LISANDRO ALVARADO
DECANATO DE CIENCIA Y TECNOLOGIA
COORDINACION DE POSTGRADO
Maestra en Ciencias de la Computacin
BARQUISIMETO, 2013
UNIVERSIDAD CENTROOCCIDENTAL
LISANDRO ALVARADO
DECANATO DE CIENCIA Y TECNOLOGIA
COORDINACION DE POSTGRADO
Maestra en Ciencias de la Computacin
Proyecto de grado presentado como requisito parcial para optar al grado de Magister
Scientiarum en Ciencias de la Computacin
AUTOR:
ING. YSBELIA SUREZ. F.
TUTOR:
PROF. MUJICA MANUEL.
BARQUISIMETO, 2013
AGRADECIMIENTO
A Dios.
A mi mejor amigo Carlos Ricardo, por apoyarme y escucharme. Lejos pero nunca
sola.
Y por ultimo pero no menos importante al Profesor Manuel Mujica, usted representa
en esta tesis el 75 %, sin su empeo, valor, energia y paciencia esto no seria posible,
gracias por estar en cada momento, en cada da, cada segundo. Excelente siempre.
INDICE GENERAL
pp.
AGRADECIMIENTO ...............................................................................................iii
LISTA DE CUADROS ..............................................................................................vii
LISTA DE FIGURAS ................................................................................................ix
LISTA DE GRAFICOS .............................................................................................xii
RESUMEN.................................................................................................................xiii
SOMMAIRE ..............................................................................................................xiv
INTRODUCCIN .....................................................................................................1
CAPITULO
I EL PROBLEMA
Planteamiento del Problema...............................................................................3
Objetivo de la Investigacin...............................................................................7
Objetivo General ...........................................................................................7
Objetivo Especificos .....................................................................................7
Justificacin e Importancia ................................................................................8
Alcances .............................................................................................................10
II MARCO TEORICO
Antecendentes de la Investigacin .....................................................................11
Bases Tericas ....................................................................................................14
Seguridad ......................................................................................................15
Seguridad Informtica ...................................................................................15
Calidad y Seguridad ......................................................................................17
Criptologa .........................................................................................................18
Criptosistemas Informtico ................................................................................18
Clasificacin por Tipo de Clave.........................................................................19
Criptografa Simtrica ...................................................................................19
Criptografia Asimetrica .................................................................................20
RSA .......................................................................................................23
DSA .......................................................................................................25
ECC .......................................................................................................26
Funciones Hash ..................................................................................................26
MD5 ..............................................................................................................27
SHA-1 ...........................................................................................................28
RIPEMD-160 ................................................................................................29
Firma Digital ......................................................................................................29
Infraestructura de Clave Pblica ........................................................................33
Politicas de Certificacin ..............................................................................34
Autoridad de Certificacin ............................................................................35
Certificados Digitales ............................................................................36
Tipos de Certificados ......................................................................37
pp.
Lista de Revocacin ..............................................................................38
Declaracin de Practicas de Certificacin.............................................39
Autoridad de Registro ...................................................................................40
Repositorio de Certificados ...........................................................................40
Jerarqua de Certificacin .............................................................................41
Estndares PKI ..............................................................................................43
X.509 .....................................................................................................43
SPKI ......................................................................................................43
OpenPGP ...............................................................................................44
PKIK .....................................................................................................44
S/MIME ................................................................................................44
IPSec .....................................................................................................45
TLS ........................................................................................................45
WAP ......................................................................................................45
XML ......................................................................................................46
X.500 .....................................................................................................46
LDAP ....................................................................................................46
OCSP .....................................................................................................47
Bases Legales .....................................................................................................47
Estndares Internacionales ............................................................................47
Leyes Nacionales ..........................................................................................48
Sistema de Variables ..........................................................................................48
III MARCO METODOLOGICO
Tipo de Investigacin .........................................................................................51
Diseo de Investigacin .....................................................................................52
Fase I: Diagnstico ........................................................................................52
Poblacin y Muestra ..............................................................................52
Tcnica e Instrumentos de Recoleccin de Datos .................................53
Validez del Instrumento ........................................................................54
Confiablidad del Instrumento ................................................................54
Tcnicas de Anlisis de los Datos .........................................................55
Fase II. Diseo del Modelo de Autoridad de Certificacin PKI ...................55
Fase III. Implantacin del diseo del Modelo de Autoridad de
Certificacin PKI ..........................................................................................55
pp.
Fase III: Implantacin ........................................................................................94
V.CONCLUSIONES Y RECOMENDACIONES
Conclusiones .................................................................................................... 117
Recomendaciones ............................................................................................. 119
BIBLIOGRAFA .................................................................................................... 120
ANEXOS ............................................................................................................. 124
A
Entrevista............................................................................................ 125
B
Cuestionario........................................................................................ 127
C
Validacin del Instrumento de Recoleccin de Datos ........................ 133
D
Confiabilidad del Instrumento ............................................................ 137
E
Configuracin de Interfaz CA y RA ................................................... 140
F
Configuracin del Certificado Operador CA y RA ............................ 159
G
Manual de Usuario .............................................................................. 172
LISTA DE CUADROS
CUADRO
pp.
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
CUADRO
pp.
27
28
29
viii
LISTA DE FIGURAS
FIGURAS
pp.
Esquema PKI.......................................................................................34
10
Prototipo CA .......................................................................................87
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
ix
FIGURAS
pp.
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
FIGURAS
pp.
53
54
55
56
57
58
59
60
61
62
63
64
65
66
xi
LISTA DE GRFICOS
GRFICO
pp.
10
11
12
13
14
15
16
17
18
19
20
21
xii
xiii
xiv
INTRODUCCION
CAPITULO I
EL PROBLEMA
Objetivo de la Investigacin
General
Especificos
- Diagnosticar la situacin actual en la que se encuentran las medidas de
seguridad para las comunicaciones en la Universidad Nacional Experimental
Politecnica Antonio Jose de Sucre sede Barquisimeto.
- Disear un Modelo de Autoridad de Certificacin PKI enfocada a la
Universidad Nacional Experimental Politecnica Antonio Jose de Sucre sede
Barquisimeto.
-
Justificacin e Importancia
Las redes informticas inicialmente se implementaron para cubrir mayormente
reas locales, con estas distribuciones pequeas los administradores satisfacan los
requerimientos de seguridad de la informacin con tener simplemente un software
antivirus y ciertas medidas fsicas de seguridad, estas herramientas ayudaban bastante
a proteger la informacin para que la misma no llegara a ser destruida o robada por
personas que perseguan dichos fines.
En los actuales momentos este modelo no sera efectivo ni prctico debido a
que las instituciones tienen ya por lo menos una puerta abierta hacia el Internet, ya
que utilizan dicho servicio o un sistema de mensajera electrnica que a su vez deber
intercambiar mensajes con el mundo externo a la institucin.
En este sentido, las universidades como instituciones de servicios deben
involucrarse con estndares de seguridad ms elevados que puedan garantizar la
proteccin y el salvaguardo de la informacin que es el activo primordial, adems de
asegurar al momento de una transmisin de datos que la identidad de cualquier
usuario en la red es la real.
Partiendo de esa base, PKI representa un modelo de seguridad, que al
momento de intercambiar datos o cualquier otro tipo de informacin, traslada la
seguridad existente del mundo fsico al mbito de las comunicaciones electrnicas
aportando a los sectores estratgicos una tecnologa y una plataforma organizativas
que responde a las exigencias de seguridad, especialmente en lo que respecta a la
firma electrnica y a la confidencialidad de las aplicaciones.
La Universidad Nacional Experimental Politecnica Antonio Jose de Sucre
como universidad pblica, se encuentra interesada en implantar una PKI para poder
asegurar sus comunicaciones por lo que ha surgido la necesidad de proponer un
Modelo de Autoridad de Certificacin PKI para dicha institucin.
Se espera ofrecer una solucin efectiva a los requerimientos de seguridad en
las comunicaciones de la universidad abarcando los aspectos de confidencialidad e
integridad de la informacin minimizando los riesgos. Tambin aporta una alternativa
Alcances
10
CAPITULO II
MARCO TERICO
Antecedente de la Investigacin
ofrece una PKI, acto que sugiere un antecedente y a la vez es una mencin de base
terica a la proposicin que se est investigando.
