Professional Documents
Culture Documents
Tu secreto es tu prisionero; si lo sueltas, t eres su prisionero. Simon Singh, Los cdigos secretos.
ndice:
Prologo Introduccin Qu es la Infraestructura de Clave Pblica? o Definicin. o Elementos que la componen. o Objetivos. o Marco de la PKI en la seguridad informtica. o Estndares y protocolos. Situacin en el mundo Situacin en Espaa o Marco legislativo espaol. o Proveedores de certificacin digital. Comparativa. o Problemas comunes en las empresas que usan PKI Ejemplo: Incorporar una PDA en una PKI Apndice 1 Bibliografa consultada Agradecimientos
PRLOGO
Estamos viviendo un momento histrico en lo que a criptografa se refiere. El hecho de que exista un mecanismo de cifrado pblico, para la gente corriente y moliente, es algo que sera impensable hace 30 aos, hasta que se hizo pblico un sistema de distribucin de claves en el Congreso Nacional de Informtica de EE.UU. en Junio de 1976 por Diffie-Hellman-Merkel. Este avance est considerado el mayor logro criptogrfico desde la invencin de la cifra monoalfabtica, hace ms de 2000 aos!!. Y aunque fueron matemticos del departamento del servicio secreto britnico GCHQ (James Ellis, Clifford Cocks y Malcolm Williamson) los que lo desarrollaron primero, no lo hemos sabido hasta mucho despus debido al secretismo del que fue rodeado. Estos britnicos se mordieron la lengua mientras otros hacan pblico algo que ellos haban descubierto antes y mientras Rivest, Shamir y Addelman se embolsaban 200 millones de dlares al venderse RSA Data Security Inc. Hoy en da comienza a ser habitual el uso del cifrado para el envo de emails o para todo tipo de transacciones digitales, y el hecho de que podamos usar una cifra tan potente como la basada en clave pblica o asimtrica es lo que le da el nombre de revolucin a este momento en la historia de la criptografa. Durante miles de aos, la cifra que posea una reina o general era considerado un arma (y lo sigue siendo), y se usaron grandes recursos para descifrar el arma del enemigo mientras rezaban porque su cifra siguiese siendo invencible. Muchas veces esta fe en el mtodo de cifrado ha sido la perdicin de jefes de estado como Maria Estuardo o Adolf Hitler. Para hacernos a la idea de que forma era un secreto de estado la cifra usada, podra poner muchos ejemplos, pero me he inclinado por uno que nos atae a los espaoles, los cuales hemos estado en la cola de la criptografa durante toda la historia. Hacia el final del siglo XVI, los franceses consolidaron su habilidad descifradora con la llegada de Franois Vite, que obtena un placer especial descifrando cifras espaolas. Los criptgrafos espaoles, eran ms ingenuos que sus rivales en el resto de Europa, no podan creerlo cuando descubrieron que sus mensajes eran transparentes para los franceses. El rey Felipe II lleg a presentar una peticin ante el Vaticano, afirmando que la nica explicacin posible del criptoanlisis de Vite era que ste fuera un enemigo jurado confabulado con el diablo. Felipe aleg que Vite deba ser juzgado ante el tribunal de un cardenal por sus actos diablicos; pero el Papa, que saba que sus propios criptoanalistas haban estado leyendo las cifras espaolas durante aos, rechaz la peticin espaola. Las noticias sobre la peticin se extendieron a los expertos en cifras de varios pases y los criptgrafos espaoles se convirtieron en el hazmerrer de Europa. [Los cdigos secretos, Simon Singh]
El hecho de que el uso del cifrado est al alcance de cualquiera conlleva varios problemas: El primero que surgi tiene que ver con la delincuencia. Ahora no se puede espiar a los delincuentes que cifran sus cuentas o sus comunicaciones, lo que supone un problema tico: Deberamos aceptar un mtodo de cifrado mermado para poder ser controlados a cambio de obtener mayor seguridad contra el crimen?. La opinin sobre esto de la NSA se ve claramente con la persecucin a la que fue sometido Phil Zimmermann por las autoridades de su pas (EE.UU.) por crear, publicar y regalar un programa de fcil uso para encriptar emails: PGP. Otro problema viene a la hora de implantar un estndar para el uso pblico de la cifra en usos generales, como DNIs digitales, Tarjetas de crdito, implementacin de protocolos para la PKI, etc... Todo esto necesita un marco jurdico que aclare las responsabilidades y un marco de estandarizacin que permita un compatibilidad y calidad de los productos usados.
