Seguridad en la transmisión de Datos

David Peg Montalvo

Santiago de Compostela
Noviembre 2005

Telefonica Empresas
Ingeniería de Soluciones
 Índice

01 Seguridad. Ámbito de aplicación

02 Control de acceso
[P R O T E G E]
LO QUE IMPORTA 03 Conceptos básicos de criptografía

04 PKI

05 Seguridad en protocolos

Telefonica Empresas
Ingeniería de Soluciones 2
[P R O T E G E]
LO QUE IMPORTA

Seguridad. Ámbito de aplicación

Telefonica Empresas
Ingeniería de Soluciones 3
 Comunicaciones

[P R O T E G E]
LO QUE IMPORTA

COMUNICACIONES

Telefonica Empresas
Ingeniería de Soluciones 4
 Riesgos
„ Anonimato

„ Falta de confidencialidad
[P R O T E G E]
LO QUE IMPORTA

„ Posibilidad de suplantación

„ Vulnerabilidad de los mensajes y aplicaciones

Establecer mecanismos que eviten los problemas anteriores:

1. Controlar los accesos

2. Dotar a los mensajes de un mecanismo que garantice la identidad
del remitente, la integridad del mensaje y la confidencialidad del
contenido

Telefonica Empresas
Ingeniería de Soluciones 5
 Visión Integral de la Seguridad

[P R O T E G E]
LO QUE IMPORTA
Firewalls y
Proxys

PC -Cliente

Anonimato Seguridad
Falta Confidencialidad Suplantación Mensajes Vulnerables

RED
90
80
70
60
50 East
West
40 sage
30
20
10
0 1st Qtr
2nd3rd
Qtr Qtr
4th Qtr

Bases de Datos Aplicaciones web Aplicaciones de Email Comercio

empresa Electrónico

Telefonica Empresas
Ingeniería de Soluciones 6
[P R O T E G E]
LO QUE IMPORTA

Control de Acceso

Telefonica Empresas
Ingeniería de Soluciones 7
 Modelo Internet

Navegador
[P R O T E G E]
LO QUE IMPORTA Aplicación
Software de RED
TCP/IP Sist. Operativo.

Nivel Enlace LAN

Radio, cable,
Nivel Físico fibra, …

Telefonica Empresas
Ingeniería de Soluciones 8
 Protocolos de comunicación

[P R O T E G E]
LO QUE IMPORTA

TCP/IP TCP/IP

Enlace Enlace

11100010000101110000100010000…….. Nivel Físico

Telefonica Empresas
Ingeniería de Soluciones 9
 Cortafuegos / Proxy

[P R O T E G E]
LO QUE IMPORTA
Cortafuegos
(Firewall)

Correo Web Base Datos

Proxy pública

Red Interna

......

Base Datos
Telefonica Empresas privada
Ingeniería de Soluciones 10
[P R O T E G E]
LO QUE IMPORTA

Conceptos básicos de criptografía

Telefonica Empresas
Ingeniería de Soluciones 11
 Las 4 aspectos básicos de la seguridad

1 IDENTIFICACIÓN
Tener la certeza de que una información ha sido escrita
por quien dice que la ha escrito.

[P R O T E G E]
LO QUE IMPORTA 2 CONFIDENCIALIDAD
Que nadie pueda leer la información
excepto el destinatario

3 INTEGRIDAD
Que nadie sea capaz de alterar lo que yo haya escrito.

4 NO REPUDIO
Que nadie sea capaz de negar
que ha escrito o enviado algo

Telefonica Empresas
5 DISPONIBILIDAD

Ingeniería de Soluciones 12
 Criptografía

Definición:

Técnica que se ocupa del diseño de mecanismos

[P R O T E G E]
LO QUE IMPORTA
para cifrar, es decir, para enmascarar una
determinada información de carácter confidencial

Telefonica Empresas
Ingeniería de Soluciones 13
 Criptografía de clave privada

A tiene una clave secreta

„ Si B quiere enviar a A un mensaje secreto:
„ A envía a B una copia de su clave secreta
„ B encripta el mensaje con la clave secreta de A
[P R O T E G E]
LO QUE IMPORTA
„ A desencripta el mensaje con su clave secreta

„ Problemas:
„ ¿Cómo hace llegar A a B la clave secreta?
„ ¿Qué pasa si B no es realmente B?
„ Hace falta generar una clave secreta distinta para
cada persona con la que A se comunique.

Telefonica Empresas
Ingeniería de Soluciones 14
 Confidencialidad

Si B quiere enviar a A un mensaje secreto:

„ A envía a B una copia de su clave pública.

[P R O T E G E]
LO QUE IMPORTA
„ B con esta clave pública encripta el mensaje a A.

