PROGRAMA DE POSTGRADO, UNED – CURSO 2001/2002 Departamento de Ingeniería Eléctrica, Electrónica y de Control E.T.S. de Ingenieros Industriales de la UNED
Curso de Experto Universitario en SEGURIDAD Y COMERCIO ELECTRÓNICO
Trabajo Final IMPLEMENTACIÓN DE UNA INFRAESTRUCTURA DE CLAVE PÚBLICA Y SUS POLÍTICAS DE CERTIFICACIÓN (Documento “cedoc44.doc”)
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
Título del Trabajo Final: Implementación de una Infraestructura de Clave Pública y sus Políticas de Certificación Unidad Temática donde se inscribe el Trabajo Final: 2 Resumen del Trabajo Final y Conclusiones: El objetivo del presente trabajo es presentar en un modo real como se construye una PKI desde su definición conceptual hasta su puesta en funcionamiento. Por tal motivo, imaginamos la situación de conformar nuestra propia Autoridad de Certificación, con su propio nombre comercial (CARP) y tratar de definir cada uno de los componentes de la PKI: Una Política de Certificación, una Autoridad Certificadora, un sistema de administración de certificados y un conjunto de aplicaciones que hacen uso de la tecnología PKI. Es decir que el planteo fue: armar un caso real definiendo todos y cada uno de los temas. Se inicia el recorrido con una Introducción y Resumen, Capítulo 1, para pasar de lleno al tema central: la definición de las Políticas de Certificación • CPS, Capítulo 2, • Obligaciones, Capítulo 3, • Identificación y Autenticación, Capítulo 4, • Requerimientos Operacionales, Capítulo 5, • Seguridad, Capítulo 6, • Controles de Seguridad Técnicos, Capítulo 7, • Respecto de los Certificados utilizados por nuestra CA, Capítulo 8, • Mantenimiento de estas CPS, Capítulo 9. Finalmente completamos el trabajo con las Referencias bibliográficas y sitios de interés, Capítulo 10 y con el Glosario, Capítulo 11. Por último y a modo de Anexos, desarrollé tres temas complementarios que apuntan a dar claridad a temas específicos como: • Autoridad Certificadora, Capítulo 12 • Modelo de Seguridad, Capítulo 13 • Estándares Tecnológicos, Capítulo 14 En estas 48 páginas principales y 12 complementarias traté de compendiar tres cosas: lo aprendido durante este valioso curso, lo investigado en la materia y lo necesario desde mi punto de vista para hacer “funcionar” con seguridad, calidad, y eficiencia una Autoridad de Certificación.
Jorge Bernardo
2 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
DATOS DEL ALUMNO
Cuenta: euce1015
Nombre: Jorge
Teléfono: 54-11-45021469
Apellidos:
Móvil:
Bernardo
54-11-49921838
Fax: 54-11-45022391
Dirección: Nueva York 3394 Código Postal y ciudad:
C1419HDB – Ciudad Autónoma de Buenos Aires - Argentina
Provincia: ¿Ha cambiado alguno de sus datos personales? (Escriba SI o deje en blanco):
SI (teléfono móvil)
Desea que su Trabajo Final sea publicado (Adobe PDF) para el resto de alumnos del curso en caso de ser evaluado de interés para el resto de los compañeros: SI X NO Correo electrónico (e-mail): jbernardo@decidir.net
Jorge Bernardo
3 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
INDICE 1.INTRODUCCIÓN.....................................................................................................9 1.1.RESUMEN.................................................................................................................9 1.1.1.EJECUTIVO.............................................................................................................9 1.1.2.CONCEPTO DE INFRAESTRUCTURA DE CLAVE PÚBLICA......................................10 2.POLÍTICA DE CERTIFICACIÓN O CPS (CERTIFICATION PRACTICE STATEMENT)............................................................................................................11 2.1.SOBRE LAS PRÁCTICAS DE CERTIFICACIÓN.........................................................11 2.2.ESTRUCTURA DE ESTE DOCUMENTO....................................................................11 2.3.LLAVES PÚBLICAS Y PRIVADAS, Y CERTIFICADOS DIGITALES............................12 2.3.1.POLÍTICA DE CERTIFICADOS ................................................................................13 2.3.2.INFRAESTRUCTURA DE CERTIFICADOS DIGITALES DE CLAVE PÚBLICA..............13 2.3.3.SERVICIOS DE INFORMACIÓN DE CARP..............................................................13 2.4.IDENTIFICACIÓN....................................................................................................14 2.5.COMUNIDAD DE USUARIOS Y APLICABILIDAD DE LOS CERTIFICADOS...............14 2.6.CONTACTOS...........................................................................................................14 3.OBLIGACIONES....................................................................................................15 3.1.OBLIGACIONES DE LA AUTORIDAD CERTIFICADORA.........................................15 3.2.OBLIGACIONES DE LAS AUTORIDADES REGISTRADORAS Y / O CERTIFICADORAS ACREDITADAS................................................................................15 3.3.OBLIGACIONES DE LOS SUSCRIPTORES................................................................16 3.4.OBLIGACIONES DE LOS USUARIOS DE CERTIFICADOS.........................................17 3.5.RESPONSABILIDADES DE CARP COMO AUTORIDAD CERTIFICADORA Y DE SUS AUTORIDADES ACREDITADAS.....................................................................................17 3.5.1.RESPONSABILIDADES ASUMIDAS .........................................................................17 3.5.2.EXCLUSIONES DE RESPONSABILIDAD...................................................................18 3.6.RESPONSABILIDADES FINANCIERAS.....................................................................18 3.6.1.INDEMNIZACIONES...............................................................................................18 3.6.2.RELACIONES COMERCIALES.................................................................................18 3.6.3.PUBLICACIÓN DE PROCEDIMIENTOS ADMINISTRATIVOS.....................................18 3.7.NORMAS RESPECTO A LA APLICABILIDAD DE ESTA CPS....................................19 3.7.1.LEGISLACIÓN APLICABLE.....................................................................................19 3.7.2.REGLAS DE INTERPRETACIÓN..............................................................................19 3.7.3.ARBITRAJE...........................................................................................................19 3.8.TARIFAS.................................................................................................................20 3.8.1.TARIFAS PARA EMISIÓN DE CERTIFICADOS .........................................................20 3.8.2.TARIFAS PARA ACCESO A INFORMACIÓN DE CERTIFICADOS................................20 3.9.PUBLICACIONES ....................................................................................................20 3.10.CONFORMIDAD CON AUDITORIAS......................................................................20 3.11.CONFIDENCIALIDAD............................................................................................20
Jorge Bernardo
