriptor
- Modificacin de certificados
- Suspensin de la PKI

2.5.

Funcionamiento de cada componente dentro del diagrama de

red Corporativa citando ejemplos y haciendo un flujo de
actividades

A continuacin se muestra del proceso cuando se realiza una peticin por

parte del usuario:

AUTORIDAD DE CERTIFICACION
Entidad fiable, encargada de garantizar de forma unvoca y segura la
identidad asociada a una clave pblica
Recibe y procesa peticiones de certificados de los usuarios finales
Consulta con una Autoridad de Registro para determinar si acepta o
rehsa la peticin de certificado
Emite el certificado
Gestiona Listas de Revocacin de Certificados (CRLs)
Renueva certificados

 Proporciona:
Servicios de backup y archivo seguro de claves de cifrado
Infraestructura de seguridad para la confianza, polticas de operacin
segura, informacin de auditora.
Nomenclatura CNI: Entidad de Certificacin (EC)

AUTORIDAD DE REGISTRO
Gestiona
el
registro
de
usuarios
y
sus
peticiones
de
certificacin/revocacin, as como los certificados respuesta a dichas
peticiones
Indica a la CA si debe emitir un certificado
Autoriza la ASOCIACIN entre una clave pblica y el titular de un
certificado
Gestin del ciclo de vida de un certificado:
Revocacin
Expiracin
Renovacin (extensin periodo validez del certificado, respetando el
plan de claves)
Reemisin del par claves del usuario
Actualizacin de datos del certificado

Nomenclatura CNI: Entidad de Registro (ER)

TITULARES CERTIFICADOS
Entidades finales
Usuarios finales
Suscriptores

PARTES UTILIZADORAS
Una vez la entidad final tiene un certificado...

Hay partes que confan en el certificado para comunicarse y realizar transacciones

con sus suscriptores.
Las partes utilizadoras verifican los certificados, las firmas electrnicas y los
caminos de certificacin.

REPOSITORIO/DIRECTORIO
Los directorios proporcionan almacenamiento & distribucin de certificados & listas
de revocacin (CRLs)
Cuando la CA emite un certificado o CRL, lo enva al Directorio
La CA tambin guarda el certificado o CRL en su base de datos local
La CA utiliza LDAP (Light-weight Directory Access Protocol) para acceder a los
directorios.
El usuario puede obtener certificados de otros usuarios y comprobar el estado de
los mismos.

AUTORIDAD DE VALIDACION
Suministra informacin de forma online acerca del estado de un certificado.
La VA suele proporcionar dos servicios de validacin:

el tradicional, permitiendo la descarga de CRLs para que el usuario las

interprete l mismo, o a travs del protocolo OCSP (Online Certification
Status Protocol).

Los usuarios y las aplicaciones que deseen obtener el estado de un certificado,

slo tienen que realizar una peticin OCSP contra la VA para obtener dicho
estado.
La CA actualiza la informacin de la VA cada vez que se modifica el estado de un
certificado, con lo que, a diferencia de las CRLs, se dispone de informacin en
tiempo real.
Nomenclatura CNI: Entidad de Validacin (EV)

FLUJO DE ACTIVIDADES

EJEMPLO DE FUNCIONAMIENTO DE UNA PKI

REFERENCIAS

Ciberp@s mensual n 24 Julio / ao 2002

The Internet Protocol Journal: Code Signing
Proveedores de certificacin: www.ipsCA.com; www.ace.com;
www.entrust.com; www.certisur.com; www.feste.com; www.verisign.com;
www.cert.fnmt.es
http://home.xcert.com/~marcnarc//PKI/thesis/PKI-Thesis.pdf : Tesis de la
universidad de McGill, Montreal
www.securytymanagement.com : Empresa desarrolladora de soluciones
PKI.
www.judiciary.senate.gov/privacy.htm : Conozca las Reglas, Use las reglas.
Documento del Senado de los EE.UU. para difundir el cifrado y los
conceptos de seguridad en Internet as como algunas aplicaciones.
Networking Tips & Newsletters- searchNetworking: Revista electrnica
sobre redes. De aqu cog alguna idea para el ltimo ejemplo. No pongo el
link porque no lo encuentro.
www.pki.gov.ar: Pgina de la administracin Argentina sobre PKI.
Los cdigos secretos. Simon Singh
Infraestructura de clave pblica PKI Seminario, Indra Sistemas S.A.,
2005.