seguridad informatica
DESCRIPTION
certificados digitalesTRANSCRIPT
![Page 1: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/1.jpg)
TSR6501 – Taller de Seguridad
Semana 8Certificados Digitales
![Page 2: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/2.jpg)
2
Introducción
• OpenSSL, es una implementación de código libre del protocolo SSL (y del protocolo TSL).
• Su principal utilización es para realizar comunicaciones seguras en la Internet.
![Page 3: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/3.jpg)
3
Motivación
• Necesidad de Realizar envío de datos confidenciales o secretos por la Internet
• Sólo debe recibida por el destinatario deseado√ es necesario autentificar al destinatario.• Sin embargo, las comunicaciones también
pueden ser capturadas en su viaje.√ Las comunicaciones deben viajar protegidas
![Page 4: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/4.jpg)
4
Motivación
• Como alternativa para esto actualmente se cuenta con el protocolo SSL, cuyo funcionamiento será descrito a continuación.
![Page 5: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/5.jpg)
5
Contenidos
1.Conceptos Generales.2.Protocolo SSL
- Definiciones y aspectos históricos.- Tipos de SSL.- Funcionamiento del protocolo SSL.- Resumen
![Page 6: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/6.jpg)
6
Contenidos
3.OpenSSL- Definición- Protocolo TSL- Instalación- Uso de OpenSSL
![Page 7: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/7.jpg)
1. CONCEPTOS GENERALES
![Page 8: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/8.jpg)
8
Conceptos Generales
• Llaves pública/privada:- Información encriptada con una llave
solo puede ser desencriptada por su par.
- La base es mantener una llave guardada y distribuir la otra.
- El par de llaves está basado en un número primo.
![Page 9: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/9.jpg)
9
Conceptos Generales
• Llave Simétrica:- Usa la misma llave para encriptar y
desencriptar (más práctico)- Mucho más veloz que algoritm asimétrico.- Potencialmente inseguro.- Transmitir llave simétrica con ayuda de
algoritmos asimétricos.
![Page 10: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/10.jpg)
10
Conceptos Generales
• Hash:- Número dado al aplicar una función hash a un
mensaje.- Función hash es en un solo sentido.- Se utiliza para certificar que un mensaje no ha
cambiado.- Usado en Sistemas de Password.
![Page 11: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/11.jpg)
11
Conceptos Generales
• Proceso de Firmado:- Asumir la autenticidad de un mensaje.- Crear hash del mensaje, encriptar hash con
llave privada y agragar hash al certificado firmado.
- Se transmite la llave pública a todos los receptores.
![Page 12: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/12.jpg)
12
Conceptos Generales
- También es posible firmar un mensaje en conjunto con la firma.
- Más simple, cualquier programa puede leer la llave pública y desencriptarlo.
- Además asegura que el mensaje no fue cambiado.
- Mensaje viaja encriptado a diferencia del anterior.
![Page 13: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/13.jpg)
13
Conceptos Generales
• Certificado Digital:- Certifica que una persona o entidad es quien
dice ser.- Dirección de Correo, nombre, uso del
certificado, ID de entidad que lo firma.- CA almacenados en Navegador.- Todo certificado es no confiable si no se ha
firmado.
![Page 14: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/14.jpg)
14
Ejemplo Certificado Digital
![Page 15: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/15.jpg)
2. SSL
![Page 16: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/16.jpg)
16
Definiciones
• SSL: Secure Sockets Layer, capa de sockets seguros.
• Establece un canal seguro en el nivel de transporte entre dos partes.
• Ofrece privacidad en las comunicaciones al utilizar cifrado con llave simétrica y usa códigos de autentificación de mensajes.
![Page 17: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/17.jpg)
17
Historia
• Originalmente desarrollado por Netscape Communications Corporation, a mediados de los ‘90.
• La versión 2 del protocolo fue la primera en ser ampliamente utilizada.
• La versión 3, actualmente en uso otorga un mayor número de características, mayor eficiencia y flexibilidad.
![Page 18: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/18.jpg)
18
Tipos de SSL
• Existen 2 tipos de uso del protocolo SSL:- SSL del Servidor:
Autentifica que una dirección web pertenece a quien dice ser.
- SSL del Cliente:Autentifica que la persona que está al otro lado de la conexión es quien dice ser.
![Page 19: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/19.jpg)
19
Funcionamiento SSL
SSL del Servidor es el más usado, por eso será explicado:
- El servidor web debe entregar la llave pública de su certificado digital.
- Antes de aceptar esta llave pública, se debe revisar que el certificado esté firmado por una autoridad de confianza.
![Page 20: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/20.jpg)
20
Funcionamiento
- Calculo del Hash del certificado (llave pública del CA).
- Verificación de que el certificado se encuentra válido.
- Comparar URL con la que viene en el certificado.
![Page 21: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/21.jpg)
21
Funcionamiento
- Se extrae la llave pública del certificado.- Se genera la llave simétrica (aleatoria).- Se encripta la llave simétrica con la llave
pública del servidor (certificado) y se envía.- Servidor recibe la llave y la decodifica con su
llave privada.- Comunicación puede comenzar con cifrado
simétrico.
