Post on 08-Nov-2015
description
Seguridad informtica
Evidencia. Prevencin de riesgos en los SI
Unidad 2. Mecanismos criptogrficos en los sistemas informticos
Julio Csar Hernndez Cruz
al11503387
2015. Desarrollo de software
UnADMUniversidad Abierta y a
Distancia de Mxico
ndice de contenido
1 Introduccin.............................................................................................................................................................. 4
2 Prevencin de riesgos en los SI................................................................................................................................ 5
2.1 Caso de estudio................................................................................................................................................ 5
2.2 Algoritmos........................................................................................................................................................ 6
2.2.1 SHA1......................................................................................................................................................... 6
2.2.2 Advanced Encryption Standard, AES....................................................................................................... 6
2.2.3 RSA........................................................................................................................................................... 6
2.3 Formatos.......................................................................................................................................................... 7
2.3.1 X509......................................................................................................................................................... 7
2.4 Protocolos......................................................................................................................................................... 8
2.4.1 Gestin de claves pblicas....................................................................................................................... 8
2.4.2 Distribucin de claves privadas................................................................................................................ 8
2.4.3 Protocolo de transporte de claves privadas............................................................................................ 8
2.4.4 Protocolo de autenticacin...................................................................................................................... 9
2.4.5 Protocolo SSL............................................................................................................................................ 9
2.5 Errores y riesgos evitados.............................................................................................................................. 10
2.6 Copias de seguridad....................................................................................................................................... 10
2.7 Implementacin............................................................................................................................................. 11
2.7.1 Autoridad de certificacin raz............................................................................................................... 12
Modelo...................................................................................................................................................... 12
Configuracin............................................................................................................................................ 14
Estructura de directorios.......................................................................................................................... 16
Generacin de la autoridad de certificacin raiz.....................................................................................16
2.7.2 Revocacin de certificados.................................................................................................................... 17
2.7.3 Generacin de llaves para el receptor................................................................................................... 18
2.7.4 Generacin de llaves y solicitud de certificacin para el Emisor..........................................................19
2.7.5 Firmado de la solicitud de certificado................................................................................................... 20
2.7.6 Formato de documento para envo....................................................................................................... 21
2.7.7 Firmado del mensaje............................................................................................................................. 22
2.7.8 Verificacin de la autenticidad del mensaje.......................................................................................... 22
2
2.7.9 Encriptado del mensaje......................................................................................................................... 23
2.7.10 Desencriptado del mensaje................................................................................................................. 23
3 Conclusiones........................................................................................................................................................... 24
4 Fuentes de consulta............................................................................................................................................... 25
3
1 Introduccin
En el presente documento se plantea un caso de estudio, a partir del cual se realiza un anlisis de las opciones
para implementacin de medidas de seguridad que permitan: confidencialidad, integridad y autenticidad.
Para elevar el grado de confianza de la relacin de la llave pblica con la llave privada y la persona que emplea el
mecanismo de cifrado se aade la participacin de una Autoridad de Certificacin (CA) quien se encarga de
validar la confianza mediante certificados de llave pblica.
Es necesario seleccionar las herramientas y algoritmos necesarios para la generacin de claves, as como los
protocolos para el intercambio de llaves, cifrado de mensajes, envo y descifrado.
Para el desarrollo de la actividad se implementas las herramientas OpenSSL y XSLTProc, algoritmos RSA, SHA1,
AES y Base64.
4
2 Prevencin de riesgos en los SI
2.1 Caso de estudio
Elecciones 2015
Se considera en el siguiente proceso de elecciones de 2015 enviar resultados preliminares va electrnica bajo las
siguientes condiciones:
El archivo con los resultados debe estar firmado digitalmente, con esto se garantiza la autenticidad.
La firma digital emplea digestin de una cadena original, para validar la integridad de los datos del
archivo.
Las llaves privadas deben implementar un algoritmo de llave privada para resguardar su contenido.
Por ltimo el mensaje ser cifrado con la llave pblica del centro de datos para evitar descifrado durante
el transporte, con esto se cumple con el principio de confidencialidad.
