PKI:

Claves para entenderla.

Tu secreto es tu prisionero; si lo sueltas, t eres su prisionero. Simon Singh, Los cdigos secretos.

David Navarro Arnao

ndice:
Prologo Introduccin Qu es la Infraestructura de Clave Pblica? o Definicin. o Elementos que la componen. o Objetivos. o Marco de la PKI en la seguridad informtica. o Estndares y protocolos. Situacin en el mundo Situacin en Espaa o Marco legislativo espaol. o Proveedores de certificacin digital. Comparativa. o Problemas comunes en las empresas que usan PKI Ejemplo: Incorporar una PDA en una PKI Apndice 1 Bibliografa consultada Agradecimientos

PRLOGO
Estamos viviendo un momento histrico en lo que a criptografa se refiere. El hecho de que exista un mecanismo de cifrado pblico, para la gente corriente y moliente, es algo que sera impensable hace 30 aos, hasta que se hizo pblico un sistema de distribucin de claves en el Congreso Nacional de Informtica de EE.UU. en Junio de 1976 por Diffie-Hellman-Merkel. Este avance est considerado el mayor logro criptogrfico desde la invencin de la cifra monoalfabtica, hace ms de 2000 aos!!. Y aunque fueron matemticos del departamento del servicio secreto britnico GCHQ (James Ellis, Clifford Cocks y Malcolm Williamson) los que lo desarrollaron primero, no lo hemos sabido hasta mucho despus debido al secretismo del que fue rodeado. Estos britnicos se mordieron la lengua mientras otros hacan pblico algo que ellos haban descubierto antes y mientras Rivest, Shamir y Addelman se embolsaban 200 millones de dlares al venderse RSA Data Security Inc. Hoy en da comienza a ser habitual el uso del cifrado para el envo de emails o para todo tipo de transacciones digitales, y el hecho de que podamos usar una cifra tan potente como la basada en clave pblica o asimtrica es lo que le da el nombre de revolucin a este momento en la historia de la criptografa. Durante miles de aos, la cifra que posea una reina o general era considerado un arma (y lo sigue siendo), y se usaron grandes recursos para descifrar el arma del enemigo mientras rezaban porque su cifra siguiese siendo invencible. Muchas veces esta fe en el mtodo de cifrado ha sido la perdicin de jefes de estado como Maria Estuardo o Adolf Hitler. Para hacernos a la idea de que forma era un secreto de estado la cifra usada, podra poner muchos ejemplos, pero me he inclinado por uno que nos atae a los espaoles, los cuales hemos estado en la cola de la criptografa durante toda la historia. Hacia el final del siglo XVI, los franceses consolidaron su habilidad descifradora con la llegada de Franois Vite, que obtena un placer especial descifrando cifras espaolas. Los criptgrafos espaoles, eran ms ingenuos que sus rivales en el resto de Europa, no podan creerlo cuando descubrieron que sus mensajes eran transparentes para los franceses. El rey Felipe II lleg a presentar una peticin ante el Vaticano, afirmando que la nica explicacin posible del criptoanlisis de Vite era que ste fuera un enemigo jurado confabulado con el diablo. Felipe aleg que Vite deba ser juzgado ante el tribunal de un cardenal por sus actos diablicos; pero el Papa, que saba que sus propios criptoanalistas haban estado leyendo las cifras espaolas durante aos, rechaz la peticin espaola. Las noticias sobre la peticin se extendieron a los expertos en cifras de varios pases y los criptgrafos espaoles se convirtieron en el hazmerrer de Europa. [Los cdigos secretos, Simon Singh]

El hecho de que el uso del cifrado est al alcance de cualquiera conlleva varios problemas: El primero que surgi tiene que ver con la delincuencia. Ahora no se puede espiar a los delincuentes que cifran sus cuentas o sus comunicaciones, lo que supone un problema tico: Deberamos aceptar un mtodo de cifrado mermado para poder ser controlados a cambio de obtener mayor seguridad contra el crimen?. La opinin sobre esto de la NSA se ve claramente con la persecucin a la que fue sometido Phil Zimmermann por las autoridades de su pas (EE.UU.) por crear, publicar y regalar un programa de fcil uso para encriptar emails: PGP. Otro problema viene a la hora de implantar un estndar para el uso pblico de la cifra en usos generales, como DNIs digitales, Tarjetas de crdito, implementacin de protocolos para la PKI, etc... Todo esto necesita un marco jurdico que aclare las responsabilidades y un marco de estandarizacin que permita un compatibilidad y calidad de los productos usados.

