Presentación de PowerPoint - Ingeniería Simpleingenieriasimple.com/url/videoconfpki.pdf1. Vicky...
Transcript of Presentación de PowerPoint - Ingeniería Simpleingenieriasimple.com/url/videoconfpki.pdf1. Vicky...
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKPKI y la Firma Digital
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Para proteger la información se guarda en un sobre
Se envía el documentoSe genera el oficio
El oficio es revisado y aceptado
El documento es recibido por algún asistente
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKProceso con un Documento en Papel
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoSe expone información a personas no autorizadas
Cuando el documento debe ser revisado y firmado por varias personas el tiempo del proceso se incrementa drásticamente
En caso de existir una observación y corrección del documento se reinicia el proceso nuevamente
La recepción del documento está sujeta a la disponibilidad del interesado
En caso de organizaciones muy grandes, es necesario contar un con catálogo de firmas autorizadas para tener confianza en el firmante
Se corre el riesgo de que exista alguna alteración del documento original sin percibirla, principalmente cuando el contrato consta de varias páginas
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKDesventajas de un Documento en Papel
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoIdentifica a una persona y representa la voluntad de esa persona sobre el
documento que se estampa
Ventajas:
Es el método más reconocido de autorización y autenticaciónEs económica
Inconvenientes:
La firma de una persona tiene diferencias cada vez que la realizaUna persona puede desconocer una firma (por la razón antes citada)La firma es una identificación pública y susceptible de falsificación
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKFirma Autógrafa
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoLa información es uno de los bienes más preciados de las empresas e
instituciones, por lo tanto es necesario asegurarse que no caiga en manos equivocadas
Manejo de información confidencial
Uso de sobres de seguridadServicio de mensajería especializadoSe establecen citas para entrega de información en forma personal
Estas medidas hacen que el flujo de información requiera más tiempo
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKInformación Confidencial
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Los mensajes se pueden proteger alterando su contenido:
Cuando no solo basta un sobre seguro para el envió de información.
Existen varios métodos para cifrar el contenido de un mensaje de tal forma que solo la persona interesada la pueda interpretar.
Con el uso de los sistemas informáticos este proceso se hace de manera electrónica por lo que se evitará imprimir la información en papel.
Es importante recordar que todos los datos en un sistema informático son manejados como números (sistema binario)
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKProtegiendo un documento
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
El arte o ciencia de guardar en secreto mensajes o documentos.
Principalmente existen dos métodos de criptografía:
Basados en el secreto de su algoritmo
Basados en llaves
Los más utilizados son los algoritmos basados en llaves
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKCriptografía
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
La llave que se utiliza para cifrar la información también es utilizada para descifrarla (la información puede ser procesada por bloques o en flujo).
Raúl Vicky
1224 1224
y}~u y}~uHOLA HOLA
HOLAHOLA 01001000 01001111 01001100 01000001
00110001 00110010 00110010 00110100
01111001 01111101 01111110 01110101
12241224
y}~uy}~u
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Llave simétricaInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Ventajas
Fácil de implementarEconómicaEl procesamiento es rápido
Desventajas
Una usuario tendrá que aprenderse una llave distinta por cada persona con la que quiera compartir información seguraLos Interesados tienen que ponerse de acuerdo para seleccionar la llaveDebido a que la misma llave se utiliza para cifrar y descifrar información es difícil saber quién originó el documento.
Los algoritmos de llave simétrica son altamente confiables para el cifrado de información, obviamente los métodos para el cifrado son más complejos que el mostrado en el ejemplo anterior.
Algoritmos de llaves simétricas:
DES, AES, 3DES, Blowfish, entre otros.
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKLlave simétrica
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Una llave se usa para cifrar y otra distinta para descifrar. No es posible una sola llave para realizar ambas operaciones.
Raul Vicky
Llave Pública Vicky
Llave Privada Vicky
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKLlaves asimétricas
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoLa característica de asimétricas de estas llaves es porque se tiene una llave
para cifrar y otra distinta para descifrar.
Estas llaves se identifican como Privada y Pública haciendo referencia a la ubicación de cada una de éstas.
Llave privada: es la que un persona tiene y guarda en máximo secreto.
Llave pública: es la que una persona le proporciona a otras para poder llevar a cabo el intercambio de información segura.
Las llaves asimétricas eliminan la necesidad de que las personas involucradas en el manejo de información segura tengan que compartir una sola llave secreta.
Dos algoritmos de llaves asimétricas ampliamente utilizados son:
RSA y DSA
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKLlaves asimétricas
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Como se obtienen las llaves asimétricas RSA
1. Vicky elige 2 números primos diferentes p y q:
p = 7, q = 11
1.a. Calcular n = p x qn = 7 x 11 = 77
1.b. Calcula la función totient Φ(n) = (p – 1)x(q – 1) = 6 x 10 = 60
2. Vicky selecciona un número entero positivo e tal que 1 < e < Φ(n) y e sea relativamente primo con Φ(n), ósea que su máximo común divisor de estos números sea 1, esto es mcd(e,Φ(n)) = 1
Vicky elige e = 13
3. Calcular d a manera que e●d ≡ 1 (mod Φ(n)), esto es que el producto de e x d sea congruente con 1, modulo Φ(n)
Vicky obtiene que d = 37; 13 x 37 = 481 mod 60 = 1
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKLlaves asimétricas
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Ahora Vicky tiene su llave privada que es "d" y su llave pública que es "e", pero el valor n también debe hacerse publico por lo tanto
Llave privada: (d,n) = (37, 77)
Llave pública: (e,n) = (13, 77)
Todos los demás valores se mantienen en secreto junto con la llave privada, incluso se pueden proteger en un archivo con un algoritmo de llave simétrica como 3DES.