5
2.2 Algoritmos
Para el cumplimiento de los requerimientos se emplearn los siguientes algoritmos. En este apartado
nicamente se describen (Vera Delgado et al, 2006).
2.2.1 SHA1
Se considera el mejor algoritmo de digestin y es el que se aplica en la mayora de las aplicaciones de firma
electrnica. Por lo tanto es muy habitual aplicar SHA1 seguido de RSA para realizar una firma electrnica de un
documento,o bien el algoritmo DSA especfico para firma electrnica que tambin utiliza SHA1 internamente.
2.2.2 Advanced Encryption Standard, AES
Es el estndar para cifrado simtrico del NIST desde el 26 de mayo de 2002 en sustitucin de DES.AES tambin es
conocido por Rijndael, nombre original del algoritmo propuesto en 1999 [9] que cambi al ser selecciona- do por
NIST y convertirse en el estndar. Fue desarrollado por dos criptgrafos Belgas, Joan Daemen y Vincent Rijmen,
Es un algoritmo de cifrado por bloques con longitud de bloque y longitud de clave variables. Los valores
adoptados para el estndar son bloques de 128 bits, y claves de longitud 128, 192 256 bits
2.2.3 RSA
La seguridad de este algoritmo reside en la dificultad que supone la factorizacin de un nmero com- puesto por
factores primos muy grandes. Si un criptoanalista fuera capaz de encontrar los factores primos sera capaz
tambin de determinar la clave privada y, por lo tanto, descifrar el mensaje. Sin embargo el problema de
factorizacin se considera imposible de resolver en la prctica,y cuanto ms grande sean los nmeros utilizados,
es decir las longitudes de las claves, mayor dificultad se alcanza.
6
2.3 Formatos
2.3.1 X509
Es el formato de certificado estndar, debe contener los siguientes elementos:
Nmero de serie del certificado
Nombre distinguido del sujeto o entidad a la que pertenece la clave pblica y, por tanto el certificado
Identificador del algoritmo de firma digital (ej. RSA)
Clave pblica del sujeto y sus parmetros
Periodo de validez del certificado
Nombre distinguido de la entidad emisora del certificado (autoridad de certificacin)
Identificador del algoritmo empleado para la firma digital de la entidad emisora
Clave pblica de la entidad emisora y sus parmetros
Firma digital de la entidad emisora
7
2.4 Protocolos
2.4.1 Gestin de claves pblicas
Para la distribucin de claves pblicas se emplea Autoridad pblica:
1. Cada usuario formula una peticin a la autoridad para conocer las llaves pblicas.
2. Solo usuarios registrados y validados tendrn acceso a los archivos.
3. Para poder ingresar el usuario se autentica con las credenciales asignadas.
4. Los usuarios registrados cargan al sistema su llave pblica personal para verificacin de firma digital.
2.4.2 Distribucin de claves privadas
Las claves privadas(AES) para el resguardo de claves privadas(RSA, DSA) son de uso personal por parte de la
autoridad y los usuarios, no es requerida la distribucin.
2.4.3 Protocolo de transporte de claves privadas
En el caso en que usuario requiera transferir su clave privada a otro usuario se empleara el siguiente protocolo:
Utilizar RSA para cifrado con llave pblicas.
Se generan clave temporales para el usuario receptor quien enva su clave pblica al emisor.
El emisor encripta su llave privada con la llave pblica del receptor.
El receptor desencripta el mensaje y resguarda su llave privada y cambia la contrasea AES.
Se revocan las claves temporales.
8
2.4.4 Protocolo de autenticacin
Para verificar la autenticidad de un mensaje este se firmar digitalmente:
1. El Emisor obtiene una cadena original generada a partir del contenido del mensaje.
2. La cadena se utiliza para firma el mensaje mediante DSA.
3. El mensaje es enviado.
4. El receptor verifica la validez de la firma mediante el uso de la clave pblica que se carg al sitio de la
Autoridad.
