5. Índice
Módulo 4: Certificado Digital 5
7 Certificado Digital
7 ¿Cómo es un Certificado Digital?
11 Importancia de la seguridad de la
información
13 Documentos Exigidos por el SGSI
14 Estándares Autoridad emisora de
certificados de firma electrónica
avanzada
16 Conservación de las comunicaciones
electrónicas
18 Niveles de Seguridad
7. Instituto Nacional de Administración Pública
1
MÓDULO 4 / Certificado Digital
CERTIFICADO DIGITAL
¿Cómo es un Certificado Digital?
Un Certificado Digital con las características de Seguridad necesarias, debe
utilizar las más modernas y estables metodologías que la Criptografía
pueda ofrecer. Es por ello que internacionalmente se acepta a la
Criptografía Asimétrica como la metodología más adecuada para la
generación de un Certificado Digital.
Pues bien cuando la Autoridad de Certificación recibe y firma la Clave
Pública del Usuario utilizando su propia Clave Privada (también llamada
Clave Privada Raíz) convierte al Par de Claves en un Certificado Digital.
Clases de Certificado Digital. Estos pueden ser clasificados según qué
medios hayan sido utilizados para verificar la veracidad de los datos.
Clase 0 : Se utilizan para probar el procedimiento de Firma electrónica
simple. Son gratuitos y pueden bajarse Ejemplo en:
www.certificadodigital.com.ar
Clase 1 : Certifican que la persona que posee el Certificado es quien dice
ser, y que la dirección de correo electrónico está bajo su control.
Para cerciorarse de la identidad de la persona la Autoridad de Registro
solicita un documento que lo acredite. Firma Electrónica Avanzada.
Periodo de Validez de un Certificado Digital: de 1 a 3 años.
Estándar de Certificados X.509
• La primera versión apareció en 1988 y fue publicada como el
formato X.509v1, siendo la propuesta más antigua para una
infraestructura de clave pública (PKI) a nivel mundial. Esto junto
con su origen ISO/ITU han hecho de X.509 el PKI más ampliamente
utilizado. Más tarde fue ampliada en 1993 por la versión 2
únicamente en dos campos, identificando de forma única el emisor
y usuario del certificado. La versión 3 de X.509 amplia la
funcionalidad del estándar X.509 X.509. Campos o
Estructura.
Módulo 4: Certificado Digital 7
8. Instituto Nacional de Administración Pública
2
MÓDULO 4 / Certificado Digital
• V: Versión del certificado.
• SN: Número de serie. (para los CRL)
• AI: identificador del algoritmo de firma que sirve única y
exclusivamente para identificar el algoritmo usado para firmar el
paquete X.509.
• CA: Autoridad certificadora (nombre en formato X.500).
• TA: Periodo de validez.
• A: Propietario de la clave pública que se está firmando.
• P: Clave pública más identificador de algoritmo utilizado y más
parámetros si son necesarios.
• Y{I}:Firma digital de Y por I (con clave privada de una unidad
certificadora).
Curso Virtual: Firma Electrónica8
9. Instituto Nacional de Administración Pública
3
MÓDULO 4 / Certificado Digital
CA<<A>> = CA { V, SN, AI, CA, TA, A, AP }
Donde Y<<X>> es el certificado del usuario X expedido por Y, siendo Y la
autoridad certificadora. De esta forma se puede obtener cualquier X
certificado por cualquier Y.X.509, Versión 3
• El estándar, internacionalmente aceptado, para Certificados
Digitales, es el denominado X.509, en su versión 3.
• Contiene datos del sujeto, como su nombre, dirección, correo
electrónico, etc.
• Con la versión 3 de X.509, sucesora de la versión 2, no hace falta
aplicar restricciones sobre la estructura de las CAs gracias a la
definición de las extensiones de certificados. Se permite que una
organización pueda definir sus propias extensiones para contener
información específica dentro de su entorno de operación. Este
tipo de certificados es el que usa el protocolo de comercio
electrónico SET.
• X.509 y X.500 fueron originalmente diseñados a mediados de los
años 80, antes del enorme crecimiento de usuarios en Internet. Es
por esto por lo que se diseñaron para operar en un ambiente
donde sólo los computadores se interconectaban
intermitentemente entre ellos. Por eso en las versiones 1 y 2 de
X.509 se utilizan CRLs muy simples que no solucionan el problema
de la granularidad de tiempo.
