Certif icación Electrónica

Una Poderosa Herramienta, no una Varita…Guillermo Dotta - Deloitte

gdotta@deloitte.com

#GX2409

De qué va la charla???

Dónde salen mal las cosas entonces?

Con qué Herramientas contamos en una PKI real?

Las Bases… Qué es una Firma Electrónica? Qué es una PKI?

El porqué…

Se usan certificados desde los 901El modelo no se entiende 100%2Está creciendo notoriamente el

uso de Certificados3

“Albert Einstein

La perfección de los medios, y la confusión de los objetivos, parece ser nuestro mayor problema actualmente ”

LAS BASESLo primero es lo primero…

• Para usar firmas electrónicas se necesita un par de llaves “Hermanas”, una descifra lo que la otra cifra

Pública

Las llaves…

Privada

• Cifro un hash del mensaje con mi llave privada, y mando mensaje + hash cifrado

La firma electrónica…

Pública

+ =Certeza de Integridad

Certeza de Origen

Ver si vale la pena esta diapo

• ¿Cómo sé quién es el dueño de la llave privada que firmó el mensaje?

El certif icado…

Certeza de Identidad

Vigente

No Revocado+ =Emitido por una CA

confiable

UNA PKI DE VERDADCómo se implementa esto?

Las tres patas de una PKI

Autoridad de Certificación

SuscriptoresTerceros

Política de Certificación (CP/CPS)

Por qué es importante la política de certif icación (CP)?

Define el perfil del certificado

Define los controles que cualquier CA debe hacer para emitirlos

Define el tipo de suscriptor y los usos aceptables

Declara las garantías que pueden esperar los terceros cuando confían

Ejemplo – Thawte

Ejemplo – Thawte

Usos y OID

Nombre del Suscriptor

Nombre de la CA

Período de Validez

Link a la CP/CPS

Ejemplo – Thawte

Cadena de Confianza

Estado de Revocación

DÓNDE SALEN MAL LAS COSAS???

Todo lindo, pero entonces…

Dónde sale mal?• Cuando no se utiliza bien las herramientas que la PKI le da a

cada actor

• Las CA están muy controladas… No hablaremos de ellas hoy

• Si los suscriptores hacen las cosas mal, probablemente nadie les acepte la firma en primer lugar… tampoco hablaremos de ellos…

• Los más vulnerables son los terceros, que por definición confían en los certificados y en las CA!!!

Casos a ver

Validación del Certificado1Validación de la CA2Usos de los Certificados3Tipo de Certificado4

Validación del Certif icado

Vencido

Revocado

Cadena de confianza no verificable

Validación de la CA

Validación de la CA

Usos de los Certif icados

Provider X rootCA

Provider X Subordinate CA N

Guillermo Dotta4.090.681-6

genexus.com

CA=true

CA=true

CA=false

Usos de los Certif icados

SSLSniff

Guillermo Dotta4.090.681-6

Tipo de Certif icado

• Tengo que estar seguro que el subjectdel certificado que me están presentandoes efectivamente algo que espero!

• Una historia del mundo físico sobre confiar en un tipo equivocado de certificado…

CONCLUSIONESSabiendo todo esto…

Conclusiones

• El tercero es el más vulnerable de las tres patas

• Las políticas de certificación están hechas para leerse, y tomar decisiones en base a ellas

• Un certificado a priori no autoriza a nada, en el mejor de los casos sólo autentica!

“Bruce Schneier

Si piensas que puedes solucionar problemas de seguridad sólo con tecnología, entonces no entiendes los problemas ni tampoco entiendes la tecnología”

¡Muchas Gracias!¿Preguntas?

gdotta@deloitte.com

@ghdotta