Consideraciones Técnicas para el uso de la Firma Electrónica en la Administración Pública 26 de Septiembre de 2002 Marco Antonio Zúñiga Yáñez Asesor INTEC MAZ 2002 - www.maz.cl 1
Objetivo Presentar distinciones y proposiciones técnicas para el uso de Documentos Electrónicos y la implementación de la Firma Electrónica en la Administración Pública MAZ 2002 - www.maz.cl 2
Agenda Antecedentes Generales Alternativas y Recomendaciones de Implementación de Firma Electrónica Reglamento: Normas Técnicas y Proceso de Acreditación MAZ 2002 - www.maz.cl 3
Antecedentes Generales Instructivo Presidencial Ley 19.799 sobre documentos electrónicos, firma electrónica y los servicios de certificación de dicha firma Reglamento de la Ley 19.799 Normas y Estándares aplicables Guías de Evaluación y Procedimiento de Acreditación de Prestadores de Servicios de Certificación Usos actuales en la Administración del Estado Uso de tecnologías de seguridad, auditoría y control MAZ 2002 - www.maz.cl 4
Firma Electrónica Artículo 2o., Ley 19.799 f) Firma electrónica: cualquier sonido, símbolo o proceso electrónico, que permite al receptor de un documento electrónico identificar al menos formalmente a su autor; g) Firma electrónica avanzada: aquella certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría MAZ 2002 - www.maz.cl 5
Artículo 39 Reglamento Artículo 39. Los órganos de la Administración del Estado podrán ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su ámbito de competencia, suscribiéndolos por medio de firma electrónica Para tal efecto, los actos administrativos, formalizados por medio de documentos electrónicos y que consten en decretos o resoluciones, en acuerdos de órganos colegiados, así como la celebración de contratos, la emisión de cualquier otro documento que exprese la voluntad de un órgano o servicio público de la administración del Estado en ejercicio de sus potestades legales y, en general, todo documento que revista la naturaleza de instrumento público o aquellos que deban producir los efectos jurídicos de éstos, deberá suscribirse mediante firma electrónica avanzada MAZ 2002 - www.maz.cl 6
Espíritu en el uso al interior de los Organos del Estado Generar modelos operacionales sencillos, que privilegien la firma electrónica simple, cautelando niveles mínimos de seguridad Exigir al mundo electrónico protecciones equivalentes a las operaciones en el mundo del papel Fomentar una rápida masificación, considerando el universo de usuarios de la Administración Pública Tender a la automatización de procesos y evitar el uso de papel Simplificar los flujos de información Excepcionalmente y cuando se requiera por restricciones legales, uso de la Firma Electrónica Avanzada MAZ 2002 - www.maz.cl 7
Distinción entre Documentos y Transacciones Dependiendo de los objetos de información, se pueden buscar alternativas sencillas para la firma electrónica simple, que aprovechen aplicaciones actualmente disponibles y disminuyan el costo de implementación Para documentos electrónicos tipo Documentos (textos libres, presentaciones, planillas, Bases de Datos, informes), que además requieren distribución hacia terceros, el correo electrónico usando S/MIME es una buena alternativa Para documentos electrónicos tipo Transacciones (datos en formularios, decisiones intermedias, expresión de voluntad, resoluciones simples, etc.) se recomienda la utilización de técnicas de Workflow con manejo de clave de firma, log y MAC» Ejemplo: Cómo eliminar el documento papel firmado como output de un proceso backoffice, con firma electrónica simple MAZ 2002 - www.maz.cl 8
Impactos operacionales que deben ser considerados en el Sector Público Identificación del Ministro de Fé (art. 40) Apertura para externalizar en PSCs acreditados (art. 41)» Exclusivo para Firma Electrónica Avanzada Exigencia del Repositorio de Documentos Electrónicos (art. 42) Seguridad, integridad y disponibilidad de la información en el Repositorio (art. 43) Cumplimiento de normas técnicas equivalentes a los PSCs (art. 44) Mecanismo de Verificación del Documento Impreso (art. 45)» Exclusivo para Firma Electrónica Avanzada Timestamping de Certificados (art. 46) Estándares de Interoperabilidad y Comité Técnico (arts. 47, 48, 49 y 50) Relación con las personas: Dependiendo de su pertinencia, firma electrónica simple y/o avanzada (arts. 51 en adelante) MAZ 2002 - www.maz.cl 9
