La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en Java Seguridad y protección de sistemas informáticos Gorka LEGUINA GRACIA Christian MOHRING Marcos ZAMARREÑO JUANAS.

Presentaciones similares


Presentación del tema: "Seguridad en Java Seguridad y protección de sistemas informáticos Gorka LEGUINA GRACIA Christian MOHRING Marcos ZAMARREÑO JUANAS."— Transcripción de la presentación:

1 Seguridad en Java Seguridad y protección de sistemas informáticos Gorka LEGUINA GRACIA Christian MOHRING Marcos ZAMARREÑO JUANAS

2 Índice 1.Introducción 2.Criptología 3.Criptografía 4.Técnicas criptográficas 5.Certificados digitales 6.Protocolos SSL y TLS 7. Seguridad en el entorno Java 8.Arquitectura criptográfica 9.Interfaces de seguridad 10.Extensión de sockets seguros de Java 11.Servicio de autorización y autentificación 12. Bibliografía

3 1.Introducción Java es: Un lenguaje de programación. Una plataforma software: Máquina virtual Arquitecturas y Interfaces (API) Esta API proporciona una multitud de capacidades útiles; nos centraremos en aquellas relacionadas con la seguridad.

4 1.Introducción Interfaces y arquitecturas de seguridad: Criptología Técnicas criptográficas Certificados Digitales Protocolos SSL y TLS Seguridad en el entorno Java Arquitectura criptográfica Interfaces de seguridad Extensión de Sockets Seguros de Java (JSSE) Servicio de Autentificación y Autorización de Java (JAAS)

5 2.Criptología Consiste en el estudio de sistemas que proporcionan un medio seguro para el intercambio de información. Sus principales áreas son: Criptografía: Ciencia de cifrar y descifrar la información mediante la aplicación de una serie de algoritmos. Técnicas criptográficas: Métodos con el fin de obtener un mensaje previamente cifrado, mediante la obtención de la clave usada para cifrar el mensaje

6 3. Criptografía Principales algoritmos Clave pública o simétricos: Emplean dos claves una pública y otra privada, esta solo es obtenible a partir de la primera mediante el uso de una función matemática de un único sentido. Tipos: Reversibles Irreversibles Intercambio de claves

7 3. Criptografía Principales algoritmos Algoritmos de resumen de mensajes: Es aquel que toma como entrada un mensaje de longitud variable y produce un resumen de longitud fija. Códigos de autentificación de mensajes y firmas digitales: Permiten la autentificación de las partes para asegurarse entre quien se establece la comunicación sin lugar al error para ello usarán una clave MAC.

8 3. Criptografía Seguridad de los sistemas criptográficos. Depende de que al menos una de las claves empleadas sea secreta, más que de que lo sea el algoritmo. Existen diferentes niveles de seguridad: Computacionalmente: Dependen del poder computacional de la máquina. Incondicionalmente: Caso contrario.

9 3. Criptografía Si un sistema criptográfico es descifrado, puede ser roto en varios niveles: Deducción de información: Se obtiene parte de la clave o del texto en claro. Deducción de una instancia: Se obtiene el texto en claro a partir de un texto cifrado. Deducción global: A partir de la deducción de una instancia se obtiene un algoritmo similar al original. Rotura total: Se descifra la clave y se puede descifrar cualquier mensaje.

10 3. Criptografía Aplicaciones: Seguridad de comunicaciones: Es la más importante ya que permiten establecer canales seguros sobre redes que no lo son. Identificación y autentificación: Permite identificar a un individuo o validar el acceso a un recurso en un entorno de red garantías. Certificación: Es un esquema mediante el cual agentes fiables validan la identidad de agentes desconocidos. Comercio electrónico: El uso de canales seguros y mecanismos de identificación lo posibilita.

