Objetivos Realizar una estudio de los principales modelos de certificación cruzada Jerárquica, Peer-to-Peer, BridgeCA, … Definir un modelo de confianza basado en una Federación de PKIs en un entorno real Escenario multidominio Tipos de relaciones entre las organizaciones Establecer los requerimientos de certificación Servicios de certificación Tipos y uso de las extensiones de certificados para certificación cruzada Desplegar el escenario 
Contenido Introducción Escenario real de certificación Modelo de confianza para una Federación de PKIs Conclusiones y Vías Futuras
Certificación cruzada
Establecer relaciones de confianza entre CAs Los certificados se pueden validar de forma automática por las terceras partes confiables La relación de confianza puede ser unidireccional o bidireccional Definidas por un certificado cruzado en cada sentido
Certificado cruzado: Certificado de CA firmado por otra CA Porta las restricciones de la relación: extensiones Se definen caminos de certificación que hay que descubrir y validar
forward reverse (Gp:) RootCA
(Gp:) RootCA
Principales modelos de Certificación Cruzada – Jerárquico Única CA Raíz Certificación unidireccional CA superior ? CA subordinada Fácil de implantar y mantener Caminos de certificación sencillos Modelo ideal para organizaciones con grandes requerimientos de control Útil para el caso de mono-dominios, pero surgen problemas en relaciones multi-dominio Relaciones con otras CAs Raíz
(Gp:) RootCA
(Gp:) SubCA
(Gp:) SubCA
(Gp:) end entity
(Gp:) end entity
Principales modelos de Certificación Cruzada – Peer-to-Peer Ideado para relaciones con CAs externas Relaciones bidireccionales CA1 ? CA2 CA2 ? CA1 Se establecen mallas de certificación Más complejo de implantar y gestionar Aumentan los caminos de certificación Aumenta la longitud de estos caminos Difíciles de descubrir (detección de búcles) Requiere un SLA (Service Level Agreement) entre las organizaciones Para n CAs ? n(n-1)/2 relaciones
(Gp:) RootCA
(Gp:) RootCA
(Gp:) RootCA
(Gp:) RootCA
Principales modelos de Certificación Cruzada – BridgeCA Actúa como punto neutral de confianza Cada CA relacionada expande la nube de confianza, según las restricciones impuestas Es necesario establecer un SLA para cada relación Soluciona problema de escalabilidad anterior n CAs ? n relaciones
(Gp:) RootCA
(Gp:) RootCA
(Gp:) RootCA
(Gp:) RootCA
(Gp:) BCA
Principales modelos de Certificación Cruzada Otros modelos (1) Cross Recognition: “The (foreign) CA is regarded as trustworthy if it has been licensed/accredited by a formal licensing/accreditation body or has been audited by a trusted independent party”. Certificate Trusted List: “… a signed PKCS#7 data structure that can contain, among other things, a list of trusted CAs . A trusted CA is identified within the CTL by a hash of the public key certificate of the subject CA. The CTL also contains policy identifiers and supports the use of extensions”
Principales modelos de Certificación Cruzada Otros modelos (2) Accreditation Certificate: “…it introduces the use of an accreditation certificate that could be used to indicate that a given CA is accredited by the Australian government.”
Restricciones en Modelos de Certificación Cruzada Vendrán definidas por las extensiones que portan los certificados cruzados emitidos para establecer la relación Definidas en RFC3280 Basic Constraints Certificate Policies Name Constraints Policy Constraints Policy Mapping
Descripción del escenario real Uso de la red definida por el proyecto Euro6IX Red IPv6 pan-europea Formada por IXs, proveedores de red y usuarios finales Participan las principales operadoras europeas TID, TILAB, BT, FT,… Cada IX ofrece servicios a nivel de aplicación Seguridad, QoS, movilidad, multihoming,… Seguridad: AAA, DNSSec, VPNs… Requisitos de certificación comunes ? Federación de PKIs
| Página siguiente |