SlideShare a Scribd company logo

Módulo 4 firma electrónica avanzada

Instituto Nacional de Administración Pública
Instituto Nacional de Administración Pública

Documento del Módulo

Government & Nonprofit
1 of 25
Download to read offline
Módulo4•Módulo4•Módulo4•Módulo4•Módulo4• Guatemala, octubre 2016 Certificado Digital Dirección de Formación y Capacitación Firma Electrónica Avanzada CURSO VIRTUAL INSTITUTO NACIONAL DE ADMINISTRACIÓN PÚBLICA
Curso Virtual: Firma Electrónica2
Módulo 4: Certificado Digital 3 MÓDULO 4 Certificado Digital
Curso Virtual: Firma Electrónica4
Índice Módulo 4: Certificado Digital 5 7 Certificado Digital 7 ¿Cómo es un Certificado Digital? 11 Importancia de la seguridad de la información 13 Documentos Exigidos por el SGSI 14 Estándares Autoridad emisora de certificados de firma electrónica avanzada 16 Conservación de las comunicaciones electrónicas 18 Niveles de Seguridad
Curso Virtual: Firma Electrónica6
Instituto Nacional de Administración Pública 1 MÓDULO 4 / Certificado Digital CERTIFICADO DIGITAL ¿Cómo es un Certificado Digital? Un Certificado Digital con las características de Seguridad necesarias, debe utilizar las más modernas y estables metodologías que la Criptografía pueda ofrecer. Es por ello que internacionalmente se acepta a la Criptografía Asimétrica como la metodología más adecuada para la generación de un Certificado Digital. Pues bien cuando la Autoridad de Certificación recibe y firma la Clave Pública del Usuario utilizando su propia Clave Privada (también llamada Clave Privada Raíz) convierte al Par de Claves en un Certificado Digital. Clases de Certificado Digital. Estos pueden ser clasificados según qué medios hayan sido utilizados para verificar la veracidad de los datos. Clase 0 : Se utilizan para probar el procedimiento de Firma electrónica simple. Son gratuitos y pueden bajarse Ejemplo en: www.certificadodigital.com.ar Clase 1 : Certifican que la persona que posee el Certificado es quien dice ser, y que la dirección de correo electrónico está bajo su control. Para cerciorarse de la identidad de la persona la Autoridad de Registro solicita un documento que lo acredite. Firma Electrónica Avanzada. Periodo de Validez de un Certificado Digital: de 1 a 3 años. Estándar de Certificados X.509 • La primera versión apareció en 1988 y fue publicada como el formato X.509v1, siendo la propuesta más antigua para una infraestructura de clave pública (PKI) a nivel mundial. Esto junto con su origen ISO/ITU han hecho de X.509 el PKI más ampliamente utilizado. Más tarde fue ampliada en 1993 por la versión 2 únicamente en dos campos, identificando de forma única el emisor y usuario del certificado. La versión 3 de X.509 amplia la funcionalidad del estándar X.509 X.509. Campos o Estructura. Módulo 4: Certificado Digital 7
Instituto Nacional de Administración Pública 2 MÓDULO 4 / Certificado Digital • V: Versión del certificado. • SN: Número de serie. (para los CRL) • AI: identificador del algoritmo de firma que sirve única y exclusivamente para identificar el algoritmo usado para firmar el paquete X.509. • CA: Autoridad certificadora (nombre en formato X.500). • TA: Periodo de validez. • A: Propietario de la clave pública que se está firmando. • P: Clave pública más identificador de algoritmo utilizado y más parámetros si son necesarios. • Y{I}:Firma digital de Y por I (con clave privada de una unidad certificadora). Curso Virtual: Firma Electrónica8
Instituto Nacional de Administración Pública 3 MÓDULO 4 / Certificado Digital CA<<A>> = CA { V, SN, AI, CA, TA, A, AP } Donde Y<<X>> es el certificado del usuario X expedido por Y, siendo Y la autoridad certificadora. De esta forma se puede obtener cualquier X certificado por cualquier Y.X.509, Versión 3 • El estándar, internacionalmente aceptado, para Certificados Digitales, es el denominado X.509, en su versión 3. • Contiene datos del sujeto, como su nombre, dirección, correo electrónico, etc. • Con la versión 3 de X.509, sucesora de la versión 2, no hace falta aplicar restricciones sobre la estructura de las CAs gracias a la definición de las extensiones de certificados. Se permite que una organización pueda definir sus propias extensiones para contener información específica dentro de su entorno de operación. Este tipo de certificados es el que usa el protocolo de comercio electrónico SET. • X.509 y X.500 fueron originalmente diseñados a mediados de los años 80, antes del enorme crecimiento de usuarios en Internet. Es por esto por lo que se diseñaron para operar en un ambiente donde sólo los computadores se interconectaban intermitentemente entre ellos. Por eso en las versiones 1 y 2 de X.509 se utilizan CRLs muy simples que no solucionan el problema de la granularidad de tiempo. • La versión 3 introduce cambios significativos en el estándar. El cambio fundamental es el hacer el formato de los certificados y los CRLs extensible. Ahora los que implementen X.509 pueden definir el contenido de los certificados como crean conveniente. Además se han definido extensiones estándares para proveer una funcionalidad mejorada. Módulo 4: Certificado Digital 9
Instituto Nacional de Administración Pública 4 MÓDULO 4 / Certificado Digital Curso Virtual: Firma Electrónica10
Instituto Nacional de Administración Pública 5 MÓDULO 4 / Certificado Digital Importancia de la seguridad de la Información 1. La Información es un activo invaluable 2. El objetivo principal de los Ciberpiratas son las cuentas y los datos bancarios (Cuesta Dinero) 3. Genera desprestigio y problemas legales 4. Garantizar la continuidad del negocio y responsabilidad social Principales tipos de amenazas • Acceso no autorizado • Usuarios desleales • Espionaje industrial • "Hackers" de computador • Fraude • Fuego • Persecución y observación de empleados clave • Robo de notebooks SGSI – ISO/IEC 27001:2005 Historia y evolución de la norma ISO/IEC 27001 • Febrero de 1998: Primera publicación de la BS 7799-2 • Mayo de 1999: Publicación simultánea de las normas BS 7799-1 y BS 7799-2 • Septiembre de 2002: La BS 7799-2 es publicada por BSI • Abril de 2005: Aprobado en la reunión de Viena la serie ISO/IEC 27000 • Octubre de 2005: Publicación de la ISO/IEC 27001 En 2008 la ISO/IEC 27001 inicia el proceso de actual. SGSI – ISO/IEC 27001:2005 Esta norma internacional, derivada de la norma británica BS 7799-1, ha sido el fruto de un consenso entre los países miembros de la ISO (exceptuando Canadá, Estados Unidos de Norteamérica y Japón quienes no aceptaban inicialmente adoptar internacionalmente una norma británica en la materia), que sirve como guía para la implementación de un Módulo 4: Certificado Digital 11
Instituto Nacional de Administración Pública 6 MÓDULO 4 / Certificado Digital Sistema de Gestión de Seguridad de la Información para Organizaciones públicas, privadas o mixtas, con la finalidad de preservar la confidencialidad, integridad y disponibilidad de la información importante que estas posean y que muchas veces es invaluable (información tal que marque la diferencia entre una organización y su competencia). Hay que tomar en cuenta que la seguridad de la información no es solo para Tecnologías de la Información y Comunicación - TICs, se trata de Gestión en general, involucra Recursos Humanos, Jurídicos, seguridad física entre otros. Por ser norma ISO garantiza la mejora continua del SGSI. Planificar (establecer el SGSI): Establecer la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización. Hacer (implementar y operar el SGSI): Implementar y operar la política, controles, procesos y procedimientos del SGSI. Verificar (hacer seguimiento y revisar el SGSI): Evaluar y, en donde sea aplicable, medir el desempeño del proceso con respecto a la política y los objetivos de seguridad y la experiencia práctica, reportando los resultados a la dirección, para su revisión. Actuar (mantener y mejorar el SGSI): Emprender acciones correctivas y preventivas basadas en los resultados de la auditoría interna del SGSI y la revisión por la dirección, para lograr la mejora continua del SGSI. Dominios de control. 1. Política de Seguridad. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos. 4. Seguridad Ligada a los Recursos Humanos. 5. Seguridad Física y del Ambiente. Curso Virtual: Firma Electrónica12
Instituto Nacional de Administración Pública 7 MÓDULO 4 / Certificado Digital 6. Gestión de Comunicaciones y Operaciones. 7. Control de Acceso. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes de Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. DOCUMENTOS EXIGIDOS POR EL SGSI • Declaraciones documentadas de la Política de Seguridad de la Información. • Alcance del SGSI. • Reporte de evaluación de riesgos. • Plan de tratamiento de riesgos. • Procedimientos documentados para asegurar la operación y el control de los procesos en Seguridad de la Información. • Registros exigidos por la Norma. • Declaración de aplicabilidad. ACTIVIDADES PLAZO DEFINICIÓN DEL ALCANCE DEL SGSI MES 1 EVALUACIÓN DE RIESGOS EN LAS ÁREAS Y PROCESOS DEL SGSI MES 2 A 4 DIAGNÓSTICO DEL SGSI MES 1 A 2 DECLARACIÓN DE APLICABILIDAD MES 6 IMPLEMENTACIÓN DE LOS CONTROLES DEFINIDOS EN LA EVALUACIÓN Y TRATAMIENTO DE LOS RIESGOS MES 3 A 11 SEMINARIO SOBRE CONCIENTIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN MES 3 A 7 CURSO SOBRE LAS NORMAS ISO/IEC 27001 Y 27002 MES 2 A 4 DOCUMENTACIÓN DEL SGSI MES 2 A 11 FORMACIÓN DE LAS PERSONAS INVOLUCRADAS EN LA DOCUMENTACIÓN DEL SGSI. MES 2 A 8 AUDITORÍA INTERNA DEL SGSI MES 10 IMPLEMENTACIÓN DE ACCIONES PREVENTIVAS Y CORRECTIVAS MES 10 A 11 REVISIÓN DEL SGSI POR LA DIRECCIÓN MES 11 EVALUACION DETALLADA DEL SGSI MES 11 Módulo 4: Certificado Digital 13
Instituto Nacional de Administración Pública 8 MÓDULO 4 / Certificado Digital Estándares Autoridad emisora de certificados de firma electrónica avanzada (AC= Autoridad Certificadora) y de estampado cronológico Para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer el servicio de Autoridad Certificadora, cumplan como mínimo en su operación con uno de los siguientes estándares: ISO/IEC 27001, o WebTrust for Certification Authorities. La norma ISO/IEC 27001 está diseñada para garantizar la adecuada selección de los controles de seguridad proporcionados para proteger los activos de información, y dar confianza a las partes interesadas. El programa WebTrust ayuda a garantizar que los procedimientos se siguen en actividades relacionadas con las transacciones de comercio electrónico, infraestructura de clave pública (PKI), y la criptografía. Además en estas empresas el hardware criptográfico es vital. Por ello, para la raíz de la Autoridad Certificadora, y para la Autoridad de Estampado Cronológico se recomienda el cumplimiento de uno de los dos estándares internacionales siguientes: FIPS PUB 140-1 o FIPS PUB 140-2. Ambos estándares especifican los requerimientos de seguridad que deben ser satisfechos por un módulo criptográfico usado en un sistema de seguridad que protege información en sistemas computacionales y de telecomunicaciones. Las normas proveen 4 niveles cualitativos y crecientes de seguridad para cumplir un amplio rango de aplicaciones posibles en diferentes ambientes potenciales en los cuales los módulos criptográficos se pueden usar. Y para la prestación del servicio en Guatemala se recomienda exigir el cumplimiento como mínimo del Nivel 3 a nivel del hardware criptográfico. Comprobación de la identidad del firmante y de sus datos certificados (Autoridad de Registro) Provisoriamente, para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC o las entidades en su nombre delegadas para ofrecer el servicio de Autoridad de Registro, estén certificadas en su operación como mínimo con el estándar ISO 9001. Dada la amplia gama de usos posibles de dicho estándar, se hace recomendable que la Autoridad de Registro implemente de manera complementaria y verificable (no necesariamente certificada), el apego a la norma ISO/IEC 27001. Curso Virtual: Firma Electrónica14
