ESPE 2013 - Jorge Valarezo

PKIx

Nivel A: Diseño Verificado

B1: Seguridad Etiquetada, B2 Protección

Estructuraday B3: Dominios de Seguridad

C1 Unix típico y C2ambiente de acceso controlado

NIVEL

D1: DOS, Windows

PKIx

Main Idea

USUARIOS

INFORMATICA

ATAQUES INTERNOS

No guardar información confidencial en HD

Políticas de Seguridad

seguridad lógica

seguridad en la comunicación de datos

Seguridad administrativa

seguridad para el personal

seguridad física

clave de uso exclusivo del usuario

La información correctamente identificada y custodiado

único responsable de la información almacenada

antivirus, firewalls, sistemas de protección y detección de intrusos

Actualizar siempre los niveles de parche

deshabilite o bloquee el acceso

único responsable de la información almacenada

PKIx

PKIx

PROTOCOLOS DE SEGURIDAD

• La PKI es un protocolo que trata de describir los procesos organizativos necesarios para la gestión de certificados digitales de claves públicas para el intercambio seguro de información, que permite firmar digitalmente un documento electrónico, o permite identificar a una persona o empresa en Internet, o permite acceder a un recinto o servicio restringido.

PROTOCOLOS DE SEGURIDAD

• IPSec – HSC IPSec Links

• MIME Security – S/MIME FAQ (RSA) – S/MIME Working Group (IMC) – RSA's S/MIME Interoperability Center – S/MIME and OpenPGP – S/MIME Freeware Library – S/MIME Mail Security (IETF) – S/MIME Utility (+ SMIMEUtil:: perl module)

• PKIX – Certificate profiles (RFC 2459 and successors, qualified certificates) – Management protocols (RFC 2510 and successor, RFC 2511, and the CMC RFC) – Operational protocols (OCSP, etc.) – Time-stamping, DCS, etc.

PROTOCOLOS DE SEGURIDAD

• Secure Socket Layer (SSL) & Transport Layer Security (TLS) – BSAFE patches for SSLeay – Enabling Network Security with SSLeay – Introducing SSL and Certificates using SSLeay (F. J. Hirsch) – Introduction to SSL – OpenSSL PKCS#12 Program FAQ (Stephen Henson) – OpenSSL web site – OpenSSL: The Open Source toolkit for SSL/TLS – pilotSSLeay: port of SSLeay-0.8.1 to the Pilot – PureTLS – Secude Digital ID Center – Slush - SSL Shell – SSL 3.0 SPECIFICATION (Draft) – SSLeay Documentation – SSLeay and SSLapps FAQ – SSLeay Certificate Cookbook (F. J. Hirsch) – SSL-Talk FAQ – SSL Encryption Check – The TLS Protocol Version 1.0 (RFC 2246)

PROTOCOLOS DE SEGURIDAD

• Secure Electronic Transactions (SET) – SET Specification by MasterCard and Visa

• Security Standards Documents: Formal, De Facto, Proposed etc. – A Survey of Public Key Infrastructures (Marc Branchaud) – ANSI Home Page – CEN/ISSS Electronic Signatures (E-SIGN) Workshop – Certificate Authority Interoperability Pilot (Internet Council) – Certified Electronic Mail (CEM) – Digital Signatures: The Law and High-fidelity IP Pipes (David G. Masse) – Draft Internet PKIX Standards – Economic modelling and risk management in Public Key Infrastructures (David G. Masse) – ESCA: Electronic Signatures and Certification Authorities (ITU) – ETSI Electronic Signatures and Infrastructures – European Certification Authority Forum (ECAF) – IEEE Standards Home Page – IEEE P1363 standard for RSA, Diffie Hellman and Related Public-Key Cryptography (Elliptic Curves) – Internet Engineering Task Force (IETF)

• SPKI WG • PKIX WG • IPSEC WG • S/MIME WG • SPKI: Simple Public Key Infrastructure (Carl Ellison) • TLS WG

