Seguridad de Redes 08

SEGURIDAD DE REDES

FUNDAMENTOS DE CRIPTOGRAFIA

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAObjetivos

� Describir como los tipos de encriptación trabajan juntos para proveer confidencialidad e integridad

� Describir los mecanismos para asegurar la integridad de la información y autenticación

CRIPTOGRAFIA

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍACriptografia

La Criptografía es una de las dos disciplinas que

conforman la ciencia de la Criptología. La segunda

disciplina se denomina Criptoanálisis.

La Criptografía es el desarrollo y la utilización de

códigos

El Criptoanálisis es todo acerca de la ruptura de estos

códigos

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAHistoria de la Criptografía

Texto PlanoFLANK EAST

ATTACK AT DAWN

3

IODQN HDVW

DWWDFN DW GDZQ

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z2

Texto encriptado

La Criptografía ha sido desarrollada a lo largo de muchos años, data desde la época de los reinos.

Julio Cesar en los mensajes enviados a sus comandantes uso encriptación, empleando códigos de sustitución.

1

Desplazamiento de 3 caracteres

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAHistoria de la Criptografía

Uno de los mayores avances en temas de encriptación se dio con la creación de la maquina alemana Enigma, inventada por Arthur Scherbius en 1918.

Esta maquina sirvió como plantilla para los sistemas utilizados por cada uno de los aliados en la Segunda Guerra Mundial

Para defenderse de este nivel de encriptación, los británicos crearon lo que la mayoría llaman

la primera computadora del mundo,

the Colossus

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍACódigos de sustitución (substitution cipher)

Los códigos de sustitución remplazan una letra por otra en el mensaje encriptado.

Un ejemplo de este tipo es el código de Cesar. Otro ejemplo es el código Wheel

3

IODQN HDVW

DWWDFN DW GDZQ

Texto plano1

FLANK EAST

ATTACK AT DAWN

Desplazar la rueda interna 3posiciones

2

Texto Encriptado

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍACódigos de sustitución

Los códigos Cesar y Wheel son vulnerables frente a un

análisis de frecuencia, debido a que el código mantiene

el parámetro de frecuencia encontrado en el lenguaje.

Para mejorar esta vulnerabilidad de los códigos de

sustitución se inventaron los códigos polialfabéticos

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍACódigos polialfabéticos (polyalphabetic ciphers)

Los códigos polialfabéticos fueron creados para

solventar la deficiencia dada por los códigos de

sustitución.

En ejemplo de este tipo es el codigo Vigenere. Este

código encripta el texto mediante el uso de una serie de

diferentes sistemas de cifrado César sobre la base de

las letras de una palabra clave (keyword).