INTRODUCCIN
El crecimiento de Internet ha cambiado dramticamente la forma en que las organizaciones y las personas se comunican y realizan transacciones de negocios. Para potenciar el efecto de este cambio, las empresas estn desarrollando rpidamente redes privadas de comunicacin con sus proveedores, aplicaciones de comercio electrnico, redes internas utilizando tecnologa compatible con Internet (Intranet), redes privadas virtuales (VPN), comunicaciones seguras y firma digital de documentacin. Una infraestructura de Clave Pblica (PKI) le permite a una compaa contar con sistemas de autenticacin, controles de acceso, confidencialidad y no repudiabilidad para sus aplicaciones en redes, usando tecnologa avanzada, tal como firmas digitales, criptografa y certificados digitales. Este tipo de infraestructura se basa, como su nombre indica, en el cifrado de clave pblica, sobre todo en la cifra RSA, por dos razones: Porque fue la primera en patentarse y porque sus inventores crearon escuela al formar la empresa que hoy es ms importante en el desarrollo e implantacin de Infraestructuras de Clave Pblica: RSA Data Security Inc y su filial certificadora Verisign. Este trabajo describe las claves para entender la Infraestructura de Clave Pblica (definicin, tecnologas usadas, objetivos que busca), algunas herramientas usadas para su implantacin y los problemas que se pueden encontrar al hacerlo. Adems muestra la situacin en el mundo de este tipo de infraestructuras sealando que pases tienen desarrollado un marco adecuado y al llegar a Espaa hacer una revisin de que compaas se han establecido y que productos se estn preparando desde la administracin pblica. Para terminar se plantea un ejemplo de implantacin de una PKI utilizando una PDA como soporte final del certificado digital.

Qu es la Infraestructura de Clave Pblica (PKI)?

Definicin:
Hay muchas maneras de definirla: Podra decirse de forma abstracta que es un protocolo para el intercambio seguro de informacin. O decir que es una infraestructura de red formada por servidores y servicios [apuntes de Redes]. O de forma ms parca podra decirse que es una tecnologa basada en clave pblica [Ciberpas]. Todas son ciertas y se complementan. La PKI es un protocolo que trata de describir los procesos organizativos necesarios para la gestin de certificados digitales de claves pblicas para el intercambio seguro de informacin, que permite firmar digitalmente un documento electrnico (un email, el cdigo de un programa, una transaccin bancaria, unos anlisis mdicos, etc, etc, etc...), o permite identificar a una persona o empresa en Internet, o permite acceder a un recinto o servicio restringido. Los usos son innumerables.

Las PKIs, son sistemas mixtos hardware/software, basados en diferentes agentes que permiten dotar a mquinas y usuarios de Certificados Digitales de Identidad (certificados X509v3).

Elementos que la componen:

Como ya introduje, la PKI se basa en el cifrado de clave pblica y est formada por: Certificados Digitales, por ejemplo X509. Una estructura jerrquica para la generacin y verificado de estos certificados formada por las Agencias de Certificacin (CA) y las Autoridades de Registro (RA) (que cumplen la funcin de sucursales de las primeras). Donde la CA es una organizacin independiente y confiable. Directorios de certificados, que son el soporte software adecuado (bases de datos) para el almacenamiento de los certificados. Por ejemplo directorios X.500 o LDAP (simplificacin del primero). Aunque no tienen porque estar localizados en un servidor central (modelo de Tercera Parte Confiable) y estar distribuidos entre los usuarios como hace PGP (modelo de Confianza Directa). Un sistema de administracin de certificados, que es el programa que utiliza la Agencia de Certificacin o la empresa donde se ha instalado la PKI para que realice la comprobacin, la generacin, la revocacin de certificados, etc.... Y este es el producto que cada compaa intenta vender en el mercado. Mercado al que se le augura un prometedor crecimiento

Objetivos:
Los objetivos que persigue una PKI, se consigue gracias a la propiedades de la criptografa de clave pblica, y son los siguientes: Autentificacin de usuarios: Asegurar la identidad de un usuario, bien como signatario de documentos o para garantizar el acceso a servicios distribuidos en red, ya que slo l puede conocer su clave privada, evitando as la suplantacin. No repudio: Impedir que una vez firmado un documento el signatario se retracte o niegue haberlo redactado. Integridad de la informacin: Prevenir la modificacin deliberada o accidental de los datos firmados, durante su transporte, almacenamiento o manipulacin. Auditabilidad: Identificar y rastrear las operaciones, especialmente cuando se incorporan marcas de tiempo. Acuerdo de claves secretas: para garantizar la confidencialidad de la informacin intercambiada, est firmada o no.