2.4.5 Protocolo SSL
En el caso de implementacin del protocolo SSL se siguen los siguientes pasos:
1. A B. El usuario A enva un valor aleatorio RA a B.
2. B A. El usuario B enva a A: (RB ,CertB , DB(RB . RA)) .
3. A B. El usuario A enva opcionalmente, a B: (Cert A , DA(RA , RB)) .
4. B A. El usuario B escoge una clave de sesin K AB y enva a A (EA(K AB), R ' A) .
5. A B. El usuario A descifra K AB y R 'A , y enva a B: EKAB (R ' A) .
9
2.5 Errores y riesgos evitados
La implementacin de firma electrnica y cifrado con llave pblica trae consigo varias ventajas, las cuales se
maximizan cuando se implementa un sistema en el que interviene una autoridad de certificacin:
1. Integridad. Es posible verificar mediante chequeo de sumas y firmas digitales que un mensaje es ntegro.
2. Confidencialidad. Mediante el cifrado se protege el contenido del mensaje contra usuarios no
autorizados.
3. No repudio. Es posible validar que el mensaje fue enviado por la persona poseedora de las claves.
4. Confianza. La autoridad de certificacin valida que el certificado es realmente de la persona que los
solicita.
5. Privacidad. Los datos de los usuarios permanecen ocultos.
6. Seguridad de la informacin. Se considera seguro debido al hecho de que es prcticamente
inquebrantable con mtodos actuales.
2.6 Copias de seguridad
La estructura de directorios que ms adelante se muestra permite mantener una base de datos de los
certificados generados, as como las claves de la autoridad de certificacin.
Es comn que los usuario extraven su archivos, cada uno debe implementar un sistema de respaldos para poder
recuperarlos en caso de ser necesario, es muy importante, ya que un requisito primordial (en el caso de firma
digital) es que las claves empleadas se almacenen en forma segura bajo el control exclusivo del usuario
propietario de la misma.
Cuando las claves han sido vulneradas es posible recurrir a la revocacin de certificado, este tema se trata ms
adelante.
10
2.7 Implementacin
El siguiente diagrama muestra los pasos para el firmado y cifrado del mensaje.
11
Para esta actividad se emplea la herramienta OpenSSL, a continuacin los pasos para la implementacin.
2.7.1 Autoridad de certificacin raz
La funcion de la autoridad de certificacin es dar confianza a los usuarios sobre la validez de los certificados
asignados a los usuarios.
Modelo
El siguiente diagrama muestra la representacin jerrquica de las autoridades de certificacin.
12
El siguiente diagrama de flujo muestra el proceso de validacin de certificados.
13
Configuracin
El primer paso para la creacin de los certificados raz es la creacin de un archivo de configuracin, este debe
contener la informacin bsica de la autoridad de certificacin como el nombre y la URL as como los
componentes del nombre distinguido de la autoridad.
[default]name = root-cadomain_suffix = elecciones2015.comaia_url = http://$name.$domain_suffix/$name.crtcrl_url = http://$name.$domain_suffix/$name.crlocsp_url = http://ocsp.$name.$domain_suffix:9080default_ca = ca_defaultname_opt = utf-8,esc_ctrl,multiline,lname,align
[ca_dn]countryName = "MX"organizationName = "Elecciones 2015"commonName = "Elecciones 2015 Root CA"
Tambin sera necesario indicar los directorios en que se almacenarn los archivos generados y el periodo de
validez, en este caso por omisin se consideran 3650 das que equivalen a 10 aos.
[ca_default]home = .database = $home/db/indexserial = $home/db/serialcrlnumber = $home/db/crlnumbercertificate = $home/$name.crtprivate_key = $home/private/$name.keyRANDFILE = $home/private/randomnew_certs_dir = $home/certsunique_subject = nocopy_extensions = nonedefault_days = 3650default_crl_days = 365default_md = sha256policy = policy_c_o_match
[policy_c_o_match]countryName = matchstateOrProvinceName = optionalorganizationName = matchorganizationUnitName = optionalcommonName = suppliedemailAddress = optional
La tercer parte contiene informacin de configuracin para e comando req, utilizado para generar los certificados
raz autofirmados.