Lleva el nombre por el criptógrafo francés Blaise de

Vigenère, aunque se le atribuye erróneamente su

invención, ya que este código fue escrito en 1553 por

Giovan Batista Belaso

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF


a b c d e f g h i j k l m n o p q r s t u v w x y z

A a b c d e f g h i j k l m n o p q r s t u v w x y z

B b c d e f g h i j k l m n o p q r s t u v w x y z a

C c d e f g h i j k l m n o p q r s t u v w x y z a b

D d e f g h i j k l m n o p q r s t u v w x y z a b c

E e f g h i j k l m n o p q r s t u v w x y z a b c d

F f g h i j k l m n o p q r s t u v w x y z a b c d e

G g h i j k l m n o p q r s t u v w x y z a b c d e f

H h i j k l m n o p q r s t u v w x y z a b c d e f g

I i j k l m n o p q r s t u v w x y z a b c d e f g h

J j k l m n o p q r s t u v w x y z a b c d e f g h i

K k l m n o p q r s t u v w x y z a b c d e f g h i j

L l m n o p q r s t u v w x y z a b c d e f g h i j k

M m n o p q r s t u v w x y z a b c d e f g h i j k l

N n o p q r s t u v w x y z a b c d e f g h i j k l m

O o p q r s t u v w x y z a b c d e f g h i j k l m n

P p q r s t u v w x y z a b c d e f g h i j k l m n o

Q q r s t u v w x y z a b c d e f g h i j k l m n o p

R r s t u v w x y z a b c d e f g h i j k l m n o p q

S s t u v w x y z a b c d e f g h i j k l m n o p q r

T t u v w x y z a b c d e f g h i j k l m n o p q r s

U u v w x y z a b c d e f g h i j k l m n o p q r s t

V v w x y z a b c d e f g h i j k l m n o p q r s t u

W w x y z a b c d e f g h i j k l m n o p q r s t u v

X x y z a b c d e f g h i j k l m n o p q r s t u v w

Y y z a b c d e f g h i j k l m n o p q r s t u v w x

Z z a b c d e f g h i j k l m n o p q r s t u v w x y

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF


Para encriptar el texto plano ATTACK AT DAWN,

vamos a definir como keyword la palabra

SECRETKEY.

La letra A es codificada por buscar en la fila S la letra

para la columna A, dando como resultado la letra S.

Luego buscamos en la fila E la letra en la columna T,

dando como resultado la letra X.

Este procedimiento debemos seguir hasta terminar el

texto. El texto encriptado es:

SXVRGDKXBSAP

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍACódigos de transposición (Transposition Ciphers)

En los códigos de transposición no se realiza un remplazo de letras, no es mas que una reorganización de letras.

El código Rail Fence es un tipo de código de transposición, en el cual las palabras están escritas como si se tratara de una valla

F...K...T...A...T...N.

.L.N.E.S.A.T.C.A.D.W.

..A...A...T...K...A...

3FKTATN

LNESATCADW

AATKA

Texto Plano1

FLANK EAST

ATTACK AT DAWN

Use a rail fence cipher and a key of 3.

2

Texto Encriptado.

ENCRIPTACION

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAEl Proceso de Encriptacion

El objetivo de la encriptación es garantizar la

confidencialidad de los datos, de modo que sólo quien

este autorizado puede ver el mensaje original

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAEl Proceso de Encriptación

Encriptación es usado para proveer confidencialidad en

las distintas capas del modelo OSI

� Capa Aplicación: Encriptacion de datos es

usada en e-mail seguro, sesiones seguras de la

base de datos, mensajeria segura.

� Capa de Sesion: La información es encriptada

usando SSL

� Capa de Red: La información es encriptada

usando protocolos como Ipsec.

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAlgoritmos de Encriptación

Un buen algoritmo de encriptación debe tener las

siguientes características:

� Son resistentes a ataques criptográficos

� Soportan claves variables y de gran longitud y

escalabilidad

� Crean un efecto avalancha

� No tiene restricciones de exportar e importar

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAlgoritmos de Encriptación Simétricos y Asimétricos

Es una función matemática que se usa para encriptar y

desencriptar los datos.

Algoritmos simétricos

Esta clase de algoritmo utiliza la misma clave

para encriptar y desencriptar los datos

Algoritmos asimétricos

Esta clase de algoritmo usa dos tipos de llaves

diferentes, una para encriptar y otra para

desencriptar

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAlgoritmos de Encriptación Simétricos

El transmisor y el receptor tienen que compartir la

misma llave para transferir datos de forma segura.

Usa llaves de una longitud que va desde 40 ha 256 bits

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF


La Encriptación simétrica utiliza una serie de técnicas distintas. Los mas comunes

� Código de Bloque

� Código de flujo

� Código de Autenticación de mensajes

Los algoritmos simétricos son muy rápidos, porque son basados en operaciones matemáticas no tan complejas.

Debido a que el Rx/Tx deben compartir la misma llave secreta antes de empezar la comunicación, se debe emplear algoritmos de gestión de claves para asegurar el intercambio de ellas.

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAlgoritmos de Encriptación Asimétricos

Los algoritmos de encriptación asimétrica utiliza dos llaves distintas, una para encriptar y otra para desencriptar. La longitud de llaves usadas va desde los 512 a 4096 bits

Encryption Key Decryption Key

Encrypt Decrypt$1000 $1000%3f7&4

Two separate keys which are

not shared

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAlgoritmos de Encriptación Asimétricos

Estos algoritmos están basados en modelos

matemáticos complejos, por esto es que pueden llegar a

ser 1000 veces mas lento que un algoritmo de

encriptación simétrico.

Son usados generalmente para el intercambio seguro de

claves, ya que una de la llaves puede ser publica.

