Está en la página 1de 58

Implementar plataformas de

seguridad para Certificados


Digitales
Departamento de Informática

Copyright © 2014 por TECSUP 1


Objetivos
• Conocer el proceso del funcionamiento de las
tecnologías de autenticación.
• Diseña mejoras en la seguridad de acceso a la
red.
• Instalar y configurar soluciones de Certificados.
• Instalar y configurar soluciones de Tokens.

Copyright © 2014 por TECSUP


Índice
• Principios básicos de seguridad
• Firmas digitales
• Public Key Infrastructure (PKI)
• Certificados en Windows
• Tokens
• Tokens Authenticacion Windows

3
Introducción

INTERNET

Cliente
Servidor
WEB
Principios Básicos de Seguridad
• Para poder afirmar que una comunicación entre
dos entidades es segura, se deben cumplir
cuatro requisitos principales:
– La autentificación del usuario/entidad.
– La confidencialidad del mensaje.
– La integridad del documento.
– El no repudio.

A B
Definición de Principios Básicos
• Autenticación:
– Garantiza al destinatario de un mensaje que el emisor del
mensaje es quien dice ser.
• Confidencialidad:
– Garantiza que el mensaje va a ser leído solo por quien
corresponda.
• Integridad:
– Garantiza al destinatario del mensaje, que el mismo no ha
sido alterado en el camino.
Clasificación por el tipo de clave
• Las técnicas de criptografía moderna se pueden
clasificar en dos según el tipo de clave utilizado:
– Criptografía simétrica.
– Criptografía de clave pública o asimétrica.
Criptografía Simétrica
• Es el sistema de criptografía más antiguo.
• Se utiliza desde los tiempos de Julio César hasta
la actualidad.
• Se caracteriza por usar la misma clave para
encriptar y desencriptar
Texto Algoritmo Texto Algoritmo Texto
plano Encriptación cifrado Desencriptación plano
(Cifrado) (Descifrado)
Canal inseguro ó seguro

Clave Clave
secreta secreta
Criptografía Simétrica
• Algunos algoritmos simétricos conocidos son:
– DES (Data Encryption Standard)
• El más utilizado y más antiguo, en 20 años.
– IDEA (International Data Encryption Algorithm)
• Se utiliza mucho en sistemas nuevos europeos. No está
sujeto a las leyes de ningún país.
– AES (Advanced Encryption Standard)
• También conocido como Rijndael.
• Sucesor de DES.
Criptografía Simétrica
Características
• Utiliza la misma clave para cifrar y descifrar.
• El cifrado simétrico es rápido y seguro.
• El texto cifrado es compacto.
• Está sujeto a interceptación de la clave
simétrica.
• Requiere una administración compleja de claves.
Criptografía de clave pública o asimétrica
• Esta basado en utilizar claves distintas para
encriptar y desencriptar, una de ellas se hace
pública y la otra es privada para cada usuario.
A Confidencialidad B
Texto Algoritmo Texto Algoritmo Texto
plano Encriptación cifrado Desencriptación plano
Canal inseguro ó seguro

Clave Clave
Pública de B Privada de B
Clave pública de B
Lista de
claves Clave pública de C
públicas
Clave pública de D
Criptografía asimétrica 1 Par de Claves
Integridad y Confidencialidad Pública/privada
1 PUB
Clave pública Clave pública
PUB Par de Claves de Alicia de Bob
PRI
Pública/privada

2
PRI
INTERNET BOB
ALICIA Mensaje 4
3
Cifrado -----------
Mensaje -----------
----------- Mensaje
-----------
Original ----------- Cifrado Descifrado -----------
Original

Clave pública Clave privada


de Bob de Bob
Mensaje 5
6
Cifrado -----------
Respuesta -----------
----------- Respuesta
-----------
De Bob ----------- Descifrado Cifrado -----------
De Bob

Clave privada Clave pública


de Alicia de Alicia
Criptografía asimétrica 1 Par de Claves
Pública/privada
Autenticación y aceptación del emisor PUB
1 Clave pública Clave pública
PUB Par de Claves PRI
de Alicia de Bob
Pública/privada

PRI 2

INTERNET BOB
ALICIA Mensaje 4
3
Cifrado -----------
Mensaje -----------
----------- Mensaje
-----------
Original ----------- Cifrado Descifrado -----------
Original

Clave privada Clave pública


de Alicia de Alicia
Mensaje 5
6
Cifrado -----------
Respuesta -----------
----------- Respuesta
-----------
De Bob ----------- Descifrado Cifrado -----------
De Bob