4 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación 3.12.DERECHOS DE PROPIEDAD INTELECTUAL..........................................................20 4.IDENTIFICACIÓN Y AUTENTICACIÓN......................................................... 22 4.1.REGISTRO INICIAL.................................................................................................22 4.1.1.TIPOS, INTERPRETACIÓN Y UNICIDAD DE NOMBRES ............................................22 4.1.2.LLAVE PRIVADA...................................................................................................22 4.1.3.AUTENTICACIÓN DE IDENTIDADES.......................................................................22 4.2.RENOVACIÓN DE CERTIFICADOS..........................................................................22 4.3.RE-EMISIÓN DE LLAVES DESPUÉS DE UNA REVOCACIÓN....................................23 5.REQUERIMIENTOS OPERACIONALES..........................................................24 5.1.CUMPLIMIENTOS DE LAS AUTORIDADES DE REGISTRO O CERTIFICADORAS DENTRO DEL ÁRBOL JERÁRQUICO DE CARP............................................................24 5.1.1.PROCEDIMIENTO DE ACREDITACIÓN....................................................................24 5.1.2.SOLICITUD DE ACREDITACIÓN.............................................................................24 5.1.3.VALIDACIÓN, ACEPTACIÓN Y EMISIÓN DE CERTIFICADOS DE AUTORIDADES ACREDITADAS...............................................................................................................24 5.2.REQUERIMIENTOS PARA CERTIFICACIÓN OTRAS ENTIDADES.............................25 5.3.PROCESO DE SUSPENSIÓN Y REVOCACIÓN DE CERTIFICADOS............................25 5.4.SERVICIOS DE REVOCACIÓN DE CARP...............................................................25 5.4.1.CHEQUEO DE REVOCACIÓN ON-LINE (OCSP)........................................................25 5.5.EXPIRACIÓN...........................................................................................................26 5.6.AUDITORIA DE SEGURIDAD...................................................................................26 5.6.1.TIPOS DE EVENTOS REGISTRADOS........................................................................26 5.6.2.FRECUENCIA DE PROCESAMIENTO DEL LOG ........................................................27 5.6.3.NOTIFICACIÓN DE EVENTOS.................................................................................28 5.7.POLÍTICAS PARA ARCHIVO DE REGISTROS..........................................................28 5.7.1.DOCUMENTOS ARCHIVADOS................................................................................28 5.8.PLANES DE CONTINGENCIA Y RECUPERACIÓN....................................................28 5.8.1.CORRUPCIÓN DE RECURSOS COMPUTACIONALES.................................................28 5.8.2.LLAVE PRIVADA NO COMPROMETIDA Y EN RESPALDO SEGURO..........................29 5.8.3.REVOCACIÓN DE LLAVES PÚBLICAS.....................................................................29 5.9.TÉRMINO DE LAS ACTIVIDADES DE CARP COMO AUTORIDAD CERTIFICADORA ......................................................................................................................................30 6.SEGURIDAD...........................................................................................................31 6.1.POLÍTICAS Y PRÁCTICAS DE SEGURIDAD.............................................................31 6.2.CONFIDENCIALIDAD EN EL USO DE LA INFORMACIÓN........................................32 7.CONTROLES DE SEGURIDAD TÉCNICOS.................................................... 33 7.1.GENERACIÓN E INSTALACIÓN DEL PAR DE LLAVES............................................33 7.1.1.GENERACIÓN DE LLAVES DE LOS SUSCRIPTORES DE CERTIFICADOS....................33 7.1.2.GENERACIÓN DEL PAR DE LLAVES DE CARP O DE LAS AC ACREDITADAS........33 7.1.3.ENTREGA DE LLAVES PÚBLICA Y PRIVADA A SUSCRIPTOR..................................34 Jorge Bernardo
5 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación 7.1.4.ENTREGA DE LA LLAVE PUBLICA DE CARP A USUARIOS ....................................34 7.1.5.TAMAÑO DE LAS CLAVES.....................................................................................34 7.1.6.PARÁMETROS DE GENERACIÓN DE LLAVES PÚBLICAS DE CARP........................34 7.1.7.HARDWARE / SOFTWARE PARA GENERACIÓN DE LLAVES....................................34 7.1.8.PROPÓSITOS PARA EL USO DE LAS LLAVES..........................................................34 7.1.9.PROTECCIÓN DE LAS LLAVES PRIVADAS..............................................................35 7.1.10.ESTÁNDARES PARA EL MÓDULO CRIPTOGRÁFICO..............................................35 7.1.11.CONTROL MÚLTIPLE DE LA LLAVE PRIVADA ....................................................35 7.1.12.MÉTODOS PARA ACTIVACIÓN DE LA LLAVE PRIVADA DE CARP......................36 7.1.13.MÉTODOS PARA DESTRUCCIÓN DE LA CLAVE PRIVADA....................................36 7.2.OTROS ASPECTOS DE GESTIÓN DE CLAVES ..........................................................36 7.2.1.ARCHIVO DE LLAVES PÚBLICAS...........................................................................36 7.2.2.PERIODOS DE USO DE LAS LLAVES.......................................................................36 7.3.DATOS DE ACTIVACIÓN.........................................................................................36 7.3.1.GENERACIÓN Y ACTIVACIÓN DE DATOS DE ACTIVACIÓN....................................36 7.3.2.PROTECCIÓN DE DATOS DE ACTIVACIÓN.............................................................36 7.4.CONTROLES DE SEGURIDAD COMPUTACIONALES...............................................36 7.4.1.REQUERIMIENTOS TÉCNICOS ESPECÍFICOS...........................................................36 7.4.2.NIVELES DE SEGURIDAD COMPUTACIONAL..........................................................37 7.5.CONTROLES TÉCNICOS DE CICLO DE VIDA..........................................................37 7.6.CONTROLES DE SEGURIDAD DE REDES.................................................................38 8.RESPECTO DE LOS CERTIFICADOS UTILIZADOS POR CARP...............39 8.1.CARACTERÍSTICAS.................................................................................................40 8.1.1.EXTENSIONES.......................................................................................................40 8.1.2.OBJETOS IDENTIFICADORES DE ALGORITMOS......................................................43 8.1.3.NOMBRES.............................................................................................................44 8.1.4.RESTRICCIONES PARA LOS NOMBRES...................................................................44 8.1.5.OBJETO IDENTIFICADOR DE LAS POLÍTICAS DE CERTIFICADOS............................44 8.1.6.CALIFICADORES DE POLÍTICA DE CERTIFICADOS, SINTAXIS Y SEMÁNTICA..........44 8.2.COMPOSICIÓN DE LA LISTA DE REVOCACIÓN (CRL)..........................................45 8.2.1.NÚMERO DE VERSIÓN(S)......................................................................................45 8.2.2.EXTENSIONES.......................................................................................................45 9.MANTENIMIENTO DE ESTAS CPS.................................................................. 46 9.1.PROCEDIMIENTOS PARA CAMBIOS EN LAS CPS..................................................46 9.2.PUBLICACIÓN Y NOTIFICACIÓN............................................................................46 9.3.PROCEDIMIENTOS DE APROBACIÓN DE LAS CPS................................................46 10.REFERENCIAS ................................................................................................... 47 11.GLOSARIO........................................................................................................... 49 12.ANEXO I - AUTORIDAD CERTIFICADORA.................................................50 12.1.RESPECTO DE LAS RESPONSABILIDADES Y OBLIGACIONES DE AC.................50 Jorge Bernardo
