Luis Ordóñez | Administración de Redes TCP/IP | 27 de diciembre de 2013
Certificados Digitales
PÁGINA1
Certificados Digitales
INTRODUCCION
Uno de los problemas que surgen en Internet es el de la identificación de las personas o entidades, por Ejemplo, cómo asegurarnos de que una clave pública que hemos encontrado en Internet pertenece realmente a quién dice pertenecer.
Una posible solución es la utilización de un certificado digital que es fichero digital intransferible y no modificable, emitido por una tercera parte de confianza (AC), que asocia a una persona o entidad una clave pública.
¿QUÉ ES UN CERTIFICADO DIGITAL?
Un certificado digital es un documento otorgado por una autoridad de certificación que garantiza la asociación de una persona física con una firma digital.
¿PARA QUÉ SIRVE?
Básicamente, el certificado digital es el mecanismo que nos permite obtener una firma digital válida para firmar documentos de manera electrónica. Dependiendo de su nivel de seguridad, la firma digital ofrece las mismas garantías que la firma ológrafa y permite asegurar la integridad de un documento.
¿Cómo funciona?
Para que un certificado digital tenga validez legal, la autoridad de certificación debe de estar acreditada por la entidad pública de certificación del país correspondiente. En Ecuador es el Banco Central es la entidad que se encarga de gestionar este tipo de certificados.
Como mecanismo para asegurar ambos conceptos (integridad e identidad), el certificado digital utiliza el estándar X.509 basado en un algoritmo de criptografía asimétrica. Este método criptográfico emplea dos claves por usuario: una pública y otra privada. Y es la autoridad correspondiente quién certifica que ambas claves son únicas por usuario y están correctamente vinculadas entre sí.
Dependiendo de cómo se utilicen estas claves, el usuario puede asegurar la integridad del envío y garantizar la identidad del remitente o proteger la privacidad del envío.
PÁGINA2
Garantizar la integridad del mensaje e identidad del remitente
Para garantizar la integridad del mensaje y asegurar la identidad del remitente, la versión resumida del procedimiento es el siguiente: el remitente firma el mensaje utilizando su clave privada y lo envía a otros usuarios. Gracias a esta firma, todos los destinatarios pueden comprobar la integridad del mensaje y la identidad utilizando la clave pública del remitente.
Proteger la privacidad del envío
En cambio, para asegurar la privacidad de un envío el proceso cambia: el remitente cifra el mensaje utilizando la clave pública del destinatario. Y éste, para descifrar el mensaje, utiliza su clave privada. Como la clave privada sólo la conoce el destinatario, es imposible que un tercer usuario descifre el mensaje (excepto por fuerza bruta).
ESTRUCTURA DE UN CERTIFICADO DIGITAL
Un certificado digital que siga el standard X509v3, utilizado por los navegadores, contiene la siguiente información:
Identificación del titular del certificado: Nombre, dirección, etc.
Clave pública del titular del certificado.
Fecha de validez.
Número de serie.
Identificación del emisor del certificado.
Un ejemplo sería:
issuer: C=ES ST=L=Barcelona O=SECURITY ZUTANEZ OU=Division de
certificados CN=Fulano Menganez [email protected] subject: C=ES
ST=O=OU=CN=Jaimito Email=Jaimito@jaimito serial:15
Certificate: Data: Version: 1 (0x0) Serial Number: 21 (0x15)
SignatureAlgorithm: md5WithRSAEncryption Issuer: C=ES ST=L=Barcelona
O=SECURITY ZUTANEZ OU=Division de certificados CN=Fulano Menganez
[email protected] ValidityNotBefore: Nov 18 15:15:31 1998 GMT
NotAfter : Nov 13 15:15:31 1999 GMT Subject: C=ES, ST=, O=, OU=,
CN=Jaimito Email=Jaimito@jaimitoSubjectPublic Key Info: Public Key
Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit):
00:9e:74:de:c9:1a:6b:f4:fe:d1:04:30:58:7e:8b:
51:7a:98:23:e9:45:a9:c2:a7:7c:f8:f8:b5:9a:a2:
ea:c1:99:68:ba:f7:c3:d8:06:05:1b:6a:47:a1:44:
5c:2c:a6:e0:4b:6f:ce:02:c4:06:32:20:34:be:13:
97:39:a3:aa:6f:2f:41:a7:bc:14:c8:f3:0c:ad:9d:
PÁGINA3
09:63:8a:f5:eb:60:5b:06:a6:01:fb:1a:07:b2:c6:
39:48:bb:b7:00:56:4e:20:6d:87:3f:67:0b:2f:f4:
b0:5f:74:7f:90:6b:b4:47:6f:56:1a:b5:c5:42:54:
9b:e5:e3:00:e2:4f:e3:14:47 Exponent: 65537 (0x10001)
SignatureAlgorithm: md5WithRSAEncryption
3b:2b:e9:ff:48:48:35:ab:30:5c:e2:d1:88:c9:29:8b:bc:09:
b2:58:80:17:9c:e7:08:0a:7d:8a:5e:46:a8:83:3b:ee:84:de:
62:e3:ea:51:cb:92:bc:fa:db:90:bd:cd:9f:25:d4:4a:48:63:
ac:b8:93:f9:dc:9c:cf:ef:fd:45
- -----BEGIN CERTIFICATE-----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= - ----
-END CERTIFICATE-----
Este es un certificado, válido durante un año, emitido por la autoridad certificadora SECURITY ZUTANEZ para el usuario Jaimito cuya clave pública RSA es:
exponente: 65537
modulo: 11127195552971827497702000105328725497115357432563948646524265
42649114539614030882310105443040321585401884991855044788817550
61645893205889184340440484177173313682979482908132499473623983
65177107544610936519826706567881109010715263259238888910151015
7610404623906744451048525264576885364836810773621503974118471
Todos los datos están firmados por la AC usando la función hash MD5 y su clave privada RSA. Una firma digital es el equivalente de la firma convencional, en el sentido de que es un añadido al final del mensaje conforme se está de acuerdo con lo que allí se dice. Formalmente, una firma digital es una transformación de un mensaje de forma que cualquier persona con conocimiento del mensaje y de la clave pública del firmante pueda comprobar que dicha transformación ha sido realizada realmente por el firmante.
