TEMA 39 : SERVICIOS DE AUTENTICACIÓN. CERTIFICADOS DIGITALES. LOCALIZACIÓN DE CLAVES PÚBLICAS. SERVICIOS DE DIRECTORIO. MARCOS DE AUTENTICACIÓN. OTRAS TÉCNICAS DE AUTENTICACIÓN

INTRODUCCIÓN

CERTIFICADOS DIGITALES

MARCO DE AUTENTICACIÓN X.509

OTRAS TÉCNICAS DE AUTENTICACIÓN(REVISAR)

LISTAS DE SERVICIOS DE CONFIANZA (TSL)

IDENTIFICACIÓN Y FIRMA DE LAS AAPP

REFERENCIA TEMPORAL DE DOCUMENTOS ELECTRÓNICOS

IDENTIFICACIÓN Y FIRMA DE LOS CIUDADANOS EN SUS RELACIONES CON LAS AAPP (REVISAR)

SERVICIO DE DIRECTORIO X.500

El servicio de autenticación constituye una de las dimensiones fundamentales de la seguridad informática.

Su función es garantizar bien que un usuario que accede a un sistema o información es quien dice ser, o bien que el origen de un mensaje es efectivamente aquel que afirma serlo y no se ha producido una suplantación del emisor

La autenticación precede a la autorización que conlleva la comprobación de que un usuario previamente autenticado posea los permisos necesarios para acceder a un determinado recurso o realizar una operación.

Concepto :son documentos electrónicos firmados digitalmente que tienen como función fundamental acreditar el enlace entre un titular y su clave pública basada en criptografía asimétrica, y como consecuencia , las claves públicas pueden ser distribuidas entre los usuarios con garantías de las identidades de sus titulares

La infraestructura de clave pública (PKI) puede estar basada en Autoridades de Certificación o bien en Redes de Confianza. Nos centraremos en las primeras.

Es este entorno, un certificado digital es un documento electrónico firmado digitalmente por un tercero de confianza, llamado Autoridad de Certificación (CA), de acuerdo a una estructura estandarizada (X.509v3), mediante la cual la CA garantiza que la clave pública contenida en el certificado está asociada a su titular, y no se produce suplantación de identidad

La ley 59/2003 de firma electrónica establece que un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma la identidad

La clave pública y el titular quedan vinculados en el certificado digital mediante la firma digital del emisor del certificado

El certificado digital utiliza la criptografía asimétrica para dar respuesta a la necesidad de conocer fehacientemente que una determinada clave pública corresponde a la identidad de un usuario o entidad concreta durante un periodo de tiempo.

La firma del certificado se realiza con la clave privada de la CA, y es fácil comprobar su validez puesto que su clave pública es conocida.

X.509 v3 es el estándar de la ITU-T para infraestructuras de claves públicas. Especifica la estructura y formato de certificados de clave pública, listas de revocación de certificados (CRL), certificados de atributo y un algoritmo de validación de la ruta de certificación

Desligada del estándar X.500 (diseñado para marco de autenticación de servicio de directorio)

En aplicaciones de firma electrónica, junto a un documento y su firma digital, se transmitirá típicamente el certificado del firmante de forma que el receptor pueda validar la firma digital, comprobar que el certificado es válido, corresponde a ese titular y no ha sido revocado

Estructura del certificado X.509 v3

Versión

Serial Number: identificador del certificado, único para cada CA

Algortimo de firma

Issuer : CA que emite el certificado

Periodo de validez

Subject : datos que identifican al sujeto titular asociado con la clave pública contenida en la certificación.(persona, servidor o servicio)

Clave pública del titular

Extensiones (usos, enlaces a la ubicación de las CRL, a las de la autoridad de validación..etc)

Firma digital del emisor del certificado

La estructura de la CA es jerárquica por lo que el certificado raíz, del que nacen todos los demás, es un certificado autofirmado

Máximo periodo de validez : 5 años

Codificación y extensiones de fichero de certificado X.509 v3

Un certificado ocupa entre 2 y 3 KB. Se puede codificar mediante DER y PEM

.DER :certificado codificado en binario. Puede llevar la extensión .DER, .CER, o .CRT

