Professional Documents
Culture Documents
Seminario
1
ndice 01 Introduccin 02 Criptografa como solucin para la confianza 03 Tecnologas e Infraestructura de Certificacin 04 Validacin de los certificados 05 Hardware criptogrfico 06 Despliegue de una PKI 07 Marco Legal y Estandarizacin 08 Proveedores de tecnologas PKI
Introduccin
En esta sesin formativa se van a tratar los siguientes temas:
Hardware Criptogrfico
Tarjetas, chips criptogrficos y HSM.
Autenticacin
en la privacidad de la informacin.
Confidencialidad
en que los datos no sean modificados.
Integridad
en que las partes no se desdigan.
No repudio
2005 INDRA Sistemas, S.A.
ndice 01 Introduccin 02 Criptografa como solucin para la confianza 03 Tecnologas e Infraestructura de Certificacin 04 Validacin de los certificados 05 Hardware criptogrfico 06 Despliegue de una PKI 07 Marco Legal y Estandarizacin 08 Proveedores de tecnologas PKI
Criptosistemas
Tipos de criptosistemas Sistemas de cifrado clsicos. Criptosistemas de clave privada o simtricos. Criptosistemas de clave pblica o asimtricos. + Funciones resumen o hash Criptosistemas de clave privada o simtricos Ejemplos: DES, IDEA, RC2, RC4, 3DES, Blowfish, CAST, SAFER, AES... Problemas: nmero y gestin de claves.
Criptosistemas
Criptosistemas de clave pblica o asimtricos.
privada
pblica
Transforman mensajes de longitud arbitraria en mensajes de longitud fija. Funcin con determinados requisitos.
Clave privada
Clave pblica
Bernardo
Alicia
Ejemplos operativos
Bernardo manda un mensaje cifrado y firmado a Alicia
Firma electrnica
Mediante cifrado asimtrico. Con funciones resumen.
10
Ejemplo de cifrado
Bernardo
Alicia
2005 INDRA Sistemas, S.A.
11
Ejemplo de firma
Bernardo
OK
Alicia
2005 INDRA Sistemas, S.A.
12
Bernardo
OK
Alicia
2005 INDRA Sistemas, S.A.
13
ndice 01 Introduccin 02 Criptografa como solucin para la confianza 03 Tecnologas e Infraestructura de Certificacin 04 Validacin de los certificados 05 Hardware criptogrfico 06 Despliegue de una PKI 07 Marco Legal y Estandarizacin 08 Proveedores de tecnologas PKI
14
El Certificado Electrnico
Problema Problema
Solucin Solucin
certificacin digital
Un tercero de confianza (Autoridad de Certificacin, CA) asume la responsabilidad de autenticar la informacin de identidad que figura en el Certificado.
15
El Certificado Electrnico
Certificados electrnicos
16
El Certificado Electrnico
Un certificado es un documento firmado electrnicamente que autentica la relacin de una llave pblica con un participante.
Tipos de soporte:
Quin emite el certificado Quin es el usuario Clave pblica Fecha de emisin Fecha de caducidad Extensiones:
Lmites de uso Lmites valor transacciones
Fichero en disco duro Fichero en diskette Tarjeta TIBC Tarjeta criptogrfica Token USB
Tipos de certificados:
Personales Servidor Software Entidad
17
Algoritmo de firma del certif. sha1withRSAEncryption Nombre X.500 del emisor c=ES, o=Empresa, cn= Autoridad de Certificacin
Periodo de validez desde dd/mm/aa hasta dd/mm/aa Nombre X.500 del sujeto c=ES, o=Empresa, cn=Jos Prez Clave pblica del sujeto AC:46:90:6D:F9:.....
