Download - Foaf+ssl
Autentificación Distribuida en la Web:
FOAF+SSL
Philippe Camacho
Universidad de Chile II Workshop “Web de Datos”
Noviembre 2010
Problema
Hola, soy Bob
¿Qué tal Bob?
Problema
Hola, soy Bob
¿Qué tal Bob?
¿De qué Bob estamos hablando?
Identidad
Problema
Hola, soy Bob Marley
¿Que tal Bob?
¿Cómo Bob Marley convence Alice de que realmente es Bob Marley?
¡Sí en verdad soy
YO!
Autenticidad
El intermediario de confianza establece el vinculo entre información sobre la identidad y autenticidad
Para demostrar quién soy tengo que… sonreir .
Autenticidad
La identidad de una persona es entregada por un
intermediario de confianza…
Identidad
Cuenta VERIFICADA
De vuelta al mundo digital
Identidad
La identidad de una persona es entregada
por un intermediario de confianza…
Identidad
Para demostrar que soy realmente
Barack Obama necesito una contraseña
para publicar en mi cuenta… Autenticidad
Usuario / Contraseña
Identidad
Autenticidad
Problema
Otro problema
Más problemas
De vuelta al mundo “real”
Hola Philippe, te presento Tim Berners Lee,
el inventor de http.
Criptografía de clave pública
C = Enc( , M)
M = Dec(C, )
El secreto (clave privada) queda exclusivamente en la posesión del
usuario.
Ataque del hombre del medio
¿Cómo vincular la identidad a clave pública?
SHG56515454
M=La clave SHG56515454 Es la de Tim Berners Lee. Firma(M, XJKGHJSDGHFD)
Tim Berners Lee Claudio Gutierrez
XJKGHJSDGHFD
Red de Confianza con Pretty Good Privacy (PGP)
Infraestructura de Clave Pública (ICP)
Autoridad firma certificados de
subautoridades
REVOCACIÓN
¿Por qué en la práctica no funciona tan bien?
Mi clave privada ha sido comprometida. Tengo que llamar a mis 17.445 contactos para que firmen mi nueva clave pública…
¿Quizás debería usar FOAF+SSL?
Yves Raimond
Friend of a Friend (FOAF)
Francois Scharffe
Axel Polleres
Secure Socket Layer (SSL)
• Permite
– Autentificar ambos participantes
– Verificar la integridad de los mensajes
– Establecer clave de sesión secreta compartida
– Evitar ataques de re-envio
– Relacionar clave pública con identidad
– SSL no provee “no-repudiación”: no hay firmas digitales de por medio
FOAF+SSL
Henry Story
¿Como armar redes sociales distribuidas y seguras?
http://vimeo.com/14797957
http://blogs.sun.com/bblfish/entry/foaf_ssl_creating_a_global
Ventajas de FOAF+SSL
• Descentralizado – La información en una red
suficientemente grande es difícil adulterar. – Cada participante controla su información.
• Flexible
– No hay que firmar claves (como en PGP) (Puedo cambiar mi clave sin tener que avisar a todos mis amigos)
• Políticas de seguridad sofisticadas
– “Si al menos 5 de mis amigos conocen a Bob Marley entonces le doy acceso.”
• Simple
¿Cuál es el “truco”?
¿Todo bien entonces?
¿Qué pasa con DNS?
Hi Henry, I'm trying to understand FOAF+SSL and have the same issue than John. You say that : "If Romeo does not control the <https://romeo.net/> resource, he will not be able to place information there about his public key." But if Alice contacts https://romeo.net/ to retrieve its public key, how can she be sure that she reaches the proper server (I'm thinking of DNS poisoning or other man in the middle attacks). The only way is to either have obtained romeo's public key through another mean (which one ?) or to have romeo provide a certificate signed by a party that Alice trust (need key signing parties). Can you please elaborate on how you protect against man in the middle attacks in FOAF+SSL ? Thanks a lot, -Laurent
http://blogs.sun.com/bblfish/entry/more_on_authorization_in_foaf
¿Qué pasa con DNS?
Hi Laurent. DNS poisoning is indeed a serious issue. Indeed it is *so* serious an issue, with so many implications for commerce and security, that it is forcing the introduction of DNS-SEC. This will be mandated by the United States for the Military and the governement controlled DNS by the end of the year (2009). *…+ Henry Story.
http://blogs.sun.com/bblfish/entry/more_on_authorization_in_foaf
DNS(SEC): de vuelta al mismo problema…
google.com?
209.85.195.104
¿Con quien estoy conversando?
DNS(SEC): ¿Cómo se resuelve hoy?