6 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación 12.2.RESPECTO DE LA GENERACIÓN DEL PAR DE CLAVES ......................................50 12.3. RESPECTO DEL CERTIFICADO PROPIO DE LA AC............................................50 12.4.RESPECTO DE LA EMISIÓN DE CERTIFICADOS A CLIENTES DE AC.................51 12.5.RESPECTO DE LA EMISIÓN DE CERTIFICADOS PARA SERVIDORES .................51 12.6.RESPECTO DEL ALMACENAMIENTO DE CLAVES Y CERTIFICADOS ..................51 12.7.RESPECTO DE LA REVOCACIÓN DE CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS (CRLS) ........................................................................52 12.8.RESPECTO DE LA RENOVACIÓN DE UN CERTIFICADO A CLIENTES DE AC......52 12.9.RESPECTO DEL SERVICIO DE DIRECTORIO .....................................................52 12.10.RESPECTO DE LAS RESPONSABILIDADES DE LOS USUARIOS ..........................53 13.ANEXO II – MODELO DE SEGURIDAD.........................................................54 13.1.RESPECTO DE LOS NIVELES DE SEGURIDAD .....................................................54 13.1.1.SEGURIDAD DE LOS EQUIPOS UTILIZADOS EN LA OPERATORIA.........................54 13.1.2.SEGURIDAD EN LAS COMUNICACIONES..............................................................54 13.1.3.SEGURIDAD A NIVEL APLICATIVO.....................................................................54 13.2.RESPECTO DE LOS ALGORITMOS CRIPTOGRÁFICOS ........................................54 13.3.RESPECTO DE LOS CONTROLES DE SEGURIDAD Y AUDITORIAS .....................55 13.3.1.AUDITORIAS.......................................................................................................55 13.3.2.ACCESO A LA INFORMACIÓN..............................................................................55 13.3.3.DEFINICIÓN DE ROLES.......................................................................................55 13.3.4.CONTROL DE LAS OPERACIONES........................................................................55 13.3.5.PLAN DE CONTINGENCIA....................................................................................55 13.3.6.RESPECTO DEL PERSONAL VINCULADO CON LA OPERATORIA...........................55 14.ANEXO II – ESTÁNDARES TECNOLÓGICOS..............................................56 14.1.RESPECTO DEL MANEJO DE CLAVES..................................................................56 14.1.1.FIRMAS DIGITALES............................................................................................56 14.1.2.ALGORITMOS DE CIFRADO ................................................................................57 14.2.RESPECTO DE LOS CERTIFICADOS UTILIZADOS POR AC..................................57 14.2.1.TIPOS DE CERTIFICADOS ...................................................................................57 14.2.2.DATOS BÁSICOS ................................................................................................57 14.2.3.EXTENSIONES ....................................................................................................58 14.2.4.FORMATOS ........................................................................................................58 14.2.5.IDENTIFICACIÓN ÚNICA .....................................................................................58 14.2.6.NÚMERO DE SERIE ............................................................................................59 14.2.7.PERIODOS DE VALIDEZ .....................................................................................59 14.2.8.TITULAR.............................................................................................................59 14.2.9.EMISOR .............................................................................................................59 14.2.10.SOLICITUDES DE CERTIFICADOS .....................................................................59 14.2.11.SOLICITUD DE UN CLIENTE DE AC...................................................................59 14.2.12.SERVICIOS DE DIRECTORIO .............................................................................59 14.2.13.LISTA DE CERTIFICADOS REVOCADOS (CRL) ................................................60 14.2.14.TIPOS DE DISPOSITIVOS UTILIZADOS PARA ALMACENAR LAS CLAVES PRIVADAS DE LOS CLIENTES..........................................................................................................60 14.3.RESPECTO DE LAS COMUNICACIONES...............................................................60 14.3.1.COMUNICACIÓN SEGURA EN LÍNEA ...................................................................60 Jorge Bernardo
7 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación 14.3.2.FORMATO DE TRANSFERENCIA DE CORREO ELECTRÓNICO (EMAIL). ...............61 14.3.3.RESPECTO DE LOS NAVEGADORES.....................................................................61
Jorge Bernardo
8 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
1. Introducción El constante avance del comercio electrónico producido fundamentalmente sobre Internet, ha llevado a buscar soluciones para los problemas de seguridad que se presentan. De hecho, tales aspectos han actuado como freno de un desarrollo aún más explosivo. Las barreras geográficas han desaparecido y ya es posible realizar transacciones en línea con cualquier lugar del globo. Debemos por lo tanto dar respuesta a la pregunta: ¿Cómo es que se garantiza la identidad de los participantes de dichas transacciones?. La respuesta a esta pregunta se logra estableciendo una infraestructura de clave pública a través de la implementación de la Firma Digital.
1.1. Resumen 1.1.1.
Ejecutivo
En un principio, muchas empresas utilizaban Internet como una solución complementaria y no productiva, por ejemplo compartiendo bases de datos. Con el afán de interactuar globalmente se ha cambiado el concepto de la utilización de Internet como medio de intercambio comercial. En este momento, una gran cantidad de ellas están integradas completamente con tecnologías basadas en Internet y comercio electrónico; esta situación hace necesario que se implemente un conjunto de mecanismos que permitan realizar transacciones de manera segura. Para poder alcanzar el objetivo de transacciones seguras, es indispensable construir una infraestructura de clave pública – PKI 1 que utilice como concepto básico el de Firma Digital. El uso correcto del concepto firma digital permitirá igualar ésta con la firma ológrafa de modo tal de alcanzar el no repudio de las transacciones realizadas por canales electrónicos – sin intercambio de documentación física. El establecimiento de una empresa como Autoridad Certificadora – principal componente de una PKI - lleva aparejado la definición de una serie de estándares tecnológicos que permitan: • • •
Realizar de forma segura todas las tareas vinculadas a la administración de los certificados de los clientes. La protección de su propio certificado y claves. Establecimiento de un conjunto de mecanismos de seguridad que permitan realizar las transacciones comerciales utilizando como medio Internet.
Bajo este marco de trabajo se hace necesario que todos los participantes del proyecto conozcan las características de seguridad que 1
Public Key Infraestructure
Jorge Bernardo
9 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación deberán ser tenidas en cuenta al momento de la implementación de esta tecnología. Partimos de la premisa que todos los conceptos relacionados con las Firmas y los Certificados Digitales, son conocidos por los lectores del presente trabajo, a los efectos de no extendernos en esta problemática y enfocar de pleno el tema central que nos compete. Si tenemos la necesidad de efectuar precisiones o definiciones sobre la Infraestructura de Clave Pública y sus componentes.
1.1.2.