Uso de la clave Firma digital, cifrado de clave Uso de la clave mejorado Autenticacin en W2000 Identificador claves CA Identifica el par de claves utilizado para firmar el certificado Identificador claves usuario Identifica el par de claves asociado a la clave pub. en el certif. Punto de distribucin CRLs HTTP://servidor/ruta/nombre.crl (publicacin en web) Firma de la AC
2005 INDRA Sistemas, S.A.
18
Expiracin de certificados:
Finalizacin del periodo de validez Renovacin del certificado
Revocacin de certificados:
La clave privada asociada al certificado se ha visto comprometida Cambio de datos asociados al certificado CRLs: Listas firmadas por la CA incluyendo referencias a certificados revocados por ella.
Suspensin de certificados:
Revocacin temporal Mismas actuaciones que revocacin, salvo que es reversible.
2005 INDRA Sistemas, S.A.
19
Proceso de Validacin/Verificacin
20
Arquitecturas Certificacin
Para gestionar el ciclo de vida de los certificados, adems de tecnologa, se necesitan:
para definir las reglas bajo las cuales deben operar los sistemas criptogrficos para especificar cmo deben generarse, distribuirse y utilizarse las claves y los certificados
21
Definicin de PKI
Una Infraestructura de Clave Pblica (Public Key Infrastructure, PKI) es:
Una infraestructura compleja compuesta por hardware, software, bases de datos, redes, procedimientos de seguridad y obligaciones legales. (CARAT Guidelines). El hardware, software, personas, polticas y procedimientos necesarios para crear, gestionar, almacenar, distribuir y revocar certificados.
22
Partes utilizadoras
Verifican certificados y firmas
Internet
Repositorios (Directorios)
Autoridad de Certificacin
Titulares de Certificados
Entidades finales /Usuarios /Suscriptores
23
CERTIFICACIN
PUBLICACIN
Autoridad de Registro
REGISTRO CONFIRMACIN
Autoridad de Certificacin
PUBLICACIN
Autoridad de Validacin
CONSULTA
Usuarios
CERTIFICADO VALIDACIN
CRL
24
Autoridad de Certificacin
Entidad fiable, encargada de garantizar de forma unvoca y segura la identidad asociada a una clave pblica Recibe y procesa peticiones de certificados de los usuarios finales Consulta con una Autoridad de Registro para determinar si acepta o rehsa la peticin de certificado Emite el certificado Gestiona Listas de Revocacin de Certificados (CRLs) Renueva certificados Proporciona:
Servicios de backup y archivo seguro de claves de cifrado Infraestructura de seguridad para la confianza, polticas de operacin segura, informacin de auditora.
25
Autoridad de Registro
Gestiona el registro de usuarios y sus peticiones de certificacin/revocacin, as como los certificados respuesta a dichas peticiones Indica a la CA si debe emitir un certificado Autoriza la ASOCIACIN entre una clave pblica y el titular de un certificado Gestin del ciclo de vida de un certificado:
Revocacin Expiracin Renovacin (extensin periodo validez del certificado, respetando el plan de claves) Reemisin del par claves del usuario Actualizacin de datos del certificado
Internet
26
Titulares de certificados
Entidades finales Usuarios finales Suscriptores
Un servidor web es una Entidad Final cuando obtiene un certificado y lo utiliza para probar su identidad en la red
Internet
Quines son los usuarios finales de mi entorno Para qu utilizarn los certificados
2005 INDRA Sistemas, S.A.
27
Partes utilizadoras
Una vez la entidad final tiene un certificado...
Hay partes que confan en el certificado para comunicarse y realizar transacciones con sus suscriptores Las partes utilizadoras verifican los certificados, las firmas electrnicas y los caminos de certificacin.
Internet
Acceso seguro a Web e-mail seguro
Servidor Web
Parte utilizadora
28
Repositorio / Directorio
Los directorios proporcionan almacenamiento & distribucin de certificados & listas de revocacin (CRLs) Cuando la CA emite un certificado o CRL, lo enva al Directorio
La CA tambin guarda el certificado o CRL en su base de datos local
Repositorio
La CA utiliza LDAP (Light-weight Directory Access Protocol) para acceder a los directorios. El usuario puede obtener certificados de otros usuarios y comprobar el estado de los mismos.
