Seguridad Distribuida - PowerPoint PPT Presentation

1 / 26
About This Presentation
Title:

Seguridad Distribuida

Description:

Un PKI consiste de por lo menos: ... esta conformado por: Servidor de Autenticaci n ... Editar el inetd.conf para cambiar los demonios por los de kerberos. ... – PowerPoint PPT presentation

Number of Views:118
Avg rating:3.0/5.0
Slides: 27
Provided by: MiguelA51
Category:

less

Transcript and Presenter's Notes

Title: Seguridad Distribuida


1
Seguridad Distribuida
  • Kerberos Vs PKI

Ruben Recabarren Miguel Alcalde
2
Introducción
  • Criptografía Simétrica y Asimétrica.
  • - Ventajas, Desventajas, Uso.

Clave
Clave
Texto
Cifrado
Texto
Encripción
Desencripción
3
  • Firmas Digitales.
  • Consiste en utilizar la clave privada para
    encriptar el documento.
  • Todos los que confian en la autenticidad de la
    clave publica pueden verificar esta firma
    digital.
  • En la práctica se firma un hash del texto en
    vez de firmar el documento completo.

4
  • Certificados Digitales

Version
Número serial del Certificado
Id. del algoritmo de firma
Certificador
Periodo de Validez
Sujeto certificado
Información PK del sujeto.
Otra información opcional
Firma digital de la autoridad certificadora
5
  • Otro tipo de credenciales Tickets y
    Autenticadores.
  • Usualmente tienen un tiempo de validez corto.
  • Utilizados como transporte de información
    encriptada
  • Claves de sesión.
  • Identidad del portador legítimo del ticket.
  • Identidad del servidor que acepta el ticket.
  • Timestamp.
  • Ej T c,s s, c, a, v, K c, sK s

6
Public Key Infrastructure (PKI)
  • RFC 2828 Es un sistema de Autoridades de
    certificación que realiza algun conjunto de
  • Manejo de certificados.
  • Manejo de almacenamientos historicos.
  • Manejo de claves.
  • Manejo de tokens.
  • para una comunidad de usuarios en una aplicación
    de criptografía asimétrica.

7
  • Un PKI consiste de por lo menos
  • Una Autoridad de Certificación (CA) encargada de
    la emisión de certificados.
  • Una Autoridad de Registro (RA) encargada de
    evaluar las peticiones de emisión de
    certificados.
  • Un servicio de directorios encargado de la
    distribución de certificados y de listas de
    revocación.

8
Modelo de utilización de un PKI
9
Kerberos
  • Su proposito es permitir la autenticación de
    clientes y servidores en ambos sentidos.
  • El sistema esta conformado por
  • Servidor de Autenticación (AS).
  • Servidor otorgador de tickets (TGS).
  • Servidores Kerberizados.
  • Clientes Kerberizados.

10
Modelo de utilización de un Sistema Kerberos
11
Mensajes de Kerberos V5
  • c cliente
  • s servidor
  • a dirección de red
  • v validez (inicio y fin)
  • t timestamp
  • Kx Clave secreta de x
  • Kx,y Clave de sesion
  • mKx m encriptado con la clave secreta de x
  • Tx,y ticket de x para usar y
  • Ax,y Autenticador de x a y
  • Tc,s s, c,a,v,Kc,sKs
  • Ac,s c,t,keyKc,s
  • 1.c, tgs
  • 2.Kc,tgsKc,Tc,tgsKtgs
  • 3.Ac,sKc,tgs,Tc,tgsKtgs
  • 4.Kc,sKc,tgs,Tc,sKs
  • 5.Ac,sKc,s,Tc,sKs
  • 6. tKc,s

12
Creación de un PKI
  • SSleay / OpenSSL 0.9.5a.
  • Creación de un CA.
  • mkdir SSLDIR/certs mkdir SSLDIR/crl mkdir
    SSLDIR/newcerts mkdir SSLDIR/privateecho
    "01" gt SSLDIR/serialtouch SSLDIR/index.txt
  • Archivo de configuración

13
  • SSLeay example configuration file.
  • RANDFILE /var/ssl/.rnd

  • ca
  • default_ca CA_default The
    default ca section

  • CA_default
  • dir /var/ssl Where
    everything is kept
  • certs dir/certs Where the
    issued certs are kept
  • crl_dir dir/crl Where the
    issued crl are kept
  • database dir/index.txt database
    index file.
  • new_certs_dir dir/newcerts default
    place for new certs.
  • certificate dir/private/CAcert.pem
    The CA certificate
  • serial dir/serial The
    current serial number
  • crl dir/clr/crl.pem
    The current CRL
  • private_key dir/private/CAkey.pem
    The private key
  • RANDFILE dir/private/.rand private
    random number file

