RUO Principal

Repositorio Institucional de la Universidad de Oviedo

Ver ítem 
  •   RUO Principal
  • Trabajos académicos
  • Trabajos Fin de Máster
  • Ver ítem
  •   RUO Principal
  • Trabajos académicos
  • Trabajos Fin de Máster
  • Ver ítem
    • español
    • English
JavaScript is disabled for your browser. Some features of this site may not work without it.

Listar

Todo RUOComunidades y ColeccionesPor fecha de publicaciónAutoresTítulosMateriasxmlui.ArtifactBrowser.Navigation.browse_issnPerfil de autorEsta colecciónPor fecha de publicaciónAutoresTítulosMateriasxmlui.ArtifactBrowser.Navigation.browse_issn

Mi cuenta

AccederRegistro

Estadísticas

Ver Estadísticas de uso

AÑADIDO RECIENTEMENTE

Novedades
Repositorio
Cómo publicar
Recursos
FAQs

Diseño e implementación de una infraestructura PKI con HSM y renovación automática de certificados para sistemas empotrados industriales

Autor(es) y otros:
Longueira Romero, Ángel Alfonso
Director(es):
Enguita González, José MaríaAutoridad Uniovi; Armendáriz, Igor
Palabra(s) clave:

PKI

HSM

Security industrial

Infraestructura de clave pública

SCEP

OCSP

Renovación automática

certificados digitales

Fecha de publicación:
2019-03-01
Serie:

Máster Universitario en Ingeniería de Automatización e Informática Industrial

Descripción física:
168
Resumen:

Cada día hay más dispositivos con conexión a Internet en todo el mundo. Y esto no sólo es aplicable a dispositivos IoT, sino que la industria hace cada vez más uso de este tipo de dispositivos, conectándolos a la nube e integrándolos en sus procesos para realizar labores de monitorización, control e incluso como elementos de seguridad. Pero, ¿cómo se puede asegurar la veracidad de los datos que proporciona un dispositivo? o más importante, ¿se puede asegurar que quien responde sea realmente el dispositivo? Usando criptografía de clave pública (PKC) es posible que dos o más partes se comuniquen de forma segura si todas poseen la clave pública de las otras. Y gracias a las infraestructuras de clave pública (PKI) es posible establecer una comunicación con alguien con quien nunca se contactó antes, almacenar y revocar claves públicas y además, es posible llevarlo a una escala global con millones de dispositivos. Para lograr esto, una PKI se sirve de ciertos elementos y directrices claramente definidos, para generar certificados digitales que identifiquen a su propietario. Los certificados digitales permiten comprobar que la otra parte con la que se establece la conexión sea quien dice ser (proporcionan confianza). La robustez de los certificados radica en su proceso de generación, que hace uso de la criptografía de clave pública. Esto no sólo permite comprobar la identidad del dispositivo, sino que el dispositivo podría firmar (e incluso cifrar) sus datos antes de enviarlos, asegurando así la confidencialidad y la integridad de todo aquello que envía. La principal desventaja que presenta este método es la escalabilidad. A medida que aumenta el número de dispositivos, aumentan también los problemas de gestión del ciclo de vida de los certificados que usan. Por ello, se hace deseable que, en lugar de ser un operario quien instale los certificados en cada dispositivo o los renueve, sean ellos mismos quienes se encarguen de gestionar todo el ciclo de vida de sus certificados. En este documento, se describe el diseño y la implementación de una PKI especialmente orientada a la renovación desasistida o automática de los certificados de los dispositivos, sin dejar de dar soporte a las operaciones más básicas y comunes a todas las PKI. El protocolo seleccionado para la renovación desasistida es EST, una versión mejorada del protocolo SCEP que, hasta ahora, sigue siendo el estándar de facto. Las principales ventajas que presenta EST frente a SCEP es que soporta algoritmos de curvas elípticas (ECC) y también incorpora la posibilidad de generar claves en el lado del servidor. Siendo este último punto un caso de uso importante para los dispositivos que no tengan la potencia suficiente para calcular su propio par de claves, o que no dispongan de suficiente entropía en sus generadores de números aleatorios. Y para que la generación y el almacenamiento de las claves sean seguros (tanto para los dispositivos como para los elementos de la PKI) se integraron dos HSM en la infraestructura.