• La versión 3 introduce cambios significativos en el estándar. El
cambio fundamental es el hacer el formato de los certificados y los
CRLs extensible. Ahora los que implementen X.509 pueden definir
el contenido de los certificados como crean conveniente. Además
se han definido extensiones estándares para proveer una
funcionalidad mejorada.
Módulo 4: Certificado Digital 9
10. Instituto Nacional de Administración Pública
4
MÓDULO 4 / Certificado Digital
Curso Virtual: Firma Electrónica10
11. Instituto Nacional de Administración Pública
5
MÓDULO 4 / Certificado Digital
Importancia de la seguridad de la Información
1. La Información es un activo invaluable
2. El objetivo principal de los Ciberpiratas son las cuentas y los datos
bancarios (Cuesta Dinero)
3. Genera desprestigio y problemas legales
4. Garantizar la continuidad del negocio y responsabilidad social
Principales tipos de amenazas
• Acceso no autorizado
• Usuarios desleales
• Espionaje industrial
• "Hackers" de computador
• Fraude
• Fuego
• Persecución y observación de empleados clave
• Robo de notebooks
SGSI – ISO/IEC 27001:2005
Historia y evolución de la norma ISO/IEC 27001
• Febrero de 1998: Primera publicación de la BS 7799-2
• Mayo de 1999: Publicación simultánea de las normas BS 7799-1 y
BS 7799-2
• Septiembre de 2002: La BS 7799-2 es publicada por BSI
• Abril de 2005: Aprobado en la reunión de Viena la serie ISO/IEC
27000
• Octubre de 2005: Publicación de la ISO/IEC 27001
En 2008 la ISO/IEC 27001 inicia el proceso de actual.
SGSI – ISO/IEC 27001:2005
Esta norma internacional, derivada de la norma británica BS 7799-1, ha
sido el fruto de un consenso entre los países miembros de la ISO
(exceptuando Canadá, Estados Unidos de Norteamérica y Japón quienes
no aceptaban inicialmente adoptar internacionalmente una norma
británica en la materia), que sirve como guía para la implementación de un
Módulo 4: Certificado Digital 11
12. Instituto Nacional de Administración Pública
6
MÓDULO 4 / Certificado Digital
Sistema de Gestión de Seguridad de la Información para Organizaciones
públicas, privadas o mixtas, con la finalidad de preservar la
confidencialidad, integridad y disponibilidad de la información importante
que estas posean y que muchas veces es invaluable (información tal que
marque la diferencia entre una organización y su competencia). Hay que
tomar en cuenta que la seguridad de la información no es solo para
Tecnologías de la Información y Comunicación - TICs, se trata de Gestión
en general, involucra Recursos Humanos, Jurídicos, seguridad física entre
otros.
Por ser norma ISO garantiza la mejora continua del SGSI.
Planificar (establecer el SGSI): Establecer la política, los objetivos,
procesos y procedimientos de seguridad pertinentes para gestionar el
riesgo y mejorar la seguridad de la información, con el fin de entregar
resultados acordes con las políticas y objetivos globales de una
organización.
Hacer (implementar y operar el SGSI): Implementar y operar la política,
controles, procesos y procedimientos del SGSI.
Verificar (hacer seguimiento y revisar el SGSI): Evaluar y, en donde sea
aplicable, medir el desempeño del proceso con respecto a la política y los
objetivos de seguridad y la experiencia práctica, reportando los resultados
a la dirección, para su revisión.
Actuar (mantener y mejorar el SGSI): Emprender acciones correctivas y
preventivas basadas en los resultados de la auditoría interna del SGSI y la
revisión por la dirección, para lograr la mejora continua del SGSI.
Dominios de control.
1. Política de Seguridad.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos.
4. Seguridad Ligada a los Recursos Humanos.
5. Seguridad Física y del Ambiente.
Curso Virtual: Firma Electrónica12
13. Instituto Nacional de Administración Pública
7
MÓDULO 4 / Certificado Digital
6. Gestión de Comunicaciones y Operaciones.
7. Control de Acceso.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información.
9. Gestión de Incidentes de Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento.
DOCUMENTOS EXIGIDOS POR EL SGSI
• Declaraciones documentadas de la Política de Seguridad de la
Información.
• Alcance del SGSI.
• Reporte de evaluación de riesgos.
• Plan de tratamiento de riesgos.
• Procedimientos documentados para asegurar la operación y el
control de los procesos en Seguridad de la Información.
