Download Si no tienes tu certificado digital en tu tarjeta chip es
Document related concepts
no text concepts found
Transcript
Si no tienes tu certificado digital en tu tarjeta chip Página www es porque no quieres Portada (Módulos PKCS#11) Imprimir Rafael Calzada Pradas JJ II J I Página 1 de 15 Regresar Full Screen Cerrar Abandonar Página www Objetivo Portada Desmitificar los módulos PKCS#11 Imprimir Fomentar la utilización de tarjertas-chip para almacenar certificados. Índice Arquitectura PKI Módulo PKCS#11 • UC3M • UM Futuros desarrollos • Adaptación a otros entornos • Otras aplicaciones JJ II J I UC3M-PKCS por dentro Página 2 de 15 ¿Cómo construir PKCS#11? un módulo Regresar Referencias Full Screen Cerrar Abandonar Página www Portada Imprimir 1. Arquitectura de PKI JJ II J I Página 3 de 15 Regresar Full Screen Cerrar Abandonar Arquitectura de PKI Servidor de recuperación de claves Página www Autoridad de certificación Servidor de directorio Portada Imprimir Firewall Intranet JJ II J I Internet Servidor WWW Página 4 de 15 Regresar Navegador WWW Cliente de correo seguro Full Screen Cerrar Abandonar Página www Portada Imprimir 2. Módulo PKCS#11 JJ II J I Página 5 de 15 Regresar Full Screen Cerrar Abandonar ¿Qué es un módulo PKCS#11? Librerı́a dinámica que cumple el estándar RSA PKCS#11. Página www Portada Interfaz común entre: Imprimir • Aplicaciones (Navegadores, etc) • Tokens (Dispositivos que almace- JJ II J I nan claves). No es obligatorio implementar todas las funcionalidades. • Solo es necesario Cifrado y Crea- Página 6 de 15 Regresar ción de claves RSA. Full Screen La librerı́a puede implementar las funcionalidades que no implemente el Token. Cerrar Abandonar Página www Por qué desarrollar un módulo cuanto Netscape ya tiene uno Portada Imprimir Aumentar la seguridad: • Hace falta poseer algo fı́sico (tarjeta) y algo lógico (el PIN). • Dificultad para replicar tarjetas. Aceptadas por los usuarios. • No las prestan alegremente. JJ II J I Página 7 de 15 Proporcionadas por las entidades financieras. • Tienen un coste asequible. Finalmente, no es tan difı́cil. Regresar Full Screen Cerrar Abandonar El módulo UC3M-PKCS#11 Permite tener varios Slots. tográficas. Cada Slot tiene un Token. Emplea PCSC para comunicación con los lectores. Cada Token tiene un Dispositivo asociado. Utiliza OpenSSL para op. crip- Página www Por ahora solo disponible para Netscape/Windows. Portada Imprimir JJ II J I Página 8 de 15 Regresar Full Screen Cerrar Abandonar El módulo UC3M-PKCS#11 Solo es necesario retocar DispostivoPCSC. DispostivoFichero, pruebas. para realizar Página www Portada Imprimir JJ II J I Página 9 de 15 Regresar Full Screen Cerrar Abandonar Página www Portada Futuros desarrollos Sistemas operativos Imprimir JJ II J I • Linux Entorno Microsoft • Cryptographic Service Provider (CSP) • Utilizado por Internet Explorer, Outlook, etc Página 10 de 15 Regresar Full Screen Cerrar Abandonar Página www Portada Aplicaciones de acompañamiento Cambio de PIN. Imprimir JJ II J I Copia de Seguridad de la clave asociada al Certificado. Acceso a Claves/Certificados no válidos. Otras aplicaciones: Página 11 de 15 • Cifrado de ficheros. Regresar Full Screen Cerrar Abandonar Página www Portada Imprimir 3. ¿Cómo crear un módulo PKCS#11? JJ II J I Página 12 de 15 Regresar Full Screen Cerrar Abandonar ¿Qué necesito para empezar? Página www Un ordenador para dedicación exclusiva de la CA. Portada Programa de gestión de la CA y RA. • OpenCA (gratis). • Sun ONE Certificate Server (Comercial) Imprimir JJ II J I Entorno de desarrollo: • Windows: Visual C++ • Linux: gcc • JDK. Página 13 de 15 Módulo PKCS#11 Regresar • UC3M-PKCS11 (disponible en breve). • UMPKCS11 (ya disponible) • gpkcs11 (¿Abandonado?) Full Screen Cerrar Abandonar Página www Ya tengo el software. . . y ahora Portada Familiarizarse con el Módulo. Imprimir • Pruebas con DispositivoFichero. Pedir información a la entidad financiera: • Reservar espacio en la tarjeta (3 o 4 KB). • Operaciones de lectura/escritura en la tarjeta. • Validación del titular de la tarjeta (PIN). • Cambio de PIN. JJ II J I Página 14 de 15 Regresar Afiliarse al proyecto IRIS-PCA. Full Screen Cerrar Abandonar Página www Portada Referencias Estándar PKCS#11, http://www.rsasecurity.com/rsalabs/pkcs/pkcs-11 Imprimir JJ II J I Proyecto SCTI-UC3M, http://nuberu.uc3m.es/˜rafa/proyecto.html UMPKCS11, http://sourceforge.net/projects/umpkcs11 OpenCA, http://www.openca.org Página 15 de 15 PC/SC, http://www.pcscworkgroup.com/ Regresar Full Screen Cerrar Abandonar