TENDENCIAS EN CERTIFICACIÓN Y FIRMA ELECTRÓNICA

Transcripción

1 TENDENCIAS EN CERTIFICACIÓN Y FIRMA ELECTRÓNICA VIII Congreso Internacional de Profesionales IT Madrid, 22 de noviembre de 2006 Juan Jesús Torres Carbonell S. G. Tecnologías 1

2 ÍNDICE 1. Introducción 2. PKI, validación y DPC 3. Interoperabilidad 4. Firma electrónica 5. Próximos retos 6. Conclusiones 2

3 Introducción (1) Las condiciones que debe reunir una comunicación segura: Confidencialidad: evita que un tercero pueda acceder a la información enviada. Integridad: evita que un tercero pueda modificar la información enviada sin que lo advierta el destinatario. Autenticación: permite a cada lado de la comunicación asegurarse de que el otro lado es realmente quien dice ser. No repudio o irrefutabilidad: Permite a cada lado de la comunicación probar fehacientemente que el otro lado ha participado en la comunicación. Hay muchas formas de asegurar la identificación Algo que tienes: como una tarjeta inteligente. Algo que sabes: como un password o un PIN. Algo que eres: huella, retina. Algo que haces: tecleo de caracteres. 3

4 Introducción (2) Es un documento emitido por la Autoridad de Certificación relaciona la clave pública con el usuario al que pertenece. Certificación es un acto de ligar un nombre con una clave pública. Esta relación es una estructura de datos firmada: certificado de clave pública. El certificado digital está firmado por la Autoridad de Certificación. Versión Nº de serie Algoritmo Parámetros Autoridad de Certificación Inicio de la validez Caducidad de la validez Nombre del usuario Algoritmo Parámetros Clave pública del usuario Firma de la AC Formato del certificado digital X.509 Identificador del algoritmo Período de validez Clave pública que se firma Función hash que se cifra con la clave privada de la AC 4

5 Introducción (3) Certificado de CERES 5

6 Introducción (4) Certificado de autenticación Certificado de firma Certificados incluidos en el DNIe 6

7 ÍNDICE 1. Introducción 2. PKI, validación y DPC 3. Interoperabilidad 4. Firma electrónica 5. Próximos retos 6. Conclusiones 7

8 PKI, validación y DPC (1) Una PKI (Public-Key Infrastructure ): infraestructura de seguridad cuyos servicios se implementan y prestan utilizando conceptos y técnicas de clave-pública. Terceras partes de confianza Cómo confiar si un determinado certificado es válido? Validez del certificado es la confianza en que la clave pública contenida en el certificado pertenece al usuario indicado en el certificado. Interlocutores con los que nunca se ha tenido relación previa. Que dos usuarios puedan confiar entre si: ambos tienen relación con una tercera parte que puede dar fe de la fiabilidad de los dos. La mejor forma de distribuir certificados. La tercera parte avala el certificado mediante su firma digital sobre el mismo. Es la Autoridad de Certificación. 8

9 PKI, validación y DPC (2) Las PKIs que ofrezca servicios está compuesta por distintas terceras partes en los que todos los demás usuarios de la infraestructura confían: Autoridad de Certificación: nombre y clave pública. Autoridad de Registro Otras Terceras Partes Confiables como por ejemplo las Autoridades de Fechado Digital. Posible estructura de árbol de una PKI: Autoridad Raiz Autoridades de Certificación Subordinadas. Como el caso del DNIe. AS-1 AC-Raíz AS-n Certificado Certificado 9

10 PKI, validación y DPC (3) Ejemplo de los servicios ofrecidos por FNMT-RCM: Generación y gestión de claves. Registro de usuarios. Emisión, revocación y archivo de certificados de clave pública. Publicación de certificados y del Registro de Certificados (CRL) Registro de eventos significativos. OCSP (Online Certificate Status Protocol). Otros: Fechado digital 10

11 PKI, validación y DPC (4) Se persiguen los siguientes servicios: Validación de Certificados, comprobando entre otros aspectos, la Confianza en la Autoridad de Certificación Raíz emisora (asignando un nivel de confianza en función del Prestador) y la No Revocación del Certificado. Parseo de Certificados, extrayendo la información relevante de los mismos en función de las necesidades de las aplicaciones: número de serie, emisor del certificado, fechas de emisión y de caducidad, datos del titular, usos y propósitos del certificado, etc. 11

12 PKI, validación y DPC (5) La lleva a cabo una Autoridad de Validación. Este sistema conectará con la Autoridad de Certificación que haya emitido el certificado y comprobará si es válido, devolviendo el resultado firmado de esta validación. La puede hacer: Servicio en autoprestación. Servicio prestado por un tercero. Se basa en que la Autoridad de Certificación lleva a cabo: Publicación de certificados de clave pública. Publicación de lista de certificados revocados (CRL). Dos formas de comprobar la validez: Utilizando CRL: Problema de actualización. Utilizando OCSP: Hay que conectar con la Autoridad de Certificación. 12

