TEMA 39 : SERVICIOS DE AUTENTICACIÓN. CERTIFICADOS DIGITALES. LOCALIZACIÓN DE CLAVES PÚBLICAS. SERVICIOS DE DIRECTORIO. MARCOS DE AUTENTICACIÓN. OTRAS TÉCNICAS DE AUTENTICACIÓN
INTRODUCCIÓN
CERTIFICADOS DIGITALES
MARCO DE AUTENTICACIÓN X.509
OTRAS TÉCNICAS DE AUTENTICACIÓN(REVISAR)
LISTAS DE SERVICIOS DE CONFIANZA (TSL)
IDENTIFICACIÓN Y FIRMA DE LAS AAPP
REFERENCIA TEMPORAL DE DOCUMENTOS ELECTRÓNICOS
IDENTIFICACIÓN Y FIRMA DE LOS CIUDADANOS EN SUS RELACIONES CON LAS AAPP (REVISAR)
SERVICIO DE DIRECTORIO X.500
El servicio de autenticación constituye una de las dimensiones fundamentales de la seguridad informática.
Su función es garantizar bien que un usuario que accede a un sistema o información es quien dice ser, o bien que el origen de un mensaje es efectivamente aquel que afirma serlo y no se ha producido una suplantación del emisor
La autenticación precede a la autorización que conlleva la comprobación de que un usuario previamente autenticado posea los permisos necesarios para acceder a un determinado recurso o realizar una operación.
Concepto :son documentos electrónicos firmados digitalmente que tienen como función fundamental acreditar el enlace entre un titular y su clave pública basada en criptografía asimétrica, y como consecuencia , las claves públicas pueden ser distribuidas entre los usuarios con garantías de las identidades de sus titulares
La infraestructura de clave pública (PKI) puede estar basada en Autoridades de Certificación o bien en Redes de Confianza. Nos centraremos en las primeras.
Es este entorno, un certificado digital es un documento electrónico firmado digitalmente por un tercero de confianza, llamado Autoridad de Certificación (CA), de acuerdo a una estructura estandarizada (X.509v3), mediante la cual la CA garantiza que la clave pública contenida en el certificado está asociada a su titular, y no se produce suplantación de identidad
La ley 59/2003 de firma electrónica establece que un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma la identidad
La clave pública y el titular quedan vinculados en el certificado digital mediante la firma digital del emisor del certificado
El certificado digital utiliza la criptografía asimétrica para dar respuesta a la necesidad de conocer fehacientemente que una determinada clave pública corresponde a la identidad de un usuario o entidad concreta durante un periodo de tiempo.
La firma del certificado se realiza con la clave privada de la CA, y es fácil comprobar su validez puesto que su clave pública es conocida.
X.509 v3 es el estándar de la ITU-T para infraestructuras de claves públicas. Especifica la estructura y formato de certificados de clave pública, listas de revocación de certificados (CRL), certificados de atributo y un algoritmo de validación de la ruta de certificación
Desligada del estándar X.500 (diseñado para marco de autenticación de servicio de directorio)
En aplicaciones de firma electrónica, junto a un documento y su firma digital, se transmitirá típicamente el certificado del firmante de forma que el receptor pueda validar la firma digital, comprobar que el certificado es válido, corresponde a ese titular y no ha sido revocado
Estructura del certificado X.509 v3
Versión
Serial Number: identificador del certificado, único para cada CA
Algortimo de firma
Issuer : CA que emite el certificado
Periodo de validez
Subject : datos que identifican al sujeto titular asociado con la clave pública contenida en la certificación.(persona, servidor o servicio)
Clave pública del titular
Extensiones (usos, enlaces a la ubicación de las CRL, a las de la autoridad de validación..etc)
Firma digital del emisor del certificado
La estructura de la CA es jerárquica por lo que el certificado raíz, del que nacen todos los demás, es un certificado autofirmado
Máximo periodo de validez : 5 años
Codificación y extensiones de fichero de certificado X.509 v3
Un certificado ocupa entre 2 y 3 KB. Se puede codificar mediante DER y PEM
.DER :certificado codificado en binario. Puede llevar la extensión .DER, .CER, o .CRT
.PEM : certificado codificado en ASCII Base 64 con cabeceras. Estensión .PEM, .CER o .CRT
Comprobación de firmas y certificados digitales
Según el Reglamento (UE) 910/2014 también se ha de comprobar la validez del certificado del firmante en el momento de creación de la firma. Si la firma electrónica se verifica de forma correcta, pero el certificado estaba revocado o caducado en el momento de la firma, la verificación de la firma no puede ser correcta
Un certificado puede ser extinguido o suspendido antes del fin de su periodo de validez por diversas causas, incluyendo la revocación voluntaria por el firmante, cambio de afiliación, fallecimiento, sustracción o compromiso de clave privada o resolución judicial o administrativa
