Infraestructura de Llave Pública para el Estado Peruano. (PKI) Framework

Transcripción

1 Infraestructura de Llave Pública para el Estado Peruano (PKI) Framework Iniciativa de Proyecto 1

2 INDICE I. INTRODUCCIÓN II. DEFINICIÓN DE INFRAESTRUCTURA DE LLAVE PUBLICA 2.1 Que Es Una Infraestructura De Llaves Públicas (PKI)? 2.2 Como Trabaja Una PKI? 2.3 Autoridad Certificadora (CA) 2.4 Que Es Una Firma Digital? 2.5 Certificados III. IV. IMPLEMENTANDO UNA INFRAESTRUCTURA DE LLAVE PUBLICA PARA EL ESTADO PERUANO. PARTICIPACIÓN DE LA EMPRESA PRIVADA DE TECNOLOGÍAS DE SEGURIDAD. V. DESARROLLO DE POLÍTICAS. 5.1 Autoridad De Administración De Políticas. VI. ESTANDARES ABIERTOS PARA LA PKI DEL ESTADO PERUANO. VII. TEMAS LEGALES RELACIONADOS A LA SEGURIDAD DE LA INFORMACIÓN ELECTRONICA. VIII. EVALUACIÓN DE SOLUCIONES PKI. 2

3 I. INTRODUCCIÓN En el mundo cada día se esta incrementando el uso de medios y dispositivos digitales, por ejemplo la Internet hoy en día es un medio sobre el cual se manejan muchos negocios. Esto implica de por si el establecimiento de un entorno de seguridad. Uno de los elementos críticos en las infraestructuras de sistemas de información de las entidades públicas, es la seguridad de la información que procesan las entidades públicas. En los servicios públicos, hay un delicado balance entre la necesidad de proteger la privacidad de las personas que se conectan a los servicios públicos, y la necesidad de compartir información entre entidades públicas. Las entidades públicas del Estado Peruano tienen una gran expectativa de asegurar su infraestructura de los sistemas de información, esto incluye los siguientes puntos : Protección de la privacidad personal : La confidencialidad de las personas que acceden a servicios de información vía redes públicas como Internet, necesitan una protección para cumplir este objetivo. Existe información que solo debe ser disponible para personas autorizadas que necesiten conocer determinada información. Integridad de la información : La información que es publicada y compartida no puede ser alterada, ya que esto afectaría a otros procesos o sistemas, que al utilizar dicha información errónea producirán información no valida. Disponibilidad de la Información : La información de las entidades públicas debería estar disponible en el momento que se necesite. La Seguridad de la información típicamente abarca los principios de confidencialidad, integridad y disponibilidad. Una infraestructura de seguridad se encarga que la información precisa esta disponible para los usuarios autorizados cuando estos son requeridos para propósitos legítimos. La meta de una infraestructura segura es aplicar la tecnología y las políticas administrativas que soporten estos principios. Las tecnologías de cifrado de llave pública / privada y las infraestructuras de llaves públicas (PKI) son ejemplos de tecnologías y políticas que están emergiendo como estándares de facto para la seguridad en el intercambio de información. Encabezado por el comercio electrónico y la necesidad de asegurar las comunicaciones sobre Internet, PKI está rápidamente madurando como una 3