Instituto Nacional de Administración Pública 9 MÓDULO 4 / Certificado Digital Esta provisionalidad permite a las empresas alcanzar un nivel de madurez necesario para garantizar la seguridad del sistema. la certificación ISO 9001 y la certificación ISO/IEC 27001 serán las que permitan que continúen con su autorización. Almacenamiento de los datos de creación de firma del titular (dispositivos Criptográficos, Token. Smart Card entre otros) Un tercer pilar en la seguridad del sistema está constituido por el mecanismo escogido para entregar los datos de creación de firma a un titular. Para el dispositivo en el cual se entregarán los certificados y datos privados de firma electrónica ofrecidos por el PSC a sus clientes, o las entidades en su nombre delegadas para ofrecer el servicio, se recomienda exigir la certificación de cumplimiento de uno de los dos estándares internacionales siguientes: FIPS PUB 140-1, Nivel 2 ó 3; o su versión más reciente: FIPS PUB 140-2: Nivel 2 ó 3. Verificación del registro público de certificados en línea Para cumplir con el requisito de ofrecer medios razonablemente accesibles para determinar el estado de un certificado, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer información en línea de sus servicios, tengan implementado el estándar internacional RFC 2560 X.509. Dicho estándar define el Online Certificate Status Protocol (OCSP) que permite implementar o usar aplicaciones que determinen el estado de un certificado en línea, proporcionando información más oportuna que la opción de listas de revocación, actualizadas con frecuencias típicas de 24 horas. Servicios asociados al estampado cronológico Para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer servicios de estampado cronológico, cumplan como mínimo en su operación con el tener la certificación ISO/IEC 27001. Dada la amplia gama de usos posibles de dicho estándar, se hace recomendable que la entidad que ofrezca servicios de estampado implemente de manera complementaria a ISO/IEC 27001, y verificable por un auditor externo competente (no necesariamente certificada), el apego a las normas ETSI TS 102 023, e ISO/IEC 18014; o las respectivas normas guatemaltecas que las homologuen, respectivamente. Módulo 4: Certificado Digital 15
Instituto Nacional de Administración Pública 10 MÓDULO 4 / Certificado Digital En ETSI TS 102 023 se definen los requisitos de la política en las prácticas de operación y de administración de las autoridades de estampado cronológico (TSA) tales que los suscriptores y otras partes puedan tener confianza en la operación de los servicios de estampado cronológico. En particular, se recomienda exigir el uso del algoritmo de hash SHA-1 con RSA y largos de llave de al menos 2048 bits con RSA. En el segundo, ISO/IEC 18014 se describe el modelo general en el cual se basan los servicios de estampado cronológico, define los servicios, define los protocolos básicos, y especifica los protocolos entre las entidades involucradas. Conservación de las comunicaciones electrónicas La Ley contempla la necesidad de contar con servicios de almacenamiento de comunicaciones electrónicas, lo que posibilita a los PSC autorizados a ofrecer dicho servicio. Para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer dicho servicio, cumplan como mínimo con el estándar ISO/IEC 27001, o su equivalente en norma nacional. Como esta norma está diseñada para ser apta en diferentes tipos de uso, debe ser complementada con el estándar TIA-942, o su equivalente en norma nacional. En él se cubren recomendaciones sobre el espacio físico y su distribución, el cableado, la disponibilidad, y el entorno. Además en el estándar TIA-942 se definen cuatro niveles de disponibilidad, o Tier, y se recomienda que el Data Center opere con nivel Tier 3, e incluso Tier 4 cuando la información así lo requiera. Breve descripción de las normas Solicitadas por el RPSC: El sistema de estampado cronológico es un proceso seguro que permite establecer el tiempo de la creación y modificación de un documento, asociando una fecha y una hora a un documento digital de una manera criptográficamente fuerte. “Seguro” significa que nadie, ni siquiera el dueño del documento puede modificarlo una vez que ha sido guardado, siempre y cuando la integridad del proveedor del servicio de estampado cronológico no haya sido comprometida. Para lograrlo se requiere disponer de una infraestructura confiable de estampado cronológico. El estampado cronológico confiable es otorgado por una tercera parte de confianza (Trusted Third Party - TTP) que actúa como una autoridad de Curso Virtual: Firma Electrónica16
Instituto Nacional de Administración Pública 11 MÓDULO 4 / Certificado Digital estampado cronológico (Timestamping Authority – TSA), y es el único sistema, reconocido internacionalmente, que permite determinar si una firma electrónica fue generada con anterioridad al momento de revocación de un certificado. El estándar define los requisitos de la política en las prácticas de operación y de administración de las autoridades de estampado cronológico (TSA) tales que los suscriptores y otras partes puedan tener confianza en la operación de los servicios de estampado cronológico. Estos requisitos están pensados para los servicios de estampado cronológico usados en las firmas electrónicas pero se pueden aplicar a cualquier caso que requiera probar que un dato existía antes de un instante particular en el tiempo, y están basadas en la criptografía de clave pública, certificados de clave pública y fuentes de tiempo confiables. En particular, el documento trata los requisitos para una TSA que publica sellos de tiempo que se sincronizan con la Escala de Tiempo Universal (Coordinated Universal Time - UTC) y son firmados digitalmente por una unidad de estampado cronológico (Time Stamping Unit – TSU[1]). Entre los ámbitos incluidos están las políticas de la TSA respecto del estampado cronológico, las obligaciones y responsabilidades de las partes involucradas, las declaraciones de prácticas incluyendo temas como la gestión del ciclo de vida de las llaves usadas, operación de una TSA, etc., respecto de as cuales tanto los suscriptores como las partes que confían deberían informarse adecuadamente. Fuente del estándar: http://pda.etsi.org/pda/queryform.asp FIPS PUB 140-1: Security Requirements for Cryptographic Modules, (Mayo 2001) y FIPS PUB 140-2: Security Requirements for Cryptographic Modules (Mayo 2002) Ambos estándares especifican los requerimientos de seguridad que deben ser satisfechos por un módulo criptográfico usado en un sistema de seguridad que protege información en sistemas computacionales y de telecomunicaciones (incluyendo sistemas de voz). Las normas proveen 4 niveles cualitativos y crecientes de seguridad para cumplir un amplio rango de aplicaciones posibles en diferentes ambientes potenciales en los cuales los módulos criptográficos se pueden usar. Los requisitos de seguridad cubren áreas relacionadas con el diseño básico y la documentación, interfaces del módulo, roles y servicios autorizados, seguridad física, seguridad de software, seguridad del sistema operativo, gestión de llave, algoritmos criptográficos, interferencia electromagnética, y auto pruebas. Módulo 4: Certificado Digital 17
Instituto Nacional de Administración Pública 12 MÓDULO 4 / Certificado Digital El nivel de seguridad de un módulo criptográfico será elegido para proveer un nivel de seguridad adecuado a los requisitos de la aplicación y al ambiente en los cuales el módulo va a ser utilizado y a los servicios de seguridad que el módulo se supone debe proveer. FIPS PUB 140-1: Security Requirements for Cryptographic Modules, (Mayo 2001) y FIPS PUB 140-2: Security Requirements for Cryptographic Modules (Mayo 2002) Niveles de Seguridad: Nivel de seguridad 1. Provee el nivel más bajo de seguridad. No se requieren mecanismos de seguridad física más allá de los requisitos del equipo de producción estándar. El Nivel 1 permite que las funciones criptográficas de software sean ejecutadas en un computador personal de propósito general. Nivel de seguridad 2. Mejora la seguridad física de un módulo criptográfico de seguridad de Nivel 1 agregando el requisito de recubrimientos o sellos que hagan evidente la intromisión, o el de serraduras resistentes a ser violentadas, obligando a romperlas para obtener acceso físico a las llaves criptográficas de texto plano y a otros parámetros críticos de seguridad del módulo. El Nivel 2 provee autenticación basada en roles, en el cual el módulo debe autenticar que un operador esté autorizado para asumir un rol específico y ejecutar un conjunto de servicios correspondientes. Nivel de seguridad 3. Mejora la seguridad física de los anteriores. El Nivel 3 intenta prevenir que un intruso pueda obtener acceso a parámetros críticos de seguridad mantenidos dentro del módulo. Por ejemplo, si una cubierta o sello se retira o una puerta se abre, los parámetros críticos de seguridad son reducidos a cero. Este nivel provee autenticación por identidad, donde el modulo debe de identificar la identidad de un operador y verificar que dicho operador esté autorizado para asumir cierto rol específico y ejecutar un conjunto de servicios correspondientes. Además los puertos de datos usados para parámetros críticos de seguridad deben estar físicamente separados de otros puertos de datos. Nivel de seguridad 4. Provee el grado más alto de seguridad. La mayoría de los productos existentes no cumple este nivel por completo, pero sí algunas características. El Nivel 4 provee un sobre de protección alrededor del módulo criptográfico. Su propósito es detectar una penetración en el dispositivo en cualquier dirección. El Nivel 4 también protege a un módulo criptográfico contra el compromiso de su seguridad debido a condiciones ambientales o fluctuaciones fuera de los rangos operativos normales del módulo por tensión eléctrica y la temperatura. Curso Virtual: Firma Electrónica18
Instituto Nacional de Administración Pública 13 MÓDULO 4 / Certificado Digital FIPS 140-2 incorpora cambios en la aplicación de estándares y tecnología desde el desarrollo de FIPS 140-1 así como cambios basados en comentarios recibidos de vendedores, laboratorios, y la comunidad de usuarios. NIST estableció un período de transición entre ambos estándares, sin embargo, indica que todas las validaciones contra el estándar FIPS 140-1 seguirán siendo reconocidas. Fuente del estándar: http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf ISO 9001 Quality management systems – Requirements ISO 9001 especifica requerimientos para un sistema de gestión de la calidad donde una organización necesita demostrar su habilidad para proveer consistentemente productos que cumplen los requisitos del cliente y de las normativas y regulaciones aplicables, y tiene por objeto mejorar la satisfacción del cliente a través de la aplicación efectiva del sistema, incluidos los procesos de mejora continua del sistema y la garantía de conformidad con el cliente y normativas legales y los requisitos reglamentarios. Todos los requisitos de la norma ISO 9001 son genéricos y están destinadas a ser aplicables a todas las organizaciones, independientemente del tipo, tamaño y producto. Cuando algún requisito de la norma ISO 9001 no se puede aplicar debido a la naturaleza de una organización y su producto, esto puede ser considerado para la exclusión. Cuando se hacen exclusiones, las reclamaciones de conformidad con la norma ISO 9001 no son aceptables a menos que estas exclusiones se limiten a los requisitos de la cláusula 7, y tales exclusiones no afecten a la capacidad de la organización, o la responsabilidad, para ofrecer productos que satisfagan a sus clientes y que respondan a las normativas legales y los requisitos reglamentarios. Fuente del estándar: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht m?csnumber=46486 ISO/IEC 18014-1:2002 Information technology -- Security techniques -- Time-stamping services Es un estándar compuesto por tres partes. Parte 1: Framework Módulo 4: Certificado Digital 19