Internet
29
Suministra informacin de forma online acerca del estado de un certificado. La VA suele proporcionar dos servicios de validacin:
el tradicional, permitiendo la descarga de CRLs para que el usuario las interprete l mismo, o a travs del protocolo OCSP (Online Certification Status Protocol).
Los usuarios y las aplicaciones que deseen obtener el estado de un certificado, slo tienen que realizar una peticin OCSP contra la VA para obtener dicho estado. La CA actualiza la informacin de la VA cada vez que se modifica el estado de un certificado, con lo que, a diferencia de las CRLs, se dispone de informacin en tiempo real. Nomenclatura CNI: Entidad de Validacin (EV)
30
7. La RA entrega entonces el certificado firmado al usuario 8. El certificado ha sido ya emitido 2. El sistema de Registro inicia la captura la informacin de registro y activa generacin claves 3. Devuelve la clave pblica y la informacin de registro a la RA 1. Un nuevo usuario se registra para obtener un certificado
Las relaciones de confianza entre titulares de certificados existen por la confianza en la Autoridad de Certificacin: un "Tercero de Confianza"
Infraestructura de clave pblica (PKI) | SEMINARIO | Pgina
31
Mtodos de Registro
Registro Presencial
El usuario se persona a Autoridad de Registro, y le entrega toda la documentacin que requiera. Si la Autoridad de Registro aprueba la solicitud, pasa los datos a la Autoridad de Certificacin para que emita el certificado. Una vez emitido, la Autoridad de Registro suministra en certificado al usuario
Solicitud
Autoridad de Registro
Aprobacin y Descarga
Autoridad de Certificacin
32
Mtodos de Registro
Registro Remoto
El usuario hace un pre-registro en la Autoridad de Certificacin. El usuario se persona (telemticamente) ante Autoridad de Registro, y le entrega toda la documentacin que requiera. Si la Autoridad de Registro aprueba la solicitud, pasa los datos a la Autoridad de Certificacin para que emita el certificado. Una vez emitido, la Autoridad de Registro suministra en certificado al usuario
Pre-registro
33
La TSA permite firmar documentos con sellos de tiempos, de manera que permite obtener de una prueba de que un determinado dato exista en una fecha concreta. Nomenclatura CNI: Entidad de Sellado de Tiempos (EST)
Documento
Documento
Sello de Tiempo
Fuente de Tiempos
34
Cifrado
Cifrado individual
Los certificados electrnicos con el key usage de Data Encipherment permiten el cifrado de informacin. El uso habitual de estos certificados es el cifrado de las comunicaciones con un tercero, por ejemplo cifrar un correo electrnico, as como el cifrado individual de archivos propios. Problemas:
Necesidad de un archivo de claves. No es operativo para compartir informacin cifrada entre ms de dos personas.
2005 INDRA Sistemas, S.A.
Existen soluciones orientadas al cifrado para grupos (o cifrado departamental). La solucin ha de gestionar la caducidad de las claves y el que ms de una persona pueda acceder a la informacin cifrada. Asimismo ha de gestionar los grupos para los que se puede cifrar.
35
La Autoridad de Recuperacin de Claves, almacena y recupera PKCS#12 y contraseas (de los PKCS#12) generados por la EC. Para mantener la seguridad en el acceso de las claves, se acostumbran a definir dos roles de administracin:
Administrador de PKCS#12: accede slo a los ficheros PKCS#12 que contienen las claves pblica y privada, y el certificado, todo ello codificado por una contrasea. Administrador de contraseas: accede slo a las contraseas que permiten descifrar los ficheros PKCS#12.