13 PKI, validación y DPC (6) Declaración de Prácticas de Certificación: Artículo 19 de la Ley 59/22003, de 19 de diciembre, de firma electrónica: todos los prestadores de servicios de certificación formularán una declaración de prácticas de certificación en la que detallarán: Las obligaciones que se comprometen a cumplir en relación con la gestión de los datos de creación y verificación de firma y de los certificados electrónicos Las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados. Las medidas de seguridad técnicas y organizativas. Los perfiles y los mecanismos de información sobre la vigencia de los certificados. FNMT-RCM: DNIe: 13

14 PKI, validación y DPC (7) FNMT-RCM: Controles de seguridad, registro de eventos y auditorías Soporte del certificado: Tarjeta criptográfica. Tipo de certificado emitido: Persona física Persona jurídica para el ámbito tributario. Condiciones del servicio. Gestión del ciclo de vida de los certificados. Uso de los certificados: firma, cifrado 14

15 PKI, validación y DPC (8) DNIe: OM INT/738/2006, de 13 de marzo, por la que se aprueba la declaración de prácticas y políticas de certificación del Ministerio del Interior. BOE núm. 64 de 16 de marzo. Autoridad de Certificación Raíz: sólo emite certificado para si misma y sus AC subordinadas. Autoridades de Certificación Subordinadas: emiten los certificados para los titulares de DNIe. Hay 3. Autoridades de Validación: MAP: prestaría servicios de validación al conjunto de Administraciones Públicas. FNMT-RCM: prestaría servicios de validación con carácter universal: ciudadanos, empresas y Administraciones Públicas. Uso de los certificados: Certificado de autenticación (autenticidad de origen) Certificado de Firma (no repudio de origen e integridad) 15

16 ÍNDICE 1. Introducción 2. PKI, validación y DPC 3. Interoperabilidad 4. Firma electrónica 5. Próximos retos 6. Conclusiones 16

17 La interoperabilidad (1) La aceptación de certificados de varias autoridades nos lleva a tener en cuenta: Son todos los certificados iguales?. Necesidad de aceptarlos todos?. No obligar a los ciudadanos a utilizar uno en especial?. Dar las máximas facilidades a los ciudadanos. Elementos clave: La admisión de las autoridades de certificación en la gestión pública y el registro de entidades de certificación admitidas. Tipos de certificados electrónicos que se pueden/deben aceptar en la Administración (persona física, jurídica, de Órgano, componente, software, servidor, etc.), y las condiciones de su uso y aceptación. 17

18 La interoperabilidad (2) La Ley 59/2003, de 19 de diciembre, de firma electrónica establece en su artículo 30, y disposición transitoria segunda, que los prestadores de servicios de certificación deberán comunicar al Ministerio de Industria, Turismo y Comercio, sus datos de identificación, los datos que permitan establecer comunicación con el prestador, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores de servicios de certificación y será objeto de publicación en la dirección de Internet del citado Ministerio con la finalidad de otorgarle la máxima difusión y conocimiento. Futura regulación en la Ley de Acceso Electrónico de los Ciudadanos a las Administraciones Públicas. 18

19 La interoperabilidad (3) 19

20 MINISTERIO La interoperabilidad (4) Dos soluciones: Validar cada aplicación frente a cada Autoridad de Certificación. Utilizar una Autoridad de Validación Propia. Prestada por un tercero: Aplicación DNIe FNMT DNIe FNMT AC-n AC-n AC-m CR L OC / SP CRL / OCSP CRL / OCSP CR L OC / SP CR OC L / SP AC-m Autoridad de Validación CR OC L / SP Aplicación CRL / OCSP CRL / OCSP 20

21 La interoperabilidad (5) Las plataformas de validación prestan los servicios: - Validación de certificados: Emitidos por cualquier AC reconocida por la plataforma. Asumen la gestión de nuevas ACs. Mantienen interfaz estable con aplicaciones. - Validación de certificados mediante diferentes métodos: Listas CRL, OCSP Posibilidad de configurar varios niveles de validación para una AC (primero OCSP luego CRL). 21

22 La interoperabilidad (6) Reconocimiento de múltiples Autoridades de Certificación. Relación pública. En la AGE: responsabilidad de un Ministerio, Organismo o grupo de trabajo Disponibilidad de plataformas de validación. Nivel de garantía de estas plataformas? Relación con los ciudadanos. Identificación mediante CERES, DNIe u otros certificados. Certificados de dispositivo seguro que permita identificar la sede electrónica y el establecimiento con ella de comunicaciones seguras. Sello electrónico de Administración Pública u órgano, para la autenticación de la actuación administrativa automatizada. Firma electrónica del funcionario competente para el resto de actuaciones administrativas. 22