Adicionalmente, Pozo (2007), en su Trabajo Herramientas de Validacin de
Certificados en PKI con Tarjetas Inteligentes de la Universidad Carlos III de
Madrid, exhibe como objetivo general proveer un sistema de generacin de firma
digital y de validacin de firma utilizando una Infraestructura de Clave Pblica con
tarjetas inteligentes. Con esta investigacin se expone los puntos de sistema de
cifrado, firma digital, infraestructura de clave pblica y certificados digitales.
Conjuntamente, se presenta el valor de la PKI como una herramienta que permite la
iniciacin de operaciones bajo una serie de autoridades, que dan fe de la ocurrencia
de las operaciones y garantizan la validez de los certificados implicado en la misma.
Llegando a la conclusin, que haciendo uso de una PKI se puede conseguir un
sistema de firma que provea de identificacin no repudiable del firmante de un
archivo, otorgando as la seguridad que aporta la tecnologa PKI con el manejo de
claves y polticas de seguridad.
La correspondencia que muestra este trabajo con la propuesta que se presenta,
se relaciona como se aplica y desarrolla el uso de la infraestructura de clave pblica,
firma digital y certificados digitales, lo cual es un complemento que afianza la base
terica del trabajo que est investigando.
Lpez (2006), en su Trabajo Propuesta para la Infraestructura Clave Pblica
(ICP) para la Administracin Pblica Nacional (APN) y la Declaracin de Prcticas
de Certificacin (DFC) para la Autoridad de Certificacin Raz de Venezuela, tiene
como objetivo general de proyecto impulsar el uso de los certificados electrnicos y
la firma electrnica a travs de la infraestructura de clave pblica nacional cuyo
modelo de arquitectura es la jerrquica subordinada que parte de una nica raz,
administrada por SUSCERTE para la gestin y emisin de los certificados
electrnicos a los proveedores de servicios de certificacin del sector pblico y
privado. Dicho proyecto se bas en la metodologa de proyecto especial. A lo largo
de la investigacin se presentan los aspectos del diseo de una ICP, descripcin de
los componentes del diseo realizado, la situacin actual de los modelos ICP en otros
12
UML, hecho que presenta un antecedente y a la vez una referencia de base terica a la
propuesta que se est investigando.
Posteriormente, La Universidad de Los Andes (2009), creo un documento de
Declaracin de prcticas y poltica de certificacin, con la finalidad de dar a
conocer los lineamientos para el uso de los servicios de certificacin y registro digital
de la Universidad de los Andes (ULA). Este documento se estructur de acuerdo con
el RFC 3647, dicho documento declara la arquitectura general para la infraestructura
de la autoridad de registro que emite los certificados a los usuarios, servicios y
equipos de la ULA.
El documento elaborado posee adems las obligaciones, responsabilidades y
relaciones entre los actores de la Infraestructura de Clave Pblica, dicho documento
tiene relacin con la propuesta que se est presentando ya que se basa en los procesos
y procedimientos aplicados en la generacin, entrega y uso de los Certificados
Digitales.
Todos los trabajos citados anteriormente guardan relacin entre s, y servirn
de base para la investigacin que se lleva a cabo pues tocan los tpicos de
criptografa, cifrado de datos, prcticas de certificacin, firma digital, generacin de
clave, protocolos, elementos, servicios y dems concepto que corroboran y afianza las
bases para el desarrollo de dicha investigacin. La herramienta de PKI demuestra que
es un pilar en la seguridad de informacin y especialmente en la confidencialidad e
integridad que se requiere al momento de lograr la seguridad en los medios
electrnicos. Al mismo tiempo es un factor de gran relevancia para las organizaciones
e instituciones ya que proporcionar comunicaciones ms seguras entre usuarios,
acceso autorizado e integridad de la informacin.
Bases Tericas.
Para el desarrollo de esta investigacin se consider relevante trabajar en base
a algunos conceptos establecidos que intervienen en forma determinante en el tema
en estudio, tales como Seguridad Informtica, Calidad y Seguridad, Cristologa,
Funciones Hash, Firma Digital, Infraestructura de Clave Pblica y Problemas de PKI.
14
Seguridad
Las amenazas en el tiempo del hombre primitivo hicieron reaccionar a los
mismos con mtodos defensivos para evitar daos a su persona, as los conceptos de
alerta, evitar, detectar y alarmar ya era manejado por ellos.
Con todos estos conceptos, se alcanza el trmino de seguridad la cual est
definida como el conjunto de medidas tomadas para protegerse contra robos, ataques,
crmenes y espionajes o sabotajes. La seguridad implica la cualidad o estado de estar
seguro, es decir, la evitacin de exposiciones a situaciones de peligro y la actuacin
para quedar a cubierto frente a contingencias adversas.
La seguridad se ha desarrollado y ha seguido una evolucin dentro de las
organizaciones sociales. Desde el siglo XVIII, los descubrimientos cientficos y el
conocimiento resultante de la imprenta han contribuido a la cultura de la seguridad.
La seguridad desde el punto de vista tcnico de las organizaciones est en
manos de la direccin de cada departamento y, en ltima instancia, en cada uno de los
miembros de la organizacin y a su grado de concientizacin respecto a la
importancia de la informacin y el conocimiento.
Con el devenir de los aos la manipulacin de la informacin a hecho que se
incremente el uso de la tecnologa para su conduccin y proteccin, los principios de
probabilidad, prediccin y reduccin de fallas y prdidas han trado un nuevo campo
en el rea de seguridad que busca resguardar el cuidado de la informacin, la cual se
ha vuelto crucial para los hombres, las organizaciones y las sociedades.
Seguridad Informtica
Los conceptos de seguridad informtica son muy extensos y variados, uno de
ellos segn Tena y Gutirrez (2003) es:
15
intacta y protegida la informacin a travs del uso de mltiples barreras que aplaquen
las amenazas.
16
Calidad y Seguridad
17
Criptologa.
Segn Martorell (2008), La criptologa est formada por dos tcnicas
complementarias: criptoanlisis y criptografa.
La criptografa es la tcnica de convertir un texto inteligible, texto en claro
(plaintext), en otro, llamado criptograma (ciphertext), cuyo contenido de informacin
es igual al anterior pero slo lo pueden entender las personas autorizadas.
El criptoanlisis es la tcnica de descifrar un criptograma sin tener la
autorizacin.
Como tal, la criptologa como ciencia se ha difundido gracias al anhelo del ser
humano a esconder su informacin.
Criptosistemas Informtico.
Un criptosistema informtico segn Master (2004), se define por cuatro
elementos:
la figura 1, fluye de tal manera que relaciona a todos estos componentes desde un
ente transmisor a uno receptor.
18
general es aplicar diferentes funciones al mensaje que se quiere cifrar de tal modo que
solo conociendo una clave pueda aplicarse de forma inversa para poder as descifrar.
En este sentido, la criptografa simtrica logra la seguridad de la informacin
pero la distribucin de la clave, el almacenamiento y la proteccin que genera el
manejo de muchas claves son dificultades que trae dicha criptografa.
Criptografa Asimtrica.
La criptografa asimtrica segn la Enciclopedia Jurdica INTECO (2010), la
define de la siguiente forma:
Se conoce como criptografa asimtrica o de clave pblica al sistema de
encriptacin que consiste en utilizar un sistema de doble clave: Clave
Pblica y Clave Privada. Una de ellas, la conocida como clave pblica, es
conocida por todos y se utiliza para convertir el texto en claro que queremos
cifrar en un criptograma, que tan solo podr volverse a convertir en un texto
en claro mediante la clave privada, conocida solamente por la persona a la
que va remitida la informacin cifrada mediante la clave pblica.
La criptografa asimtrica empez como lo explica Martorell (2008), en 1976
Diffie y Hellman publicaron el artculo New directions in cryptography. En l
proponan un nuevo tipo de criptografa basado en utilizar claves distintas para
encriptar y desencriptar, una de ellas se hace pblica y la otra es privada de cada
usuario. As todos los usuarios de la red tienen acceso a las claves pblicas, pero
nicamente a su clave privada. Estas ideas supusieron la revolucin de la criptologa,
se poda utilizar para confidencialidad (como los sistemas simtricos), autenticacin y
firma digital, adems de solucionar el problema de la distribucin de claves
simtricas.
