Circular de Tecnología Pautas para el uso de Certificados Digitales Personales

Transcripción

1 ASIT CT Pautas para el uso de Certificados Digitales v Documento de Circular de Tecnología Pautas para el uso de Certificados Digitales Personales Versión 003 Julio de 2007 ARCHIVO: ASIT CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 1 / 9

2 Índice del Contenido 1. Abstract 3 2. Objeto 3 3. Alcance 3 4. Antecedentes 3 5. Consideraciones Generales Usos de Certificados Digitales Personales Prestadores de Servicios de Certificación o Entidades de Certificación Soporte para Certificados Digitales Personales 5 6. Clases de Certificados Digitales Personales 5 7. Características técnicas Certificados Digitales Personales Dispositivos criptográficos USB 6 8. Software para firma digital 6 9. Software para cifrado o encriptación Seguridad en el uso de los certificados Vigencia Referencias Generales 9 ARCHIVO: ASIT CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 2 / 9

3 1. Abstract La siguiente Circular de Tecnología incluye definiciones tecnológicas y pautas de seguridad para el uso de Certificados Digitales Personales en el BPS. 2. Objeto Definir los requerimientos tecnológicos necesarios para la utilización del Certificado Digital en el BPS y pautas para un uso seguro de estas tecnologías. 3. Alcance Las definiciones que se incluyen en este documento sobre el uso de Certificados Digitales Personales tienen alcance sobre todas sus posibles aplicaciones en el Banco de Previsión Social. 4. Antecedentes La Firma Digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, así como servir de base tecnológica para implementar el no repudio. El uso de una firma digital, no implica asegurar la confidencialidad del documento. Para ésto es necesario encriptar o cifrar el documento. Para que un documento pueda ser firmado o cifrado es necesario el uso de un Certificado Digital. Con la firma de los acuerdos internacionales para el intercambio de información, se plantea la necesidad de instrumentar el uso de Certificados y Firma Digital en el BPS. Previamente se habían desarrollado talleres y pilotos de evaluación de las tecnologías de Certificados Digitales, los cuales se implementaron conjuntamente con la CSEI e interactuando con Entidades Certificadoras (Ver: ASIT 2006 RT Certificado Digital en Correo Electrónico.doc) 5. Consideraciones Generales 5.1. Usos de Certificados Digitales Personales Los siguientes se consideran posibles usos de los Certificados Digitales Personales: ARCHIVO: ASIT CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 3 / 9

4 o Autenticación: conocer la identidad entre partes que no necesariamente se conocen previamente o Firma Digital: garantizar la autoría e integridad de un documento electrónico o Cifrado o encriptación: asegurar la confidencialidad de información sensible. El uso de herramientas de firma digital, cifrado y de certificados digitales por parte de los funcionarios del BPS, estará justificado y responderá a la necesidad de uso para cumplimiento de las tareas asignadas. En todos los posibles usos de Certificados Digitales se cumplirá con la normativa vigente y se priorizará la interoperabilidad mediante la adhesión a estándares internacionales Prestadores de Servicios de Certificación o Entidades de Certificación Los Certificados Digitales Personales utilizados en las diferentes aplicaciones, serán emitidos por Prestadores de Servicios de Certificación externos. Para la selección de Prestadores de Servicios de Certificación como proveedores de Certificados Digitales Personales para el BPS, se evaluarán los siguientes requisitos: o Técnicos: considerar la utilización de sistemas seguros, tanto del software como del hardware empleados para la emisión de los certificados. o Empresariales: evaluar la credibilidad de la empresa y requisitos de garantía. o Existencia y aplicación de procedimientos, documentación de las actividades que se llevan a cabo para otorgar un certificado. o Nivel de capacitación y experiencia del personal. o Legales: se verificará el cumplimiento de la legislación vigente en la materia. o Existencia de auditorias periódicas para asegurar la fiabilidad del servicio. o Planes de contingencia y recuperación del negocio. Los mismos requisitos serán considerados cuando se trate de Certificados Digitales Personales de terceros, si la Entidad de Certificación que los emite no es de confianza de alguna ya seleccionada. ARCHIVO: ASIT CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 4 / 9

5 5.3. Soporte para Certificados Digitales Personales Los certificados en los que sea necesario el máximo nivel de seguridad se generarán y serán almacenados en dispositivos criptográficos USB que cumplan con el estándar de seguridad FIPS nivel 2. En estos casos la clave y operación de firma digital se realiza en el propio dispositivo (no en el PC del usuario), lo cual otorga una seguridad mayor que si se realizara en el PC. En el caso que el nivel de seguridad requerido para el uso de los Certificados no se requiera tan estricto como en el anterior, las claves se generarán en el equipo y se almacenarán en soportes removibles o en el propio disco duro del equipo del usuario. 6. Clases de Certificados Digitales Personales En función del soporte del certificado y del procedimiento utilizado para su emisión, pueden considerarse dos clases de Certificados Digitales Personales para uso en el BPS: o Clase 1: Acreditan la identidad de una persona. Los certificados se generan y almacenan en dispositivos criptográficos USB personales, que cumplen con el estándar FIPS nivel 2. Para su emisión, es necesaria la presencia física del solicitante con documento de identidad vigente, ante el Prestador de Servicios de Certificación. Esta clase de certificado será emitido de acuerdo al Decreto 382 de setiembre de 2003 que reglamenta el uso de la Firma Digital. o Clase 2: Garantizan la existencia y disponibilidad de una dirección de correo electrónico. Los certificados se generan en el equipo y pueden almacenarse en dispositivos removibles o en el disco duro del equipo del usuario. Para la emisión de esta clase de certificados no es necesaria la presencia física del solicitante ante el Prestador de Servicios de Certificación. Siempre que sea necesario que la firma digital de un documento electrónico tenga idéntica validez legal que la autógrafa, se utilizarán Certificados Digitales Personales Clase 1. Para el intercambio de información sensible con organismos externos, se exigirá el uso de certificados Clase 1. En otros casos, donde sea necesario garantizar la autoría, integridad y/o confidencialidad de un documento electrónico para uso interno, se podrán utilizar Certificados Digitales Personales Clase 2. ARCHIVO: ASIT CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 5 / 9

