Your SlideShare is downloading. ×
Marta Cruellas
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Marta Cruellas

493
views

Published on

Published in: Technology, News & Politics

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
493
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Ús de certificats en dispositius criptogràfics centralitzats: noves possibilitats i limitacionsMarta C llM t Cruellas28 d’octubre de 2010
  • 2. Índex– Nous perfils de certificats: situació– Requisits tecnològics per a una implantació adequada.
  • 3. NOUS PERFILS DE CERTIFICATS. Situació– Especificació tècnica dels perfils: feta per CertiCA – Seu-e (nivell mig i nivell alt) – Segell-e (nivell mig i nivell alt) – Empleat públic (nivell mig i nivell alt)– Casos d’ús de cada tipus de certificat: emmarcats per – La normativa jurídica: LAECSP Llei 26/2010 Llei 29/2010 etc LAECSP, 26/2010, 29/2010, – Determinació del nivell de seguretat aplicable: segons l’anàlisi de risc preceptiu ( q p p (Esquema Nacional de Seguridad) g )– Requisits tecnològics per a una implantació adequada – Hi ha certes indefinicions, al voltant de les quals no hi ha consens.
  • 4. Nivell de seguretat adequat segons risc Risc alt: sc a t Cert. nivell alt en dispositiu certificat Risc i Ri mig: Cert. nivell mig en mitjà equivalentRisc baix:Cert. nivell mig“a l’ús”
  • 5. Requisits tecnològics Risc baixSeu-e En servidor web “a l’ús”Segell-e En servidor “a l’ús”Empleat públic Instal·lat a: PC, en mòbil (SIM, microSD no certificada), etc
  • 6. Requisits tecnològics Risc altSeu-e En HSM accelerador SSL certificat FIPS 140-2 Nivell 2Segell-e En HSM certificat FIPS 140-2 Nivell 3Empleat públic En dispositiu criptogràfic certificat Common Criteria EAL4+ amb perfil de protecció CEN CWA 14169 + Aplicació d’accés al dispositiu certificada Common p p Criteria EAL3. Ex/ smartcards, smartcards custodiades en “targeters centralitzats”, microSD certificades.
  • 7. Requisits tecnològics Risc migSeu-e En sistema securitzat (hardened): arquitectura, web server, SO,…? server SO ?Segell-e En sistema securitzat (hardened) Ex/ repositoris de claus amb logs segurs, HSM no certificat, …?Empleat públic Repositori de certificats securitzat, HSM no certificat?, HSM certificat FIPS 140-2 Nivell 3?, …?
  • 8. Requisits tecnològicsPerò…P ò– “Mitjà equivalent” – E presta a interpretacions diverses. Es t i t t i di – Indefinició del que és acceptable. >> Risc Ri– Certs de Nivell mig quan Risc baix / Risc mig: Confiança: el ciutadà que accedeix a la seu-e no percep la millora en la seguretat de la implementació pel Risc mig respecte a la del Risc baix – El perfil de certificat emprat és el mateix en els dos casos; – La millora en la seguretat ve donada per mesures tècniques del sistema que no són perceptibles pels usuaris.
  • 9. Requisits tecnològicsCerts de Nivell alt: Provisió dels certificats:– Requeriments no definits– Complexa. L’ens sol·licitant ha d’acreditar: – La certificació del dispositiu, – Que la configuració del dispositiu és adequada adequada, – Que l’operació del dispositiu és adequada, – Que les claus s’han generat al dispositiu de manera segura – Etc.
  • 10. Conclusions– El nous perfils d certificats obren noves possibilitats Els fil de tifi t b ibilit t – Automatització – Mobilitat – Signatura (personal) remota / centralitzada legitimades per les normatives jurídiques– Poden resoldre algunes de les tensions entre seguretat vs usabilitat – Cal anàlisi de riscos!!– Però encara queden zones d’ombra sobre les què no hi ha consens: – Requisits tecnològics per a una implantació adequada: mitjà equivalent, equivalent certs d empleat públic en dispositius d’empleat centralitzats,...
  • 11. Moltes gràcies. Marta Cruellas mcruellas@catcert.catAquesta obra està subjecta a una llicència Reconeixement-No comercial-Sense obres derivades 2.5 Espanya de Creative Commons. Reconeixement No comercial Sense 25 CommonsPer veuren una còpia, visiteu http://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.ca o envieu una carta a Creative Commons, 171 SecondStreet, Suite 300, San Francisco, California 94105, USA."

×