TENDENCIAS EN CERTIFICACIÓN Y FIRMA ELECTRÓNICA · TENDENCIAS EN CERTIFICACIÓN Y FIRMA...

1

Subdirección General de Tecnologíasde la Información y de las Comunicaciones

MINISTERIODE ECONOMÍAY HACIENDASubsecretaria

TENDENCIAS EN CERTIFICACIÓN Y FIRMA ELECTRÓNICA

VIII Congreso Internacional de Profesionales ITMadrid, 22 de noviembre de 2006

Juan Jesús Torres CarbonellS. G. Tecnologías de la Información y de las Comunicaciones

2



ÍNDICE

1. Introducción

2. PKI, validación y DPC

3. Interoperabilidad

4. Firma electrónica

5. Próximos retos

6. Conclusiones

3


MINISTERIODE ECONOMÍAY HACIENDASubsecretaria Introducción (1)

– Las condiciones que debe reunir una comunicación segura:• Confidencialidad: evita que un tercero pueda acceder a la

información enviada.• Integridad: evita que un tercero pueda modificar la información

enviada sin que lo advierta el destinatario.• Autenticación: permite a cada lado de la comunicación

asegurarse de que el otro lado es realmente quien dice ser.• No repudio o irrefutabilidad: Permite a cada lado de la

comunicación probar fehacientemente que el otro lado ha participado en la comunicación.

–Hay muchas formas de asegurar la identificación• Algo que tienes: como una tarjeta inteligente.• Algo que sabes: como un password o un PIN.• Algo que eres: huella, retina.• Algo que haces: tecleo de caracteres.

4



•Es un documento emitido por la Autoridad de Certificación relaciona la clave pública con el usuario al que pertenece.•Certificación es un acto de ligar un nombre con una clave pública.•Esta relación es una estructura de datos firmada: certificado de clave pública.•El certificado digital está firmado por la Autoridad de Certificación.

Función hash que se cifra con la clave privada de la AC

Formato del certificado digital X.509Formato del certificado digital X.509Versión

Nº de serieAlgoritmoParámetros

Autoridad de CertificaciónInicio de la validez

Caducidad de la validezNombre del usuario

AlgoritmoParámetros

Clave pública del usuarioFirma de la AC

Identificador del algoritmo

Período de validez

Clave pública que se firma

5



Certificado de CERES

6



Certificado de autenticación Certificado de firma

Certificados incluidos en el DNIe

7



ÍNDICE

1. Introducción




5. Próximos retos

6. Conclusiones

8


MINISTERIODE ECONOMÍAY HACIENDASubsecretaria PKI, validación y DPC (1)

– Una PKI (Public-Key Infrastructure ): infraestructura de seguridad cuyos servicios se implementan y prestan utilizando conceptos y técnicas de clave-pública.– Terceras partes de confianza

• ¿Cómo confiar si un determinado certificado es válido?• Validez del certificado es la confianza en que la clave

pública contenida en el certificado pertenece al usuarioindicado en el certificado.

• Interlocutores con los que nunca se ha tenido relaciónprevia.

–Que dos usuarios puedan confiar entre si: ambos tienen relación con una tercera parte que puede dar fe de la fiabilidad de los dos.– La mejor forma de distribuir certificados.– La tercera parte avala el certificado mediante su firma digital sobre el mismo. Es la Autoridad de Certificación.

9



–Las PKIs que ofrezca servicios está compuesta por distintas terceras partes en los que todos los demás usuarios de la infraestructura confían:

• Autoridad de Certificación: nombre y clave pública.• Autoridad de Registro• Otras Terceras Partes Confiables como por ejemplo las

Autoridades de Fechado Digital.

– Posible estructura de árbol de una PKI:• Autoridad Raiz• Autoridades de Certificación

Subordinadas.Como el caso del DNIe.