Propuesta Metodológica Simple para diseño de sistema de firma electrónica Levantamiento:» Identificación de Ministro de Fe» Identificación de Comunidades de Usuarios» Identificación de transacciones como potenciales documentos electrónicos» Identificación de usuarios creadores de firma» Determinación de niveles de seguridad requeridos por documento electrónico (legal, técnico) y asignación de tipo de firma» Identificación de Costos de Operación actuales Definición de modelo interno de operación de firma electrónica» Particularmente, modelo de responsabilidades Arquitectura Hw y Sw e Interoperabilidad (de ser aplicable) Evaluación Económica Diseño de Plan de Capacitación MAZ 2002 - www.maz.cl 10
Recomendaciones Básicas Verificar niveles de cumplimiento de estándares» Partiendo por la revisión de Guías de Evaluación y Normas Técnicas del Reglamento Reutilizar mecanismos de control y auditoría actualmente vigentes, como una base para los procesos de firma electrónica simple Ejecutar los procesos de motivación y capacitación adecuados» Este modelo cambia los paradigmas y contenidos de trabajo diario Incorporar firma electrónica avanzada por la vía de la excepción, teniendo presente el impacto a nivel de aplicaciones y a nivel operacional que exige su integración MAZ 2002 - www.maz.cl 11
Alternativas de Implementación de Firma Electrónica Simple Modelos Challenge / Response» Ejemplo: Llave de firma / Llave de sesión Uso de Message Authentication Codes (MACs)» Por la vía de algoritmos propietarios o estándares» Permite Autenticación + Integridad» No utilizar la Clave de Acceso a Redes como Clave de MAC!!! Manejo adecuado de bitácoras y logs» Incluyendo valores de integridad y archiving de los logs Para envío de documentos, implementar una emisora de certificados para firma electrónica simple y uso interno, con tecnologías de amplia disponibilidad basadas en llave pública/llave privada» Win2K o Linux, para la creación de certificados, llaves privadas en diskette o disco duro con recuperación, uso de aplicaciones estándares de cliente correo y navegadores MAZ 2002 - www.maz.cl 12
Sobre el Repositorio Puede implementarse con Soluciones de Administración de Documentos Aprovechando las recomendaciones de las Guías de Evaluación de PSCs para Repositorio de Claves Públicas:» Estructura de directorio» Residente en sistema operativo securizado o verificado por auditor independiente, tal que provea Common Criteria nivel EAL3/EAL4 o TCSEC C2/B1.» Aplicación periódica de parches distribuidos por el fabricante» Servidor de alta disponibilidad incluyendo como mínimo doble fuente de poder, doble interfaz de red, discos en configuración RAID.» Conexión Internet con disponiblidad mínima del 99%» Servidor ubicado en la zona DMZ de un cortafuegos» Disponibilidad mínima de alimentación eléctrica del 99.7% MAZ 2002 - www.maz.cl 13
Posibilidades Futuras de Implementación - I Para simplificar los Modelos Operacionales, se recomiendan las siguientes alternativas como no excluyentes para manejo de Documentos Electrónicos, Firma Electrónica y Firma Electrónica Avanzada:» Un repositorio de acceso público con acceso vía Web, donde cada Documento Electrónico posee un ID único» Para documentos que comprometan privacidad, acceso vía https, con clave de acceso entregada al usuario asociado a dicho documento» En el Contenido de los Documentos Electrónicos que requieran Firma Digital Avanzada, incluir el ID del documento cuando corresponda a formato imprimible Evaluar la inclusión de Código de Barras del ID del Documento MAZ 2002 - www.maz.cl 14
