Seguridad en la transmisión de Datos
David Peg MontalvoSantiago de Compostela
Noviembre 2005
Telefonica EmpresasIngeniería de Soluciones
2
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
01 Seguridad. Ámbito de aplicación
02 Control de acceso
03 Conceptos básicos de criptografía
04 PKI
05 Seguridad en protocolos
Índice
3
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Seguridad. Ámbito de aplicación
4
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Comunicaciones
COMUNICACIONES
5
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Riesgos
Anonimato
Falta de confidencialidad
Posibilidad de suplantación
Vulnerabilidad de los mensajes y aplicaciones
Establecer mecanismos que eviten los problemas anteriores:
1. Controlar los accesos2. Dotar a los mensajes de un mecanismo que garantice la identidad del remitente, la integridad del mensaje y la confidencialidad del contenido
6
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Visión Integral de la Seguridad
PC -Cliente
Bases de Datos Email Comercio Electrónico
Aplicaciones web Aplicaciones de empresa
0102030405060708090
1st Qtr2nd Qtr3rd Qtr4th Qtr
EastWestsage
RED
Anonimato Falta Confidencialidad Suplantación Mensajes VulnerablesSeguridad
Firewalls y Proxys
8
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Modelo Internet
Nivel FNivel FíísicosicoRadio, cable, fibra, …
Software de RED
Sist. Operativo.
Nivel EnlaceNivel Enlace LAN
TCP/IPTCP/IP
NavegadorAplicaciAplicacióónn
9
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Protocolos de comunicación
1110001000010111000010001000011100010000101110000100010000………….. Nivel F.. Nivel Fíísicosico
EnlaceEnlace EnlaceEnlace
TCP/IPTCP/IP TCP/IPTCP/IP
10
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
CorreoCorreo WebWeb Base Datos Base Datos ppúúblicablica
Cortafuegos / Proxy
............
Red InternaRed Interna
Base Datos Base Datos privadaprivada
ProxyProxy
CortafuegosCortafuegos
((FirewallFirewall))
11
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Conceptos básicos de criptografía
12
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Las 4 aspectos básicos de la seguridad
3 INTEGRIDAD
Que nadie sea capaz de alterar lo que yo haya escrito.
1 IDENTIFICACIÓNTener la certeza de que una información ha sido escrita por quien dice que la ha escrito.
4 NO REPUDIOQue nadie sea capaz de negar que ha escrito o enviado algo
2 CONFIDENCIALIDADQue nadie pueda leer la información excepto el destinatario
5 DISPONIBILIDAD
13
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Definición:
Técnica que se ocupa del diseño de mecanismos para cifrar, es decir, para enmascarar una determinada información de carácter confidencial
Criptografía
14
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Criptografía de clave privada
A tiene una clave secretaSi B quiere enviar a A un mensaje secreto:
A envía a B una copia de su clave secretaB encripta el mensaje con la clave secreta de AA desencripta el mensaje con su clave secreta
Problemas:¿Cómo hace llegar A a B la clave secreta?¿Qué pasa si B no es realmente B?Hace falta generar una clave secreta distinta para cada persona con la que A se comunique.
15
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Confidencialidad
Si B quiere enviar a A un mensaje secreto:
A envía a B una copia de su clave pública.
B con esta clave pública encripta el mensaje a A.
A desencripta el mensaje con su clave privada.
16
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Identificación y No repudio
B quiere enviar un mensaje y que A sepa que sólo él lo ha podido enviar
B envía a A una copia de su clave pública.
B encripta el mensaje a A con su clave privada.
A desencripta el mensaje con la clave pública de B.
17
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Integridad
B quiere enviar un mensaje a A a prueba de modificaciones y suplantaciones de identidad. B firmará digitalmente el mensaje
B envía a A una copia de su clave pública.B resume su mensaje ->HashB encripta el resumen del mensaje con su clave privada.B envía a A: Mensaje+Resumen EncriptadoA desencripta el resumen del mensaje con la clave pública de B. ->HashA tiene un Mensaje y un Resumen.A resume el mensaje original ->Hash’A compara el resumen del original (Hash’) y el resumen enviado (Hash) ->Comprueba que no han modificado el mensaje
18
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Usos de los tipos de criptografía
Simétrica: Cifrado=Confidencialidad
El uso de criptografía asimétrica para el cifrado es muy costoso.
Asimétrica:
Firma Digital= Autenticación, No repudio e Integridad
Sobre digital=Cifrado de claves de sesión
19
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Usos de la Criptografía asimétrica
Copia de Llave
pública
Llave privada(bien guardada por su dueño)
Cifrado
Al estar el mensaje cifrado con la clave pública, sólo se puede descifrar con la privada, que nadie más que el dueño posee.
Firma Digital
Copia de Llave
pública
Llave privada(bien guardada por su dueño)
Al estar un resumen del mensaje cifrado con la clave privada, todos los que tengan copia de la pública pueden verificar la firma.