Ejemplos son RSA, Diffie-Hellman, ElGamal, etc

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF


Algoritmo de encriptacion

simetrico

Lonjitud de la llave

(in bits)

Description

DES 56Diseñado por IBM durante la década de 1970 . Diseñado

para ser implementado sólo en el hardware.

3DES 112 and 168Basado en el uso de DES tres veces, es decir el dato de

ingreso se encripta 3 veces

AES 128, 192, and 256Es relativamente fácil de implementar, y requiere poca

memoria. Rápido tanto en hardware como en software.

Software Encryption

Algorithm (SEAL)

160

Se utiliza una clave de encriptación de 160-bits y tiene

un menor impacto en la CPU, en comparación con otros

algoritmos basados en software.

The RC series

RC2 (40 and 64)RC4 (1 to 256)

RC5 (0 to 2040)RC6 (128, 192,

and 256)

Un conjunto de algoritmos de encriptación simétrica

inventado por Ron Rivest.

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍATécnicas de Encriptación Simétrica

64 bits 64bits 64bits0101001011001010101010010110010101

1100101blank blank

0101010010101010100001001001001

Block Cipher – Encriptacion es desarrolladaen bloques de 64 bits

Stream Cipher – La encriptación se desarrolla un bit a la vez

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAData Encryption Standard

Description Data Encryption Standard

Timeline Estandarizada en 1976

Type of Algorithm Simetrico

Key size (in bits) 56 bits

Speed Medio

Time to crack(Assuming a computer could try

255 keys per second)

Dias (6.4 days by the COPACABANA machine, a specializedcracking device)

Resource Consumption

Medium

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍABlock Cipher Modes

DE

S

DE

S

DE

S

DE

S

DE

S

DE

S

DE

S

DE

S

DE

S

DE

S

Initialization Vector

ECB CBC

Message of Five 64-Bit BlocksMessage of Five 64-Bit Blocks

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍA3DES

Description Triple Data Encryption Standard

Timeline Estandardizada 1977

Type of Algorithm Symmetric

Key size (in bits) 112 and 168 bits

Speed Lento


255 keys per second)4.6 Billion years with current technology


Baja

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍA3DES

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAES

Description Advanced Encryption Standard

Timeline Estandar oficial desde 2001


Key size (in bits) 128, 192, and 256

Speed Alta


255 keys per second)149 Trilliones de años


Low

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAVentajas de AES

� La llave es mucho mas fuerte debido a su longitud.

� AES es mas rápido que 3DES, los dos ejecutados en

un mismo hardware

� AES es mas eficiente que DES y 3DES en un

mismo hardware.

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAlgoritmos de encriptación alternativo

Los algoritmos de encriptación alternativos son:

� Software Encryption Algorithm SEAL

� Rivest Codes

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍASEAL

Description Software-Optimized Encryption Algorithm

TimelinePrimera publicacion 1994. Current version is 3.0 (1997)


Key size (in bits) 160

Speed ALTA


255 keys per second)Desconocido, se considera muy segura


Bajo

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍARivest Cipher

� El algoritmo mas usado es RC4.

� RC4 es considerado un algoritmo seguro, a menudo

se utiliza para la encriptación de los datos

Description RC2 RC4 RC5 RC6

Timeline 1987 1987 1994 1998

Type of Algorithm Block cipherStream cipher

Block cipher Block cipher

Key size (in bits) 40 and 64 1 - 2560 to 2040 bits (128

suggested)

128, 192, or 256

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍADiffie-Helman

Description Diffie-Hellman Algorithm

Timeline 1976

Type of Algorithm Asymmetric

Key size (in bits) 512, 1024, 2048

Speed Lento

Time to crack(Assuming a computer could

try 255 keys per second)No se conoce, pero se considera muy seguro


Medio

ADMINISTRACION DE LLAVES (KEY MANAGEMENT)

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAdministración de llaves

La administración de llaves con frecuencia es

considerado la parte mas difícil del diseño de los

sistemas criptográficos.

Las fallas en los sistemas criptográficos se producen a

causa de las deficiencias en la administración de llaves.

Para que un atacante, el objetivo general cuando se

trata de atacar a un sistema criptográfico es el sistema

de gestión de claves, en lugar del propio algoritmo.