PROTOCOLOS DE SEGURIDAD

– Security Standards Documents: Formal, De Facto, Proposed etc. – ISO/IEC JTC1/SC27 – IMC Pointers to Email Related Standards – Index of RSA PKCS documents – Information Security Links – Internet RFCs – ISETO: The International Secure Electronic Transactions Organisation – ITU Recommendations – PKI-related activities at NIST – PKI Standardization Home Page -- Center for Standards (DISA) – PKIX: Public Key Infrastructure (X.509) – Publications on Java Security et al. (SIP) – Simple PKI Draft – Secure E-mail (Presentation given by Harald T. Alvestrand) – Security and Encryption Links (Peter Gutmann) – Sirene Publications – X.509 Style Guide (Peter Gutmann) – X.509, 1997 version, prepublication draft (Word format) – X.500 Directory Related standards drafts (Word format) – X9 Home Page; X9F1 develops cryptographic standards – W3: Electronic Payment Schemes (Phillip Hallam-Baker)

• Wireless and Mobile Technology – Digital Paths: Your gateway for Handhled access to the Internet (Palm VII, Smartphones etc.) – Mobile Insights – WAP Forum

PKIx

Ramas generales de la criptografía desde el punto de vista de los algoritmos que la componen.

PKIx

• El Certificado digital es un documento electrónico validado por una autoridad, el cual permite identificar al signatario del mismo mediante un conjunto de datos que contiene, en otras palabras no es mas que un sello electrónico con atributos específicos y únicos.

El Certificado Digital

• Documento electrónico que relaciona una identidad con una Llave Pública.

• Componentes principales : – Una Llave Pública – Información del dueño del certificado – Información del emisor de ese certificado – Periodo de validez – Un identificador único – La Firma Digital del emisor

• Funciones: – Firmar electronicamente un documento – Identificar el autor de un documento o solicitante de

informacion (autenticación) – Encriptar (codificar) documentos o comunicaciones

CERTIFICADO DIGITAL

CERTIFICADO DIGITAL

PKIx

• La seguridad informática no implica en forma única y específica a Internet, la seguridad informática se refiere a todo lo que hace referencia a la preservación respeto y buen manejo de la información. Para ello, es de vital importancia aclarar que el valor protegido, tanto tangible como intangible, será siempre la información.

CERTIFICADO DIGITAL

• Los puntos en común con respecto a los aspectos legales son, revisados con la lupa jurídica, los cuales son: la jurisdicción, los sistemas legales de cada país, la existencia y a su vez la inexistencia de legislación y por supuesto la parte de “cultura” del usuario, que obviamente forma parte de la Sociedad de la Información.

CERTIFICADO DIGITAL

• firma digital hace referencia a una serie de métodos criptográficos, firma electrónica es un término de naturaleza fundamentalmente legal y más amplio desde un punto de vista técnico, ya que puede contemplar métodos no criptográficos

PKIx

Políticas de Certificados (PC).- Contiene las reglas a las que se sujeta el uso de los certificados definidos en la política. Se describen los roles, responsabilidades y relaciones entre el usuario final y la Autoridad de Certificación; las reglas de solicitud, adquisición, gestión y uso de los certificados.

BANCO CENTRAL DEL ECUADOR

•PC de Certificado de Firma Electrónica de Persona Natural.- El presente documento recoge la Política de Certificación (PC) de la ECIBCE

para los Certificados de Firma Electrónica de Persona Natural. <<ver más>>

•PC de Certificado de Firma Electrónica de Funcionario Público.- El presente documento recoge la Políticas de Certificado (PC) de la ECIBCE para los Certificados de Firma Electrónica de Funcionario Público. <<ver

más>>

•PC de Certificado de Firma Electrónica de Persona Jurídica.- El presente documento recoge la Política de Certificación (PC) de la ECIBCE

para los Certificados de Firma Electrónica de Persona Jurídica. <<ver más>>

PKIx

• El comercio electrónico es una herramienta que se puede aprovechar para el mejoramiento del sistema productivo.

• Se debe aplicar todo el esquema de seguridad estudiado para afrontar los riesgos inminentes a los que se enfrenta al hacer uso del internet.

• Es indispensable que promovamos la implementación de estas tecnologías en nuestras empresas con el cuidado que amerita para sacar el mayor provecho de ellas.