curso pki
TRANSCRIPT
Presentacin de PowerPoint
La Seguridad de la Informacin comienza por TI...
Taller Infraestructura de ClavePblica
Axel Daz [email protected] Servicios de Certificacin Electrnica y Criptografa
Agenda
PKICifrado simtrico y asimtrico
Par de llaves
Aponwao (cmo firmar electrnicamente)
RSA
Ciclo de vida de un certificado
Mtodos de verificacinCRL
OCSPCRL
Base de datos
LDAP
OpenSSLCreacin y administracin de una AC
Archivo de configuracin de OpenSSL
Generacin de CRL
Comandos bsicos para lectura y conversin de extensionesCertificados
CRL
OCSP
Secretos en la humanidad
SecretosClaves bancarias
Claves en redes sociales
Claves de los correos electrnicos
Fotos
Conversaciones
Archivos informticos
Cmo compartir tus secretos?
Contndoselo al odo!
Secretos a distancia?
Hablar en clave...? Es(pe)to(po) es(pe) un(pu) se(pe)cre(pe)to(po)
Mensajeros?
Cdigos secretos...
Cifrado simtrico
Metemos el documento en la caja fuerte, le enviamos a la otra personala caja junto con la contrasea
Supongamos un documento que queremos enviar de forma segura.Por qu no la metemos en una caja fuerte?
Cifrado asimtrico
Abrir
Personal
Todo candado hace dos funciones: Abrir y Cerrar. Todos pueden cerrarel candado, pero slo el dueo de la llave puede abrirlo.
Cerrar
Cifrado asimtrico
Cmo le enviamos la clave secreta a un amigo entonces?
Le pedimos a nuestro amigo que nos enve su candado abierto
Metemos el mensaje en una caja
Cerramos la caja con el candado de nuestro amigo
Enviamos la caja cerrada por el candado
Nuestro amigo con su llave abre la caja y saca el mensaje
Cifrado asimtrico
Nmeros primos!
3 x 11 = 33Nmero primo 1 x Nmero primo 2 ResultadoClave privada
Clave pblica
N1 x N2? = 4,95176015510
1,65058671810 y 3?
4,95176015510 y 1?
2305843009213693951 y 2147483647?
RSA Rivest, Shamir y Adleman
Mtodo de cifrado ms utilizado
Posibilidad de cifrar y firmar
Generacin de par de llaves de forma rpida, sencilla pero muy robusta.
Par de llaves
Suponga la existencia de un candado especial que usa dos llaves, una para abrirlo y otra para cerrarlo.
La Llave Privada debe mantenerse en secreto, mientras que la llave Pblica puede ser distribuida.
Llave pblica
Llave privada
Internet
Personal
RSA Prctico
Instalacin
# aptitude install ssh
Generacin de par de llaves
$ ssh-keygen
Ubicacin del par de llaves: $ /home/USUARIO/.ssh/id_rsa $ /home/USUARIO/.ssh/id_rsa.pub
RSA Prctico
Llave privada
Llave pblica
-----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTEDDEK-Info: AES-128-CBC,BB0BA5DB68F73BE4403BC9EDF3B6BFE7
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-----END RSA PRIVATE KEY-----
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDvZryrAupQDroUBkh29Q+17DBrYjqv0su0k8vewGt15DjVjlYowQSzr9RScX85P3jFCptvhw9zFCoe0Y3rUTv3et4qYZ9YyiMNXOiRH8U7IS3sW/95PHZs5HSrD/4V0kvU708YugbdrlzcHnaC/GAsHNVuJUFaw7KL9FTrQm/7uudjNMRnZZSMOwXwSVwaN1LlONnNJfvxUNmaj5DsEprPruWHdsiRyWYIZGeLFS/e3iY0KXa2stvEcdFBaEr504x8mqN0Q+0KIEcA8svgByPceNvF9Qa5GSfqX7k/3iGOuaooFq1+JDqfDvQrjUiV2JHY6ph7Rr95Rm/OotOKCTYD adiaz@dscec
Ciclo de vida de un certificado
Autoridad de Registro (AR)de PSC
Llave privada
Signatario
Llave pblica
Autoridad de Certificacin (AC)de PSC
CertificadoElectrnico
Mtodos de verificacin
CRL (Certificate Revoqued List)
OCSP (Online Certificate Status Protocol)CRL