• Registros exigidos por la Norma.
• Declaración de aplicabilidad.
ACTIVIDADES PLAZO
DEFINICIÓN DEL ALCANCE DEL SGSI MES 1
EVALUACIÓN DE RIESGOS EN LAS ÁREAS Y PROCESOS DEL SGSI MES 2 A 4
DIAGNÓSTICO DEL SGSI MES 1 A 2
DECLARACIÓN DE APLICABILIDAD MES 6
IMPLEMENTACIÓN DE LOS CONTROLES DEFINIDOS EN LA EVALUACIÓN Y
TRATAMIENTO DE LOS RIESGOS
MES 3 A 11
SEMINARIO SOBRE CONCIENTIZACIÓN EN SEGURIDAD DE LA
INFORMACIÓN
MES 3 A 7
CURSO SOBRE LAS NORMAS ISO/IEC 27001 Y 27002 MES 2 A 4
DOCUMENTACIÓN DEL SGSI MES 2 A 11
FORMACIÓN DE LAS PERSONAS INVOLUCRADAS EN LA
DOCUMENTACIÓN DEL SGSI.
MES 2 A 8
AUDITORÍA INTERNA DEL SGSI MES 10
IMPLEMENTACIÓN DE ACCIONES PREVENTIVAS Y CORRECTIVAS MES 10 A 11
REVISIÓN DEL SGSI POR LA DIRECCIÓN MES 11
EVALUACION DETALLADA DEL SGSI MES 11
Módulo 4: Certificado Digital 13
14. Instituto Nacional de Administración Pública
8
MÓDULO 4 / Certificado Digital
Estándares Autoridad emisora de certificados de firma electrónica
avanzada (AC= Autoridad Certificadora) y de estampado cronológico
Para ofrecer un grado de seguridad reconocido y comparable a nivel
internacional, se recomienda que los PSC, o las entidades en su nombre
delegadas para ofrecer el servicio de Autoridad Certificadora, cumplan
como mínimo en su operación con uno de los siguientes estándares:
ISO/IEC 27001, o WebTrust for Certification Authorities.
La norma ISO/IEC 27001 está diseñada para garantizar la adecuada
selección de los controles de seguridad proporcionados para proteger los
activos de información, y dar confianza a las partes interesadas.
El programa WebTrust ayuda a garantizar que los procedimientos se
siguen en actividades relacionadas con las transacciones de comercio
electrónico, infraestructura de clave pública (PKI), y la criptografía.
Además en estas empresas el hardware criptográfico es vital. Por ello, para
la raíz de la Autoridad Certificadora, y para la Autoridad de Estampado
Cronológico se recomienda el cumplimiento de uno de los dos estándares
internacionales siguientes: FIPS PUB 140-1 o FIPS PUB 140-2.
Ambos estándares especifican los requerimientos de seguridad que deben
ser satisfechos por un módulo criptográfico usado en un sistema de
seguridad que protege información en sistemas computacionales y de
telecomunicaciones. Las normas proveen 4 niveles cualitativos y
crecientes de seguridad para cumplir un amplio rango de aplicaciones
posibles en diferentes ambientes potenciales en los cuales los módulos
criptográficos se pueden usar. Y para la prestación del servicio en
Guatemala se recomienda exigir el cumplimiento como mínimo del Nivel 3
a nivel del hardware criptográfico.
Comprobación de la identidad del firmante y de sus datos certificados
(Autoridad de Registro)
Provisoriamente, para ofrecer un grado de seguridad reconocido y
comparable a nivel internacional, se recomienda que los PSC o las
entidades en su nombre delegadas para ofrecer el servicio de Autoridad
de Registro, estén certificadas en su operación como mínimo con el
estándar ISO 9001.
Dada la amplia gama de usos posibles de dicho estándar, se hace
recomendable que la Autoridad de Registro implemente de manera
complementaria y verificable (no necesariamente certificada), el apego a
la norma ISO/IEC 27001.
Curso Virtual: Firma Electrónica14
15. Instituto Nacional de Administración Pública
9
MÓDULO 4 / Certificado Digital
Esta provisionalidad permite a las empresas alcanzar un nivel de madurez
necesario para garantizar la seguridad del sistema. la certificación ISO
9001 y la certificación ISO/IEC 27001 serán las que permitan que
continúen con su autorización.