INTRODUCCIN
El crecimiento de Internet ha cambiado dramticamente la forma en que las organizaciones y las personas se comunican y realizan transacciones de negocios. Para potenciar el efecto de este cambio, las empresas estn desarrollando rpidamente redes privadas de comunicacin con sus proveedores, aplicaciones de comercio electrnico, redes internas utilizando tecnologa compatible con Internet (Intranet), redes privadas virtuales (VPN), comunicaciones seguras y firma digital de documentacin. Una infraestructura de Clave Pblica (PKI) le permite a una compaa contar con sistemas de autenticacin, controles de acceso, confidencialidad y no repudiabilidad para sus aplicaciones en redes, usando tecnologa avanzada, tal como firmas digitales, criptografa y certificados digitales. Este tipo de infraestructura se basa, como su nombre indica, en el cifrado de clave pblica, sobre todo en la cifra RSA, por dos razones: Porque fue la primera en patentarse y porque sus inventores crearon escuela al formar la empresa que hoy es ms importante en el desarrollo e implantacin de Infraestructuras de Clave Pblica: RSA Data Security Inc y su filial certificadora Verisign. Este trabajo describe las claves para entender la Infraestructura de Clave Pblica (definicin, tecnologas usadas, objetivos que busca), algunas herramientas usadas para su implantacin y los problemas que se pueden encontrar al hacerlo. Adems muestra la situacin en el mundo de este tipo de infraestructuras sealando que pases tienen desarrollado un marco adecuado y al llegar a Espaa hacer una revisin de que compaas se han establecido y que productos se estn preparando desde la administracin pblica. Para terminar se plantea un ejemplo de implantacin de una PKI utilizando una PDA como soporte final del certificado digital.
Las PKIs, son sistemas mixtos hardware/software, basados en diferentes agentes que permiten dotar a mquinas y usuarios de Certificados Digitales de Identidad (certificados X509v3).
Objetivos:
Los objetivos que persigue una PKI, se consigue gracias a la propiedades de la criptografa de clave pblica, y son los siguientes: Autentificacin de usuarios: Asegurar la identidad de un usuario, bien como signatario de documentos o para garantizar el acceso a servicios distribuidos en red, ya que slo l puede conocer su clave privada, evitando as la suplantacin. No repudio: Impedir que una vez firmado un documento el signatario se retracte o niegue haberlo redactado. Integridad de la informacin: Prevenir la modificacin deliberada o accidental de los datos firmados, durante su transporte, almacenamiento o manipulacin. Auditabilidad: Identificar y rastrear las operaciones, especialmente cuando se incorporan marcas de tiempo. Acuerdo de claves secretas: para garantizar la confidencialidad de la informacin intercambiada, est firmada o no.
La seguridad informtica se divide en tres segmentos conocidos como 3A. Es un mercado que engloba las herramientas de autentificacin, autorizacin y administracin. La autentificacin engloba las soluciones PKI y en menor medida los token, dispositivos de hardware que generan claves de un solo uso; en el segmento de autorizacin figuran los cortafuegos, redes privadas virtuales, deteccin de intrusos, filtros de contenido, mecanismos de control para acceder a una sede web, tarjetas inteligentes (smartcards) y dispositivos biomtricos. Por ltimo la administracin abarca los sistemas de gestin de perfiles y aplicaciones de control centralizado.
Estndares y protocolos.
El listado de links a stos es muy amplio y se puede ver en el Apndice 1. Pero me parece conveniente resaltar alguno en este punto: PKIX (IETF), PKCS (RSA), SSL(Netscape), TLS, S/MIME (IETF), SET (Visa y Mastercard), X.509, X.500.