Se precisa de la actuacin conjunta de dos personas para acceder a las claves privadas. Nomenclatura CNI: Entidad de Recuperacin de Claves (ERC)
36
Crculo de confianza 03
Crculo de confianza 01
Crculo de confianza 02
Los crculos de confianza, o grupos de cifrado, normalmente estn definidos en un LDAP. La persona que desea cifrar un archivo selecciona qu grupo/s van a poder acceder al mismo.
2005 INDRA Sistemas, S.A.
37
ndice 01 Introduccin 02 Criptografa como solucin para la confianza 03 Tecnologas e Infraestructura de Certificacin 04 Validacin de los certificados 05 Hardware criptogrfico 06 Despliegue de una PKI 07 Marco Legal y Estandarizacin 08 Proveedores de tecnologas PKI
38
39
Lista de Nmeros de Serie de certificados revocados (de usuarios y de CAs), firmada digitalmente por una CA. Distribucin por mtodos similares a la distribucin de certificados (p.e. publicacin en directorio LDAP) Extensiones para cdigos de razn de revocacin, suspensin de certificado, etc. CRL Distribution Points: son los puntos desde los que se distribuyen las CRL (LDAP, Directorio Activo, URL). CRL Indirectas: permiten a una CA tener listas de revocacin de diferentes CAs Delta-CRLs: contienen solo los cambios desde la ltima CRL
En el campo CRL Distribution Points del certificado X.509 se indican los puntos donde se pueden consultar las CRL.
2005 INDRA Sistemas, S.A.
40
41
Protocolo OCSP
OCSP: Online Certificate Status Protocol
Protocolo que permite el acceder al estado del certificado de manera online IETF RFC 2560
APLICACION
CA
OCSP Request
Autoridad de Validacin
42
01 Introduccin 02 Criptografa como solucin para la confianza 03 Tecnologas e Infraestructura de Certificacin 04 Validacin de los certificados 05 Hardware criptogrfico 06 Despliegue de una PKI 07 Marco Legal y Estandarizacin 08 Proveedores de tecnologas PKI
43
Los Mdulos de Seguridad Hardware (HSM) son dispositivos especializados en realizar labores criptogrficas Proporcionan almacenamiento seguro de claves y/o realizacin de funciones criptogrficas bsicas como cifrado, firma, generacin de claves... Deben soportar interfaces estndar como PKCS#11 o CryptoAPI
44
45
Tipos de dispositivos
Hardware Criptogrfico: Tipos de dispositivos
46
Aplicaciones HSM
Hardware Criptogrfico: Aplicacin
Tecnologa WEB
Aceleracin de procesamiento de Web seguro para SSL.
Tecnologa PKI
Generacin-almacenamiento seguro de la calve privada de la AC. Procesamiento efectivo de firmas de certificados.
Tecnologa VPN-IPSec
Alta capacidad de procesamiento en tiempo real de algoritmos simtricos y asimtricos. Almacenamiento seguro de claves.
47
Descripcin de
API (criptoki) que gestiona funciones criptogrficas para los dispositivos que almacenan informacin criptogrfica o ejecutan funciones criptogrficas.
PKCS#11 especifica
Tipos de datos y Funciones a ser utilizados por los servicios criptogrficos de aplicacin usando lenguajes de programacin ANSI C
48
CryptoAPI supone un nico mtodo de acceso a todas las capacidades criptogrficas para todas las aplicaciones
Application A CryptoAPI
Application B
Application C
Application Layer
CryptoAPI Operating System CryptoSPI Cryptographic Service Provider (CSP) #1 Cryptographic Service Provider (CSP) #2 Cryptographic Service Provider (CSP) #3
System Layer
49
Portabilidad total
Claves y certificados grabados en la tarjeta
50
El chip criptogrfico contiene un microprocesador que realiza las operaciones criptogrficas con la clave privada. La clave nunca se expone al exterior. Doble seguridad: posesin de la tarjeta y PIN de acceso (o mecanismos biomtrico). Puede ser multipropsito:
Tarjeta de identificacin grfica. Tarjeta de control de acceso/horario mediante banda magntica o chip de radiofrecuencia. Tarjeta monedero. Tarjeta generadora de contraseas de un solo uso (OTP).