Para cifrar un mensaje tenemos (es importante hacer notar que M debe ser menor a n):
C = M^e mod n
Y para descifrar:
M = C^d mod n
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKLlaves asimétricas
Raúl quiere enviar los números 5,3,4 cifrados con la llave pública a Vicky
Sabemos que la llave pública de Vicky es (e=13,n=77)
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
M1 = 5 C1 = 5^13 mod 77 = 1220703125 mod 77 = 26M2 = 3C2 = 3^13 mod 77 = 1594323 mod 77 = 38M3 = 4C3 = 4^13 mod 77 = 67108864 mod 77 = 53
Raúl envía 26, 38, 53 a Vicky
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKLlaves asimétricas
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Vicky tiene bien guardada su llave privada y la va a utilizar para el mensaje cifrado (26, 38, 56) para ella que recibe de Raúl.
Su llave privada es (d=37, n=77)
C1 = 26M1 = 26^37 mod 77 = 2.2595x10^52 mod 77 = 5C2 = 38M2 = 38^37 mod 77 = 2.8313x10^58 mod 77 = 3C3 = 53M3 = 53^37 mod 77 = 6.2835x10^63 mod 77 = 4
Vicky obtiene que los números que le envió Raúl son: 5, 3,4
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKLlaves asimétricas
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoUna vez que la información viaja cifrada podemos estar seguros que ésta sólo
podrá ser vista por las personas autorizadas. Pero si el documento se tiene que enviar a un área previa para su revisión antes de ser enviado a otra persona, surge la necesidad de saber que el destinarlo final tenga la certeza que el documento no ha sido alterado desde su creación
Dos posibles soluciones para verificar la autenticidad del documento:
1. Solicitar al creador del documento un copia para compararlos
2. Solicitar al creador del documento el código genético de éste para validar que la información que recibimos es igual a la original
Huella DigitalInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
La segunda opción es la más viable ya que solo basta enviar un pequeño monto de información para confirmar que el mensaje es el mismo.
A este proceso de obtener el código genético del mensaje le llamaremos Huella Digital.
Este nombre se debe a que la Huella Digital de un mensaje debe tener las siguiente características:
Dos mensajes diferentes no deben presentar Huellas Digitales idénticas
Apartir de la Huella Digital no deberá ser posible generar el mensaje completo
La longitud de la Huella Digital será del mismo tamaño sin importar el tamaño del documento o mensaje, según el algoritmo que se utilice.
Huella DigitalInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoDos de las funciones mas conocidas que realizan la tarea de obtener la
huella digital de un documento son SHA-1 y MD5, en algunos textos también se les conoce como funciones HASH.
Huella DigitalInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Al proceso de obtener la huella digital de un documento para después cifrarla con nuestra llave privada se le conoce como Firma Digital.
Raúl
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKLa Firma Digital
Llave privada de RaúlMD5
Documento Firmado
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoLa firma digital nos permite siguiente:
Al utilizar la llave privada para cifrar la huella digital nos indica que solo la persona dueña de tal llave lo pudo hacer.
Debido a que en las llaves asimétricas una llave se utiliza para cifrar y otra para descifrar, entonces para descifrar la huella digital solamente será posible si se utiliza la llave pública que corresponde a la llave con la que se cifró.
Debido a que la huella digital es única para cada documento, la firma digital nos permite validar la autenticidad del mismo.
Es importante recordar que la Firma Digital al igual que la Firma Autógrafa no cifra el documento por lo que el contenido está expuesto a ser visto por otras personas no autorizadas, para resolver esto simplemente basta cifrar el documento firmado con la llave pública del destinatario.
La Firma DigitalInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Para validar la firma digital se necesita la llave pública del firmante, para comparar la huella digital que se obtiene del mensaje que se recibe, contra la huella digital que viene firmada por el emisor, ambas deben ser iguales para confirmar que el documento ha sido firmado por titular de la llave pública y además el documento no ha sido alterado desde que se firmó.
Vicky
Llave pública de Raúl
Firma Digital
La Firma DigitalInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
MD5
Documento Firmado
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoSabemos que las llaves asimétricas generadas con el algoritmos RSA nos permiten
Firmar y Cifrar un mensaje o documento y para identificar las llaves públicas de cada persona tendríamos que tener un sistema personalizado que nos permita organizar a quien pertenece cada llave pública para utilizarla de manera adecuada, tener algo así como una agenda telefónica con los nombres y sus llaves.
El hecho que cada quien guarde la relación de nombres y llaves no garantiza que alguien suplante la personalidad de otro usuario y nos haga creer que la llave pública que manejemos sea de una persona de confianza.