Cada día hay más dispositivos con conexión a Internet en todo el mundo. Y esto no sólo es aplicable a dispositivos IoT, sino que la industria hace cada vez más uso de este tipo de dispositivos, conectándolos a la nube e integrándolos en sus procesos para realizar labores de monitorización, control e incluso como elementos de seguridad. Pero, ¿cómo se puede asegurar la veracidad de los datos que proporciona un dispositivo? o más importante, ¿se puede asegurar que quien responde sea realmente el dispositivo? Usando criptografía de clave pública (PKC) es posible que dos o más partes se comuniquen de forma segura si todas poseen la clave pública de las otras. Y gracias a las infraestructuras de clave pública (PKI) es posible establecer una comunicación con alguien con quien nunca se contactó antes, almacenar y revocar claves públicas y además, es posible llevarlo a una escala global con millones de dispositivos. Para lograr esto, una PKI se sirve de ciertos elementos y directrices claramente definidos, para generar certificados digitales que identifiquen a su propietario. Los certificados digitales permiten comprobar que la otra parte con la que se establece la conexión sea quien dice ser (proporcionan confianza). La robustez de los certificados radica en su proceso de generación, que hace uso de la criptografía de clave pública. Esto no sólo permite comprobar la identidad del dispositivo, sino que el dispositivo podría firmar (e incluso cifrar) sus datos antes de enviarlos, asegurando así la confidencialidad y la integridad de todo aquello que envía. La principal desventaja que presenta este método es la escalabilidad. A medida que aumenta el número de dispositivos, aumentan también los problemas de gestión del ciclo de vida de los certificados que usan. Por ello, se hace deseable que, en lugar de ser un operario quien instale los certificados en cada dispositivo o los renueve, sean ellos mismos quienes se encarguen de gestionar todo el ciclo de vida de sus certificados. En este documento, se describe el diseño y la implementación de una PKI especialmente orientada a la renovación desasistida o automática de los certificados de los dispositivos, sin dejar de dar soporte a las operaciones más básicas y comunes a todas las PKI. El protocolo seleccionado para la renovación desasistida es EST, una versión mejorada del protocolo SCEP que, hasta ahora, sigue siendo el estándar de facto. Las principales ventajas que presenta EST frente a SCEP es que soporta algoritmos de curvas elípticas (ECC) y también incorpora la posibilidad de generar claves en el lado del servidor. Siendo este último punto un caso de uso importante para los dispositivos que no tengan la potencia suficiente para calcular su propio par de claves, o que no dispongan de suficiente entropía en sus generadores de números aleatorios. Y para que la generación y el almacenamiento de las claves sean seguros (tanto para los dispositivos como para los elementos de la PKI) se integraron dos HSM en la infraestructura.

URI:
http://hdl.handle.net/10651/50426
Colecciones
  • Trabajos Fin de Máster [5284]
Ficheros en el ítem
Thumbnail
untranslated
TFM _AngelAlfonsoLongueiraRomero.pdf (4.835Mb)
Embargado hasta:2029-12-31
untranslated
TFM _AngelAlfonsoLongueiraRomero_POSTER.pdf (1.858Mb)
Embargado hasta:2029-12-31
Compartir
Exportar a Mendeley
Estadísticas de uso
Estadísticas de uso
Metadatos
Mostrar el registro completo del ítem
Página principal Uniovi

Biblioteca

Contacto

Facebook Universidad de OviedoTwitter Universidad de Oviedo
El contenido del Repositorio, a menos que se indique lo contrario, está protegido con una licencia Creative Commons: Attribution-NonCommercial-NoDerivatives 4.0 Internacional
Creative Commons Image