PÁGINA4
Para verificar que el certificado es correcto deberíamos hacernos con el certificado digital emitido para dicha AC por una segunda AC. Para verificar la veracidad de este segundo certificado deberíamos obtener el certificado digital emitido para segunda AC por una tercera AC. Como este proceso podría eternizarse, existen las llamadas autoridades raíz que firman sus propios certificados, un ejemplo de autoridad raíz es Verisign.
Aparte de los datos del emisor y del propietario del certificado éste puede contener información referente a las limitaciones que se hayan establecido para su uso: e-mail, www, etc...
Como puede observarse en el certificado del ejemplo, no existe ninguna referencia a algoritmos de clave secreta. Cuando navegamos con Netscape y recibimos un certificado de un servidor web 'seguro' aparece la ventana:
New SiteCertificate
HereistheCertificatethatisbeingpresented:
Certificatefor: UPC Signedby: UPC Encryption: Highest Grade (RC4 with
128-bit secretkey)
Thesigner of theCertificatepromisesyouthattheholder of
thisCertificateiswhotheysaythey are. Theencryptionlevelisanindication
of howdifficultitwould be
forsomeonetoeavesdroponanyinformationexchangedbetweenyou and this web
site.
PÁGINA5
La información ''Encryption: Highest Grade (RC4 with 128-bit secret key)'' no tiene nada que ver con el certificado presentado por el servidor, sólo depende del navegador utilizado y del servidor, a distinto navegador distinto grado de cifrado.
Aunque desde un punto de vista técnico cualquiera puede erigirse en AC (sólo es necesario disponer de un par de claves pública-privada para firmar y verificar la firma, y todo aquel que desee obtener un certificado las tiene), una AC, además de emitir certificados, debería ofrecer los servicios siguientes:
Búsqueda de certificados: Una persona puede querer buscar el certificado referente a otra persona o entidad.
Revocación: Si un certificado se pierde, el titular debe poder informar a la AC para que lo anule y emita otro. También si la clave privada ha quedado comprometida debe ser posible su revocación.
Suspensión: La AC debe suspender la validez de un certificado si se hace un uso anormal de él.
Estado del certificado: Las personas a las que se les presenta un certificado deben de poder comprobar que no ha sido revocado o suspendido.
Actualmente aún se está desarrollando el marco legal que regule el reconocimiento de la validez legal de las firmas digitales y cuáles han de ser los requerimientos mínimos que han de reunir las autoridades certificadoras para ser reconocidas como tales.
PÁGINA6
¿QUÉ ES ISA SERVER?
ISA Server es un Gateway integrado de seguridad perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rápido y seguro a las aplicaciones y los datos.
Publicación segura de aplicaciones.- Publicación de servidores Exchange, SharePoint y otros servidores de aplicaciones.
PÁGINA7
La publicación segura de aplicaciones con ISA Server 2006 permite el acceso de forma protegida a aplicaciones Exchange, SharePoint y otros servidores de aplicaciones Web. Los usuarios remotos pueden acceder a ellas desde fuera de la red corporativa con el mismo nivel de seguridad y privacidad que desde dentro.
Gateway para redes de oficinas.- Conexión segura y eficiente para redes remotas
ISA Server 2006 puede utilizarse como Gateway para redes de oficinas. Permite conectar y proteger los enlaces entre oficinas remotas y departamentos centrales y optimizar el uso del ancho de banda.
PÁGINA8
Protección del acceso a la Web.- Proteja su infraestructura de IT frente a amenazas basadas en Internet.
La protección del acceso a la Web que proporciona ISA Server 2006 aumenta la seguridad a los entornos de IT corporativos frente a amenazas internas y externas basadas en Internet.