6 En todos los casos deberán tenerse en cuenta las consideraciones para garantizar la máxima seguridad en el uso de los certificados. 7. Características técnicas 7.1. Certificados Digitales Personales Los Certificados Digitales Personales utilizados en cualquiera de sus aplicaciones deberán ser emitidos de acuerdo al estándar internacional X.509 v3. El tamaño de las claves RSA tendrá como mínimo 1024 bits de largo. El período de validez será como mínimo de 1 año y como máximo de Dispositivos criptográficos USB El dispositivo criptográfico deberá reunir como mínimo, las siguientes características: o Conexión nativa USB estándar sin necesidad de utilizar lectores en forma separada o Soporte de sistemas operativos multiplataforma o Cumplir con los estándares de seguridad FIPS nivel 2 o Soportar la especificación ISO para asegurar la compatibilidad entre dispositivos físicos y aplicaciones de software o Generación propia de las claves pública y privada que serán asociadas al Certificado Digital o Almacenamiento estándar para certificados X.509 v3 o Garantizar la protección de los datos almacenados o Algoritmos criptográficos y de PKI On-Board : RSA (1024 bits), DES, 3DES, SHA-1/MD5 o Memoria 16 k en adelante o Soportar el estándar PKCS #11 y Cripto API o Retención de la información asegurada por 10 años como mínimo o Incluir software de instalación y de administración 8. Software para firma digital La firma de correos electrónicos se hará con la opción Firma Digital del cliente MS Outlook 2000 en adelante. Se aceptará software para la firma de archivos y mensajes desarrollado específicamente (embebido en aplicaciones verticales) siempre que cumpla con los ARCHIVO: ASIT CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 6 / 9

7 requisitos de construcción (estándares, pautas de desarrollo, comunicaciones, protocolos) y de testeo. La firma y verificación de firma de documentos MS Word y MS Excel podrá realizarse con la opción disponible de Firma Digital en MS Office 2003 y posteriores. EN ESTUDIO: evaluación de software para firma y verificación de firma en otro tipo de documentos. 9. Software para cifrado o encriptación El cifrado o encriptación de mensajes de correo electrónico se hará con la opción Codificar mensaje de MS Outlook 2000 en adelante. EN ESTUDIO: evaluación de software para cifrado de información. 10. Seguridad en el uso de los certificados El nivel máximo de seguridad del certificado depende mayoritariamente, del uso responsable que el usuario le de al mismo. El propietario de un certificado digital deberá utilizarlo de acuerdo a los objetivos y políticas de uso definidas en el BPS. Es responsabilidad del usuario el resguardo de la clave privada, así como también informar en forma inmediata al Prestador de Servicios de Certificación si la misma se ve comprometida y verificar que el certificado que va a utilizar, no haya sido revocado y esté vigente. Los soportes de tipo criptográfico que posibilitan generar la clave privada dentro del mismo y que no permiten su exportación, garantizan el nivel máximo de seguridad, siempre que se tomen algunas precauciones: o Los Certificados Digitales de cada usuario estarán contenidos en dispositivos criptográficos individuales debidamente protegidos con PIN (Personal Identification Number) o contraseña o Es responsabilidad del propietario de un Certificado Digital el resguardo de dicha contraseña o No permitir que nadie utilice el dispositivo bajo la identidad del propietario o Cuidar que el dispositivo no se pierda o sea robado o Proteger el dispositivo de daños físicos En el caso que el Certificado Digital Personal se instale en el repositorio de Internet Explorer, el nivel de seguridad de dicho repositorio debe ser definido como Alto. ARCHIVO: ASIT CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 7 / 9

8 Si el certificado reside en el repositorio del navegador, deberá exportarse la clave privada y ser almacenada en un CD o diskette como copia de respaldo para evitar la pérdida del Certificado en caso que se dañe el disco del equipo, que el mismo tenga que ser formateado o que el usuario cambie de equipo. En este caso, la seguridad máxima de la clave privada depende del cuidado de la contraseña de acceso que se haya definido y de la seguridad del medio de almacenamiento. Si el equipo es compartido con otro usuario, se recomienda eliminar el certificado del repositorio una vez que haya sido utilizado. ARCHIVO: ASIT CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 8 / 9

9 11. Vigencia A partir de mayo de Referencias Generales - Código de buenas prácticas para la gestión de la seguridad de la información UNIT-ISO/IEC 17799: ASIT RT Firma Digital.doc - ASIT 2006 RT Certificado Digital en Correo Electrónico.doc - Taller sobre uso de Certificados Digitales: Certificados Digitales ARCHIVO: ASIT CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 9 / 9