Clave pública Clave privada


de Bob de Bob
Criptografía de clave pública o asimétrica
• Algunos algoritmos asimétricos conocidos son:
– RSA (Rivest-Shamir-Adleman):
• Puede usarse para firma digitales e intercambio de claves.
– DSA (Digital Signature Algorithm)
• Estándar usado para firma digital.
– Diffie-Hellman:
• Para distribuir claves simétricas, pero no sirve para
confidencialidad, autenticación ni firma digital.
Criptografía asimétrica: Características
• Lo que se cifra con una clave sólo es descifrable por la
otra clave.
• No sufre interceptación de claves.
• El n° de claves que se necesita distribuir es el mismo
que el n° de participantes (escalabilidad).
• No es necesario tener una relación previa entre las
partes para hacer intercambio de claves.
• El cifrado asimétrico es relativamente lento y expande el
texto cifrado.
• El cifrado asimétrico es “seguro”.
Funcion Hash
• Garantiza la integridad de la información.
• Toma una longitud arbitraria y genera un código
de longitud fija.

-----------
-----------
-----------
-----------
-----------
INTERNET -----------
Funcion Hash
Proceso
Mensaje
-----------
-----------
-----------

ALICIA
1 BOB
3
----------- -----------
----------- -----------
Huella dactilar
----------- -----------

Huella dactilar Huella dactilar

4
2

Huella dactilar
HASH
Funciones
• Las funciones hash mas comunes:

– Algoritmo Message Digest 4 (MD4)


• Poco usado
– Algoritmo Message Digest 5 (MD5)
• Procesa en bloques de 512 bits.
• Genera mensajes de 128 bits.
– Algoritmo hash seguro (SHA)
• Procesa en bloques de 512 bits.
• Genera mensajes de 160 bits.
FIRMAS DIGITALES
Creación de una firma digital
1 Par de Claves
Pública/privada
PUB
PRI
Mensaje
----------- PUB
3 -----------
-----------

2
Emisor Receptor
El mensaje original es la
Entrada de una funcion hash
unidireccional

006FBBC95 La salida es el hash


4 Del mensaje
PRI CIFRADO El hash se cifra con la clave
privada

FIRMA
La firma digital es el hash cifrado
FIRMAS DIGITALES
Verificación de una firma digital
Mensaje
-----------
-----------
-----------

FIRMA
Mensaje
El receptor separa el
-----------
mensaje de la firma -----------
FIRMA -----------

El mensaje es la
La firma se descifra entrada de una
PUB DESCIFRADO
utilizando la clave función hash
publica del emisor unidireccional

El resultado es el
006FBBC95
006FBBC95 El resultado es el hash del mensaje
hash descifrado
FIRMAS DIGITALES
Observaciones
• No proporcionan confidencialidad.
• Mayormente se busca la autenticación e
integridad del mensaje.
Public Key Infrastructure (PKI)
Public Key Infrastructure (PKI)
• Una infraestructura de claves públicas (PKI) es un
sistema de certificados digitales y entidades emisoras de
certificados (CA, certification authorities) que verifican y
autentican la validez de cada parte involucrada en una
transacción electrónica mediante el uso de criptografía
de claves públicas.
• Es una tecnología para el comercio electrónico, intranets,
extranets y aplicaciones Web.
• Los servicios principales que ofrece PKI son:
Encriptación y autentificación.
Certification Authority
• Un Certification Authority (CA) es responsable de
proveer y asignar las claves (key) para la encriptación,
desencriptación y autentificación.
• Las claves son distribuidas por medio de “Certificados”.
• Los certificados son entregados a un usuario,
computadora o servicio.

Apache
CA
Certificados
• Los certificados son documentos que contienen:
– La clave pública
– Atributos: nombre, email, etc.
• Utilizan el estándar X.509, que define las sintaxis de los
certificados. El archivo generado puede estar en formato
binario DER o en formato ASCII Base64.
• El usuario tiene que realizar la solicitud de emisión de un
certificado.

Certificado
Certificados

NAVEGADOR

SERVIDOR
Certificado
Obtención de un certificado digital
BOB Solicita certificado Certificado
1 se Alicia de Alicia
Autoridad de
Certificados

2
Certificado Certificado
de Alicia de Bob
Firma de la CA
3

Verifica
----------- Certificado
-----------
firma -----------
Huella dactilar
4 de Alicia
de la CA Clave
pública
Clave pública de Alicia
Descifrado de CA