Almacenamiento de los datos de creación de firma del titular
(dispositivos Criptográficos, Token. Smart Card entre otros)
Un tercer pilar en la seguridad del sistema está constituido por el
mecanismo escogido para entregar los datos de creación de firma a un
titular. Para el dispositivo en el cual se entregarán los certificados y datos
privados de firma electrónica ofrecidos por el PSC a sus clientes, o las
entidades en su nombre delegadas para ofrecer el servicio, se recomienda
exigir la certificación de cumplimiento de uno de los dos estándares
internacionales siguientes: FIPS PUB 140-1, Nivel 2 ó 3; o su versión más
reciente: FIPS PUB 140-2: Nivel 2 ó 3.
Verificación del registro público de certificados en línea
Para cumplir con el requisito de ofrecer medios razonablemente accesibles
para determinar el estado de un certificado, se recomienda que los PSC, o
las entidades en su nombre delegadas para ofrecer información en línea
de sus servicios, tengan implementado el estándar internacional RFC 2560
X.509.
Dicho estándar define el Online Certificate Status Protocol (OCSP) que
permite implementar o usar aplicaciones que determinen el estado de un
certificado en línea, proporcionando información más oportuna que la
opción de listas de revocación, actualizadas con frecuencias típicas de 24
horas.
Servicios asociados al estampado cronológico
Para ofrecer un grado de seguridad reconocido y comparable a nivel
internacional, se recomienda que los PSC, o las entidades en su nombre
delegadas para ofrecer servicios de estampado cronológico, cumplan
como mínimo en su operación con el tener la certificación ISO/IEC 27001.
Dada la amplia gama de usos posibles de dicho estándar, se hace
recomendable que la entidad que ofrezca servicios de estampado
implemente de manera complementaria a ISO/IEC 27001, y verificable por
un auditor externo competente (no necesariamente certificada), el apego
a las normas ETSI TS 102 023, e ISO/IEC 18014; o las respectivas normas
guatemaltecas que las homologuen, respectivamente.
Módulo 4: Certificado Digital 15
16. Instituto Nacional de Administración Pública
10
MÓDULO 4 / Certificado Digital
En ETSI TS 102 023 se definen los requisitos de la política en las prácticas
de operación y de administración de las autoridades de estampado
cronológico (TSA) tales que los suscriptores y otras partes puedan tener
confianza en la operación de los servicios de estampado cronológico. En
particular, se recomienda exigir el uso del algoritmo de hash SHA-1 con
RSA y largos de llave de al menos 2048 bits con RSA.
En el segundo, ISO/IEC 18014 se describe el modelo general en el cual se
basan los servicios de estampado cronológico, define los servicios, define
los protocolos básicos, y especifica los protocolos entre las entidades
involucradas.
Conservación de las comunicaciones electrónicas
La Ley contempla la necesidad de contar con servicios de almacenamiento
de comunicaciones electrónicas, lo que posibilita a los PSC autorizados a
ofrecer dicho servicio.
Para ofrecer un grado de seguridad reconocido y comparable a nivel
internacional, se recomienda que los PSC, o las entidades en su nombre
delegadas para ofrecer dicho servicio, cumplan como mínimo con el
estándar ISO/IEC 27001, o su equivalente en norma nacional.
Como esta norma está diseñada para ser apta en diferentes tipos de uso,
debe ser complementada con el estándar TIA-942, o su equivalente en
norma nacional. En él se cubren recomendaciones sobre el espacio físico y
su distribución, el cableado, la disponibilidad, y el entorno.
Además en el estándar TIA-942 se definen cuatro niveles de disponibilidad,
o Tier, y se recomienda que el Data Center opere con nivel Tier 3, e incluso
Tier 4 cuando la información así lo requiera.
Breve descripción de las normas Solicitadas por el RPSC:
El sistema de estampado cronológico es un proceso seguro que permite
establecer el tiempo de la creación y modificación de un documento,
asociando una fecha y una hora a un documento digital de una manera
criptográficamente fuerte. “Seguro” significa que nadie, ni siquiera el
dueño del documento puede modificarlo una vez que ha sido guardado,
siempre y cuando la integridad del proveedor del servicio de estampado
cronológico no haya sido comprometida. Para lograrlo se requiere
disponer de una infraestructura confiable de estampado cronológico.