Marco de la PKI dentro de la seguridad informtica

Para tener una idea clara de la funcin de la PKI es conveniente enmarcarla dentro de su ambiente: la seguridad informtica.

La seguridad informtica se divide en tres segmentos conocidos como 3A. Es un mercado que engloba las herramientas de autentificacin, autorizacin y administracin. La autentificacin engloba las soluciones PKI y en menor medida los token, dispositivos de hardware que generan claves de un solo uso; en el segmento de autorizacin figuran los cortafuegos, redes privadas virtuales, deteccin de intrusos, filtros de contenido, mecanismos de control para acceder a una sede web, tarjetas inteligentes (smartcards) y dispositivos biomtricos. Por ltimo la administracin abarca los sistemas de gestin de perfiles y aplicaciones de control centralizado.

Estndares y protocolos.
El listado de links a stos es muy amplio y se puede ver en el Apndice 1. Pero me parece conveniente resaltar alguno en este punto: PKIX (IETF), PKCS (RSA), SSL(Netscape), TLS, S/MIME (IETF), SET (Visa y Mastercard), X.509, X.500.

Situacin en el mundo
Existen slo diecisiete pases en el mundo con un marco legal establecido por sus respectivos gobiernos en el desarrollo de tecnologa PKI. Esto nos da una idea de en que situacin se encuentra la utilizacin de las Infraestructuras de Clave Pblica: en paales, aunque hay que tener en cuenta que el RSA se public en 1997. Como ancdota patritica comentar que Espaa fue uno de los primeros pases que se subi al carro. En concreto en 1999, pero esto se comenta en el siguiente punto. La situacin en Europa es muy distinta de la estadounidense. En Estados Unidos reina una mayor libertad de mercado, porque las reglas no siempre son claras. Por el contrario, en Europa la Directiva de Firma Electrnica y las correspondientes leyes nacionales sobre la materia han restringido el mbito en el que se pueden mover los prestadores de servicios de certificacin y los proveedores de estas tecnologas. Esto es, en Europa los gobiernos deciden qu dispositivos de certificacin son seguros y quin puede convertirse en prestador de servicios de certificacin. Adems, en los pases de la Unin Europea suele haber una autoridad auspiciada por el gobierno con vocacin de establecerse como prestador de servicios genrico para facilitar el acceso a la firma electrnica por parte de los ciudadanos, como Ceres en Espaa o las fbricas de moneda y timbre de cada pas. Evidentemente la situacin de las administraciones pblicas no tienen nada que ver con el entorno privado y estas se han desarrollado de forma mucho ms rpida, espoleadas por el boom de las empresas punto com y por la rpida implantacin de productos de distribucin de claves y comunicaciones seguras en grandes empresas (como los bancos por ejemplo). Aunque esta implantacin no se produjo de cara al cliente final. Los fabricantes de tecnologa PKI que se crearon confiando en el boom de final del siglo pasado se han dado un buen porrazo debido a varios factores entre los que se encuentran el famoso 11-S o la ralentizacin de la adopcin masiva del comercio