AC-Raíz

AS-1 AS-n

Certificado Certificado

10



– Ejemplo de los servicios ofrecidos por FNMT-RCM:• Generación y gestión de claves.• Registro de usuarios.• Emisión, revocación y archivo de certificados

de clave pública.• Publicación de certificados y del Registro de

Certificados (CRL)• Registro de eventos significativos. • OCSP (Online Certificate Status Protocol).

–Otros:• Fechado digital

11



– Se persiguen los siguientes servicios:• Validación de Certificados, comprobando entre otros

aspectos, la Confianza en la Autoridad de Certificación Raíz emisora (asignando un “nivel de confianza” en función del Prestador) y la No Revocación del Certificado.

• “Parseo” de Certificados, extrayendo la información relevante de los mismos en función de las necesidades de las aplicaciones: número de serie, emisor del certificado, fechas de emisión y de caducidad, datos del titular, usos y propósitos del certificado, etc .

12



– La lleva a cabo una Autoridad de Validación. Este sistemaconectará con la Autoridad de Certificación que haya emitido el certificado y comprobará si es válido, devolviendo el resultadofirmado de esta validación. La puede hacer:

• Servicio en autoprestación.• Servicio prestado por un tercero.

–Se basa en que la Autoridad de Certificación lleva a cabo:• Publicación de certificados de clave pública.• Publicación de lista de certificados revocados (CRL).

–Dos formas de comprobar la validez:• Utilizando CRL: Problema de actualización.• Utilizando OCSP: Hay que conectar con la Autoridad de

Certificación.

13



– Declaración de Prácticas de Certificación: Artículo 19 de la Ley59/22003, de 19 de diciembre, de firma electrónica: todos los prestadores de servicios de certificación formularán unadeclaración de prácticas de certificación en la que detallarán:

• Las obligaciones que se comprometen a cumplir en relación con la gestión de los datos de creación y verificación de firma y de los certificados electrónicos

• Las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados.

• Las medidas de seguridad técnicas y organizativas.• Los perfiles y los mecanismos de información sobre la

vigencia de los certificados.– FNMT-RCM: http://www.cert.fnmt.es/convenio/dpc.pdf– DNIe: http://www.dnielectronico.es/PDFs/politicas_de_certificacion.pdf

PKI, validación y DPC (6)

http://www.cert.fnmt.es/convenio/dpc.pdf

http://www.dnielectronico.es/PDFs/politicas_de_certificacion.pdf

http://www.dnielectronico.es/PDFs/politicas_de_certificacion.pdf

14



FNMT-RCM: –Controles de seguridad, registro de eventos y auditorías–Soporte del certificado:

• Tarjeta criptográfica.–Tipo de certificado emitido:

• Persona física• Persona jurídica para el ámbito tributario.

–Condiciones del servicio.–Gestión del ciclo de vida de los certificados.–Uso de los certificados: firma, cifrado

15



DNIe:–OM INT/738/2006, de 13 de marzo, por la que se aprueba la declaración de prácticas y políticas de certificación del Ministeriodel Interior. BOE núm. 64 de 16 de marzo. –Autoridad de Certificación Raíz: sólo emite certificado para simisma y sus AC subordinadas.–Autoridades de Certificación Subordinadas: emiten los certificados para los titulares de DNIe. Hay 3.

–Autoridades de Validación:• MAP: prestaría servicios de validación al conjunto de

Administraciones Públicas.• FNMT-RCM: prestaría servicios de validación con carácter

universal: ciudadanos, empresas y Administraciones Públicas.

–Uso de los certificados:• Certificado de autenticación (autenticidad de origen)• Certificado de Firma (no repudio de origen e integridad)

16



ÍNDICE

1. Introducción




5. Próximos retos

6. Conclusiones

17


MINISTERIODE ECONOMÍAY HACIENDASubsecretaria La interoperabilidad (1)

– La aceptación de certificados de varias autoridades noslleva a tener en cuenta:

• ¿Son todos los certificados iguales?.• ¿Necesidad de aceptarlos todos?.• ¿No obligar a los ciudadanos a utilizar uno en especial?.• Dar las máximas facilidades a los ciudadanos.

