Tema 2

¿Qué es una CP?.

Explicame y dime las listas de certificados revocados.

¿Qué es el concepto Delta CRL?.

¿Qué es el OCSP o Online Certificate Status Protocol?.

¿Qué es el OCSP o Online Certificate Status Protocol?. Definido en la RFC 2560, es un protocolo también utilizado en la revocación de los certificados X.509, el cual se desarrolló como alternativa a las CRL. El propósito de OCSP es facilitar la verificación en línea de los certificados evitando posibles fallos en el proceso de revocación debido a CRL desactualizadas. Solicitud: se realiza desde un cliente OCSP a un servidor OCSP y contiene la versión del protocolo, el servicio solicitado, el identificador del certificado del cual se desea conocer el estado y, opcionalmente, extensiones. Respuesta: el servidor OCSP responde al cliente OCSP. Hay múltiples tipos de respuesta y no todas son soportadas por los servidores OCSP, aunque sí un tipo básico. Todas las respuestas, con independencia del tipo, han de ser firmadas por el servidor OCSP.

Explica cómo funcionan las solicitudes de firma de certificados (CSR). La solicitud de firma de un certificado (del inglés Certificate Signing Request, CSR), es un formato para realizar la solicitud de certificados, definidos en el estándar PKCS#10/RFC 2986. Las CSR se utilizan para proporcionar a las CA toda la información necesaria para la emisión de certificados, evitando proporcionar la clave privada del solicitante. En el proceso de solicitud de un certificado se pueden distinguir las siguientes fases:. 1. La entidad que solicita el certificado construye una solicitud del mismo, la cual está compuesta por tres grandes campos de la información: -Información de solicitud del certificado. Esta información contiene: -Versión de la solicitud (debe ser 0 en la actualidad). -Nombre del solicitante. -Clave pública del solicitante. -Otros atributos que proporcionan información adicional sobre el solicitante. -Firma de la solicitud. -Algoritmo utilizado para realizar la firma. 2. El solicitante firma la solicitud (con su clave privada). 3. La solicitud, la firma y el algoritmo de firma son enviados a la CA deseada o a una AR delegada, la cual completa la petición autenticando al solicitante y verificando la firma realizada. También comprueba que la solicitud se ajusta a la PC de la CA, tal y como se introdujo anteriormente. Así, por ejemplo, si la solicitud especifica que el certificado tenga una validez de 10 años, una CA cuyo plazo máximo de certificación sea 4 años impondrá esta duración en los certificados, ignorando la duración solicitada. 4. Si la solicitud es válida y se puede ajustar a la CP establecida, se construye un certificado X.509 indicando el nombre del solicitante y su clave pública, el nombre de la CA emisora, el número de serie de la CA, el periodo de validez del certificado y el algoritmo de firma, es decir, se construye un certificado de clave pública con todos los campos indicados en el Capítulo 1.

¿Qué es una CP?. CP se define como “un conjunto de reglas que indican la aplicación de un certificado en una comunidad y / o en un tipo de aplicación con objetivos comunes de seguridad. Se distinguen en dos categorías:. CP que indican la aplicación de un certificado en una comunidad concreta, enfocadas a establecer los requisitos para el uso de los certificados y para los miembros de la comunidad que hace uso de ellos. CP que indican la aplicación de un certificado a un tipo de aplicación con unos objetivos comunes de seguridad, cuyo propósito es identificar el conjunto de aplicaciones y los usos de los certificados y establecer los niveles de seguridad en cada caso, los cuales se dividen en tipos o clases. Además, esta última categoría establece los requisitos que la PKI ha de cumplir en las aplicaciones y usos identificados.

Explicame y dime las listas de certificados revocados. Cuando el propietario de un certificado considera que este ya no es válido, puede llevar a cabo la revocación del mismo. Las razones son numerosas y, en base al estándar X.509:. -Inespecífica, ninguna razón se señala. -La clave privada asociada al certificado es comprometida. -La clave privada de la CA que emitió certificados es comprometida. -El propietario del certificado rompe el vínculo con el emisor del certificado y o no tiene derecho de acceso al mismo o no lo necesita. -Otro certificado reemplaza a uno existente. -La CA que emitió un certificado deja de ser operable. -Un certificado se mantiene a la espera de alguna acción. En este estado se considera revocado hasta el momento en que sea activado y nuevamente válido.

¿Qué es el concepto Delta CRL?. Tal y como se ha mencionado anteriormente, la CRL se publica periódicamente. Este modo de funcionamiento introduce un problema práctico de máxima importancia: cómo difundir, en el intervalo entre dos CRL, los certificados que quedan revocados. Para paliar esta traumática situación se definieron las Delta CRL o, lo que es lo mismo, fragmentos reducidos de CRL que contienen los certificados revocados desde la última lista publicada. Gracias a la Delta CRL el mecanismo adquiere cierto dinamismo, pues se reduce el periodo de incertidumbre. Las Delta CRL suponen una reducción del problema planteado, pero no proporcionan una inmediatez completa.

Explica cómo funcionan las solicitudes de firma de certificados (CSR).

Un certificado puede contener atributos o la clave privada del propietario. Verdadero. Falso.