Instituto Nacional de Administración Pública 14 MÓDULO 4 / Certificado Digital Identifica el objetivo de una autoridad de estampado cronológico, describe el modelo general en el cual se basan los servicios de estampado cronológico, define los servicios de estampado cronológico, define los protocolos básicos de estampado cronológico, y especifica los protocolos entre las entidades involucradas. Parte 2: Mechanisms producing independent tokens Describe los servicios de estampado cronológico produciendo tokens independientes, un modelo general para los servicios de estampado cronológico de este tipo y los componentes básicos usados para construir el servicio, definiendo las estructuras de datos y los protocolos usados para interactuar con él. Actualmente se cubren tres mecanismos independientes: (1) estampado cronológico usando firma digital, (2) estampado cronológico usando códigos de autenticación de mensajes, y (3) estampado cronológico usando archivos. Parte 3: Mechanisms producing linked tokens Describe el servicio de estampado cronológico produciendo tokens ligados, es decir, tokens que están criptográficamente limitados a otros tokens producidos por estos servicios de estampado cronológico. Describe un modelo general para los servicios de estampado cronológico de este tipo y los componentes básicos usados para construir el servicio, define las estructuras de datos y los protocolos usados para Interactuar con el servicio de estampado cronológico, así como casos específicos de tales servicios. Fuente del estándar: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht m?csnumber=50678 RFC 2560 X.509 Internet PKI Online Certificate Status Protocol - OCSP. June 1999. En lugar de o como complemento a la comprobación de una lista de certificados revocados (CRL), puede ser necesario obtener información oportuna acerca del estado de revocación de un certificado. Algunos ejemplos son la transferencia de fondos de alto valor o de grandes existencias. El Online Certificate Status Protocol (OCSP) permite a las aplicaciones determinar el estado de un certificado. OCSP se puede utilizar para satisfacer algunas de las necesidades operacionales de proporcionar información más oportuna sobre la revocación de la Curso Virtual: Firma Electrónica20
Instituto Nacional de Administración Pública 15 MÓDULO 4 / Certificado Digital que es posible con las CRL y puede ser utilizado también para obtener más información sobre el estado del certificado. Un cliente OCSP emite una solicitud de estado a un OCSP servidor, y suspende la aceptación del certificado en cuestión hasta obtener la respuesta. Este protocolo especifica los datos que deben intercambiarse entre una solicitud de comprobación del estado de un certificado y el servidor que provee el estado del certificado. Fuente del estándar: http://www.ietf.org/rfc/rfc2560.txt RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile Este estándar es parte de una familia de normas para la Infraestructura de Clave Pública (PKI) X.509 para Internet. Esta especificación describe los perfiles y la semántica de los certificados y listas de certificados revocación (CRL). Se describen los procedimientos para el procesamiento de los caminos de certificación en Internet. Por último, como anexo se presentan módulos en formato ASN.1 para todas las estructuras de datos definidas o referenciadas. Fuente del estándar: http://www.ietf.org/rfc/rfc5280.txt TIA-942 Telecommunications Infrastructure Standard for Data Centers (Abril 2005) Este estándar especifica los requerimientos mínimos para la infraestructura de telecomunicaciones de un repositorio de datos (data center) y para salas de computadores, incluyendo los de empresas individuales y el hospedaje de múltiples empresas en un mismo repositorio de datos. La topología propuesta en el documento es aplicable a cualquier tamaño de data center. El estándar cubre el espacio del sitio y su distribución; la infraestructura de cableado; niveles de fiabilidad; y consideraciones del entorno (ambiente). Respecto de la fiabilidad, el estándar define 4 niveles: Tier I – Básico. Ofrece 99.671% de disponibilidad, es decir, durante un año puede quedar indisponible por 28.8 horas. Es susceptible de sufrir interrupciones en su operación, tanto programadas como imprevistas, y para realizar mantenciones debe ser apagado por completo. Módulo 4: Certificado Digital 21
Instituto Nacional de Administración Pública 16 MÓDULO 4 / Certificado Digital Tier II – Componentes redundantes. Ofrece 99.741% de disponibilidad, es decir, durante un año puede quedar indisponible por 22.0 horas. Es menos susceptible a sufrir interrupciones del servicio, tanto planeadas como imprevistas. Algunas mantenciones también requieren del apagado completo del data center. TIA-942 Telecommunications Infrastructure Standard for Data Centers (Abril 2005) Tier III – Mantención concurrente. Ofrece 99.982% de disponibilidad, es decir, durante un año puede quedar indisponible por 1.6 horas. Permite actividades planificadas sin interrumpir el funcionamiento de las máquinas, pero situaciones imprevistas todavía pueden afectar la operación. Tier IV– Tolerante a fallas. Ofrece 99.995% de disponibilidad, es decir, durante un año puede quedar indisponible por 0.4 horas. Las actividades planificas no interrumpen las cargas críticas y el almacenamiento de datos puede soportar al menos un evento no planificado sin impactos críticos. Fuente del estándar: http://www.tiaonline.org/standards/ WebTrust for Certification Authorities. Las principales Autoridades Certificadoras (CA) están obligadas a someterse a una auditoría amplia denominada AICPA/CICA WebTrust Program for Certification Authorities. Esta auditoría se lleva a cabo por empresas auditoras públicas y profesionales que están específicamente autorizados por el Instituto Americano de Contadores Públicos Certificados (AICPA) y el Canadian Institute of Chartered Accountants (CICA). El programa WebTrust de CA ayuda a garantizar que los procedimientos se siguen en actividades relacionadas con las transacciones de comercio electrónico, infraestructura de clave pública (PKI), y la criptografía. Para alcanzar confianza en las transacciones en línea y en el comercio electrónico, la confidencialidad, autenticación, integridad y no repudiación son de vital importancia. Estas necesidades se satisfacen mediante el uso de PKI y certificados SSL. Una autoridad de certificación verifica la identidad de una organización o entidad y expide un certificado que la organización puede utilizar para probar su identidad. Curso Virtual: Firma Electrónica22
Instituto Nacional de Administración Pública 17 MÓDULO 4 / Certificado Digital El programa WebTrust para Autoridades de Certificación ayuda a asegurar que la CA sigue adecuadamente su declaración de prácticas de certificación (CPS), verificando apropiadamente las organizaciones, y protegiendo adecuadamente sus llaves de certificado. Fuente del estándar: http://www.webtrust.org/ Common Criteria EAL 5+ Estándar Europeo que se utiliza con el fin de poder certificar un producto según los Criterios Comunes se deben comprobar, por parte de uno de los laboratorios independientes aprobados, numerosos parámetros de seguridad que han sido consensuados y aceptados por 22 países de todo el mundo. El proceso de evaluación incluye la certificación de que un producto software específico verifica los siguientes aspectos: • Los requisitos del producto están definidos correctamente. • Los requisitos están implementados correctamente. • El proceso de desarrollo y documentación del producto cumple con ciertos requisitos previamente establecidos. • Los Criterios Comunes establecen entonces un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de Tecnologías de la Información y de los criterios para evaluar su seguridad. El proceso de evaluación, realizado según lo prescrito en los Criterios Comunes, garantiza que las funciones de seguridad de tales productos y sistemas reúnen los requisitos declarados. Así, los clientes pueden especificar la funcionalidad de seguridad de un producto en términos de perfiles de protección estándares y de forma independiente seleccionar el nivel de confianza en la evaluación de un conjunto definido desde el EAL1 al EAL7. EAL 5+ o 5 Plus (diseño verificado y probado semiformalmente): Permite a los desarrolladores alcanzar una alta garantía en la aplicación de técnicas de ingeniería de seguridad para un entorno de desarrollo riguroso y donde el objeto de evaluación es considerado de gran valor para la protección del alto costo o estimación de esos bienes contra riesgos significativos. Además, es aplicable para el desarrollo de objetos de evaluación, destinados a salvaguardar la seguridad informática en situaciones de alto riesgo donde el valor de los bienes protegidos justifica los costos adicionales. El análisis en este nivel se apoya en un diseño modular Módulo 4: Certificado Digital 23
Instituto Nacional de Administración Pública 18 MÓDULO 4 / Certificado Digital y en una presentación estructurada de la implementación del producto. La búsqueda de vulnerabilidades debe mostrar una alta resistencia a los ataques de penetración. Permite a un desarrollador alcanzar máxima garantía de ingeniería de seguridad positiva mediante la aplicación moderada de técnicas de ingeniería de seguridad. La confianza se apoya, en este caso, en un modelo formal y una presentación semiformal de la especificación funcional y el diseño de alto nivel. En Europa para los chips de firma electrónica utilizados en los pasaportes es obligatorio tenerlo para poder ofrecer este servicio, también para aplicaciones de pagos en línea. Requisitos Evaluados por parte del RPSC R1: La admisibilidad R2: Aspectos Legales y Comerciales R3: Servicios Ofrecidos R4: Estándares R5: Politicas y Practicas de Certificación R6: Administración del PSC Pasos: Fuente: Guía de Evaluación y de Requisitos www.rpsc.gob.gt Paso 1: Pago del Costo de la Evaluación. Paso 2: Presentar la Solicitud con la documentación y los requisitos evaluados anteriormente. Paso 3: Verificación de la admisibilidad Paso 4: Evaluación de la Autorización. Para esta evaluación el RPSC cuenta con 90 días Hábiles según ley para otorgar la autorización inscripción y registro para ser PSC. Curso Virtual: Firma Electrónica24
Guatemala, octubre 2016 Certificado Digital Dirección de Formación y Capacitación Firma Electrónica Avanzada CURSO VIRTUAL