– Elementos clave:• La admisión de las autoridades de certificación en la

gestión pública y el registro de entidades de certificación admitidas.

• Tipos de certificados electrónicos que se pueden/deben aceptar en la Administración (persona física, jurídica, de Órgano, componente, software, servidor, etc.), y las condiciones de su uso y aceptación.

18



– La Ley 59/2003, de 19 de diciembre, de firma electrónicaestablece en su artículo 30, y disposición transitoria segunda, que los prestadores de servicios de certificación deberáncomunicar al Ministerio de Industria, Turismo y Comercio, sus datos de identificación, los datos que permitan establecercomunicación con el prestador, los datos de atención al público, las características de los servicios que vayan a prestar, lascertificaciones obtenidas para sus servicios y las certificacionesde los dispositivos que utilicen.–Esta información deberá ser convenientemente actualizadapor los prestadores de servicios de certificación y seráobjeto de publicación en la dirección de Internet del citadoMinisterio con la finalidad de otorgarle la máxima difusión y conocimiento.– Futura regulación en la Ley de Acceso Electrónico de los Ciudadanos a las Administraciones Públicas.

19



La interoperabilidad (3)

20



Dos soluciones:– Validar cada aplicación frente a cada Autoridad de Certificación.– Utilizar una Autoridad de Validación

• Propia.• Prestada por un tercero: FNMT-RCM, @firma

Aplicación

CRL / OCSP

DNIe

CRL / OCSPCRL / OCSP

CRL / OCSP

FNMT

AC-n

AC-m

Autoridad de Validación

AplicaciónCRL / OCSP

DNIe

CRL / OCSP

CRL / OCSP

CRL / OCSP

FNMT

AC-n

AC-m

21



Las plataformas de validación prestan los servicios:

- Validación de certificados:• Emitidos por cualquier AC reconocida por la

plataforma.• Asumen la gestión de nuevas ACs.• Mantienen interfaz estable con aplicaciones.

- Validación de certificados mediante diferentes métodos:

• Listas CRL, OCSP• Posibilidad de configurar varios niveles de

validación para una AC (primero OCSP luego CRL).

22



– Reconocimiento de múltiples Autoridades de Certificación. Relación pública. En la AGE: responsabilidad de un Ministerio, Organismo o grupo de trabajo– Disponibilidad de plataformas de validación.

• ¿Nivel de garantía de estas plataformas?

– Relación con los ciudadanos. Identificación mediante CERES, DNIe u otros certificados.– Certificados de dispositivo seguro que permita identificar la sede electrónica y el establecimiento con ella de comunicaciones seguras.– Sello electrónico de Administración Pública u órgano, para la autenticación de la actuación administrativa automatizada.– Firma electrónica del funcionario competente para el resto de actuaciones administrativas.

23



ÍNDICE

1. Introducción




5. Próximos retos

6. Conclusiones

24


MINISTERIODE ECONOMÍAY HACIENDASubsecretaria Firma electrónica (1)

– Por si misma, la firma digital no dice nada acerca de la identidad del firmante y de la confianza o credibilidad de la firma.– Es necesario además validar que proviene de una autoridad de certificación reconocida: es necesario la validación de toda la cadena de certificación.– Uno de los principales problemas para garantizar en el tiempo la validez de la firma es que los certificados digitales utilizados para realizar la firma digital poseen un periodo de validez inferior al tiempo que tienen que permanecer los documentos firmados válidos.– Es de vital importancia elegir el formato de firma adecuado que garantice éstas circunstancias y resuelva el problema de la validez de los certificados entre otros.– La verificación de las firmas pasado el periodo de validez del certificado puede resultar en la determinación de que la firma es válida pero el certificado (la clave pública que es lo que se guarda en la firma) es “no válido”.