Concepto de Infraestructura de Clave Pública
Una Public Key Infraestructure (en inglés) - PKI - es la combinación de productos de hardware y software, políticas y procedimientos tendientes a proveer un nivel adecuado de seguridad para poder realizar transacciones electrónicas a través de redes públicas, como ser Internet. La Infraestructura de Clave Pública se basa en identificaciones digitales, también conocidas como “certificados digitales”, los cuales actúan como pasaportes electrónicos vinculando a un usuario de firma digital con su clave pública. Debido a la característica impersonal involucrada en este tipo de tecnología – sin intercambio de documentos – es que se hace necesario contar con medios que garanticen una efectiva identificación y autenticación de los usuarios participantes con el fin de poder lograr el no repudio de las operaciones realizas. Asimismo, en todo momento debe poder ser garantizada la confidencialidad e integridad de las transacciones que viajan por la red. Generalmente, una estructura de PKI consiste en: 1. Una Política de Certificación 2. Una Autoridad Certificadora 3. Un sistema de administración de certificados 4. Un conjunto de aplicaciones que hacen uso de la tecnología PKI A continuación se describe brevemente cada una de las funciones desarrolladas por los componentes de la estructura; • La política de certificación establece y define la dirección que debería seguir la organización respecto de la seguridad de su información considerando también los procesos y principios establecidos para el uso de medios criptográficos. También incluye documentos de cómo la organización deberá manejar sus claves a fin de establecer el nivel de control deseado de acuerdo a los riesgos existentes. Típicamente, todos estos aspectos son agrupados en lo que es conocido como Certification Practice Statements – CPS – Este documento es donde se detallan los procedimientos operacionales, como son el funcionamiento de la autoridad certificadora, las actividades de administración de los certificados, las características de los certificados, etc.
Jorge Bernardo
10 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación •
•
•
La autoridad certificadora es el componente clave de una estructura PKI y es la encargada de realizar la emisión y administración de los certificados durante todo el ciclo de vida de los mismos. El sistema de administración de certificados y distribución establece el tratamiento que recibirán los certificados generados, desde el procedimiento de generación hasta su revocación o re-certificación (solo si estuvo suspendido) y la manera en que serán distribuidos los certificados. El conjunto de aplicaciones PKI que hacen uso de la tecnología de clave pública, como ser comunicaciones entre un Server Web, Browsers, e-mails y VPN.
2. Política de Certificación Practice Statement)
o
CPS
(Certification
2.1. Sobre las prácticas de certificación La finalidad de este documento es detallar las políticas y prácticas de emisión y gestión de certificados digitales por parte de una Autoridad Certificadora (AC) genérica que denominaremos “CARP”. Además, se incluyen las políticas y prácticas de las Autoridades de Registro acreditadas por esta AC. Para que una AC emita un certificado, debe tener un adecuado nivel de certeza sobre la identidad del titular. Para esto, debe instituir los mecanismos y procedimientos que permitan determinar una correcta correspondencia entre el certificado y la entidad que este representa. Para garantizar lo anterior, la empresa que hemos bautizado ha decidido adoptar los estándares internacionales dictados por la Internet Engineering Task Force (IETF). Este documento tiene por finalidad detallar los procesos necesarios para que CARP emita un certificado digital y lleva por nombre el de CPS 2 de CARP y se encontrará publicado en el sitio web de CARP S.A., http://www.CARP.com.
2.2. Estructura de este documento Un proceso de certificación digital incorpora una serie de entidades que interactúan entre sí bajo el soporte dado por un software y hardware, además de un sistema y políticas robustas que le de la seguridad adecuada al certificado digital. Para conformar este sistema se requiere de una serie de componentes que procedemos a detallar a continuación: •
2
Usuarios Informados: La confiabilidad de un sistema debe estar sustentada sobre un adecuado acceso a información. Detalles de esto lo podemos encontrar en los siguientes capítulos: “Introducción”,
CPS: Certification Practice Statement
Jorge Bernardo
11 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
•
•
• •
“Formatos de certificados y listas de revocación”, “Mantenimiento de las CPS”. Ambiente de Operación Seguro: Puesto que la seguridad es crucial en los procesos de certificación, los resguardos a fin de alcanzar un óptimo nivel de seguridad son abordados en los siguientes capítulos: “Controles de seguridad físicos, de procedimientos y de personal”, “Controles de seguridad técnicos”. Responsabilidad bien definida: La claridad en los derechos y deberes es básica en un ambiente que busca dar seguridad. Un detalle de esto lo podemos encontrar en el siguiente capítulo: “Consideraciones generales”. Operaciones bien efectuadas: Las autoridades certificadoras deben informar de sus procedimientos y operaciones. Esto se detalla en el siguiente capítulo: “Requerimientos operacionales”. Autenticación correcta de identidad : Básico en este proceso es la correcta acreditación de la identidad de los suscriptores de los certificados. Esto es abordado en el siguiente capítulo: “Identificación y autenticación”.
2.3. Llaves públicas y privadas, y certificados digitales Un certificado es un contenedor donde se incluyen entre otras características nombre, id, clave pública, etc. firmado por una autoridad de Certificación, válido durante el período de tiempo indicado, que asocia una llave pública a un usuario. La firma digital consiste en una cadena que contiene el resultado de cifrar aplicando la clave privada del firmante, una versión comprimida, mediante una función hash unidireccional y libre de colisiones, del texto a firmar. El sistema funciona de la siguiente forma: • El titular del certificado posee dos llaves, una pública y una privada. • La llave privada, permite cifrar un mensaje y permanece exclusivamente en poder del titular. Siendo de exclusiva responsabilidad del usuario. • La llave pública, por otro lado, le es entregada a un tercero, con el que se quiere mantener una cierta comunicación, y que le permite descifrar los mensajes enviados por el titular. Este procedimiento garantiza lo siguiente: • Confidencialidad de Datos. • Integridad de los Datos. • No Repudio. Internacionalmente se ha impuesto el estándar internacional llamado X.509. CARP emite certificados amparándose en este estándar. Esto permite el correcto funcionamiento e interactividad con otras aplicaciones de software.
Jorge Bernardo
12 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
2.3.1.
Política de certificados
Dependiendo de cual es el tipo de certificado requerido por el usuario va a ser la política de emisión de Certificados Digitales necesaria para su emisión. Por esta razón, CARP va a generar un documento diferente por cada tipo de certificado, especificando las prácticas y políticas para su emisión
2.3.2. Infraestructura de Certificados Digitales de Clave Pública Existen cuatro entidades que interactúan en la emisión de los Certificados Digitales de CARP a saber: • Autoridades Certificadoras (AC) • Autoridades Registradoras (AR) • Operador de Autoridad Registradora (OAR) • Operador de Autoridad Certificadora (OAC) Más dos participantes adicionales: • Suscriptores • Usuarios La Autoridad Certificadora (AC) es la encargada de emitir los certificados digitales siguiendo las políticas y procedimientos publicados en la CPS. La Autoridad Registradora (AR) actúa como un guía (router) entre el Operador Autoridad Registradora, el Gateway y la AC. Comunica los certificados de usuarios finales aprobados y los requerimientos de revocación recibidos desde la OAR, la AC y el Gateway. El Operador de Autoridad Certificadora (OAC) controla todas las funciones de Administración y otorga privilegios a los módulos y operadores, crea y mantiene las políticas para la emisión de los certificados, es responsable en la creación de pares de llaves para nuevos módulos. El Operador de Autoridad Registradora (OAR) es responsable de aprobar o rechazar los requerimientos de los certificados para ser emitidos por la AC, de acuerdo a la política que el OAC le ha enviado. La Autoridad Certificadora (AC) y la Autoridad Registradora (AR) pueden ser representadas por la misma entidad. Los Suscriptores son las entidades que requieren los certificados digitales para acreditar su identidad, status o características en un ambiente seguro. Por último, los usuarios son aquellos que van a recibir los certificados digitales para comprobar la identidad, status o características de la contraparte.