14
  • For the CA policy
  • policy_match
  • countryName match
  • stateOrProvinceName match
  • localityName match
  • organizationName match
  • organizationalUnitName match
  • commonName supplied
  • emailAddress optional
  • For the 'anything' policy
  • At this point in time, you must list all
    acceptable 'object'
  • types.
  • policy_anything
  • countryName optional
  • stateOrProvinceName optional
  • localityName optional
  • organizationName optional
  • organizationalUnitName optional
  • commonName supplied

15
  • stateOrProvinceName_default Some-State
  • localityName Locality Name
    (eg, city)
  • organizationName Organization
    Name (eg, company recommended)
  • organizationName_max 64
  • organizationalUnitName Organizational
    Unit Name (eg, section)
  • organizationalUnitName_max 64
  • commonName server name
    (eg. ssl.domain.tld required!!!)
  • commonName_max 64
  • emailAddress Email Address
  • emailAddress_max 40
  • req_attributes
  • challengePassword A challenge
    password
  • challengePassword_min 4
  • challengePassword_max 20
  • x509v3_extensions
  • under ASN.1, the 0 bit would be encoded as 80
  • nsCertType 0x40

16
Creación de un PKI (cont.)
  • Creación de un CA (cont.)
  • ssleay req -new -x509 -keyout SSLDIR/private/CA
    key.pem -out SSLDIR/private/CAcert.pem -config
    archivo-de-configuracion.cnf
  • CAkey.pem es la clave privada de la autoridad
    certificadora.
  • CAcert.pem es el certificado raiz.

17
Creación de un PKI (3)
  • Creación de un nuevo certificado
  • Creación de un CSR
  • ssleay req -new -keyout newkey.pem -out
    newreq.pem -days 360 -config ssleay.cnf
  • Certificación de un CSR
  • cat newreq.pem newkey.pem gt new.pem
  • ssleay ca -policy policy_anything -out
    newcert.pem -config ssleay.cnf -infiles new.pem

18
Instalación de Kerberos(cliente)
  • Windows 2000 y Mac OS X con menus y ventanas.
  • Para UNIX Descomprimir y compilar los archivos
    en el directorio /usr/krb/
  • Añadir al /etc/krb5.conf los servidores de
    autenticación

19
Instalación de Kerberos (servidor)
  • Windows 2000 y Mac OS X con menus y ventanas.
  • Para UNIX descomprimir y compilar los archivos
    en el directorio /usr/krb
  • Editar el inetd.conf para cambiar los demonios
    por los de kerberos.
  • Registrar los servicios en el SA.

20
Uso del cliente Kerberos
  • /usr/krb/bin/kinit gt Pide un ticket
  • /usr/krb/bin/klist gt Muestra los
    tickets validos
  • /usr/krb/bin/kdestroy gt Destruye los
    tickets validos (log-out)

21
Ventajas de Kerberos
  • Basado en standard IETF
  • Permite Transitive Trust
  • Provee autenticación mutua
  • Bajo costo de implantación
  • Reduce tiempos de Log-in

22
Desventajas de Kerberos
  • Complejo de administrar
  • Poco escalable
  • Permite Transitive Trust
  • Requiere Kerberizar aplicaciones
  • El KDC es un punto crítico
  • Implementación de Windows 2000
  • Vulnerable por los usuarios

23
Ventajas de PKI
  • Ofrece no-repudio
  • Mantenimiento mas sencillo
  • No requiere alta disponibilidad
  • Reduce tiempos de Log-in
  • Permite encriptar y firmar información

24
Desventajas de PKI
  • Los estándares están en desarrollo
  • Implementación costosa
  • La seguridad de la clave raíz es esencial
  • Es difícil relacionar un certificado con un
    usuario

25
Preguntas y Comentarios
26
Bibliografía
  • Schneier, Bruce. Applied Criptography. John Wiley
    Sons, 1996.
  • Hynes, Matt. An Analysis of Distributed Network
    Security Services Kerberos and Public Key
    Infrastructure (PKI). Guardent Inc.
  • Oppliger, Rolf. Kerberos vs. PKI slides.
    e-SECURITY Technologies. 2000
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Seguridad Distribuida" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!