Unas cuestiones sobre firma (1):

25



– Si el periodo de validez ha expirado, pero puede confirmarse que la firma fue realizada dentro del período de validez, entonces puede confirmarse que la firma era válida durante el período de validez.– Lo importante entonces es guardar algún tipo de información que permita determinar que en el momento de realizar la firma el certificado estaba dentro del período de validez.

• podemos almacenar información del estado del certificado utilizado para la firma en el momento de producirse ésta

• todos los certificados que componen la cadena de certificación

– Para garantizar que la firma digital perdura en el tiempo no solo debemos almacenar información del estado en el que se encontraba el certificado utilizado para la firma en el momento de producirse ésta.– También es necesario que verifiquemos y almacenemos la información referente a todos los certificados que componen la cadena de certificación que emitió el certificado

Unas cuestiones sobre firma (2):Firma electrónica (2)

26



Recomendaciones:Firma electrónica (3)

• Especificaciones de los estándares europeos relativos a los formatos de firma electrónica. – Formato XADES -XML Advanced Electronic

Signatures-, según especificación ETSI TS 101 903.– Formato CADES -CMS Advanced Electronic

Signatures-, según especificación ETSI TS 101 733.• Generación de, al menos, la clase básica (BES) de

estos formatos, y verificación de las especificaciones de la clase básica de dichos formatos.

• ¿Periodo transitorio para la adecuación de los actuales sistemas?.

27



ÍNDICE

1. Introducción




5. Próximos retos

6. Conclusiones

28


MINISTERIODE ECONOMÍAY HACIENDASubsecretaria Próximos retos (1)

• CERES:– Función Hash:

• SHA-1– Longitud de clave: 1024 bits.– Algoritmo de firma: RSA– Certificado de persona física:

• Firma digital• Cifrado

29



• DNIe:– Función Hash:

• SHA-256• SHA-1: por razones de interoperabilidad para poder

construir la cadena de confianza en la validación.• Plazo máximo de dos años para soportar SHA-256

– Longitud de clave: 2048 bits.– Algoritmo de firma: RSA– Certificados

• De autenticación.• De firma.• No se pueden utilizar para cifrar información.

30



Certificado de autenticación Certificado de firma

31



– Propiedades de las funciones Hash:• Todos los hashes generados por una función hash

tienen el mismo tamaño.• Dado un mensaje es fácil obtener su hash.• Es imposible generar un mensaje con un hash

determinado.• Resistente a colisiones: No se pueden encontrar dos

mensajes diferentes con el mismo valor de hash.• Unidireccionales: dado un hash no se puede construir el

mensaje.

32



SHA-1

33



ÍNDICE

1. Introducción




5. Próximos retos

6. Conclusiones

34


MINISTERIODE ECONOMÍAY HACIENDASubsecretaria Conclusiones

– La infraestructura de PKI es imprescindible para el uso de los certificados.– El papel de las Terceras Partes Fiables esfundamental.– El papel de la validación será crucial para la Administración electrónica.– La evolución tecnológica y las necesidades de seguridad requerirán que se evolucione, sobre todo en las funciones hash.– El uso de CERES y el DNIe por los ciudadanos y funcionarios es ya una realidad.– El formato de firma debe permitir su comprobación futura.

35



TENDENCIAS EN CERTIFICACIÓN Y FIRMA ELECTRÓNICA

VIII Congreso Internacional de Profesionales ITMadrid, 22 de noviembre de 2006

Juan Jesús Torres CarbonellS. G. Tecnologías de la Información y de las Comunicaciones

TENDENCIAS EN CERTIFICACIÓN Y FIRMA ELECTRÓNICA · TENDENCIAS EN CERTIFICACIÓN Y FIRMA...

Documents

Transcript of TENDENCIAS EN CERTIFICACIÓN Y FIRMA ELECTRÓNICA · TENDENCIAS EN CERTIFICACIÓN Y FIRMA...