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAComponentes de la Administración de llaves

La administración de llaves consta de los siguientes

componentes:

� Generación de llaves

� Verificación de llaves

� Almacenaje de llaves

� Intercambio de llaves

� Revocación y destrucción de llaves

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAEspacio de llaves

El espacio de llaves de un algoritmo representa un conjunto

definido de todos los valores de llaves posibles.

Para cada llave de n bits, el espacio de llaves esta definido por

un valor de 2� valores de las llaves posibles.

DES Key Keyspace # of Possible Keys

56-bit256

11111111 11111111 11111111 11111111 11111111 11111111 11111111

72,000,000,000,000,000

57-bit257

11111111 11111111 11111111 11111111 11111111 11111111 11111111 1 144,000,000,000,000,000

58-bit258

11111111 11111111 11111111 11111111 11111111 11111111 11111111 11

288,000,000,000,000,000

60-bit260

11111111 11111111 11111111 11111111 11111111 11111111 11111111

1111

1,152,000,000,000,000,000

Con 60-bit DES un atacante requerirá 16 veces mas tiempo

que con un 56-bit DES

Dos veces mas tiempo

Cuatro vecesmas tiempo

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍALongitud de llaves

La fuerza de protección de los algoritmos modernos

confiables esta dada exclusivamente por la longitud da

la llave.

Se debe seleccionar una longitud de llave que proteja la

confidencialidad o integridad de los datos durante un

período de tiempo adecuado.

Debemos estimar los recursos del atacante, el tiempo

que debemos proteger la información y el impacto en

el rendimiento de la red.

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍALongitud de llaves

Los cálculos se basan en el hecho de que el poder de computación continuará creciendo al ritmo actual y la capacidad de realizar ataques de fuerza bruta crecerá a la misma tasa.

2242242432112Protection up to

20 years


10 years

160160124880Protection up

to 3 years

HashDigital

Signature

Asymmetric

Key

Symmetric

Key


30 years

51251215424256Protection against

quantum computers

ALGORITMOS HASH

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAFunción Hash

Una función hash es un medio de convertir los datos en un número relativamente pequeño que puede actuar entonces como una huella digital de los datos.

La función hash convierte datos con longitud arbitraria en un extracto de longitud fija conocido como valor hash, digest o huella digital.

Esta basada en funciones de una sola via.

Se utiliza para chequear la integridad de los datos y proveer firmas digitales.

e883aa0b24c09f

Datos de longitud arbitraria

Valor hash de longitud fija

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAlgoritmos Hash

Los dos algoritmos Hash mas usados son :

• MD5 con 128 bits

• SHA con 160 bits

Pay to Terry Smith $100.00

One Hundred and xx/100

Dollars

Pay to Alex Jones $1000.00

One Thousand and xx/100 Dollars

4ehIDx67NMop9 12ehqPx67NMoX

Match = Sin CambiosNo match = Alteraciones

Internet

Me gustaría

cambiar el

cheque.

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAMessage Digest Algorithm 5 MD5

MD5 fue diseñado por Ronald Rivest en 1991,

posteriormente definido en la RFC 1321, tiene un

valor hash de 128 bits de longitud.

MD5 es un algoritmo altamente difundido en las

aplicaciones de seguridad.

Usa una función hash de fácil computo, realizado

mediante el uso de operaciones binarias como XORs,

rotación, etc

Se han descubierto vulnerabilidades de MD5, donde

dos textos distintos producen el mismo valor hash

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍASecure Hash Algoritm SHA

Fue diseñado en 1994 por la National Security Agency (NSA) y publicado por National Institute of Standards and Technology (NIST).

Al igual que MD5 ingresa un mensaje de longitud variable no mayor a 2�� bits y entrega un valor hash de longitud fija de 160 bits. Por su mayor longitud es un ligeramente mas lento que MD5.

SHA-1 es una revisión la cual corrige una falla no publicada de la original SHA.

SHA-2 es una versión mas segura, la cual tiene opciones de 224, 256, 384 y 512 bits .

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAEJEMPLO HASH

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAHashed Message Authentication Code HMAC

HMAC usa funciones hash

existentes, pero con una diferencia

significativa.