Recommended

Módulo 3 firma electrónica avanzada
Módulo 3 firma electrónica avanzadaMódulo 3 firma electrónica avanzada
Módulo 3 firma electrónica avanzadaInstituto Nacional de Administración Pública
 
Módulo 1 firma electrónica avanzada
Módulo 1 firma electrónica avanzadaMódulo 1 firma electrónica avanzada
Módulo 1 firma electrónica avanzadaInstituto Nacional de Administración Pública
 
LEY DE FIRMAS DIGITALES Y ASPECTOS ÉTICOS ENMARCADOS DENTRO DE LA LEY RESORTE
LEY DE FIRMAS DIGITALES Y ASPECTOS ÉTICOS ENMARCADOS DENTRO DE LA LEY RESORTELEY DE FIRMAS DIGITALES Y ASPECTOS ÉTICOS ENMARCADOS DENTRO DE LA LEY RESORTE
LEY DE FIRMAS DIGITALES Y ASPECTOS ÉTICOS ENMARCADOS DENTRO DE LA LEY RESORTEcatalinocordero
 
Firma digital
Firma digital Firma digital
Firma digital aldair_98
 
NUEVOS SERVICIOS ON-LINE
NUEVOS SERVICIOS ON-LINENUEVOS SERVICIOS ON-LINE
NUEVOS SERVICIOS ON-LINEprimoprados
 
Exposicion semana 3 grupo
Exposicion semana 3 grupoExposicion semana 3 grupo
Exposicion semana 3 grupoWilder Agudelo Parra
 
Pki
PkiPki
Pkidanielmon1
 
Firma digital 2010 tics
Firma digital 2010 ticsFirma digital 2010 tics
Firma digital 2010 ticsDamian Bernardo Gonzalez
 

Recommended

Módulo 3 firma electrónica avanzada
Módulo 3 firma electrónica avanzadaMódulo 3 firma electrónica avanzada
Módulo 3 firma electrónica avanzadaInstituto Nacional de Administración Pública
 
Módulo 1 firma electrónica avanzada
Módulo 1 firma electrónica avanzadaMódulo 1 firma electrónica avanzada
Módulo 1 firma electrónica avanzadaInstituto Nacional de Administración Pública
 
LEY DE FIRMAS DIGITALES Y ASPECTOS ÉTICOS ENMARCADOS DENTRO DE LA LEY RESORTE
LEY DE FIRMAS DIGITALES Y ASPECTOS ÉTICOS ENMARCADOS DENTRO DE LA LEY RESORTELEY DE FIRMAS DIGITALES Y ASPECTOS ÉTICOS ENMARCADOS DENTRO DE LA LEY RESORTE
LEY DE FIRMAS DIGITALES Y ASPECTOS ÉTICOS ENMARCADOS DENTRO DE LA LEY RESORTEcatalinocordero
 
Firma digital
Firma digital Firma digital
Firma digital aldair_98
 
NUEVOS SERVICIOS ON-LINE
NUEVOS SERVICIOS ON-LINENUEVOS SERVICIOS ON-LINE
NUEVOS SERVICIOS ON-LINEprimoprados
 
Exposicion semana 3 grupo
Exposicion semana 3 grupoExposicion semana 3 grupo
Exposicion semana 3 grupoWilder Agudelo Parra
 
Pki
PkiPki
Pkidanielmon1
 
Firma digital 2010 tics
Firma digital 2010 ticsFirma digital 2010 tics
Firma digital 2010 ticsDamian Bernardo Gonzalez
 
Certificacion electronica
Certificacion electronicaCertificacion electronica
Certificacion electronicaManuel Mujica
 
La firma Digital En Colombia
La firma Digital En ColombiaLa firma Digital En Colombia
La firma Digital En ColombiaFaiber Ruiz Acosta
 
Firma electronica
Firma electronicaFirma electronica
Firma electronicajoselatorre17
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pkidansterec
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKICinthia Duque
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitalesLuis Fernando Ordóñez Armijos
 
09 06 Firmas Electronicas
09 06 Firmas Electronicas09 06 Firmas Electronicas
09 06 Firmas Electronicasjuank28
 
Certificado y firma electrónica..
Certificado y firma electrónica..Certificado y firma electrónica..
Certificado y firma electrónica..paolaolarter
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pkigcalahorrano
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki1 2d
 
Firma digital en Venezuela
Firma digital en VenezuelaFirma digital en Venezuela
Firma digital en VenezuelaIsnel Sayago
 
TEMA 12
TEMA 12TEMA 12
TEMA 12laka
 
tema
tematema
temalaka
 
presentacion certificado y firma electronica
presentacion certificado y firma electronicapresentacion certificado y firma electronica
presentacion certificado y firma electronicawipise
 
Entidades certificadoras de firma digital
Entidades certificadoras de firma digitalEntidades certificadoras de firma digital
Entidades certificadoras de firma digitalHaroll Suarez
 
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...Javier Alvarez Hernando
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pkiCecyCueva
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitalesSac Morales
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreToni de la Fuente
 
Jgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ixJgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ixJorgeGValarezo
 
Módulo 2 firma electrónica avanzada
Módulo 2 firma electrónica avanzadaMódulo 2 firma electrónica avanzada
Módulo 2 firma electrónica avanzadaInstituto Nacional de Administración Pública
 
Módulo 0 firma electrónica avanzada
Módulo 0 firma electrónica avanzadaMódulo 0 firma electrónica avanzada
Módulo 0 firma electrónica avanzadaInstituto Nacional de Administración Pública
 

More Related Content

What's hot

Certificacion electronica
Certificacion electronicaCertificacion electronica
Certificacion electronicaManuel Mujica
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pkidansterec
 
09 06 Firmas Electronicas
09 06 Firmas Electronicas09 06 Firmas Electronicas
09 06 Firmas Electronicasjuank28
 
Certificado y firma electrónica..
Certificado y firma electrónica..Certificado y firma electrónica..
Certificado y firma electrónica..paolaolarter
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pkigcalahorrano
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki1 2d
 
Firma digital en Venezuela
Firma digital en VenezuelaFirma digital en Venezuela
Firma digital en VenezuelaIsnel Sayago
 
TEMA 12
TEMA 12TEMA 12
TEMA 12laka
 
tema
tematema
temalaka
 
presentacion certificado y firma electronica
presentacion certificado y firma electronicapresentacion certificado y firma electronica
presentacion certificado y firma electronicawipise
 
Entidades certificadoras de firma digital
Entidades certificadoras de firma digitalEntidades certificadoras de firma digital
Entidades certificadoras de firma digitalHaroll Suarez
 
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...Javier Alvarez Hernando
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pkiCecyCueva
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitalesSac Morales
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreToni de la Fuente
 
Jgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ixJgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ixJorgeGValarezo
 

What's hot (20)

Certificacion electronica
Certificacion electronicaCertificacion electronica
Certificacion electronica
 
La firma Digital En Colombia
La firma Digital En ColombiaLa firma Digital En Colombia
La firma Digital En Colombia
 
Firma electronica
Firma electronicaFirma electronica
Firma electronica
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitales
 
09 06 Firmas Electronicas
09 06 Firmas Electronicas09 06 Firmas Electronicas
09 06 Firmas Electronicas
 
Certificado y firma electrónica..
Certificado y firma electrónica..Certificado y firma electrónica..
Certificado y firma electrónica..
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pki
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
 
Firma digital en Venezuela
Firma digital en VenezuelaFirma digital en Venezuela
Firma digital en Venezuela
 
TEMA 12
TEMA 12TEMA 12
TEMA 12
 
tema
tematema
tema
 
presentacion certificado y firma electronica
presentacion certificado y firma electronicapresentacion certificado y firma electronica
presentacion certificado y firma electronica
 
Entidades certificadoras de firma digital
Entidades certificadoras de firma digitalEntidades certificadoras de firma digital
Entidades certificadoras de firma digital
 
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTR...
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitales
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software Libre
 
Jgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ixJgv actividad 5 infraestructura pk ix
Jgv actividad 5 infraestructura pk ix
 

Viewers also liked

Viewers also liked (20)

Módulo 2 firma electrónica avanzada
Módulo 2 firma electrónica avanzadaMódulo 2 firma electrónica avanzada
Módulo 2 firma electrónica avanzada
 
Módulo 0 firma electrónica avanzada
Módulo 0 firma electrónica avanzadaMódulo 0 firma electrónica avanzada
Módulo 0 firma electrónica avanzada
 
Módulo 2 ley de acceso a la información pública
Módulo 2 ley de acceso a la información públicaMódulo 2 ley de acceso a la información pública
Módulo 2 ley de acceso a la información pública
 
Analisis Empirico de Politicas de Transparencia
Analisis Empirico de Politicas de TransparenciaAnalisis Empirico de Politicas de Transparencia
Analisis Empirico de Politicas de Transparencia
 
El Derecho de Acceso a la Información
El Derecho de Acceso a la InformaciónEl Derecho de Acceso a la Información
El Derecho de Acceso a la Información
 
Ley de acceso a la información (comentada)
Ley de acceso a la información (comentada)Ley de acceso a la información (comentada)
Ley de acceso a la información (comentada)
 
Marco teórico conceptual gobierno electrónico
Marco teórico conceptual gobierno electrónicoMarco teórico conceptual gobierno electrónico
Marco teórico conceptual gobierno electrónico
 
Mod02 gobierno abierto
Mod02 gobierno abiertoMod02 gobierno abierto
Mod02 gobierno abierto
 
Mod2 lectura2
Mod2 lectura2Mod2 lectura2
Mod2 lectura2
 
Mod1 lectura2
Mod1 lectura2Mod1 lectura2
Mod1 lectura2
 
Mod00 gobierno abierto
Mod00 gobierno abiertoMod00 gobierno abierto
Mod00 gobierno abierto
 
Mod02 lectura3
Mod02 lectura3Mod02 lectura3
Mod02 lectura3
 
Programa diplomado de gobierno abierto 2017
Programa diplomado de gobierno abierto 2017Programa diplomado de gobierno abierto 2017
Programa diplomado de gobierno abierto 2017
 
Autoevaluacion gobierno abierto_
Autoevaluacion gobierno abierto_Autoevaluacion gobierno abierto_
Autoevaluacion gobierno abierto_
 