El estampado cronológico confiable es otorgado por una tercera parte de
confianza (Trusted Third Party - TTP) que actúa como una autoridad de
Curso Virtual: Firma Electrónica16
17. Instituto Nacional de Administración Pública
11
MÓDULO 4 / Certificado Digital
estampado cronológico (Timestamping Authority – TSA), y es el único
sistema, reconocido internacionalmente, que permite determinar si una
firma electrónica fue generada con anterioridad al momento de
revocación de un certificado.
El estándar define los requisitos de la política en las prácticas de operación
y de administración de las autoridades de estampado cronológico (TSA)
tales que los suscriptores y otras partes puedan tener confianza en la
operación de los servicios de estampado cronológico. Estos requisitos
están pensados para los servicios de estampado cronológico usados en las
firmas electrónicas pero se pueden aplicar a cualquier caso que requiera
probar que un dato existía antes de un instante particular en el tiempo, y
están basadas en la criptografía de clave pública, certificados de clave
pública y fuentes de tiempo confiables.
En particular, el documento trata los requisitos para una TSA que publica
sellos de tiempo que se sincronizan con la Escala de Tiempo Universal
(Coordinated Universal Time - UTC) y son firmados digitalmente por una
unidad de estampado cronológico (Time Stamping Unit – TSU[1]).
Entre los ámbitos incluidos están las políticas de la TSA respecto del
estampado cronológico, las obligaciones y responsabilidades de las partes
involucradas, las declaraciones de prácticas incluyendo temas como la
gestión del ciclo de vida de las llaves usadas, operación de una TSA, etc.,
respecto de as cuales tanto los suscriptores como las partes que confían
deberían informarse adecuadamente.
Fuente del estándar:
http://pda.etsi.org/pda/queryform.asp
FIPS PUB 140-1: Security Requirements for Cryptographic Modules,
(Mayo 2001) y FIPS PUB 140-2: Security Requirements for Cryptographic
Modules (Mayo 2002)
Ambos estándares especifican los requerimientos de seguridad que deben
ser satisfechos por un módulo criptográfico usado en un sistema de
seguridad que protege información en sistemas computacionales y de
telecomunicaciones (incluyendo sistemas de voz). Las normas proveen 4
niveles cualitativos y crecientes de seguridad para cumplir un amplio
rango de aplicaciones posibles en diferentes ambientes potenciales en los
cuales los módulos criptográficos se pueden usar.
Los requisitos de seguridad cubren áreas relacionadas con el diseño básico
y la documentación, interfaces del módulo, roles y servicios autorizados,
seguridad física, seguridad de software, seguridad del sistema operativo,
gestión de llave, algoritmos criptográficos, interferencia electromagnética,
y auto pruebas.
Módulo 4: Certificado Digital 17
18. Instituto Nacional de Administración Pública
12
MÓDULO 4 / Certificado Digital
El nivel de seguridad de un módulo criptográfico será elegido para proveer
un nivel de seguridad adecuado a los requisitos de la aplicación y al
ambiente en los cuales el módulo va a ser utilizado y a los servicios de
seguridad que el módulo se supone debe proveer.
FIPS PUB 140-1: Security Requirements for Cryptographic Modules,
(Mayo 2001) y FIPS PUB 140-2: Security Requirements for Cryptographic
Modules (Mayo 2002)
Niveles de Seguridad:
Nivel de seguridad 1. Provee el nivel más bajo de seguridad. No se
requieren mecanismos de seguridad física más allá de los requisitos del
equipo de producción estándar. El Nivel 1 permite que las funciones
criptográficas de software sean ejecutadas en un computador personal de
propósito general.
Nivel de seguridad 2. Mejora la seguridad física de un módulo
criptográfico de seguridad de Nivel 1 agregando el requisito de
recubrimientos o sellos que hagan evidente la intromisión, o el de
serraduras resistentes a ser violentadas, obligando a romperlas para
obtener acceso físico a las llaves criptográficas de texto plano y a otros
parámetros críticos de seguridad del módulo. El Nivel 2 provee
autenticación basada en roles, en el cual el módulo debe autenticar que
un operador esté autorizado para asumir un rol específico y ejecutar un
conjunto de servicios correspondientes.
Nivel de seguridad 3. Mejora la seguridad física de los anteriores. El Nivel
3 intenta prevenir que un intruso pueda obtener acceso a parámetros
críticos de seguridad mantenidos dentro del módulo. Por ejemplo, si una
cubierta o sello se retira o una puerta se abre, los parámetros críticos de
seguridad son reducidos a cero. Este nivel provee autenticación por
identidad, donde el modulo debe de identificar la identidad de un
operador y verificar que dicho operador esté autorizado para asumir cierto
rol específico y ejecutar un conjunto de servicios correspondientes.