En este orden de ideas, para cada tipo de servicio se encripta de manera
diferente:
Confidencialidad: El emisor encripta el texto con la clave pblica del receptor
y el receptor lo desencripta con su clave privada. As cualquier persona puede
enviar un mensaje encriptado, pero slo el receptor, que tiene la clave privada,
20
21
22
Un buen mtodo fue descubierto por un grupo del M.I.T (Rivest y cols,
1978). Es conocido por las iniciales de sus tres descubridores (Rivest,
Shamir, Adleman): RSA. Ha sobrevivido a todos los intentos para romperlo
por ms de un cuarto de siglo y se le considera muy robusto.
El algoritmo se cumple de la siguiente manera como se muestra en el
cuadro 1, lo explica Gil (2002):
Cuadro 1. Pasos del Algoritmo RSA
Escoger dos nmeros primos muy grandes p y q (secretos) y calcular el
1
2
3
4
5
6
7
24
DSA.
Algoritmo de Firma Digital (DSA), su historia segn Villarroel (2006), fue un
Algoritmo propuesto por el Instituto Nacional de Normas y Tecnologa de los
Estados Unidos para firmas digitales. DSA se hizo pblico el 30 de agosto de 1991,
este algoritmo como su nombre lo indica, slo sirve para firmar y no para cifrar
informacin, el algoritmo de cifrado asimtrico esta basado en el problema del
logaritmo discreto del grupo multiplicativo de un campo finito. Aunque
matemticamente es mucho ms complejo con diferencia que el problema de la
factorizacin entera, se ha demostrado que ambos son computacionalmente de una
complejidad muy similar.
El algoritmo DSA como se muestra en el cuadro 2 realiza los siguientes pasos:
Cuadro 2. Pasos del Algoritmo DSA
Sern de informacin pblica un nmero primo grande p y a una raz
1
p-1
d-1
2
3
4
1e
2e
3e
1d
2d
25
ECC.
La Criptografa de Curva Elptica (CCE) segn Garcia (2006),
Las curvas elpticas estn descritas por el conjunto de soluciones para
ciertas ecuaciones con 2 variables. Las curvas elpticas descritas modulo
primo p son de central importancia en la criptografa de llave pblica.
El ECC puede ser usado tanto para cifrar como para firmar digitalmente, la
ventaja ms destacable que ofrecen los ECC en comparacin con RSA es la longitud
de la clave secreta, se puede mostrar que mientras en RSA tiene que usar una clave de
1024 bits para ofrecer una seguridad considerable, los ECC slo usan 160 bits para
ofrecer lo mismo, as tambin las claves RSA de 2048 bits son equivalentes en
seguridad a 210 bits de ECC. Asimismo, los requerimientos de memoria y CPU para
realizar las operaciones criptogrficas son tambin bastante inferiores por lo que este
sistema es muy adecuado para ambientes restringidos en recursos donde el poder de
computo es reducido y requiera una alta velocidad de procesamiento y grandes
volmenes de transacciones, lo que permite su uso por ejemplo en tarjetas inteligentes
y celulares.
Claramente, el ECC son bastante seguro y es el uno de los mejores candidatos
para remplazar a las aplicaciones que tiene implementado el RSA.
Funciones Hash.
La funcin hash segn Asensio (2005), se define como:
Una herramienta fundamental en la criptografa, son las funciones hash, son
usadas principalmente para resolver el problema de la integridad de los
mensajes, as como la autenticidad de mensajes y de su origen. Una funcin
hash es tambin ampliamente usada para la firma digital, ya que los
documentos a firmar son en general demasiado grandes, la funcin hash les
asocia una cadena de longitud 160 bits que los hace ms manejables para el
propsito de firma digital.
26
Las funciones de resumen segn Arcos (2002) deben poseer las siguientes
caractersticas para ser consideradas como tales:
Cualquier cambio en el mensaje, por mnimo que sea, debe producir un
resumen distinto.
Debe tener compresin, o sea a partir de un mensaje de cualquier longitud, el
resumen debe tener una longitud fija y lo normal es que sea menor que la del
mensaje.
La funcin no debe poder invertirse, debe ser unidireccional para que impida
obtener el mensaje original a travs del resumen.
Debe ser fcil y rpida de calcular.
El resumen debe ser una funcin compleja de todos los bits del mensaje, debe
proveer Difusin.
Debe ser computacionalmente difcil encontrar un par de mensajes M y M de
forma que los resmenes de ambos sean iguales, a esto se le denomina
resistencia a las colisiones.
Las funciones hash
MD5 fue ideado por el matemtico Ron Rivest, y supone la evolucin de los
algoritmos MD2 y MD4. Se trata de una funcin criptogrfica de tipo hash
que acepta como entrada un mensaje de cualquier longitud y devuelve como
salida una cadena de 128 bits (usualmente una cadena de 32 caracteres
hexadecimales). Su fcil implementacin y su gran popularidad le hacen
uno de los principales algoritmos hash de la red, usado principalmente en
comprobacin de ficheros en Internet.
El algoritmo funciona bsicamente segn Asencio (2002) de esta manera:
Un mensaje de tamao cualquiera M se alarga hasta que sea mltiplo de 512
bits aadiendo informacin adicional si es necesario al final del mismo. De
esta forma se tiene un mensaje en bloques 512 bits.
Posteriormente se inicializan cuatro vectores de 32 bits cada uno.
Luego a cada bloque de 512 bits del mensaje se le realizan diversas
operaciones lgicas de mezcla con los vectores.
La salida de estas operaciones se convierte en el nuevo conjunto de vectores
con los que se realiza la misma operacin con el segundo bloque de 512 bits
del mensaje, y as sucesivamente.
Para finalizar, el algoritmo entrega un resumen producto de la concatenacin
de los ltimos cuatro vectores resultantes de estas operaciones.
Los resmenes MD5 se utilizan extensamente en el mundo del software para
proporcionar la seguridad de que un archivo descargado no se ha alterado.
Comparando una suma MD5 publicada con la suma de comprobacin del archivo
descargado, un usuario puede tener la confianza suficiente de que el archivo es igual
que el publicado por los desarrolladores , adems el MD5 tambin se puede usar para
comprobar que los correos electrnicos no han sido alterados usando claves pblicas
y privadas.
SHA-1.
Una descripcin de Secure Hash Algorithm (SHA-1) segn Wikipeda (2010),
es un sistema de funciones hash criptogrficas relacionadas de la Agencia de
Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of
28
29
La firma digital otorga certeza de la integridad del documento. Una vez que se
ha cambiado algn dato, la firma queda invlida. Esto se realiza mediante un
procedimiento tcnico conocido como hashing, que a semejanza de una
30
31
32
etc. El valor legal de una firma digital validada con un certificado calificado
depender fuertemente de la poltica que gobierna el uso de la clave privada asociada.
Autoridad de Certificacin.
Una autoridad de certificacin es segn Martnez (2005) la define como:
Es una entidad dedicada a la emisin de certificados que contienen
informacin sobre algn hecho o circunstancia del sujeto del certificado. Esta
entidad puede emitir distinto tipos de certificados. As, un certificado de
identificacin simplemente reconoce y conecta un nombre a una clave
pblica.
El modo de funcionamiento de la autoridad de certificacin de divide en tres
partes segn Wikipedia (2010), las cuales son:
Confianza en la CA: una de las formas por las que se establece la confianza en
una CA para un usuario consiste en la "instalacin" en el ordenador del
usuario (tercero que confa) del certificado autofirmado de la CA raz de la
jerarqua en la que se desea confiar. La regla general del proceso es que hay
que repetirlo por cada uno de los navegadores que existan en el sistema, y en
cada caso con sus funciones especficas de importacin de certificados. Si est
35
segn las
39
Registra las peticiones que hagan los usuarios para obtener un certificado.
una persona. Las normas que utilice la RA para realizar sus operaciones deben
tambin verse reflejadas en los CPS.
Repositorio de Certificados.
El ambiente de la PKI tiene entre sus necesidades hacer llegar los certificados
a los usuarios, esto lo puede realizar con la utilizacin de los repositorios segn
Certinet (2006) su concepto es un almacn pblico desde donde los usuarios
40
pueden recuperar los Certificados emitidos por la CA. Debido a la naturaleza autoverificable de los Certificados en s mismos, no es imprescindible que este repositorio
est protegido contra alteraciones a su contenido..
