Señal de seguridad binaria X.509

Una señal de seguridad binaria X.509 es la representación codificada base64 de un certificado público X.509.

La siguiente tabla describe el tipo de señal X.509.

Tipo de señal X.509 Descripción
X.509 versión 1 Contiene sólo el certificado público X.509.
X.509 versión 3 Contiene sólo el certificado público X.509.
PKIPath Contiene una lista ordenada de certificados públicos X.509 empaquetados en una PKIPath. El tipo de señal X509PKIPathv1 se puede utilizar para representar una vía de acceso del certificado.
PKCS7 Contiene una lista de certificados X.509 y, opcionalmente, listas de revocación de certificados (CRL) empaquetadas en un derivador PKCS#7. La señal PKCS7 se puede utilizar para representar una vía de acceso de certificado.

Las señales X.509 normalmente se utilizan para proteger un mensaje SOAP con una firma digital XML o un cifrado XML. Aunque no es recomendable, una señal X.509 también se puede utilizar como una señal de autenticación.

Utilización de señales X.509 para la autenticación

Cuando se autentica una señal, se está verificando que el remitente de una señal es quien dice ser. El usuario toma una fragmento de información pública que se envía en el mensaje, como un ID de usuario, y de alguna manera lo verifica con un fragmento de información privada que sólo él mismo puede proporcionar, como una contraseña.

A modo de ejemplo sencillo, cuando se autentica una UsernameToken, el nombre de usuario y la contraseña se pasan al mensaje SOAP y se comprueban contra el registro de usuarios en el punto final.

Para un certificado X.509, la información pública es la clave pública/DN y la información privada es la clave privada. A diferencia de la contraseña para una UsernameToken, la clave privada no se envía en el mensaje.

Cuando se utiliza una señal X.509 para firmar un mensaje, se utiliza el siguiente proceso:
  1. Si la confianza está habilitada, el certificado se evalúa contra el almacén de confianza y el almacén de certificados, si se ha configurado. Ello permitirá detectar errores de confianza, errores de cadena de certificados, errores de revocación, la caducidad del certificado, etc. Por ejemplo, puede tener DN específicos en el almacén de confianza para confiar con cada certificado explícitamente o sólo la entidad emisora de certificados raíz para confiar en todos los certificados emitidos desde dicha entidad emisora, pero no en otras.
  2. El tiempo de ejecución verifica que el remitente del mensaje tenga una clave privada asociada con el certificado verificando la firma. Si no se puede verificar la firma, entonces se produce una de las siguientes condiciones:
    1. El mensaje se firmó con una clave privada que no coincidía con la clave pública en el mensaje.
    2. El mensaje se ha modificado después de su envío.

Después de verificar la firma, ya sabe que el emisor del mensaje es el poseedor de la clave privada; sabe que es quien dice ser.

Si pasa una señal X.509 en un mensaje sin utilizar su clave privada para firmar el mensaje, no estará realizando el paso #2. No va a verificar que el emisor del mensaje sea el poseedor de la clave privada ni que es quien dice ser. Cuando firma un mensaje, está realizando algo que solo el poseedor de la clave privada puede hacer.

Con una señal X.509 no protegida, la señal x.509 no se utiliza para firmar el mensaje y el sistema se puede ver comprometido de la siguiente manera:
  • Captura del mensaje válido y sustitución de una señal X.509 de un atacante en el mismo mensaje.

No es recomendable que se envíe una señal X.509 no protegida en un mensaje. Si debe utilizarse una señal X.509 para la autenticación, recomendamos que se envíe una señal X.509 en el mensaje y que la señal X.509 se utilice para la autenticación y la firma digital, con una configuración de interlocutor. La referencia de la parte firmante se utiliza en los valores del interlocutor.

La siguiente tabla describe los tipos de valor de la señal X.509.

Tipo de señal X.509 Tipo de valor
X.509 Versión 1 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
X.509 Versión 3 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
PKIPath http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS7 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_binarysectokenx509
File name: cwbs_binarysectokenx509.html