Se precisa de un middleware (CSP) especfico para utilizar la tarjeta, as como de un lector (USB, integrado en teclado o PCMCIA) El nmero de certificados que se pueden cargar depende del perfil de certificado, de la capacidad del chip y del espacio que se reserve para los certificados.
Chip de 32 KB: 3 a 5 certificados tipo Chip de 64 KB: de 6 a 10 certificados tipo
2005 INDRA Sistemas, S.A.
51
Token USB: al igual que las tarjetas criptogrficas sirven de almacn de claves/certificados y realizan las operaciones criptogrficas en su interior.
Ventajas: no precisan de lector (slo puerto USB), reducido tamao. Inconveniente: no sirven como tarjeta de identificacin, monedero, de acceso.
Chip de radiofrecuencia (p. ej. Mifare): El chip criptogrfico puede ser de acceso por radiofrecuencia (sin contacto).
Ventajas: se reduce el desgaste fsico, no es necesaria la introduccin de la tarjeta. Inconveniente: las operaciones criptogrficas son lentas, lo que exige mantener la proximidad un tiempo significativo
En la prctica el chip de radiofrecuencia se usa para control de acceso fsico y horario. El lector lee el nmero de serie del chip o un cdigo almacenado y lo compara con su base de datos de acceso.
52
ndice 01 Introduccin 02 Criptografa como solucin para la confianza 03 Tecnologas e Infraestructura de Certificacin 04 Validacin de los certificados 05 Hardware criptogrfico 06 Despliegue de una PKI 07 Marco Legal y Estandarizacin 08 Proveedores de tecnologas PKI
53
54
Poltica de Certificacin
Establecer la poltica de certificacin Qu tipos de certificados emitir
Debe de haber una CA de mayor rango que certifique a mi servidor? Necesito una CA o varias? Hay certificaciones cruzadas con otras organizaciones?
Autoridades de registro
55
Infraestructura de clave pblica - Formacin Poltica de Certificacin Procedimientos operativos Provisiones legales
Marco legal
Acreditacin Registro Inspeccin Infracciones/sanciones
Responsabilidades
Negligencia Dao
Compromisos
Niveles de servicio Seguridad Recursos
Tratamiento de la validez
Periodo de validez largo? corto? Revocaciones, cancelaciones, suspensiones
CRL? otros mecanismos como reconfirmacin on line? o Publicacin, distribucin, consulta de CRLs
o
2005 INDRA Sistemas, S.A.
56
Existe una recomendacin para la estructura de la CPS y CPs del IETF: RFC3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework de Noviembre 2003
2005 INDRA Sistemas, S.A.
57
Introduccin Responsabilidades de Publicacin y Repositorio Identificacin y Autenticacin Requisitos Operacionales para el ciclo de vida de los Certificados Controles de Instalaciones, Gestin y Operacionales Controles de Seguridad Tcnica Perfiles de Certificados, CRL y OCSP Auditoras de Cumplimiento y otros controles de conformidad Otras cuestiones legales y de negocio Documento Seguridad LOPD