Asensio (2002), declara Existen mltiples formas de distribucin y
almacenamiento para los certificados y sus respectivas claves dentro de los cuales se
destacan los disquetes, las tarjetas inteligentes y Token USB. Por lo tanto las
personas utilizan el medio que ms este a sus posibilidades o el que cubre sus
requerimientos.
El mtodo ms eficiente para implementar los repositorios son los servicios de
directorio, como lo explica Asensio (2002) estos consisten en una gran base de
datos parecido a un directorio telefnico, en los que cada entrada de usuario contiene
los certificados de los que es titular.
Por ultimo, dichos servicios poseen tambin una estructura jerrquica que da
la posibilidad de acceso a un servicio de directorio ordenado y distribuido para buscar
diversa informacin en un entorno de red. Tambin permite implementar esquemas
ms seguros de acceso a los datos.
Jerarquas de Certificacin.
La jerarqua de autoridades de certificacin se define en el documento RFC
1422, este estndar establece una estructura jerrquica rgida de AC como se puede
observar en la figura 8. En la estructura se definen tres tipos de autoridades de
certificacin:
IPRA. Una autoridad PCA debe establecer y declarar su poltica respecto a los
usuarios o subautoridades de certificacin. Est permitida la existencia de
distintas autoridades PCA para responder necesidades especficas de los
usuarios.
establece que una autoridad CA slo puede emitir certificados para entidades cuyos
nombres se subordinan al nombre de la misma autoridad CA. A partir de esta regla se
puede hacer un seguimiento de encadenamiento de autoridades de certificacin.
42
Estndares PKI.
Las actividades de estandarizacin de los conceptos y tcnicas relacionados
con PKI pueden clasificarse en diferentes grupos: aquellos que definen el formato de
los certificados, donde se incluyen X.509, SPKI y OpenPGP; aquellos que adaptan
los certificados a ambientes y usos especficos, entre los que se encuentran PKIX,
S/MIME, IPSec, TLS, WAP, XML, y SOAP; y los que tratan temas relacionados con
los repositorios de certificados donde se incluye el OCSP, que es hacia donde dirigen
sus esfuerzos X.500, LDAP y PKCS.
X.509.
Segn Wikipedia (2010), es un estndar UIT-T para infraestructuras de
claves pblicas (en ingls, Public Key Infrastructure o PKI). X.509 especifica, entre
otras cosas, formatos estndar para certificados de claves pblicas y un algoritmo de
validacin de la ruta de certificacin....
X.509 es la estructura de datos que enlaza la clave pblica con los datos que
permiten identificar al titular. Su sintaxis se define empleando el lenguaje ASN.1
(Abstract Syntax Notation One) y los formatos de codificacin ms comunes
son DER (Distinguished Encoding Rules) o PEM (Privacy-enhanced Electronic
Mail).
SPKI.
El grupo de trabajo SPKI (Simple Public Key Infrastructure) del IETF segn
Echavarra (2007) fue creado en 1996 como alternativa al trabajo hecho por PKIX.
Los partidarios de SPKI defienden la idea de la clave pblica como identidad
principal. Las especificaciones SPKI (RFC2692 y RFC2693) discuten los conceptos y
filosofa de las IPKIs y proveen un formato de certificados detallado y las reglas de
procesamiento requeridas para su implementacin. SPKI incluye explcitamente tanto
la autorizacin como la autenticacin. El sofisticado formato de los certificados hace
posible expresar, de manera general, qu se puede hacer con una clave.
43
OpenPGP
OpenPGP define un formato de certificados para PGP (Pretty Good Privacy),
alternativo a los certificados X.509 y los de SPKI., y especifica las reglas de
procesamiento requeridas para validar tales certificados. Tambin define los
protocolos de empaquetamiento requeridos para construir y procesar mensajes de
correo electrnico protegidos con PGP.
La especificacin OpenPGP tambin incluye una discusin sobre el trabajo
cooperativo con otros formatos de certificados como los X.509.
PKIK.
Un grupo de trabajo del rea de seguridad del IETF es el de Infraestructura de
Clave Pblica, X.509, comnmente conocido como PKIX. Este grupo fue formado a
finales de 1995 con el nico propsito de adaptar el trabajo hecho por la
recomendacin X.509 al entorno de Internet, especificando as una IPKI (Internet
PKI). PKIX ha tratado cuatro reas especficas:
La adaptacin de los certificados y las CRLs.
Los protocolos de gestin de certificados.
Los protocolos operacionales.
El marco de polticas de certificados (CP Certificate Policy) y el de declaracin de
prcticas de certificacin (CPS Certification Practice Statement).
S/MIME.
El propsito inicial del grupo de trabajo S/MIME fue incorporar nuevas
caractersticas de seguridad en MIME (Multipurpose Internet Mail Extensions) (RFC
2045 a RFC2049), mientras se mantena la compatibilidad con productos
implementados de acuerdo a la versin previa de las especificaciones. En particular,
44
TLS.
La especificacin TLS (Transport Layer Security) es una versin del
protocolo SSLv3.0 (Secure Sockets Layer version 3.0) encontrada en millones de
navegadores cliente y servidores Web alrededor del mundo. TLS crea un canal seguro
entre la fuente y el destino en la capa de transporte, proveyendo autenticacin basada
en certificados, integridad de la informacin y confidencialidad de los datos.
WAP.
Las especificaciones definidas por el grupo de seguridad WSG (WAP Security
Group) del WAP Forum incluyen: Wireless Transport Layer Security Specification,
WAP Certificate and CRL Profiles Specification, y WAP Public Key Infrastructure
Definition. En el modelo general WPKI, el servidor usa el formato de certificados
WTLS, mientras los clientes usan el formato de los certificados X.509 (para
interoperar lo mayor posible con las IPKIs existentes). Adems, la especificacin
WTLS permite varios niveles de seguridad, incluyendo un intercambio de claves
annimo para crear canales cifrados, autenticacin de servidor usando certificados y
autenticacin mutua basada en certificados (esto es, de parte del cliente como del
servidor).
45
XML.
XML siglas en ingls de Extensible Markup Language (lenguaje de marcas
extensible), es unmetalenguaje extensible de etiquetas desarrollado por el World
Wide Web Consortium (W3C). Es una simplificacin y adaptacin del SGML y
permite definir la gramtica de lenguajes especficos (de la misma manera que HTML
es a su vez un lenguaje definido por SGML). Por lo tanto XML no es realmente un
lenguaje en particular, sino una manera de definir lenguajes para diferentes
necesidades. Algunos de estos lenguajes que usan XML para su definicin
sonXHTML, SVG, MathML.
XML no ha nacido slo para su aplicacin en Internet, sino que se propone
como un estndar para el intercambio de informacin estructurada entre diferentes
plataformas. Se puede usar en bases de datos, editores de texto, hojas de clculo y
casi cualquier cosa imaginable.
X.500
El directorio X.500 es un repositorio altamente sofisticado que almacena todo
tipo de informacin e incluye caractersticas como: protocolos de acceso cliente a
directorio, protocolos de comunicacin servidor a servidor, duplicacin total o parcial
de los datos del directorio, encadenamiento de servidores para responder a una
peticin, y capacidades de filtrado de bsquedas complejas.
X.500 define un esquema de particular importancia para PKI porque permite
guardar estructuras de datos, como certificados y CRLs, en las entradas de directorio
de cada entidad. Adems, la posibilidad de enlazar servidores, hace posible que las
PKIs desarrolladas de manera independiente puedan unirse cuando sea necesario, lo
que permite comunicaciones seguras entre comunidades aisladas.
LDAP
LDAP (Lightweight Directory Access Protocol) fue originalmente concebido
como un subconjunto del protocolo de acceso al directorio X.500 (DAP Directory
Access Protocol), simple de describir y fcil de implementar. Luego, este subconjunto
46
Bases Legales
Los estndares internacionales, leyes nacionales y normativa interna de la
Universidad que tienen correspondencia con esta investigacin se listan a
continuacin:
Estndares Internacionales.
RFC 3280 Internet X.509 infraestructura de clave pblica Certificado y lista
de certificados revocados (CRL) Perfil. Grupo de Trabajo en Ingeniera de Internet
(IETF).
47
Leyes Nacionales.