.PEM : certificado codificado en ASCII Base 64 con cabeceras. Estensión .PEM, .CER o .CRT

Comprobación de firmas y certificados digitales

Según el Reglamento (UE) 910/2014 también se ha de comprobar la validez del certificado del firmante en el momento de creación de la firma. Si la firma electrónica se verifica de forma correcta, pero el certificado estaba revocado o caducado en el momento de la firma, la verificación de la firma no puede ser correcta

Un certificado puede ser extinguido o suspendido antes del fin de su periodo de validez por diversas causas, incluyendo la revocación voluntaria por el firmante, cambio de afiliación, fallecimiento, sustracción o compromiso de clave privada o resolución judicial o administrativa

2 mecanismos para la verificación o comprobación

Certificate Revocation Lists (CRL)La CA firma y publica una lista que contiene los números de serie de todos los certificados revocados, junto con la fecha de revocación

Online Certificate Status Protocols (OCSP): la consulta al servicio de estado de revocación se realiza online en tiempo real a través de HTTP en codificación ASN.1. , a una VA o Autoridad de Validación, que devuelve online una respuesta firmada y con sello de tiempo

La CRL puede crecer excesivamente si existen muchos certificados revocados por la CA, por lo que su transmisión y tratamiento se complican

Existe un desfase temporal entre el momento de revocación efectiva de un certificado y el momento de actualización de la CRL, que puede ser de hasta 24 horas., aunque la política de muchas CA es publicar una nueva CRL cada vez que un certificado es revocado

Una técnica comúnmente utilizada es publicar una "delta CRL" (CRL incremental) permitiendo al cliente descargar una CRL base y combinarla con las deltas.

La ventaja es que la CRL puede ser consultada en entornos sin conexión aunque el resultado no sea del todo fiable.

Una petición OCSP se compone de la versión del protocolo y los identificadores de los certificados que se quieren validar, formados por el número de serie y el hash del Distinguished Name (DN) de la CA que lo emitió y de su clave pública

La validación de la certificación del DNIe (expedidos por el Ministerio del Interior) es realizada por la FNMT con carácter universal y por el Ministerio de Hacienda y AAPP para las Administraciones, a través de OCSP

Se evitan problemas de procesamiento de listas y se obtiene una información sin desfases, aunque depende de la conectividad. También es vulnerable a ataques de "replay", aunque se puede añadir a la respuesta un número aleatorio en la consulta

Para servidores web se está usando la técnica de "OCSP stapling" en la que el propio servidor web consulta regularmente a la VA obteniendo respuestas firmadas y selladas temporalmente sobre su validez. Después como parte del protocolo SSL/TLS añade o grapa esta respuesta para que los clientes la reciban sin tener que consultar cada vez a la VA

Tipos de Certificados

Regulados por la Ley 59/2003 de Firma Electrónica

En función del titular o firmante

De persona física

De representante legal, bien de una persona física o jurídica

De atributos (personal al servicio de una organización privada

De persona jurídica

De entidades sin personalidad jurídica

En función del tipo de certificado

Reconocidos: apropiados para relacionarse con la Administración

No reconocidos

Regulados por la Ley 11/2007 de Acceso Electrónico de los Ciudadanos (revocada) mencionados en la Ley 39/2015 de Procedimiento Administrativo

De Sede Electrónica

De sello de actuación administrativa automatizada

De empleado público

Regulados por el Reglamento (UE) 910/2014 de Identificación Electrónica y Servicios de COnfianza

De Firma Electrónica

De Sello Electrónico

De autenticación de sitio web

Cualificado

Indicación procesable que indique que se trata de un certificado cualificado de firma electrónica

Nombre del prestador cualificado que lo ha expedido y el Estado en el que está establecido

Nombre del firmante

Clave pública asociada con el firmante

Periodo de validez

Número de serie

Firma electrónica avanzada o sello electrónico avanzado del prestador

Lugar donde se ubica el certificado en el que se basa la firma del prestador

Localización de los servicios para consultar la validez

En vez de firmante se habla de creador de sello y deberá constar su nombre y número de registro oficial

