Sesión 9. Confianza. Robert English

Transcripción

1 Sesión 9 Confianza Robert English La confianza es producto de una serie de factores que están relacionados con la percepción de los usuarios y que debe ser sostenida en el tiempo. Diversos elementos son utilizados para crear confianza como por ejemplo, estatutos, estándares y políticas de seguridad, la estructura de gobierno, practicas y políticas de certificación PKI y los términos y condiciones de los contratos legales. La contribución de un marco de seguridad electrónico a la confianza está dado en la medida que el mismo esté reflejado en la legislación y los estatutos, que alguna entidad sea responsable y responda por sus actos, que las políticas y estándares establezcan niveles mínimos, que exista una estructura administrativa que pueda realizar la supervisión y que se realicen auditorias regulares. Sin embargo, un elemento que puede afectar la confianza es la certificación cruzada. Si alguien fuera del entorno seguro quiere conectarse con alguien de fuera es necesario que intercambien certificados y llaves encriptadas. Para hacer esto es necesario tener acceso a los respectivos directorios y estar en capacidad de "ver" los certificados. La ínterconectividad de sistemas es el real desafío, en particular si lo que se busca es promover el comercio electrónico. En este sentido, para proceder a la conexión entre redes es necesario que los niveles de seguridad sean compatibles en ambos lados. Y es que durante la certificación una serie de elementos de las Autoridades Certificadoras a cada lado entran en contacto por lo que es necesario ponerse de acuerdo en una serie de aspectos de seguridad formales e informales. Existen tres variedades de certificación cruzada: bilateral, jerárquica y uni-direccional. La pregunta central que la administración debe responderse es cómo quiere que las relaciones entre las entidades se establezcan. 213

2

3 Cinnabar Networks Inc. Trust Relationships Cinnabar Networks Inc. Relaciones de Confianza Session 9 Robert English Managing Principal, IT Security & Privacy Cinnabar Networks Inc. Sesión 9 Robert English Director Administrativo, Seguridad & Privacidad IT Cinnabar Networks Inc. Outline Trust in Government of Ontario (GO) Secure e-commerce Electronic Security (ES) Framework Contribution to Trust Cross-Certification Contribution to Trust What are Others Doing? Summary and Way Ahead Multiple Trust Relationships Temas a Tratar Confianza en el Comercio Electrónico Seguro del Gobierno de Ontario (GO) Contribución del Marco de Seguridad Electrónica (ES) para la Confianza Contribución de la Certificación Cruzada para la Confianza Qué están haciendo los otros? Resumen y camino por recorrer Múltiples Relaciones de Confianza Trust In GO E-Commerce Operations Objective: to ensure that Government of Ontario electronic service delivery and internal IT operations meet trust obligations required by legislative and policy requirements Confianza en las Operaciones de Comercio Electrónico del GO Objetivo: asegurar que la entrega del servicio de comercio electrónico y operaciones IT internas del Gobierno de Ontario cumplan con las obligaciones de confianza establecidas en los requerimientos legislativos y de políticas 215

4 ES Framework Contribution To Trust Legislation/statute Enterprise wide IT Security policy and standards Governance structure PKI Certification policies and practices Legal/contractual terms and conditions Contribución del Marco ES para la Seguridad Electrónica Legislación/estatutos Política y Normas de Seguridad IT para toda la empresa Estructura de Gobernancia Prácticas y Políticas de Certificación PKI Términos y condiciones legales/contractuales Legislation/Statute Legislación/Estatutos Creates legal entity Identifies mandate Identifies program (s) & service (s) Identifies accountabilities & reporting relationships Identifies obligations & commitments (security and privacy) Crea una identidad legal Identifica el mandato Identifica programa(s) y servicio(s) Identifica responsabilidades y relaciones para la entrega de información Identifica obligaciones y compromisos (seguridad y privacidad) Security Policy & Standards Goals & objectives Application Roles, accountabilities and reporting relationships Policy requirements Audit Políticas y Normas de Seguridad Metas y objetivos Aplicación Roles, responsabilidades y relaciones para la entrega de información Requerimientos de la Política Auditoría 216

