BBB Pública

Seguridad en la transmisión de Datos

David Peg Montalvo

Santiago de Compostela Noviembre 2005

2 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

01

02

03

04

05

Índice

P R O T E G E

LO QUE IMPORTA

[ ]

Seguridad. Ámbito de aplicación

4 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Comunicaciones

COMUNICACIONES

P R O T E G E

LO QUE IMPORTA

[ ]

Riesgos

„ Anonimato

„ Falta de confidencialidad

„ Posibilidad de suplantación

„ Vulnerabilidad de los mensajes y aplicaciones

Establecer mecanismos que eviten los problemas anteriores:

1. Controlar los accesos

2. Dotar a los mensajes de un mecanismo que garantice la identidad del remitente, la integridad del mensaje y la confidencialidad del contenido

6 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Visión Integral de la Seguridad

PC -Cliente

Bases de Datos Email Comercio

Electrónico Aplicaciones web Aplicaciones de

empresa

0102030405060708090 1st Qtr2nd Qtr3rd Qtr4th Qtr

EastWest sage

RED

Anonimato Falta ConfidencialidadSeguridadSuplantación Mensajes Vulnerables Firewalls y

Proxys

P R O T E G E

LO QUE IMPORTA

[ ]

Control de Acceso

8 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Modelo Internet

Nivel F

Nivel Fí ísico sico

Software de RED Sist. Operativo.

Nivel Enlace

Nivel Enlace

TCP/IP

TCP/IP

Navegador

Aplicaci

Aplicació ón n

P R O T E G E

LO QUE IMPORTA

[ ]

Protocolos de comunicación

11100010000101110000100010000

11100010000101110000100010000………….. Nivel F.. Nivel Físicoísico Enlace

Enlace EnlaceEnlace

TCP/IP

TCP/IP TCP/IPTCP/IP

10 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Correo

Correo WebWeb Base Datos Base Datos púpúblicablica

Cortafuegos / Proxy

...

...

Red Interna Red Interna

Base Datos Base Datos privada privada

Proxy Proxy Cortafuegos Cortafuegos ((Firewall)Firewall)

P R O T E G E

LO QUE IMPORTA

[ ]

Conceptos básicos de criptografía

12 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Las 4 aspectos básicos de la seguridad

3

Que nadie sea capaz de alterar lo que yo haya escrito.

1

Tener la certeza de que una información ha sido escrita por quien dice que la ha escrito.

4

Que nadie sea capaz de negar que ha escrito o enviado algo

2

Que nadie pueda leer la información excepto el destinatario

5

P R O T E G E

LO QUE IMPORTA

[ ]

Definición:

Técnica que se ocupa del diseño de mecanismos para cifrar, es decir, para enmascarar una

determinada información de carácter confidencial

Criptografía

14 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Criptografía de clave privada

A tiene una clave secreta

„ Si B quiere enviar a A un mensaje secreto:

„ A envía a B una copia de su clave secreta

„ B encripta el mensaje con la clave secreta de A

„ A desencripta el mensaje con su clave secreta

„ Problemas:

„ ¿Cómo hace llegar A a B la clave secreta?

„ ¿Qué pasa si B no es realmente B?

„ Hace falta generar una clave secreta distinta para cada persona con la que A se comunique.

P R O T E G E

LO QUE IMPORTA

[ ]

Confidencialidad

Si B quiere enviar a A un mensaje secreto:

„ A envía a B una copia de su clave pública.

„ B con esta clave pública encripta el mensaje a A.

„ A desencripta el mensaje con su clave privada.

16 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Identificación y No repudio

B quiere enviar un mensaje y que A sepa que sólo él lo ha podido enviar

„ B envía a A una copia de su clave pública.

„ B encripta el mensaje a A con su clave privada.

„ A desencripta el mensaje con la clave pública de B.

P R O T E G E

LO QUE IMPORTA

[ ]

Integridad

B quiere enviar un mensaje a A a prueba de modificaciones y suplantaciones de identidad. B firmará digitalmente el mensaje

„ B envía a A una copia de su clave pública.

„ B resume su mensaje ->Hash

„ B encripta el resumen del mensaje con su clave privada.

„ B envía a A: Mensaje+Resumen Encriptado

„ A desencripta el resumen del mensaje con la clave pública de B. ->Hash

„ A tiene un Mensaje y un Resumen.

„ A resume el mensaje original ->Hash’

„ A compara el resumen del original (Hash’) y el resumen enviado (Hash) ->Comprueba que no han modificado el mensaje

18 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Usos de los tipos de criptografía

„ Simétrica: Cifrado=Confidencialidad

El uso de criptografía asimétrica para el cifrado es muy costoso.

„ Asimétrica:

„ Firma Digital= Autenticación, No repudio e Integridad

„ Sobre digital=Cifrado de claves de sesión

P R O T E G E

LO QUE IMPORTA

[ ]

Usos de la Criptografía asimétrica

Copia de Llave pública

Llave privada (bien guardada

por su dueño)

Cifrado

Al estar el mensaje cifrado con la clave pública, sólo se puede descifrar con la privada, que nadie más que el dueño posee.

Firma Digital

Copia de Llave pública

Llave privada (bien guardada

por su dueño)

Al estar un resumen del mensaje cifrado con la clave privada, todos los que tengan copia de la pública pueden verificar la firma.

