Post on 29-Jan-2018
Dani Gutiérrez Porsetjdanitxu@gmail.com
Certificados digitalesX.509
2
Índice
● Introducción● Ciclo de vida● Métodos de validación● Estructura● Aplicaciones● Licencia de uso
3
Introducción
● Método para asociar una clave pública a una identidad (nombre, dirección,...) mediante una firma digital expedida por:– Una CA (certification authority), o– El mismo usuario (self-signed)
● Al confiar en la firma pública de la CA se da por válida la firma pública del usuario.
● A nivel físico, un certificado es, bien un fichero, o bien un directorio.
● Estándar definido en jul-1994. Versión actual: X.509 v3.
4
Ciclo de vida
● CSR (Certificate Signing Request):– Se genera a partir de una pareja de claves
privada/pública.– Está sin firmar.
● Certificado firmado:– CA. No está online– RA: registration authority. Está online
● Caducado● (Revocado)
5
Métodos de validación
● Métodos de validación de certificado digital:– VAs (VA: validation authority) basadas en ldap– CRL (Certificate Revocation Lists)– Protocolo OCSP (Online Certificate Status Protocol)– Netscape URL revocation
● Repositorios: LDAP, DNSSec, X.500,...
6
Estructura
● Estructura de un CSR– Versión– Nº de serie– Datos del Subject (Sujeto: persona u organización) en
formato DN (Parámetros: cn, l, ou, o, c[ountry], mail), clave pública y algoritmo empleado
7
Estructura
● Estructura de un certificado X.509:– (Los campos del CSR)– Issuer o entidad CA emisora. Si es autofirmado
coincide con el Subject– Periodo de validez– Firma digital generada con la clave privada de la CA, y
algoritmo empleado (ej. sha1 y RSA)
8
Estructura
● Extensiones opcionales de un certificado X.509, ej:– Propósito de la clave pública (firmar, encriptar claves,
encriptar datos,...)– Clase: 1 personas (ej. mail), 2 organizaciones, 3
servidores y software,...– URL de revocación (netscape)
9
Aplicaciones: correo electrónico
● Mozilla thunderbird:– idem que firefox– Ubicación de certificados:
~/.mozilla-thunderbird/<perfil>/cert8.db● Kmail:
– Emplea kleopatra, que es un gestor de certificados X.509:
● Búsqueda en servidores LDAP● Almacen en GpgSM (semejante a anillos gpg)
10
Aplicaciones: navegadores
● Navegadores (común):– Certificados:
● De servidores web (adquiridos al navegar o en Firefox importados)
● Personales propios (formato pkcs12)– Lista de entidades certificadoras fiables. Para cada
una se puede elegir qué puede verificar:● Sitios web● Correo electrónico● Código
11
Aplicaciones: navegadores
● Firefox:– Certificados de otras personas– Listas de revocación– Uso de OCSP– Ficheros de certificados, claves, módulos:
● ~/.mozilla/firefox/<perfil>/*.db● Paquete ubuntu para gestionarlos: libnss3-tools. Ej: certutil -L -d .mozilla/firefox/<perfil>/
12
Aplicaciones: navegadores
● Konqueror:– Cifras SSLv2 y SSLv3 a emplear– Uso opcional de librerías openssl– Certificados de cliente a enviar según servidores a los
que se conecte– Ubicación de certificados: ~/.kde/share/config/kssl*
13
Aplicaciones: smart cards
● Tarjetas físicas (smart card) con certificado X.509:– DNI electrónico. Tiene 2 certificados, ambos
revocables:● Certificado de Autenticación: autenticación y
acceso seguro a sistemas informáticos. No ofrece garantía de no repudio.
● Certificado de Firma, garantizando la integridad y el no repudio.
– Tarjeta sanitaria ONA– Tarjeta universitaria
14
Aplicaciones: smart cards
● Ejs. de uso:– Local: Login al S.O., control de presencia,...– Remoto: Identidad a través de web, VPNs,...
● Requisitos HW/SW:– Lector de tarjeta (integrado o USB) y driver.
● GNU/Linux: PCSC-lite, OpenCT– Tarjeta y librerías para el S.O. Teoría: estándar pkcs11.
● GNU/Linux: OpenSC– Instalar certificado de la CA emisora
15
Licencia de uso
http://creativecommons.org/licenses/by-sa/3.0/