5 Security Policy & Standards Requirements (cont d) Management structure Security risk management framework Configuration or change control System security certification & accreditation Education and awareness Audit Requerimientos de las Políticas y Normas de Seguridad (continuación) Estructura de administración Marco para el manejo de riesgos para la seguridad Control de configuración o cambios Certificación y acreditación de seguridad del sistema Educación y conocimiento Auditoría Security Policy & Standards Requirements (cont d) System security requirements H/w, s/w, operations, physical, personnel, admin and org, environmental Encryption, authentication, access control. Evaluated or rated IT security products Internet security (firewalls, dial-in.. Interconnectivity Privacy (protective requirements) Requerimientos de Política y Normas de Seguridad (continuación) Requerimientos de seguridad del Sistema H/w, s/w, operaciones, física, personal, administrativa y organizacional, ambiental Encripción, autenticación, control de acceso. Productos de Seguridad IT evaluados o clasificados Seguridad de Internet (firewalls, dial-in.. Interconectividad Privacidad (requerimientos de protección) Governance Gobernancia Oversight to ensure that minimum protective standards for the GO PKI are met and maintained over time Reports at the senior level Broad mandate and Cabinet approval Represents business and technical interests Extensible if need be Relationship with outside partners (not OPS) Timely and decisive results Properly supported Supervisión para asegurar que se cumpla con las normas de protección mínimas para la PKI del GO y se mantengan a través del tiempo Los informes se entregan al más alto nivel Amplio mandato y aprobación del Gabinete Representa intereses comerciales y técnicos Extensible si así se requiere Relación con los socios externos (no OPS) Resultados oportunos y decisivos Adecuadamente soportada 217

6 Contribution Summary of ES Framework To Trust Embedded at legislation or statute level Someone is accountable and responsible Policies and standards set minimum levels Management structure in place to carry oversight Audit maintains security profile over time How is the standard maintained when interconnection occurs? Cross-certification! Resumen de la Contribución del Marco ES para la Confianza Está incluido en la legislación o nivel estatutario Alguien es responsible y da cuenta de lo que se hace Las políticas y normas establecen niveles mínimos Hay una estructura de administración implementada para llevar a cabo la supervisión La auditoría mantiene un perfil de seguridad en el tiempo Cómo se mantiene la norma cuando se da la interconexión? Certificación cruzada! Why Cross-Certify? Users from different CA domains wish to interoperate Need to see others Encryption Keys Want to verify signatures Need to see others CRLs Organization gets too large to operate with only one CA Organization decides to divide CA operations by application function or organizational division Por qué realizar una Certificación Cruzada? Los usuarios de diferentes dominios CA que desean interoperar Tiene que ver las Claves de Encripción de los otros Quieren verificar firmas Necesitan ver las CRL de otros La organización se hace demasiado grande para operar con sólo una CA La organización decide dividir las operaciones CA por función de aplicación o división organizacional There are Other Options Why don t we just exchange our keys manually? That would work! But: No CRLs -> Unable to determine if the user (and his CA) are still valid No CA Certificate -> Unable to verify incoming signatures from strangers Hay otras opciones Por qué simplemente no intercambiamos nuestras calves manualmente?! Eso podría funcionar! Pero: Sin CRL -> No se puede determinar si el usuario (y su CA) todavía son válidos Sin Certificado CA -> No se puede verificar las firmas entrantes de las de extraños 218