20 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Usos de la Criptografía asimétrica

„ Ventajas:

„ A distribuye su clave pública libremente

„ Si B no es de fiar, no puede hacer nada sin la clave privada de A

„ A sólo necesita una pareja de claves,

independientemente de la gente con la que se relacione

„ A puede firmar mensajes digitalmente

„ Problema:

„ Cómo sabe B que A es A, y no un tercero que le quiere suplantar, que realmente se trata de la clave pública de A

„ Respuesta:

„ Autoridad de Certificación y Certificados Digitales

P R O T E G E

LO QUE IMPORTA

[ ]

El certificado

„ Un certificado es un fichero informático que utilizaremos para relacionar una clave pública ( y por relación, la clave privada

asociada) con un usuario que conocemos y tenemos identificado.

„ El certificado, al hacer uso de criptografía asimétrica puede ser utilizado para:

„ Cifrar documentos

„ Firmar documentos

„ Es, por tanto, muy importante estar realmente seguros de que la clave pública que manejamos para verificar una firma o cifrar un texto, pertenece realmente a quien creemos que pertenece.

22 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

PKI. Infraestructura de Clave Pública

P R O T E G E

LO QUE IMPORTA

[ ]

Estructura de un certificado X.509

Datos del usuario

Datos del emisor

Firma emisor

Contiene la información que identifica al propietario de la pareja de claves

Contiene la información de la entidad que afirma que la clave pública (en rojo) pertenece al usuario

Clave pública (copia) propiedad del usuario

Firma (resumen de todo lo anterior firmado con la clave privada del emisor) mediante la cual el emisor garantiza que los datos son correctos sirve para comprobar si el certificado

Otros datos Otros datos: Periodo de validez, algoritmos utilizados, versión, etc

Clave pública

P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Confianza digital

CA CA

PúblicaB

BB

Clave publica

Confía

P R O T E G E

LO QUE IMPORTA

[ ]

„ ¿Coincide el nombre especificado en el DN del certificado con el nombre del remitente?

„ ¿Está la fecha actual dentro del período de validez del certificado?

„ ¿Es la CA emisora del certificado una CA en la que confío?

„ ¿Valida la clave pública de la CA emisora del certificado la firma del dueño del certificado?

„ ¿El certificado no se encuentra incluido en la lista de certificados revocados (CRL) de la CA?

Verificación de certificados

26 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

¿ Qué garantías tengo?

„ Tecnológicas

„ Anonimato -> Autenticación y No repudio

„ Falta de confidencialidad -> Cifrado

„ Posibilidad de suplantación -> Autenticación y No repudio

„ Vulnerabilidad de los mensajes -> Integridad

„ Legales

„ Firma Digital = Firma manuscrita

P R O T E G E

LO QUE IMPORTA

[ ]

Definición

Componentes Tecnológicos

Procesos

¿Qué es una PKI?

Una infraestructura de clave pública (PKI) es es el

conjunto de plataformas y prácticas que permiten ofrecer un entorno seguro para comprar, vender, firmar

documentos e intercambiar información sensible a través de Internet .

Plataformas y Sistemas: Autoridad de Certificación (CA), Autoridad de registro (RA), Sistema de distribución de claves (Directorio público LDAP), Frontend web, etc

Procesos: Prácticas de operación, auditoría informática, etc. Ciclo de vida de usuarios, certificados y claves.

Gestionar la emisión, validación y revocación de certificados digitales

Validar y asegurar a los agentes que intervienen en las transacciones

28 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Componentes de una PKI

Directorio público LDAP

Autoridad de Registro (RA) Almacenamiento

claves privadas

Autoridad de Certificación (CA)

Entorno de alta seguridad y disponibilidad

Procesos

P R O T E G E

LO QUE IMPORTA

[ ]

Seguridad en protocolos

30 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Seguridad en los protocolos

Nivel F

Nivel Fí ísico sico

HW/SW de RED

Nivel Enlace

Nivel Enlace

TCP TCP

Navegador

HTTP HTTP

IP IP IPSEC IPSEC

SSL SSL

P R O T E G E

LO QUE IMPORTA

[ ]

Protocolo SSL

„ En 1994 Netscape inventa Secure Sockets Layer.

„ Protocolo utilizado para la autenticación y

confidencialidad de mensajes entre un Cliente y un Servidor => Identificación y confidencialidad.

„ Aceptado universalmente en la Web.

„ SSL utiliza criptografía simétrica y asimétrica.

„ SSL es una capa adicional entre Internet (TCP/IP) y las aplicaciones.

„ SSL no modifica el contenido de los mensajes a transmitir por las aplicaciones.

32 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

Quién es usted?

Los protocolos que yo soporto Este es mi certificado para probar mi identidad

Los protocolos que he decidido que utilicemos

[He verificado su identidad]

Le envío una copia de todo que lo que hemos acordado.

Le envío una copia de todo que lo que hemos acordado

Navegador Sitio Web

INTERCAMBIO DE DATOS

He verificado su identidad

[Este es mi certificado para probar mi identidad]

La clave secreta que he decidido que utilicemos

Protocolo SSL en fase de establecimiento

SSL HandShake

P R O T E G E

LO QUE IMPORTA

[ ]

Verificación de certificados

Número de Serie del Certificado Período de Validez del Certificado

Clave Pública del Servidor

DN del Servidor – “www.dominio.ext”

DN de la CA emisora

Firma del Certificado CERTIFICADO DEL SERVIDOR CERTIFICADO DEL SERVIDOR

CA

34 P R O T E G E

LO QUE IMPORTA

[ ]

Telefonica Empresas

RPV (Red Privada Virtual)

P R O T E G E

LO QUE IMPORTA

[ ]