23 ÍNDICE 1. Introducción 2. PKI, validación y DPC 3. Interoperabilidad 4. Firma electrónica 5. Próximos retos 6. Conclusiones 23

24 Unas cuestiones sobre firma (1): Firma electrónica (1) Por si misma, la firma digital no dice nada acerca de la identidad del firmante y de la confianza o credibilidad de la firma. Es necesario además validar que proviene de una autoridad de certificación reconocida: es necesario la validación de toda la cadena de certificación. Uno de los principales problemas para garantizar en el tiempo la validez de la firma es que los certificados digitales utilizados para realizar la firma digital poseen un periodo de validez inferior al tiempo que tienen que permanecer los documentos firmados válidos. Es de vital importancia elegir el formato de firma adecuado que garantice éstas circunstancias y resuelva el problema de la validez de los certificados entre otros. La verificación de las firmas pasado el periodo de validez del certificado puede resultar en la determinación de que la firma es válida pero el certificado (la clave pública que es lo que se guarda en la firma) es no válido. 24

25 Unas cuestiones sobre firma (2): Firma electrónica (2) Si el periodo de validez ha expirado, pero puede confirmarse que la firma fue realizada dentro del período de validez, entonces puede confirmarse que la firma era válida durante el período de validez. Lo importante entonces es guardar algún tipo de información que permita determinar que en el momento de realizar la firma el certificado estaba dentro del período de validez. podemos almacenar información del estado del certificado utilizado para la firma en el momento de producirse ésta todos los certificados que componen la cadena de certificación Para garantizar que la firma digital perdura en el tiempo no solo debemos almacenar información del estado en el que se encontraba el certificado utilizado para la firma en el momento de producirse ésta. También es necesario que verifiquemos y almacenemos la información referente a todos los certificados que componen la cadena de certificación que emitió el certificado 25

26 Recomendaciones: Firma electrónica (3) Especificaciones de los estándares europeos relativos a los formatos de firma electrónica. Formato XADES -XML Advanced Electronic Signatures-, según especificación ETSI TS Formato CADES -CMS Advanced Electronic Signatures-, según especificación ETSI TS Generación de, al menos, la clase básica (BES) de estos formatos, y verificación de las especificaciones de la clase básica de dichos formatos. Periodo transitorio para la adecuación de los actuales sistemas?. 26

27 ÍNDICE 1. Introducción 2. PKI, validación y DPC 3. Interoperabilidad 4. Firma electrónica 5. Próximos retos 6. Conclusiones 27

28 Próximos retos (1) CERES: Función Hash: SHA-1 Longitud de clave: 1024 bits. Algoritmo de firma: RSA Certificado de persona física: Firma digital Cifrado 28

29 Próximos retos (2) DNIe: Función Hash: SHA-256 SHA-1: por razones de interoperabilidad para poder construir la cadena de confianza en la validación. Plazo máximo de dos años para soportar SHA-256 Longitud de clave: 2048 bits. Algoritmo de firma: RSA Certificados De autenticación. De firma. No se pueden utilizar para cifrar información. 29

30 Próximos retos (3) Certificado de autenticación Certificado de firma 30

31 Próximos retos (4) Propiedades de las funciones Hash: Todos los hashes generados por una función hash tienen el mismo tamaño. Dado un mensaje es fácil obtener su hash. Es imposible generar un mensaje con un hash determinado. Resistente a colisiones: No se pueden encontrar dos mensajes diferentes con el mismo valor de hash. Unidireccionales: dado un hash no se puede construir el mensaje. 31

32 SHA-1 Próximos retos (5) 32

33 ÍNDICE 1. Introducción 2. PKI, validación y DPC 3. Interoperabilidad 4. Firma electrónica 5. Próximos retos 6. Conclusiones 33

34 Conclusiones La infraestructura de PKI es imprescindible para el uso de los certificados. El papel de las Terceras Partes Fiables es fundamental. El papel de la validación será crucial para la Administración electrónica. La evolución tecnológica y las necesidades de seguridad requerirán que se evolucione, sobre todo en las funciones hash. El uso de CERES y el DNIe por los ciudadanos y funcionarios es ya una realidad. El formato de firma debe permitir su comprobación futura. 34

35 TENDENCIAS EN CERTIFICACIÓN Y FIRMA ELECTRÓNICA VIII Congreso Internacional de Profesionales IT Madrid, 22 de noviembre de 2006 Juan Jesús Torres Carbonell S. G. Tecnologías 35