Gobierno abierto módulo i
Gobierno abierto módulo iGobierno abierto módulo i
Gobierno abierto módulo i
 
Módulo 4 gobierno electrónico
Módulo 4 gobierno electrónicoMódulo 4 gobierno electrónico
Módulo 4 gobierno electrónico
 
Módulo 2 gobierno electrónico
Módulo 2 gobierno electrónicoMódulo 2 gobierno electrónico
Módulo 2 gobierno electrónico
 
Presentación sobre ponencia del CLAD2014
Presentación sobre ponencia del CLAD2014Presentación sobre ponencia del CLAD2014
Presentación sobre ponencia del CLAD2014
 
Ponencia CLAD 2014
Ponencia CLAD 2014Ponencia CLAD 2014
Ponencia CLAD 2014
 
Mod01 que es gobierno abierto
Mod01 que es gobierno abiertoMod01 que es gobierno abierto
Mod01 que es gobierno abierto
 

Similar to Módulo 4 firma electrónica avanzada

Unidad 2 norma_iso17799
Unidad 2 norma_iso17799Unidad 2 norma_iso17799
Unidad 2 norma_iso17799ludemer
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
Safelayer: Resultados del Proyecto Segur@
Safelayer: Resultados del Proyecto Segur@Safelayer: Resultados del Proyecto Segur@
Safelayer: Resultados del Proyecto Segur@Safelayer Labs
 
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoActividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoCristhian Criollo
 
EvolucionFirmaElectronica.pptx
EvolucionFirmaElectronica.pptxEvolucionFirmaElectronica.pptx
EvolucionFirmaElectronica.pptxEfrain Meza Romero
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Internet Security Auditors
 

Similar to Módulo 4 firma electrónica avanzada (20)

Mod04 certificado digital-final e
Mod04 certificado digital-final eMod04 certificado digital-final e
Mod04 certificado digital-final e
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Unidad 2 norma_iso17799
Unidad 2 norma_iso17799Unidad 2 norma_iso17799
Unidad 2 norma_iso17799
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Voip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libreVoip2day video conferencia grado militar usando software libre
Voip2day video conferencia grado militar usando software libre
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Bsi
BsiBsi
Bsi
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V A
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TI
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital
 
expo Isoeic27000
expo Isoeic27000expo Isoeic27000
expo Isoeic27000
 
Safelayer: Resultados del Proyecto Segur@
Safelayer: Resultados del Proyecto Segur@Safelayer: Resultados del Proyecto Segur@
Safelayer: Resultados del Proyecto Segur@
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio ElectronicoActividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
Actividad de Aprendizaje N° 5 - Cristhian Criollo / Comercio Electronico
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
EvolucionFirmaElectronica.pptx
EvolucionFirmaElectronica.pptxEvolucionFirmaElectronica.pptx
EvolucionFirmaElectronica.pptx
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
 

More from Instituto Nacional de Administración Pública

More from Instituto Nacional de Administración Pública (20)

Ley Modelo
Ley ModeloLey Modelo
Ley Modelo
 
Politicas Públicas y Gobierno Abierto
Politicas Públicas y Gobierno AbiertoPoliticas Públicas y Gobierno Abierto
Politicas Públicas y Gobierno Abierto
 
Carta Iberoamericana de Gobierno Abierto
Carta Iberoamericana de Gobierno AbiertoCarta Iberoamericana de Gobierno Abierto
Carta Iberoamericana de Gobierno Abierto
 
Carta Iberoamerican a de Gobierno Electrónico
Carta Iberoamerican a de Gobierno ElectrónicoCarta Iberoamerican a de Gobierno Electrónico
Carta Iberoamerican a de Gobierno Electrónico
 
Rendicion de cuentas gc
Rendicion de cuentas gcRendicion de cuentas gc
Rendicion de cuentas gc
 
Nuevas formas de participacion
Nuevas formas de participacionNuevas formas de participacion
Nuevas formas de participacion
 
Participacion ciudadana
Participacion ciudadanaParticipacion ciudadana
Participacion ciudadana
 
4 ley acceso a la informacion publica comentada
4 ley acceso a la informacion publica comentada4 ley acceso a la informacion publica comentada
4 ley acceso a la informacion publica comentada
 
3
33
3
 
2. presentación modulo ii
2. presentación modulo ii2. presentación modulo ii
2. presentación modulo ii
 
1 antecedentes ley de acceso a la información pública
1 antecedentes ley de acceso a la información pública1 antecedentes ley de acceso a la información pública
1 antecedentes ley de acceso a la información pública
 
El Acceso a la información pública historia
El Acceso a la información pública historia El Acceso a la información pública historia
El Acceso a la información pública historia
 
Gobierno abierto Guatemala 2016 - 2018
Gobierno abierto Guatemala 2016 - 2018Gobierno abierto Guatemala 2016 - 2018
Gobierno abierto Guatemala 2016 - 2018
 
Registro5125
Registro5125Registro5125
Registro5125
 
Registro5124
Registro5124Registro5124
Registro5124
 
Iniciativa de ley 5013
Iniciativa de ley 5013Iniciativa de ley 5013
Iniciativa de ley 5013
 
Acuerdo fortalecimiento poder civil y función del ejército
Acuerdo fortalecimiento poder civil y función del ejércitoAcuerdo fortalecimiento poder civil y función del ejército
Acuerdo fortalecimiento poder civil y función del ejército
 
Politica General de Gobierno 2016 - 2020
Politica General de Gobierno 2016 - 2020Politica General de Gobierno 2016 - 2020
Politica General de Gobierno 2016 - 2020
 
Lineamientos generales de politica 2017 - 2019
Lineamientos generales de politica 2017 - 2019Lineamientos generales de politica 2017 - 2019
Lineamientos generales de politica 2017 - 2019
 
Ley Federal de Transparencia y Acceso a la Información Pública
Ley Federal de Transparencia y Acceso a la Información PúblicaLey Federal de Transparencia y Acceso a la Información Pública
Ley Federal de Transparencia y Acceso a la Información Pública
 

Recently uploaded

Ley 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdfLey 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdfPedro Martinez
 
17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de Bielsa17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de BielsaPhilippe Villette
 
Declaración conjunta de Colombia y Brasil
Declaración conjunta de Colombia y BrasilDeclaración conjunta de Colombia y Brasil
Declaración conjunta de Colombia y BrasilJosDavidRodrguezRibe1
 
MANUAL DE IDENTIDAD GRAFICA 2018-2024 - Gobierno de México.pdf
MANUAL DE IDENTIDAD GRAFICA 2018-2024 - Gobierno de México.pdfMANUAL DE IDENTIDAD GRAFICA 2018-2024 - Gobierno de México.pdf
MANUAL DE IDENTIDAD GRAFICA 2018-2024 - Gobierno de México.pdfkejocer725
 
Informe de balance social Arcángeles 2023.pdf
Informe de balance social Arcángeles 2023.pdfInforme de balance social Arcángeles 2023.pdf
Informe de balance social Arcángeles 2023.pdfFundacionArcangeles
 
FARO presenta su Informe de Gestión de 2023
FARO presenta su Informe de Gestión de 2023FARO presenta su Informe de Gestión de 2023
FARO presenta su Informe de Gestión de 2023FARO
 
Presupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdfPresupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdfSUSMAI
 
informe anual de actividades 2023 funda
informe anual de actividades 2023 fundainforme anual de actividades 2023 funda
informe anual de actividades 2023 fundaFUNDACIONTOTONACAPAN
 
CAT 2024 SUNAT ALAN EMILIO matos barzola
CAT 2024 SUNAT ALAN EMILIO matos barzolaCAT 2024 SUNAT ALAN EMILIO matos barzola
CAT 2024 SUNAT ALAN EMILIO matos barzolaPaulDenisMedinaMiran
 
La violencia de género, una aproximación.pptx
La violencia de género, una aproximación.pptxLa violencia de género, una aproximación.pptx
La violencia de género, una aproximación.pptxMelvinBeltetn1
 

Recently uploaded (11)

Ley 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdfLey 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdf
 
17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de Bielsa17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de Bielsa
 
Las organizaciones y alianzas urbanas y el papel de la ciudad
Las organizaciones y alianzas urbanas y el papel de la ciudadLas organizaciones y alianzas urbanas y el papel de la ciudad
Las organizaciones y alianzas urbanas y el papel de la ciudad
 
Declaración conjunta de Colombia y Brasil
Declaración conjunta de Colombia y BrasilDeclaración conjunta de Colombia y Brasil
Declaración conjunta de Colombia y Brasil
 
MANUAL DE IDENTIDAD GRAFICA 2018-2024 - Gobierno de México.pdf
MANUAL DE IDENTIDAD GRAFICA 2018-2024 - Gobierno de México.pdfMANUAL DE IDENTIDAD GRAFICA 2018-2024 - Gobierno de México.pdf
MANUAL DE IDENTIDAD GRAFICA 2018-2024 - Gobierno de México.pdf
 
Informe de balance social Arcángeles 2023.pdf
Informe de balance social Arcángeles 2023.pdfInforme de balance social Arcángeles 2023.pdf
Informe de balance social Arcángeles 2023.pdf
 
FARO presenta su Informe de Gestión de 2023
FARO presenta su Informe de Gestión de 2023FARO presenta su Informe de Gestión de 2023
FARO presenta su Informe de Gestión de 2023
 
Presupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdfPresupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdf
 
informe anual de actividades 2023 funda
informe anual de actividades 2023 fundainforme anual de actividades 2023 funda
informe anual de actividades 2023 funda
 
CAT 2024 SUNAT ALAN EMILIO matos barzola
CAT 2024 SUNAT ALAN EMILIO matos barzolaCAT 2024 SUNAT ALAN EMILIO matos barzola
CAT 2024 SUNAT ALAN EMILIO matos barzola
 
La violencia de género, una aproximación.pptx
La violencia de género, una aproximación.pptxLa violencia de género, una aproximación.pptx
La violencia de género, una aproximación.pptx
 