HMAC agrega una llave secreta

como entrada a la función hash.

La llave secreta es conocida por el

que envía y por el que recibe trafico

- Añade authentication para asegurar la identidad de la information

- Mitiga el ataque man-in- the middle

+Data of Arbitrary

Length

Fixed Length Authenticated Hash Value

Secret Key

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAHashed Message Authentication Code HMAC

Data

HMAC(Authenticated

Fingerprint)

SecretKey


One Hundred and xx/100 Dollars

4ehIDx67NMop9



4ehIDx67NMop9

Datos Recibidos

HMAC(Authenticated

Fingerprint)

Secret Key

4ehIDx67NMop9



Si la HMAC generada coincide con la HMAC enviada entonces la integridad y autenticidad ha sido verificada.

Si no coincide, el mensaje se descarta

Secret Key

FIRMAS DIGITALES

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAFirmas Digitales

Las Firmas Digitales pueden ser usado para autenticar

una entrada asociada.

Estas firmas digitales se utilizan para crear la

infraestructura de clave pública (PKI).

Estos sistemas PKI buscan crear un vínculo

inquebrantable entre el usuario y la llave publica.

Este relacionamiento permite usar la llave publica

como una identificación electrónica

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAFirmas Digitales

Las firmas digitales proveen tres servicios básicos en

una comunicación segura:

• La autenticidad de los datos firmados

digitalmente

• La integridad de los datos firmados

digitalmente

• No repudio de la transacción

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAPropiedades Firmas Digitales

Las firmas digitales tienen las siguientes

características:

• La firma es autentica

• La firma no es forgeable

• La firma no es reusable

• La firma no es alterable

• La firma no puede ser repudiable

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAProceso de las Firmas Digitales

Confirm

Order

Encrypted

hash

Confirm

Order

____________

0a77b3440…

Signature

Algorithm

SignatureKey

Data

Signature Verified

0a77b3440…

VerificationKey

0a77b3440…

Signed Data1

2

3

4

6

Validez de la firma

digital es reportada

hash

5

El dispositivo emisor

encripta solamente el hash

con la clave privada El algoritmo de firma

Genera una firma digital

Y obtiene la clave pública

La firma es

verificada con la

llave de

verificación

El transmisor crear un

hash del documento

RIVEST, SHAMIR, AND ALDERMAN (RSA)

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍARSA

RSA es ampliamente conocido y utilizado para una

variedad de necesidades de seguridad.

RSA utiliza una combinación de llaves

publica/privada, tiene una longitud que va desde los

512 a 2048 bits.

El algoritmo RSA es muy flexible ya que tiene una

longitud variable que permite que la velocidad se

negocie para la seguridad del algoritmo en caso de ser

necesario

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍARSA

Description Ron Rivest, Adi Shamir, and Len Adleman

Timeline 1977

Type of Algorithm Asymmetric algorithm

Key size (in bits) 512 - 2048

Advantages: La verificación de la firma es rápido

Disadvantages: La generación de la firma es lento

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍARSA

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAPropiedades de RSA

� Cien veces más lento que DES en hardware, mil veces más lento que DES en software

� El proceso de encriptación es mas rápido que el de desencriptación y la verificación es mas rápido que el firmado

� Usado para proteger pequeñas cantidades de información

� Asegura la confidencialidad de los datos a traves de la encriptación

� Genera firmas digitales para la autenticación y el no repudio de los datos

PUBLIC KEY INFRASTRUCTURE (PKI),

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAInfraestructura de llaves Publicas PKI

PKI es un conjunto de componentes técnicos, organizativos

y legales que se combinan para establecer un sistema que

permite a gran escala el uso claves públicas

PKI es a menudo una fuente de autenticación central para

VPNs corporativas, ya que proporciona una solución

escalable para satisfacer las crecientes necesidades de las

organizaciones actuales.

Una PKI proporciona a las organizaciones la estructura

necesaria para soportar a gran escala tecnologías basadas

en claves publicas.

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍATerminologia PKI

Los términos mas importantes dentro de PKI son:

� Certificate authority (CA): Una confiable compañía independiente responsable de firmar las claves públicas de las entidades en un sistema PKI basado.