„ A desencripta el mensaje con su clave privada.

Telefonica Empresas
Ingeniería de Soluciones 15
 Identificación y No repudio

B quiere enviar un mensaje y que A sepa que sólo él lo ha

podido enviar

[P R O T E G E] „ B envía a A una copia de su clave pública.

LO QUE IMPORTA

„ B encripta el mensaje a A con su clave privada.

„ A desencripta el mensaje con la clave pública de B.

Telefonica Empresas
Ingeniería de Soluciones 16
 Integridad

B quiere enviar un mensaje a A a prueba de modificaciones y

suplantaciones de identidad. B firmará digitalmente el
mensaje

[P R O T E G E] „ B envía a A una copia de su clave pública.

LO QUE IMPORTA
„ B resume su mensaje ->Hash
„ B encripta el resumen del mensaje con su clave privada.
„ B envía a A: Mensaje+Resumen Encriptado
„ A desencripta el resumen del mensaje con la clave pública
de B. ->Hash
„ A tiene un Mensaje y un Resumen.
„ A resume el mensaje original ->Hash’
„ A compara el resumen del original (Hash’) y el resumen
enviado (Hash) ->Comprueba que no han modificado el
mensaje

Telefonica Empresas
Ingeniería de Soluciones 17
 Usos de los tipos de criptografía

„ Simétrica: Cifrado=Confidencialidad
El uso de criptografía asimétrica para el cifrado es muy
[P R O T E G E]
LO QUE IMPORTA
costoso.

„ Asimétrica:
„ Firma Digital= Autenticación, No repudio e Integridad
„ Sobre digital=Cifrado de claves de sesión

Telefonica Empresas
Ingeniería de Soluciones 18
 Usos de la Criptografía asimétrica

Cifrado Firma Digital

[P R O T E G E]
LO QUE IMPORTA
Copia de
Llave
Copia de
Llave
pública pública

Llave privada Llave privada

(bien guardada (bien guardada
por su dueño) por su dueño)

Al estar el mensaje cifrado con la clave Al estar un resumen del mensaje cifrado
pública, sólo se puede descifrar con la con la clave privada, todos los que tengan
privada, que nadie más que el dueño copia de la pública pueden verificar la
posee. firma.

Telefonica Empresas
Ingeniería de Soluciones 19
 Usos de la Criptografía asimétrica

„ Ventajas:
„ A distribuye su clave pública libremente
„ Si B no es de fiar, no puede hacer nada sin la clave
privada de A
[P R O T E G E] „ A sólo necesita una pareja de claves,
LO QUE IMPORTA
independientemente de la gente con la que se
relacione
„ A puede firmar mensajes digitalmente
„ Problema:
„ Cómo sabe B que A es A, y no un tercero que le
quiere suplantar, que realmente se trata de la
clave pública de A
„ Respuesta:
„ Autoridad de Certificación y Certificados Digitales

Telefonica Empresas
Ingeniería de Soluciones 20
 El certificado

„ Un certificado es un fichero informático que utilizaremos para

relacionar una clave pública ( y por relación, la clave privada
asociada) con un usuario que conocemos y tenemos identificado.
„ El certificado, al hacer uso de criptografía asimétrica puede ser
[P R O T E G E]
LO QUE IMPORTA
utilizado para:
„ Cifrar documentos
„ Firmar documentos
„ Es, por tanto, muy importante estar realmente seguros de que la
clave pública que manejamos para verificar una firma o cifrar un
texto, pertenece realmente a quien creemos que pertenece.

Telefonica Empresas
Ingeniería de Soluciones 21
[P R O T E G E]
LO QUE IMPORTA

PKI. Infraestructura de Clave Pública

Telefonica Empresas
Ingeniería de Soluciones 22
 Estructura de un certificado X.509
Contiene la información que identifica
al propietario de la pareja de claves
Datos del usuario

Contiene la información de la entidad

[P R O T E G E]
LO QUE IMPORTA
que afirma que la clave pública (en
Datos del emisor rojo) pertenece al usuario

Otros datos Otros datos: Periodo de validez,

algoritmos utilizados, versión, etc
Clave pública
Clave pública (copia) propiedad del
Firma emisor usuario

Firma (resumen de todo lo anterior firmado

con la clave privada del emisor) mediante la
cual el emisor garantiza que los datos son
correctos sirve para comprobar si el certificado
ha sido modificado.
Telefonica Empresas
Ingeniería de Soluciones 23
 Confianza digital

CA

B
Pública
B
[P R O T E G E]
LO QUE IMPORTA Clave
publica

Confía

Telefonica Empresas
Ingeniería de Soluciones
 Verificación de certificados

„ ¿Coincide el nombre especificado en el DN del

certificado con el nombre del remitente?
„ ¿Está la fecha actual dentro del período de validez
[P R O T E G E]
LO QUE IMPORTA
del certificado?
„ ¿Es la CA emisora del certificado una CA en la que
confío?
„ ¿Valida la clave pública de la CA emisora del
certificado la firma del dueño del certificado?
„ ¿El certificado no se encuentra incluido en la lista de
certificados revocados (CRL) de la CA?