Módulo 4 firma electrónica avanzada

  • 1. Módulo4•Módulo4•Módulo4•Módulo4•Módulo4• Guatemala, octubre 2016 Certificado Digital Dirección de Formación y Capacitación Firma Electrónica Avanzada CURSO VIRTUAL INSTITUTO NACIONAL DE ADMINISTRACIÓN PÚBLICA
  • 2. Curso Virtual: Firma Electrónica2
  • 3. Módulo 4: Certificado Digital 3 MÓDULO 4 Certificado Digital
  • 4. Curso Virtual: Firma Electrónica4
  • 5. Índice Módulo 4: Certificado Digital 5 7 Certificado Digital 7 ¿Cómo es un Certificado Digital? 11 Importancia de la seguridad de la información 13 Documentos Exigidos por el SGSI 14 Estándares Autoridad emisora de certificados de firma electrónica avanzada 16 Conservación de las comunicaciones electrónicas 18 Niveles de Seguridad
  • 6. Curso Virtual: Firma Electrónica6
  • 7. Instituto Nacional de Administración Pública 1 MÓDULO 4 / Certificado Digital CERTIFICADO DIGITAL ¿Cómo es un Certificado Digital? Un Certificado Digital con las características de Seguridad necesarias, debe utilizar las más modernas y estables metodologías que la Criptografía pueda ofrecer. Es por ello que internacionalmente se acepta a la Criptografía Asimétrica como la metodología más adecuada para la generación de un Certificado Digital. Pues bien cuando la Autoridad de Certificación recibe y firma la Clave Pública del Usuario utilizando su propia Clave Privada (también llamada Clave Privada Raíz) convierte al Par de Claves en un Certificado Digital. Clases de Certificado Digital. Estos pueden ser clasificados según qué medios hayan sido utilizados para verificar la veracidad de los datos. Clase 0 : Se utilizan para probar el procedimiento de Firma electrónica simple. Son gratuitos y pueden bajarse Ejemplo en: www.certificadodigital.com.ar Clase 1 : Certifican que la persona que posee el Certificado es quien dice ser, y que la dirección de correo electrónico está bajo su control. Para cerciorarse de la identidad de la persona la Autoridad de Registro solicita un documento que lo acredite. Firma Electrónica Avanzada. Periodo de Validez de un Certificado Digital: de 1 a 3 años. Estándar de Certificados X.509 • La primera versión apareció en 1988 y fue publicada como el formato X.509v1, siendo la propuesta más antigua para una infraestructura de clave pública (PKI) a nivel mundial. Esto junto con su origen ISO/ITU han hecho de X.509 el PKI más ampliamente utilizado. Más tarde fue ampliada en 1993 por la versión 2 únicamente en dos campos, identificando de forma única el emisor y usuario del certificado. La versión 3 de X.509 amplia la funcionalidad del estándar X.509 X.509. Campos o Estructura. Módulo 4: Certificado Digital 7
  • 8. Instituto Nacional de Administración Pública 2 MÓDULO 4 / Certificado Digital • V: Versión del certificado. • SN: Número de serie. (para los CRL) • AI: identificador del algoritmo de firma que sirve única y exclusivamente para identificar el algoritmo usado para firmar el paquete X.509. • CA: Autoridad certificadora (nombre en formato X.500). • TA: Periodo de validez. • A: Propietario de la clave pública que se está firmando. • P: Clave pública más identificador de algoritmo utilizado y más parámetros si son necesarios. • Y{I}:Firma digital de Y por I (con clave privada de una unidad certificadora). Curso Virtual: Firma Electrónica8
  • 9. Instituto Nacional de Administración Pública 3 MÓDULO 4 / Certificado Digital CA<<A>> = CA { V, SN, AI, CA, TA, A, AP } Donde Y<<X>> es el certificado del usuario X expedido por Y, siendo Y la autoridad certificadora. De esta forma se puede obtener cualquier X certificado por cualquier Y.X.509, Versión 3 • El estándar, internacionalmente aceptado, para Certificados Digitales, es el denominado X.509, en su versión 3. • Contiene datos del sujeto, como su nombre, dirección, correo electrónico, etc. • Con la versión 3 de X.509, sucesora de la versión 2, no hace falta aplicar restricciones sobre la estructura de las CAs gracias a la definición de las extensiones de certificados. Se permite que una organización pueda definir sus propias extensiones para contener información específica dentro de su entorno de operación. Este tipo de certificados es el que usa el protocolo de comercio electrónico SET. • X.509 y X.500 fueron originalmente diseñados a mediados de los años 80, antes del enorme crecimiento de usuarios en Internet. Es por esto por lo que se diseñaron para operar en un ambiente donde sólo los computadores se interconectaban intermitentemente entre ellos. Por eso en las versiones 1 y 2 de X.509 se utilizan CRLs muy simples que no solucionan el problema de la granularidad de tiempo. • La versión 3 introduce cambios significativos en el estándar. El cambio fundamental es el hacer el formato de los certificados y los CRLs extensible. Ahora los que implementen X.509 pueden definir el contenido de los certificados como crean conveniente. Además se han definido extensiones estándares para proveer una funcionalidad mejorada. Módulo 4: Certificado Digital 9
  • 10. Instituto Nacional de Administración Pública 4 MÓDULO 4 / Certificado Digital Curso Virtual: Firma Electrónica10
  • 11. Instituto Nacional de Administración Pública 5 MÓDULO 4 / Certificado Digital Importancia de la seguridad de la Información 1. La Información es un activo invaluable 2. El objetivo principal de los Ciberpiratas son las cuentas y los datos bancarios (Cuesta Dinero) 3. Genera desprestigio y problemas legales 4. Garantizar la continuidad del negocio y responsabilidad social Principales tipos de amenazas • Acceso no autorizado • Usuarios desleales • Espionaje industrial • "Hackers" de computador • Fraude • Fuego • Persecución y observación de empleados clave • Robo de notebooks SGSI – ISO/IEC 27001:2005 Historia y evolución de la norma ISO/IEC 27001 • Febrero de 1998: Primera publicación de la BS 7799-2 • Mayo de 1999: Publicación simultánea de las normas BS 7799-1 y BS 7799-2 • Septiembre de 2002: La BS 7799-2 es publicada por BSI • Abril de 2005: Aprobado en la reunión de Viena la serie ISO/IEC 27000 • Octubre de 2005: Publicación de la ISO/IEC 27001 En 2008 la ISO/IEC 27001 inicia el proceso de actual. SGSI – ISO/IEC 27001:2005 Esta norma internacional, derivada de la norma británica BS 7799-1, ha sido el fruto de un consenso entre los países miembros de la ISO (exceptuando Canadá, Estados Unidos de Norteamérica y Japón quienes no aceptaban inicialmente adoptar internacionalmente una norma británica en la materia), que sirve como guía para la implementación de un Módulo 4: Certificado Digital 11
  • 12. Instituto Nacional de Administración Pública 6 MÓDULO 4 / Certificado Digital Sistema de Gestión de Seguridad de la Información para Organizaciones públicas, privadas o mixtas, con la finalidad de preservar la confidencialidad, integridad y disponibilidad de la información importante que estas posean y que muchas veces es invaluable (información tal que marque la diferencia entre una organización y su competencia). Hay que tomar en cuenta que la seguridad de la información no es solo para Tecnologías de la Información y Comunicación - TICs, se trata de Gestión en general, involucra Recursos Humanos, Jurídicos, seguridad física entre otros. Por ser norma ISO garantiza la mejora continua del SGSI. Planificar (establecer el SGSI): Establecer la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización. Hacer (implementar y operar el SGSI): Implementar y operar la política, controles, procesos y procedimientos del SGSI. Verificar (hacer seguimiento y revisar el SGSI): Evaluar y, en donde sea aplicable, medir el desempeño del proceso con respecto a la política y los objetivos de seguridad y la experiencia práctica, reportando los resultados a la dirección, para su revisión. Actuar (mantener y mejorar el SGSI): Emprender acciones correctivas y preventivas basadas en los resultados de la auditoría interna del SGSI y la revisión por la dirección, para lograr la mejora continua del SGSI. Dominios de control. 1. Política de Seguridad. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos. 4. Seguridad Ligada a los Recursos Humanos. 5. Seguridad Física y del Ambiente. Curso Virtual: Firma Electrónica12
  • 13. Instituto Nacional de Administración Pública 7 MÓDULO 4 / Certificado Digital 6. Gestión de Comunicaciones y Operaciones. 7. Control de Acceso. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes de Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. DOCUMENTOS EXIGIDOS POR EL SGSI • Declaraciones documentadas de la Política de Seguridad de la Información. • Alcance del SGSI. • Reporte de evaluación de riesgos. • Plan de tratamiento de riesgos. • Procedimientos documentados para asegurar la operación y el control de los procesos en Seguridad de la Información. • Registros exigidos por la Norma. • Declaración de aplicabilidad. ACTIVIDADES PLAZO DEFINICIÓN DEL ALCANCE DEL SGSI MES 1 EVALUACIÓN DE RIESGOS EN LAS ÁREAS Y PROCESOS DEL SGSI MES 2 A 4 DIAGNÓSTICO DEL SGSI MES 1 A 2 DECLARACIÓN DE APLICABILIDAD MES 6 IMPLEMENTACIÓN DE LOS CONTROLES DEFINIDOS EN LA EVALUACIÓN Y TRATAMIENTO DE LOS RIESGOS MES 3 A 11 SEMINARIO SOBRE CONCIENTIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN MES 3 A 7 CURSO SOBRE LAS NORMAS ISO/IEC 27001 Y 27002 MES 2 A 4 DOCUMENTACIÓN DEL SGSI MES 2 A 11 FORMACIÓN DE LAS PERSONAS INVOLUCRADAS EN LA DOCUMENTACIÓN DEL SGSI. MES 2 A 8 AUDITORÍA INTERNA DEL SGSI MES 10 IMPLEMENTACIÓN DE ACCIONES PREVENTIVAS Y CORRECTIVAS MES 10 A 11 REVISIÓN DEL SGSI POR LA DIRECCIÓN MES 11 EVALUACION DETALLADA DEL SGSI MES 11 Módulo 4: Certificado Digital 13
  • 14. Instituto Nacional de Administración Pública 8 MÓDULO 4 / Certificado Digital Estándares Autoridad emisora de certificados de firma electrónica avanzada (AC= Autoridad Certificadora) y de estampado cronológico Para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer el servicio de Autoridad Certificadora, cumplan como mínimo en su operación con uno de los siguientes estándares: ISO/IEC 27001, o WebTrust for Certification Authorities. La norma ISO/IEC 27001 está diseñada para garantizar la adecuada selección de los controles de seguridad proporcionados para proteger los activos de información, y dar confianza a las partes interesadas. El programa WebTrust ayuda a garantizar que los procedimientos se siguen en actividades relacionadas con las transacciones de comercio electrónico, infraestructura de clave pública (PKI), y la criptografía. Además en estas empresas el hardware criptográfico es vital. Por ello, para la raíz de la Autoridad Certificadora, y para la Autoridad de Estampado Cronológico se recomienda el cumplimiento de uno de los dos estándares internacionales siguientes: FIPS PUB 140-1 o FIPS PUB 140-2. Ambos estándares especifican los requerimientos de seguridad que deben ser satisfechos por un módulo criptográfico usado en un sistema de seguridad que protege información en sistemas computacionales y de telecomunicaciones. Las normas proveen 4 niveles cualitativos y crecientes de seguridad para cumplir un amplio rango de aplicaciones posibles en diferentes ambientes potenciales en los cuales los módulos criptográficos se pueden usar. Y para la prestación del servicio en Guatemala se recomienda exigir el cumplimiento como mínimo del Nivel 3 a nivel del hardware criptográfico. Comprobación de la identidad del firmante y de sus datos certificados (Autoridad de Registro) Provisoriamente, para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC o las entidades en su nombre delegadas para ofrecer el servicio de Autoridad de Registro, estén certificadas en su operación como mínimo con el estándar ISO 9001. Dada la amplia gama de usos posibles de dicho estándar, se hace recomendable que la Autoridad de Registro implemente de manera complementaria y verificable (no necesariamente certificada), el apego a la norma ISO/IEC 27001. Curso Virtual: Firma Electrónica14
