Descargar

Implementación de una BridgeCA

Enviado por Pablo Turmero


Partes: 1, 2

    edu.red Objetivos Realizar una estudio de los principales modelos de certificación cruzada Jerárquica, Peer-to-Peer, BridgeCA, … Definir un modelo de confianza basado en una Federación de PKIs en un entorno real Escenario multidominio Tipos de relaciones entre las organizaciones Establecer los requerimientos de certificación Servicios de certificación Tipos y uso de las extensiones de certificados para certificación cruzada Desplegar el escenario

    edu.red Contenido Introducción Escenario real de certificación Modelo de confianza para una Federación de PKIs Conclusiones y Vías Futuras

    edu.red Certificación cruzada

    Establecer relaciones de confianza entre CAs Los certificados se pueden validar de forma automática por las terceras partes confiables La relación de confianza puede ser unidireccional o bidireccional Definidas por un certificado cruzado en cada sentido

    Certificado cruzado: Certificado de CA firmado por otra CA Porta las restricciones de la relación: extensiones Se definen caminos de certificación que hay que descubrir y validar

    forward reverse (Gp:) RootCA

    (Gp:) RootCA

    edu.red Principales modelos de Certificación Cruzada – Jerárquico Única CA Raíz Certificación unidireccional CA superior ? CA subordinada Fácil de implantar y mantener Caminos de certificación sencillos Modelo ideal para organizaciones con grandes requerimientos de control Útil para el caso de mono-dominios, pero surgen problemas en relaciones multi-dominio Relaciones con otras CAs Raíz

    (Gp:) RootCA

    (Gp:) SubCA

    (Gp:) SubCA

    (Gp:) end entity

    (Gp:) end entity

    edu.red Principales modelos de Certificación Cruzada – Peer-to-Peer Ideado para relaciones con CAs externas Relaciones bidireccionales CA1 ? CA2 CA2 ? CA1 Se establecen mallas de certificación Más complejo de implantar y gestionar Aumentan los caminos de certificación Aumenta la longitud de estos caminos Difíciles de descubrir (detección de búcles) Requiere un SLA (Service Level Agreement) entre las organizaciones Para n CAs ? n(n-1)/2 relaciones

    (Gp:) RootCA

    (Gp:) RootCA

    (Gp:) RootCA

    (Gp:) RootCA

    edu.red Principales modelos de Certificación Cruzada – BridgeCA Actúa como punto neutral de confianza Cada CA relacionada expande la nube de confianza, según las restricciones impuestas Es necesario establecer un SLA para cada relación Soluciona problema de escalabilidad anterior n CAs ? n relaciones

    (Gp:) RootCA

    (Gp:) RootCA

    (Gp:) RootCA

    (Gp:) RootCA

    (Gp:) BCA

    edu.red Principales modelos de Certificación Cruzada Otros modelos (1) Cross Recognition: “The (foreign) CA is regarded as trustworthy if it has been licensed/accredited by a formal licensing/accreditation body or has been audited by a trusted independent party”. Certificate Trusted List: “… a signed PKCS#7 data structure that can contain, among other things, a list of trusted CAs . A trusted CA is identified within the CTL by a hash of the public key certificate of the subject CA. The CTL also contains policy identifiers and supports the use of extensions”

    edu.red Principales modelos de Certificación Cruzada Otros modelos (2) Accreditation Certificate: “…it introduces the use of an accreditation certificate that could be used to indicate that a given CA is accredited by the Australian government.”

    edu.red Restricciones en Modelos de Certificación Cruzada Vendrán definidas por las extensiones que portan los certificados cruzados emitidos para establecer la relación Definidas en RFC3280 Basic Constraints Certificate Policies Name Constraints Policy Constraints Policy Mapping

    edu.red Descripción del escenario real Uso de la red definida por el proyecto Euro6IX Red IPv6 pan-europea Formada por IXs, proveedores de red y usuarios finales Participan las principales operadoras europeas TID, TILAB, BT, FT,… Cada IX ofrece servicios a nivel de aplicación Seguridad, QoS, movilidad, multihoming,… Seguridad: AAA, DNSSec, VPNs… Requisitos de certificación comunes ? Federación de PKIs

    Partes: 1, 2
    Página siguiente