[req]default_bits = 4096encrypt_key = yes
14
default_md = sha256utf8 = yesstring_mask = utf8onlyprompt = nodistinguished_name = ca_dnreq_extensions = ca_ext
[ca_ext]basicConstraints = critical,CA:truekeyUsage = critical, keyCertSign, cRLSignsubject = hash
La cuarta parte contiene informacin que puede ser utilizada durante la construccin de certificados generados
por la autoridad.
[sub_ca_ext]authorityInfoAccess = @issuer_infoauthorityKeyIdentifier = keyid:alwaysbasicConstraints = critical,CA:true,pathlen:0crlDistributionPoints = @crl_infoextendedKeyUsage = clientAuth,serverAuthkeyUsage = critical,keyCertSign,cRLSignnameConstraints = @name_constraintssubjectKeyIdentifier = hash
[crl_info]URI.0 = $crl_url
[issuer_info]caIssuers;URI.0 = $aia_urlOCSP;URI.0 = $ocsp_url
[name_constraints]permitted;DNS.0=opendns.compermitted;DNS.1=opendns.comexcluded;IP.0=0.0.0.0/0.0.0.0excluded;IP.1=0:0:0:0:0:0:0:0/0:0:0:0:0:0:0:0
Lo ltima parte especifica las extensiones que sern usadas con el certificado para firmado de respuesta OCSP
(Online Certificate Status Protocol).
[ocsp_ext]authorityKeyIdentifier = keyid:alwaysbasicConstraints = critical,CA:falseextendedKeyUsage = OCSPSigningkeyUsage = critical,digitalSignaturesubjectKeyIdentifier = hash
15
Estructura de directorios
Para generar la estructura de directorios se emplean los siguiente comandos.
mkdir root-ca cd root* mkdir certs db private touch db/index echo 1000 > db/serial echo 1001 > db/crlnumber
La representacin en rbol del directorio debe aparecer como a continuacin se muestra.
root-ca EleccionesCA.conf certs # Almacenamiento de certificados db # Base de datos de certificados (index) y los archivos que indican el siguiente certificaso y serial CRL crlnumber index serial private # Directorio para almacenar las llaves privadas para CA y OCSP
Generacin de la autoridad de certificacin raiz
Ejecutando el siguiente comando se generan los archivos para la autoridad: la llave privada root-ca.key y una
solicitud de certificado.
openssl req -new -config eleccionesca.conf -out root-ca.csr -keyout private/root-ca.key
Con el siguiente comando se autofirma el certificado.
openssl ca -selfsign -config eleccionesca.conf -in root-ca.csr -out root-ca.crt -extensions ext_ca
16
2.7.2 Revocacin de certificados
Para revocar un certificado se utiliza el switch del comando ca, es necesario contar con una copia del certificado
que se requiere revocar. Como todos los certificados son almacenados en el directorio certs/, solo es necesario
saber el nmero de serie. Si se cuenta con un nombre distinguido, se puede consultar el nmero de serie en la
base de datos.
Elegir la razn para el valor con el switch -crl_reason. El valor puede se uno de los siguientes: unspecified,
keyComprise, CAComprise, affiliationChange, superseed, cessationOperation, certificateHold, and
removeFromCRL.
El comando a ejecutar es el siguiente:
openssl ca -config eleccionesca.conf -revoke certs/emisor502.crt -crl_reason keyComprise
17
2.7.3 Generacin de llaves para el receptor
Mediante el comando genrsa se genera la llave para el receptor, se emplea AES para el cifrado de la llave privada
con una clave de 256 bit, el tamao de la llave RSA sera de 2048 bit.
openssl genrsa -aes256 -out receptor.key 2048Generating RSA private key, 2048 bit long modulus.........................................................................................................................................................................................................+++.+++e is 65537 (0x10001)Enter pass phrase for receptor.key:Verifying - Enter pass phrase for receptor.key:
Visualizacin del contenido de la llave cifrada, los encabezados indican el tipo de cifrado del contenido.