  • 15. Instituto Nacional de Administración Pública 9 MÓDULO 4 / Certificado Digital Esta provisionalidad permite a las empresas alcanzar un nivel de madurez necesario para garantizar la seguridad del sistema. la certificación ISO 9001 y la certificación ISO/IEC 27001 serán las que permitan que continúen con su autorización. Almacenamiento de los datos de creación de firma del titular (dispositivos Criptográficos, Token. Smart Card entre otros) Un tercer pilar en la seguridad del sistema está constituido por el mecanismo escogido para entregar los datos de creación de firma a un titular. Para el dispositivo en el cual se entregarán los certificados y datos privados de firma electrónica ofrecidos por el PSC a sus clientes, o las entidades en su nombre delegadas para ofrecer el servicio, se recomienda exigir la certificación de cumplimiento de uno de los dos estándares internacionales siguientes: FIPS PUB 140-1, Nivel 2 ó 3; o su versión más reciente: FIPS PUB 140-2: Nivel 2 ó 3. Verificación del registro público de certificados en línea Para cumplir con el requisito de ofrecer medios razonablemente accesibles para determinar el estado de un certificado, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer información en línea de sus servicios, tengan implementado el estándar internacional RFC 2560 X.509. Dicho estándar define el Online Certificate Status Protocol (OCSP) que permite implementar o usar aplicaciones que determinen el estado de un certificado en línea, proporcionando información más oportuna que la opción de listas de revocación, actualizadas con frecuencias típicas de 24 horas. Servicios asociados al estampado cronológico Para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer servicios de estampado cronológico, cumplan como mínimo en su operación con el tener la certificación ISO/IEC 27001. Dada la amplia gama de usos posibles de dicho estándar, se hace recomendable que la entidad que ofrezca servicios de estampado implemente de manera complementaria a ISO/IEC 27001, y verificable por un auditor externo competente (no necesariamente certificada), el apego a las normas ETSI TS 102 023, e ISO/IEC 18014; o las respectivas normas guatemaltecas que las homologuen, respectivamente. Módulo 4: Certificado Digital 15
  • 16. Instituto Nacional de Administración Pública 10 MÓDULO 4 / Certificado Digital En ETSI TS 102 023 se definen los requisitos de la política en las prácticas de operación y de administración de las autoridades de estampado cronológico (TSA) tales que los suscriptores y otras partes puedan tener confianza en la operación de los servicios de estampado cronológico. En particular, se recomienda exigir el uso del algoritmo de hash SHA-1 con RSA y largos de llave de al menos 2048 bits con RSA. En el segundo, ISO/IEC 18014 se describe el modelo general en el cual se basan los servicios de estampado cronológico, define los servicios, define los protocolos básicos, y especifica los protocolos entre las entidades involucradas. Conservación de las comunicaciones electrónicas La Ley contempla la necesidad de contar con servicios de almacenamiento de comunicaciones electrónicas, lo que posibilita a los PSC autorizados a ofrecer dicho servicio. Para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer dicho servicio, cumplan como mínimo con el estándar ISO/IEC 27001, o su equivalente en norma nacional. Como esta norma está diseñada para ser apta en diferentes tipos de uso, debe ser complementada con el estándar TIA-942, o su equivalente en norma nacional. En él se cubren recomendaciones sobre el espacio físico y su distribución, el cableado, la disponibilidad, y el entorno. Además en el estándar TIA-942 se definen cuatro niveles de disponibilidad, o Tier, y se recomienda que el Data Center opere con nivel Tier 3, e incluso Tier 4 cuando la información así lo requiera. Breve descripción de las normas Solicitadas por el RPSC: El sistema de estampado cronológico es un proceso seguro que permite establecer el tiempo de la creación y modificación de un documento, asociando una fecha y una hora a un documento digital de una manera criptográficamente fuerte. “Seguro” significa que nadie, ni siquiera el dueño del documento puede modificarlo una vez que ha sido guardado, siempre y cuando la integridad del proveedor del servicio de estampado cronológico no haya sido comprometida. Para lograrlo se requiere disponer de una infraestructura confiable de estampado cronológico. El estampado cronológico confiable es otorgado por una tercera parte de confianza (Trusted Third Party - TTP) que actúa como una autoridad de Curso Virtual: Firma Electrónica16
  • 17. Instituto Nacional de Administración Pública 11 MÓDULO 4 / Certificado Digital estampado cronológico (Timestamping Authority – TSA), y es el único sistema, reconocido internacionalmente, que permite determinar si una firma electrónica fue generada con anterioridad al momento de revocación de un certificado. El estándar define los requisitos de la política en las prácticas de operación y de administración de las autoridades de estampado cronológico (TSA) tales que los suscriptores y otras partes puedan tener confianza en la operación de los servicios de estampado cronológico. Estos requisitos están pensados para los servicios de estampado cronológico usados en las firmas electrónicas pero se pueden aplicar a cualquier caso que requiera probar que un dato existía antes de un instante particular en el tiempo, y están basadas en la criptografía de clave pública, certificados de clave pública y fuentes de tiempo confiables. En particular, el documento trata los requisitos para una TSA que publica sellos de tiempo que se sincronizan con la Escala de Tiempo Universal (Coordinated Universal Time - UTC) y son firmados digitalmente por una unidad de estampado cronológico (Time Stamping Unit – TSU[1]). Entre los ámbitos incluidos están las políticas de la TSA respecto del estampado cronológico, las obligaciones y responsabilidades de las partes involucradas, las declaraciones de prácticas incluyendo temas como la gestión del ciclo de vida de las llaves usadas, operación de una TSA, etc., respecto de as cuales tanto los suscriptores como las partes que confían deberían informarse adecuadamente. Fuente del estándar: http://pda.etsi.org/pda/queryform.asp FIPS PUB 140-1: Security Requirements for Cryptographic Modules, (Mayo 2001) y FIPS PUB 140-2: Security Requirements for Cryptographic Modules (Mayo 2002) Ambos estándares especifican los requerimientos de seguridad que deben ser satisfechos por un módulo criptográfico usado en un sistema de seguridad que protege información en sistemas computacionales y de telecomunicaciones (incluyendo sistemas de voz). Las normas proveen 4 niveles cualitativos y crecientes de seguridad para cumplir un amplio rango de aplicaciones posibles en diferentes ambientes potenciales en los cuales los módulos criptográficos se pueden usar. Los requisitos de seguridad cubren áreas relacionadas con el diseño básico y la documentación, interfaces del módulo, roles y servicios autorizados, seguridad física, seguridad de software, seguridad del sistema operativo, gestión de llave, algoritmos criptográficos, interferencia electromagnética, y auto pruebas. Módulo 4: Certificado Digital 17
  • 18. Instituto Nacional de Administración Pública 12 MÓDULO 4 / Certificado Digital El nivel de seguridad de un módulo criptográfico será elegido para proveer un nivel de seguridad adecuado a los requisitos de la aplicación y al ambiente en los cuales el módulo va a ser utilizado y a los servicios de seguridad que el módulo se supone debe proveer. FIPS PUB 140-1: Security Requirements for Cryptographic Modules, (Mayo 2001) y FIPS PUB 140-2: Security Requirements for Cryptographic Modules (Mayo 2002) Niveles de Seguridad: Nivel de seguridad 1. Provee el nivel más bajo de seguridad. No se requieren mecanismos de seguridad física más allá de los requisitos del equipo de producción estándar. El Nivel 1 permite que las funciones criptográficas de software sean ejecutadas en un computador personal de propósito general. Nivel de seguridad 2. Mejora la seguridad física de un módulo criptográfico de seguridad de Nivel 1 agregando el requisito de recubrimientos o sellos que hagan evidente la intromisión, o el de serraduras resistentes a ser violentadas, obligando a romperlas para obtener acceso físico a las llaves criptográficas de texto plano y a otros parámetros críticos de seguridad del módulo. El Nivel 2 provee autenticación basada en roles, en el cual el módulo debe autenticar que un operador esté autorizado para asumir un rol específico y ejecutar un conjunto de servicios correspondientes. Nivel de seguridad 3. Mejora la seguridad física de los anteriores. El Nivel 3 intenta prevenir que un intruso pueda obtener acceso a parámetros críticos de seguridad mantenidos dentro del módulo. Por ejemplo, si una cubierta o sello se retira o una puerta se abre, los parámetros críticos de seguridad son reducidos a cero. Este nivel provee autenticación por identidad, donde el modulo debe de identificar la identidad de un operador y verificar que dicho operador esté autorizado para asumir cierto rol específico y ejecutar un conjunto de servicios correspondientes. Además los puertos de datos usados para parámetros críticos de seguridad deben estar físicamente separados de otros puertos de datos. Nivel de seguridad 4. Provee el grado más alto de seguridad. La mayoría de los productos existentes no cumple este nivel por completo, pero sí algunas características. El Nivel 4 provee un sobre de protección alrededor del módulo criptográfico. Su propósito es detectar una penetración en el dispositivo en cualquier dirección. El Nivel 4 también protege a un módulo criptográfico contra el compromiso de su seguridad debido a condiciones ambientales o fluctuaciones fuera de los rangos operativos normales del módulo por tensión eléctrica y la temperatura. Curso Virtual: Firma Electrónica18
  • 19. Instituto Nacional de Administración Pública 13 MÓDULO 4 / Certificado Digital FIPS 140-2 incorpora cambios en la aplicación de estándares y tecnología desde el desarrollo de FIPS 140-1 así como cambios basados en comentarios recibidos de vendedores, laboratorios, y la comunidad de usuarios. NIST estableció un período de transición entre ambos estándares, sin embargo, indica que todas las validaciones contra el estándar FIPS 140-1 seguirán siendo reconocidas. Fuente del estándar: http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf ISO 9001 Quality management systems – Requirements ISO 9001 especifica requerimientos para un sistema de gestión de la calidad donde una organización necesita demostrar su habilidad para proveer consistentemente productos que cumplen los requisitos del cliente y de las normativas y regulaciones aplicables, y tiene por objeto mejorar la satisfacción del cliente a través de la aplicación efectiva del sistema, incluidos los procesos de mejora continua del sistema y la garantía de conformidad con el cliente y normativas legales y los requisitos reglamentarios. Todos los requisitos de la norma ISO 9001 son genéricos y están destinadas a ser aplicables a todas las organizaciones, independientemente del tipo, tamaño y producto. Cuando algún requisito de la norma ISO 9001 no se puede aplicar debido a la naturaleza de una organización y su producto, esto puede ser considerado para la exclusión. Cuando se hacen exclusiones, las reclamaciones de conformidad con la norma ISO 9001 no son aceptables a menos que estas exclusiones se limiten a los requisitos de la cláusula 7, y tales exclusiones no afecten a la capacidad de la organización, o la responsabilidad, para ofrecer productos que satisfagan a sus clientes y que respondan a las normativas legales y los requisitos reglamentarios. Fuente del estándar: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht m?csnumber=46486 ISO/IEC 18014-1:2002 Information technology -- Security techniques -- Time-stamping services Es un estándar compuesto por tres partes. Parte 1: Framework Módulo 4: Certificado Digital 19