Situacin en el mundo
Existen slo diecisiete pases en el mundo con un marco legal establecido por sus respectivos gobiernos en el desarrollo de tecnologa PKI. Esto nos da una idea de en que situacin se encuentra la utilizacin de las Infraestructuras de Clave Pblica: en paales, aunque hay que tener en cuenta que el RSA se public en 1997. Como ancdota patritica comentar que Espaa fue uno de los primeros pases que se subi al carro. En concreto en 1999, pero esto se comenta en el siguiente punto. La situacin en Europa es muy distinta de la estadounidense. En Estados Unidos reina una mayor libertad de mercado, porque las reglas no siempre son claras. Por el contrario, en Europa la Directiva de Firma Electrnica y las correspondientes leyes nacionales sobre la materia han restringido el mbito en el que se pueden mover los prestadores de servicios de certificacin y los proveedores de estas tecnologas. Esto es, en Europa los gobiernos deciden qu dispositivos de certificacin son seguros y quin puede convertirse en prestador de servicios de certificacin. Adems, en los pases de la Unin Europea suele haber una autoridad auspiciada por el gobierno con vocacin de establecerse como prestador de servicios genrico para facilitar el acceso a la firma electrnica por parte de los ciudadanos, como Ceres en Espaa o las fbricas de moneda y timbre de cada pas. Evidentemente la situacin de las administraciones pblicas no tienen nada que ver con el entorno privado y estas se han desarrollado de forma mucho ms rpida, espoleadas por el boom de las empresas punto com y por la rpida implantacin de productos de distribucin de claves y comunicaciones seguras en grandes empresas (como los bancos por ejemplo). Aunque esta implantacin no se produjo de cara al cliente final. Los fabricantes de tecnologa PKI que se crearon confiando en el boom de final del siglo pasado se han dado un buen porrazo debido a varios factores entre los que se encuentran el famoso 11-S o la ralentizacin de la adopcin masiva del comercio
electrnico. Slo aquellos que se han diversificado en otros campos (como las otras necesidades de las 3A) son las que se han mantenido y confan en un futuro muy prometedor. En general, el mercado mundial de software y servicios de securizacin en 2001 fue de 12.045 millones de euros, en 2002 ser de 15.455 millones de euros, y para el ao 2005 alcanzar 34.432 millones de euros. Tambin de acuerdo con la misma consultora, el mercado mundial de PKI en 2001 supuso 738 millones de euros, en 2002 alcanzar los 1.106 millones, y para 2005 ser de 2.955 millones. Fuente: Datamonitor. En lo que se refiere a los gobiernos esta es la lista de los que tienen iniciativas en este campo: Argentina: www.pki.arg.gov Australia: Government Public Key Infrastructure Austria: Supervisory Authority for Electronic Signatures Blgica: Service public fdral Technologie de l'Information et de la Communication (FEDICT) o Centre d'Information sur la Signature Electronique Brasil: ICP-Brasil - Infra-estrutura de Chaves Pblicas Brasileira Canad: GOC Public Key Infrastructure EEUU: Federal Public Key Infrastructure Steering Committee o NIST PKI Program o Department Of Defense PKI Espaa: Fbrica Nacional de Moneda y Timbre - Proyecto CERES Francia: Le site du programme d'action gouvernemental pour la socit de l'information o Agence pour les Technologies de l'Information et de la Communication dans l'Administration Holanda: Dutch government PKI Task Force Hong Kong: Digital Certificate and Public Key Infrastructure Italia: Autorit per l'informatica nella Pubblica Amministrazione Nueva Zelanda: Secure Electronic Environment PKI Panam: Proyecto Firma Digital y Comercio Electrnico (SENACYT) Reino Unido: HMG Public Key Infrastructure (PKI) o Government Gateway Repblica de Corea: Korea Certification Authority Central Singapur: Controller of Certification Authorities
Fuente: www.pki.gov.ar
Situacin en Espaa
Marco legislativo espaol
La legislacin espaola vigente sobre certificacin digital est compuesta por el Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrnica, y por la Orden Ministerial de 21 de febrero de 2000, por la que se aprueba el Reglamento de acreditacin de prestadores de servicios de certificacin y de certificacin de determinados productos de firma. En general esta normativa tiene eufrica a la Administracin y confa en proyectos como el DNI digital, pero hay muchas opiniones en contra, de organizaciones y empresas, que la tachan de ambigua y hecha con demasiadas prisas. Y no les falta razn porque este Decreto-Ley sali antes que la Unin Europea se pronunciase al respecto sacando la Directiva Europea de 13 de diciembre de 1999, que armoniza la regulacin de la firma electrnica. As que se esperan cambios a corto plazo en este marco legislativo. De momento el Ministerio ya se ha puesto manos a la obra para elaborar una nueva ley. En enero pasado se conoca el primer borrador de anteproyecto, que, adems de modificar ciertos aspectos del Real Decreto-Ley, tambin introduce novedades. Las dos principales son la creacin del DNI electrnico y la regulacin de los certificados de personas jurdicas. Muy probablemente, la nueva Ley de Firma Electrnica ser publicada este mismo ao. Tambin se espera la futura Ley de Facturas Telemticas.