Además los puertos de datos usados para parámetros críticos de seguridad
deben estar físicamente separados de otros puertos de datos.
Nivel de seguridad 4. Provee el grado más alto de seguridad. La mayoría de
los productos existentes no cumple este nivel por completo, pero sí
algunas características. El Nivel 4 provee un sobre de protección alrededor
del módulo criptográfico. Su propósito es detectar una penetración en el
dispositivo en cualquier dirección. El Nivel 4 también protege a un módulo
criptográfico contra el compromiso de su seguridad debido a condiciones
ambientales o fluctuaciones fuera de los rangos operativos normales del
módulo por tensión eléctrica y la temperatura.
Curso Virtual: Firma Electrónica18
19. Instituto Nacional de Administración Pública
13
MÓDULO 4 / Certificado Digital
FIPS 140-2 incorpora cambios en la aplicación de estándares y tecnología
desde el desarrollo de FIPS 140-1 así como cambios basados en
comentarios recibidos de vendedores, laboratorios, y la comunidad de
usuarios. NIST estableció un período de transición entre ambos
estándares, sin embargo, indica que todas las validaciones contra el
estándar FIPS 140-1 seguirán siendo reconocidas.
Fuente del estándar:
http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf
ISO 9001 Quality management systems – Requirements
ISO 9001 especifica requerimientos para un sistema de gestión de la
calidad donde una organización necesita demostrar su habilidad para
proveer consistentemente productos que cumplen los requisitos del
cliente y de las normativas y regulaciones aplicables, y tiene por objeto
mejorar la satisfacción del cliente a través de la aplicación efectiva del
sistema, incluidos los procesos de mejora continua del sistema y la
garantía de conformidad con el cliente y normativas legales y los requisitos
reglamentarios.
Todos los requisitos de la norma ISO 9001 son genéricos y están
destinadas a ser aplicables a todas las organizaciones,
independientemente del tipo, tamaño y producto. Cuando algún requisito
de la norma ISO 9001 no se puede aplicar debido a la naturaleza de una
organización y su producto, esto puede ser considerado para la exclusión.
Cuando se hacen exclusiones, las reclamaciones de conformidad con la
norma ISO 9001 no son aceptables a menos que estas exclusiones se
limiten a los requisitos de la cláusula 7, y tales exclusiones no afecten a la
capacidad de la organización, o la responsabilidad, para ofrecer productos
que satisfagan a sus clientes y que respondan a las normativas legales y los
requisitos reglamentarios.
Fuente del estándar:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht
m?csnumber=46486
ISO/IEC 18014-1:2002 Information technology -- Security techniques --
Time-stamping services
Es un estándar compuesto por tres partes.
Parte 1: Framework
Módulo 4: Certificado Digital 19
20. Instituto Nacional de Administración Pública
14
MÓDULO 4 / Certificado Digital
Identifica el objetivo de una autoridad de estampado cronológico,
describe el modelo general en el cual se basan los servicios de estampado
cronológico, define los servicios de estampado cronológico, define los
protocolos básicos de estampado cronológico, y especifica los protocolos
entre las entidades involucradas.
Parte 2: Mechanisms producing independent tokens
Describe los servicios de estampado cronológico produciendo tokens
independientes, un modelo general para los servicios de estampado
cronológico de este tipo y los componentes básicos usados para construir
el servicio, definiendo las estructuras de datos y los protocolos usados
para interactuar con él.
Actualmente se cubren tres mecanismos independientes: (1) estampado
cronológico usando firma digital, (2) estampado cronológico usando
códigos de autenticación de mensajes, y (3) estampado cronológico
usando archivos.
Parte 3: Mechanisms producing linked tokens
Describe el servicio de estampado cronológico produciendo tokens
ligados, es decir, tokens que están criptográficamente limitados a otros
tokens producidos por estos servicios de estampado cronológico. Describe
un modelo general para los servicios de estampado cronológico de este
tipo y los componentes básicos usados para construir el servicio, define las
estructuras de datos y los protocolos usados para Interactuar con el
servicio de estampado cronológico, así como casos específicos de tales
servicios.
Fuente del estándar:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht
m?csnumber=50678
RFC 2560 X.509 Internet PKI Online Certificate Status Protocol - OCSP.