Posibilidades Futuras de Implementación - II Simplificar el acceso, diseñando modelos que combinen Documentos Electrónicos con Firma Simple y documentos con Firma Avanzada Ejemplo: Mail del funcionario al usuario, con URL de acceso al Documento con Firma Electrónica Avanzada en el Repositorio Ejemplo: Workflow de aprobación interna con Firma Simple, para emisión de la resolución con Firma Electrónica Avanzada Para relaciones con los particulares, implementar firma electrónica simple mediante https: con bitácora Incorporar modificaciones menores a las aplicaciones del backoffice, para solicitar de Clave de Firma y registro en bitácora Utilizar mecanismos robustos de autenticación 2 de 3: Algo que soy, algo que sé, algo que tengo Para interoperabilidad, generación de copias del Documento Electrónico en dos o mas formatos según estándares de facto (Versión impresa, Versión Transaccional (XML)) MAZ 2002 - www.maz.cl 15
Desafíos Futuros Modelos de operación comunes para el Sector Público Generar un modelo común para la generación de claves» Largos mínimos, contenidos alfanum, sensibilidad, etc. Utilización de mecanismos biométricos MAZ 2002 - www.maz.cl 16
Reglamento Ley 19.799 Normas Técnicas Proceso de Acreditación y Evaluación MAZ 2002 - www.maz.cl 17
Normas Técnicas del Reglamento Consideran el soporte técnico para el diseño del procedimiento de acreditación de los PSCs» Aplicables a todos los Prestadores de Servicios de Certificación Define un marco de recomendaciones que permite por extensión ser aplicado a diversos ámbitos de la Administración TI en el Sector Público» generando condiciones favorables Las normas y estándares ya identificados se encuentran en proceso de homologación por parte de INN para la generación de Normas Chilenas MAZ 2002 - www.maz.cl 18
Normas Técnicas - I Prácticas de Certificación:» ETSI TS 102 042: Policy requirements for certification authorities issuing public key certificates.» RFC 2527 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, Marzo 1999 Seguridad:» ISO/IEC 17799:2000 Information Technology Code of Practice for information Security Management (2000).» ISO/IEC 15408: Common Criteria for Information Technology Security Evaluation, Version 2.1 (2000)» FIPS PUB 140-1: Security Requirements for Cryptographic Modules, (Mayo 2001) MAZ 2002 - www.maz.cl 19
Normas Técnicas - II Estructura de Certificados» ISO/IEC 9594-8:2001 Information technology Open Systems Interconnection The Directory attribute certificate framework» ITU-T Rec. X.690 (1997) / ISO/IEC 8825-1:1998. ASN.1 Basic Encoding Rules Repositorio de Información.» [RFC 2559] Boeyen, S. et al., "Internet X.509 Public Key Infrastructure. Operational Protocols - LDAPv2", Abril 1999. MAZ 2002 - www.maz.cl 20
Sistema de Acreditación de PSCs Solicitud estudio de Normas Generación y homologación de Normas B. Entidad Normalizadora, Instituto Nacional de Normalización F. Normas Técnicas A. Entidad Acreditadora Subsecretaría de Economía Solicitud Evaluación Mantención Registro Acreditación Proceso de Evaluación E. Registro de PSCs Acreditados D.Prestadores de Servicios de Certificación ( PSCs) C. Entidad Evaluadora/ Auditora Información y acceso a evaluadores Informe de evaluación Solicitud de acreditación y antecedentes MAZ 2002 - www.maz.cl 21
Requisitos de Acreditación AS - Requisitos de Admisibilidad RG - Requisitos Generales LE - Aspectos Legales y de Privacidad TB - Técnicos Básicos PS - Seguridad ET - Evaluación Tecnológica SF - Seguridad Física PO - Política del PSC AD - Administración del PSC PE - Examen del Personal MAZ 2002 - www.maz.cl 22
Comentarios Generales El Procedimiento de Acreditación y Guías de Evaluación se encuentran liberadas en v1.0» Resultado del consenso de múltiples agentes públicos y privados (incluyendo potenciales PSCs)» Intec se propone como la Entidad Evaluadora/Auditora del Proceso Próximos pasos:» Generación de normas chilenas» Inicio del Proceso de Acreditación Estimado en 3 meses desde el momento de la presentación de antecedentes» Implementación de proyectos MAZ 2002 - www.maz.cl 23