Es aquí donde podríamos pensar en una método que permita acreditar la identidad de una persona y su llave pública.
Las llaves asimétricas DSA se utilizan solo para firmar, no para cifrar.
Como identificar al firmanteInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Segunda ParteInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoHemos visto que la firma digital depende de las llaves RSA y por lo tanto, este es el
primer proceso que un usuario debe realizar para comenzar toda una tarea que acredite su firma digital como válida
Una vez que el usuario obtiene su par de llaves RSA (la pública y la privada), el siguiente paso es anexar su identificación a su recién creada llave pública para que de esta forma otra persona sepa a quién pertenece dicha llave. Al resultado de este proceso se le conoce como Requerimiento Digital. La Llave Privada se conserva en secreto y esta nunca deberá ser mostrada a nadie.
+
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKRequerimiento Digital
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México¿Por qué el nombre de Requerimiento?
Porque al igual como se hace para obtener un pasaporte o una licencia para conducir, es necesario llenar un formato con los datos que nos identifican para después entregarlo en la oficina correspondiente para solicitar el pasaporte o licencia de conducir deseados.
Esta oficina se encargará de validar que la información contenida en nuestro requerimiento sea verdadera y una vez realizada dicha verificación, nos emitiráel documento que requerimos.
En el caso de los Requerimientos Digitales estos deberán entregarse a una entidad conocida como Agencia Certificadora.
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Requerimiento DigitalInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
El Pasaporte o Licencia que obtenemos de ese proceso contienen información que identifica de quién lo emitió. Lo cual nos permite identificar la dependencia que lo generó y determinar si ésta es de confianza o no, además de agregar su identificación una institución de confianza debe poner mecanismos de seguridad que permitan evitar falsificaciones de las identificaciones que emite.
Toda esta información y los mecanismos de seguridad, tanto de la identificación como del acceso la institución, corren por cuenta de la Agencia Certificadora. Por lo que una Agencia que cumple con las medidas más altas de seguridad informática para el resguardo de información se gana el grado de confiable y cualquier certificado que emita será confiable
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKEntidad de Confianza
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoEl resultado de entregar nuestro requerimiento digital a una Agencia Certificadora,
la Validación de información la emisión de la identificación requerida con sus respectivos esquemas de seguridad para evitar falsificaciones, detectar modificaciones e identificar a la institución que lo emite se le llama Certificado Digital X.509
Entonces un certificado Digital es la representación electrónica de una identificación como por ejemplo un pasaporte, una licencia de conducir o una credencial de la empresa donde se labora. El Certificado Digital es un mensaje o documento Firmado por la Agencia Certificadora que relaciona una llave pública con su titular
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Versión
Número de serie del Certificado
Identificador del Algoritmo de firma del emisor
Período de Validéz
Nombre del Emisor
Certificado Digital X.509
Nombre del titular
Llave Pública del Titular
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Nombre del Emisor
Número de Serie
Titular
Período de Validez
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Firma del Emisor
Tarjeta Bancaria
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Versiónversión:
Número entero que representa la versión del certificado, puede ser alguno de los siguientes valores:
0 – Version1 (v1)
1 - Version2 (v2)
2 – Version3 (v3)
Nota:
El esquema representa un certificado v3
Numero de serie del Certificado
Identificador del Algoritmo de firma del emisor
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Versión
Numero de serie del CertificadoserialNumber:
Número entero único en cada certificado emitido por la misma CA. Este número debe ser:
Entero
Positivo
Con una longitud máxima de 20 bytes.
Identificador del Algoritmo de firma del emisor
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Versión
Numero de serie del Certificadosignature:
Este campo contiene el identificador del algoritmo criptográfico utilizado por la CA para firmar el certificado, tal como DSA con SHA-1(sha1DSA) o RSA con MD5(md5RSA), por ejemplo. La lista de algoritmos soportados se puede encontrar en el RFC 3279. (Se pueden soportar otros algoritmos)
Identificador del Algoritmo de firma del emisor
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - Méxicoissuer:
Identifica la entidad que firmo y emitió el certificado, contiene toda la información relevante del emisor como nombre, país, organización, etc.
Este campo debe contener un nombre distinguido (y no debe estar vacío) compuesto por los atributos del X.500 (OID 2.5.4.x – tipos de atributo X.500 RFC2256)
El contenido debe ser codificado en PrintableString (aunque el RFC3280 permite otros) para conservar compatibilidad con algunas aplicaciones. También se permite agregar el campo de email (con una codificación IA5String) el cual no está definido en el X.500.
Versión
Numero de serie del Certificado
Identificador del Algoritmo de firma del emisor
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - Méxicovalidity:
Intérvalo de tiempo durante el cual la CA garantiza que mantendráinformación acerca del status del certificado.
Este campo es representado por dos fechas un en la que el período de validez comienza (noBefore) y otra en la cual el período del certificado finaliza (noAfter).