Telefonica Empresas
Ingeniería de Soluciones 25
 ¿Qué garantías tengo?

„ Tecnológicas
„ Anonimato -> Autenticación y No repudio
„ Falta de confidencialidad -> Cifrado

[P R O T E G E]
LO QUE IMPORTA
„ Posibilidad de suplantación -> Autenticación y No repudio
„ Vulnerabilidad de los mensajes -> Integridad

„ Legales
„ Firma Digital = Firma manuscrita

Telefonica Empresas
Ingeniería de Soluciones 26
 ¿Qué es una PKI?

Una infraestructura de clave pública (PKI) es es el

conjunto de plataformas y prácticas que permiten ofrecer
Definición un entorno seguro para comprar, vender, firmar
documentos e intercambiar información sensible a través
de Internet .

[P R O T E G E]
LO QUE IMPORTA

Plataformas y Sistemas: Autoridad de Certificación (CA),

Componentes Autoridad de registro (RA), Sistema de distribución de
claves (Directorio público LDAP), Frontend web, etc
Tecnológicos

Procesos: Prácticas de operación, auditoría informática,

etc. Ciclo de vida de usuarios, certificados y claves.
Gestionar la emisión, validación y revocación de
Procesos certificados digitales
Validar y asegurar a los agentes que intervienen en las
transacciones

Telefonica Empresas
Ingeniería de Soluciones 27
 Componentes de una PKI

Directorio Almacenamiento Autoridad de

público LDAP claves privadas Certificación (CA)

[P R O T E G E]
LO QUE IMPORTA

Entorno de alta seguridad y disponibilidad

Autoridad de
Registro (RA)

Procesos

Telefonica Empresas
Ingeniería de Soluciones 28
[P R O T E G E]
LO QUE IMPORTA

Seguridad en protocolos

Telefonica Empresas
Ingeniería de Soluciones 29
 Seguridad en los protocolos

Navegador
HTTP

SSL
[ PROTEGE
LO QUE IMPORTA ]
TCP HW/SW de RED
IP
IPSEC

Nivel Enlace LAN

Radio, cable,
Nivel Físico fibra, …

Telefonica Empresas
Ingeniería de Soluciones 30
 Protocolo SSL

„ En 1994 Netscape inventa Secure Sockets Layer.

„ Protocolo utilizado para la autenticación y
confidencialidad de mensajes entre un Cliente y un
[P R O T E G E]
LO QUE IMPORTA
Servidor => Identificación y confidencialidad.
„ Aceptado universalmente en la Web.
„ SSL utiliza criptografía simétrica y asimétrica.
„ SSL es una capa adicional entre Internet (TCP/IP) y
las aplicaciones.
„ SSL no modifica el contenido de los mensajes a
transmitir por las aplicaciones.

Telefonica Empresas
Ingeniería de Soluciones 31
 Protocolo SSL en fase de establecimiento
SSL HandShake
Navegador Sitio Web
Quién es usted?
Los protocolos que yo soporto
Este es mi certificado para
probar mi identidad
[P R O T E G E]
LO QUE IMPORTA
He verificado su identidad Los protocolos que he
[Este es mi certificado para probar decidido que utilicemos
mi identidad]
La clave secreta que he decidido
que utilicemos [He verificado su identidad]
Le envío una copia de todo que
Le envío una copia de todo lo que hemos acordado.
que lo que hemos acordado

INTERCAMBIO DE DATOS

Telefonica Empresas
Ingeniería de Soluciones 32
 Verificación de certificados

CERTIFICADO DEL SERVIDOR

[P R O T E G E]
LO QUE IMPORTA
DN del Servidor – “www.dominio.ext”
DN de la CA emisora

Período de Validez del Certificado

Número de Serie del Certificado

Clave Pública del Servidor

CA
Firma del Certificado

Telefonica Empresas
Ingeniería de Soluciones 33
 RPV (Red Privada Virtual)

[P R O T E G E]
LO QUE IMPORTA

Telefonica Empresas
Ingeniería de Soluciones 34
[P R O T E G E]
LO QUE IMPORTA

Telefonica Empresas
Ingeniería de Soluciones 35