Se expide bien a una persona física o a una jurídica

Contiene el nombre o los nombres de los dominios explotados por la persona física o jurídica a la que se expida el certificado

Serie PKCS: se refiere a una serie de especificaciones desarrolladas por RSA con el objeto de acelerar el despliegue de la criptografía asimétrica, de los cuáles muchos se han convertido en estándares formales

PKCS#7 :Para firmar o cifrar mensajes

PKCS#12 :formato portable para almacenar o transportar la clave privada de un usuario junto con el certificado de clave pública asociado

PKCS#15 :define la identificación de usuarios de tokens en aplicaciones

Con arreglo a la Directiva 2006/123/CE, se prevé que cada Estado miembro de la UE publique una Lista de Confianza que contenga la información mínima referente a los prestadores de servicios de certificación que expidan certificados reconocidos al público supervisados en ese Estado.

El Ministerio de Industria, Energía y Turismo elabora una lista de confianza de prestadores de servicios de certificación (TSL), para España

El Reglamento (UE) 910/2014 amplia el alcance de la lista de confianza para cada Estado, siendo de prestadores cualificados de servicios de confianza (TSP) con respecto a los cuales sea responsable, junto con la información de los servicios de confianza cualificados prestados por ellos

La Ley 40/2015 de Régimen Jurídico del Sector Público establece 4 sistemas que las AAPP pueden utilizar para la identificación y firma electrónicas de los documentos que produzcan en el ejercicio de sus competencias

Sede Electrónica: dirección electrónica accesible por los ciudadanos cuya titularidad y gestión corresponde a una AP, órgano o entidad administrativa en el ejercicio de sus competencias

Actuación administrativa automatizada

Firma electrónica del personal al servicio de las AAPP

Intercambio electrónico de datos en entornos cerrados de comunicación

La Ley 40/2015 reconoce el derecho de los ciudadanos a comunicarse electrónicamente con la Admón.

Implica la necesidad de definir la sede electrónica a través de la que se establecen la comunicación jurídica electrónica entre ciudadano y la Admón.

La GV crea la sede normativamente en Decreto 165/2010 del Consell. Se unifican todos los trámites administrativos de las diferentes consellerías

Se utilizan certificados SSL para identificarse y garantizar una comunicación segura

Las sedes deberán ofrecer una serie de servicios al ciudadano, tales como una carta de servicios, acceso al estado de tramitación de un expediente, publicación electrónica de actos y comunicaciones, verificación de sellos electrónicos de los organismos cubiertos por la sede, etc

Es responsabilidad del titular de la sede electrónica de la integridad, veracidad y actualización de la información que en ella se publique, aunque no de la información enlazada desde la sede

La Ley 40/2015, permite a las AAPP utilizar sistemas de firma electrónica para la actuación administrativa automatizada, con objeto de su identificación electrónica y para la autenticación de los documentos electrónicos que produzcan

Sello electrónico de AP, órgano o entidad de derecho público, basado en certificado electrónico

Código seguro de verificación (CSV)

La relación de sellos y sus características deberá ser pública y accesible por medios electrónicos

Vinculado a la AP, órgano o entidad y, en su caso, a la persona firmante del documento, permitiéndose la comprobación de la autenticidad e integridad del documento mediante el acceso a la sede electrónica correspondiente

Las copias realizadas en soporte papel de documentos públicos administrativos emitidos por medios electrónicos y firmados electrónicamente tendrán la consideración de copias auténticas siempre que incluyan la impresión de un código generado electrónicamente

La Ley 40/2015 permite a las AAPP proveer al personal a su servicio de sistemas de firma electrónica, que adicionalmente identifiquen al puesto de trabajo o cargo y al órgano en el que se encuentra

En la GV este servicio es proporcionado por la ACCV mediante tarjetas criptográficas

Los documentos electrónicos transmitidos en entornos cerrados de comunicaciones entre AAPP serán considerados válidos a efectos de autenticación e identificación de los emisores y receptores, siempre y cuando se garantice la seguridad del entorno y la protección de datos que se transmiten en estos casos :