20
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Usos de la Criptografía asimétrica
Ventajas:A distribuye su clave pública librementeSi B no es de fiar, no puede hacer nada sin la clave privada de AA sólo necesita una pareja de claves, independientemente de la gente con la que se relacioneA puede firmar mensajes digitalmente
Problema:Cómo sabe B que A es A, y no un tercero que le quiere suplantar, que realmente se trata de la clave pública de A
Respuesta:
Autoridad de Certificación y Certificados Digitales
21
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
El certificado
Un certificado es un fichero informático que utilizaremos para relacionar una clave pública ( y por relación, la clave privada asociada) con un usuario que conocemos y tenemos identificado.
El certificado, al hacer uso de criptografía asimétrica puede ser utilizado para:
Cifrar documentos
Firmar documentosEs, por tanto, muy importante estar realmente seguros de que la clave pública que manejamos para verificar una firma o cifrar un texto, pertenece realmente a quien creemos que pertenece.
22
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
PKI. Infraestructura de Clave Pública
23
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Estructura de un certificado X.509
Datos del usuario
Datos del emisor
Firma emisor
Contiene la información que identifica al propietario de la pareja de claves
Contiene la información de la entidad que afirma que la clave pública (en rojo) pertenece al usuario
Clave pública (copia) propiedad del usuario
Firma (resumen de todo lo anterior firmado con la clave privada del emisor) mediante la
cual el emisor garantiza que los datos son correctos sirve para comprobar si el certificado
ha sido modificado.
Otros datos Otros datos: Periodo de validez, algoritmos utilizados, versión, etc
Clave pública
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Confianza digital
CACAPúblicaBBB
Clavepublica
Confía
25
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
¿Coincide el nombre especificado en el DN del certificado con el nombre del remitente?
¿Está la fecha actual dentro del período de validez del certificado?
¿Es la CA emisora del certificado una CA en la que confío?
¿Valida la clave pública de la CA emisora del certificado la firma del dueño del certificado?
¿El certificado no se encuentra incluido en la lista de certificados revocados (CRL) de la CA?
Verificación de certificados
26
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
¿Qué garantías tengo?
Tecnológicas Anonimato -> Autenticación y No repudio
Falta de confidencialidad -> Cifrado
Posibilidad de suplantación -> Autenticación y No repudio
Vulnerabilidad de los mensajes -> Integridad
Legales
Firma Digital = Firma manuscrita
27
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Definición
ComponentesTecnológicos
Procesos
¿Qué es una PKI?
Una infraestructura de clave pública (PKI) es es el conjunto de plataformas y prácticas que permiten ofrecer un entorno seguro para comprar, vender, firmar documentos e intercambiar información sensible a través de Internet .
Plataformas y Sistemas: Autoridad de Certificación (CA), Autoridad de registro (RA), Sistema de distribución de claves (Directorio público LDAP), Frontend web, etc
Procesos: Prácticas de operación, auditoría informática, etc. Ciclo de vida de usuarios, certificados y claves.Gestionar la emisión, validación y revocación de certificados digitalesValidar y asegurar a los agentes que intervienen en las transacciones
28
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Componentes de una PKI
Directoriopúblico LDAP
Autoridad deRegistro (RA)
Almacenamientoclaves privadas
Autoridad deCertificación (CA)
Entorno de alta seguridad y disponibilidad
Procesos
29
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Seguridad en protocolos
30
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Seguridad en los protocolos
Nivel FNivel FíísicosicoRadio, cable, fibra, …
HW/SW de RED
Nivel EnlaceNivel Enlace LAN
TCPTCP
NavegadorHTTPHTTP
IPIPIPSECIPSEC
SSLSSL
31
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Protocolo SSL
En 1994 Netscape inventa Secure Sockets Layer.
Protocolo utilizado para la autenticación y confidencialidad de mensajes entre un Cliente y un Servidor => Identificación y confidencialidad.
Aceptado universalmente en la Web.
SSL utiliza criptografía simétrica y asimétrica.
SSL es una capa adicional entre Internet (TCP/IP) y las aplicaciones.
SSL no modifica el contenido de los mensajes a transmitir por las aplicaciones.
32
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Quién es usted?
Los protocolos que yo soporto Este es mi certificado para probar mi identidad
Los protocolos que he decidido que utilicemos
[He verificado su identidad]
Le envío una copia de todo que lo que hemos acordado.Le envío una copia de todo
que lo que hemos acordado
Navegador Sitio Web
INTERCAMBIO DE DATOS
He verificado su identidad
[Este es mi certificado para probar mi identidad]
La clave secreta que he decidido que utilicemos
Protocolo SSL en fase de establecimientoSSL HandShake
33
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
Verificación de certificados
Número de Serie del Certificado
Período de Validez del Certificado
Clave Pública del Servidor
DN del Servidor – “www.dominio.ext”
DN de la CA emisora
Firma del Certificado
CERTIFICADO DEL SERVIDORCERTIFICADO DEL SERVIDOR
CA
34
P R O T E G ELO QUE IMPORTA[ ]
Telefonica EmpresasIngeniería de Soluciones
RPV (Red Privada Virtual)