Ley Orgnica de Ciencia, Tecnologa e Innovacin, promulgada 03 de
Agosto del 2005 y publicada en Gaceta Oficial N 38.242. Caracas Venezuela.
Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas
Electrnicas promulgada en Gaceta Oficial N 38.086 de fecha 14 de diciembre de
2004, por Decreto N 3.335 12 de diciembre de 2004, Caracas Venezuela.
Ley sobre Mensajes de Datos y Firmas Electrnicas promulgada en Gaceta
Oficial N 37.148 de fecha 28 de febrero de 2.001, por Decreto N 1.024 10 de
febrero de 2.001, Caracas - Venezuela.
Ley Especial contra Delitos Informticos promulgada en Gaceta Oficial N
37.313 de fecha 30 de octubre de 2.001 por la Asamblea Nacional, Caracas Venezuela.
Ley Orgnica de Telecomunicaciones, promulgada 12 de junio de 2000 y
publicada en Gaceta Oficial No.36.970. Caracas - Venezuela.
Sistema de Variables.
El trmino variable de acuerdo a lo expresado por Tamayo (2002), se define
como, un aspecto o dimensin de un fenmeno que tiene como caractersticas la
capacidad de asumir distintos valores, ya sea cuantitativa o cualitativamente. Es la
relacin causa y efecto que se da entre uno o ms fenmenos estudiados. El
mismo autor seala que, en el proceso de operacionalizacin de unas variables es
necesario determinar los parmetros de medicin a partir de los cuales se establecer
la relacin de variables enunciadas por la hiptesis, para lo cual es necesario tener en
cuenta: (i). Definicin nominal de la variable a medir; (ii). Definicin operacional:
dimensiones, indicadores e ndices.
48
49
Cuadro N 3.
Operacionalizacin de las Variables.
Variable en
Estudio
Dimensin
Indicadores
Instrumentos
Modelo
de
Autoridad de
Certificacin
PKI enfocada
a
la
Universidad
Nacional
Experimental
Politcnica
Antonio Jos
de
Sucre
sede
Barquisimeto.
Seguridad
Informtica:
rea de la
informtica
que se enfoca
en la
proteccin de
la
infraestructura
computacional
y todo lo
relacionado
con esta.
Medidas de
Seguridad:
mecanismo
para proteger
informacin
almacenada y
tratada en los
equipos
informticos
de incidencias
externas.
Integridad.
Autenticacin.
Confidencialidad.
A-Cuestionario
B-Entrevista
No Repudio.
Firma Digital
Certificados
Digitales.
Lista de
Revocacin.
Protocolos
Criptogrficos.
50
Fuente
APersonal
Docente
BPersonal
Tcnico.
tems
A1,A2,A3, B1
A4,A5,A6,B2
A7,A8,A9,B3
A10,A11,B4
A12, A13,
A14, B5, B6.
A15, A16,
A17, B7, B8.
A18, A19, B9,
B10.
A20, A21,
B11, B12,
B13.
CAPITULO III
MARCO METODOLOGICO
Tipo de Investigacin
El presente estudio propondr un modelo de autoridad de certificacin PKI
enfocada a la Universidad Experimental Politcnica Antonio Jos de Sucre sede
Barquisimeto, de acuerdo a los objetivos planteados, se incorporara en el tipo de
investigacin de campo siguiendo la modalidad de un proyecto especial ya que
permite no solo observar, sino recolectar los datos directamente de la realidad para
posteriormente analizar e interpretar los resultados.
De acuerdo con la definicin presentada por la Universidad Centroccidental
Lisandro Alvarado (2002) de investigacin de campo, es:
Se entender por investigacin de campo la aplicacin del mtodo cientfico
en el tratamiento de un sistema de variables y sus relaciones, las cuales
conducen a conclusiones y al enriquecimiento de un campo del
conocimiento o disciplina inherente a la Especialidad, con la sustentacin de
los experimentos y observaciones realizadas. (p.63).
Simultneamente, en el manual de presentacin de trabajos de grado y tesis
doctoral de la Universidad Pedaggica Experimental Libertador (2004), define como
proyecto especial a:
Trabajos que llevan a creaciones tangibles, susceptibles de ser utilizadas como
soluciones a problemas demostrados, o que respondan a necesidades e
intereses de tipo cultural. Se incluyen en esta categora los trabajos de
elaboracin de libros de texto y de materiales de apoyo educativo, el
desarrollo de software, prototipos y de productos tecnolgicos en general, as
como tambin los de creacin literaria y artstica (p.8).
51
52
Cuadro 4
Descripcin de la Poblacin
Descripcin
Personal Docente
Personal Tcnico del rea de Redes
Total
Fuente: Autor (2012)
Cantidad
241
6
247
53
54
Instalacin y Configuracin:
Manejo de certificados y claves.
55
CAPITULO IV
57
Anlisis
1.
Cules
herramientas
maneja
usted
para
proporcionar a los usuarios la
integridad de la informacin?
2. Qu herramientas aplica
usted para proporcionar la
autenticacin
de
la
informacin
entre
los
integrantes del departamento
y la de los usuarios?
3.
Cules
herramientas
implementa
usted
para
proporcionar
la
confidencialidad
de
la
informacin
entre
los
integrantes del departamento
y la de los usuarios?
4. Qu herramientas efecta
usted para asegurar el no
repudio de la informacin
entre los integrantes del
departamento y la de los
usuarios?
58
La
confidencialidad
debe
manejarse por completo por
medio de la institucin. Es por
ello que se propone la
infraestructura de clave pblica.
Se
debe
aplicar
alguna
herramienta que proporcione la
medida del no repudio como
proteccin de la seguridad de la
informacin. Tal es el caso del
modelo de una infraestructura
de clave pblica que posee esta
medida de seguridad.
5. Conoce usted de la
herramienta firma digital? En
caso afirmativo justifique su
respuesta.
si la
si la
si la
Establecer
un
plan
de
concienciacin
de
la
importancia de utilizar la firma
digital
e
implantar
una
herramienta donde se aplique
dicha funcin.
si la
Se analiza la necesidad de la
funcin de la firma digital para
adicionar las medidas de
seguridad con el fin de detectar
hechos ilegales.
8. Cul es la importancia y la
necesidad de la ejecucin de
certificados digitales?
Se encuentra la insuficiencia de
esta medida de seguridad en la
institucin, se sugiere aplicar la
vinculacin que ofrece el
certificado digital con la entidad
del usuario y una clave para as
lograr genera una medida
adicional de seguridad.
Establecer la utilizacin de
certificados digitales para as
tener
conocimiento
del
concepto de lista de revocacin.
7.
Conoce
usted
los
certificados digitales? En caso
afirmativo
justifique
su
respuesta.
59
11.
Conoce
usted
los
protocolos criptogrficos?
Se realza el conocimiento
bsico de tal concepto.
13.
Qu
protocolos
criptogrficos
implantara
usted para proporcionar las
medidas de seguridad dichas
anteriormente?
La utilizacin de SHA no
abarcar toda las medidas de
seguridad. Sin embargo, es el
utilizado en el mercado.
valor uno (1) a SI y el valor cero (0) a NO el cual fue dirigido al personal docente del
rea de electrnica que labora en Universidad Nacional Experimental Politcnica
Antonio Jos de Sucre sede Rectoral. La tabla del Mtodo de Kunder Richarson
para todas las preguntas del cuestionario se presenta en el (Anexo D).
A continuacin se realiza el respectivo grafico representativo y el detalle de lo
observado estadsticamente tabulado.
Cuadro 6
Preservacin de la Integridad Informtica.
tems
Cree usted que es importante preservar su
informacin libre de modificaciones no
autorizadas?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
18
86
3
14
Pregunta N. 1
14%
SI
NO
86%
Cuadro 7
Resguardo de la Integridad Informtica.
tems
Resguarda la informacin de su PC con un
sistema de seguridad?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
09
41
12
59
Pregunta N. 2
41%
SI
NO
59%
62
Cuadro 8
Modificacin de la Integridad Informtica.
tems
Posee una forma de averiguar si se le hizo
modificaciones a la informacin?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
0
0
21
100
Pregunta N. 3
0%
SI
NO
100%
63
Cuadro 9
Procedimientos de Autenticacin Informtica.
tems
Tiene procedimientos que verifiquen su
identidad al momento de acceder a un medio
informtico?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
09
41
12
59
Pregunta N. 4
41%
SI
NO
59%
64
Cuadro 10
Alteracin de Autenticacin Informtica.
tems
Utiliza peridicamente un proceso de cambio de
contrasea?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
09
41
12
59
Pregunta N. 5
41%
SI
NO
59%
65
Cuadro 11
Complejidad de Autenticacin Informtica.
tems
Su contrasea posee complejidad para hacerla
segura?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
16
77
5
23
Pregunta N. 6
23%
SI
NO
77%
Se
consideran que sus claves son complejas con un setenta y siete por ciento (77%) al
momento de crearlas, subsanando as un poco la falta de seguridad informtica que
ellos mismos manejan.