11 4. Técnicas Criptográficas Cifrado simétrico: La clave es privada y conocida tanto por emisor como por receptor. La clave privada es más rápida, por lo que se utiliza como clave dentro de una sesión. DES AES RC2 SAFER IDEA

12 4. Técnicas Criptográficas Cifrado asimétrico: Las claves de cifrado y descifrado son independientes, por lo cual puede hacerse pública la de cifrado. Los algoritmos de clave pública son más lentos y por lo tanto se utilizan para intercambiar las claves de sesión. RSA Diffie-Hellman

13 4. Técnicas Criptográficas Funciones de dispersión Firmas Digitales DSA (Algoritmo Estándar de Firmado) está basado en el problema de los logaritmos discretos y sólo puede emplearse para las firmas digitales. Pierde flexibilidad respecto al RSA, la verificación de firmas es lenta y la versión original empleaba claves que lo hacen poco seguro.

14 5.Certificados Digitales Un Certificado Digital (o certificado de clave pública) es un documento digital mediante el cual una autoridad (CA)garantiza la vinculación entre la identidad de una entidad y su clave pública. CA: Un ente u organismo que de acuerdo con unas políticas certificara claves públicas de usuarios o servidores.

15 5.Certificados Digitales Tareas de una Autoridad Certificadora: Administración de solicitudes mediante la cumplimentación de un formulario. Generación de certificados. Distribución de certificados. Verificar que una autoridad certificadora ha emitido un certificado y detectar si es o no válido.

16 5.Certificados Digitales Ejemplo de certificado digitales X.509 Versión: Contiene el número de versión del certificado codificado. Número de serie del certificado: Es un entero único asignado por la autoridad certificadora. Identificador del algoritmo de firmado: Identifica el algoritmo empleado para firmar el certificado (por ejemplo el RSA o el DSA). Nombre del emisor: Identifica la CA que ha firmado y emitido el certificado. Periodo de validez: Consiste en una fecha inicial y la fecha después de la cual el certificado deja de serlo. Nombre del sujeto: Identifica la identidad cuya clave pública está certificada en el campo siguiente. Información de clave pública del sujeto: Contiene la clave pública, sus parámetros y el identificador del algoritmo. Identificador único del emisor: Este es un campo opcional que permite reutilizar nombres de emisor. Identificador único del sujeto: Este es un campo opcional que permite reutilizar nombres de sujeto. Extensiones.

17 6.Los protocolos SSL y TLS SSL (Secure Socket Layer): Proporciona servicios de seguridad, cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico (RC4) y cifrando la clave de sesión mediante un algoritmo de clave pública(RSA). Cuando el cliente pide al servidor una comunicación segura, el servidor abre un puerto cifrado gestionado el protocolo SSL Record. Siendo el protocolo SSL Handshake quien lo utilice

18 6.Los protocolos SSL y TLS Fases del protocolo SSL Handshake Hola: Usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la autenticación. Intercambio de claves: Intercambia información, para que ambas partes comparten una clave maestra. Producción de clave de sesión: Usada para cifrar los datos intercambiados. Verificación del servidor: Sirve para que el cliente autentique al servidor. Autenticación del cliente: En la que el servidor solicita al cliente un certificado X.509. Fase de fin: Indica que se puede comenzar la sesión segura.

19 6.Los protocolos SSL y TLS TLS (Transport Layer Security ) sucesor del SSL. Sus objetivo principales son: Seguridad: El protocolo se debe emplear para establecer una conexión segura entre dos partes. Interoperabilidad: Aplicaciones distintas deben poder intercambiar parámetros criptográficos sin necesidad de que ninguna de las dos conozca el código de la otra. Extensibilidad: El protocolo permite la incorporación de nuevos algoritmos criptográficos.

20 12.Bibliografía [1] Maite Villalba de Benito, Seguridad y protección de los sistemas informáticos. Tema 1-Tema 2-Tema 3- Tema 4, Escuela Superior Politécnica, Área de tecnologías de la información y comunicaciones, Universidad Europea de Madrid. [Recurso pdf] [2] Sergio Talens-Oliag, Seguridad en Java, ITI: Instituto Tecnológico de la Información, Diciembre de [Recurso on- line]. [3] Gonzalo Álvarez Marañón, Seguridad en Java, 18 de Marzo del [Recurso on-line] [4] JAVA API [Recurso on-line] [5] La wiki de Java [recurso on-line]


Descargar ppt "Seguridad en Java Seguridad y protección de sistemas informáticos Gorka LEGUINA GRACIA Christian MOHRING Marcos ZAMARREÑO JUANAS."

Presentaciones similares


Anuncios Google