  • 20. Instituto Nacional de Administración Pública 14 MÓDULO 4 / Certificado Digital Identifica el objetivo de una autoridad de estampado cronológico, describe el modelo general en el cual se basan los servicios de estampado cronológico, define los servicios de estampado cronológico, define los protocolos básicos de estampado cronológico, y especifica los protocolos entre las entidades involucradas. Parte 2: Mechanisms producing independent tokens Describe los servicios de estampado cronológico produciendo tokens independientes, un modelo general para los servicios de estampado cronológico de este tipo y los componentes básicos usados para construir el servicio, definiendo las estructuras de datos y los protocolos usados para interactuar con él. Actualmente se cubren tres mecanismos independientes: (1) estampado cronológico usando firma digital, (2) estampado cronológico usando códigos de autenticación de mensajes, y (3) estampado cronológico usando archivos. Parte 3: Mechanisms producing linked tokens Describe el servicio de estampado cronológico produciendo tokens ligados, es decir, tokens que están criptográficamente limitados a otros tokens producidos por estos servicios de estampado cronológico. Describe un modelo general para los servicios de estampado cronológico de este tipo y los componentes básicos usados para construir el servicio, define las estructuras de datos y los protocolos usados para Interactuar con el servicio de estampado cronológico, así como casos específicos de tales servicios. Fuente del estándar: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht m?csnumber=50678 RFC 2560 X.509 Internet PKI Online Certificate Status Protocol - OCSP. June 1999. En lugar de o como complemento a la comprobación de una lista de certificados revocados (CRL), puede ser necesario obtener información oportuna acerca del estado de revocación de un certificado. Algunos ejemplos son la transferencia de fondos de alto valor o de grandes existencias. El Online Certificate Status Protocol (OCSP) permite a las aplicaciones determinar el estado de un certificado. OCSP se puede utilizar para satisfacer algunas de las necesidades operacionales de proporcionar información más oportuna sobre la revocación de la Curso Virtual: Firma Electrónica20
  • 21. Instituto Nacional de Administración Pública 15 MÓDULO 4 / Certificado Digital que es posible con las CRL y puede ser utilizado también para obtener más información sobre el estado del certificado. Un cliente OCSP emite una solicitud de estado a un OCSP servidor, y suspende la aceptación del certificado en cuestión hasta obtener la respuesta. Este protocolo especifica los datos que deben intercambiarse entre una solicitud de comprobación del estado de un certificado y el servidor que provee el estado del certificado. Fuente del estándar: http://www.ietf.org/rfc/rfc2560.txt RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile Este estándar es parte de una familia de normas para la Infraestructura de Clave Pública (PKI) X.509 para Internet. Esta especificación describe los perfiles y la semántica de los certificados y listas de certificados revocación (CRL). Se describen los procedimientos para el procesamiento de los caminos de certificación en Internet. Por último, como anexo se presentan módulos en formato ASN.1 para todas las estructuras de datos definidas o referenciadas. Fuente del estándar: http://www.ietf.org/rfc/rfc5280.txt TIA-942 Telecommunications Infrastructure Standard for Data Centers (Abril 2005) Este estándar especifica los requerimientos mínimos para la infraestructura de telecomunicaciones de un repositorio de datos (data center) y para salas de computadores, incluyendo los de empresas individuales y el hospedaje de múltiples empresas en un mismo repositorio de datos. La topología propuesta en el documento es aplicable a cualquier tamaño de data center. El estándar cubre el espacio del sitio y su distribución; la infraestructura de cableado; niveles de fiabilidad; y consideraciones del entorno (ambiente). Respecto de la fiabilidad, el estándar define 4 niveles: Tier I – Básico. Ofrece 99.671% de disponibilidad, es decir, durante un año puede quedar indisponible por 28.8 horas. Es susceptible de sufrir interrupciones en su operación, tanto programadas como imprevistas, y para realizar mantenciones debe ser apagado por completo. Módulo 4: Certificado Digital 21
  • 22. Instituto Nacional de Administración Pública 16 MÓDULO 4 / Certificado Digital Tier II – Componentes redundantes. Ofrece 99.741% de disponibilidad, es decir, durante un año puede quedar indisponible por 22.0 horas. Es menos susceptible a sufrir interrupciones del servicio, tanto planeadas como imprevistas. Algunas mantenciones también requieren del apagado completo del data center. TIA-942 Telecommunications Infrastructure Standard for Data Centers (Abril 2005) Tier III – Mantención concurrente. Ofrece 99.982% de disponibilidad, es decir, durante un año puede quedar indisponible por 1.6 horas. Permite actividades planificadas sin interrumpir el funcionamiento de las máquinas, pero situaciones imprevistas todavía pueden afectar la operación. Tier IV– Tolerante a fallas. Ofrece 99.995% de disponibilidad, es decir, durante un año puede quedar indisponible por 0.4 horas. Las actividades planificas no interrumpen las cargas críticas y el almacenamiento de datos puede soportar al menos un evento no planificado sin impactos críticos. Fuente del estándar: http://www.tiaonline.org/standards/ WebTrust for Certification Authorities. Las principales Autoridades Certificadoras (CA) están obligadas a someterse a una auditoría amplia denominada AICPA/CICA WebTrust Program for Certification Authorities. Esta auditoría se lleva a cabo por empresas auditoras públicas y profesionales que están específicamente autorizados por el Instituto Americano de Contadores Públicos Certificados (AICPA) y el Canadian Institute of Chartered Accountants (CICA). El programa WebTrust de CA ayuda a garantizar que los procedimientos se siguen en actividades relacionadas con las transacciones de comercio electrónico, infraestructura de clave pública (PKI), y la criptografía. Para alcanzar confianza en las transacciones en línea y en el comercio electrónico, la confidencialidad, autenticación, integridad y no repudiación son de vital importancia. Estas necesidades se satisfacen mediante el uso de PKI y certificados SSL. Una autoridad de certificación verifica la identidad de una organización o entidad y expide un certificado que la organización puede utilizar para probar su identidad. Curso Virtual: Firma Electrónica22
  • 23. Instituto Nacional de Administración Pública 17 MÓDULO 4 / Certificado Digital El programa WebTrust para Autoridades de Certificación ayuda a asegurar que la CA sigue adecuadamente su declaración de prácticas de certificación (CPS), verificando apropiadamente las organizaciones, y protegiendo adecuadamente sus llaves de certificado. Fuente del estándar: http://www.webtrust.org/ Common Criteria EAL 5+ Estándar Europeo que se utiliza con el fin de poder certificar un producto según los Criterios Comunes se deben comprobar, por parte de uno de los laboratorios independientes aprobados, numerosos parámetros de seguridad que han sido consensuados y aceptados por 22 países de todo el mundo. El proceso de evaluación incluye la certificación de que un producto software específico verifica los siguientes aspectos: • Los requisitos del producto están definidos correctamente. • Los requisitos están implementados correctamente. • El proceso de desarrollo y documentación del producto cumple con ciertos requisitos previamente establecidos. • Los Criterios Comunes establecen entonces un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de Tecnologías de la Información y de los criterios para evaluar su seguridad. El proceso de evaluación, realizado según lo prescrito en los Criterios Comunes, garantiza que las funciones de seguridad de tales productos y sistemas reúnen los requisitos declarados. Así, los clientes pueden especificar la funcionalidad de seguridad de un producto en términos de perfiles de protección estándares y de forma independiente seleccionar el nivel de confianza en la evaluación de un conjunto definido desde el EAL1 al EAL7. EAL 5+ o 5 Plus (diseño verificado y probado semiformalmente): Permite a los desarrolladores alcanzar una alta garantía en la aplicación de técnicas de ingeniería de seguridad para un entorno de desarrollo riguroso y donde el objeto de evaluación es considerado de gran valor para la protección del alto costo o estimación de esos bienes contra riesgos significativos. Además, es aplicable para el desarrollo de objetos de evaluación, destinados a salvaguardar la seguridad informática en situaciones de alto riesgo donde el valor de los bienes protegidos justifica los costos adicionales. El análisis en este nivel se apoya en un diseño modular Módulo 4: Certificado Digital 23
  • 24. Instituto Nacional de Administración Pública 18 MÓDULO 4 / Certificado Digital y en una presentación estructurada de la implementación del producto. La búsqueda de vulnerabilidades debe mostrar una alta resistencia a los ataques de penetración. Permite a un desarrollador alcanzar máxima garantía de ingeniería de seguridad positiva mediante la aplicación moderada de técnicas de ingeniería de seguridad. La confianza se apoya, en este caso, en un modelo formal y una presentación semiformal de la especificación funcional y el diseño de alto nivel. En Europa para los chips de firma electrónica utilizados en los pasaportes es obligatorio tenerlo para poder ofrecer este servicio, también para aplicaciones de pagos en línea. Requisitos Evaluados por parte del RPSC R1: La admisibilidad R2: Aspectos Legales y Comerciales R3: Servicios Ofrecidos R4: Estándares R5: Politicas y Practicas de Certificación R6: Administración del PSC Pasos: Fuente: Guía de Evaluación y de Requisitos www.rpsc.gob.gt Paso 1: Pago del Costo de la Evaluación. Paso 2: Presentar la Solicitud con la documentación y los requisitos evaluados anteriormente. Paso 3: Verificación de la admisibilidad Paso 4: Evaluación de la Autorización. Para esta evaluación el RPSC cuenta con 90 días Hábiles según ley para otorgar la autorización inscripción y registro para ser PSC. Curso Virtual: Firma Electrónica24
  • 25. Guatemala, octubre 2016 Certificado Digital Dirección de Formación y Capacitación Firma Electrónica Avanzada CURSO VIRTUAL