Camerfirma: o Iniciativa del Consejo Superior de Cmaras de Comercio que certifica a empresas medianas a travs de la red de cmaras de comercio. o Servicios: Certificados sin poderes -que se limitan a asegurar que un empleado pertenece a una empresa determinada y que es quien dice ser. Los certificados con poderes, que adems certifican que esa persona tiene poder notarial vigente y firma en esa empresa. FESTE (Fundacin para el Estudio de la Seguridad de las Telecomunicaciones): o Creado por el Consejo General del Notariado, el Consejo General de la Abogaca y la Universidad de Zaragoza. Su objetivo es desarrollar mecanismos e instrumentos de seguridad jurdica y tecnolgica de las comunicaciones electrnicas. o Servicios: Certificado notarial: puede ser personal o corporativo. Se emite slo a personas fsicas y se utiliza para realizar cualquier tipo de transaccin o comunicacin electrnica segura mediante firma digital, con una validez de dos aos. Para emitir el certificado el interesado debe personarse ante un notario habilitado por FESTE. Certificado de web seguro: til para asegurar la identidad del servidor web ante el usuario que accede a l, y para establecer un canal de comunicacin cifrado entre clientes y servidor, asegurando la confidencialidad de la informacin transmitida. Estos certificados son los nicos dotados de eficacia jurdica de la fe pblica notarial. Son vlidos durante dos aos. Certificados corporativos: permiten crear un entorno transaccional y de comunicaciones seguro, utilizando como base la firma electrnica y la certificacin digital en el entorno cerrado de una corporacin privada o bien en el desempeo del ejercicio de la profesin por medios telemticos en una corporacin de derecho pblico. ACE (Agencia Espaola de Certificacin): o Creada por el grupo Telefnica. Sus accionistas son Telefnica Data, 4B, Sermepa y CECA. Su actividad se centra en la distribucin y comercializacin de los servicios de certificacin de Verisign en Espaa y Latinoamrica. Se dedican al outsourcing de autoridades de certificacin. Sus principales clientes proceden del sector financiero, del Grupo Telefnica y de las grandes corporaciones. o Servicios: La securizacin de sitios web y la de transacciones de comercio electrnico para grandes y pequeas corporaciones. Productos OnSite, orientada a los paquetes de certificados para distribucin de usuarios. Para la securizacin de teletrabajo, intranet y extranet en la relacin de los empleados y la empresa, as como la securizacin de transacciones entre empleados y clientes. Consultora de seguridad e integracin (asesoramiento legal, consultora total sobre PKI). Entrust: o Servicios:
Entrust/Authority, que es el software de gestin de infraestructuras de clave pblica. Adems cuentan con el servicio de certificados Entrust.net para servidores web o WAP. GetAccess es la solucin de gestin de privilegios para Internet que aporta seguridad y confianza en los sitios de comercio electrnico al implantar autenticacin, autorizacin y gestin de privilegios. Entrust TruePass, basado en tecnologa PKI, permite firmar sin cargar nada en el PC local y tampoco necesita tarjeta criptogrfica.
Safelayer: o Inversores: Indra, Bull, Fundacin Retevisin, Amena, Setproject, Adepa y Euskaltel. o Servicios: Desktop: aplicacin que permite firmas simples o mltiples, la verificacin y cifrado de cualquier archivo, y hacer peticiones de sellos de tiempo o de validaciones en tiempo real. Toolkits de generacin y verificacin de firma para integrar en aplicaciones. IPSCA: o Su tecnologa utiliza el protocolo de seguridad IPSec. Entre sus clientes se encuentra la empresa de trabajo temporal Vedior, que las utiliza para agilizar los procesos de contratacin en su portal de recursos humanos. o Servicios: Parquet de Firma: incluye Herramientas de Firma y Verificacin, WebMail Seguro, Caja Fuerte Virtual, Almacn Seguro de Documentos y Time Stamping. Formacin. Actan como 'tercera parte de confianza' para los servicios de certificacin, "time stamping" y almacn seguro de documentos. Unicom: o Participada por la Corporacin Financiera de Caixa Galicia. Entre sus clientes estn algunas entidades financieras y portales de subastas. o Servicios: Gestionar la emisin y control de certificados digitales en entornos privados. Proporcionar soluciones y servicios de PKI. Soluciones de firma electrnica integrada en sistemas informticos, nuevos o preexistentes. Tarjetas inteligentes criptogrficas para crear firma electrnica.
organizaciones, que puede imposibilitar la verificacin con xito de cadenas de certificacin cuya AC raz sea desconocida o no confiable, invalidndose todo el esquema de PKI. Otro problema es el coste que supone la inversin. Dado que an no est extendido el mercado de la PKI los precios pueden ser algo elevados, impidiendo que pequeas empresas puedan acceder a dicha tecnologa. El tercer problema que se presenta es que una PKI termina presentando problemas de escalabilidad, cuando el nmero de certificados emitidos a los usuarios va creciendo, debido a que las listas de revocacin deben ser consultadas en cada operacin que involucre certificados y firmas digitales, si se desea una implantacin seria y robusta de PKI. El ltimo se basa en que el usuario final (el cliente de la empresa de comercio electrnico por ejemplo) es reacio a adoptar nuevos mtodos, acostumbrado al bsico login y password. Esto se espera que comience a mejorar cuando aparezca el DNI digital, que ayudar a popularizar el uso de la firma.
que bien mirado da una seguridad enorme y ms que suficiente para muchos de los ejemplos arriba comentados como identificacin personal.