66
Cuadro 12
Mecanismo de Confiabilidad Informtica.
tems
Existe un mecanismo que registre los accesos no
autorizados a la informacin?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
0
0
21
100
Pregunta N. 7
0%
SI
NO
100%
67
Cuadro 13
Clasificacin de la Confiabilidad Informtica.
tems
Clasifica la informacin de su PC entre pblica
y privada?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
04
18
17
82
Pregunta N. 8
18%
SI
NO
82%
68
Cuadro 14
Manejo de la Confiabilidad Informtica.
tems
Considera usted que el intercambio de
informacin que realiza va Internet es segura?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
05
23
16
77
Pregunta N. 9
23%
SI
NO
77%
69
Cuadro 15
Comprobacin del No Repudio Informtico.
tems
Usted comprueba el origen de la informacin
que recibe?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
6
27
16
73
Pregunta N. 10
27%
SI
NO
73%
70
Cuadro 16
Manejo del No Repudio Informtico.
tems
Maneja usted un servicio que asegure la
identidad de la persona con quien intercambia
informacin?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
01
5
20
95
Pregunta N. 11
5%
SI
NO
95%
71
Cuadro 17
Conocimiento de la Firma Digital.
tems
Categora de Respuestas
SI
%
NO
%
16
77
5
23
Pregunta N. 12
23%
SI
NO
77%
72
Cuadro 18
Utilidad de la Firma Digital.
tems
Crees que la firma digital es una herramienta
til?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
18
86
3
14
Pregunta N. 13
14%
SI
NO
86%
73
Cuadro 19
Empleo de la Firma Digital.
tems
Utiliza la firma digital en algn tipo de mensajes
digital o documento electrnico?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
04
18
17
82
Pregunta N. 14
18%
SI
NO
82%
74
Cuadro 20
Facilitacin de Certificados Digitales.
tems
Sabe usted si la institucin donde labora expide
certificados digitales de manera sencilla?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
0
0
21
100
Pregunta N. 15
0%
SI
NO
100%
75
Cuadro 21
Instalacin de Certificados Digitales.
tems
En su navegador se encuentra instalado un
certificado digital?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
09
41
12
59
Pregunta N. 16
41%
SI
NO
59%
76
Cuadro 22
Disposicin de Certificados Digitales.
tems
Dispone de un certificado de seguridad al
momento de realizar un trmite de comercio
electrnico?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
07
32
14
68
Pregunta N. 17
32%
SI
NO
68%
77
Cuadro 23
Vencimiento de Certificados Digitales.
tems
Usted chequea el vencimiento de un certificado
digital?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
04
18
17
82
Pregunta N. 18
18%
SI
NO
82%
78
Cuadro 24
Presencia de Lista de Revocacin.
tems
Sabe de la existencia de Lista de Revocacin?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
04
18
17
82
Pregunta N. 19
18%
SI
NO
82%
79
Cuadro 25
Uso de Protocolos Criptogrficos.
tems
Usa un sistema que oculte un mensaje para que
solo pueda ser ledo por el destinatario?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
0
0
21
100
Pregunta N. 20
0%
SI
NO
100%
80
Cuadro 26
Tcnica de Protocolos Criptogrficos.
tems
Recurre usted a una tcnica que ejecute cambios
de significado de la informacin para asegurar la
comunicacin?
Fuente: Autor (2012)
Categora de Respuestas
SI
%
NO
%
0
0
21
100
Pregunta N. 21
0%
SI
NO
100%
En el grfico N 21 y cuadro N26, se nota con un cien por ciento (100%) que
los encuestados no recurren a ninguna medida de seguridad que asegure las
comunicaciones que realizan en su jornada cotidiana, hecho relevante a la hora de
pretender garantizar seguridad de la informacin.
81
consiente que es de gran utilidad actualmente pero tambin muestra que no utilizan
esta herramienta en su vida diaria.
B. Certificado digital, aqu se comprueba que el personal encuestado no
realiza un uso correcto de esta medida de seguridad, ya que declaran que lo tienen
instalado en su navegador pero ms no lo manejan para realizar transacciones va
electrnica y tampoco poseen conocimiento si la institucin donde laboran ofrece esta
ventaja.
C. Lista de revocacin es el tercer concepto, se observan que es un concepto
completamente desconocido para la muestra.
D. Protocolos Criptogrficos, con el se muestra que el uso es conocido por el
personal encuestado, pero no realizan el manejo de esta medida de seguridad.
Fase II Diseo del Modelo de Autoridad de Certificacin PKI
La presente fase se centra en describir el anlisis y diseo del prototipo PKI a
desarrollar, para esto se define las funcionalidades del modelo, la descripcin de las
caractersticas de los componentes involucrados en ste y la identificacin de los
datos utilizados junto con los cambios que stos sufren durante la ejecucin de las
funcionalidades.
certificacin y necesidades de hardware, entre otros, lo que est dems para efectos
demostrativos.
Modelo Esttico
84
Usuarios
Son los propietarios de las claves y titulares de certificados. Proporcionan
informacin para completar los campos correspondientes de los certificados digitales
y la base de datos de la CA. La descripcin de sus funciones se puede observar en el
cuadro 27.
Cuadro N 27.
Descripcin Actor Usuarios.
Funcin
Descripcin - Formato
Solicitar Certificacin
Tipo Personal
Solicitar Revocacin
Autoridad Registro
Es la entidad encargada de verificar los datos de las personas que solicitan el
certificado y se encarga de todos los procesos administrativos relacionados con los
certificados. La descripcin de sus funciones se puede observar en el cuadro 28.
85
Cuadro N 28.
Descripcin Autoridad Registro.
Funcin
Validacin de Usuario
Descripcin - Formato
Verificar la identidad del usuario.
Autoridad de Certificacin
Autentifica informacin de solicitudes de los usuarios, genera claves y las
asocia a los solicitantes emitiendo el certificado digital correspondiente que almacena
en su base de datos y que posteriormente publica a un subdirectorio donde publica
tambin las CRL. La descripcin de sus funciones se puede observar en el cuadro 29.
Cuadro N 29.
Descripcin Autoridad de Certificacin.
Funcin
Descripcin - Formato
Emitir Certificados
Revocar Certificados
Publicar CRL
Publicar Certificados
Importa Claves
Reposorio
Se lo utiliza para el almacenamiento pblico de certificados y lista de
certificados revocados.
Modelo Funcional
87
88
Verificar Firmas: Para corroborar la validez del certificado realiza una verificacin de
su firma para luego almacenarlo en la base de datos.
Emitir Certificado CA: con el certificado de la CA realizado, se lleva a cabo el paso
de exportarla para que todos puedan obtenerlo y dejar un registro del proceso en un
archivo de eventos.
El flujo de la secuencia de emitir certificados se puede observar en la figura
12.
89
90
91
95
Preinstalacin
Para el proceso de instalacin de OpenCA, se han requerido de una serie de
herramientas y libreras, las cuales han sido requeridas en el momento de realizar el
proceso, algunas de ellas son:
GCC:
Es un compilador integrado del proyecto GNU para C, C++, Objective C y
Fortran; es capaz de recibir un programa fuente en cualquiera de estos lenguajes y
generar un programa ejecutable binario en el lenguaje de la mquina donde ha de
correr. La sigla GCC significa "GNU Compiler Collection". Originalmente
significaba "GNU C Compiler"; todava se usa GCC para designar una compilacin
en C. G++ refiere a una compilacin en C++.