La verificación de la entidad que solicita un certificado siempre se realiza por una Autoridad de Registro delegada por una CA. Verdadero. Falso.

La arquitectura de PKI jerárquica dispone de un CA raíz. Verdadero. Falso.

Relacione las siguientes entidades con las funciones que realizan. Autoridad de certificacion. Autoridad de registro. Autoridad de atributos. Propietario del privilegio.

Una CRL es una lista que contiene... . ... el algoritmo de firma, la firma, el nombre del emisor, la fecha de validez, la lista de certificados revocados, el nombre del emisor y extensiones. … el algoritmo de firma, la firma, el nombre del emisor, el día de la emisiones la lista, el día de la emisión de la nueva lista de certificados revocados y extensiones. . ... el algoritmo de firma, la firma, el nombre del emisor, la fecha de validez, la lista de certificados revocados, el nombre del emisor y extensiones. . ... el algoritmo de firma, el nombre del emisor, el día de emisión de lista, el día de revocación de la lista, la lista de certificados revocados y extensiones.

Cual de las siguientes afirmaciones es FALSA. Las CPS pueden utilizarse para escoger un CA. Una CPS pueden ser parcialmente publica. Cada CP aplica a múltiples CA. Cada CPS aplica a múltiples CA.

Cual de las siguientes afirmaciones es verdadera. OCSP evita el intercambio de información sensible. Las Delta CRL eliminan por completo el problema de utilización de las CRL. El protocolo OCSP se basa en ,os mensajes de solicitud, repuesta y aceptación. Las CRL se actualizan frecuentemente, es decir, mensualmente.

. Selecciones la o las afirmaciones verdaderas. En PKI los certificados asocian a un usuario con su clave pública y en PMI asocian a un usuario con un único atributo. En PKI y PMI la gestión de la revocación es similar. En PKI se hace uso de CRL y en PMI de ACRL. En el modelo “push” de uso de los certificados de atributos, la asignación de privilegios se realiza en el lado del cliente. Por el contrario, en el modelo “pull” es posible causar una sobrecarga en el servidor puesto que es este el que ha de identificar el/los certificados del usuario que solicita acceso. Los usos más comunes de los certificados de atributos son el control de acceso, la autenticación en origen y el no repudio en presentación. Algunas de las aplicaciones que hacen uso de una PKI son la autenticación, aunque es fundamental utilizar una contraseña compleja para almacenar la clave secreta y la firma, siendo imprescindible considerar su validez.

¿Cuál es la norma que regula la existencia de estas entidades y su modelo de relaciones?.

Entidades participantes. Autoridad de Certificación (en adelante CA, del inglés Certification Authority). Sus funciones son similares a las de un notario. Acredita o certifica la identidad de una determinada entidad. Desde el punto de vista externo existen dos atributos que la identifican: su nombre y su clave pública. Una CA realiza cuatro funciones fundamentales: emitir certificados, mantener información actualizada sobre el estado de los certificados y emitir listas de certificados revocados.

¿Cuáles son las funciones de gestión?. La norma X.509 establece 7 funciones de gestión que tienen lugar en las relaciones entre una entidad final (por ejemplo, un usuario) y la CA. 1- El registro, que constituye el primer acercamiento de la entidad a la CA. 2- Operación de inicialización es fundamental para que la entidad final pueda ser capaz de verificar los certificados recibidos. 3- La certificación propiamente dicha, en la que se emite el certificado de clave pública que acredita que la clave pública pertenece a la entidad correspondiente. 4- Una copia de respaldo, a fin de que el usuario pueda recuperarla en caso de pérdida. 5- Actualizar el par de claves. Por doble motivo: 1 Dificultar los ataques que pretendan adivinar o averiguar la clave privada. 2 Limitar el posible impacto que ese ataque pudiera tener al renovar el par de claves. 6- Revocación de la clave. Reducir los efectos de un posible ataque o pérdida de una clave. Certificación cruzada, es decir, con la posibilidad de que una CA pueda emitir un certificado para otra CA que le permita a la segunda emitir certificados que sean válidos también para la primera.

Lista de certificados revocados (CRL). Inespecífica, ninguna razón se señala. La clave privada asociada al certificado es comprometida. La clave privada de la CA que emitió certificados es comprometida. El propietario del certificado rompe el vínculo con el emisor del certificado y o no tiene derecho de acceso al mismo o no lo necesita. Otro certificado reemplaza a uno existente. La CA que emitió un certificado deja de ser operable. Un certificado se mantiene a la espera de alguna acción. En este estado se considera revocado hasta el momento en que sea activado y nuevamente válido.

Delta CRL. Es una lista corta que contiene solo las actualizaciones desde la última CRL completa. Reduce el ancho de banda y tiempo necesario para obtener información de revocación de certificados, mejorando la eficiencia en la administración de seguridad de certificados en sistemas y redes. Un pan de kg.

Como funcionan las solicitudes de firma de un certificado CSR. Es una solicitud de certificado que un servidor envía a una autoridad de certificación, incluyendo su clave pública y detalles de identificación. Se utiliza para obtener certificados digitales que aseguran conexiones en línea. Balón de oro Kaka.