2005 INDRA Sistemas, S.A.
Proporciona un Resumen ejecutivo de la CPS, define las convenciones utilizadas, las entidades participantes y el mbito de aplicacin, as como los datos de contacto. Se definen los repositorios existentes (Certificados y CRL), sus caractersticas operativas y las responsabilidades sobre los mismos. Se regula el registro para obtener el certificado, el proceso de renovacin de certificados y la solicitud de revocacin de certificados. Se recogen los procedimientos operativos para la gestin completa de los certificados, el cambio de claves, y el archivo y recuperacin de claves Se recogen los controles de seguridad fsica, los controles procedurales y los controles de seguridad del personal. Se definen los diferentes controles de tipo tcnico, principalmente los controles tcnicos en la gestin de los pares de claves, as como los estndares tcnicos de aplicacin. Se define el marco general de los perfiles de certificados, quedando su detalle para las CP. Adems, define la forma en que se gestionan las CRL y, en su caso, la VA por OCSP Se define las auditoras a realizar la relacin entre el auditor y la PKI, y las acciones a tomar como resultado de las conclusiones de la auditora. Se recogen tarifas, responsabilidad financiera, poltica confidencialidad y privacidad, propiedad intelectual, delimitacin de responsabilidades, legislacin aplicable, etc. Se recogen los aspectos adicionales necesarios para que la CPS constituya el Documento de Seguridad LOPD, de acuerdo con lo establecido en la Ley 59/2003
Infraestructura de clave pblica (PKI) | SEMINARIO | Pgina
58
Infraestructura de clave pblica - Formacin Definicin Operativa Ejemplo: Jerarqua de Certificacin de 2 niveles
Esta estructura permite responder a las necesidades actuales a la vez que se est preparado para el crecimiento futuro. NIVEL 0. Una Autoridad de Certificacin (AC Raz) cspide de la jerarqua de confianza de la empresa y la base necesaria para crear nuevas jerarqua de certificados independientes. Esta AC emite un autocertificado que la distinguir como Raz, as como certificados para cada una de las AC subordinadas del siguiente nivel. Esta AC podra establecer relaciones de confianza con ACs de dominios de certificacin externos.
NIVEL 1. Se ubican las ACs subordinadas. NIVEL 0
NIVEL 1
AC Externa AR Externa
Externos
AC Pruebas AR Pruebas
AC Subordinada EXTERNA, encargada de gestionar los certificados proporcionados al exterior. AC Subordinada de PRUEBAS, para realizar las pruebas antes de su paso a las AC de produccin y proporcionar certificados al entorno de pruebas. Cada AC del nivel 1 tiene asociada la correspondiente Autoridad de Registro (AR).
Jerarqua de Certificacin
2005 INDRA Sistemas, S.A.
59
Base de Datos
Directorio
Un servidor para albergar la Autoridad de Certificacin Raz (por razones de seguridad desconectado de la red). Un servidor para la Autoridad de Certificacin Subordinada Interna y la Autoridad de Registro asociada. Un servidor para la Autoridad de Certificacin Subordinada Externa y la Autoridad de Registro asociada. Un servidor para la Autoridad de Archivo de Claves (si se archiva en algn caso la clave privada). Un servidor para el servicio de registro por lotes. Un servidor para la Autoridad de Certificacin Subordinada de Pruebas y la Autoridad de Registro asociada. Dispositivos de hardware criptogrfico (HSM)
AC/AR/LRA Pruebas
Entorno de Contingencia
Opcional
El entorno de contingencia se compone de: Un servidor para albergar una rplica de los servicios bsicos: ACs subordinadas, Autoridad de Registro, Autoridad de Archivo de Claves. Dispositivos de hardware criptogrfico (HSM).