4 solución de seguridad en muchos sectores. Combinada con cifrado de llaves públicas / privadas, PKI ofrece lo siguiente : Seguridad en las comunicaciones confidenciales: Los Mensajes confidenciales, pueden ser protegidos por medio de técnicas sofisticadas de encriptación, cuando se envíen a través de redes públicas como Internet. Autenticación : El mensaje original puede ser confirmado positivamente por medio del uso de técnicas de encriptación de llaves públicas / privadas. Las técnicas pueden ser usadas para una alta seguridad y control de acceso selectivo a los sistemas de información. Integridad: Las técnicas de encriptación pueden ser aplicadas para asegurar que los mensajes no han sido alterados o dañados durante una transmisión y puede ser usado para proveer una firma digital segura. La naturaleza de la firma digital es igual que nuestra firma análoga, y esta autenticidad no puede ser negada o repudiada. Muchas de las entidades públicas aun desconocen el potencial de las PKI para proveer una infraestructura de seguridad para la aplicación en sistemas de información críticos. Es necesario considerar en el desarrollo de las aplicaciones el diseño para implementar la encriptación de llaves públicas / privadas, para estar preparados una vez que una infraestructura de llave publica a sido establecida. El mes de Octubre del presente año 2002 se realizó un piloto de prueba de certificados digitales con diferentes dispositivos de almacenamiento para la llave privada, se probaron entre otras cosas la interoperabilidad y los estándares utilizados en los certificados emitidos por cada proveedor de certificados digitales en nuestro país. Cada día se comprende mas la necesidad de contar con infraestructuras de seguridad en las entidades públicas del estado peruano, se lograra tener una solución adecuada si es que se hace un esfuerzo coordinado y colaborativo entre todas las instituciones, para no tener múltiples infraestructuras de llaves públicas inconsistentes. Entre las necesidades relevantes que se pueden encontrar son las siguientes : Infraestructura PKI, incluyendo las políticas administrativas para soportarlas. Identificación de Autoridades de Certificados (CAs). Cruce de certificados entre las diferentes entidades públicas en Lima y provincias. Desarrollo de estándares. 4

5 II. DEFINICIÓN DE INFRAESTRUCTURA DE LLAVE PUBLICA 2.1 Que es una Infraestructura de llaves públicas (PKI)? Una infraestructura de llaves públicas es un sistema de entrega de certificados y llaves criptográficas lo cual hace posible la seguridad en transacciones económicas financieras y el intercambio de información sensible entre personas relativamente desconocidas. Un PKI provee privacidad, control de acceso, integridad, autenticación y soporte para el no repudio en aplicaciones informáticas y transacciones de comercio electrónico. Un PKI administrará la generación y distribución de llaves públicas y privadas; y publicará las llaves públicas con la identificación de los usuarios en tablas electrónicas públicas (es decir servicios de directorio x.500). PKI provee un alto grado de confianza, manteniendo las claves privadas seguras, las claves públicas se conectan a sus respectivas claves privadas, y el par de claves públicas y privadas aseguran la veracidad de la persona quien dice ser. Una Infraestructura de Llave pública esta compuesta por los siguiente componentes : Autoridad de certificación (CA). Deposito de certificados. Sistema de revocación de certificados. Sistema de Backup y recuperación de llaves. Soporte para No-Repudio. Actualización de llaves automáticas Administración de histórico de llaves Certificación Cruzada Time Stamping. Software interactivo para el cliente. 2.2 Como trabaja una PKI? Una PKI es construida desde diferentes sistemas distintos conocidos como Autoridades de Certificación (CA). Estos CAs son configurados lógicamente en una estructura de 3 niveles. Cada Identificación y llave pública de un usuario son localizados en un mensaje (Certificado). Los usuarios de las CA firmaran digitalmente cada certificado y harán disponibles sus certificados de llave pública mediante tablas electrónicas públicas (Servicios de directorio x.500) junto con todos los certificados del resto de usuarios. Por lo tanto cualquier usuario podrá obtener cualquier llave pública de otro usuario de las tablas electrónicas públicas y 5

6 verificar que esta es autentica usando la llave pública de la CA, para verificar la firma de la CA sobre el certificado. La CA en el nivel mas alto de la jerarquía firmará los certificados conteniendo las llaves públicas de las CAs subordinadas directamente a estas, y estas CAs firmaran los certificados de cualquier otra CAs debajo de la jerarquía de las mismas. Este proceso entrega llaves públicas que son firmadas por otras CAs en la infraestructura para ser verificadas, desde una cadena de confianza que ha sido previamente configurada entre las CAs. La confianza en una tercera parte se refiere a la situación en la cual 2 entidades o personas individuales implícitamente confían uno del otro, aunque no tengan ningún tipo de relación previamente establecida. Esto es, ya que cada uno de ellos tiene establecida un confianza con una tercera parte en común, y esta tercera parte da fe de la confianza establecida entre las dos primeras partes. La confianza en una tercera parte es un requerimiento fundamental para las implementaciones a gran escala de servicios de seguridad basados en criptografía de llaves públicas. CONFIANZA CONFIANZA AUTORIDAD CERTIFICADORA MAX EDMUNDO CONFIANZA EN UNA TERCERA PARTE 2.3 Autoridad Certificadora (CA) Una CA es una entidad de confianza quienes tienen la responsabilidad principal de certificar la autenticidad de los usuarios. 6