2.3.3.
Servicios de información de CARP
Un certificado puede quedar invalidado en un determinado momento debido a que parte o la totalidad de la información, status o características acreditadas en el certificado digital, ya no corresponden a la realidad del
Jorge Bernardo
13 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación Suscriptor. Por esta razón, los datos acreditados en los certificados emitidos por CARP quedan a disposición de todas las partes involucradas en el proceso. Se • • • •
puede consultar el status de diferentes formas: Consulta a través de una página Web, Consulta a través de LDAP al servicio de directorio, Consulta on-line automática vía el protocolo OCSP, Consulta del CRL.
2.4. Identificación El presente documento es denominado “Prácticas de Certificación de CARP S.A.”, las que en adelante llamaremos CPS.
2.5. Comunidad de usuarios y aplicabilidad de los certificados Los Certificados Digitales emitidos por CARP S.A. permiten satisfacer, entre muchas otras, las siguientes necesidades de seguridad: • Autenticación, • Integridad, • Confidencialidad, • No Repudio. Todas las políticas y procedimientos de acreditación, emisión, suspensión o revocación de un certificado digital emitido por CARP S.A. pueden ser accedidas en la dirección URL de la empresa: http://www.CARP.com.
2.6. Contactos Para contactarnos: CARP S.A. • Domicilio: …………………………… • Localidad: .. • Ciudad: …………………………….. • Provincia / Estado: ………………. • Código Postal: ...................... • País: .................................... • Teléfono: + Código de País (código de área) número de teléfono • Fax: + Código de País (código de área) número de fax • Dirección de e-mail: certificados@CARP.net • Web: http://www.CARP.com
Jorge Bernardo
14 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
3. Obligaciones 3.1. Obligaciones de la Autoridad Certificadora CARP en su calidad de Autoridad Certificadora establece como suyas todas las obligaciones que se deriven de la presente CPS con especial énfasis en los siguientes puntos: • • • • • • •
•
Encuadrar dentro del marco establecido por esta CPS, todas las acciones tanto directas como indirectas pertinentes a la Autoridad Certificadora en cuestión. Asegurar la veracidad de la información contenida en los certificados emitidos, salvo expresa declaración en contrario establecida en el mismo documento o en la presente CPS. Notificar la emisión del certificado al suscriptor correspondiente. Mantener actualizadas durante las 24 hrs. el listado de certificados emitidos ya sean estos, revocados, suspendidos o vigentes el cual es de carácter público y de libre disponibilidad. Tomar las medidas pertinentes para salvaguardar la integridad y seguridad de las llaves privadas que la AC de acuerdo a lo establecido en el contrato de suscripción pertinente mantenga en su poder. Mantener un carácter ejecutivo en todas las solicitudes que digan relación con la posible revocación o suspensión de un certificado. Comunicar al suscriptor mediante un correo electrónico dirigido a la dirección registrada en su certificado, en un plazo no superior a 24 hrs. la revocación o suspensión de un certificado, excluyendo de esta obligación el caso en que dicha acción sea materializada por el suscriptor en cuestión. Establecer un proceso de revocación de carácter unilateral toda vez que la información contenida en un certificado pudiese presentar algún grado de inexactitud, afectando de esta forma la confiabilidad del mismo. En dicho caso se procederá de acuerdo a lo establecido en el inciso referente a los procesos de revocación de esta CPS.
3.2. Obligaciones de las Autoridades Registradoras y / o Certificadoras acreditadas Todas y cada una de las Autoridades Certificadoras y / o Autoridades Registradoras reconocidas y debidamente acreditadas por CARP S.A., se regirán de acuerdo al carácter ejecutivo y al espíritu normativo establecido en la presente CPS, la cual se entiende para todos sus efectos como normativa para las entidades anteriormente mencionadas. De esta forma se estipulan como responsabilidades propias de la Autoridad Registradora las siguientes materias: •
La correcta identificación y autenticación del suscriptor y / o solicitante así como la entidad jurídica a la que pudiese representar en el caso de
Jorge Bernardo
15 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
• •
tratarse de un certificado de representante, ejerciendo para esto su mejor esfuerzo de acuerdo a los procedimientos y normativa ajustada a derecho. Mantener la relación contractual con los distintos suscriptores en el marco de la normativa establecida en este CPS. Mantener un archivo y respaldo magnético de todos lo certificados ya sea emitidos, revocados o suspendidos, en conjunto con todos los antecedentes requeridos en la CP del tipo de certificado que corresponda. La CA los lleva en la base de datos y en el servicio de Directorio.
3.3. Obligaciones de los suscriptores • •
• • •
•
•
•
•
•
Conocer las materias establecidas en la CPS en cuestión y aceptar la normativa que de esta se deriva. Hacer correcto uso del certificado que se le entrega en concepto de depósito entendiéndose para esto como norma de reglamentación, la presente CPS y el contrato que el mismo firme con la Entidad Registradora. Custodia de la palabra clave (password) de inicio o PIN. Custodia de su llave privada asociada a su llave pública la que tiene carácter de personal e intransferible. En caso de extravío o cualquier otra circunstancia que pudiese vulnerar la confidencialidad y / o seguridad del sistema, deberá concurrir a la brevedad en forma personal a las oficinas de CARP de manera de notificar el hecho. De lo contrario bastará con el envío de un correo electrónico firmado digitalmente dirigido a certificados@CARP.net en el que se de cuenta de la situación. La administración de la llave privada es de exclusiva responsabilidad del suscriptor del certificado y por tanto deberá en este sentido extremar los cuidados tomando las precauciones razonables para evitar su pérdida, revelación, modificación o uso inadecuado. Solicitar mediante correo electrónico firmado digitalmente o en forma personal en las oficinas de CARP la revocación o suspensión del Certificado cuando se cumpla alguno de los puntos establecidos en el capítulo “Revocación y Suspensión de Certificados” de la CPS en cuestión. Responsabilizarse por la veracidad y exactitud de todos los antecedentes contenidos en el Certificado. En caso de existir cualquier error o variación en uno o más de los antecedentes incluidos en el certificado, el suscriptor deberá notificar a CARP a la brevedad, siguiendo para esto, los procedimientos descritos en el punto anterior. Destruir el Certificado, toda vez que la Autoridad Certificadora, así lo exija, según se desprende del derecho de propiedad que en todo caso conserva sobre el Certificado, cuando este extinga su plazo de validez o en su defecto sea revocado o suspendido. Otras obligaciones que se derivaren de la normativa legal vigente, del contenido de esta CPS o de las prácticas de Certificación Específicas.