electrnico. Slo aquellos que se han diversificado en otros campos (como las otras necesidades de las 3A) son las que se han mantenido y confan en un futuro muy prometedor. En general, el mercado mundial de software y servicios de securizacin en 2001 fue de 12.045 millones de euros, en 2002 ser de 15.455 millones de euros, y para el ao 2005 alcanzar 34.432 millones de euros. Tambin de acuerdo con la misma consultora, el mercado mundial de PKI en 2001 supuso 738 millones de euros, en 2002 alcanzar los 1.106 millones, y para 2005 ser de 2.955 millones. Fuente: Datamonitor. En lo que se refiere a los gobiernos esta es la lista de los que tienen iniciativas en este campo: Argentina: www.pki.arg.gov Australia: Government Public Key Infrastructure Austria: Supervisory Authority for Electronic Signatures Blgica: Service public fdral Technologie de l'Information et de la Communication (FEDICT) o Centre d'Information sur la Signature Electronique Brasil: ICP-Brasil - Infra-estrutura de Chaves Pblicas Brasileira Canad: GOC Public Key Infrastructure EEUU: Federal Public Key Infrastructure Steering Committee o NIST PKI Program o Department Of Defense PKI Espaa: Fbrica Nacional de Moneda y Timbre - Proyecto CERES Francia: Le site du programme d'action gouvernemental pour la socit de l'information o Agence pour les Technologies de l'Information et de la Communication dans l'Administration Holanda: Dutch government PKI Task Force Hong Kong: Digital Certificate and Public Key Infrastructure Italia: Autorit per l'informatica nella Pubblica Amministrazione Nueva Zelanda: Secure Electronic Environment PKI Panam: Proyecto Firma Digital y Comercio Electrnico (SENACYT) Reino Unido: HMG Public Key Infrastructure (PKI) o Government Gateway Repblica de Corea: Korea Certification Authority Central Singapur: Controller of Certification Authorities

Fuente: www.pki.gov.ar

Situacin en Espaa
Marco legislativo espaol
La legislacin espaola vigente sobre certificacin digital est compuesta por el Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrnica, y por la Orden Ministerial de 21 de febrero de 2000, por la que se aprueba el Reglamento de acreditacin de prestadores de servicios de certificacin y de certificacin de determinados productos de firma. En general esta normativa tiene eufrica a la Administracin y confa en proyectos como el DNI digital, pero hay muchas opiniones en contra, de organizaciones y empresas, que la tachan de ambigua y hecha con demasiadas prisas. Y no les falta razn porque este Decreto-Ley sali antes que la Unin Europea se pronunciase al respecto sacando la Directiva Europea de 13 de diciembre de 1999, que armoniza la regulacin de la firma electrnica. As que se esperan cambios a corto plazo en este marco legislativo. De momento el Ministerio ya se ha puesto manos a la obra para elaborar una nueva ley. En enero pasado se conoca el primer borrador de anteproyecto, que, adems de modificar ciertos aspectos del Real Decreto-Ley, tambin introduce novedades. Las dos principales son la creacin del DNI electrnico y la regulacin de los certificados de personas jurdicas. Muy probablemente, la nueva Ley de Firma Electrnica ser publicada este mismo ao. Tambin se espera la futura Ley de Facturas Telemticas.

Proveedores de certificacin. Comparativa.

CERES: o Iniciativa de la Fabrica Nacional de Moneda y Timbre. Es la iniciativa del gobierno espaol por acercar el servicio de la firma electrnica a los ciudadanos y a la administracin. Entre sus proyectos de certificacin estn algunos en ayuntamientos (Catarroja, Alboraya, Madrid, Laredo, Totana), en Gobiernos de comunidades autnomas (Canarias, Navarra, La Rioja, Madrid, Galicia), Ministerio de Economa, Seguridad Social, Tesoro Pblico, algunas empresas y otras instituciones. o Servicios: Los servicios esenciales estn relacionados con el funcionamiento de las PKI y la realizacin de firmas electrnicas. Ofrece servicios complementarios relativos a la fabricacin y distribucin de dispositivos seguros, a la atencin a los usuarios, a la verificacin de firma digital y a la replicacin del contenido del directorio de acceso pblico. En tercer lugar, archivado y recuperacin de claves, el fechado digital, la emisin de certificados de atributos y los servicios de confirmacin de envo, entrega y recepcin de los mensajes intercambiados entre dos partes.