Apndice 1: Estndares.
1. IPSec
7. Draft Internet PKIX Standards 8. Economic modelling and risk management in Public Key Infrastructures (David G. Masse) 9. ESCA: Electronic Signatures and Certification Authorities (ITU) 10.ETSI Electronic Signatures and Infrastructures 11.European Certification Authority Forum (ECAF) 12.IEEE Standards Home Page 13.IEEE P1363 standard for RSA, Diffie Hellman and Related PublicKey Cryptography (Elliptic Curves) 14.Internet Engineering Task Force (IETF) 1. SPKI WG 2. PKIX WG 3. IPSEC WG 4. S/MIME WG 5. SPKI: Simple Public Key Infrastructure (Carl Ellison) 6. TLS WG 15.ISO/IEC JTC1/SC27 16.IMC Pointers to Email Related Standards 17.Index of RSA PKCS documents 18.Information Security Links 19.Internet RFCs 20.ISETO: The International Secure Electronic Transactions Organisation 21.ITU Recommendations 22.PKI-related activities at NIST 23.PKI Standardization Home Page -- Center for Standards (DISA) 24.PKIX: Public Key Infrastructure (X.509) 25.Publications on Java Security et al. (SIP) 26.Simple PKI Draft 27.Secure E-mail (Presentation given by Harald T. Alvestrand) 28.Security and Encryption Links (Peter Gutmann) 29.Sirene Publications 30.X.509 Style Guide (Peter Gutmann) 31.X.509, 1997 version, prepublication draft (Word format) 32.X.500 Directory Related standards drafts (Word format) 33.X9 Home Page; X9F1 develops cryptographic standards 34. W3: Electronic Payment Schemes (Phillip Hallam-Baker) 7. Wireless and Mobile Technology 1. Digital Paths: Your gateway for Handhled access to the Internet (Palm VII, Smartphones etc.) 2. Mobile Insights 3. WAP Forum
Bibliografa consultada:
Ciberp@s mensual n 24 Julio / ao 2002 The Internet Protocol Journal: Code Signing Proveedores de certificacin: www.ipsCA.com; www.ace.com; www.entrust.com; www.certisur.com; www.feste.com; www.verisign.com; www.cert.fnmt.es http://home.xcert.com/~marcnarc//PKI/thesis/PKI-Thesis.pdf : Tesis de la universidad de McGill, Montreal http://www.qmw.ac.uk/~tl6345/#TTPs%20and%20CAs : Pagina web completsima de Juan A. Abelln, profesor de la Universidad de London. (durante el desarrollo del trabajo fue propuesta por el autor de este trabajo y aceptada por Kriptopolis como link de inters). www.kriptopolis.com : Tiene unos foros que son un magnifico punto de partida. www.piensaenpalm.com, www.gentepalm.com, www.programaenpalm.com, donde busqu informacin sobre la idea que expuesto. www.securytymanagement.com : Empresa desarrolladora de soluciones PKI. www.judiciary.senate.gov/privacy.htm : Conozca las Reglas, Use las reglas. Documento del Senado de los EE.UU. para difundir el cifrado y los conceptos de seguridad en Internet as como algunas aplicaciones. Networking Tips & Newsletters- searchNetworking: Revista electrnica sobre redes. De aqu cog alguna idea para el ltimo ejemplo. No pongo el link porque no lo encuentro. www.pki.gov.ar: Pgina de la administracin Argentina sobre PKI. Los cdigos secretos. Simon Singh
Agradecimientos:
A Oscar Tamarit Ortega por la idea; a los foros de PiensaenPalm, GentePalm y Kriptoplis por las pistas que me dieron; a Cristina Fernndez de la Agencia de Certificacin Espaola por la informacin enviada; a Amparo Plasencia por devolverme el The Protocol Journal a tiempo; a Antonio Valls , Jos Miguel Pardo, Manuel Linares y Oscar Tamarit, por hacer que el ir a la deriva sea un placer y que este ao me haya convertido en un empolln. Y a Nuria Dolz por prestarme su conexin a Internet y mucho ms.