Jorge Bernardo
16 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
3.4. Obligaciones de los usuarios de certificados •
• • •
•
Los usuarios de certificados emitidos por CARP, o cualquier entidad que deposite su confianza en dichos certificados, ya sea en el contexto de una transacción electrónica, transmisión de información, etc., se obligan a aceptar las siguientes condiciones: Comprobar previamente en el sitio Web de la Autoridad Certificadora acreditada correspondiente que el certificado en el que se pretende confiar no ha caducado, o ha sido revocado o suspendido. La utilización de un certificado en cualquier transacción electrónica implica que se aceptan las condiciones, restricciones y normas estipuladas en este documento. Tener en conocimiento y aceptar el propósito y alcance de un certificado emitido por alguna Autoridad Certificadora acreditada, acorde a lo estipulado en este documento, y a las políticas de certificados definidas por CARP. En el caso de que el usuario no verificare la firma a través de la lista de certificados revocados o suspendidos o por intermedio de la entidad de validación, la Autoridad Certificadora no se hará responsable por el uso y confianza que los usuarios hicieran de estos certificados.
3.5. Responsabilidades de CARP como Autoridad Certificadora y de sus Autoridades acreditadas 3.5.1.
Responsabilidades asumidas
o CARP será responsable de tomar todas las medidas adecuadas que aseguren una correcta ejecución del proceso de emisión de un certificado. Lo anterior implica que debe acreditar fielmente la identidad del suscriptor, que en el momento de emitirse el certificado este cumplía con los requisitos establecidos en estas CPS y CP pertinentes a cada tipo de certificado, y la efectiva vigencia entre la correspondencia entre la información del suscriptor y la llave pública acreditada en el certificado. o Así mismo, CARP se hace responsable de la información que emita relativa al estado de los certificados, información que CARP proporciona firmada digitalmente. o Los servicios de certificación de CARP están diseñados y construidos en forma que pueda proporcionar fácilmente todos los mecanismos de prueba suficientes para dilucidar responsabilidades en caso de cualquier conflicto o perjuicio que se derive por la utilización de los certificados digitales emitidos por ésta. o Tales mecanismos de prueba específicos a cada clase de certificado son detallados en las Políticas de Certificado pertinentes, y públicamente disponibles en http://www.carp.com. o Finalmente, CARP será responsable de los daños o perjuicios que, sólo como consecuencia de su actividad directa dolosa y Jorge Bernardo
17 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación negligencia o culpa grave, ocasione a los suscriptores o signatarios que contraten sus servicios y a los terceros interesados que adhieran a las presentes prácticas, todo ello en conformidad a la ley
3.5.2.
Exclusiones de responsabilidad
o CARP no será responsable de cualquier perjuicio que derive de una utilización negligente o no acorde con las políticas establecidas en estas CPS por parte de los suscriptores o terceras partes interesadas. o Los servicios de certificación de CARP no han sido diseñados, autorizados o destinados para su aplicación en transacciones relacionadas con actividades que requieran funcionamiento a prueba de errores, como es el caso de instalaciones nucleares, sistemas de navegación o tráfico aéreo, sistemas de comunicación o de control de armamento, sistemas de equipos médicos o de todo otro sistema digital en que un error pueda conducir a la muerte, a las lesiones de personas, o a daños ambientales. CARP no será responsable en caso de producirse daños por el uso de sus servicios de certificación en ámbitos como los indicados en esta cláusula. o CARP declara que las responsabilidades por ella asumidas en estas CPS y en los contratos o acuerdos de suscripción que a ellas se remitan serán aseguradas y reaseguradas conforme a las prácticas que habitualmente se aplican para los seguros de responsabilidad civil, y en concordancia con lo estipulado por la legislación que exista o llegare a existir. La cobertura señalada no podrá ser invocada directamente por el suscriptor o signatario titular de los certificados digitales.
3.6. Responsabilidades Financieras 3.6.1.
Indemnizaciones
Las indemnizaciones cubiertas por CARP dependen del tipo de certificado, y estarán detalladas en las Políticas de Certificado (CP) correspondientes.
3.6.2.
Relaciones comerciales
CARP declara que no es el aval o representante de los suscriptores o terceras partes que utilicen los certificados emitidos por ésta. Así mismo ni los suscriptores ni terceras partes tienen autorización para imputar a la misma cualquier obligación o responsabilidad, fuera de las estipuladas en estas CPS.
3.6.3.
Publicación de Procedimientos Administrativos
La publicación de información administrativa, como reportes financieros, etc., será acorde a las exigencias que la Ley establezca para tales efectos.
Jorge Bernardo
18 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
3.7. Normas respecto a la aplicabilidad de esta CPS 3.7.1.
Legislación aplicable
CARP declara efectuar sus actividades en conformidad con los principios generales de la legislación de nuestro país y dando cumplimiento a todas y cada una de las leyes aplicables a las actividades desarrolladas por la misma Específicamente, referente a la confidencialidad de la información, declara dar estricto cumplimiento a la Ley Nº XX.XXX 3 sobre protección de datos personales.
3.7.2.
Reglas de interpretación
Cada cláusula de estas CPS. es válida en si misma y no invalidará el resto. La cláusula inválida o incompleta podrá ser sustituida por otra equivalente y válida por acuerdo de las partes. Las normas contenidas en las secciones “Obligaciones y responsabilidades”, “Conformidad con auditorias”, e “Información confidencial” permanecerán en vigor aún después de la pérdida de vigencia de éstas CPS. Las notificaciones a CARP podrán realizarse mediante mensajes de correo electrónico firmados digitalmente, de acuerdo con las prescripciones de estas CPS, o por escrito. Las comunicaciones electrónicas serán efectivas tras la recepción por parte del emisor del correspondiente acuse de recibo firmado digitalmente, dentro de los cinco (5) días siguientes al envío. Las comunicaciones escritas deben ser enviadas por servicio certificado con acuse de recibo o equivalente, a la dirección de CARP S.A.. Estas reglas serán igualmente de aplicación a las autoridades de registro o certificadoras acreditadas, si bien las notificaciones se realizarán a las direcciones que las mismas aporten a sus suscriptores.
3.7.3.