7 Una autoridad certificadora es aquella que presta servicios de emisión, revocación u otros servicios inherentes a la certificación digital, pudiendo también asumir las funciones de una autoridad de Registro (RA) o verificación. Es decir una CA es la tercera parte fiable que acredita la ligazón entre una determinada llave y su propietario real. Actúa como una especie de notario electrónico que extiende un certificado de llaves el cual esta firmado con su propia llave, para así garantizar la autenticidad de dicha información. La CA, es quien firma digitalmente los certificados, asegurando su integridad y certificando la relación existente entre la Clave Pública contenida y la identidad del propietario. La firma de la CA es la que garantiza la validez de los certificados. La confianza de los usuarios la Autoridad de Certificación es fundamental para el buen funcionamiento del servicio. El entorno de seguridad (control de acceso, cifrado, etc.) de la CA ha de ser muy fuerte, en particular en lo que respecta a la protección de la Clave Privada que utiliza para firmar sus emisiones. Si este secreto se viera comprometido, toda la infraestructura de Clave Pública (PKI) se vendría abajo. Las autoridades de certificación realizan las siguientes tareas: Emisión de los certificados de usuarios registrados y validados por la Autoridad de Registro (RA). Revocación de los certificados que ya no sean válidos (CRL - lista de certificados revocados). Un certificado puede ser revocado por que los datos han dejado de ser válidos, la clave privada ha sido comprometida o el certificado ha dejado de tener validez dentro del contexto para el que había sido emitido. Renovación de certificados. Publicar certificados en el directorio repositorio de certificados. La emisión de certificados y la creación de claves privadas para firmas digitales acostumbra a depender de una pluralidad de entidades que están jerarquizadas de una manera que las de nivel inferior obtienen su capacidad de certificación de otras entidades de nivel superior. Finalmente, en la cúspide de la pirámide suele hallarse una autoridad certificadora, que puede pertenecer al Estado. Los certificados indican la autoridad certificadora que lo ha emitido, identifican al firmante del mensaje o transacción, contienen la clave pública del firmante, y contienen a su vez la firma digital de la autoridad certificadora que lo ha emitido. De esta manera, las partes que intervienen en una transacción aportan como credencial los certificados de su correspondiente entidad certificadora. Para llegar 7

8 a ser una entidad certificadora deberá mediar una solicitud a una autoridad certificadora de nivel superior, que podrá denegar la licencia si el solicitante no ofrece la fiabilidad o los conocimientos necesarios, ni cumple los requisitos establecidos en la ley. 2.4 Que es una firma digital? Con la invención de la criptografía de llaves públicas, Es posible otro proceso conocido como firma digital. Una firma digital es equivalente a una firma manual, la cual proporciona la prueba que el que firma es el autor original del mensaje (Autenticación). Si se desea firmar el mensaje que será enviado a un destinatario, el mensaje se cambia por medio de una función matemática (conocida como función hash) para lo cual hace un resumen del mensaje (código hash). Este resumen es único para cada mensaje y es equivalente a una huella digital. Luego este resumen o código hash se encripta con la llave privada y se adjunta la final de mensaje. Este código adjunto es conocido como firma digital. El destinatario puede verificar luego que el mensaje fue enviado por una persona que tiene una firma digital haciendo uso de la llave pública a través de una función hash similar. Si los dos códigos hash son similares entonces el que envió el correo firmado fue la persona correcta (no repudio) y no fue alterado (integridad). Todo esto suena complicado pero en la práctica todo lo que se tiene que hacer es dar un clic en un icono que hace referencia a la firma digital, en la pantalla del computador. 2.5 Certificados Un certificado digital es un equivalente electrónico del pasaporte. Este contiene información que puede ser usada para verificar la identidad del dueño. Una parte principal del contenido de la información del certificado digital es la llave publica del usuario. Una llave publica puede ser usada para poder realizar una comunicación encriptada en dos usuarios que tengan certificados digitales. Los Certificados electrónicos son documentos digitales que sirven para asegurar la veracidad de la Clave Pública perteneciente al propietario del certificado ó de la entidad, con la que se firman digitalmente documentos que puedan proporcionar la más absoluta garantía de seguridad respecto a cuatro elementos fundamentales: La autentificación del usuario/entidad (es quien asegura ser). La confidencialidad del mensaje (que sólo lo podrá leer el destinatario). La integridad del documento (nadie los ha modificado). El no repudio (el mensaje una vez aceptado, no puede ser rechazado por el emisor). Es, por tanto, muy importante estar realmente seguros de que la Clave Pública que manejamos para verificar una firma o cifrar un texto, pertenece realmente a quien creemos que pertenece. 8

