El almacén central de certificados digitales y su uso desde dispositivos móviles para firma y/o autenticación

Rames Sarwat

General Manager – SmartAccess

Twitter: @ramessarwat

El certificado digital

CERTIFICADO DIGITAL Nombre: SARAH Apellidos : JANE BLOGGS Número ID: 4545676-4555554 Nacionalidad: BRITANICA Valido desde: 1-1-2010 Valido hasta: 31-12-2012 Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234 Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347

Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234.. Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347..

Es un documento electrónico que asocia un par de números

aleatorios (también llamados claves) a una persona u

organización y que permite firmar documentos, demostrar

nuestra identidad en la red o cifrar información

La seguridad del certificado digital

A una de las claves se denomina clave pública y puede ser compartida con terceros con el objetivo de

que puedan verificar nuestra identidad o los

documentos que firmamos

La clave privada no debe compartirse. El

uso de esta clave nos vincula y, por tanto, es

importante asegurar que la clave esta siempre bajo nuestro exclusivo control

Principales usos de

los certificados digitales

Demostrar la identidad de una persona, empresa

o equipo

•Acceso a tramites con las Administraciones Públicas y organismos reguladores

•Conexión segura a redes privadas (VPN)

•Acceso seguro a puestos de trabajo, servidores o aplicaciones

•Autenticar servidores en Internet (SSL)

•Autenticar equipos para el acceso a la red (NAC)

Asegurar la integridad (no modificación) de la

información

•Firmar documentos como contratos, facturas, albaranes, etc.

•Firma de correos electrónicos y otros mensajes (SMS…)

•Firma de ficheros de registro como logs o BBDD (evidencias electrónicas)

•Firma de documentos escaneados (digitalización certificada)

•Firma de aplicaciones (code signing)

Proteger el acceso no autorizado a información

•Cifrado de correos electrónicos

•Cifrado de ficheros y/o documentos

•Cifrado de discos y/o BBDD

•Gestión de derechos digitales

•Cifrado de comunicaciones (SSL, IPSec, etc.)

Podemos guardar un certificado digital en:

El disco duro un

ordenador o servidor

(certificado software)

Una tarjeta con chip

o smart card

Un dispositivo seguro de

almacenamiento de claves

(HSM)

Custodia del certificado digital

Lo que los usuarios nos demandan: “poder firmar documentos y conectarse de forma segura desde cualquier

dispositivo, lugar y momento”

Dispositivos

móviles

Movilidad de

los usuarios

Certificados

de

empresa

El uso ubicuo de los certificados digitales

Beneficios de la centralización

Facilita la movilidad de los usuarios

• Entre diferentes equipos y dispositivos autorizados, manteniendo siempre los certificados accesibles

Mayor usabilidad

• Diferentes métodos para autorizar el acceso a las aplicaciones a nuestra clave privada (PIN, OTP, biometría) hacen que se faciliten las operaciones con certificados digitales

• Mayores facilidades para integración de aplicaciones y sistemas con los certificados

Facilita la gestión corporativa de los certificados digitales

• Permite inventariar y facilita la renovación de los certificados que se utilizan en la organización

• Integrado con Autoridades de Registro de Prestadores de Servicio de Certificación simplifica la gestión

Mejora la seguridad

• Custodia centralizada la claves privadas de los certificados en dispositivos certificados

• Seguridad integrada con el resto de Sistemas de Información (Directorio Activo y/o LDAP)

• Limita el uso de los certificados digitales

• Trazabilidad completa del uso de cada certificado

Tipos de firma electrónica (según Ley de firma electrónica 59/2003)

Firma electrónica Firma electrónica avanzada Firma electrónica reconocida

Conjunto de datos, en forma

electrónica, consignados junto a

otros o asociados con ellos que

pueden ser utilizados como

medio de identificación del

firmante

Vinculada al firmante de

manera única y a los datos a

que se refiere

Ha sido creada por medios que

el firmante puede mantener

bajo su exclusivo control

Se considera firma electrónica

reconocida la firma electrónica

avanzada basada en un

certificado reconocido y

generada mediante un

dispositivo seguro de creación

de firma

80% 20% 0,1%

CEN CWA 14169

CC EAL 4+

Sobre la legalidad de la solución…

La firma con almacén central de certificados digitales tiene hoy la consideración de firma electrónica avanzada pero incorpora

mecanismos de seguridad equivalentes a los existentes en la firma electrónica reconocida

La norma CEN CWA 14169 se encuentra actualmente en revisión para, entre otros cambios, incorporar la posibilidad de certificar los

dispositivos HSM

El nuevo borrador de reglamento de la UE relativo a la identificación electrónica y los servicios de confianza para las transacciones

electrónicas en el mercado interior, sustituirá probablemente en 2014 a la directiva europea de firma electrónica (1999/93/CE) y reconocerá

con probabilidad la firma centralizada con dispositivos HSM certificados como firma cualificada

Virtual Smart Card

• Un agente se encarga de hacer accesibles los certificados digitales de un usuario a las aplicaciones sin cambios ni configuraciones complejas

• El acceso a la clave privada se autoriza mediante: – Un PIN

– Una contraseña de un solo uso (One Time Password u OTP)

– Un reconocimiento biométrico (p.e. huella dactilar o reconocimiento de patrón de firma manuscrita)

– Combinaciones de los anteriores

• Cada usuario puede gestionar su partición privada o virtual smart card mediante un interfaz web para realizar las operaciones de: – Cambio de PIN

– Importación y borrado de certificados

– Delegación a otros usuarios

– Disponible también un asistente para la importación de certificados a su VSC

Transparente para el usuario y sin

necesidad de cambiar las aplicaciones

actuales

Integración con

emisores de certificados digitales • La integración con la autoridad de registro

de un Prestador de Servicios de Certificación permite: – Que los certificados sean emitidos de forma

segura en el dispositivo HSM sin posibilidad de clonación y manipulación por parte de los operadores

– Reducir el tiempo y esfuerzo en la emisión de los certificados, al automatizar su asignación a su propietario y la comunicación del PIN inicial por canales online o presenciales

– Mejorar la gestión de dichos certificados permitiendo la renovación semi-automática de los certificados

Políticas o reglas de uso

• Establecer las restricciones de uso a cada certificado mediante un conjunto de reglas o condiciones de acceso

• Estas condiciones de acceso pueden incluir combinaciones de: – Usuarios autorizados (bien locales o

pertenecientes al Directorio Activo de la organización)

– Equipos o dispositivos desde los que se permite el acceso

– Aplicaciones

– URLs autorizadas (solo en Internet Explorer)

– Rangos o periodos de tiempo

Arquitectura

Auditoría e informes

• El módulo de auditoría registra cualquier uso de los certificados digitales almacenados en el almacén.

• Un motor de informes integrado permite: – Informes predefinidos (usuarios, certificado,

equipos,..)

– Posibilidad de definición de nuevos informes

– Generación automática y/o manual de informes

– Exportación a PDF, Excel o texto y envío automatizado a usuarios por e-mail

Conclusiones

• La firma electrónica con almacén de certificados tiene hoy validez legal y se verá probablemente reforzada por el nuevo reglamento de la Unión Europeo

• Para la empresa supone:

– mayor productividad

– menor esfuerzo de administración y

– mayor seguridad en la custodia de certificados

• Su uso no tiene impacto en los usuarios ni requiere cambios en la infraestructura existente

• Empresas y organismos públicos han implantado, con éxito, soluciones de almacén central de certificados

Preguntas

Muchas gracias Twitter: @ramessarwat