Contenidos Seguridad en Internet Canonización XML Signature XML Encryption Otros vocabularios de seguridad. Seguridad en XML. Jose Emilio Labra Gayo

Transcripción

1 Noviembre 2006

2 Contenidos Seguridad en Internet Canonización XML Signature XML Encryption Otros vocabularios de seguridad

3 Requisitos de seguridad Confidencialidad: garantizar que la información no es visible a extraños Autenticación: garantiza que el acceso a la información sólo puede ser realizado por quienes proporcionan la identidad adecuada. Integridad: asegurar que el mensaje no ha sido modificado accidental o deliberadamente No repudiación: garantiza que el emisor del mensaje no puede negar haberlo enviado

4 Claves simétricas vs asimétricas Un sistema utiliza claves simétricas si la misma clave sirve para cifrar y para descifrar un documento En un sistema de claves asimétricas se utiliza una clave para cifrar y otra para descifrar el documento

5 Canonización Un mismo contenido puede ser representado de varias formas en XML Doc1.xml <img s r c= pp. j p g a l t= Foto de Pepe ></img> Doc2.xml <img s r c= pp. j p g a l t= Foto de Pepe /> Doc3.xml <img a l t= Foto de Pepe s r c= pp. j p g />

6 Canonización Varias propuestas de W3C: C14N (Marzo 2001) Exclusive C14N (Julio 2002) soluciona algunos problemas del anterior.

7 XML Signature XML Digital Signature (2002) permite demostrar la identidad y autenticidad del documento Objetivo: Integridad y autenticación Es básica la canonización para identificar documentos comunes

8 Estructura de XML SIgnature SignedInfo contiene la información que es firmada. Incluye: CanonizalizationMethod: algoritmo utilizado para canonizar el elemento SignatureMethod: algoritmo para convertir signedinfo en signaturevalue Reference incluye el método para obtener la firma (digest) y el valor, así como otras transformaciones realizadas SignatureValue incluye el valor de la firma KeyInfo indica la la clave a utilizar para validar la firma

9 Estructura de XML Signature

10 Ejemplo de XML Digital Signature (1) <S i g n a t u r e I d= M y F i r s t S i g n a t u r e xmlns= h t t p : //www. w3. org /2000/09/ x m l d s i g# > <S i g n e d I n f o> <C a n o n i c a l i z a t i o n M e t h o d A l g o r i t h m= h t t p : //www. w3. org /TR/2001/REC xml c14n /> <SignatureMethod A l g o r i t h m= h t t p : //www. w3. org /2000/09/ x m l d s i g#dsa <R e f e r e n c e URI= h t t p : //www. w3. org /TR/2000/REC xhtml / > <Transforms> <Transform A l g o r i t h m= h t t p : //www. w3. org /TR/2001/REC xml c14n /> </ Transforms> <DigestMethod A l g o r i t h m= h t t p : //www. w3. org /2000/09/ x m l d s i g#sha1 /> <D i g e s t V a l u e>j6lwx3rvepo0vktmup4nbevu8nk=</ D i g e s t V a l u e> </ R e f e r e n c e> </ S i g n e d I n f o>...

11 Ejemplo de XML Digital Signature (2)... <S i g n a t u r e V a l u e>mc0cffrvltrlk =...</ S i g n a t u r e V a l u e> <K e y I n f o> <KeyValue> <DSAKeyValue> <p>... </p><q>... </Q><G>... </G><Y>... </Y> </ DSAKeyValue> </ KeyValue> </ K e y I n f o> </ S i g n a t u r e>

12 XML Encryption Objetivo: proteger una información que se envía del acceso no autorizado por terceras partes Permite cifrar: Un documento XML completo Un elemento de un documento XML El contenido de un elemento Datos textuales que no son XML Contenidos ya cifrados

13 Componentes de XML Encryption El elemento EncryptedData consta de: EncryptionMethod KeyInfo CipherData

14 Ejemplo: cifrado de una parte <p e d i d o><nombre>pepe</ nombre> <formapago>< t a r j e t a t i p o= V i s a > <num> </num> < t i t u l a r>j o s e Pablo H e r r e r a</ t i t u l a r> <f e c h a>02/09</ f e c h a> </ t a r j e t a></ formapago> </ p e d i d o> <p e d i d o><nombre>pepe</ nombre> <formapago> <EncryptedData Type= h t t p : //www. w3. org /2001/04/ xmlenc#element xmlns= h t t p : //www. w3. org /2001/04/ xmlenc# > <CipherData><C i p h e r V a l u e>c5723a... </ C i p h e r V a l u e></ CipherData> </ EncryptedData> </ formapago> </ p e d i d o>

15 Ejemplo: cifrado de un valor Puede cifrarse únicamente el valor de un elemento. Por ejemplo el número de tarjeta <p e d i d o><nombre>pepe</ nombre> <formapago>< t a r j e t a t i p o= V i s a > <num><encrypteddata Type= h t t p : //www. w3. org /2001/04/ xmlenc#conten xmlns= h t t p : //www. w3. org /2001/04/ xmlenc# > <CipherData><C i p h e r V a l u e>b </ C i p h e r V a l u e></ CipherData> </ EncryptedData> </num> < t i t u l a r>j o s e Pablo H e r r e r a</ t i t u l a r> <f e c h a>02/09</ f e c h a> </ t a r j e t a> </ formapago> </ p e d i d o>

16 Ejemplo: cifrado de un valor Puede cifrarse únicamente el valor de un elemento. Por ejemplo el número de tarjeta <EncryptedData MimeType= t e x t / xml xmlns= h t t p : //www. w3. org /2001/04/ xmlenc# > <CipherData><C i p h e r V a l u e>b </ C i p h e r V a l u e></ CipherData> </ EncryptedData>

17 XKMS Objetivo: Ocultar al usuario la complejidad subyacente en PKI 2 partes: Registro de clave pública X-KISS (XML Key Information Service Specification) Procesar el campo KeyInfo contenido en las firmas digitales Información de clave pública X-KRSS (XML key Registration Service Specification) Buscar la clave pública de alguien y comprobar si es buena

18 SAML SAML (Security Assertion Markup Language) permite compartir información de autentificación entre aplicaciones Se basa en autoridades que emiten aserciones Transmite varios tipos de aserciones: Aserción de autenticación Aserción de atributo

19 XACML XACML (XML Access Control Markup Language) permite expresar poĺıticas de control de acceso Codifica en reglas XML expresiones del tipo: Una persona puede leer un informe si es el propio paciente

20 XrML XrML (extensible Rights Markup Language) Permite expresar reglas sobre derechos Codifica expresiones del tipo: Un consumidor puede ver una peĺıcula 6 veces durante 15 días

21 Fin de la presentación