Camerfirma: o Iniciativa del Consejo Superior de Cmaras de Comercio que certifica a empresas medianas a travs de la red de cmaras de comercio. o Servicios: Certificados sin poderes -que se limitan a asegurar que un empleado pertenece a una empresa determinada y que es quien dice ser. Los certificados con poderes, que adems certifican que esa persona tiene poder notarial vigente y firma en esa empresa. FESTE (Fundacin para el Estudio de la Seguridad de las Telecomunicaciones): o Creado por el Consejo General del Notariado, el Consejo General de la Abogaca y la Universidad de Zaragoza. Su objetivo es desarrollar mecanismos e instrumentos de seguridad jurdica y tecnolgica de las comunicaciones electrnicas. o Servicios: Certificado notarial: puede ser personal o corporativo. Se emite slo a personas fsicas y se utiliza para realizar cualquier tipo de transaccin o comunicacin electrnica segura mediante firma digital, con una validez de dos aos. Para emitir el certificado el interesado debe personarse ante un notario habilitado por FESTE. Certificado de web seguro: til para asegurar la identidad del servidor web ante el usuario que accede a l, y para establecer un canal de comunicacin cifrado entre clientes y servidor, asegurando la confidencialidad de la informacin transmitida. Estos certificados son los nicos dotados de eficacia jurdica de la fe pblica notarial. Son vlidos durante dos aos. Certificados corporativos: permiten crear un entorno transaccional y de comunicaciones seguro, utilizando como base la firma electrnica y la certificacin digital en el entorno cerrado de una corporacin privada o bien en el desempeo del ejercicio de la profesin por medios telemticos en una corporacin de derecho pblico. ACE (Agencia Espaola de Certificacin): o Creada por el grupo Telefnica. Sus accionistas son Telefnica Data, 4B, Sermepa y CECA. Su actividad se centra en la distribucin y comercializacin de los servicios de certificacin de Verisign en Espaa y Latinoamrica. Se dedican al outsourcing de autoridades de certificacin. Sus principales clientes proceden del sector financiero, del Grupo Telefnica y de las grandes corporaciones. o Servicios: La securizacin de sitios web y la de transacciones de comercio electrnico para grandes y pequeas corporaciones. Productos OnSite, orientada a los paquetes de certificados para distribucin de usuarios. Para la securizacin de teletrabajo, intranet y extranet en la relacin de los empleados y la empresa, as como la securizacin de transacciones entre empleados y clientes. Consultora de seguridad e integracin (asesoramiento legal, consultora total sobre PKI). Entrust: o Servicios:

Entrust/Authority, que es el software de gestin de infraestructuras de clave pblica. Adems cuentan con el servicio de certificados Entrust.net para servidores web o WAP. GetAccess es la solucin de gestin de privilegios para Internet que aporta seguridad y confianza en los sitios de comercio electrnico al implantar autenticacin, autorizacin y gestin de privilegios. Entrust TruePass, basado en tecnologa PKI, permite firmar sin cargar nada en el PC local y tampoco necesita tarjeta criptogrfica.

Safelayer: o Inversores: Indra, Bull, Fundacin Retevisin, Amena, Setproject, Adepa y Euskaltel. o Servicios: Desktop: aplicacin que permite firmas simples o mltiples, la verificacin y cifrado de cualquier archivo, y hacer peticiones de sellos de tiempo o de validaciones en tiempo real. Toolkits de generacin y verificacin de firma para integrar en aplicaciones. IPSCA: o Su tecnologa utiliza el protocolo de seguridad IPSec. Entre sus clientes se encuentra la empresa de trabajo temporal Vedior, que las utiliza para agilizar los procesos de contratacin en su portal de recursos humanos. o Servicios: Parquet de Firma: incluye Herramientas de Firma y Verificacin, WebMail Seguro, Caja Fuerte Virtual, Almacn Seguro de Documentos y Time Stamping. Formacin. Actan como 'tercera parte de confianza' para los servicios de certificacin, "time stamping" y almacn seguro de documentos. Unicom: o Participada por la Corporacin Financiera de Caixa Galicia. Entre sus clientes estn algunas entidades financieras y portales de subastas. o Servicios: Gestionar la emisin y control de certificados digitales en entornos privados. Proporcionar soluciones y servicios de PKI. Soluciones de firma electrnica integrada en sistemas informticos, nuevos o preexistentes. Tarjetas inteligentes criptogrficas para crear firma electrnica.

Problemas comunes en las empresas que usan PKI

Las empresas que incorporan soluciones PKI, se suelen encontrar con unos problemas que muchas veces no esperan. Por ejemplo, ocurre que aunque dos certificados digitales que se cien al estndar X509.v3 y que son de empresas distintas pueden ser incompatibles. Adems, existen problemas de confianza entre AC de distintas

organizaciones, que puede imposibilitar la verificacin con xito de cadenas de certificacin cuya AC raz sea desconocida o no confiable, invalidndose todo el esquema de PKI. Otro problema es el coste que supone la inversin. Dado que an no est extendido el mercado de la PKI los precios pueden ser algo elevados, impidiendo que pequeas empresas puedan acceder a dicha tecnologa. El tercer problema que se presenta es que una PKI termina presentando problemas de escalabilidad, cuando el nmero de certificados emitidos a los usuarios va creciendo, debido a que las listas de revocacin deben ser consultadas en cada operacin que involucre certificados y firmas digitales, si se desea una implantacin seria y robusta de PKI. El ltimo se basa en que el usuario final (el cliente de la empresa de comercio electrnico por ejemplo) es reacio a adoptar nuevos mtodos, acostumbrado al bsico login y password. Esto se espera que comience a mejorar cuando aparezca el DNI digital, que ayudar a popularizar el uso de la firma.