7 Other Options (cont d) Otras opciones (continuación) No knowledge of other directory -> Unable to pick an arbitrary destination out of a list Users spend a lot of time ing each other keys Sin conocimiento de otro directorio -> No se puede escojer un destino arbitrario de una lista A los usuarios les toma mucho tiempo enviarse sus claves por correo electrónico Big Picture: What Happens During Cross-certification? Business Policy mapping Mutual examination Negotiation of Terms Technical Exchange of cross-certificates Linking of directories A grandes rasgos: Qué pasa durante la Certificación Cruzada? Aspectos de negocios Mapeo de política Examenes mutuos Negociación de términos Aspectos Técnicos Intercamio de Certificados Cruzados Vinculación de Directorios What Happens During Cross- Certification (Business) Federal Treasury Board Secretariat Process (implemented by Communications Security Establishment): Phase I - Initiation Phase II - Examination Phase III - Arrangement Phase IV Maintenance Phase I & II completed for GO PKI and IJ/Teranet Qué pasa durante la Certificación Cruzada (Aspectos de Negocios) El Proceso de la Secretaría de la Junta del Tesoro Federal (implementado por la Oficina de Seguridad en las Comunicaciones): Fase I - Inicial Fase II - Examen Fase III - Acuerdos Fase IV Mantenimiento Se ha terminado con las Fases I & II para la PKI del GO e IJ/Teranet 219

8 Process Proceso Initiation Phase (feasibility review GO PKI/Teranet) target assurance level Status of: CP, CPS, tech info Availability of supporting ES framework documentation (other such as code of ethics, privacy, TRAs, audits, personnel screening.) Process and non-disclosure agreements Open access Fase Inicial (revisión de factibilidad PKI GO/ Teranet) Nivel de seguridad objetivo Estado de: CP, CPS, información tecnológica Disponibilidad de documentación de soporte del marco ES (distinta al código de ética, privacidad, TRAs, auditorías, selección de personal.) Proceso y acuerdo de no divulgación Acceso abierto Process Proceso Examination Phase (GO PKI and Teranet) policies and practices Examination of ES framework examine/map CPs examine policy implementation (CPS) operational audit PMA decision on basis for cross-certification technical test bed trial system survey (production system) Fase de Examen (PKI GO y Teranet) Políticas y prácticas Examen del Marco ES examen/mapeo de CP Examen de las implementaciones de políticas (CPS) Auditorías operacionales Decisión de la PMA como base de la Certificación Cruzada ténica Pruebas y experimentación Inspección del sistema (sistema de producción) Process Proceso Arrangement Negotiation of Cross-Certification Agreement final PMA decision issuance of cross-certificates Maintenance Ongoing compliance Problem resolution Change management Acuerdos Negociación de Acuerdos de Certificación Cruzada Decisión final de la PMA Emisión de los certificados cruzados Mantenimiento Cumplimiento continuado Resolución de problemas Administración de cambios 220

9 What Happens During Cross- Certification (Technical) Verification keys of other CAs are signed and made available to users. These are Cross- Certificates Authority Revocation List (ARL) is used to blacklist Cross-Certificates Certificates from other CA are made visible to local users CRLs from other CAs are also made available Qué pasa durante la Certificación Cruzada (Aspectos Técnicos) Las claves de verificación de otras CA están firmadas y disponibles para los usuarios. Estos son Certificados Cruzados La Lista de Revocación de Autoridad (ARL)se utiliza para poner a ciertos Certificados Cruzados en una Lista Negra Los certificados de otras CA pueden ser vistos por los usarios locales Las CRL de otras CA también están disponibles Varieties of Cross-Certification Variedades de Certificación Cruzada Bilateral Hierarchical Uni-directional (forward and reverse crosscertification) Many business relationships are not symmetrical Bilateral Jerárquica Unidireccional (certificación cruzada hacía adelante y hacia atrás) Muchas relaciones de negocios no son simétricas Cross-Certification Pitfalls Peligros latentes de la Certificación Cruzada Inconsistent understanding of what the PKI is to be used for and how Business Uses (What) = Certificate Policy (CP) Certificate Policies have numbers (Object IDs/OIDs) Business Practices (How) = Cert. Practice Statement (CPS) Entendimiento inconsistente de para qué y cómo se va a usar la PKI Usos comerciales (Qué) = Política de Certificación (CP) Las políticas de certificación tiene números (ID Objeto/OID) Prácticas comerciales (Cómo) = Relación de Prácticas de Certificación (CPS) 221