Para fechas de validez hasta el año 2049 se codificarán en UTCTime (2 dígitos para el año - YYMMDDHHMMSSZ) y para fechas desde 2050 y posteriores deberán ser codificadas en GeneralizedTime (4 dígitos para el año - YYYYMMDDHHMMSSZ)
Versión
Numero de serie del Certificado
Identificador del Algoritmo de firma del emisor
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - Méxicosubject:
Identifica la entidad asociada con la llave pública almacenada en el campo de la llave pública del titular, contiene toda información relevante del titular como nombre, país, organización, etc.
Este campo debe contener un nombre distinguido (no se recomienda que este vacío) compuesto por los atributos del X.500 (OID 2.5.4.x – tipos de atributo X.500 RFC2256)
El contenido debe ser codificado en PrintableString (aunque el RFC3280 permite otros) para conservar compatibilidad con algunas aplicaciones. También se permite agregar el campo de email (con una codificación IA5String) el cual no está definido en el X.500.
Versión
Numero de serie del Certificado
Identificador del Algoritmo de firma del emisor
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
subjectPublicKeyInfo:
Este campo contiene la llave pública y el algoritmo con el que debe ser usada esta llave (RSA, DSA, o Diffie-Hellman)
Los OIDs de los identificadores soportados se encuentran en el RFC 3279.
La llave pública es representada como una cadena de BITS.
Versión
Numero de serie del Certificado
Identificador del Algoritmo de firma del emisor
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
issuerUniqueIdentifier:
Este campo sólo se utiliza en los certificados versión 2 y 3.
Este campo maneja la posibilidad de reutilizar el nombre del emisor en el tiempo.
No se recomienda utilizar este campo.
Versión
Numero de serie del Certificado
Identificador del Algoritmo de firma del emisor
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
subjectUniqueIdentifier:
Este campo sólo se utiliza en los certificados versión 2 y 3.
Este campo maneja la posibilidad de reutilizar el nombre del emisor en el tiempo.
No se recomienda utilizar este campo.
Versión
Numero de serie del Certificado
Identificador del Algoritmo de firma del emisor
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
extensions:
Este campo sólo debe aparecer en los certificados versión 3.
Está compuesto por una o más extensiones de certificado.
Estas extensiones proporcionan métodos para asociar atributos con usuarios y llaves públicas, también para manejar una jerarquía de certificación.
Un certificado no deberácontener más de una instancia de una extensión particular
Versión
Numero de serie del Certificado
Identificador del Algoritmo de firma del emisor
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Nombre del Emisor
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
extensions (cont):
Cada extensión puede ser crítica o no-crítica.
Un sistema que utilice certificados deberá rechazar estos si una extensión crítica no es reconocida.
Las extensiones no-críticas pueden ser ignoradas
Las extensiones están conformadas por tres campos:
El identificador del objeto (extnId), la bandera de crítica (critical) y el valor (extnValue).
Versión
Numero de serie del Certificado
Identificador del Algoritmo de firma del emisor
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Periodo de Validez
Nombre del titular
Información de la llave pública del titular
Identificador único del emisor
Identificador único del titular
Extensiones
Nombre del Emisor
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - Méxicoextensions (cont):
Los OID que se utilizarán como extensiones están definidos en el RFC3280 y estos son miembros del árbol OID 2.5.29 (id-ce).
El valor critical es boleano(True/False)
Las extensiones que la CA deberá soportar son:
AutorityKeyIdentifier, SubjectKeyIdentifier, BasicConstraints, KeyUsage, certificatePolicies.
En caso que la CA permita la emisión de certificados con el campo subject vacío ésta deberá soportar la extensión subjectAltName
extensions
extnId critical extnValue
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicokeyUsage:
Esta extensión define el propósito (cifrado, firma, firma de certificados,...) de la llave contenida en el certificado.
Esta extensión se compone de 9 bits los cuales se pueden combinar para obtener el propósito deseado, no hay restricción para la combinación de estos bits pero se recomienda seguir las indicaciones del RFC 3279 (sec 2.3 – PKIXALGS) para el uso adecuado de los bits.
Esta extensión podría ser marcada como crítica aunque en la práctica está es marcada como no-crítica.
extensions
id-ce 15 no-ctcl bitstring
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
keyUsage (cont):
Los bits del uso de la llave son:
0 - digitalSignature
1 - nonRepudiation
2 - keyEncipherment
3 - dataEncipherment
4 - keyAgreement
5 - keyCertSign
6 - cRLSign
7 - encipherOnly
8 - decipherOnly
extensions
id-ce 15 no-ctcl bitstring
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
basicConstraints:
Esta extensión identifica si el titular del certificado es una CA. Esta extensión se compone de dos elementos un boleano, que indica si el titular es cA (true) y un número entero (opcional) el cual sólo tiene importancia cuando cA es true y el bitkeyCertSign esté presente la extensión keyUsage, en este caso el valor da el número máximo de certificados intermediarios (no-autocertificados) que se debe seguir este certificado para completar la cadena de validación.
Esta extensión deberá ser crítica para los certificados de la CAs que contienen llaves públicas utilizadas para validar firmas digitales en los certificados, en otros casos podrá se crítica o no-crítica.
extensions
id-ce 19 crtical seq size of OID
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoextKeyUsage:
Esta extensión indica uno o más propósitos para los cuales la llave pública del certificado podría ser utilizada.
Esta extensión solo apareceráen los certificados para las entidades finales.