cat receptor.key-----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTEDDEK-Info: AES-256-CBC,975CE944DABA3D29A3CF8D2079A46E38
mE4Pnb9F6KzKwLDS/i9g2iNBxZwxn04Bh2Ob+CFtrMcJN4pAK3mGdYXh3wHhDVtB[] #Lneas ocultasojN4THl+j7f+jhNtK5vfFFZCx0TY/TJw0YwmRYE1mL6buClWwmu9fb8SzcEa+R2b-----END RSA PRIVATE KEY-----
Visualizacin del contenido de la llave desencriptada, se puede observar que aparecen los nmeros primos
utilizados, el mdulo y los exponentes pblico y privado.
openssl rsa -text -in receptor.keyEnter pass phrase for receptor.key:Private-Key: (2048 bit)modulus: 00:b6:43:17:79:1e:a3:92:83:cc:04:59:31:0c:51: []publicExponent: 65537 (0x10001)privateExponent: 17:be:a1:de:3b:a9:9f:ba:df:e7:69:1f:44:b5:8a: [] prime1: 00:e0:1d:1c:cb:4e:d5:0f:f6:80:3b:ca:37:d2:4d: [] prime2: 00:d0:31:9e:36:34:45:91:ac:3c:bc:53:ae:85:5f: [] exponent1: 05:04:41:cf:bf:3c:ff:b5:79:db:5c:c4:71:1d:af: [] exponent2: 00:cc:c4:f0:b2:a9:88:ff:75:63:ab:6b:b7:0c:71: [] coefficient: 55:a3:ac:4c:fa:c0:b1:12:d3:63:d3:e7:53:71:91: [] writing RSA key
18
-----BEGIN RSA PRIVATE KEY-----MIIEowIBAAKCAQEAtkMXeR6jkoPMBFkxDFFJfGPBwEcxd9ahgE+UIuHFlKDrOhCX[]-----END RSA PRIVATE KEY-----
Exportar la llave pblica, nuevamente se emplea el comando rsa y la opcin -pubout para extraer solo la llave
pblica para su distribucin.
openssl rsa -in receptor.key -pubout -out receptor-publica.keyEnter pass phrase for receptor.key:writing RSA key
cat receptor-publica.key-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtkMXeR6jkoPMBFkxDFFJfGPBwEcxd9ahgE+UIuHFlKDrOhCXop8kiXXOCd59p20GZqybUBZG7AAOGaKImBd4sx/mbfwyQGoVDcZEQgGCN0EYXSzAK9g0JQn0wz/g3YiGhaVaSNj1FZ0QXiranqiVg0v/zN8uaNtC3jFQoyjX1JIIFmRYHZMYwlIArntWdo4Aixqdw2nRcHaVCw1lP/M8PUvs3V3TW6bqWQ0+jlC0A6ZBaC4Te3r7q/h4MDw2ll20/otyr9RfXIeAJ4rdEVQZpBNvlTCxlRIr4H2PaBwUKPOgSHMp4iM2jLPw8vw2S8RQZPGPdGU80+LjKOHOBXAVEQIDAQAB-----END PUBLIC KEY-----
2.7.4 Generacin de llaves y solicitud de certificacin para el Emisor
Se emplean los mismos pasos que para el receptor para generar la llave:
openssl genrsa -aes256 -out emisor.key 2048Generating RSA private key, 2048 bit long modulus.....+++.................+++e is 65537 (0x10001)Enter pass phrase for emisor.key:Verifying - Enter pass phrase for emisor.key:
A continuacin se genera una solicitud de certificacin para enviarlo a la Autoridad Pblica. La informacin
solicitada se llenar de la siguiente forma:
Nombre del pas: MX
Estado: Nombre del estado
Nombre de la localidad: El nombre del municipio
Nombre de la organizacin: El nmero asignado a la ubicacin de las casillas
Nombre comn: El nombre del representante de la ubicacin de las casillas
19
Direccin de correo: La direccin de correo registrada del representante
Seleccionar una contrasea de revocacin, ingresarla y guardarla.
