Download Si no tienes tu certificado digital en tu tarjeta chip es

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
Document related concepts
no text concepts found
Transcript 
Si no tienes tu certificado digital en tu tarjeta chip
Página www
es porque no quieres
Portada
(Módulos PKCS#11)
Imprimir
Rafael Calzada Pradas
JJ
II
J
I
Página 1 de 15
Regresar
Full Screen
Cerrar
Abandonar
Página www
Objetivo
Portada
Desmitificar los módulos PKCS#11
Imprimir
Fomentar la utilización de tarjertas-chip para almacenar certificados.
Índice
Arquitectura PKI
Módulo PKCS#11
• UC3M
• UM
Futuros desarrollos
• Adaptación a otros entornos
• Otras aplicaciones
JJ
II
J
I
UC3M-PKCS por dentro
Página 2 de 15
¿Cómo construir
PKCS#11?
un
módulo
Regresar
Referencias
Full Screen
Cerrar
Abandonar
Página www
Portada
Imprimir
1. Arquitectura de PKI
JJ
II
J
I
Página 3 de 15
Regresar
Full Screen
Cerrar
Abandonar
Arquitectura de PKI
Servidor de
recuperación
de claves
Página www
Autoridad de
certificación
Servidor de
directorio
Portada
Imprimir
Firewall
Intranet
JJ
II
J
I
Internet
Servidor
WWW
Página 4 de 15
Regresar
Navegador
WWW
Cliente de
correo
seguro
Full Screen
Cerrar
Abandonar
Página www
Portada
Imprimir
2. Módulo PKCS#11
JJ
II
J
I
Página 5 de 15
Regresar
Full Screen
Cerrar
Abandonar
¿Qué es un módulo PKCS#11?
Librerı́a dinámica que cumple el
estándar RSA PKCS#11.
Página www
Portada
Interfaz común entre:
Imprimir
• Aplicaciones (Navegadores, etc)
• Tokens (Dispositivos que almace-
JJ
II
J
I
nan claves).
No es obligatorio implementar todas
las funcionalidades.
• Solo es necesario Cifrado y Crea-
Página 6 de 15
Regresar
ción de claves RSA.
Full Screen
La librerı́a puede implementar las
funcionalidades que no implemente
el Token.
Cerrar
Abandonar
Página www
Por qué desarrollar un módulo cuanto
Netscape ya tiene uno
Portada
Imprimir
Aumentar la seguridad:
• Hace falta poseer algo fı́sico (tarjeta) y algo lógico (el PIN).
• Dificultad para replicar tarjetas.
Aceptadas por los usuarios.
• No las prestan alegremente.
JJ
II
J
I
Página 7 de 15
Proporcionadas por las entidades financieras.
• Tienen un coste asequible.
Finalmente, no es tan difı́cil.
Regresar
Full Screen
Cerrar
Abandonar
El módulo UC3M-PKCS#11
Permite tener varios Slots.
tográficas.
Cada Slot tiene un Token.
Emplea PCSC para comunicación
con los lectores.
Cada Token tiene un Dispositivo asociado.
Utiliza OpenSSL para op. crip-
Página www
Por ahora solo disponible para Netscape/Windows.
Portada
Imprimir
JJ
II
J
I
Página 8 de 15
Regresar
Full Screen
Cerrar
Abandonar
El módulo UC3M-PKCS#11
Solo es necesario retocar DispostivoPCSC.
DispostivoFichero,
pruebas.
para
realizar
Página www
Portada
Imprimir
JJ
II
J
I
Página 9 de 15
Regresar
Full Screen
Cerrar
Abandonar
Página www
Portada
Futuros desarrollos
Sistemas operativos
Imprimir
JJ
II
J
I
• Linux
Entorno Microsoft
• Cryptographic Service Provider (CSP)
• Utilizado por Internet Explorer, Outlook, etc
Página 10 de 15
Regresar
Full Screen
Cerrar
Abandonar
Página www
Portada
Aplicaciones de acompañamiento
Cambio de PIN.
Imprimir
JJ
II
J
I
Copia de Seguridad de la clave asociada al Certificado.
Acceso a Claves/Certificados no válidos.
Otras aplicaciones:
Página 11 de 15
• Cifrado de ficheros.
Regresar
Full Screen
Cerrar
Abandonar
Página www
Portada
Imprimir
3. ¿Cómo crear un módulo
PKCS#11?
JJ
II
J
I
Página 12 de 15
Regresar
Full Screen
Cerrar
Abandonar
¿Qué necesito para empezar?
Página www
Un ordenador para dedicación exclusiva de la CA.
Portada
Programa de gestión de la CA y RA.
• OpenCA (gratis).
• Sun ONE Certificate Server (Comercial)
Imprimir
JJ
II
J
I
Entorno de desarrollo:
• Windows: Visual C++
• Linux: gcc
• JDK.
Página 13 de 15
Módulo PKCS#11
Regresar
• UC3M-PKCS11 (disponible en breve).
• UMPKCS11 (ya disponible)
• gpkcs11 (¿Abandonado?)
Full Screen
Cerrar
Abandonar
Página www
Ya tengo el software. . . y ahora
Portada
Familiarizarse con el Módulo.
Imprimir
• Pruebas con DispositivoFichero.
Pedir información a la entidad financiera:
• Reservar espacio en la tarjeta (3 o 4 KB).
• Operaciones de lectura/escritura en la tarjeta.
• Validación del titular de la tarjeta (PIN).
• Cambio de PIN.
JJ
II
J
I
Página 14 de 15
Regresar
Afiliarse al proyecto IRIS-PCA.
Full Screen
Cerrar
Abandonar
Página www
Portada
Referencias
Estándar PKCS#11, http://www.rsasecurity.com/rsalabs/pkcs/pkcs-11
Imprimir
JJ
II
J
I
Proyecto SCTI-UC3M, http://nuberu.uc3m.es/˜rafa/proyecto.html
UMPKCS11, http://sourceforge.net/projects/umpkcs11
OpenCA, http://www.openca.org
Página 15 de 15
PC/SC, http://www.pcscworkgroup.com/
Regresar
Full Screen
Cerrar
Abandonar
Related documents
Introducción a Python - Universidad | Deusto
Introducción a Python - Universidad | Deusto
Desarrollo de dispositivos e-Health de bajo coste para Raspberry Pi
Desarrollo de dispositivos e-Health de bajo coste para Raspberry Pi
Versión PDF - DCC - Universidad de Chile
Versión PDF - DCC - Universidad de Chile
introducci´on al sistema operativo unix
introducci´on al sistema operativo unix
Hoja 1 - Grupo de Inteligencia Artificial
Hoja 1 - Grupo de Inteligencia Artificial
Onoma: un conjugador de verbos y neologismos
Onoma: un conjugador de verbos y neologismos
Desarrollo de Aplicaciones Web con JAVA: J2EE y Struts
Desarrollo de Aplicaciones Web con JAVA: J2EE y Struts
Laboratorios Virtuales Y Remotos Para La Experimentaciï
Laboratorios Virtuales Y Remotos Para La Experimentaciï
Taller de RIA
Taller de RIA