Los propósitos de las llaves están definidas en el árbol id-kp(1.3.6.1.5.5.7.3), aunque una organización puede definir sus propósitos particulares conforme a los requerimientos de IANA y la ITU X.660, los propósitos definidos por el estándar son suficientes para la mayoríade las aplicaciones.
extensions
id-ce 37 no-ctcl seq size of OID
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoextKeyUsage (cont):
Si esta extensión está presente entonces el certificado sólo deberá ser utilizado para alguno de los propósitos que se indicaron. Si en esta extensión se definen más de un propósito la aplicación que utilice este certificado no necesitará reconocer todos los propósitos indicados, solo bastará con encontrar el propósito deseado para aceptar o rechazar el certificado para la acción requerida.
extensions
id-ce 37 no-ctcl seq size of OID
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoextKeyUsage (cont):
Los propósitos definidos en el RFC3280 son:
id-kp 1 - id_kp_serverAuth
id-kp 2 - id_kp_clientAuth
id-kp 3 - id_kp_codeSigning
id-kp 4 - id_kp_emailProtection
id-kp 8 - id_kp_timeStamping
id-kp 9 – OCSPSigning
Aunque tambien en el arbol id-kpestan:
id-kp 5 - id-kp-ipsecEndSystem
id-kp 6 - id-kp-ipsecTunnel
id-kp 7 - id-kp-ipsecUser
extensions
id-ce 37 no-ctcl seq size of OID
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Certificate:
Data:
Versión: 3 (0x2)
Serial Number:
30:30:30:30:30:38:30:30:30:30:30:38:30:30:30:30:30:30:31:37
Signature Algorithm: sha1WithRSAEncryption
Issuer: x500UniqueIdentifier=CEC961028A98, L=Cuauhtemoc, ST=Distrito Fed
eral, C=MX/2.5.4.17=06828/2.5.4.9=Fernando de Alba Ixtlixochitl 210, CN=Agencia
Certificadora Cecoban / Gerardo Monter de la Vega, OU=Agencia Certificadora Ceco
ban, O=Cecoban, S.A. de C:V./[email protected]
Validity
Not Before: Apr 2 00:00:00 2004 GMT
Not After : Apr 2 00:00:00 2006 GMT
Subject: x500UniqueIdentifier=VAXR-780127, L=Coacalco, ST=Estado de Mexi
co, C=MX/2.5.4.17=55710/2.5.4.9=Fracc Villa de las Flores,
CN=ROMEY VALADEZ/[email protected]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
Cadena de CertificaciónInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Tipo de certificado Extensiones ContenidoauthorityKeyIdentifier keyIdentifier:160-SHA1cRLDistributionPoints DistributionPointName (URI)extKeyUsage clientAuthkeyUsage digitalSignaturesubjectKeyIdentifier keyIdentifier:160-SHA1AuthorityInfoAccessnetscape-cert-type SSL clientauthorityKeyIdentifier keyIdentifier:160-SHA1cRLDistributionPoints DistributionPointName (URI)extKeyUsage EmailkeyUsage digitalSignaturesubjectAltName emailAddress=subjectKeyIdentifier keyIdentifier:160-SHA1AuthorityInfoAccessnetscape-cert-type S/MIMEauthorityKeyIdentifier keyIdentifier:160-SHA1cRLDistributionPoints DistributionPointName (URI)extKeyUsage EmailkeyUsage, signing certificate digitalSignature (required)keyUsage, encryption certificate keyEncipherment (required)subjectAltName emailAddress=subjectKeyIdentifier keyIdentifier:160-SHA1AuthorityInfoAccessauthorityKeyIdentifier keyIdentifier:160-SHA1cRLDistributionPoints DistributionPointName (URI)
extKeyUsageServer Auth (recommended), Microsoft SGC and Netscape SGC (required for step-up)
keyUsage digitalSignature, keyEnciphermentsubjectAltName subjectKeyIdentifier keyIdentifier:160-SHA1AuthorityInfoAccessnetscape-cert-type SSL Client, SSL Server
Certificado cliente SSL
Certificado cliente S/MIME (single key pair)
Certificado cliente S/MIME(dual key pair)
Certificado Servidor Web SSL
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Tipo de certificado Extensiones ContenidoauthorityKeyIdentifier keyIdentifier:160-SHA1cRLDistributionPoints DistributionPointName (URI)extKeyUsage Code Signing (required for Authenticode)keyUsage digitalSignaturesubjectAltNamesubjectKeyIdentifier keyIdentifier:160-SHA1AuthorityInfoAccess
netscape-cert-typeObject-signing (required for Object Signing Netscape/IPlanet)
authorityKeyIdentifier keyIdentifier:160-SHA1
cRLDistributionPoints DistributionPointName (URI)extKeyUsage OCSP SigningkeyUsage digitalSignaturesubjectKeyIdentifier keyIdentifier:160-SHA1OCSPNocheck
authorityKeyIdentifier keyIdentifier:160-SHA1cRLDistributionPoints DistributionPointName (URI)extKeyUsage Pendiente definirkeyUsage digitalSignature, keyEncipherment
subjectKeyIdentifier keyIdentifier:160-SHA1AuthorityInfoAccessauthorityKeyIdentifier keyIdentifier:160-SHA1cRLDistributionPoints DistributionPointName (URI)extKeyUsage clientAuth, emailProtectionkeyUsage digitalSignature
subjectKeyIdentifier keyIdentifier:160-SHA1AuthorityInfoAccess
Certificado personal autenticacion
Certificado de firma de objetos/
Authenticode certificate
Certificado IPSec/IKE host
Certificado para Status Responder (OCSP)
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Tipo de certificado Extensiones ContenidoauthorityKeyIdentifier keyIdentifier:160-SHA1cRLDistributionPoints DistributionPointName (URI)extKeyUsage emailProtectionkeyUsage keyEncipherment, dataEncipherment
subjectKeyIdentifier keyIdentifier:160-SHA1AuthorityInfoAccess
Certificado personal encripcion
