PDF de programación - Implementación de una infraestructura de clave pública con herramientas de software libre

Implementación de una infraestructura de clave pública con

herramientas de software libre

Miguel Solinas1, Ricardo Justo Castello2, Leandro Tula3, Cesar Gallo4, Javier Jorge5, Daniel Bollo6

1,3,4,5 Lab.de Arquitectura de Computadoras, FCEFyN, UNC,

Av.Velez Sarsfield 1611, 5000 Córdoba, Argentina.



[email protected]; [email protected]; [email protected]; [email protected]




2,6 FCE, UNC,

Av. Valparaiso s/n - Ciudad Universitaria, 5000 Córdoba, Argentina.

[email protected]; [email protected]



Este trabajo se enmarca dentro del Proyecto de Investigación “Firma Digital en la UNC” aprobado y financiado por la Secretaría

de Ciencia y Tecnología de la UNC para el ciclo 2012-2013 y cuyo grupo de trabajo está integrado por Castello, Ricardo; Solinas

Miguel; Gallo Cesar Hugo; Tula Leandro Adolfo; Morales Hector Ruben; Jorge Javier; Rocha Vargas Marcelo Emilio; Montes

Alfredo Miguel; Bollo Daniel; Brunello, Miguel Fernando; y Gauna Eduardo Jesus.

Abstract.

En el año 2012, en oportunidad de participar en las auditorías de las Autoridades de Certificación
de la República Argentina, surgió la propuesta de pensar un laboratorio de firma digital para la Uni-
versidad Nacional de Córdoba (UNC). En la Facultad de Ciencias Exactas Físicas y Naturales
(FCEFyN), hay una carrera: Ingeniería en Computación, entre cuyos descriptores está contemplada el
área de conocimiento de la Seguridad Informática. Desde el año 2004 cuenta con una materia, Cripto-
grafía y Seguridad en Redes, donde se aborda el desarrollo de este conocimiento y se realizan expe-
riencias prácticas. Conjuntamente, la Facultad de Ciencias Económicas (FCE) tiene materias como
Tecnología de Información I, Auditoría de Sistemas Computarizados y Comercio Electrónico, donde
se desarrollan contenidos, referidos a firma digital, pensando en su utilización por parte del usuario
final. Un laboratorio de firma digital impactaría directamente con sus servicios a más de mil quinien-
tos alumnos de dos unidades académicas. Esto no descartaba la posibilidad, con la colaboración de la
Prosecretaría de Informática (PSI) de la misma Universidad, de pensar en recoger las experiencias del
uso de la firma digital en el ámbito académico, para trasladarlas al ámbito de la gestión administrativa
de la Universidad. Definitivamente un escenario que potenciaba el valor de un espacio dedicado a
brindar servicios de firma digital.

En ese contexto, se evaluó la posibilidad de construir una infraestructura de clave pública o “Pu-
blic Key Infrastructure” (PKI), utilizando software libre, dentro de la Universidad Nacional de Cór-
doba y aplicar los resultados de su experiencia a los procesos administrativos de la UNC. Para llevar
adelante esta propuesta, se la enmarcó en el proyecto de investigación conjunto entre la FCE y la
FCEFyN denominado “Firma Digital en la UNC”. La primera Unidad Académica evaluaría la mejor
manera y los procesos para introducir la tecnología y la segunda construiría un espacio tecnológico
para experimentar con su aplicación.

En este trabajo se relata el proceso de construcción de una infraestructura de clave pública, utili-
zando software libre, para una fase desarrollo y experimentación en el ámbito académico de la UNC.
En título 1 presentamos una introducción a los conceptos básicos de PKI, en el título 2 relatamos los
pasos previos a la búsqueda de una solución de software; en el 3 describimos las herramientas de
software libre por las que optamos; en 4 describimos las experiencias realizadas y por último en el tí-
tulo 5 presentamos algunas conclusiones.

Keywords: Seguridad Informática, PKI, Software Libre.



10masJornadasArgentinasdeSoftwareLibre,JSL201342JAIIO-JSL2013-ISSN:1850-2857-Page107 1

Introducción: Infraestructura de Clave Pública o PKI

La criptografía es el arte y ciencia de mantener los mensajes seguros; el criptoanálisis es el arte y ciencia
de romper los textos cifrados. Ambas se engloban en la rama de las matemáticas llamada criptología [1].
Hoy se desarrollan sistemas de seguridad que aplican la criptografía para mantener seguros los datos sen-
sibles de una comunicación. Entre ellos, por ejemplo, los que corresponden a transacciones comerciales
sobre internet.

En la criptografía moderna se pueden diferenciar dos claras vertientes, la criptografía simétrica y la
criptografía asimétrica o de clave pública. La primera se basa en algoritmos simétricos que usan una
misma clave para encriptar y desencriptar mensajes, y la segunda se basa en algoritmos de clave pública
que usan claves distintas para la encriptación y desencriptación.

