jueves, 19 de noviembre de 2009

“Algunas Ventajas y Desventajas de la Tecnología PKI”



PKI se basa en la criptografía de clave pública, cuyos orígenes se remontan al artículo seminal de Diffie y Hellman en 1976, donde se explica la idea revolucionaria de servirse para las operaciones criptográficas de una pareja de claves, una pública, conocida por todos, y otra privada, sólo conocida por el usuario a quien le es asignada. Un mensaje puede ser cifrado por cualquier persona usando la clave pública, ya que es públicamente conocida, aunque sólo el poseedor de la clave privada podrá descifrarlo. Recíprocamente, un mensaje cifrado con la clave privada sólo puede ser cifrado por su poseedor, mientras que puede ser descifrado por cualquiera que conozca la clave pública. 





Estas propiedades de que goza la criptografía de clave pública, cuyo uso más común se plasma en la firma digital, la convierten en candidata ideal para prestar servicios como la autenticación de usuarios (para asegurarse de la identidad de un usuario, bien como signatario de documentos o para garantizar el acceso a servicios distribuidos en red, ya que sólo él puede conocer su clave privada, evitando así la suplantación), el no repudio (para impedir que una vez firmado un documento el signatario se retracte o niegue haberlo redactado), la integridad de la información (para prevenir la modificación deliberada o accidental de los datos firmados, durante su transporte, almacenamiento o manipulación), la auditabilidad (para identificar y rastrear las operaciones, especialmente cuando se incorpora el estampillado de tiempo), y el acuerdo de claves secretas para garantizar la confidencialidad de la información intercambiada, esté firmada o no.



Los mayores obstáculos a los que se han enfrentado las empresas pioneras en la implantación de Tecnología PKI para sus necesidades de negocio electrónico (e-Business) han sido tradicionalmente: 
 

  • El costo ha sido un problema desde el principio. Al no existir un mercado suficientemente maduro en PKI, cada empresa que ofrece soluciones de clave pública ofrece tarifas en función de criterios diversos (por certificado, por uso de certificado, por servidores instalados,...) y cobra honorarios también dispares, de manera que la inversión en PKI como respuesta a las necesidades de seguridad y accesibilidad a los activos informáticos de la empresa puede resultar cuando menos inesperadamente elevada.
  • La tecnología PKI se le antoja un tanto esotérica al usuario final, que no terminan de entender del todo la jerga relacionada. Acostumbrado a autenticarse sin más que introducir su nombre y contraseña, puede sentirse fácilmente rebasado por la complejidad tecnológica de las firmas digitales y demás funciones criptográficas. 


Ver: http://www.iec.csic.es/CRIPTonOMICon/susurros/susurros11.html

Publicado por en No hay comentarios:

martes, 17 de noviembre de 2009

Usos de la tecnología PKI

• Autenticación de usuarios y sistemas (login)
• Identificación del interlocutor
• Cifrado de datos digitales
• Firmado digital de datos (documentos, software, etc.)
• Asegurar las comunicaciones
• Garantía de no repudio (negar que cierta transacción tuvo lugar)

Tipos de certificados

Existen diferentes tipos de certificado digital, en función de la información que contiene cada uno y a nombre de quién se emite el certificado:

• Certificado personal, que acredita la identidad del titular.

• Certificado de pertenencia a empresa, que además de la identidad del titular acredita su vinculación con la entidad para la que trabaja.

• Certificado de representante, que además de la pertenencia a empresa acredita también los poderes de representación que el titular tiene sobre la misma.

• Certificado de persona jurídica, que identifica una empresa o sociedad como tal a la hora de realizar trámites ante las administraciones o instituciones.

• Certificado de atributo, el cual permite identificar una cualidad, estado o situación. Este tipo de certificado va asociado al certificado personal. (p.ej. Médico, Director, Casado, Apoderado de..., etc.).

Además, existen otros tipos de certificado digital utilizados en entornos más técnicos:

• Certificado de servidor seguro, utilizado en los servidores web que quieren proteger ante terceros el intercambio de información con los usuarios.

• Certificado de firma de código, para garantizar la autoría y la no modificación del código de aplicaciones informáticas.


Beneficios únicos

La tecnología PKI se considera estratégica para el sector gubernamental por dos razones:

• La Administración es garantista, por lo que los mecanismos de seguridad aplicados deben ofrecer un alto nivel de confianza.

• La Administración electrónica mejora de forma significativa el servicio al ciudadano incrementando su satisfacción.
De igual forma, el uso de la tecnología PKI permite optimizar los procesos garantizando la seguridad de los datos electrónicos. Algunos ejemplos son:

En el escenario del sector de sanidad, el control de acceso y el cifrado de datos son básicos para el suministro de la información del historial clínico donde los informes del paciente son confidenciales. La firma electrónica se aplicará también en la receta electrónica, mejorando la seguridad del sistema actual de prescripción y optimizando el proceso.

En el escenario de la banca, los certificados digitales se requieren para el control de acceso de los clientes a sus cuentas bancarias y para firmar electrónicamente las órdenes de transacción. En este escenario, la validación segura del certificado digital previa a la aceptación de la transacción será más crítica cuan mayor sea el importe ordenado.

En el sector de defensa, la confidencialidad y la autenticidad de los datos es especialmente sensible. Se cifran datos a custodiar, los mensajes de correo electrónico y las comunicaciones con algoritmos y claves de cifrado fuertes.