Certificado Digital X.509Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Algunas especificaciones sobre estándares con criptografía RSA están definidas por los Estándares de Criptografía con Llaves públicas (PKCS) emitidos por los Laboratorios RSA en colaboración con desarrolladores de los sistemas de seguridad
PKCS#1 Criptografía RSA
PKCS#7 Sintaxis de Mensajes Criptográficos
PKCS#10 Sintaxis de Requerimiento de Certificados
PKCS#11 Interfase Criptográfica
PKCS#12 Sintaxis de Intercambio de Información Personal
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKEl certificado y la firma digital
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Recordemos:
El usuario generó su par de llaves RSA y mantiene la llave privada en secreto (incluso protegida con password).
La llave pública quedó integrada en el Certificado Digital que obtuvo de una Agencia Certificadora de Confianza.
Por lo tanto el usuario puede firmar con su llave privada un documento y otra persona utilizando la llave pública que está en el certificado del firmante puede validar la Firma digital
Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PKEl certificado y la firma digital
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México¿Quién nos garantiza que la persona que firma es quien dice ser?
La Agencia Certificadora es la entidad de confianza que nos indica que la Persona que posee el certificado paso por un proceso de validación de la información que proporcionó.
Entonces verificando que Agencia emitió el certificado podemos saber en qué grado confiar del mismo.
Al igual que en algunas instituciones, en un esquema de Agencias Certificadoras puede haber dependencias subordinadas y en tal caso tendremos que revisar el grado de confianza de cada una de las Agencias superiores hasta llegar a la entidad Máxima (Raíz) para determinar la confianza en el certificado emitido.
Verificando la Validez de la FirmaInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Parte 3 (PKI)Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
El proceso para validar que un certificado es confiable, es el mismo que se utiliza para verificar firmas. El certificado es el documento firmado por la Agencia que lo Emitió y si esta es una agencia subordinada entonces su certificado esta firmado por la agencia superior a ella que la certifico y así sucesivamente hasta la entidad de mas alto rango llamada Agencia Raíz.
El campo de Emisor dentro de los datos del certificado indica el nombre de la Agencia que Emitió el certificado. Por suerte toda esta validación de firmas y la cadena de certificación es un proceso automático realizado por una aplicación.
AC Raíz
AC S1 AC S2
AC S2A
La Cadena de CetificaciónInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoAgencia Raíz
Agencia Subordinada
Certificado Personal
Cadena de CertificaciónInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México¿Qué sucede si pierdo mi llave privada y ya no puedo firmar, o peor aún alguien
logró obtener mi llave privada y corro el riesgo que haga mal uso de ella?
Si algo así llega a suceder, ¿cómo podrá notificar rápidamente a todos las personas que mi firma ya no es confiable?
La cadena de certificación sólo valida si el certificado no ha sido alterado y fue emitido por una institución de confianza.
El período de validez garantiza el tiempo que ese certificado puede ser utilizado y por lo tanto si aún no vence el certificado es válido.
La solución:
Solicitar a la Agencia Certificadora una revocación (o anulación del certificado) y esta emitirá la Lista de Certificados Revocados o CRL.
RevocaciónInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
La CRL contiene la lista de los números de serie de los certificados que aún no han vencido pero que él por alguna razón se solicitó su anulación, también se incluye la fecha y hora de la revocación de los mismos. Entonces otro punto a verificar en un certificado digital, además de la cadena de certificación y período de validéz, es que éste no se encuentre en la lista de revocación, porque de estar en esta lista, cualquier operación realizada con el certificado no seráválida.
Esta lista de revocación es publicada por las Agencias Certificadoras de manera periódica y por un tiempo preestablecido. Esto es que la Agencia Fija el cada cuando actualizará las CRLs, por lo tanto cada CRL emitida también tiene un período de validéz y terminado éste, será necesario actualizarla.
Para garantizar que esta lista es confiable, también es firmada por la Agencia que la Emitió.
RevocaciónInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
¿Qué sucede si pierdo mi llave privada y ya no puedo firmar, o peor aún alguien logró obtener mi llave privada y corro el riesgo que haga mal uso de ella?
RevocaciónInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
La CRLs tienen el inconveniente de que se emiten cada predeterminado tiempo, esta característica limita la velocidad con la que se pública un certificado revocado. Si un certificado es revocado minutos después de haber sido emitida una CRL tendremos que esperar hasta que una nueva CRL sea emitida para estar enterados de la reciente revocación, este tiempo puede ser de hasta un día en el mejor de los casos.