Infraestructura de clave pblica (PKI) | SEMINARIO | Pgina
60
Definicin Organizativa
Organizacin
La administracin y operacin de las Autoridades exige que se definan una serie de figuras, algunas de las cuales se debern relacionar con figuras ya existentes y otras sern de nueva creacin. Todos los puestos han de tener respaldo y en el caso de los encargados de las tareas ms crticas hace falta la presencia de k de n personas. El estndar europeo CWA 14167-1:2003 define 5 papeles diferenciados y una serie de incompatibilidades entre ellos. En la siguiente tabla se recogen dichos papeles y las combinaciones de papeles prohibidas para la emisin de certificados cualificados:
Responsables Seguridad Responsables Seguridad Responsables Registro Administradores de Sistema Operadores de Sistema Auditores de Sistema NO NO NO NO Responsables Registro Administradores de Sistema NO Operadores de Sistema Auditores de Sistema NO NO NO
61
Relaciones de confianza
Relaciones de Confianza entre CAs
El conjunto de varias Autoridades de Certificacin que se rigen por unas mismas prcticas de certificacin es lo que se denomina Dominio de Certificacin. Las Autoridades de Certificacin se organizan certificndose unas a otras de forma que entre ellas exista una jerarqua que proporcione confianza, establecindose vnculos de confianza a travs de los cuales podemos autenticar a entidades o clientes que no pertenezcan a nuestro dominio. El establecimiento de cadenas de confianza entre CA puede implementarse a travs de un modelo jerrquico o a travs de la certificacin cruzada entre CAs.
62
Certificacin cruzada
Certificacin Cruzada
La Certificacin Cruzada permite que una persona perteneciente al dominio de una CA pueda reconocer un certificado emitido por otra CA que no reconoce, pero que ha sido certificada por su CA Para que dos CAs puedan certificarse cruzadamente, es necesario que ambas confen en las polticas de seguridad de la contraria
63
01 Introduccin 02 Criptografa como solucin para la confianza 03 Tecnologas e Infraestructura de Certificacin 04 Validacin de los certificados 05 Hardware criptogrfico 06 Despliegue de una PKI 07 Marco Legal y Estandarizacin 08 Proveedores de tecnologas PKI
64
Marco Legal
Directiva Europea
Directiva 1999/93/CE del parlamento europeo y del consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrnica
Legislacin Espaola
65
66
67
68
Infracciones y Sanciones
Ejemplos Infracciones Leves El incumplimiento por los prestadores de servicios de certificacin que no expidan certificados reconocidos de sus obligaciones cuando no sea infraccin grave o muy grave Ejemplos Infracciones Graves El incumplimiento de alguna de las obligaciones en la expedicin de certificados reconocidos cuando no constituya infraccin muy grave. La falta de constitucin de la garanta econmica (PSC Reconocidos) La expedicin de certificados reconocidos sin realizar todas las comprobaciones previas, en los casos en que no sea infraccin muy grave El incumplimiento por los prestadores de servicios de certificacin que no expidan certificados reconocidos de las obligaciones sealadas en el artculo 18 (caso grave)
2005 INDRA Sistemas, S.A.
Ejemplos Infracciones Muy Graves El incumplimiento de alguna de las obligaciones establecidas en los artculos 18 y 20 en la expedicin de certificados reconocidos (causando un dao grave) La expedicin de certificados reconocidos sin realizar todas las comprobaciones previas sealadas en el artculo 12 cuando afecte a la mayor parte de certificados emitidos en los ltimos 3 aos Importe () Leve Grave Muy Grave
30.000
los requerimientos de seguridad de los Dispositivos Seguros de Creacin de Firma (SSCD) de acuerdo con el Anexo III de la Directiva 1999/93/CE. Establece los Protection Profile de acuerdo con la ISO 15408, tambin conocida como Common Criteria v.2.1
Infraestructura de clave pblica (PKI) | SEMINARIO | Pgina
70
Estandarizacin
En la definicin tcnica y operativa de la Infraestructura, ms all de la legislacin espaola, se han de tener en cuenta los estndares internacionales ms significativos
Estndares Europeos
ETSI TS 102 042: Policy requirements for certification authorities issuing public key certificates ETSI TS 102 023: Policy requirements for time-stamping authorities ETSI TS 101 862: Qualified Certificate profile ETSI TS 101 456: Policy requirements for certification authorities issuing qualified certificates CWA 14167-2 Security Req. for Trustworthy Systems Managing Certificates for Electronic Signatures CWA 14172 EESSI Conformity Assessment Guidance (Gua para aplicar los estndares de firma electrnica de acuerdo con la iniciativa de estandarizacin europea)
Otros
AICPA/CICA WebTrust Program for Certification Authorities V 1.0 PKI Assessment Guidelines PAG del Information Security Committee (ISC) a Section of Science & Technology Law, American Bar Association.
