Atributos
Descripción: 

Este curso trata sobre el diseño, implementación y uso de infraestructuras de llave pública (PKI, por sus iniciales en inglés) para el logro de objetivos de seguridad de autenticación, confidencialidad, no repudio e integridad en el desarrollo de sistema de software. Una infraestructura de llave pública utiliza certificados digitales emitidos por una entidad de confianza que se encarga de validar y asegurar su identidad y validez para implementar diversos objetivos de control de la seguridad de la información, como la autenticación y el no repudio. El curso incluye los contenidos necesarios para diseñar, utilizar y validar certificados digitales emitidos bajo una infraestructura de llave pública e incorporar estos elementos en el proceso de desarrollo de sistemas informáticos que los utilizan para servicios de firma digital y autenticación. El curso incluye el estudio del Sistema Nacional de Certificación Digital de Costa Rica, sus estándares, políticas y la legislación relevante en el contexto nacional.

Objetivo general: 

El objetivo general del curso es que cada estudiante sea capaz de diseñar, implementar y utilizar Infraestructuras de Llave Pública, certificados y firmas digitales como un mecanismo para la implementación de servicios de seguridad como confidencialidad, autenticación, no repudio e integridad en aplicaciones de software e infraestructura tecnológica, mediante el estudio de la literatura, legislación relevante, herramientas y la implementación de pruebas de concepto de este tipo de sistemas.

Objetivos específicos: 

Durante este curso el estudiante desarrollará habilidades para:

  1. Diseñar certificados digitales para implementar infraestructuras de llave pública, mediante el estudio de los estándares relevantes y los formatos más utilizados.
  2. Definir, especificar e implementar una infraestructura de llave pública, para distribuir certificados digitales de forma segura, apegándose a estándares internacionales, mediante la utilización de herramientas de código abierto.
  3. Utilizar certificados digitales e infraestructuras de llave pública, para la implementación de firmas digitales y de servicios de seguridad tales como autenticación, integridad y confidencialidad en sistemas de software, a través de tareas y proyectos programados.
  4. Conocer la infraestructura y operación del Sistema Nacional de Certificación Digital de Costa Rica así como la legislación vigente, a través de la revisión de las políticas, leyes, reglamentos y política de certificados vigentes, para que implemente sistemas de software que cumplan la legislación nacional.

Transversales

Además, cada estudiante practicará las siguientes habilidades transversales:

  1. Buenas prácticas de programación.
  2. Buenas prácticas de diseño y construcción de software.
  3. Seguridad
  4. Aspectos sociales y práctica profesional
Contenidos: 
Objetivo específico Eje temático Desglose
1 Certificados Digitales Conceptos básicos de seguridad: ataques, amenazas, servicios y objetivos de seguridad, políticas de seguridad y mecanismos de control.
Conceptos básicos de criptografía: criptografía, sistemas criptográficos clásicos, criptografía simétrica.
Criptografía de llave pública: RSA, DES, funciones hash, firmas digitales (implementación, ventajas, desventajas)
Concepto de certificados digitales, estándares, estructura (campos y extensiones), formatos, manipulación.
2 Infraestructuras de llave pública Concepto, actores: autoridades certificadoras, autoridades de registro, subscriptores, autoridad de políticas, terceros que confían.
Arquitecturas de PKI.
RFC3647, política de certificados y declaración de prácticas de certificación.
Implementación: estándares, algoritmos, infraestructura.
Validación de certificados: CRL, OCSP, certification patds, SCVP.
Manejo de llaves privadas: repositorios de llaves, ciclo de vida, dispositivos criptográficos.
3 Firmas digitales, servicios de seguridad y 
autenticación
 
Firma de documentos electrónicos.
Verificación de firmas digitales.
Formatos: XAdES, PAdES, CAdES.
Estampado de tiempo.
Autenticación mediante certificados digitales.
4 Sistema Nacional de Certificación Digital de Costa Rica Ley 8454, reglamento, Política de Certificados Nacional, políticas adicionales, autoridades certificadoras, autoridades de registro.
Bibliografía: 

Texto

  1. J. Buchmann et al. “Introduction to Public Key Infrastructures”. Springer, 2013.


Apoyo

  1. M. Bishop, “Computer Security: Art and Science”. Addison-Wesley, 2002
  2. C. Paar et al. “Understanding Cryptography: A Textbook for Students and Practitioners”. Springer, 2009.
  3. R. Housley y T. Polk. “Planning for PKI”. Wiley Computer Publishing, 2001.
  4. Jeff Stapleton et al. “Security without Obscurity: A Guide to PKI Operations”. Auerbach Publications, 2016.
  5. Dirección de Certificadores de Firma Digital Ministerio de Ciencia y Tecnología. “Directrices para las Autoridades de Registro. Características de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de certificadores registrados de Costa Rica”. 2008.
  6. Dirección de Certificadores de Firma Digital Ministerio de Ciencia y Tecnología. “Directrices para las Autoridades de Registro. Características de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de certificadores registrados de Costa Rica”. 2008.
  7. Dirección de Certificadores de Firma Digital Ministerio de Ciencia y Tecnología, “Política de Certificados para la Jerarquía Nacional de Certificadores Registrados”. 2015.
  8. International Organization for Standardization. “Norma INTE/ISO 21188:2007 Infraestructura de llave pública para servicios financieros - Estructura de prácticas y políticas”. 2007.
  9. Asamblea Legislativa de la República de Costa Rica. “Ley de Certificados, Firmas Digitales y Documentos Electrónicos”. Diario Oficial La Gaceta, vol. CXXVII, nº 197, p. 4, 13 Octubre 2005.
  10. Canadian Institute of Chartered Accountants (CICA) y American Institute of Certified Public Accountants (AICPA). “Trust Service Principles and Criteria for Certification Authorities”. 2011. 
     
LIberación de responsabilidad: 

Este no es un documento oficial. Documentos oficiales se entregan en la secretaría de la escuela.