9 Sería nefasto cifrar un texto confidencial con una Clave Pública de alguien, que no es nuestro intencionado receptor. Si lo hiciéramos la persona a quién pertenece la clave pública con la que lo hemos cifrado, podría conocer perfectamente el contenido de este, si tuviera acceso al texto cifrado. De la misma forma, si manejáramos una clave pública de alguien que se hace pasar por otro, sin poderlo detectar, podríamos tomar una firma fraudulenta por válida y creer que ha sido realizada por alguien que realmente no es quien dice ser. Otro dato a tener en cuenta, es que un certificado no puede falsificarse ya que van firmados por la Autoridad de Certificación. Si algún dato se modificase la firma no correspondería con el resumen (hash) que se obtendría de los datos modificados. Por tanto al utilizarlo, el software que los gestiona daría un menaje de invalidez. Un certificado electrónico contiene una clave pública, y una firma digital. Para su correcto funcionamiento, los certificados contienen además la siguiente información: Un identificador del propietario del certificado, que consta de su nombre, sus apellidos, su dirección , datos de su empresa como el nombre de la organización, departamento, localidad, provincia y país, etc. Otro identificador de quién asegura su validez, que será una Autoridad de Certificación. Dos fechas, una de inicio y otra de fin del período de validez del certificado, es decir, cuándo un certificado empieza a ser válido y cuándo deja de serlo, fecha a partir de la cual la clave pública que se incluye en él, no debe utilizarse para cifrar o firmar. Un identificador del certificado o número de serie, que será único para cada certificado emitido por una misma Autoridad de Certificación. Esto es, identificará inequívocamente a un certificado frente a todos los certificados de esa Autoridad de Certificación. Firma de la Autoridad de Certificación de todos los campos del certificado que asegura la autenticidad del mismo. Los navegadores actuales gestionan y almacenan las Claves Públicas de los certificados que permiten al emisor de mensajes firmarlos y encriptarlos utilizando las claves públicas de los destinatarios. Para estar completamente seguros en cualquier transacción es necesario utilizar, al menos dos tipos de certificados, uno general para comunicaciones seguras (X.509) y otro especifico para transacciones económicas (SET). Además de servir como mecanismo confiable y seguro de identificación en la red, su certificado de identidad digital le permite disfrutar de otra serie de beneficios: 9

10 puede enviar y recibir información confidencial, asegurandose que sólo el remitente pueda leer el mensaje enviado; puede acceder a sitios Web de manera segura con su identidad digital, sin tener que usar el peligroso mecanismo de passwords; puede firmar digitalmente documentos, garantizando la integridad del contenido y autoría del documento; y todas aquellas aplicaciones en que se necesiten mecanismos seguros para garantizar la identidad de las partes y confidencialidad e integridad de la información intercambiada, como comercio electrónico, declaración de impuestos, pagos provisionales, uso en la banca, etc. Certificación cruzada La certificación cruzada es el acto de compartir niveles de confianza entre dos o mas organizaciones o autoridades de certificación. Esto quiere decir que 2 o mas CAs intercambian información de llaves criptográficas para la confianza entre sus respectivas llaves. AUTORIDAD CERTIFICADORA AC1 AUTORIDAD CERTIFICADORA AC2 CONFIANZA CONFIANZA CONFIANZA TERCERA PARTE ANA MAX SHIRLEY ERIC DOMINIO DE AC1 DOMINIO DE AC2 10