Huella dactilar Huella dactilar


de la CA de la CA
Solicitud de un Certificado
• Cuando un usuario inicia una solicitud de certificado, un
proveedor de servicios criptográficos (CSP) de su
equipo genera una pareja de clave pública y clave
privada para el usuario. La clave pública del usuario se
envía con sus datos de identificación necesarios a la
entidad emisora de certificados.
• Si los datos de identificación del usuario cumplen los
criterios de la entidad emisora de certificados para la
concesión de una solicitud, la entidad emisora de
certificados genera el certificado que recupera la
aplicación del cliente y lo guarda localmente.
Certificado emitido
• Una vez instalado se puede verificar la
información del certificado emitido
CAs Internos y Externos
• CA Externo:
– Es un servidor externo a la empresa, el servicio lo
ofrece otra empresa la cual certifica a millones de
usuarios.
• CA Interno:
– Es un servidor ubicado en la empresa para certificar
solo a los empleados de la empresa.
• Cada CA determina la forma en la cual verificará
los datos de los usuarios y su confiabilidad.
CAs Internos y Externos
• Una CA puede ser una entidad externa, como VeriSign, o una CA
que se crea para utilizarla en una organización mediante la
instalación de Servicios de Certificate Server de Microsoft u
OpenSSL.
• Cada CA puede tener requisitos de prueba de identidad
diferenciados para los solicitantes de certificados.
• Las entidad emisora de empresa de Microsoft utilizan las
credenciales de cuenta de usuario de una persona como prueba de
identidad. Es decir, si ha iniciado una sesión en un dominio de la
familia de Windows Server 2003 y solicita un certificado a una
entidad emisora de certificados de empresa, ésta sabe que usted es
quien el servicio de directorio Active Directory dice que es.
• Es importante recordar que cualquiera puede crear una CA. La duda
está en si, como usuario o administrador, confía en dicha CA.
Jerarquías de Certificación
CA Raíz

Trust Trust

Trust

CA Subordinado CA Subordinado CA Subordinado


Proceso de emisión de certificados

1 CA Acepta la petición
de Certificado
2
Verifica la información
Computadora, Usuario, o Servicio

3 Usa su clave privada


para firmar el ~*~*~*~
Certificado

4 Emite el certificado CA
para ser utilizado
como una credencial
SSL
• Seguridad de la Capa de
Transporte. APLICACION
• Proporciona autenticación y
cifrado, integridad de la SSL
información entre extremos
sobre internet mediante el uso TRANSPORTE
de criptografía.
• Mayormente usado junto a RED

HTTP para formar HTTPS. FISICO


• Actualmente las VPN están
usándolo VPN SSL.
SSL
Conexiones Servidor SSL
Cliente SSL

Certificado
de cliente
1

Certificado
del servidor

2
Claves generadas aleatoriamente

Negocia el algoritmo de cifrado y la función hash


3
SSL
Protocolos

• SSL provee tres propiedades básicas:


– Encriptación: Cifrado simétrico usando RC2, RC4,
IDEA (International Data Encryption Algorithm), DES
(Data Encryption Standard), Triple DES o AES
(Advanced Encryption Standard).
– Autenticación Identidad: Cifrado asimétrico usando
RSA, Diffie-Hellman, DSA (Digital Signature
Algorithm) o Fortezza.
– Integridad: Función de hash usando SHA y MD5
Certificados en Windows

37
Copyright © 2006 por TECSUP
Componentes del PKI
Certificate Services
Certificate Enrollment Active Directory
and Revocation Certificate
Publication