10 Pitfalls (cont d) Peligros latentes (continuación) Other CAs may not follow their own policies or otherwise become untrustworthy Users from other CA may become persona non gratis Other CA may cross-certify with someone we don t trust Otras CA podrían dejar de seguir sus propias políticas, en otras palabras, hacerse inseguras Los usuarios de otras CA podrían volverse persona non gratis Otras CA podrían tener certificación cruzada con alguién en quien no confiamos Cross-certification Contribution to maintenance of trust PKI Certification policies and practices are compared Operational on site audit confirms that CP and CPS have been operationalized Relevance of ES Framework contributions are examined Terms and conditions cover partner commitments, obligations and on-going audit to maintain established security profile Contribución de la Certificación Cruzada para el mantenimiento de la confianza Se compara las políticas y prácticas de Certificación PKI La auditoría operacional en el sitio confirma que se ha operacionalizado las CP y CPS Se examina la relevancia de las contribuciones del Marco ES Los Términos y Condiciones cubren compromisos entre socios, obligaciones y auditoría continuada para mantener un perfil de seguridad establecido Terms and Conditions Términos y Condiciones Legal/Contractual Agreement Development of an approach e.g. boiler plate plus schedules Identify the issues to be covered Develop the content Obtain PMA approval Acuerdo Legal/Contractual Desarrollo de un enfoque, por ejemplo lenguaje legal y programa Identificar los puntos a ser cubiertos Desarrollar el contenido Obtener aprobación de la PMA 222

11 Content of Terms & Conditions Identify the relationship between the CCF, the CA, any sub-ordinate CAs and subscribers/relying parties. Identify the relevance of the CP, the CPS and any ES Framework documents. Will the CPS be released, if not, certain sections will have to be included as appendices? The law that will apply. Contenido de los Términos y & Condiciones Identificar la relación entre CCF, la CA, cualquier CA subordinada y los abonados/ partes dependientes. Identificar la relevancia de la CP, la CPS y los documentos de Marco ES. Se divulgará la CPS, y si no, se tendrá que incluir ciertas secciones como anexos? La ley que se aplicará. Content of Terms & Conditions Liability coverage Right to audit, how often and by who Any mandatory training, how often, for who, and who will give it Dispute resolution mechanism How long will the agreement remain in effect, how will it get updated or cancelled? Other Contenido de los Términos & Condiciones Cobertura de responsabilidad Derecho a auditar, con qué frecuencia y por quién Cualquier capacitación obligatoria, con qué frecuencia y quién la dará Mecanismos de resolución de conflictos Durante cuánto tiempo tendrá validez el acuerdo, como se actulizará o cancelará? Otros Cross - Certification Technical Issues Implementation Certificación Cruzada Implementación de Aspectos Técnicos 223

12 Technical Challenges Desafíos Técnicos PKI product compatibility *Directory compatibility schema communications: shadowing, chaining Network connectivity willingness to allow directory and crosscertification protocols through firewalls to CA directory connectivity Compatibilidad de productos PKI Compatibilidad de Directorios esquema comunicaciones: shadowing, chaining Conectividad de Red Voluntad de permitir protocolos de directorio y certificación cruzada mediante firewalls para las CA Conectividad de directorios After Cross-Certification For cross-certification to be useful the directories must be connected. One way chaining, two way chaining or shadowing. Search bases need to be setup so that end users can search for and find certificates. User certificates, cross certificates, CRLs and ARLs Después de la Certificación Cruzada Para que la certificación cruzada sea útil los directorios deben estar conectados. Encadenamiento de una vía, encadenamiento de dos vías o shadowing. Se necesita establecer esas bases para que los usuarios finales puedan buscar y encontrar certificados. Certificados de usuario, certificados cruzados, CRLs y ARLs What are others doing? BCE Emergis Full ES Framework CP & CPS comparison Operational Audit Technical proving if needed (gated process) Legal Agreement Third party audit (every 3 rd quarter) Qué están haciendo los otros? BCE Emergis Completo Marco ES Comparasión CP y CPS Auditoría operacional Pruebas técnicas de ser necesarias (proceso de desconexión periódica) Acuerdo legal Auditoría por tercera parte (cada tercer trimestre) 224