11 IX. IMPLEMENTANDO UNA INFRAESTRUCTURA DE LLAVE PUBLICA PARA EL ESTADO PERUANO. La Infraestructura de Llave Pública para el Estado Peruano, proveerá los procesos de administración de llaves para soportar la confidencialidad y las firmas digitales en aplicaciones electrónicas de las entidades públicas del Estado Peruano. Así mismo deberá proveer una solución de seguridad, para la integración de diferentes tecnologías usadas en los sistemas de información del Estado Peruano. Una infraestructura uniforme dispondrá de una seguridad en términos de costoefectividad para proveer a un amplio rango de aplicaciones, las cuales necesitan ser soportadas por diferentes arquitecturas de seguridad para cada aplicación. Esta infraestructura debería de contar con los siguientes componentes : Autoridad de Administración de Políticas (AAP) Autoridad Certificadora Central (ACC) Autoridades Certificadoras (ACs) Autoridades de Registro Local (ARLs) AAP ACC AC AC AC Clientes Clientes Clientes ARLs La AAP seria un comité conformado por autoridades de diferentes entidades públicas relacionadas con estos temas como RENIEC, INDECOPI, entre otros. El rol del AAP (ver sección 5.1) es principalmente el desarrollo de políticas para la operación del PKI del Estado Peruano. 11

12 La ACC es la autoridad certificadora central, la cual implementará políticas de administración sobre la infraestructura PKI del Estado Peruano, y proveerá las coordinaciones técnicas y de gestión necesarias para la certificación cruzada con organizaciones externas (como otros gobiernos nacionales, otras jurisdicciones y comunidades del sector privado de interés). Este será el nivel 0 de la autoridad certificadora. Entre las principales funciones que realizaría tenemos : Certificar a todas las Autoridades Certificadoras (nivel 1) en la infraestructura de PKI del Estado Peruano. Certificar PKIs externas, solicitadas por la AAP. Mantener una lista de los certificados revocados en servicios de directorios. Archivar todos los certificados y las listas de revocación de certificados generadas por el mismo y por las Autoridades Certificadoras de la PKI del Estado Peruano. Gestionar los niveles de auditoria del ACC, y archivar datos generados potencialmente sensibles para la auditoria por las Autoridades Certificadoras subordinadas (solo si es requerido por las propias políticas de seguridad locales). La función principal de un ARL (Autoridad de Registro Local) es identificar y registrar los certificados de llaves públicas de sus usuarios. Su principal función es proveer las coordinaciones y la ayuda necesaria entre las Autoridades de Certificados y los usuarios finales. Sus principales funciones serian : Asistencia en el registro, desregistro y modificaciones a los atributos de una entidad subordinada final. Confirmar la identidad de los usuarios finales asociados con las entidades finales. Autorizar solicitudes para la recuperación de claves confidenciales o recuperación de certificados. Aceptar y autorizar solicitudes para revocación de certificados. Distribución física y personal de tokens, y la recuperación de tokens obsoletos, de usuarios autorizados. Registrar, desregistrar y asignar privilegios al personal local de la LRA. 12