Ejemplo: Incorporar una PDA en una PKI.

Una PDA es el soporte perfecto para un certificado digital. Es un objeto tan personal y cmodo como una smartcard, que se est extendiendo a un buen ritmo, y puede ofrecer la misma seguridad que sta en el almacenamiento de los datos, los cuales podramos cifrarlos con 3DES o IDEA, por ejemplo. De esta forma estaramos usando una clave privada que slo tenemos que conocer nosotros (y nuestra PDA :-). El acceso a los datos (al certificado digital en este caso) se podra hacer uniendo la facilidad de un password y la fiabilidad de la biometra. Se puede hacer que la PDA solicite un password al encenderla y que despus solicitase nuestra firma manuscrita. La caracterstica del trazado y la velocidad pueden ser parmetros biomtricos para el reconocimiento de la firma. Incluso se le puede aadir el reconocimiento de voz como tercera barrera de seguridad. [Fuente: Paul A. Strassmann, U.S. Department of Defense]. Pero la idea sigue centrndose en la posesin de mi certificado digital y poder transmitirlo a travs de los medios que incorpore nuestra PDA: IrDA, 802.11, Bluetooth, GSM, GPRS. Esto nos da un inmenso abanico de posibilidades: de momento todas las que se pueden obtener con un PC (firmar digitalmente, navegacin segura, compras online, etc...) adems de aadir la funcionalidad de una smartcard para acceder a sitios restringidos como cajas fuertes, edificios o departamentos, o incluso para poder acceder a la utilizacin de un porttil por infrarrojos que solicitase nuestro certificado digital como clave de acceso. Pero estamos hablando de manejar certificados y esto normalmente requiere que se compruebe mediante una agencia de certificacin, lo que aumenta la complejidad. Pero si no somos tan exigentes podramos usar la PDA como soporte de una clave pblica,

que bien mirado da una seguridad enorme y ms que suficiente para muchos de los ejemplos arriba comentados como identificacin personal.

Apndice 1: Estndares.
1. IPSec

1. HSC IPSec Links

2. MIME 1. 2. 3. 4. 5. 6. Security S/MIME FAQ (RSA) S/MIME Working Group (IMC) RSA's S/MIME Interoperability Center S/MIME and OpenPGP S/MIME Freeware Library S/MIME Mail Security (IETF) 7. S/MIME Utility (+ SMIMEUtil:: perl module) 3. PKIX 1. Certificate profiles (RFC 2459 and successors, qualified certificates) 2. Management protocols (RFC 2510 and successor, RFC 2511, and the CMC RFC) 3. Operational protocols (OCSP, etc.) 4. Time-stamping, DCS, etc. 4. Secure Socket Layer (SSL) & Transport Layer Security (TLS) 1. BSAFE patches for SSLeay 2. Enabling Network Security with SSLeay 3. Introducing SSL and Certificates using SSLeay (F. J. Hirsch) 4. Introduction to SSL 5. OpenSSL PKCS#12 Program FAQ (Stephen Henson) 6. OpenSSL web site 7. OpenSSL: The Open Source toolkit for SSL/TLS 8. pilotSSLeay: port of SSLeay-0.8.1 to the Pilot 9. PureTLS 10.Secude Digital ID Center 11.Slush - SSL Shell 12.SSL 3.0 SPECIFICATION (Draft) 13.SSLeay Documentation 14.SSLeay and SSLapps FAQ 15.SSLeay Certificate Cookbook (F. J. Hirsch) 16.SSL-Talk FAQ 17.SSL Encryption Check 18.The TLS Protocol Version 1.0 (RFC 2246) Top of the page 5. Secure Electronic Transactions (SET) 1. SET Specification by MasterCard and Visa 6. Security Standards Documents: Formal, De Facto, Proposed etc. 1. A Survey of Public Key Infrastructures (Marc Branchaud) 2. ANSI Home Page 3. CEN/ISSS Electronic Signatures (E-SIGN) Workshop 4. Certificate Authority Interoperability Pilot (Internet Council) 5. Certified Electronic Mail (CEM) 6. Digital Signatures: The Law and High-fidelity IP Pipes (David G. Masse)

