PDF de programación - Creación de una PKI para dispositivos móviles

Centro de Investigación y de Estudios Avanzados

del Instituto Politécnico Nacional

Unidad Zacatenco

Departamento de Computación

Creación de una infraestructura de clave pública para

dispositivos móviles

Tesis

que presenta

Javier Silva Pérez

para obtener el grado de

Maestro en Ciencias en Computación

Director de tesis

Dr. Guillermo Morales Luna

México, D.F.

Noviembre de 2012

Agradecimientos

Al finalizar este trabajo no puedo evitar pensar en todas las personas que me brin-

daron su apoyo, ya que sin ellas no hubiera sido posible concluir esta etapa de mi vida.

Primero que nada, quiero agradecer a esas personas que desde siempre me han brin-
dado su apoyo y confianza incondicional, a esas personas que han inculcado en mi todos
los valores que poseo, a esas personas que han dado todo para que pueda llegar hasta
donde estoy, a esas personas a las que les debo todo lo que soy, a esas personas a las que
es un orgullo llamar... mis padres.

A mis hermanas, que siempre estuvieron ahí cuando las necesite y cuando no también.

Gracias.

A Cyn, por saber siempre como levantarme el ánimo, por regalarme una sonrisa en
esos momentos difíciles, por nunca dudar de mí y siempre impulsarme para convertirme
en una mejor persona. Gracias por el apoyo que siempre me diste y la ayuda que siempre
me ofreciste. Pero sobre todo, gracias por el amor incondicional que siempre me mostraste.
Te amo.

A mi asesor Dr. Guillermo Morales, gracias por los consejos siempre útiles que me
brindo, por todo el conocimiento que me regalo, pero sobre todo gracias por su confianza
y paciencia a lo largo de este trabajo.

A mis sinodales Dr. Arturo Díaz y Dr. Dominique Decouchant, les agradezco haberse
tomado el tiempo para leer este trabajo y por los comentarios que me aportaron. Gracias.

Y claro, no puedo dejar de agradecer a todas aquellas personas que de una u otra
forma ayudaron a que este día llegara, a mis compañeros de generación, a mis profesores,
a Sofi y al personal del departamento. Gracias por el apoyo desinteresado.

Por último, quiero agradecer al CONACYT por la beca brindada. Gracias

Índice general

1. Introducción

1.1. Antecedentes y contexto de la investigación . . . . . . . . . . . . . . . . . .
1.2. Planteamiento del problema . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3. Objetivos del trabajo de investigación . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
1.4. Metodología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5. Organización de la tesis
. . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.3.1. Objetivo general
1.3.2. Objetivos específicos

2. Marco general de una PKI y estado del arte

2.1. Mecanismos criptográficos de seguridad . . . . . . . . . . . . . . . . . . . .
2.1.1. Servicios de seguridad . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.2. Criptografía simétrica
. . . . . . . . . . . . . . . . . . . . . . . . .
2.1.3. Funciones “picadillo” . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.4. Criptografía asimétrica . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.5. Resumen de mecanismos de seguridad . . . . . . . . . . . . . . . . .
Infraestructura de clave pública (PKI)
. . . . . . . . . . . . . . . . . . . .
2.2.1. Clave pública . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2. Componentes básicos . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.3. Estructuras de datos . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.4. Modelos de Confianza . . . . . . . . . . . . . . . . . . . . . . . . .
2.3. Revisión del estado de arte . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.2.

3. Diseño de la PKI

3.1. Proceso de diseño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1. Definir requerimientos de certificación . . . . . . . . . . . . . . . . .
3.1.2. Definir modelo de confianza de la infraestructura . . . . . . . . . .
3.1.3. Definir opciones de configuración de los certificados . . . . . . . . .
3.1.4. Definir plan de administración de certificados
. . . . . . . . . . . .
3.2. Descripción y características de la PKI . . . . . . . . . . . . . . . . . . . .
3.2.1. Requerimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.2. Modelo de confianza . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.3. Opciones de configuración de certificados . . . . . . . . . . . . . . .

1
1
3
5
5
6
6
7

9
9
9
10
10
12
14
14
15
16
18
20
26

33
34
34
36
39
42
44
45
47
52

i

ii

Índice general

3.3. Declaración de políticas de certificación . . . . . . . . . . . . . . . . . . . .
3.3.1.
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.2. Repositorios y publicación de la información . . . . . . . . . . . . .
3.3.3. Obligaciones de los titulares . . . . . . . . . . . . . . . . . . . . . .
. . . .
3.3.4.
3.3.5. Requisitos operacionales para el ciclo de vida de los certificados
. .
3.3.6. Perfiles de los certificados y CRL . . . . . . . . . . . . . . . . . . .