2 mecanismos para la verificación o comprobación
Certificate Revocation Lists (CRL)La CA firma y publica una lista que contiene los números de serie de todos los certificados revocados, junto con la fecha de revocación
Online Certificate Status Protocols (OCSP): la consulta al servicio de estado de revocación se realiza online en tiempo real a través de HTTP en codificación ASN.1. , a una VA o Autoridad de Validación, que devuelve online una respuesta firmada y con sello de tiempo
La CRL puede crecer excesivamente si existen muchos certificados revocados por la CA, por lo que su transmisión y tratamiento se complican
Existe un desfase temporal entre el momento de revocación efectiva de un certificado y el momento de actualización de la CRL, que puede ser de hasta 24 horas., aunque la política de muchas CA es publicar una nueva CRL cada vez que un certificado es revocado
Una técnica comúnmente utilizada es publicar una "delta CRL" (CRL incremental) permitiendo al cliente descargar una CRL base y combinarla con las deltas.
La ventaja es que la CRL puede ser consultada en entornos sin conexión aunque el resultado no sea del todo fiable.
Una petición OCSP se compone de la versión del protocolo y los identificadores de los certificados que se quieren validar, formados por el número de serie y el hash del Distinguished Name (DN) de la CA que lo emitió y de su clave pública
La validación de la certificación del DNIe (expedidos por el Ministerio del Interior) es realizada por la FNMT con carácter universal y por el Ministerio de Hacienda y AAPP para las Administraciones, a través de OCSP
Se evitan problemas de procesamiento de listas y se obtiene una información sin desfases, aunque depende de la conectividad. También es vulnerable a ataques de "replay", aunque se puede añadir a la respuesta un número aleatorio en la consulta
Para servidores web se está usando la técnica de "OCSP stapling" en la que el propio servidor web consulta regularmente a la VA obteniendo respuestas firmadas y selladas temporalmente sobre su validez. Después como parte del protocolo SSL/TLS añade o grapa esta respuesta para que los clientes la reciban sin tener que consultar cada vez a la VA
Tipos de Certificados
Regulados por la Ley 59/2003 de Firma Electrónica
En función del titular o firmante
De persona física
De representante legal, bien de una persona física o jurídica
De atributos (personal al servicio de una organización privada
De persona jurídica
De entidades sin personalidad jurídica
En función del tipo de certificado
Reconocidos: apropiados para relacionarse con la Administración
No reconocidos
Regulados por la Ley 11/2007 de Acceso Electrónico de los Ciudadanos (revocada) mencionados en la Ley 39/2015 de Procedimiento Administrativo
De Sede Electrónica
De sello de actuación administrativa automatizada
De empleado público
Regulados por el Reglamento (UE) 910/2014 de Identificación Electrónica y Servicios de COnfianza
De Firma Electrónica
De Sello Electrónico
De autenticación de sitio web
Cualificado
Indicación procesable que indique que se trata de un certificado cualificado de firma electrónica
Nombre del prestador cualificado que lo ha expedido y el Estado en el que está establecido
Nombre del firmante
Clave pública asociada con el firmante
Periodo de validez
Número de serie
Firma electrónica avanzada o sello electrónico avanzado del prestador
Lugar donde se ubica el certificado en el que se basa la firma del prestador
Localización de los servicios para consultar la validez
En vez de firmante se habla de creador de sello y deberá constar su nombre y número de registro oficial
Se expide bien a una persona física o a una jurídica
Contiene el nombre o los nombres de los dominios explotados por la persona física o jurídica a la que se expida el certificado
Serie PKCS: se refiere a una serie de especificaciones desarrolladas por RSA con el objeto de acelerar el despliegue de la criptografía asimétrica, de los cuáles muchos se han convertido en estándares formales
PKCS#7 :Para firmar o cifrar mensajes
PKCS#12 :formato portable para almacenar o transportar la clave privada de un usuario junto con el certificado de clave pública asociado
PKCS#15 :define la identificación de usuarios de tokens en aplicaciones
Con arreglo a la Directiva 2006/123/CE, se prevé que cada Estado miembro de la UE publique una Lista de Confianza que contenga la información mínima referente a los prestadores de servicios de certificación que expidan certificados reconocidos al público supervisados en ese Estado.