Arbitraje
Todas y cualquier controversia que se suscite entre CARP y los suscriptores o signatarios que suscriban él (los) respectivo(s) contrato(s) de certificación o los terceros interesados o usuarios que adhieran a las CPS y reconozcan por ende la validez de sus certificados digitales, con motivo de la interpretación, aplicación, ejecución, vigencia, cumplimiento, incumplimiento o terminación de los servicios prestados por CARP y del contenido de las presentes CPS, serán resueltas por un árbitro arbitrador, sin forma de juicio y sin ulterior recurso, renunciando desde ya a todos los recursos legales, incluso el de casación en la forma. El Arbitro será nombrado por las partes de común acuerdo y, en caso de no haberlo dentro de quince días de la solicitud escrita de cualquiera de ellas, será designado por la Justicia Ordinaria, debiendo en tal caso recaer la designación en una persona que haya sido Ministro o Abogado Integrante de la Excelentísima Corte Suprema de Justicia, o bien, Profesor de las cátedras de Derecho Civil o Comercial de las Facultades de Derecho de las 3
Ley de Habeas Data del país donde opera la AC
Jorge Bernardo
19 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación Universidades Nacionales, excluidos los que hubieren prestado sus servicios a cualquier título a alguna de las partes.
3.8. Tarifas 3.8.1.
Tarifas para emisión de certificados
Las tarifas cobradas por CARP dependen del tipo de certificado, y están detalladas en las Políticas de Certificado (CP) correspondientes.
3.8.2.
Tarifas para acceso a información de certificados
El acceso a la información de certificados (vigencia, revocaciones, etc.), consistentemente con las políticas de confidencialidad establecidas en estas CPS es gratuito, y esta disponible en el sitio Web de CARP.
3.9. Publicaciones CARP publica en su sitio Web en http://www.carp.com, las prácticas de certificación por ella utilizadas (CPS, las señaladas en este documento), así como las políticas de certificado (CP) pertinentes a cada tipo de certificado emitido, las cuales están a disposición de los usuarios sin cargo alguno. En caso de modificarse dicho documento, se le notificará a los usuarios por e- mail, en la dirección por ellos establecida durante los procesos de certificación.
3.10. Conformidad con Auditorias Con el fin de dar transparencia a los usuarios e interesados en los certificados emitidos por CARP, y garantizar la calidad de los certificados y de las prácticas seguidas en el proceso de certificación, es que CARP adhiere a la certificación y realización de auditorias externas e independientes a las prácticas y operaciones de CARP. Tales auditorias serán realizadas por organismos competentes, reconocidos nacional e internacionalmente. En un compromiso de transparencia, los resultados de dichas auditorias podrán ser comunicados públicamente, por mecanismos que en su momento se determinen.
3.11. Confidencialidad CARP, adhiere y efectúa sus operaciones en conformidad con lo establecido por la Ley Nro. XX.XXX4, sobre protección de datos personales.
3.12. Derechos de propiedad intelectual CARP se reserva la propiedad intelectual y patrimonial de las prácticas de certificación o CPS, el software de administración e instalación de certificados, y el software de administración de autoridad de registración. Queda por ende prohibida toda reproducción, comunicación, distribución, archivo o transmisión de cualquier tipo y por cualquier medio, mecánico, electrónico, 4
Ley de Habeas Data del país donde opere la AC
Jorge Bernardo
20 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación fotográfico o magnético, total o parcial de las mismas sin previa y expresa autorización escrita de CARP S.A..
Jorge Bernardo
21 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
4. Identificación y Autenticación 4.1. Registro inicial 4.1.1.
Tipos, interpretación y unicidad de nombres
La información solicitada a los suscriptores será revisada, analizada y validada por CARP, con el objeto que la identidad sea correcta a fin de otorgar una correcta y unívoca identificación de las partes involucradas. De esta forma, es imprescindible que los antecedentes de los suscriptores sean fidedignos. En la Políticas de Certificados relacionadas a cada tipo de certificado específico se encuentran disponibles en la página de CARP http://www.carp.com.
4.1.2.
Llave privada
La llave privada emitida por CARP, es instalada y generada para su uso en el equipo computacional del suscriptor del certificado. El procedimiento de emisión de la llave privada a los suscriptores se encuentran descrito en las Políticas de Certificados específica a cada tipo de certificado. Estas se encuentran disponibles en http://www.carp.com.
4.1.3.
Autenticación de identidades
El mecanismo específico utilizado para autentificar las identidades de los suscriptores de certificados, depende de la clase de certificado, por lo que dicho mecanismo está expresado en las Políticas de Certificado (CP) pertinente, disponible en www.carp.com .
4.2. Renovación de Certificados A no ser que se haya especificado lo contrario en el acuerdo con el suscriptor, el proceso de renovación de certificados es idéntico al proceso inicial. CARP requiere un suscriptor para generar una nueva llave pública tal como fue descrito en Límites de Garantías para reducir el riesgo de la llave comprometida, emitiendo un nuevo certificado de CARP y de acuerdo a los términos del contrato con el suscriptor. CARP puede, entonces aceptar y emitir un certificado de acuerdo con los términos de estas CPS. Todos los tipos de certificados tendrán un período de vigencia que será indicado en el contrato y en el mismo certificado emitido. Dichos certificados caducarán automáticamente al finalizar dicho período y de pleno derecho ocasionando la invalidez del certificado, el cese permanente de su operatividad y el término de la prestación de los servicios de certificación por CARP. Cuando un certificado se encuentra en la fecha límite de su caducidad, tendrá la opción de ser renovado cuando el suscriptor requiera utilizar un certificado de las mismas característica al que se ha utilizado hasta el
Jorge Bernardo
22 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación momento. Es el suscriptor el responsable de informar a CARP si cualquiera de los datos registrados en el certificado anterior ha cambiado. En las Políticas de Certificados se encuentran establecidos los procedimientos de solicitud de renovación de certificados específicos. Estos se encuentran disponibles en www.carp.com. 4.3. Re-emisión de llaves después de una revocación Toda vez que un certificado es revocado o suspendido se comunicará el evento vía e-mail firmado digitalmente por CARP o a través del correo tradicional en un documento certificado. Un certificado digital revocado invalida automáticamente el período operativo del certificado, el cual queda en calidad de legalmente inválido. Depende si el software utilizado chequea revocación o no. Por defecto puede seguir usando las llaves. Entre otras cosas, un certificado revocado trae consigo la negación de crear o generar validamente firmas digitales. Se encuentra disponible en www.carp.com las políticas de Certificados específicos de solicitud y renovación por cada tipo de certificado.
Jorge Bernardo
23 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
5. Requerimientos Operacionales 5.1. Cumplimientos de las autoridades de registro o certificadoras dentro del árbol jerárquico de CARP 5.1.1.
Procedimiento de acreditación
CARP, para dar un mejor servicio a sus clientes, puede aprobar otras Autoridades Certificadoras y Registradoras que puedan realizar las actividades de solicitudes y acreditación de requerimientos de certificados bajo las normas establecidas por CARP en estas CPS. La aprobación de estas Autoridades queda a total juicio de CARP. Esto garantiza una uniformidad en la calidad de los servicios de certificación ofrecidos. Cada entidad que desee operar subordinada a los servicios de CARP, deberá completar una solicitud previa. La solicitud anterior deberá ser enviada mediante correo postal certificado a la dirección de CARP S.A..