� Certificate: Un documento emitido y firmado por la CA que une el nombre de la entidad y su clave pública

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍACertificate authority

http://www.verisign.com

http://www.rsa.com/

http://www.entrust.com

http://www.novell.com

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAComponentes PKI

Las cinco principales áreas que forman una PKI son:

� CAs que proveen una gestión de llaves

� Usuarios de la PKI como personas, dispositivos, servidores

� Protocolos y storage

� Marco de apoyo organizativo y autenticación de usuarios a través de Entidades de Registro Local (LRA)

� Marco legal

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAUsos de PKI

� Cuando un certificado de encriptación se utiliza con más frecuencia que un certificado de firma, el par de claves pública y privada está más expuesto. Su vida útil se acorta, y se debe cambiar con más frecuencia. La firma por separado del par de claves pública y privada podría tener una vida útil mucho más larga.

� Cuando los diferentes niveles de encriptación y firma digital son requeridas por temas legales, exportación o de rendimiento, el uso de llaves permite a los administradores asignar diferentes longitudes de clave para los distintos pares.

� Cuando se desea recuperar una llave, el uso de llaves de encriptación permiten al usuario recuperar solo la clave privada. La llave privada firmada se mantiene con el usuario lo que habilita un verdadero no repudio

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍATopologias de PKI

La primera topología de PKI es

Single-Root

• Los Certificados son emitidos por

una CA

• El beneficio de esta topología es la

sencillez

• Simple punto de falla

Root CA

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF


La siguiente topología de PKI

es Jerarquica

• Delegación y distribución de

la confianza

• El beneficio de esta

topología es la escalabilidad

y manejalabilidad

• Rutas de certificacion

Root CA

SubordinateCA

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF


La siguiente topología de PKI es Cross-Certified

• Multiples single-root CAs establecen una relación confiable por una certificación cruzada de sus propios certificados CA

CA2CA1

CA3

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍACertificate Authorities

Una solución basada en CA esta descrita brevemente

por las siguientes funciones:

� CAs son la entidad confiable en la

implementación de PKI

� El estandar X.509 describe una identidad y

como se debe guardar una llave de

autenticación

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍACertificate Authorities

La CA firmara el certificado

requerido y enviara al host

1

Enrollment request

2

Completed Enrollment Request Forwarded to CA

3

Certificate Issued

RA

CA

Hosts enviaran la

solicitud del

certificado al RA

Luego el RA agrega información especifica a la petición de certificadoy el requerimiento es aprobado bajo la política de la organización. Estoes enviado a la CA

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAPresentación de solicitudes de certificados

CA Admin

CA

Enterprise Network

POTS

Out-of-Band Authentication of the CA Certificate

POTS

1

1

2

3 Certificate Request

Certificate Request 3

Envían un solicitud de certificado el cual incluye su

clave publica. Toda esta información es encriptada

usando la llave publica CA

El Certificado es instalado en el sistema

El administrador llama para confirmar su presentación y clave publica. Emite el certificado, añadiendo algunos datos adicionales a la solicitud .

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍAAutenticación

Private Key (Alice)

Certificate (Alice)

CA Certificate

Private Key (Bob)

Certificate (Bob)

CA Certificate

Certificate (Bob)

Certificate (Alice)

Cada parte verifica la firma digital en el certificado, por hashing el texto plano del

certificado, descifrando la firma digital con la clave pública CA, y comparando los

resultados

.

1

2 2

Ellos intercambian certificados. La entidad emisora no participo1

FU

ND

AM

EN

TO

SD

EC

RIP

TO

GR

AF

ÍACaracterísticas de autenticación PKI

� Para autenticar mutuamente, los usuarios deben obtener el certificado de la CA y de su propio certificado. Estos pasos requieren la verificación fuera de la banda de los procesos.

� Los sistemas de llaves públicos usa llaves asimétricas donde una es publica y la otra privada

� La gestión de claves se simplifica debido a que dos usuarios pueden intercambiar libremente los certificados.

� Debido a la fuerza de los algoritmos, los administradores pueden establecer un tiempo de vida muy largo para los certificados.

Seguridad de Redes 08

Documents

Transcript of Seguridad de Redes 08