Base de Datos
LDAP
OpenSSL Creacin y administracin de una AC
Todo comando inicia con openssl
Luego se debe indicar el tipo de objeto que se quiere tratar: x509 (certificados), crl (listas de revocacin), rsa (llaves rsa), ocsp (ocsp)
De aqu en adelante vienen los parmetros propios de cada tipo de objeto, pero casi todos tienen en comn: -text, -in, -out, -noout, -inform, -outform
OpenSSL Creacin de la AC Raz
Crear directorio para nuestra PKI:# mkdir PKI# cd PKI/
Preparar directorios y archivos necesarios# mkdir root_ca# cp /etc/ssl/openssl.cnf root_ca
Se edita el archivo openssl.cnf en las siguientes lneas:(Se comenta la lnea RANDFILE)#RANDFILE = $ENV::HOME/.rnd(Se modifica la lnea del dir)dir = . # Where everything is kept
OpenSSL Creacin de la AC Raz
Se crean los directorios que almacenarn los datos para la creacin del certificado raz:# mkdir certs# mkdir crl# mkdir newcerts# mkdir private# touch serial# echo 0100 > serial# touch index.txt# touch crlnumber# echo 0100 > crlnumber
OpenSSL Creacin de la AC Raz
Se genera un nmero aleatorio de 1024 bits de longitud:# openssl rand -out ./private/.rand 1024
Se genera el par de llaves con una contrasea ingresada por nosotros:# openssl genrsa -out ./private/cakey.pem -des3 -rand ./private/.rand 2048
Se crea el certificado autofirmado:# openssl req -x509 -new -key ./private/cakey.pem -out cacert.pem -config openssl.cnf
OpenSSL Creacin de la AC Subordinada
Vamos al directorio raz y preparamos los archivos de configuracin y directorio de la AC Subordinada:# cd ../# mkdir sub_ca# cp root_ca/openssl.cnf sub_ca/
OpenSSL Creacin de la AC Subordinada
Se crean los directorios que almacenarn los datos para la creacin del certificado raz:# mkdir certs# mkdir crl# mkdir newcerts# mkdir private# touch serial# echo 0100 > serial# touch index.txt# touch crlnumber# echo 0100 > crlnumber
OpenSSL Creacin de la AC Subordinada
Se genera un nmero aleatorio de 1024 bits de longitud:# openssl rand -out ./private/.rand 1024
Se genera el par de llaves con una contrasea ingresada por nosotros:# openssl genrsa -out ./private/cakey.pem -des3 -rand ./private/.rand 2048
Creamos una peticin de certificado:# openssl req -new -key ./private/cakey.pem -out subcareq.pem -config openssl.cnf
OpenSSL Creacin de la AC Subordinada
Firmamos la peticin con el certificado de la AC Raz:# cd ../root_ca/# openssl ca -in ../sub_ca/subcareq.pem -extensions v3_ca -config openssl.cnf
Nos copiamos el certificado generado por la AC Raz hacia el directorio de la AC Subordinada:# cd ../subca/# cp ../root_ca/newcerts/0100.pem cacert.pem
OpenSSL - Generacin de LCR
Se genera una nueva LCR a partir del archivo de configuracin openssl.cnf# openssl ca -gencrl -config openssl.cnf -out lcr.pem
OpenSSL Leer y convertir certificados y lista de certificados revocados
openssl x509 -text -noout -in [certificado.pem]
openssl x509 -inform [DER/PEM] -outform [PEM/DER] -in [certificado.der/pem]
Aponwao
Aplicacin para firma y validacin de documentos PDF
Certificados de la cadena de confianza en Venezuela
Firmas en lotes y de documentos duplicados
Envo de documentos firmados a email o medio extrable
Personalizacin de ubicacin de imagen de firma
Mltiples perfiles de firma
10/13/15
13/10/15
10/13/15
13/10/15
10/13/15
13/10/15
10/13/15
13/10/15