DIA 1, Mesa 4: DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA María José Caro Responsable de Métodos de CESTI-INTA 21-11-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD
Índice 1. DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA / DIRECTIVA EUROPEA / LEY DE FIRMA ELECTRÓNICA 2. CWA 14169 -> SSCD-PP 3. EVALUACIÓN / CRITERIOS COMUNES 4. PRUEBAS DE PENETRACIÓN 2
Directiva Europea de Firma Directiva 1999/93/CE artículo 3.4 La conformidad de los dispositivos seguros de creación de firma con los requisitos fijados en el anexo III será determinada por los organismos públicos o privados pertinentes designados por los Estados miembros La conformidad con los requisitos del anexo III establecida por dichos organismos será reconocida por todos los estados miembros 3
Ley de Firma Electrónica Ley 59/2003, art. 24, Requisitos de los dispositivos seguros de creación de firma Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías: a. Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto. b. Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento. c. Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros. d. Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma. 4
Iniciativa EESSI European Electronic Signature Standardization Initiative EESSI 5
Directiva Europea de Firma Decisión de la Comisión 14-julio-2003. Anexo B Lista de normas que gozan de reconocimiento general para productos de firma electrónica considerados conformes por los Estados miembros con los requisitos del anexo III de la Directiva 1999/93/CE. - CWA 14169 (marzo 2002): secure signature-creation devices. 6
CWA 14169 CWA 14169: Tipos de SSCD 7
Perfil de Protección Perfil de Protección Entorno / Definición del Problema de Seguridad Objetivos Requisitos 8
Perfil de Protección II Perfil de Protección Políticas de Seguridad Amenazas Suposiciones Objetivos de Seguridad TOE SFRs TOE SARs Requisitos del Entorno 9
SSCD: Una visión general 10
SFRs significativos 11
SARs Requisitos de Garantía EAL4 aumentado con: - AVA_MSU.3 Vulnerability Assessment Misuse Analysis & testing for insecure states - AVA_VLA.4 Vulnerability Assessment Vulnerability Analysis Highly Resistant 12
Objeto a Evaluar - Criterios Comunes 13
Actividades de Aseguramiento Aseguramiento de que la DS es correcta, completa, consistente Aseguramiento de que la DS se ha realizado de forma correcta y completa Aseguramiento de que los procesos de desarrollo están organizados OK Aseguramiento de que el usuario despliega el producto correctamente Aseguramiento de que el producto hace exactamente lo que tiene que hacer 14
Pruebas de Penetración Qué puede ir mal? Las Funciones de Seguridad pueden ser: inadecuadas para contrarrestar las amenazas realizadas incorrectamente evitadas alteradas atacadas directamente usadas incorrectamente 15
Esquema Roles del Esquema Organismo de Certificación Certificado Informe de Validación Lista de Laboratorios Lista de Productos Métodos certifica() valida() acredita() supervisa() publica() 1 1 < solicita 1 1..* Solicitante Declaración de Seguridad Producto Documentación de desarrollo produceds() desarrolla() 1..* contrata < suministra 1..* 1..* Fabricante Producto Componente desarrolla() acredita > 1..* 1..* Laboratorio Informe de Evaluación Observación Informe de Progreso evalua() informa() < acredita 1..* 1 Entidad de Acreditación Acreditación Lista de Laboratorios acredita() publica() <<usa>> reconoce > 1 16