INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI)

Public Key Infrastructure

Tematica

Tecnología de seguridad TIC aplicables al CE.

Políticas de seguridad Tecnología de seguridad utilizado en el

CE. Protocolos de seguridad aplicables al CE. Criptografía aplicable al CE. Certificados digitales y firma digital Aspectos jurídicos aplicables al CE.

PKI

El Modelo PKIX es el modelo de las entidades que gestionan la infraestructura de llave pública, designando sus funciones y protocolos.

Es una combinación de software, tecnologías de cifrado, y servicios que permiten proteger la seguridad de las transacciones de información en un sistema distribuido.

Se utiliza para referirse a la autoridad de certificación y a los componentes .

Es un conjunto de elementos necesarios para crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales.

Protocolo que permite intercambiar información de forma segura y posee factores claves que contribuyen con la seguridad de la información. (Autenticación, Autorización, Control de Acceso, Contabilidad, Disponibilidad, Identificación, Confidencialidad)

Usos de la tecnología PKI

Autenticación de usuarios y sistemas (login)

Identificación del interlocutor Cifrado de datos digitales Firmado digital de datos (documentos,

software, etc.) Asegurar las comunicaciones Garantía de no repudio (negar que cierta

transacción tuvo lugar)

Política de seguridad

Con respecto a PKI una política de seguridad se refiere a un plan de acción para afrontar riesgos de seguridad.

Conjunto de reglas que indican la aplicabilidad de un certificado y los requerimientos de seguridad

Generalmente se fija en los requerimientos de políticas de alto nivel.

La seguridad en la infraestructura PKI depende en parte de cómo se guarden las claves privadas., para esto se tienen:

Tokens de Seguridad Facilitan la seguridad de la clave privada Evitan que las claves privadas puedan ser

exportadas. Pueden incorporar medidas biométricas

(huella dactilar)

Estándares y Protocolos Aplicables IPSec. MIME Security. PKIX (IETF). PKCS (RSA). Secure Socket Layer (SSL) &

Transport Layer Security (TLS). Secure Electronic Transactions (SET). X509, X500 OSCP

Criptografía

Ámbito de aplicación del regimen criptografico Simétrico.- Criptografía de clave secreta Asimétrico.- Criptografía de clave pública Hybrido

Elementos Claves

Secretas

Públicas

Relación entre claves públicas y secretas

Certificado Digital

Documento que vincula una llave pública con una entidad final y que es firmado por una autoridad certificadora para demostrar su validez e integridad.

Garantiza la identidad de una persona

Tipos de Certificados

Personal

Pertenencia a empresa

Representante

 Persona jurídica

Atributo

Servidor seguro

 Firma de código

Acredita la identidad del titular

 Acredita la vinculación con una entidad para la que trabaja

Acredita como Representante de una entidad

Identifica una empresa o sociedad

Identifica una cualidad, estado o situación

Garantiza la autoría y la no modificación del código de aplicaciones informáticas

Protege el intercambio de información entre usuarios y terceros

Firma Digital

Es un mecanismo criptográfico que permite verificar que un mensaje no haya sido alterado desde que fue firmado hasta la recepción del mismo.

Es la equivalencia de la firma manuscrita.

Permite tener transacciones seguras de documentos y operaciones.

Marco Legal

Directiva 1999/93/CE del parlamento europeo y del consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica

Legislación Española „ LEY 59/2003, de 19 de diciembre, de

firma electrónica (BOE nº 304, 20/12/2003)

Ejemplos de Uso

Cifrado y/o autenticación de mensajes de correo electrónico (ej., utilizandoOpenPGP o S/MIME).

Cifrado y/o autenticación de documentos (ej., la firma XML * o Cifrado XML* si los documentos son codificados como XML).

Autenticación de usuarios o aplicaciones (ej., logon por tarjeta inteligente, autenticación de cliente por SSL).

Bootstrapping de protocolos seguros de comunicación, como Internet key exchange (IKE) y SSL

Ejemplo

En el Ecuador el ejemplo que se tiene es el Quipux, ya que es un sistema documenta utilizado en todos las entidades publicas del país, el mismo que ayuda a elaborar documentos y a la vez enviarlos a servidores públicos con su respectiva firma digital.

Conclusiones

Con la Infraestructura PKI se puede decir que existe certeza en la integridad de la información.

El costo de soporte técnico es alto Los certificados digitales pueden ser

incompatibles entre empresas si están bajo el estándar X509.v3

Problemas de invalides de todo el esquema de PKI.

Recomendaciones

Mantener y mejorar la infraestructura PKI Se debe extender el mercado de PKI par

que se puedan abaratar los costos para que las pequeñas empresas puedan tener acceso a está tecnología

Validar que los estándares sean compatibles entre empresas.

Crear un procedimiento que ayude a verificar la confianza AC es de confianza, para que no deshabilite el esquema de PKI