Autentificación Distribuida en la Web:

FOAF+SSL

Philippe Camacho

Universidad de Chile II Workshop “Web de Datos”

Noviembre 2010

Problema

Hola, soy Bob

¿Qué tal Bob?

Problema

Hola, soy Bob

¿Qué tal Bob?

¿De qué Bob estamos hablando?

Identidad

Problema

Hola, soy Bob Marley

¿Que tal Bob?

¿Cómo Bob Marley convence Alice de que realmente es Bob Marley?

¡Sí en verdad soy

YO!

Autenticidad

El intermediario de confianza establece el vinculo entre información sobre la identidad y autenticidad

Para demostrar quién soy tengo que… sonreir .

Autenticidad

La identidad de una persona es entregada por un

intermediario de confianza…

Identidad

Cuenta VERIFICADA

De vuelta al mundo digital

Identidad

La identidad de una persona es entregada

por un intermediario de confianza…

Identidad

Para demostrar que soy realmente

Barack Obama necesito una contraseña

para publicar en mi cuenta… Autenticidad

Usuario / Contraseña

Identidad

Autenticidad

Problema

Otro problema

Más problemas

De vuelta al mundo “real”

Hola Philippe, te presento Tim Berners Lee,

el inventor de http.

Criptografía de clave pública

C = Enc( , M)

M = Dec(C, )

El secreto (clave privada) queda exclusivamente en la posesión del

usuario.

Ataque del hombre del medio

¿Cómo vincular la identidad a clave pública?

SHG56515454

M=La clave SHG56515454 Es la de Tim Berners Lee. Firma(M, XJKGHJSDGHFD)

Tim Berners Lee Claudio Gutierrez

XJKGHJSDGHFD

Red de Confianza con Pretty Good Privacy (PGP)

Infraestructura de Clave Pública (ICP)

Autoridad firma certificados de

subautoridades

REVOCACIÓN

¿Por qué en la práctica no funciona tan bien?

Mi clave privada ha sido comprometida. Tengo que llamar a mis 17.445 contactos para que firmen mi nueva clave pública…

¿Quizás debería usar FOAF+SSL?

Yves Raimond

Friend of a Friend (FOAF)

Francois Scharffe

Axel Polleres

Secure Socket Layer (SSL)

• Permite

– Autentificar ambos participantes

– Verificar la integridad de los mensajes

– Establecer clave de sesión secreta compartida

– Evitar ataques de re-envio

– Relacionar clave pública con identidad

– SSL no provee “no-repudiación”: no hay firmas digitales de por medio

FOAF+SSL

Henry Story

¿Como armar redes sociales distribuidas y seguras?

http://vimeo.com/14797957

http://blogs.sun.com/bblfish/entry/foaf_ssl_creating_a_global

Ventajas de FOAF+SSL

• Descentralizado – La información en una red

suficientemente grande es difícil adulterar. – Cada participante controla su información.

• Flexible

– No hay que firmar claves (como en PGP) (Puedo cambiar mi clave sin tener que avisar a todos mis amigos)

• Políticas de seguridad sofisticadas

– “Si al menos 5 de mis amigos conocen a Bob Marley entonces le doy acceso.”

• Simple

¿Cuál es el “truco”?

¿Todo bien entonces?

¿Qué pasa con DNS?

Hi Henry, I'm trying to understand FOAF+SSL and have the same issue than John. You say that : "If Romeo does not control the <https://romeo.net/> resource, he will not be able to place information there about his public key." But if Alice contacts https://romeo.net/ to retrieve its public key, how can she be sure that she reaches the proper server (I'm thinking of DNS poisoning or other man in the middle attacks). The only way is to either have obtained romeo's public key through another mean (which one ?) or to have romeo provide a certificate signed by a party that Alice trust (need key signing parties). Can you please elaborate on how you protect against man in the middle attacks in FOAF+SSL ? Thanks a lot, -Laurent

http://blogs.sun.com/bblfish/entry/more_on_authorization_in_foaf

¿Qué pasa con DNS?

Hi Laurent. DNS poisoning is indeed a serious issue. Indeed it is *so* serious an issue, with so many implications for commerce and security, that it is forcing the introduction of DNS-SEC. This will be mandated by the United States for the Military and the governement controlled DNS by the end of the year (2009). *…+ Henry Story.

http://blogs.sun.com/bblfish/entry/more_on_authorization_in_foaf

DNS(SEC): de vuelta al mismo problema…

google.com?

209.85.195.104

¿Con quien estoy conversando?

DNS(SEC): ¿Cómo se resuelve hoy?