Por eso como un elemento mas dentro de la PKI tenemos el método de validación de estado de certificados en línea llamado OCSP, con este protocolo se corrige el problema de la CRL y nos permite tener la confianza que cuando un certificado ha sido revocado podemos enterarnos casi al instante por medio de este protocolo.
OCSPInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
El funcionamiento del OCSP es el siguiente:
Un usuario pregunta sobre el estado de un certificados a un servicio de OCSP llamado OCSP Responder, este servicio revisa en sus bases de datos sobre el estado de dicho certificado y responderá con un mensaje firmado indicando el estado del certificado. Existen tres posibles respuestas del estado: Bien (good), Revocado (revoked) y Desconocido (unknown). También existen otros mensajes de excepción que son enviados cuando se presenta un error durante el proceso de solicitud.
La respuesta “Desconocido” sobre el estado de un certificado indica que el servicio OCSP responder no tiene información sobre el certificado que se está validando.
OCSPInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Dentro del PKI se ofrece otro elemento para depositar la confianza en los documentos que se firman y es la Autoridad de Constancias de Tiempo (TSA) cuya función es similar a la de un Notario para dar Fe que el documento existe a partir de determinado tiempo y no ha sido alterado desde entonces.
TSA
Autoridad de Constancias de Tiempo
Vicky Referencia exacta de tiempo
MD5 / SHA1
Llave privada TSA
Time-StampingInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
TimeStampToken 24-Mayo-2006 06:34:12.32
Registro de Constancias
Vicky
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
La función principal de la Agencia Certificadora es de emitir los certificados digitales firmados por su llave privada.
Una Agencia Registradora proporciona el servicio de validación de la información de los solicitantes, envía el requerimiento digital de las personas hacia la agencia certificadora para la emisión del certificado digital, además mantiene actualizado el registro de los suscriptores a este servicio. La Agencia Registradora permite poner oficinas regionales para prestar el servicio de emisión de certificados en un área más extensa.
Agencia RegistradoraInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoLos elementos que componen la PKI son:
Agencias Certificadoras
Agencias Registradoras
OCSP Responder
CRLs
Certificados Digitales
Autoridades Emisoras de Estampillas de Tiempo
Enlaces de Comunicación
Fuentes confiables de Tiempo (NTP)
Usuarios
Elementos PKIInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
La legislación del uso de la PKI nos permite tener garantías en las actividades donde se involucran operaciones con certificados digitales:
Comercio Electrónico
Transacciones Interbancarias
Trámites Gubernamentales
Pago de Impuestos
Las leyes sobre la Firma Digital se orientan a darle el mismo alcance que tiene la firma autógrafa y sobre todo dando herramientas para aclarar controversias de una forma clara y rápida gracias a los elementos que la PKI proporciona, de esta forma se puede asegurar el “No Repudio” de la firma.
LegislaciónInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
En México principalmente existen dos instituciones que reconocen y dan sustento legal a la PKI:
Secretaría de Economía
Banco de México
La característica principal de estas dos instituciones es que permiten a un tercero promocionar el servicio de Agencia Certificadora siempre y cuando el prestador del servicio cumpla con los requisitos.
Uno de estos prestadores de Servicio que cumple con los requerimientos para emitir certificados bajo el esquema legal del Banco de México es Cecoban S.A. De C.V.
AC MéxicoInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoCecoban es la primera institución en México que se encuentra operando un servicio de
Agencia Certificadora con los sustentos legales que la Firma Digital necesita para realizar transacciones Bancarias.
El nombre que se le da a la Infraestructura de llaves en el esquema de Banco de México es IES (Infraestructura Extendida de Seguridad) y debido a que se busca garantizar que todas las operaciones realizadas con certificados digitales sean confiables IES implementa su propio protocolo para la validación de los certificados en línea aunque también permite el uso del Protocolo OCSP para éste propósito y por cuestiones de compatibilidad, la CRL no es soportada en IES aunque se publican CRLs solo por cuestiones informativas y no legales.
Toda actividad de validación de certificados con el protocolo IES es registrada para fines de aclaraciones legales.
Un servicio de AC y ARInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoCecoban es una Agencia Subordinada del Banco de México la cual es la entidad
Raíz.
En el esquema IES se la AR tiene otras funciones, las cuales son el registro y publicación del estado de los certificados, es a las AR que los clientes IES se conectan para validar si un certificado ha sido revocado.
Cecoban también proporciona el servicio de AR al igual que el Banco de México, una ventaja que representa este esquema de AR en IES es que cualquier AR que esté operando bajo el esquema IES puede proporcionar información de cualquier certificado emitido por otra Agencia Certificadora IES.