Ver: http://labs.safelayer.com/es/tecnologia/54-keyone/285
Publicado por en No hay comentarios:

sábado, 14 de noviembre de 2009

Estructura de una PKI


El sistema, al que se denomina "Infraestructura de Clave Pública" (PKI), posee elementos que se pueden ilustrar en la siguiente figura.








Existen multitud de componentes adicionales, y cada elemento es un sistema complejo en si mismo. Los componentes básicos pueden resumirse en:

  • La Autoridad de Certificación. La pieza central del "puzzle" y la que proporciona la base de confianza en la PKI. Constituido por elementos hardware, software y, evidentemente, humanos.

  • Publicación de Certificados. El repositorio de certificados permite a los usuarios operar entre ellos (p.e. para la validación de una Firma Digital), y es un requisito legal que cuente con una total disponibilidad de acceso.

  • Soporte de la Clave Privada. La elección de un buen soporte para que los usuarios custodien su clave privada es un punto esencial y complejo en si mismo (p.e. si la clave está en una SmartCard, es necesario diseñar el Sistema de Gestión de SmartCards que permita la emisión y distribución de las tarjetas a los usuarios).

  • Aplicaciones "PKI-Enabled". Se denomina así a las aplicaciones software capaces de operar con certificados digitales. Estas aplicaciones son las que dan el valor real de la PKI de cara al usuario.

  • Políticas de Certificación. Deben diseñarse una serie de políticas, o procedimientos operativos, que rigen el funcionamiento de la PKI y establecen los compromisos entre la Autoridad Certificadora y los Usuarios Finales. Estos documentos tendrán un carácter tanto técnico como legal.

El Proceso de Construcción de una PKI deberá siempre partir de la definición de las Políticas Operativas y contemplar como requerimiento esencial el asegurar la calidad y seguridad de las operaciones que los usuarios finales realizan con sus claves privadas (p.e. Firma Digital de Documentos).

Ver: http://www.eurologic.es/soluciones/que-es-pki.htm


Publicado por en No hay comentarios:

viernes, 13 de noviembre de 2009

¿Cómo funciona la Tecnología PKI?


Cuando una persona solicita un certificado de una PKI se pone en marcha un proceso (que ha de estar perfectamente definido y documentado) que permita la generación de un certificado digital del tipo que sea. Generalmente la persona firma un contrato o se adhiere a unas condiciones generales de servicio que definen el uso y alcance del certificado que se le genera. A partir de ese momento comienza la gestión del ciclo de vida del certificado mientras éste mantenga su vigencia, que termina cuando se revoca o bien cuando caduca y no se procede a su renovación.

Función de la infraestructura de la clave pública

La función de la infraestructura de la clave pública es múltiple y abarca las áreas siguientes:
  • Registrar las solicitudes de claves a través de la verificación de la identidad del solicitante,
  • Generar pares de claves (clave pública/clave privada),
  • Garantizar la confidencialidad de las claves privadas que corresponden a las claves públicas,
  • Certificar la relación entre el usuario y su clave pública,
  • Revocar claves (en caso de que su propietario la haya perdido, en caso de que el período de validez haya expirado o se encuentre en riesgo).

Estructura de una PKI

Generalmente, la infraestructura de clave pública se compone de dos entidades separadas:
  • La entidad de registro (abreviada RA), a cargo de formalidades administrativas como la verificación de la identidad de una persona solicitante, la supervisión y gestión de solicitudes, etc.
  • La entidad de certificación (abreviada CA), a cargo de las tareas técnicas de la creación de certificados. Por lo tanto, la entidad de certificación es responsable de certificar las solicitudes de firmas (CSR y a veces llamadas PKCS#10, el nombre del formato correspondiente). La entidad de certificación es también la responsable de firmar listas de revocación de certificados (CRL).
  • El Repositorio, cuya función es mantener los certificados en un lugar seguro.

Publicado por en No hay comentarios:

jueves, 12 de noviembre de 2009

Infraestructura de Clave Pública

¿Qué es?
Es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.
 
El término PKI se utiliza para referirse tanto a la autoridad de certificación y al resto de componentes, como para referirse, de manera más amplia y a veces confusa, al uso de algoritmos de clave pública en comunicaciones electrónicas. Este último significado es incorrecto, ya que no se requieren métodos específicos de PKI para usar algoritmos de clave pública.


Ver: http://es.wikipedia.org/wiki/Infraestructura_de_clave_p%C3%BAblica  

Los criptosistemas de clave pública permiten omitir la necesidad de utilizar sistemáticamente un canal seguro para el intercambio de claves. Sin embargo, es necesario que la publicación a gran escala de claves públicas se base en una total confianza para garantizar que: 

*       La clave pública pertenece realmente a su dueño,
*       El dueño de la clave es de confianza,
*       La clave tiene validez.

Así pues, la clave compuesta por dos partes (clave pública/clave privada) necesita estar asociada a un certificado otorgado por una tercera parte de confianza: la infraestructura de la clave pública. Por lo general, la tercera parte de confianza es una entidad denominada entidad de certificación (CA), que es responsable de garantizar la autenticidad de la información que contiene el certificado de clave pública y su validez.
Para ello, la entidad firma el certificado de clave pública con su propia clave mediante el principio de firmas digitales.

Firmas Digitales o Firmas Electrónicas, es un proceso que hace posible garantizar la autenticidad del remitente y verificar la integridad del mensaje recibido.
La Firma Digital es un paquete de información de tamaño fijo, dependiente del documento original y sólo puede generarse por el poseedor de la clave privada.
  Ver: http://es.kioskea.net/contents/crypto/pki.php3


 
Publicado por en 2 comentarios:
Suscribirse a: Entradas (Atom)