Cuando los participantes en las comunicaciones pertenecen a una misma AP, ésta determinará las condiciones y garantías, comprendiendo al menos la relación de emisores y receptores autorizados y la naturaleza de datos a intercambiar

Cuando los participantes pertenezcan a distintas administraciones, las condiciones y garantías se establecerán mediante convenio

El Real Decreto 1671/2009 por el que se desarrolla la Ley 11/2007 establece que la AGE deberá asociar a los documentos administrativos electrónicos una referencia temporal que podrá tener dos modalidades diferentes

Marca de tiempo :mera asignación electrónica de fecha y hora por el sistema. Usado en procedimientos no críticos

Sello de tiempo :asignación de fecha y hora en la que interviene el prestador de servicios de confianza, que actúa como tercero de confianza y asegura la exactitud del momento temporal e integridad del documento

(((La Ley 40/2015 establece las formas de identificación y firma electrónica que los ciudadanos pueden utilizar cuando deseen relacionarse electrónicamente con las AAPP)))

(((Las AAPP podrán identificarse mediante el uso de sello electrónico basado en un certificado electrónico reconocido o cualificado. Incluirán el número de identificación fiscal y la denominación correspondiente, así como, en su caso, la identidad de la persona titular en el caso de sellos electrónicos de órganos administrativos)))

Introducción

Características

Directorio X.500

Un directorio es un repositorio cuyo propósito es ser fuente de información empleada para almacenarla

Los servicios de directorio además, incluyen los servicios que hacen que la información esté disponible para los usuarios

Esto se implementa mediante una base de datos especial, accedida mucho más para lecturas y búsquedas que para actualizarla, y con gran variedad de información, parcelada en pequeñas bases de datos repartidas por la red. Así se dio origen al servicio de directorio

Base de datos especial, jerarquizada y distribuida, con un mecanismo para acceder a ella y actualizar la información almacenada

La forma es de árbol de entradas de directorio y cada entrada consta de un conjunto de atributos definidos en un esquema y posee un identificador único referenciado mediante un nombre

Simple

Dinámico

Flexible

Optimizado para búsquedas

Particionable

Replicable

Distribuible

Seguro

Aplicaciones

Búsqueda de información

Gestión de información

Seguridad con características de autenticación.y distribución de certificados digitales. Single Sign-On

El estándar establecido para los servicios de directorio es ITU X.500

Define el modelo de información utilizado en los servicios de directorio, y especifica las funcionalidades de administración, autenticación y control de acceso a nivel de aplicación del modelo de interconexión de sistemas abiertos OSI en arquitecturas cliente-servidor

Actualmente ningún servicio de directorio implementa completamente X.500, pero todos se modelan según las especificaciones básicas de X.500

Arquitectura

Protocolos

Modelo de información :define la estructura de la información almacenada en el directorio.

DIB (Directory Information Base) :conjunto de toda la información disponible en el Servicio de Directorio

DSA (Directory System Agent ) : Servidores X.500 que almacenan los datos del directorio

DUA (DIrectory User Agent) : cliente X.500, software que permite a los usuarios acceder al directorio

Cada usuario necesita un DUA . Interaccionará con DSA a través de un interfaz de usuario.

DAP (Directory Access Protocol) :para la comunicación entre DUA y DSA

DSP (Directory System Protocol) , entre DSAs

DISP (Directory Information Shadowing Protocol), replicación entre DSAs

DOP (Directory Operational BIndings Management Protocol)

  1. DIT (DIrectory Information Tree) Estructura jerárquica de árbol
  1. Entrada. Elemento básico almacenado. Compuesta por atributos y valores
  1. Atributo. Elementos de datos con tipo y valor
  1. Objeto. Descripción genérica de un conjunto de elementos que comparten características. Son como plantillas para crear entradas
  1. Esquema. Reglas que definen los objetos
  1. RDN (Relative Distinguished Name) . Nombre por cada nivel del árbol
  1. DN (Distinguished Name) Nombre completo que distingue de manera única a cada entrada.

Biométricas

Tarjeta

Huella

FIrma

Iris