Soluciones que ofece ISA Server
Necesidades de la organización ISA Server ofrece
Publicación rápida de correo electrónico y otros contenidos
Herramientas para la publicación automática de Exchange y SharePoint®
Acceso seguro para cualquier aplicación Web y desde cualquier dispositivo de cliente
Autenticación basada en formularios Web personalizable
Control riguroso de la identidad Autenticación multifactorial mejorada (con soporte para tarjetas inteligentes, RADIUS OTP), y delegación (NTLM, Kerberos)
Experiencias de usuario transparentes Logon único (SSO, Single Sign-on), y traducción automática de enlace
Publicar un número elevado de servidores Balanceo de carga para la publicación Web
Integración flexible con el Active Directory® Soporte para LDAP
Una gestión más sencilla de SSL Administración de certificados mejorada
Finalización automática del acceso cuando los usuarios no utilizan el enlace (tiempo máximo de inactividad)
Gestión mejorada de la sesión
Protección frente a ataques desde sistemas externos Integración de cuarentena para VPNs
Bloqueo para ataques con paquetes cifrados Bridging basado en SSL
Mínima exposición a ataques externos de Denegación de Servicio (DoS) y DDOS
Mayor resistencia a ataques por inundación.
PÁGINA9
Protección contra gusanos que se propagan internamente
Mayor resistencia ante ataques de gusanos
Medidas de mitigación del impacto en caso de ataque. Registro y control del consumo de memoria y peticiones DNS pendientes.
Detección de ataques más rápida Sistema de alertas, condiciones de disparo y respuestas completo y totalmente automatizado
Control e informes de actividad de los gateways remotos
Integración con Microsoft® Operations Manager (MOM) 2005
Detección de ataques sofisticados Inspección de contenidos multinivel y en profundidad.
Adaptabilidad ante cambios en las modalidades de amenaza
SDK Flexible para crear complementos de protección, como filtros antivirus y Web
Gestión rápida y sencilla de políticas complejas Herramientas de gestión sencillas y fáciles de aprender y utilizar.
Configuración sencilla de las conexiones de oficinas remotas
Herramientas automatizadas y soporte para instalaciones desatendidas
Actualización rápida de los sistemas de las oficinas remotas
Cache basada en BITS para la distribución de actualizaciones de software
Uso eficiente de un ancho de banda limitado Compresión y cache de HTTP
Reducir los costes de soporte de las infraestructuras remotas
Propagación más rápida de políticas y optimización de conexiones de escaso ancho de banda
Una mejor gestión de prioridades del tráfico de red Soporte para DiffServ
Acceso rápido con enlaces de ancho de banda mínimo Cache distribuido jerárquicamente cache para contenidos Web
Gestión centralizado y seguro de las oficinas remotas Funcionalidades de gestión central y remota
Aprovechar al máximo la infraestructura existente Arquitectura multirred con plantillas de administración de redes.
Licencias
Licencias de Producto Descripción
ISA Server 2006 Ed. Estándar ISA Server 2006 es un Gateway perimetral integrado que protege el entorno de IT frente a amenazas
basadas en Internet y ofrece a los usuarios remotos un acceso rápido y seguro a las aplicaciones y datos.
ISA Server 2006 Ed. Enterprise ISA Server 2006 Ed.Enterprise está diseñado para grandes organizaciones que necesitan opciones de
instalación flexibles con los máximos niveles de disponibilidad, escalabilidad y capacidad de gestión.
ISA Server 2006 Ed. Enterprise, paquete de 25
procesadores
El paquete de licencias para 25 procesadores de ISA
Server 2006 Enterprise se ofrece con un descuento del 50% para clientes que necesitan ISA Server en escenarios de grandes despliegues, como son las redes de oficinas.
Microsoft Windows Server 2003 ISA Server 2006 Ediciones Estándar y Enterprise requieren el sistema operativo Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft
Windows Server 2003 R2.
Requisitos del sistema
Para utilizar las ediciones Estándar o Enterprise de ISA Server 2006 necesitará esta configuración mínima:
PÁGINA10
Procesador PC con procesador Pentium III a 733 MHz o superior. Sistema Operativo
Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft Windows Server 2003 R2.
Memoria Se recomienda 512 megabytes (MB) de RAM o más Disco duro Partición en disco duro local con formato NTFS con 150 Mb de espacio de disco disponible; puede
necesitarse más espacio para cache Web Adaptador de red
Adaptador de red para la conexión a la red interna. Otro adaptador de red adicional, modem o adaptador RDSI para cada una de las redes a las que se conecta el equipo. Otra tarjeta de red adicional para comunicaciones internas si el servidor pertenece a un array con balanceo de carga (NLB) de ISA Server 2006 Enterprise Edition.
Referencias 1. http://www.iec.csic.es/criptonomicon/articulos/expertos51.html 2. http://www.uv.es/~sto/articulos/BEI-2003-11/certificados_digitales.html 3. http://ecuador.isigmaglobal.com/2011/12/28/aduana-empieza-a-usar-la-firma-electronica/ 4. https://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=7&sqi=2&ved=0C
EMQFjAG&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2FA%2FC%2F1%2FAC1FE88A-ADBF-4D88-9BEA-2113542B42E7%2FESP_ISA_Server_2006_DS.pdf&ei=3a-XUtrONcu1kAeg1YDYCA&usg=AFQjCNFhuUgZ6bsCTmVbvFMXSTyhlVSBEw
Top Related