PKI-enabled SSL and


Applications IPSec

Domain Client Computer Domain Controller


Servicios de Certificate Server.
• Servicios de Certificate Server es un componente de
Windows Server 2008 que se usa para crear y
administrar entidades emisoras de certificados (CA).
• Una entidad emisora de certificados es responsable de
establecer y garantizar la identidad de los portadores de
certificados. Una CA también revoca los certificados que
ya no se consideran válidos y publica las listas de
revocación de certificados (CRL) que van a utilizar los
verificadores de certificados.
• El diseño de PKI más sencillo tiene sólo una CA raíz. Sin
embargo, en la práctica, la mayora de las organizaciones
que implementan una PKI utilizarán varias CA,
organizadas en jerarquías de certificados.
Entidad Emisora de Certificados (CA)
• Los servicios Certificate Server, se instalan utilizando la
opción Agregar o Quitar programas.
• Luego de instalado el servicio, se dispone de una
herramienta de administración.
Páginas de inscripción en Web.
• Se trata de un componente independiente de los
Servicios de Certificate Server.
• Estas páginas Web se instalan de forma predeterminada
al configurar una entidad emisora de certificados y
permiten a los solicitantes de certificados enviar
solicitudes de certificados mediante un explorador Web.
• Además, las páginas Web de la entidad emisora de
certificados se pueden instalar en servidores Windows
que no tengan instalada una entidad emisora de
certificados. En este caso, las páginas Web se utilizan
para dirigir las solicitudes de certificados a una CA a la
que, no desea que tengan acceso directo los solicitantes.
Acceso a la Página de Inscripción
• Estas páginas Web se encuentran en
http://IP_CA/certsrv.
Entidad Emisora Raíz de Confianza
• La presentación de un certificado sólo resulta de utilidad si la entidad
que recibe el certificado confía en la CA que emitió el certificado.
• Cuando se confía en una entidad emisora de certificados, esto
significa que se tiene la certeza de que la entidad emisora de
certificados dispone de las directivas adecuadas cuando evalúa las
solicitudes de certificado. Además, se confía en que esta entidad
revocará los certificados que ya no se consideren válidos.
• Para los usuarios, la confianza en una entidad emisora de
certificados se establece cuando se hace una copia del certificado
raíz y cuando se tiene una ruta de certificación válida.
• Para una CA raíz, la ruta de certificación es su certificado firmado
por sí misma, Para una CA subordinada, su ruta de certificación está
constituida por dos certificados: su propio certificado y el certificado
de CA raíz.
Uso de certificados
• Los certificados son utilizados para proveer
autentificación, integridad de los datos y asegurar la
comunicación a través de redes inseguras como Internet.
• Los certificados proveen lo siguiente:
– Server authentication:
• Permite autentificar a los servidores en los clientes.
– Client authentication:
• Permite autentificar los clientes en los servidores.
– Code signing:
• Utiliza los certificados asociados con el par de claves para firmar un
contenido activo.
Uso de certificados
• Secure e-mail:
– Utiliza los certificados asociados con el par de claves
para firmar un e-mail.
• EFS:
– Utiliza los certificados asociados con el par de claves
para encriptar y desencriptar la clave simétrica utilizada
en la recuperación de datos encriptados.
• IPSec:
– Utiliza los certificados asociados con el par de claves
para encriptar el tráfico IP en la red.
Modelos de CA en Windows 2003
• Existen 4 modelos en las que se puede
implementar el CA en Windows 2008:
– Entidad emisora raíz de la empresa
• Nivel alto en la certificación, requiere ADS.
– Entidad emisora subordinada de la empresa
• Un CA subordinado que obtiene un certificado de otro CA,
requiere ADS.
– Entidad emisora raíz independiente
• Nivel alto en la certificación, no requiere ADS.
– Entidad emisora subordinada independiente
• Un CA subordinado que obtiene un certificado de otro CA,
no requiere ADS.
46
Configuración de Certificado en IIS
• Para poder instalar un certificado en un Servidor Web
en IIS , tenemos que seguir los siguientes pasos:
– Preparación de la Petición.
– Solicitud del Certificado a la CA.
– Emisión de Certificado por la CA.
– Descargar el Certificado.
– Instalar el Certificado.
Tokens

48
Copyright © 2006 por TECSUP
TOKEN
• Dispositivo
electrónico o
software que se
entrega a un
usuario
autorizado a
ingresar a un
servicio,
facilitándole el
proceso de
autenticación.
RSA SecurID: Dos factores de
autenticación
“Algo que solo •“Algo que solo
usted tiene” • usted conoce”
RSA SecurID
Tokencode

• Código dinámico.
• Cambia cada 60
segundos.
• 43200 veces en un
mes cambia.
¿Qué es una SEMILLA?
• Es un numero inicial
que a partir de ahí se
generara códigos
aleatorios.
• El que no conoce la
semilla no podrá
descifrar.
• Cada Token tiene un
semilla única y esta
registrada dentro del
equipo.
SecurID
Componentes

RSA
SecuID
Authenticators
Agentes

•http://rsasecurity.agora.com/rsasecured/
Tokens Authenticacion Windows

55
Copyright © 2006 por TECSUP
SecureID
Password Windows
• Password complejos.
• Cambio constante de
password en caso de
tener una política de
seguridad.
• Peligro de acceso al
mantener un
password fijo (
Gartner estima que
mas del 70 por
ciento de acceso no
autorizado a los
sistemas proviene de
la red interna)
• Peligro de ser
crackeado el
password.
SecureID
Login Windows
Seguridad
– Dos factores de
autenticación.
– Elimina la
vulnerabilidad de
passwords
Simple
– Ingreso sencillo,
online y offline
Auditable
– Un solo log de
autenticación
Eficiencia
– Reduce la necesidad
de asignar nuevos
passwords
Enlaces
• Criptografía:
– http://es.wikipedia.org/wiki/Criptografía
– http://www.htmlweb.net/seguridad/cripto/cripto_2.ht
ml
• Certificados Digitales:
– http://www2.sharesafe.net/sharesafe/TuturialPKI1.as
p
• SecureID Token
– http://www.rsa.com