13 X. PARTICIPACIÓN DE LA EMPRESA PRIVADA DE TECNOLOGÍAS DE SEGURIDAD. El Estado Peruano realizó un piloto de certificados digitales La idea del piloto fue identificar los indicadores de evaluación y que empresas podrían dar los servicios bajo ciertos parámetros, como : Completa administración de llaves automatizada, firmas digitales y encriptación. Proveer una infraestructura simple que pueda ser compartida frente a una variedad de aplicaciones. Trabajar sobre cualquier tamaño de arquitecturas cliente/servidor y sobre plataformas Windows, Novell, UNIX y Linux. Soporte de alto nivel de Interfaces de programación de aplicaciones (API) para facilitar la integración con aplicaciones como correo electrónico, transferencia electrónica de pagos y transacciones de bases de datos. Soporte para una variedad de tokens (hardware). XI. DESARROLLO DE POLÍTICAS Autoridad de Administración de Políticas. La autoridad de administración de políticas trabajara para determinar y dirigir las políticas para la administración y los requerimientos de la infraestructura del PKI del Estado Peruano. Es aquí donde participaran las principales entidades publicas del Estado Peruano en coordinación con la autoridad de administración de políticas. El rol principal será desarrollar las políticas apropiadas para la operación del PKI del Estado Peruano dentro del sector público, así como las aprobaciones de los acuerdos para la certificación cruzada y las políticas entre los PKI de otros países. La autoridad de administración de políticas promoverá la cooperación entre las distintas Entidades del Estado Peruano para tener una vision mas amplia de en la definición de políticas para los certificados y las practicas de declaraciones para los certificados, de la cual deben de salir borradores de políticas para ser revisadas y discutidas por las diferentes entidades del sector público. 13

14 XII. ESTANDARES ABIERTOS PARA LA PKI DEL ESTADO PERUANO. La PKI del Estado Peruano deberá estar basado en estándares comerciales abiertos, protocolos y algoritmos. Los estándares deberán incluir lo siguiente : 12.1 Seguridad Criptográfica. Requerimientos de seguridad para módulos criptográficos, para la publicación de estándares del procesamiento de información de las entidades publicas del Estado Peruano (tomando como referencia el FIPS del gobierno de los Estados Unidos). Realizar una evaluación para la garantía criptográfica y los respectivos programas de evaluación Algoritmos criptográficos. Algoritmos Simétricos : DES (Data encryption Standar), 64 bits Entrust Technologies CAST, 128 bits Algoritmos Asimétricos RSA/MD5 y RSA/SHA-1 para firmas digitales, 512/1024 bits para llaves. FIPS PUB y 186: DSA/SHA estándares para las firmas digitales que están vigentes internacionalmente. RC2, MD2 y 3DES Protocolos de comunicaciones y formato de datos. RFC 1777 LDAP (Protocolo de acceso ligero a directorios) ISO/IEC 8824 y 8825 Especificación de mensajes S/MIME : PKCS Servicios de seguridad para formatos MIME. PEM (Privacidad en el correo electrónico) MSP (protocolo de seguridad de mensajes) Unidad de protección independiente de los datos (IDUP) GSS API, RFC Network TCP/IP 12.5 Infraestructura para el almacenamiento de certificados. Servicios de directorio X.500, y soporte para otros directorios o repositorios que tengan interface LDAP Infraestructura de llave publica. Certificados X.509 v3 14

15 Especificaciones para interoperabilidad mínima para componentes PKI. Protocolo de intercambio seguro (SEP) Mecanismos simples de llaves publicas GSS-API, RFC 2078 XIII. TEMAS LEGALES RELACIONADOS A LA SEGURIDAD DE LA INFORMACIÓN ELECTRONICA. La PKI del Estado Peruano deberá crear un grupo de trabajo para ver los temas legales referentes a las tecnologías de seguridad a emplearse en las aplicaciones de las entidades públicas del Estado Peruano. Los objetivos principales del grupo de trabajo sobre temas legales será proveer las opiniones legales con respecto a las leyes peruanas y realizar las recomendaciones para el sistema legislativo peruano, para adecuarlas a las estrategias de las tecnologías de información de las entidades publicas del Estado Peruano. Los temas legales relacionados a la seguridad electrónica son importantes y deberan estar relacionados con 3 distintos tipos de aplicaciones : administración de expedientes, Transacciones financieras y comunicaciones electrónicas. Los detalles de seguridad deberán ser desarrollados por los grupos de trabajo que se crearán para este fin, los cuales se determinarán cuando se implementen estas aplicaciones, dentro de dichos temas estarían involucrados los siguientes : Obligaciones para crear, preservar y controlar la información electrónica. Almacenamiento y compartir información personal. Seguridad de la información comercial del gobierno. Integridad y exactitud de las publicaciones de información del gobierno. Usos criminales de las tecnologías de información. Búsqueda de computadoras y privacidad. Expedientes electrónicos y evidencias. Firmas digitales, confidencialidad encriptación e infraestructura de llaves públicas. Obtención de tecnologías de seguridad. XIV. EVALUACIÓN DE SOLUCIONES PKI. En resumen las consideraciones que se deberán tomar en cuenta para evaluar la futura implementación de la PKI para el Estado Peruano son las siguientes : 15

