3. Mtodos de autenticacin.

Qu son los certificados digitales?

3.1
Servicios AAA

3.2

3.3

Algoritmos de
Hash MD5 y
SHA-1.

Certificados
digitales

Objetivo:
Identificar los certificados digitales, as como las entidades
certificadoras.

Un certificado digital es un documento que

contiene diversos datos, entre ellos el nombre de un
usuario y su clave pblica, y que es firmado por
una Autoridad de Certificacin (AC).
Como emisor y receptor confiarn en esa AC, el
usuario que tenga un certificado expedido por ella
se autenticar ante el otro, en tanto que su clave
pblica est firmada por dicha autoridad.
Una de las certificaciones ms usadas y un
estndar en la actualidad en infraestructuras de
clave pblica PKIs (Public-Key Infrastructure) es
X.509.
http://www.ietf.org/html.charters/pkix-charter.html

- Un certificado contiene: el nombre de la AC, el nombre del

usuario, la clave pblica del usuario y cualquier otra
informacin como puede ser un un indicador de tiempo o
timestamp.
- El certificado se cifra con la clave privada de la AC.
- Todos los usuarios poseen la clave pblica de la AC.

Campos del certificado digital X.509

V: Versin del certificado (actualmente V3).

SN: Nmero de serie.
AI: identificador del algoritmo de firma que sirve para
identificar el algoritmo usado para firmar el paquete X.509.
CA: Autoridad certificadora.
TA: Periodo de validez.
A: Propietario de la clave pblica que se est firmando.
P: Clave pblica ms identificador de algoritmo utilizado y
ms parmetros si son necesarios.
Y{I}:Firma digital de Y por I usando la clave privada de la
unidad certificadora.

CA<<A>> = CA { V, SN, AI, CA, TA, A, AP }

Y<<X>> es el certificado del usuario X expedido por la autoridad
certificadora Y.

Versin
N de serie
Algoritmo
Parmetros
Autoridad de Certificacin
Inicio de la validez
Caducidad de la validez
Nombre del usuario
Algoritmo
Parmetros
Clave pblica del usuario
Firma de la AC

Identificador del algoritmo

Perodo de validez

Clave pblica que se firma

Funcin hash que se cifra

con la clave privada de la
AC

Autoridades de Certificacin
Autoridad de Certificacin es
un ente u organismo que, de
acuerdo con unas polticas y
algoritmos, certificar -por
ejemplo- claves pblicas de
usuarios o servidores.
El usuario A enviar al usuario B
su certificado (la clave pblica
firmada por AC) y ste
comprobar con esa autoridad
su autenticidad. Lo mismo en
sentido contrario.

certificado de B

certificado de A

AC

clave pblica AC

X.509 est basado en criptografa asimtrica y firma

digital.
En X.509 se define un framework (una capa de
abstraccin) para suministrar servicios de autenticacin
a los usuarios del directorio X.500.
La autenticacin se realiza mediante el uso de
certificados.

Formato del certificado digital X.509

clave pblica AC

Certificado digital X.509

Autoridad de Certificacin
AC

Elementos de una AC
El sistema de autenticacin debe tener:
Una poltica de certificacin.
Un certificado de la CA.
Los certificados de los usuarios (X.509).
Los protocolos de autenticacin, gestin y
obtencin de certificados:
Se obtienen de bases de datos (directorio
X.500).
O bien directamente del usuario en tiempo de
conexin (WWW con SSL).

Funcionamiento de una AC

Puesta en marcha de la AC:

Generar su par de claves.
Proteger la clave privada
con una passphrase.
Generar el certificado de
la propia AC.
Distribucin del certificado de
la AC:
A travs del directorio
X.500.
Por medio de pginas
Web.
Podr certificar a servidores y
a clientes.

Si el certificado digital X.509 de un servidor no pertenece a una AC reconocida

o instalada en su programa cliente, aparecer una pantalla similar a la que se
muestra.

Algunas caractersticas de diseo de la

AC

Deber definirse una poltica de certificacin

Ambito de actuacin y estructura
Relaciones con otras ACs

Deber definirse el procedimiento de certificacin

para la emisin de certificados:
Verificacin on-line
Verificacin presencial

Deber generarse una Lista de Certificados

Revocados

Estndar PKCS

PKCS: Public-Key Cryptography Standards, son un conjunto de

especificaciones tcnicas desarrolladas por Netscape, RSA y otros
desarrolladores de informtica cuyo objeto es uniformizar las
tcnicas y protocolos de la criptografa pblica.
Publicacin de la primera versin 1.0 se hace en el ao 1991.
PKCS forma parte de distintos estndares de hecho como ANSI
PKIX, X9, SET, S/MIME y SSL.
A la fecha existen 14 documentos con ttulos genricos que van
desde PKCS #1 a PKCS #15.
El de mayor trascendencia podra ser PKCS #11 llamado
CRYPTOKI.
Mantendremos los ttulos originales en su versin en ingls de
RSA Security Inc. Public-Key Cryptography Standards PCKS.
http://www.rsasecurity.com/rsalabs/pkcs/