Identificación y autenticación de los titulares de certificados

4. Implementación y pruebas sobre la plataforma móvil

4.1. Diseño del API

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.1. Diagrama “entidad-relación” . . . . . . . . . . . . . . . . . . . . . .
4.1.2. Diagrama de paquetes
. . . . . . . . . . . . . . . . . . . . . . . . .
4.1.3. Diagrama de clases . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2.1. Características de la API . . . . . . . . . . . . . . . . . . . . . . . .
4.2.2. Pruebas funcionales . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2.3. Pruebas de rendimiento
. . . . . . . . . . . . . . . . . . . . . . . .

4.2. Pruebas de la API

55
56
59
59
60
61
69

73
73
74
75
77
90
91
95
96

5. Aplicación de prueba para Android

107
5.1. Android para dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . 107
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
5.1.1. Características
5.1.2. Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
5.1.3. Componentes de una aplicación . . . . . . . . . . . . . . . . . . . . 111
5.2. Aplicación de prueba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.2.1. Características principales . . . . . . . . . . . . . . . . . . . . . . . 113
5.2.2. Diagrama de Paquetes . . . . . . . . . . . . . . . . . . . . . . . . . 115

6. Conclusiones y trabajo a futuro

117
6.1. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
6.2. Trabajo a futuro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

Bibliografía

121

A. Manual de Uso

125
A.1. Características de diseño . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
A.2. Interfaces de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Índice de figuras

1.1. Disco de cifrado utilizado en la Guerra Civil de EUA. . . . . . . . . . . . .

2.1. Esquema básico de criptografía simétrica. . . . . . . . . . . . . . . . . . . .
2.2. Esquema básico de funciones picadillo.
. . . . . . . . . . . . . . . . . . . .
2.3. Esquema básico de funciones HMAC.
. . . . . . . . . . . . . . . . . . . . .
2.4. Esquema básico de criptografía asimétrica - Cifrado. . . . . . . . . . . . . .
2.5. Esquema básico de criptografía asimétrica - Firma Digital.
. . . . . . . . .
. . . . . . . . . . . . . . . . . . .
2.6. Relación entre componentes de una PKI.
. . . . . . . . . . . . . . . . . . . . . .
2.7. Estructura de un certificado X.509.
2.8. Cadena de certificación de dos niveles.
. . . . . . . . . . . . . . . . . . . .
2.9. Estructura de una CRL.
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.10. Ejemplo de una estructura jerárquica. . . . . . . . . . . . . . . . . . . . . .
2.12. Ejemplo de un modelo jerárquico múltiple.
. . . . . . . . . . . . . . . . . .
2.11. Ejemplo de un modelo jerárquica.
. . . . . . . . . . . . . . . . . . . . . . .
2.13. Ejemplo de un modelo de malla. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
2.14. Ejemplo de un modelo mixto.
2.15. Ejemplo de un modelo con puente.
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
2.16. Ejemplo de una red de confianza.

3.1. Proceso para diseñar una PKI. . . . . . . . . . . . . . . . . . . . . . . . . .
3.2. Subproceso para definir los requerimientos de certificación.
. . . . . . . . .
3.3. Subproceso para establecer el modelo de confianza.
. . . . . . . . . . . . .
3.4. Subproceso para definir las opciones de configuración de los certificados. . .
3.5. Subproceso para definir el plan de administración de certificados.
. . . . .
3.6. Ejemplo de un modelo de confianza jerárquico de la PKI. . . . . . . . . . .
3.7. Ejemplo de un modelo de red de confianza de la PKI. . . . . . . . . . . . .
3.8. Esquema implementado de criptografía asimétrica - Firma digital.
. . . . .
. . . . . . . .
3.9. Esquema implementado de criptografía asimétrica - Cifrado.
. . . . . . . . . . . . . . . . . . . . . . . .
3.10. Arquitectura general de la PKI.
. . . . . . . . . . . .
3.11. Proceso de solicitud de certificado con claves propias.
3.12. Proceso de solicitud de certificado con generación de nuevas claves.
. . . .
. . . . . . . . . . . . . . . .
3.13. Proceso de renovación remota de certificados.
3.14. Proceso de renovación presencial de certificados.
. . . . . . . . . . . . . . .
3.15. Proceso de revocación de certificados. . . . . . . . . . . . . . . . . . . . . .

2

11
11
12
13
13
17
19
20
21
21
22
22
23
24
25
25

34
35
37
40
43
49
50
54
55
56
62
63
66
67
69

iii

iv

Índice de figuras

. . . . . . . . . . . . . . . . . . . . . . . .
4.1. Diagrama de Entidad-Relación.
. .