13 What are others doing? Qué están haciendo los otros? Government of Canada PWGSC/GTIS and CCF PMA controlled ES framework examination (RCMP/SEIT and CA Audit) CP and CPS examination Cross-certification methodology On-going audit Gobierno de Canada PWGSC/GTIS y CCF Control de PMA Examen de marco ES (RCMP/SEIT y Auditoría CA) Examen de CP y CPS Metodología de Certificación Cruzada Auditoría continua What Are Others Doing? NB TEL/Global (Aliant Telecom Inc) Full ES Framework (IT security policy and standards, governance, security risk management..) Cp and CPS review/comparison Legal Arrangements/Terms and Conditions Commitments/obligations Mandatory education and awareness Audit Qué están haciendo los otros? NB TEL/Global (Aliant Telecom Inc) Completo Marco ES (política y normas de seguridad IT, gobernancia, manejo del riesgo para la seguridad..) Revisión/comparasión CP y CPS Acuerdos Legales/Términos y Condiciones Compromisos/obligaciones Educación y conocimiento obligatorio Auditoría What Remains To be Done To Achieve GO PKI Trust GO PKI Certification Authority Examine broader ES Framework for completeness Government wide statements of sensitivity Validation of policy assurance model Complete PKI policy framework including approvals CP, CPS, Conceptual Model Adopt/create Cross-cert Methodology Qué falta por hacer para alcanzar la confianza en la PKI del GO Autoridad de Certificación PKI del GO Examinar Marcos ES más amplios para integridad Documento de situación de sensibilidad para todo el gobierno Validación del modelo de seguridad de política Marco completo de política PKI incluyendo aprobaciones CP, CPS, Modelo Conceptual Adoptar/crear una Metodología de Certificación Cruzada 225

14 What Remains to be Done To Achieve GO PKI Trust Qué falta por hacer para alcanzar la confianza en la PKI del GO GO Cross-Certification With Private Sector Teranet CA Service Possible interim PMA approval Finalization of assurance level in both GO PKI and Teranet Agreement: Terms and Conditions (GO and Teranet) Technical agreement (product, directory and network) Longer term: agreement at PS CIO Forum of following concept Certificación Cruzada del GO con el servicio de CA de Teranet del sector privado Posible aprobación provisional de la PMA Finalización del nivel de seguridad tanto en la PKI del GO como en Teranet Acuerdo: Términos y Condiciones (GO y Teranet) Acuerdo técnico (producto, directorio y red) Largo plazo: acuerdo en el Foro PS CIO sobre otros conceptos Banks Key Question: How will relationships work between entities? Bancos Pregunta clave: Cómo se darán las relaciones entre entidades? TelCos EXTERNAL DOMAINS Federated Super PMA TelCos DOMINIOS EXTERNOS Super PMA Federada PUBLIC of ONTARIO DOMAINS GO BPS & BUSINESS PARTNER DOMAINS Accredited GO OPS CA Accredited OPS RB CA DOMAIN Operational Authority Accredited RB CA Medium Level Assurance Environment GO PMA Primary CA Other Provinces Federal Government DOMINIO DEL PUBLICO DE ONTARIO DOMINIOS DE BPS & SOCIOS COMERCIALES DEL GO CA OPS DOMINIO Acreditada CA RB OPS GO Acreditada Autoridad Operacional CA RB Acreditada Ambiente con nivel medio de seguridad GO PMA CA Primary Primaria CA Otras Provincias Gobierno Federal Accredited RB CA CA RB Acreditada Post Offices Accredited RB CA= Accredited Role-based CA Primary CA= GO PKI Root CA Oficinas de Correos CA RB Acreditada= CA basada en roles acreditada CA Primaria= CA Raíz PKI del GO 226