June 1999.
En lugar de o como complemento a la comprobación de una lista
de certificados revocados (CRL), puede ser necesario obtener
información oportuna acerca del estado de revocación de un
certificado. Algunos ejemplos son la transferencia de fondos de
alto valor o de grandes existencias.
El Online Certificate Status Protocol (OCSP) permite a las
aplicaciones determinar el estado de un certificado. OCSP se puede
utilizar para satisfacer algunas de las necesidades operacionales de
proporcionar información más oportuna sobre la revocación de la
Curso Virtual: Firma Electrónica20
21. Instituto Nacional de Administración Pública
15
MÓDULO 4 / Certificado Digital
que es posible con las CRL y puede ser utilizado también para
obtener más información sobre el estado del certificado. Un cliente
OCSP emite una solicitud de estado a un OCSP servidor, y suspende
la aceptación del certificado en cuestión hasta obtener la
respuesta.
Este protocolo especifica los datos que deben intercambiarse entre
una solicitud de comprobación del estado de un certificado y el
servidor que provee el estado del certificado.
Fuente del estándar:
http://www.ietf.org/rfc/rfc2560.txt
RFC 5280 Internet X.509 Public Key Infrastructure Certificate and
Certificate Revocation List (CRL) Profile
Este estándar es parte de una familia de normas para la
Infraestructura de Clave Pública (PKI) X.509 para Internet.
Esta especificación describe los perfiles y la semántica de los
certificados y listas de certificados revocación (CRL).
Se describen los procedimientos para el procesamiento de los
caminos de certificación en Internet. Por último, como anexo se
presentan módulos en formato ASN.1 para todas las estructuras de
datos definidas o referenciadas.
Fuente del estándar:
http://www.ietf.org/rfc/rfc5280.txt
TIA-942 Telecommunications Infrastructure Standard for Data
Centers (Abril 2005)
Este estándar especifica los requerimientos mínimos para la
infraestructura de telecomunicaciones de un repositorio de datos
(data center) y para salas de computadores, incluyendo los de
empresas individuales y el hospedaje de múltiples empresas en un
mismo repositorio de datos. La topología propuesta en el
documento es aplicable a cualquier tamaño de data center.
El estándar cubre el espacio del sitio y su distribución; la
infraestructura de cableado; niveles de fiabilidad; y
consideraciones del entorno (ambiente).
Respecto de la fiabilidad, el estándar define 4 niveles:
Tier I – Básico. Ofrece 99.671% de disponibilidad, es decir, durante
un año puede quedar indisponible por 28.8 horas. Es susceptible
de sufrir interrupciones en su operación, tanto programadas como
imprevistas, y para realizar mantenciones debe ser apagado por
completo.
Módulo 4: Certificado Digital 21
22. Instituto Nacional de Administración Pública
16
MÓDULO 4 / Certificado Digital
Tier II – Componentes redundantes. Ofrece 99.741% de
disponibilidad, es decir, durante un año puede quedar indisponible
por 22.0 horas. Es menos susceptible a sufrir interrupciones del
servicio, tanto planeadas como imprevistas. Algunas mantenciones
también requieren del apagado completo del data center.
TIA-942 Telecommunications Infrastructure Standard for Data
Centers (Abril 2005)
Tier III – Mantención concurrente. Ofrece 99.982% de
disponibilidad, es decir, durante un año puede quedar indisponible
por 1.6 horas. Permite actividades planificadas sin interrumpir el
funcionamiento de las máquinas, pero situaciones imprevistas
todavía pueden afectar la operación.
Tier IV– Tolerante a fallas. Ofrece 99.995% de disponibilidad, es
decir, durante un año puede quedar indisponible por 0.4 horas. Las
actividades planificas no interrumpen las cargas críticas y el
almacenamiento de datos puede soportar al menos un evento no
planificado sin impactos críticos.
Fuente del estándar:
http://www.tiaonline.org/standards/
WebTrust for Certification Authorities.
Las principales Autoridades Certificadoras (CA) están obligadas a
someterse a una auditoría amplia denominada AICPA/CICA
WebTrust Program for Certification Authorities. Esta auditoría se
lleva a cabo por empresas auditoras públicas y profesionales que
están específicamente autorizados por el Instituto Americano de
Contadores Públicos Certificados (AICPA) y el Canadian Institute of
Chartered Accountants (CICA).