7. Draft Internet PKIX Standards 8. Economic modelling and risk management in Public Key Infrastructures (David G. Masse) 9. ESCA: Electronic Signatures and Certification Authorities (ITU) 10.ETSI Electronic Signatures and Infrastructures 11.European Certification Authority Forum (ECAF) 12.IEEE Standards Home Page 13.IEEE P1363 standard for RSA, Diffie Hellman and Related PublicKey Cryptography (Elliptic Curves) 14.Internet Engineering Task Force (IETF) 1. SPKI WG 2. PKIX WG 3. IPSEC WG 4. S/MIME WG 5. SPKI: Simple Public Key Infrastructure (Carl Ellison) 6. TLS WG 15.ISO/IEC JTC1/SC27 16.IMC Pointers to Email Related Standards 17.Index of RSA PKCS documents 18.Information Security Links 19.Internet RFCs 20.ISETO: The International Secure Electronic Transactions Organisation 21.ITU Recommendations 22.PKI-related activities at NIST 23.PKI Standardization Home Page -- Center for Standards (DISA) 24.PKIX: Public Key Infrastructure (X.509) 25.Publications on Java Security et al. (SIP) 26.Simple PKI Draft 27.Secure E-mail (Presentation given by Harald T. Alvestrand) 28.Security and Encryption Links (Peter Gutmann) 29.Sirene Publications 30.X.509 Style Guide (Peter Gutmann) 31.X.509, 1997 version, prepublication draft (Word format) 32.X.500 Directory Related standards drafts (Word format) 33.X9 Home Page; X9F1 develops cryptographic standards 34. W3: Electronic Payment Schemes (Phillip Hallam-Baker) 7. Wireless and Mobile Technology 1. Digital Paths: Your gateway for Handhled access to the Internet (Palm VII, Smartphones etc.) 2. Mobile Insights 3. WAP Forum

Bibliografa consultada:
Ciberp@s mensual n 24 Julio / ao 2002 The Internet Protocol Journal: Code Signing Proveedores de certificacin: www.ipsCA.com; www.ace.com; www.entrust.com; www.certisur.com; www.feste.com; www.verisign.com; www.cert.fnmt.es http://home.xcert.com/~marcnarc//PKI/thesis/PKI-Thesis.pdf : Tesis de la universidad de McGill, Montreal http://www.qmw.ac.uk/~tl6345/#TTPs%20and%20CAs : Pagina web completsima de Juan A. Abelln, profesor de la Universidad de London. (durante el desarrollo del trabajo fue propuesta por el autor de este trabajo y aceptada por Kriptopolis como link de inters). www.kriptopolis.com : Tiene unos foros que son un magnifico punto de partida. www.piensaenpalm.com, www.gentepalm.com, www.programaenpalm.com, donde busqu informacin sobre la idea que expuesto. www.securytymanagement.com : Empresa desarrolladora de soluciones PKI. www.judiciary.senate.gov/privacy.htm : Conozca las Reglas, Use las reglas. Documento del Senado de los EE.UU. para difundir el cifrado y los conceptos de seguridad en Internet as como algunas aplicaciones. Networking Tips & Newsletters- searchNetworking: Revista electrnica sobre redes. De aqu cog alguna idea para el ltimo ejemplo. No pongo el link porque no lo encuentro. www.pki.gov.ar: Pgina de la administracin Argentina sobre PKI. Los cdigos secretos. Simon Singh

Agradecimientos:
A Oscar Tamarit Ortega por la idea; a los foros de PiensaenPalm, GentePalm y Kriptoplis por las pistas que me dieron; a Cristina Fernndez de la Agencia de Certificacin Espaola por la informacin enviada; a Amparo Plasencia por devolverme el The Protocol Journal a tiempo; a Antonio Valls , Jos Miguel Pardo, Manuel Linares y Oscar Tamarit, por hacer que el ir a la deriva sea un placer y que este ao me haya convertido en un empolln. Y a Nuria Dolz por prestarme su conexin a Internet y mucho ms.