Una PKI bien construida debe tener una arquitectura proporcionar a:
• Autenticidad. La firma digital tendrá la misma validez que la manuscrita.
• Confidencialidad, de la información transmitida entre las partes.
• Integridad. Debe asegurarse la capacidad de detectar si un documento
firmado ha sido manipulado.
• No Repudio, de un documento firmado digitalmente.
Su arquitectura seria:
1. La infraestructura de llave publica o PKI
2. El modelo PKIX, o modelo de las entidades que gestionan la infraestructura de llave publica, degsinando funciones y protocolos.
3. Las politicas y praticas de certificacion CPS y CP.
La arquitectura PKI se encuentra: Internet Certificate and CRL Profile RFC 3280
> Especificada Internet Engineering Task Forge. http://ietf.org
El Modelo PKIX
En la imagen que veran a continuacion, el usuario va a acceder a una pagina de una entidad bancaria, con la cual requiere tener un canal de comunicacion seguro.Primero abre su browser o navegador y digita la direccion web del banco, la cual hace una serie de peticiones para enviar el certificado al usuario firmado por una autoridad de certificadora ya reconocida y dar tranquilidad sobre la autenticidad de la identidad del banco.
Contiene 5 componentes
1. Entidades Finales: Quien solicita la llave o se pretende identificar
2. Autoridad de Certificacion: La que emite los certificados y es la parte de la credibilidad de la llave publica. Firma los certificados con su llave privada, dando fe de que es en la verificacion de las llaves asignadas son a quien corresponde.
3. Autoridad de Registro: Realiza el proceso de registro de las entidades finales, validad los atributos, genera los secretos compartidos que permiten el proceso de inicializacion y certificacion.
4. Repositorios: Metodo que permite guardar la informacion de PKI "Certificados y CRL", viendo tambien el status de revocacion de los certificados.
5. Emisores CRLs "Certificate Revocation List Issuer":Son listas de certificados que han dejado de ser validos.
Contenido del Certificado.
Es necesario poder vincular la clave pública de un usuario con su identidad y para esto surge el concepto de "Certificado Digital", que contiene la siguiente información:
•Identidad del usuario (Nombre, NIF, etc...).
•Clave Pública del usuario.
•Periodo de Validez del Certificado.
•Identidad de la Autoridad Certificadora (entidad que emite el certificado).
•Firma digital del certificado (los datos anteriores más otras posibles extensiones personalizables, p.e. la dirección de correo electrónico), generada por la Autoridad Certificadora.
Esta información se encapsula en un formato estándar, definido por la norma ISO X.509 versión 3. Generalmente existirá un repositorio (p.e. directorio LDAP) en el que se publican todos los certificados gestionados por la PKI y puede ser consultado por otros usuarios de la PKI que quieran enviar información cifrada o verificar firmas digitales.
Tipos de Certicados
Certificados Clase 1: Son emitidos unica/ a individuos, donde no se verifica la identidad, por lo tanto no permite autenticarla.
Certificados Clase 2: Son emitidos unicamente a individuos que confirman la informacion proporcionada por el suscriptor.Son datos fiables.
Certificados Clase 2 (no reconocidos):Usados para transaciones de bajo riesgo.
Certificados clase 2 (reconocidos): Pueden usarse como soporte de firmas electronicas legal/ reconocidas.
Certificados Clase 3: Son los que requieren evidencias probatorias de la identidad del sujeto o de una URL.
Bibliografia.
http://www.eurologic.es/soluciones/que-es-pki.htm
www.microsoft.com/.../images/04fig4-2_big.gif
Mauricio Ortiz Morales
Docente Admon de Redes de Computadores
Centro de Servicios SENA Medellin.
No hay comentarios:
Publicar un comentario