16 FLEXIBILIDAD Y COMPATIBILIDAD Una parte importante en la optimización del uso de una PKI, es que todos sus componentes sean compatibles con los diversos estándares y RFCs que definen cada uno de ellos. De esta forma la PKI del Estado Peruano, debe ser compatible con LDAP y X.500 para la comunicación con servidores de directorios o con PKCS#11 (Cryptoki) para la iteracción con módulos hardware criptográficos. Por otra parte, debe ofrecer la posibilidad de realizar tanto un nuevo registro de usuario como peticiones (de certificación, de revocación o renovación de certificados) por distintas vías : correo electrónico, navegador web o cualquier otro dispositivo de comunicación en red. Según la finalidad a la que se destine el PKI del Estado Peruano, puede ser muy interesante tratar las peticiones por lotes, debido a su gran número. De esta forma, se exigirá a la Infraestructura de Clave Pública un proceso automatizado en la comunicación entre RA y CA. Aunque los principios con los que funciona un sistema de PKI pueden ser complicados, su gestión no debe serlo. La PKI debe permitir a personal no especializado, manejarla con confianza. Estos operadores no tienen por qué entender las complicaciones de los algoritmos criptográficos, claves y firmas. Debe resultar tan fácil como pulsar iconos y dejar a la aplicación de software que se encargue del resto. El interfaz debe ser gráfico e intuitivo, ayudando a la tarea de gestión, en lugar de dificultarla con complejos registros de la base de datos. SENCILLEZ Las características más importantes de un sistema PKI, serán la flexibilidad y la sencillez en el manejo del mismo. Ello conllevará ventajas apreciables en todos los aspectos concernientes a la formación, el mantenimiento, la configuración del sistema, la integración de los distintos componentes y la posibilidad de crecimiento en el número de usuarios. Pero como todo, tiene el inconveniente del coste asociado a la optimización de estas dos características. Hay que llegar a un equilibrio razonable entre ambos aspectos: el funcional y el económico. ESCALABILIDAD La escalabilidad es una característica necesaria definida por el crecimiento paulatino del sistema. Se puede aplicar a diversos "campos" dentro de la Infraestructura de Clave Pública del Estado Peruano: Número de usuarios; 16

17 Número y tipo de certificados emitidos; Número de CRLs almacenadas; Tipos de mecanismos de registro; Número de CAs y RAs en ejecución; Número de aplicaciones soportadas, entre otros. SEGURIDAD CA/RA Dentro de una PKI, los sistemas CA y RA son los más importantes y por ello, la seguridad toma un cariz de máxima importancia. Si por cualquier motivo, se compromete la clave privada de alguno de estos sistemas, la PKI utilizada no tendrá ninguna garantía de validez. Por ello, una solución PKI debe garantizar: El secreto de las claves privadas de la Autoridad de Certificación (CA) y la Autoridad de Registro (RA), que se almacenarán cada una en un módulo de seguridad a prueba de manipulaciones. El acceso a la RA y a la CA debe realizarse previa autenticación tanto de usuarios como de administradores, utilizando cualquier mecanismo seguro como pueden ser las tarjetas inteligentes. La existencia de un operador o administrador de RA que apruebe las distintas peticiones de certificación destinadas a la CA. La integridad y confidencialidad de todas las peticiones de certificación que se cursen dentro del sistema, para evitar la generación de posibles "peticiones intrusas" de terceras entidades. 17

18 Fuentes GSS-API IETF PK IX