openssl req -new -key emisor.key -out emisor502.csrEnter pass phrase for emisor.key:You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:MXState or Province Name (full name) [Some-State]:HidalgoLocality Name (eg, city) []:PachucaOrganization Name (eg, company) [Internet Widgits Pty Ltd]:502Organizational Unit Name (eg, section) []:Common Name (eg, YOUR name) []:Julio CsarEmail Address []:al11503387@unadmexico.mx
Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:abcdstring is too short, it needs to be at least 4 bytes longA challenge password []:abcdAn optional company name []:
Se enva la solicitud a la Autoridad Pblica para su certificacin y firmado.
2.7.5 Firmado de la solicitud de certificado
Una vez recibida la solicitud, se procede a firmar y generar el certificado, la vigencia de estos ser de 20 das.
openssl x509 -req -days 20 -in certs/emisor502.csr -signkey private/root-ca.key -outcerts/emisor502.crtSignature oksubject=/C=MX/ST=Hidalgo/L=Pachuca/O=502/CN=Julio C\xC3\xA9sar/emailAddress=al11503387@unadmexico.mxGetting Private keyEnter pass phrase for receptor.key:
El certificado es almacenado por la autoridad y enviado al emisor.
20
2.7.6 Formato de documento para envo
El formato para le mensaje a enviar ser el que se especifica en el siguiente esquema:
1 2 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Cada mensaje contiene 0..n conteos que corresponden al nmero de votos que cada partido obtuvo. El siguiente
es un ejemplo de archivo generado, an no incluye firma.
1 2 3 j4 u5
A continuacin se extrae el contenido del archivo para el firmado mediante la siguiente hoja de estilo.
1 2 3 4 5 6 ^,^ 7 8 9
21
2.7.7 Firmado del mensaje
A continuacin los comandos necesarios para el firmado del mensaje: 1) se extra la cadena, 2) se aplica digestin
sha1, 3) se firma con la llave privada del emisor.
xsltproc cadena.xsl msj.xml
^abc,16^
^xyz,21^
xsltproc cadena.xsl msj.xml | openssl sha1bb5f3b67a08853d15d195a08ba1b7a8f2eecf8d4
xsltproc cadena.xsl msj.xml | openssl dgst -sha1 -sign emisor.key | openssl base64 -AEnter pass phrase for emisor.key:q0PDi/3qz1DiPurY3RnmyzUxQLg3rwy5JXXmw4mFpLK2lPh5Eby1xE3FyzB+PGHobo1vhIwqtBfG3MTDVY5mpBbuFLs7zT3V4otD4w8J22hCIJepJ61l5sx0fWi77X19vJuOyq+UDipUxV72p7r66a/J+VP6s9uByOZ5XE+idKb3UOHgBsXcZwHJHjkvlnTl7p08d0PGNwBm5bu2dM/GwEm2Deg8tPBz0KrNj3cjomyVRvh/B6GIpidITlIz+qJzFddxBSN3LRlt0p8m5to9B7AwNvrVgvgEALXMSKvfcU6hDoY7y7fxohPhL+iwWqy3YxGbQ0UaQ5+rEz/CyBAEWA==
Una vez agregada la firma el mensaje, este quedar como a continuacin se muestra:
1 2 3 j4 u5
2.7.8 Verificacin de la autenticidad del mensaje
En este paso se emplea ahora otra hoja de estilo para extraer la firma.