Un servicio de AC y ARInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoCecoban cumple con estrictos requerimientos de seguridad y disponibilidad lo
cual lo ponen como una institución confiable. Debido a su capacidad tecnológica Cecoban puede prestar los servicios:
Agencia Certificadora
Agencia Registradora
Servicio de Constancias de Tiempo (TSA, en México definida por la NOM)
Servicio de Respuestas OCSP
Servicios IESInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoEn IES en el lugar de las entidades que registran y validan la información de los
solicitantes son llamados Agentes Certificadores, una vez que la información del solicitante (el cual debe presentarse ante el agente) el Agente Certificador puede emitir el certificado digital firmado por la Agencia Certificadora Cecobany el mismo certificado es registrado en la IES por medio de la AR.
Otra medida más para garantizar la seguridad de las firmas digitales es que en la IES se valida que la llave pública de un solicitante no exista en la IES (función que realiza la AR) ya que de existir dos llaves públicas iguales podemos suponer que también las llaves privadas son iguales, de presentarse este caso, se revocará el certificado existente como una medida de seguridad ante la posibilidad de que la llave privada está expuesta.
Un servicio de AC y ARInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Certificado IESInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoOtros usos para los certificados Digitales:
Correo Electrónico Seguro (firma y cifrado)
Servicio de paginas Web Seguras (HTTPS)
Enlaces Privados Virtuales (VPNs)
Firmado de Código.
Métodos de autenticación para otras aplicaciones
Aplicaciones con PKIInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Cuando se trata de cifrado de datos en línea como el acceso a una página en Internet, el cifrado con llaves RSA resulta complicado debido a que requiere de bastante procesamiento y esto repercute en el desempeño para atender las solicitudes de varios usuarios al mismo tiempo.
La Solución SSL, la cual plantea utilizar el cifrado con RSA para cifrar una llaves simétrica la cual se intercambia entre los dos participantes de la comunicación y después utilizar esta para cifrar el resto de la información con un algoritmo simétrico el cual es más rápido que un asimétrico.
HTTPSInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
HTTPSInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
HTTPSInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Algoritmo de llave simétrica
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Los elementos clave que debe cubrir un prestador de servicios para PKI son:
Alta Disponibilidad del Servicio
Seguridad Lógica
Seguridad Física
Respaldo Legal
Procedimientos de la prestación del servicio bien Definidos.
Disponibilidad de la PKI Infraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
OCSP Responder
AC
TSA
Internet
30-Mayo-2006 07:40:10.50
Vicky Raúl
Contratos sin PapelInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
OpenSSLInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Para hacer una agencia de pruebas con OpenSSL se puede hacer lo siguiente:
Primer Paso, generar el par de llaves asimétricas RSA con una longitud de 2048 bits para la agencia, se solicitar la protección de la llave un password (llave simétrica) utilizando el algoritmo 3DES:
openssl genrsa –des3 –out CA.key 2048
Segundo Paso generar el certificado autofirmado (para el caso de una Agencia Raíz) , proporcionar la información que se solicitará al ejecutar:
openssl req –new –key CA.key –x509 –days 1095 –out CA.crt
Hemos creado nuestra nueva agencia, se recomienda guardar en un directorio seguro el archivo CA.key ya que éste contiene la llave privada.
Opcionalmente obtener la huella digital del certificado de la AC para proporcionarla a los usuarios que lo requieran:
openssl x509 –fingerprint –noout –in CA.crt
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - MéxicoPara hacer un requerimiento digital:
Generar el par de llaves RSA, protegiéndolas con 3DES y de una longitud de 1024:
openssl genrsa –des3 –out usuario.key 1024
Crear el requerimiento de certificado digital, proporcionar los datos que se solicitan al ejecutar el siguiente comando:
openssl req –new –key usuario.key –out usuario.csr
Y entregarlo a la agencia certificadora para emitir el certificado
OpenSSLInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Generando el certificado del usuario:
Utilizando las llaves y el certificado de la AC que creamos podremos emitir un certificado para el usuario con una vigencia de 365 días, el siguiente comando nos solicitará la llave simétrica que se utilizó para proteger el archivo CA.key:
openssl x509 -req –new –days 365 –in usuario.csr –CA CA.crt –CAkeyCA.key –CAcreateserial –out usuario.crt
Entregar al usuario el archivo crt
OpenSSLInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instalando el nuevo certificado en la PC del usuario (MS Windows):
Convertir el certificado y la llave privada en un archivo pkcs12:
openssl pkcs12 –export –in usuario.crt –inkey usuario.key –name “Nombre del usuario” –out usuario.p12 –certfile CA.crt
Una vez creado el archivo PKCS12 dar doble click sobre el mismo para su instalación.
OpenSSLInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Para buscar más información:
www.google.com
www.wikipedia.org
Buscar en google sobre la ASN1
www.rsa.com
ITU X.500 Standard
ITU X.509 Standard
http://www.ietf.org/rfc/rfc3280.txt
http://www.ietf.org/rfc/rfc2560.txt
http://www.ietf.org/rfc/rfc3161.txt
www.banxico.org.mx
www.cecoban.org.mx
OpenSSLInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Instituto Politécnico Nacional - MéxicoInstituto Politécnico Nacional - México
Gracias por su participación
FINInfraestructura de Llaves Públicas (PKInfraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006
Infraestructura de Llaves Públicas (PKI) y la Firma Digital – Mayo 2006 Infraestructura de Llaves Públicas (PK