![Page 22: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/22.jpg)
22
Resumen
El navegador generó una clave simétrica aleatoria y luego la cifró utilizando la llave pública del servidor, el hecho que el servidor web pueda descifrar la clave simétrica y por ende participar en la conversación, le dice al navegador que él es el servidor real, pues es el único nodo en todo el universo que posee la llave privada capaz de descifrar los datos encriptados con la llave pública, necesaria para desempaquetar la clave simétrica
![Page 23: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/23.jpg)
3. OPENSSL
![Page 24: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/24.jpg)
24
Definición
Esfuerzo conjunto para desarrollar una implementación robusta, de nivel comercial, con todas las características y de tipo Open Source de los protocolos Secure Sockets Layer (SSL v2/v3), y Transport Layer Security (TLS v1), además de bibliotecas con propósitos criptográficos.
![Page 25: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/25.jpg)
25
Definición
Principal diferencia con un paquete SSL se puede ver claramente en el slogan del proyecto:“¿Porque comprar un paquete SSL como una caja negra, cuando puede obtener una abierta y gratis?”
![Page 26: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/26.jpg)
26
Protocolo TSL
• Forma superior de SSL v3 con funciones criptográficas fortalecidas
• Es considerado el estándar a utilizar para comercio electrónico.
• Protocolo de Seguridad del Nivel de Transporte (TSL), y protocolo Seguridad a Nivel de Transporte inalámbrico (Wireless Transport Layer Security, WTLS) son descendientes directos del SSL.
![Page 27: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/27.jpg)
27
Instalación
• Actualmente viene como un paquete en la mayoría de las distribuciones Linux.
• Directorio por defecto de instalación:/var/ssl
• Archivo de configuración:/usr/lib/ssl/openssl.cnf
• Utilidades y otras librerías:/usr/lib/ssl
![Page 28: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/28.jpg)
28
Uso de OpenSSL
a.) Creación de Certificados Digitales.b.) Instalación de Certificados Digitales.c.) Manejo de Certificados Digitales:
- Generar y Firmar Certificados- Revocar Certificados- Renovar un Certificado- Visualizar un Certificado
![Page 29: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/29.jpg)
USO OPENSSL
![Page 30: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/30.jpg)
30
Creación
• Primer paso: Crear un Certificado Raíz:openssl req -new -x509 -keyout private/cakey.pem \ -out cacert.pem -days 3650.
• Genera 2 partes:Llave (RSA PRIVATE KEY) private/cakey.pemCertificado (CERTIFICATE) cecert.pem
• Proteger el Certificado de posibles ataques o robos y utilizarlo solo para firmar otros certificados.
![Page 31: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/31.jpg)
31
Creación
• Existen 2 archivos que llevan un registro sobre los certificados creados:
- index.txt el cual ahora debe encontrarse vacío
- serial debe contener el valor 01
![Page 32: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/32.jpg)
32
Instalación
• Se debe instalar el certificado creado como certificado raíz, en el cual se confía.
• Almacenar solo la parte del certificado:openssl x509 -in cacert.pem -out cacert.crt
• Poner cacert.crt en el servidor web, para que pueda ser descargado e instalado.
• Disponer de más de un método de obtener el certificado.
![Page 33: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/33.jpg)
MANEJO DE CERTIFICADOS
![Page 34: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/34.jpg)
34
Generar y Firmar
• openssl req –new keyout newreq.pem –out newreq.pem \ –days 365
• Crea una clave privada y una solicitud de certificado ( newreq.pem ).
• Usar un nombre común (Common Name):Dirección web para autentificar página.Nombre usuario para autentificar correos de ese usuario.
![Page 35: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/35.jpg)
35
Generar y Firmar
• Para firmar la solicitud anterior:openssl ca -policy policy_anything -out newcert.pem \ -infiles newreq.pem
• Transforma cacert.pem en el certificado newcert.pem.
• Se crea un archivo en el directorio newcerts/• Los archivos index.txt y serial serán
actualizados.
![Page 36: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/36.jpg)
36
Revocar
• Actualizar base de datos de Certificados:openssl –revoke newcert.pem
• Actualizar lista de Certificados Revocados:openssl ca –gencrl –out crl/sopac-ca.crl
• Esta lista de Certificados Revocados (CRL) también debe estar disponible en el servidor web.
![Page 37: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/37.jpg)
37
Renovar
• Un usuario envía su certificado antiguo o crea uno nuevo usando su llave privada.
• También es posible obtener el nombre en index.txt de acá se obtiene el serial “xx” y se obtiene el archivo cert”xx”.pem.
• Realizar el proceso manualmente para asegurarse de las fechas.
![Page 38: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/38.jpg)
38
Renovación
• openssl ca –policy policy_anyting –out \ newcert.pem –infiles newreq.pem \-startdate [now] –eddate [end_date]
• Reemplazar los valores [now] y [end_date] con los valores correctos.
![Page 39: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/39.jpg)
39
Visualizar
• Se puede tener un certificado en forma encriptada, para leerlo:Openssl x509 –in newcert.pem –noout –text
![Page 40: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/40.jpg)
40
Comentarios Finales
• Index.txt: este archivo contiene información de los certificados manejados por OpenSSL, todas las entradas del archivo están marcadas con R de revocado, V de válido y E de expirado.
![Page 41: seguridad informatica](https://reader035.vdocumento.com/reader035/viewer/2022062517/563db7b6550346aa9a8d3e69/html5/thumbnails/41.jpg)
41
Comentarios Finales
Posee compatibilidad con distintos aplicaciones de uso masivo como por ejemplo: Apache, protocolos de correo como IMAPS o POP, Microsoft Key Manager y para correo electrónico seguro, donde puede funcionar con certificados mime, ser utilizado con el Outlook, Netscape Messenger y varios otros clientes de correo.