OPENSSL:
Es un proyecto de software desarrollado por los miembros de la comunidad
Open Source para libre descarga y est basado en SSLeay, desarrollado por Eric
Young y Tim Hudson. Consiste en un robusto paquete de herramientas de
administracin y bibliotecas relacionadas con la criptografa, que suministran
funciones criptogrficas a otros paquetes como OpenSSH y navegadores web (para
acceso seguro a sitios HTTPS).
MySql:
Es un sistema de gestin de bases de datos relacional, multihilo y
multiusuario. Est desarrollado en su mayor parte en ANSI C.
MySql-libs:
Este proporciona las bibliotecas compartidas esenciales para cualquier
programa cliente de MySQL
96
Perl:
Es un lenguaje de programacin diseado por Larry Wall en 1987. Perl toma
caractersticas del lenguaje C, del lenguaje interpretado shell (sh), AWK, sed, Lisp y,
en un grado inferior, de muchos otros lenguajes de programacin.
Estructuralmente, Perl est basado en un estilo de bloques como los del C o
AWK, y fue ampliamente adoptado por su destreza en el procesado de texto y no
tener ninguna de las limitaciones de los otros lenguajes de script.
Authen::SASL
Es un mecanismo genrico para la autenticacin utilizado por varios
protocolos de red, proporciona un marco de aplicacin que todos los protocolos deben
ser capaces de compartir. El marco permite implementaciones diferentes de la clase
de conexin que se ha conectado. El plugin necesario para la instalacin de OpenCA
es:
Authen::SASL:: Perl: Este mdulo implementa varios mecanismos y se lleva
acabo ntegramente en Per.
Wget:
Es una herramienta libre que permite la descarga de contenidos desde
servidores web de una forma simple. Su nombre deriva de World Wide Web (w), y de
obtener (en ingls get), esto quiere decir: obtener desde la WWW. Actualmente
soporta descargas mediante los protocolos HTTP, HTTPS y FTP.
MOD_SSL:
Proporciona un sistema de criptografa para Apache y el servidor web a travs
de la capa de sockets seguros (SSL v2/v3) y Transport Layer Security (TLS v1)
97
98
99
100
101
102
Proceso OpenCA-Tools
# mkdir /usr/local/openca-fuentes (creacin de la carpeta)
# mkdir /usr/local/opencaUno (se utilizara ms adelante para ejecutar el arranque)
# cd /usr/local/openca-fuentes
# wget http://www.openca.org/alby/download?target=openca-tools-1.3.0.tar.gz
103
104
7.
105
# host and port are senseless for IBM DB2 UDB 7.1
PREFIX=/usr/local/opencaUno
WEB=${PREFIX}/httpd
./configure \
--prefix=${PREFIX} \
--with-engine=no \
--with-httpd-user=apache \
--with-httpd-group=apache \
--with-openca-user=root
--with-openca-group=nobody
--with-httpd-fs-prefix=${WEB} \
--with-web-host=localhost \
--with-ca-organization="LisandroAlvarado" \
--with-ca-country=VE \
--with-ldap-port=389 \
--with-ldap-root="cn=Manager,o=OpenCA,c=IT" \
--with-ldap-root-pwd="openca" \
--enable-dbi \
--enable-rbac \
--enable-openscep \
--with-db-type=mysql \
--with-db-name=openca \
--with-db-host=localhost \
--with-db-port=3306 \
--with-db-user=openca \
--with-db-passwd="123456" \
--with-service-mail-account="ysbefigueredo@hotmail.com" \
--with-language=VE \
--with-hierarchy-level=ca
106
107
descrito
en
la
wiki
oficial
de
OpenCA:
(http://wiki.openca.org/wiki/index.php/ERR_USER_UNKNOWN). A continuacin
se observa en la figura 30 el cdigo para arreglar el error.
# cd /usr/local/opencaUno
# wget http://ftp.openca.org/openca-base/fixes/v1.1.1/err_user_unknown/User.pm
# wget http://ftp.openca.org/openca-base/fixes/v1.1.1/err_user_unknown/initServer
# scp User.pm lib/openca/perl_modules/perl5/OpenCA/User.pm
# scp initServer lib/openca/functions/initServer
109
9. Arranque OpenCA.
Realizar los siguientes pasos como se observa en la figura 31 de cdigo para
inicializar el programa:
[root@server]# cd /usr/local/opencaUno/
[root@server opencaUno]# cd etc/
[root@server opencaUno]# cd etc/
[root@server etc]# cd openca
110
112
113
114
115
116
CAPITULO V
CONCLUSIONES Y RECOMENDACIONES
Conclusiones
1. El diagnostico acerca de la situacin actual en materia de seguridad informtica
contenida en los sistemas de la Universidad Nacional Experimental Politcnica
Antonio Jos de Sucre Sede Barquisimeto, permite concluir, basndose en la data
recolectada
intrainstitucionalmente,
que
existen
aspectos
que
revelan
su
117
118
Recomendaciones
1. Sobre la base del estudio, anlisis reflexivo y consideracin integral de la situacin
actual en materia de seguridad informtica contenida en los sistemas de la
Universidad Nacional Experimental Politcnica Antonio Jos de Sucre
Sede
Barquisimeto, se recomienda poner en marcha los mecanismos que hagan posibles los
procesos y procedimientos necesarios que permitan tomar la decisin de certificar
electrnicamente dichos sistemas, tal como se propone en el modelo presentado por la
autora de este estudio.
2. La Universidad Nacional Experimental Politcnica Antonio Jos de Sucre Sede
Barquisimeto, debe realizar la certificacin electrnica a nivel nacional en todas sus
instituciones.
3. SUSCERTE como organismo encargado de coordinar e implementar el modelo
jerrquico de la infraestructura Nacional de Certificacin Electrnica y como ente
responsable de la Autoridad de Certificacin Raz del Estado Venezolano, es la
entidad ms elemental para acreditar y dar aval a la autoridad certificadora de la
Universidad Nacional Experimental Politcnica Antonio Jos de Sucre
Sede
Barquisimeto.
4. La evaluacin del diseo de la Infraestructura de Clave Pblica y el seguimiento
del sistema implantado OpenCa queda como estudio para futuras investigaciones,
como igualmente la ampliacin de este software en otras universidades.
119
BIBLIOGRAFA
120
121
122
123
ANEXOS
124
ANEXO A
ENTREVISTA
125
ITEM
5
6
7
8
126
ANEXO B
CUESTIONARIO
127
UNIVERSIDAD CENTROOCCIDENTAL
LISANDRO ALVARADO
DECANATO DE CIENCIA Y TECNOLOGIA
COORDINACION DE POSTGRADO
Maestra en Ciencias de la Computacin
CUESTIONARIO
Atentamente,
128
ITEM
3
4
8
9
10
11
12
13
14
15
16
17
129
SI
NO
18
19
20
Usa un sistema que oculte un mensaje para que solo pueda ser
ledo por el destinatario?
Recurre usted a una tcnica que ejecute cambios de significado de
la informacin para asegurar la comunicacin?
21
130
Objetivos de la Investigacin
General
Especficos
131
ANEXO C
VALIDACIN DEL INSTRUMENTO DE RECOLECCIN DE DATOS
133
Evaluacin de Criterios
Con relacin a las posibles acciones a realizar con cada reactivo se tiene:
D: Dejar
M: Modificar
E: Eliminar
134
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
135
Se realiza cambio.
X
X
X
X
136
X
X
X
X
Se realiza cambio.