El Ministerio de Industria, Energía y Turismo elabora una lista de confianza de prestadores de servicios de certificación (TSL), para España
El Reglamento (UE) 910/2014 amplia el alcance de la lista de confianza para cada Estado, siendo de prestadores cualificados de servicios de confianza (TSP) con respecto a los cuales sea responsable, junto con la información de los servicios de confianza cualificados prestados por ellos
La Ley 40/2015 de Régimen Jurídico del Sector Público establece 4 sistemas que las AAPP pueden utilizar para la identificación y firma electrónicas de los documentos que produzcan en el ejercicio de sus competencias
Sede Electrónica: dirección electrónica accesible por los ciudadanos cuya titularidad y gestión corresponde a una AP, órgano o entidad administrativa en el ejercicio de sus competencias
Actuación administrativa automatizada
Firma electrónica del personal al servicio de las AAPP
Intercambio electrónico de datos en entornos cerrados de comunicación
La Ley 40/2015 reconoce el derecho de los ciudadanos a comunicarse electrónicamente con la Admón.
Implica la necesidad de definir la sede electrónica a través de la que se establecen la comunicación jurídica electrónica entre ciudadano y la Admón.
La GV crea la sede normativamente en Decreto 165/2010 del Consell. Se unifican todos los trámites administrativos de las diferentes consellerías
Se utilizan certificados SSL para identificarse y garantizar una comunicación segura
Las sedes deberán ofrecer una serie de servicios al ciudadano, tales como una carta de servicios, acceso al estado de tramitación de un expediente, publicación electrónica de actos y comunicaciones, verificación de sellos electrónicos de los organismos cubiertos por la sede, etc
Es responsabilidad del titular de la sede electrónica de la integridad, veracidad y actualización de la información que en ella se publique, aunque no de la información enlazada desde la sede
La Ley 40/2015, permite a las AAPP utilizar sistemas de firma electrónica para la actuación administrativa automatizada, con objeto de su identificación electrónica y para la autenticación de los documentos electrónicos que produzcan
Sello electrónico de AP, órgano o entidad de derecho público, basado en certificado electrónico
Código seguro de verificación (CSV)
La relación de sellos y sus características deberá ser pública y accesible por medios electrónicos
Vinculado a la AP, órgano o entidad y, en su caso, a la persona firmante del documento, permitiéndose la comprobación de la autenticidad e integridad del documento mediante el acceso a la sede electrónica correspondiente
Las copias realizadas en soporte papel de documentos públicos administrativos emitidos por medios electrónicos y firmados electrónicamente tendrán la consideración de copias auténticas siempre que incluyan la impresión de un código generado electrónicamente
La Ley 40/2015 permite a las AAPP proveer al personal a su servicio de sistemas de firma electrónica, que adicionalmente identifiquen al puesto de trabajo o cargo y al órgano en el que se encuentra
En la GV este servicio es proporcionado por la ACCV mediante tarjetas criptográficas
Los documentos electrónicos transmitidos en entornos cerrados de comunicaciones entre AAPP serán considerados válidos a efectos de autenticación e identificación de los emisores y receptores, siempre y cuando se garantice la seguridad del entorno y la protección de datos que se transmiten en estos casos :
Cuando los participantes en las comunicaciones pertenecen a una misma AP, ésta determinará las condiciones y garantías, comprendiendo al menos la relación de emisores y receptores autorizados y la naturaleza de datos a intercambiar
Cuando los participantes pertenezcan a distintas administraciones, las condiciones y garantías se establecerán mediante convenio