71
ITU X.500 (88) ISO/IEC 9594-8 (90) Cert X.509 v1 RSA LABs PKCS#
ITU X.500 (93) ISO/IEC 9594-8 (95) Cert X.509 v2 / CRL v1 ITU X.500 (97) IETF QCP RFC 3739 (Old 3039) IETF PKIX (Cert&CRL Profile) RFC 3280 (Old 2459)
Infraestructura de clave pblica (PKI) | SEMINARIO | Pgina
72
Netscape SSL v3
73
Estndares PKCS
PKCS: Familia de estndares para los sistemas de criptografa de clave pblica definidos por los Laboratorios RSA:
PKCS#1,#2,#4: RSA Cryptography Standard PKCS#3: Diffie-Hellman Key Agreement Standard PCKS#5: Password-Based Cryptography Standard PKCS#6: Extended-Certificate Syntax Standard PKCS#7: Cryptographic Message Syntax Standard PKCS#8: Private Key Information Syntax Standard PKCS#9: Selected Attibuites Types PKCS#10: Certification Request Syntax Standard PKCS#11: Cryptographic Token Interface Standard PKCS#12: Password Information Exchange Syntax Standard PKCS#13: Elliptic Curve Cryptography Standard
74
01 Introduccin 02 Criptografa como solucin para la confianza 03 Tecnologas e Infraestructura de Certificacin 04 Validacin de los certificados 05 Hardware criptogrfico 06 Despliegue de una PKI 07 Marco Legal y Estandarizacin 08 Proveedores de tecnologas PKI
75
Otros
2005 INDRA Sistemas, S.A.
Baltimore ha sido uno de los principales fabricantes de software para PKI y su producto UniCert es perfectamente comparable con los descritos de SafeLayer y Entrust. El 22/09/2003 Baltimore Technologies anunci que completaba su programa de desinversin con la venta de su ncleo de negocio de PKI a beTRUSTed por 5.0 millones.
Infraestructura de clave pblica (PKI) | SEMINARIO | Pgina
76
Comparativa
Microsoft W2003
Windows 2003 proporciona unos Certificates Services que permiten configurar una PKI. Ventaja: el coste va incluido en el S.O., se integra automticamente con el Directorio Activo y otros productos MS Desventaja: hay que hacer desarrollos especficos para la gestin del registro y el ciclo de vida de los certificados. No incluye una VA.
Para una PKI interna con una plataforma Microsoft completa su PKI es una solucin apropiada. Para solucin complejas en entornos heterogneos Entrust y Safelayer tienen la funcionalidad requerida. En Espaa la tecnologa ms difundida es Safelayer
Entrust
Entrust proporciona una tecnologa completa PKI que incluye todos los servicios necesarios. Ventaja: cubre todos los servicios PKI, tiene mecanismos y formatos propios que facilitan la gestin. Desventaja: utiliza algunos formatos propietarios, la solucin es ms cerrada y sus costes son muy elevados. No est acreditada por el CNI.
2005 INDRA Sistemas, S.A.
Safelayer
Safelayer proporciona una tecnologa completa PKI que incluye todos los servicios necesarios con una arquitectura abierta. Ventaja: cubre todos los servicios PKI, su arquitectura abierta permite soportar cualquier modelo de operacin, sus costes son ms moderados que los de Entrust. Desventaja: su propio carcter abierto exige un trabajo de personalizacin e integracin significativo Est acreditada por el CNI y es la de mayores despliegues en Espaa (FNMT, BdE, Caja Madrid,...).
Infraestructura de clave pblica (PKI) | SEMINARIO | Pgina
77
El valor de la anticipacin