El programa WebTrust de CA ayuda a garantizar que los
procedimientos se siguen en actividades relacionadas con las
transacciones de comercio electrónico, infraestructura de clave
pública (PKI), y la criptografía. Para alcanzar confianza en las
transacciones en línea y en el comercio electrónico, la
confidencialidad, autenticación, integridad y no repudiación son de
vital importancia. Estas necesidades se satisfacen mediante el uso
de PKI y certificados SSL. Una autoridad de certificación verifica la
identidad de una organización o entidad y expide un certificado
que la organización puede utilizar para probar su identidad.
Curso Virtual: Firma Electrónica22
23. Instituto Nacional de Administración Pública
17
MÓDULO 4 / Certificado Digital
El programa WebTrust para Autoridades de Certificación ayuda a
asegurar que la CA sigue adecuadamente su declaración de
prácticas de certificación (CPS), verificando apropiadamente las
organizaciones, y protegiendo adecuadamente sus llaves de
certificado.
Fuente del estándar:
http://www.webtrust.org/
Common Criteria EAL 5+
Estándar Europeo que se utiliza con el fin de poder certificar un
producto según los Criterios Comunes se deben comprobar, por
parte de uno de los laboratorios independientes aprobados,
numerosos parámetros de seguridad que han sido consensuados y
aceptados por 22 países de todo el mundo. El proceso de
evaluación incluye la certificación de que un producto software
específico verifica los siguientes aspectos:
• Los requisitos del producto están definidos correctamente.
• Los requisitos están implementados correctamente.
• El proceso de desarrollo y documentación del producto
cumple con ciertos requisitos previamente establecidos.
• Los Criterios Comunes establecen entonces un conjunto de
requisitos para definir las funciones de seguridad de los
productos y sistemas de Tecnologías de la Información y de
los criterios para evaluar su seguridad. El proceso de
evaluación, realizado según lo prescrito en los Criterios
Comunes, garantiza que las funciones de seguridad de tales
productos y sistemas reúnen los requisitos declarados. Así,
los clientes pueden especificar la funcionalidad de
seguridad de un producto en términos de perfiles de
protección estándares y de forma independiente
seleccionar el nivel de confianza en la evaluación de un
conjunto definido desde el EAL1 al EAL7.
EAL 5+ o 5 Plus (diseño verificado y probado semiformalmente):
Permite a los desarrolladores alcanzar una alta garantía en la
aplicación de técnicas de ingeniería de seguridad para un entorno
de desarrollo riguroso y donde el objeto de evaluación es
considerado de gran valor para la protección del alto costo o
estimación de esos bienes contra riesgos significativos. Además, es
aplicable para el desarrollo de objetos de evaluación, destinados a
salvaguardar la seguridad informática en situaciones de alto riesgo
donde el valor de los bienes protegidos justifica los costos
adicionales. El análisis en este nivel se apoya en un diseño modular
Módulo 4: Certificado Digital 23
24. Instituto Nacional de Administración Pública
18
MÓDULO 4 / Certificado Digital
y en una presentación estructurada de la implementación del
producto. La búsqueda de vulnerabilidades debe mostrar una alta
resistencia a los ataques de penetración.
Permite a un desarrollador alcanzar máxima garantía de ingeniería
de seguridad positiva mediante la aplicación moderada de técnicas
de ingeniería de seguridad. La confianza se apoya, en este caso, en
un modelo formal y una presentación semiformal de la
especificación funcional y el diseño de alto nivel. En Europa para
los chips de firma electrónica utilizados en los pasaportes es
obligatorio tenerlo para poder ofrecer este servicio, también para
aplicaciones de pagos en línea.
Requisitos Evaluados por parte del RPSC
R1: La admisibilidad
R2: Aspectos Legales y Comerciales
R3: Servicios Ofrecidos
R4: Estándares
R5: Politicas y Practicas de Certificación
R6: Administración del PSC
Pasos: Fuente: Guía de Evaluación y de Requisitos www.rpsc.gob.gt
Paso 1: Pago del Costo de la Evaluación.
Paso 2: Presentar la Solicitud con la documentación y los requisitos
evaluados anteriormente.
Paso 3: Verificación de la admisibilidad
Paso 4: Evaluación de la Autorización.
Para esta evaluación el RPSC cuenta con 90 días Hábiles según ley
para otorgar la autorización inscripción y registro para ser PSC.
Curso Virtual: Firma Electrónica24