El Real Decreto 1671/2009 por el que se desarrolla la Ley 11/2007 establece que la AGE deberá asociar a los documentos administrativos electrónicos una referencia temporal que podrá tener dos modalidades diferentes
Marca de tiempo :mera asignación electrónica de fecha y hora por el sistema. Usado en procedimientos no críticos
Sello de tiempo :asignación de fecha y hora en la que interviene el prestador de servicios de confianza, que actúa como tercero de confianza y asegura la exactitud del momento temporal e integridad del documento
(((La Ley 40/2015 establece las formas de identificación y firma electrónica que los ciudadanos pueden utilizar cuando deseen relacionarse electrónicamente con las AAPP)))
(((Las AAPP podrán identificarse mediante el uso de sello electrónico basado en un certificado electrónico reconocido o cualificado. Incluirán el número de identificación fiscal y la denominación correspondiente, así como, en su caso, la identidad de la persona titular en el caso de sellos electrónicos de órganos administrativos)))
Introducción
Características
Directorio X.500
Un directorio es un repositorio cuyo propósito es ser fuente de información empleada para almacenarla
Los servicios de directorio además, incluyen los servicios que hacen que la información esté disponible para los usuarios
Esto se implementa mediante una base de datos especial, accedida mucho más para lecturas y búsquedas que para actualizarla, y con gran variedad de información, parcelada en pequeñas bases de datos repartidas por la red. Así se dio origen al servicio de directorio
Base de datos especial, jerarquizada y distribuida, con un mecanismo para acceder a ella y actualizar la información almacenada
La forma es de árbol de entradas de directorio y cada entrada consta de un conjunto de atributos definidos en un esquema y posee un identificador único referenciado mediante un nombre
Simple
Dinámico
Flexible
Optimizado para búsquedas
Particionable
Replicable
Distribuible
Seguro
Aplicaciones
Búsqueda de información
Gestión de información
Seguridad con características de autenticación.y distribución de certificados digitales. Single Sign-On
El estándar establecido para los servicios de directorio es ITU X.500
Define el modelo de información utilizado en los servicios de directorio, y especifica las funcionalidades de administración, autenticación y control de acceso a nivel de aplicación del modelo de interconexión de sistemas abiertos OSI en arquitecturas cliente-servidor
Actualmente ningún servicio de directorio implementa completamente X.500, pero todos se modelan según las especificaciones básicas de X.500
Arquitectura
Protocolos
Modelo de información :define la estructura de la información almacenada en el directorio.
DIB (Directory Information Base) :conjunto de toda la información disponible en el Servicio de Directorio
DSA (Directory System Agent ) : Servidores X.500 que almacenan los datos del directorio
DUA (DIrectory User Agent) : cliente X.500, software que permite a los usuarios acceder al directorio
Cada usuario necesita un DUA . Interaccionará con DSA a través de un interfaz de usuario.
DAP (Directory Access Protocol) :para la comunicación entre DUA y DSA
DSP (Directory System Protocol) , entre DSAs
DISP (Directory Information Shadowing Protocol), replicación entre DSAs
DOP (Directory Operational BIndings Management Protocol)
- DIT (DIrectory Information Tree) Estructura jerárquica de árbol
- Entrada. Elemento básico almacenado. Compuesta por atributos y valores
- Atributo. Elementos de datos con tipo y valor
- Objeto. Descripción genérica de un conjunto de elementos que comparten características. Son como plantillas para crear entradas
- Esquema. Reglas que definen los objetos
- RDN (Relative Distinguished Name) . Nombre por cada nivel del árbol
- DN (Distinguished Name) Nombre completo que distingue de manera única a cada entrada.
Biométricas
Tarjeta
Huella
FIrma
Iris