ANEXO D
CONFIABILIDAD DEL INSTRUMENTO
137
K=21
N=22
P1.Q1= 2,78
Media = X = X1 / N
X= 8+8+5+3+1+0+9+6+9+5+12+8+11+13+6+6+5+6+6+7+9+0 = 143 = 6,5
22
22
Varianza= 2,25+2,25+2,25+12,25+30,25+42,25+6,25+0,25+6,25+2,25+30,25+2,25+
20,25+42,25+0,25+0,25+2,25+0,25+0,25+0,25+6,25+42,25 / 21 = 253,5 / 21 =
Varianza= 12,07
Kuder Richarson = K . Var - P1.Q1
K-1
Var
138
Docente 1
Docente 2
Docente 3
Docente 4
Docente 5
Docente 6
Docente 7
Docente 8
Docente 9
Docente 10
Docente 11
Docente 12
Docente 13
Docente 14
Docente 15
Docente 16
Docente 17
Docente 18
Docente 19
Docente 20
Docente 21
Docente 22
Tabla
tem
1
tem
2
tem
3
tem
4
tem
5
tem
6
tem
7
tem
8
tem
9
tem
10
tem
11
tem
12
tem
13
tem
14
tem
15
tem
16
tem
17
tem
18
tem
19
tem
20
tem
21
Total
1
1
1
1
1
0
1
1
1
1
1
1
1
1
1
0
1
1
1
1
1
0
1
0
0
0
0
0
0
1
0
0
1
1
1
1
0
0
1
0
0
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
0
0
0
0
1
1
0
1
1
0
0
1
0
0
0
1
0
1
0
0
0
1
0
0
0
0
0
1
0
1
1
1
0
0
0
0
1
1
1
1
0
1
1
0
0
0
0
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
1
0
1
0
0
0
0
0
0
0
0
0
1
0
0
1
0
1
0
1
0
0
1
0
0
0
0
0
0
0
0
0
1
0
0
0
0
1
0
0
0
1
1
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
0
0
0
0
0
0
0
1
1
1
0
0
0
1
0
1
1
1
1
1
1
1
1
1
1
1
1
1
0
1
1
1
1
0
0
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
0
0
0
0
0
0
0
1
0
1
0
0
0
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
0
0
0
0
1
0
0
1
1
0
1
1
1
1
0
0
0
0
1
0
1
0
0
0
0
0
1
0
1
0
1
0
1
1
0
1
0
0
0
0
0
0
0
1
0
0
0
0
0
0
0
0
1
0
1
1
0
0
0
0
0
0
0
0
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
8
8
5
3
1
0
9
6
9
5
12
8
11
13
6
6
5
6
6
7
9
0
0,86
0,41
0,41
0,41
0,77
0,18
0,23
0,27
0,05
0,77
0,86
0,18
0,41
0,32
0,18
0,18
0,14
0,59
100
0,59
0,59
0,23
100
0,82
0,77
0,73
0,95
0,23
0,14
0,82
100
0,59
0,68
0,82
0,82
100
100
0,120
0,241
0,241
0,241
0,177
0,147
0,177
0,197
0,047
0,177
0,120
0,147
0,241
0,217
0,147
0,147
Docente 23
Docente 24
Docente 25
P
Q
P.Q
139
2,78
140
ANEXO E
CONFIGURACIN DE INTERFAZ CA Y RA
140
Una vez aqu se selecciona la primera fase donde empieza los pasos para
inicializar la autoridad certificadora la cual es Initialize the Certification Authority,
una vez seleccionada surge la pantalla de la figura 38, donde se selecciona la opcin
de generar la nuevas claves.
141
142
143
Paso 2: Con el paso anterior realizado se obtuvo las llaves. Ahora se necesita crear el
certificado de la CA, en la figura 41 se muestra la opcin a seleccionar para dicha
creacin.
144
145
146
147
148
149
150
151
Una vez en la pantalla que se observa en la figura 49, se selecciona todas las
opciones All para poder ejecutar la importacin del certificado de la CA, el sistema
preguntara si desea continuar con la importacin, una vez afirmado el cambio se
obtendr las respuestas positivas de la ejecucin de las cuatros descarga All para
terminar dicha importacin de la CA.
152
153
154
155
156
157
Nota: todos estos pasos deben ejecutarse en la interfaz RA para ejecutar las claves,
certificado de la RA. La nica salvedad es que el certificado debe ser firmado por la
CA, o sea evitar el paso de la auto firma.
158
ANEXO F
CONFIGURACIN DEL CERTIFICADO OPERADOR CA Y RA
159
160
161
162
163
164
165
166
Paso 3: Ahora como opcin del menu se tiene Manejar el Certificado, en esta opcin
se muestra el certificado final del Operador CA, la primera opcin para la creacin
del manejo esta en la figura 63 y la vista final se observa en la figura 64.
167
168
169
170
171
ANEXO G
MANUAL USUARIO
172
Tabla de Contenido
Introduccin
Insercin del Certificado de la Autoridad de Certificacin
Solicite un certificado
Descargue su certificado
Pruebe su certificado
Descargue la lista de revocacin de certificados (CRL).
173
Introduccin
Este documento lo dirigir a travs de la puesta en marcha de su navegador para
trabajar con la Autoridad de certificacin (CA) de la Universidad Nacional
Experimental Politecnica Antonio Jose de Sucre sede Barquisimeto,.as como
tambin a la solicitud de un certificado y a su descarga una vez el mismo haya sido
firmado.
A continuacin una breve apreciacin general de este proceso, los pasos especficos
para realizarlo las podr encontrar en la seccin Solicite un certificado:
1. Inicie su navegador favorito (Firefox, Explorer, etc).
2. Solicite un certificado a la Autoridad de Certificacin en https://pub.unexpo.ve.
3. Luego, la Autoridad de Registro (RA) ms cercana requerir una reunin en
persona para verificar su identidad. Necesitarn ver sus documentos de identidad
(cdula de identidad o pasaporte, carn de identificacin de la UNEXPO).
4. La RA verifica el PIN que UD. introdujo cuando solicit su certificado.
5. Luego, la RA se asegura que UD. es parte de una organizacin reconocida.
6. Si se validan todos los criterios, la RA aprobar la solicitud.
7. El operador de la CA revisar la aprobacin y la firmar.
8. Ser notificado que su certificado est listo, va correo electrnico. El correo
contendr el nmero de serial y las instrucciones para obtener el certificado.
174
175
3. Ver un formulario que pedir sus detalles. Debe llenar este formulario con su
nombre verdadero (primero el apellido y luego el nombre separados por un solo
espacio), fecha de nacimiento. Suministre una direccin electrnica vlida
(preferiblemente del dominio unexpo.ve).
Seleccione la organizacin a la cual Ud. pertenece y as cmo la institucin. Tambin
debe colocar un correo electrnico alterno (si no posee otro correo puede dejar el
campo vaco), telfono, direccin, ciudad, estado y pas.
Seguido saldr una segunda pantalla donde puede colocar el DNS (el nombre de
dominio de su equipo) si as lo requiere, su correo y el nivel de seguridad que usted le
asigna a su llave.
Luego, por omisin le saldr el sistema criptogrfico RSA, introduzca una clave o
PIN que ser usado para verificar su identidad. El PIN puede contener letras y puede
ser relativamente largo pero no debe ser una contrasea que UD. use para proteger
datos importantes. Note que esto es slo para identificacin, y que realmente no
brinda proteccin.
4. Luego, ver la confirmacin con los datos que UD. introdujo. Revise los detalles y
luego oprima continuar. 5. Espere mientras el navegador genera el Par de Claves.
6. Recibir un mensaje diciendo que la solicitud ha sido exitosa. Su RA lo contactar
para una reunin para consignar sus documentos de identificacin. Si desea puede
imprimir su solicitud de certificado.
Una vez su certificado sea emitido, recibir un correo electrnico.
176
Descargue su certificado
Cuando su certificado es firmado, necesitar importarlo a su Navegador. Puede
realizar esto, siguiendo las instrucciones siguientes:
1. Abra el enlace en el e-mail que recibi con el navegador donde desea
descargar el certificado. El Certificado ser importado sin ninguna
confirmacin en absoluto.
2. Navegue al sitio Web de la CA en https://pub.unexpo.ve y haga clic en CA
Install My Certificate (instalar mi certificado).
Una vez all introduzca el nmero de serial dado en el correo electrnico que le
inform de la emisin de su certificado y presione OK.
Luego, seleccionar My Certificate (mi certificado) buscar la opcin de certificados
validos donde se puede observar el certificado realizado, al final del certificado se
observara la casilla para descargar dicho certificado
Note que solo puede importar el certificado en la misma computadora y navegador
donde UD. realiz la solicitud originalmente. Si no puede hacer esto, tendr que
comenzar nuevamente y habr perdido el par de claves. Un certificado es intil sin el
par de claves correspondiente!
Pruebe su certificado
Luego de descargar su Certificado, pruebe si funciona haciendo lo siguiente:
1. Navegue al sitio Web de la CA en https://pub.unexpo.ve. Haga clic en My
Certificate una vez all dirjase a la opcin Test Certificate (probar certificado)
2. Si se le pregunta, seleccione el Certificado que desea probar. Este debe ser alguno
de los que UD. acaba de solicitar.
177
178