Una PKI es el conjunto de hardware, software, personas, políticas y procedimientos que se necesitan
para crear, manejar, almacenar, distribuir y revocar certificados digitales basados en criptografía asimétri-
ca. Con ella es posible llevar adelante servicios de seguridad complejos para una comunicación distribui-
da geográficamente para una población numerosa de usuarios.

Los certificados digitales son una parte fundamental de la tecnología PKI. Son los contenedores para la
distribución de una de las claves: la pública. Los esfuerzos por desarrollar una arquitectura basada en
certificados en Internet llevaron a adoptar el modelo de arquitectura basado en los certificados X.509
desarrollado por el grupo de trabajo PKIX (Public-Key Infrastructure X.509) del IETF (Internet Engi-
neering Task Force). Un paréntesis: la misión del ITEF es básicamente hacer que internet funcione mejor
a través del uso de estándares abiertos. Actualmente el término PKIX hace referencia a la infraestructura
de clave pública basada en certificados X.509 y el término certificado PKIX usualmente hace referencia a
los perfiles de certificado y de listas de revocación basados en el estándar de certificados X.509 v3. Cabe
mencionar que el grupo de trabajo PKIX ha producido una serie de estándares para satisfacer las necesi-
dades de una PKIX, como el RFC 3280 (Certificate and CRL Profile), el RFC 2560 (Online Certificate
Status Profile), el RFC 3161 (Time Stamp Protocol), entre otros.

1.1 Componentes del modelo de una PKIX

En el modelo de una PKIX se pueden distinguir los siguientes componentes con sus respectivas funcio-
nes: Entidad Final, Autoridad de Certificación, Autoridad de Registro, Publicador de listas de certificados
revocados o “Certificate Revocation List” CRL y Repositorio. A continuación se presenta una breve des-
cripción de cada uno de ellos.


Entidad final.

Es el nombre genérico que reciben no sólo los usuarios de una PKI sino también los dispositivos que
forman parte de ella como ruteadores o servidores. Pueden ser identificados en el campo que define al
propietario del certificado X.509. Las entidades usuarios normalmente utilizan los servicios que ofrece la
PKI y los dispositivos normalmente los soportan.



Autoridad de Certificación (AC).

Es la entidad encargada de emitir los certificados digitales X.509 y usualmente también las CRL,
aunque a veces delega la función a un elemento Emisor de CRL. También puede desempeñar funciones
administrativas como las de registro de entidades finales o publicación de certificados pero normalmente
estas funciones son desempeñadas por las autoridades de registro. Existen como mínimo dos tipos de AC
– Ver Figura 1 – en una jerarquía de certificación: la AC Raíz (RootCA) y la AC Subordinada (SubCA).
La primera es la que emite certificados a otras AC subordinadas. La segunda es la que emite certificados
de entidad final y cuyo certificado ha sido firmado digitalmente por la AC raíz. En una jerarquía puede
haber una o varias AC subordinadas.



10masJornadasArgentinasdeSoftwareLibre,JSL201342JAIIO-JSL2013-ISSN:1850-2857-Page108 Figura 1: Jerarquía de certificación





Autoridad de Registro (AR).

Es un elemento opcional de la arquitectura PKIX que puede asumir algunas funciones administrativas
de la AR, tal vez la más común sea el proceso de registro de las entidades finales, pero también puede
realizar otras funciones como el proceso de revocación de certificados y el manejo de los datos de la enti-
dad final. Dentro de una jerarquía de certificación pueden existir una o varias autoridades de registro.



Emisor de CRL

Es una entidad opcional de la arquitectura PKIX a la que la AC puede delegar la función de emitir la

CRL. Algunas veces se encuentra integrada en la AC a modo de servicio.



Repositorio.

Es el término que hace referencia a cualquier método existente para almacenar certificados y CRL, y
así poder ser obtenidos por las entidades finales. Uno de estos métodos es el protocolo “Lightweight Di-
rectory Access Protocol” (LDAP).



Autoridad de Validación (AV).

En ciertas jerarquías de certificación puede existir un sexto elemento que se encarga de dar informa-
ción sobre la vigencia de los certificados digitales. Este elemento se llama Autoridad de Validación. Es
elemento encargado de recoger la información de los certificados que han sido revocados y publicados en
la CRL. Esta autoridad puede utilizar el protocolo “Online Certificate Status Protocol” (OCSP) para pres-
tar los servicios de validación y no está incluida en la arquitectura PKIX porque es común que estos ser-
vicios los preste la misma AC. Pero en caso que se requieran aislar los datos de la comprobación de la
vigencia de un certificado de los datos de identidad de su titular se recomienda usar una autoridad de
validación distinta de la de certificación.

1.2

Funciones de gestión de una PKIX

Para la gestión de una PKIX se define un Manual de Procedimientos Operativas que debe contemplar las
siguientes tareas:

Registro.