Objetivos
Realizar una estudio de los principales modelos de certificación cruzada
Jerárquica, Peer-to-Peer, BridgeCA, …
Definir un modelo de confianza basado en una Federación de PKIs en un entorno real
Escenario multidominio
Tipos de relaciones entre las organizaciones
Establecer los requerimientos de certificación
Servicios de certificación
Tipos y uso de las extensiones de certificados para certificación cruzada
Desplegar el escenario
Contenido
Introducción
Escenario real de certificación
Modelo de confianza para una Federación de PKIs
Conclusiones y Vías Futuras
Certificación cruzada
Establecer relaciones de confianza entre CAs
Los certificados se pueden validar de forma automática por las terceras partes confiables
La relación de confianza puede ser unidireccional o bidireccional
Definidas por un certificado cruzado en cada sentido
Certificado cruzado:
Certificado de CA firmado por otra CA
Porta las restricciones de la relación: extensiones
Se definen caminos de certificación que hay que descubrir y validar
forward
reverse
(Gp:) RootCA
(Gp:) RootCA
Principales modelos de Certificación Cruzada – Jerárquico
Única CA Raíz
Certificación unidireccional
CA superior ? CA subordinada
Fácil de implantar y mantener
Caminos de certificación sencillos
Modelo ideal para
organizaciones con grandes
requerimientos de control
Útil para el caso de mono-dominios, pero surgen problemas en relaciones multi-dominio
Relaciones con otras CAs Raíz
(Gp:) RootCA
(Gp:) SubCA
(Gp:) SubCA
(Gp:) end entity
(Gp:) end entity
Principales modelos de Certificación Cruzada – Peer-to-Peer
Ideado para relaciones con CAs externas
Relaciones bidireccionales
CA1 ? CA2
CA2 ? CA1
Se establecen mallas de certificación
Más complejo de implantar y gestionar
Aumentan los caminos de certificación
Aumenta la longitud de estos caminos
Difíciles de descubrir (detección de búcles)
Requiere un SLA (Service Level Agreement) entre las organizaciones
Para n CAs ? n(n-1)/2 relaciones
(Gp:) RootCA
(Gp:) RootCA
(Gp:) RootCA
(Gp:) RootCA
Principales modelos de Certificación Cruzada – BridgeCA
Actúa como punto neutral
de confianza
Cada CA relacionada expande la
nube de confianza, según las
restricciones impuestas
Es necesario establecer un SLA para cada
relación
Soluciona problema de escalabilidad anterior
n CAs ? n relaciones
(Gp:) RootCA
(Gp:) RootCA
(Gp:) RootCA
(Gp:) RootCA
(Gp:) BCA
Principales modelos de Certificación Cruzada
Otros modelos (1)
Cross Recognition: “The (foreign) CA is regarded as trustworthy if it has been licensed/accredited by a formal licensing/accreditation body or has been audited by a trusted independent party”.
Certificate Trusted List: “… a signed PKCS#7 data structure that can contain, among other things, a list of trusted CAs . A trusted CA is identified within the CTL by a hash of the public key certificate of the subject CA. The CTL also contains policy identifiers and supports the use of extensions”
Principales modelos de Certificación Cruzada
Otros modelos (2)
Accreditation Certificate: “…it introduces the use of an accreditation certificate that could be used to indicate that a given CA is accredited by the Australian government.”
Restricciones en Modelos de Certificación Cruzada
Vendrán definidas por las extensiones que portan los certificados cruzados emitidos para establecer la relación
Definidas en RFC3280
Basic Constraints
Certificate Policies
Name Constraints
Policy Constraints
Policy Mapping
Descripción del escenario real
Uso de la red definida por el proyecto Euro6IX
Red IPv6 pan-europea
Formada por IXs, proveedores de red y usuarios finales
Participan las principales operadoras europeas
TID, TILAB, BT, FT,…
Cada IX ofrece servicios a nivel de aplicación
Seguridad, QoS, movilidad, multihoming,…
Seguridad: AAA, DNSSec, VPNs…
Requisitos de certificación comunes ? Federación de PKIs
Página siguiente |