1 2 3 4 5 6 7
Se extra del mensaje la firma y se decodifica, el resultado se almacena en el archivo firma para su uso posterior.
xsltproc firma.xsl msj.xml | openssl base64 -d -A -out firma
22
Ahora se procede a verificar la cadena contra la firma del mensaje.
xsltproc cadena.xsl msj.xml | openssl dgst -sha1 -verify emisor.pub.key -signature firmaVerified OK
2.7.9 Encriptado del mensaje
Para cifrar el mensaje se emplear el siguiente procedimiento y comandos. Debido a la limitante de rsa para
encriptar archivos largos, principalmente por al tiempo que se empleara en los clculos matemticos, se utiliza
una llave aleatoria de tamao pequea, esta sirve para cifrar el mensaje, posteriormente se encripta la llave con
la llave pblica del receptor.
openssl rand 32 > msj.key openssl enc -aes256 -in msj.xml -kfile msj.key -out msj.cifrado openssl rsautl -encrypt -in msj.key -pubin -inkey receptor.pub.key > msj.key.cifrado
2.7.10 Desencriptado del mensaje
Se realiza un proceso invertido, decifrando la clave de encriptado del mensaje con la llave privada del receptor
openssl rsautl -decrypt -in msj.key.cifrado -inkey receptor.key > msj.key.descifrado openssl enc -aes256 -d -in msj.cifrado -kfile msj.key.descifrado -out msj.descifrado.xml
Verificamos la autenticidad del mensaje validando la firma.
xsltproc cadena.xsl msj.descifrado.xml | openssl dgst -sha1 -verify emisor.pub.key -signature firmaVerified OK
23
3 Conclusiones
Garantizar la integridad, confidencialidad y autenticidad en la generacin e intercambio de mensajes requiere de
la combinacin de herramientas, algoritmos y protocolos.
La existencia de autoridades de certificacin permite dar confianza a los usuarios sobre el uso de certificados por
parte de proveedores de un servicio. Los sistemas verifican con algunos pasos fechas, integridad, cadenas de
confianza de la AC y usos permitidos.
En el caso de estudio se pudo observar la aplicacin del algoritmo RSA para la generacin de claves privada y
pblica para cifrado asimtrico en combinacin con SHA1 se firma digitalmente el mensaje con lo cual se
garantiza la autenticidad e integridad. Base64 permite mostrar un mensaje en un formato legible.
Por ltimo se pudo observar la aplicacin de los algoritmos RSA y AES para el cifrado y transmisin del mensaje,
debido a la limitante de RSA para el cifrado de archivos grandes, se combinan, se cifra la con rsa la clave
empleada en el cifrado AES. DE esta forma solo el receptor puede descifrar la clave para descifrar el mensaje.
24
4 Fuentes de consulta
Ivan Risti (2015) OpenSSL CookBook. 2da. Edicin. Qualys, Feist Duck.
Espaa Boquera, M.C. (2003). Servicios avanzados de telecomunicacin. Madrid: Daz de Santos. pp. 67-69, 72-
76, 79-82.
Vera Delgado, Rafael Palacios (2006). Introduccin a la Criptografa: tipos de algoritmos. Revista: Anales de
mecnica y electricidad. Sevilla: Escuela Tcnica Superior de Ingeniera (ICAI). pp. 10-16.
https://www.icai.es/contenidos/publicaciones/anales_get.php?id=1235
25
1 Introduccin2 Prevencin de riesgos en los SI2.1 Caso de estudio2.2 Algoritmos2.2.1 SHA12.2.2 Advanced Encryption Standard, AES2.2.3 RSA
2.3 Formatos2.3.1 X509
2.4 Protocolos2.4.1 Gestin de claves pblicas2.4.2 Distribucin de claves privadas2.4.3 Protocolo de transporte de claves privadas2.4.4 Protocolo de autenticacin2.4.5 Protocolo SSL
2.5 Errores y riesgos evitados2.6 Copias de seguridad2.7 Implementacin2.7.1 Autoridad de certificacin razModeloConfiguracinEstructura de directoriosGeneracin de la autoridad de certificacin raiz
2.7.2 Revocacin de certificados2.7.3 Generacin de llaves para el receptor2.7.4 Generacin de llaves y solicitud de certificacin para el Emisor2.7.5 Firmado de la solicitud de certificado2.7.6 Formato de documento para envo2.7.7 Firmado del mensaje2.7.8 Verificacin de la autenticidad del mensaje2.7.9 Encriptado del mensaje2.7.10 Desencriptado del mensaje
3 Conclusiones4 Fuentes de consulta