5.1.2.
Solicitud de acreditación
La información entregada por el solicitante de acreditación debe considerar las “Políticas de Acreditación para Autoridades Externas”. Esta políticas se encuentran disponible en www.carp.com. CARP dentro de sus procedimientos realizará auditorias permanente a la Autoridad acreditadas con el objeto de mantener un control constante del cumplimiento de los procedimientos establecidos en sus Políticas. En las Políticas de Acreditación de CARP, disponible en www.carp.com, se encuentran los procedimientos de aprobación de las solicitudes de las autoridades acreditadas. En este capítulo se describen los requisitos operativos pertinentes a las etapas de certificación, desde el registro inicial hasta su aceptación y emisión. Además, se describe el mecanismo de revocaciones y / o suspensiones, así como los procedimientos de auditoria y registros de datos aplicables.
5.1.3. Validación, aceptación y emisión de certificados de autoridades acreditadas Una vez que una Autoridad Certificadora es acreditada por CARP mediante los procedimientos establecidos, se procederá con la emisión de los correspondientes certificados de Autoridad y / o Registro. CARP tiene la facultad y derecho de investigar, cuando estime convenientes, si la Autoridad Certificadora solicitante tiene la capacidad, consistencia y autonomía de proceder con su operación de acuerdo a los procedimientos establecidos en esta CPS. Las solicitantes deberán presentar toda la documentación relacionada con los servicios de certificación. La documentación solicitada deberá incluir manuales, procedimientos operativos y otros relacionados con los servicios de certificación.
Jorge Bernardo
24 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
5.2. Requerimientos para certificación otras entidades CARP en www.carp.com publica el detalle de las Políticas de Certificados para servidores seguros. Un suscriptor puede solicitar la revocación de un certificado emitido por CARP, o cualquiera de sus Autoridades acreditadas, en cualquier momento y por cualquier razón. El requerimiento de revocación de un certificado de CARP, debe ser comunicado a CARP y autenticado por el suscriptor proveyendo, en cualquier momento del requerimiento de revocación, la palabra clave (password) recibida al momento de la emisión del certificado.
5.3. Proceso de suspensión y revocación de certificados CARP revocará el certificado solicitado por el suscriptor de acuerdo a lo expresado en este documento, dentro de las próximas 12 horas a partir del momento que fue solicitada la revocación. Se exige al suscriptor dar aviso a CARP para la solicitud de revocación de un certificado en la ocurrencia de cualquiera de los siguientes eventos: • Sospecha del compromiso de la llave privada. • Si cualquier información contenida en el certificado ha sido modificada o se sospecha de su integridad o conlleve a un engaño. En resumen, CARP puede revocar un certificado bajo la ocurrencia de cualquiera de los siguientes eventos: • El no pago de la cuota del suscriptor. • Compromiso de la clave raíz de CARP. • Que el suscriptor viole cualquier obligación descrita en el contrato o en esta CPS.
5.4. Servicios de Revocación de CARP Los servicios de revocación provistos por CARP consisten en: • Revocación de certificados. • Actualizaciones periódicas en las Suresite Index. CARP revocará el certificado notificando al suscriptor respectivo del certificado y publicará en las listas de certificados revocados (CRL) disponibles en www.carp.com. Con la revocación, el suscriptor deberá eliminar de inmediato dicho certificado del equipo donde fue instalado para su uso. CARP y las AC acreditadas mantendrán listas de revocación o CRL con la información de los certificados revocados o suspendidos. Estas listas están en un formato compatible con el estándar X.509. En cada certificado emitido, en la extensión apropiada se incluirá la información de la ubicación de la lista de revocación para su consulta. Las listas de revocación (CRL) serán actualizadas con una frecuencia de 12 horas entre cada publicación. Se actualizarán en forma continua.
5.4.1.
Chequeo de revocación on-line (ocsp)
CARP permite a sus clientes realizar consultas “on-line” sobre el estado de sus certificados emitidos, a través del protocolo estándar de mercado OCSP (On-line Certificate Status Protocol), disponible en el sitio Web de CARP en www.carp.com. Jorge Bernardo
25 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
5.5. Expiración CARP hará un esfuerzo razonable para notificar a los suscriptores de la inminente expiración de sus certificados. Con la expiración de un certificado, CARP actualizará sus bases de datos publicando el evento de dicha expiración en www.carp.com. Con la expiración, los suscriptores deberán eliminar, de forma inmediata, los certificados expirados de sus estaciones de trabajo o servidores donde se encuentra instalado dicho certificado para su uso.
5.6. Auditoria de seguridad 5.6.1.
Tipos de eventos registrados
Con el fin de mantener un ambiente seguro y controlado, se registrará la ocurrencia de una serie de eventos; registrándose para cada uno información relativa al tipo de evento y el tiempo en que el evento ocurrió. Dependiendo del tipo de evento, se puede registrar información adicional, como la creación de archivos, envío de mensajes o notificaciones, operador que genera el evento, etc. A continuación se muestra una lista de los eventos que se registran como mínimo, sin excluir la posibilidad de registrar información o eventos adicionales: Eventos Auditados Firma de contrato
AR envía a la AC en request aprobado
Recepción solicitud de certificado por parte de la AC Aprobación o rechazo de solicitud de certificado por parte de la AC Requerimiento para recuperar e instalar certificado
Notificación certificado
Jorge Bernardo
de
aceptación
de
Observaciones Se registra una copia en papel del contrato firmado por el suscriptor. Además, se genera una copia digital la cual se envía a custodia electrónica. Cuando la AR envía los antecedentes del suscriptor a la AC, mediante un canal seguro, se registra la fecha y hora de envío, y operador que genera el envío. Se registra fecha y hora de recepción de los antecedentes desde una AR.. Se registra fecha, hora y operador que autoriza o rechaza la solicitud. Generado al instalar el certificado en el equipo del suscriptor del mismo y enviado a la AC. Se registra la fecha, hora, y Nº de solicitud correspondiente. Notificación enviada por el suscriptor a CARP, comunicando que acepta el certificado provisorio, con lo cual pasa a ser un certificado válido. Se registra fecha y hora, Nº de solicitud asociado.
26 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación Solicitud de Revocación o Suspensión
Revocación certificado
o
suspensión
de
Solicitud de renovación de vigencia de certificado suspendido Activación de certificado suspendido
Respuesta sobre estado de certificado
Generación de CRL Login y Logouts de operadores Cambios en la configuración de los servidores
Se registra fecha y hora cuando el suscriptor comunica y solicita la necesidad de revocar o suspender el certificado. Se registra la fecha y hora en que el certificado pasa a estar efectivamente revocado o suspendido. Se registra la fecha y hora en que se solicita la renovación. Se registra fecha y hora a partir de la cual el certificado retoma su validez, así como el operador que autoriza su renovación. Cuando se solicita información respecto al estado de un certificado, se registra la fecha y hora, así como la respuesta entregada. Se registra la fecha y hora en que se actualiza una lista de revocación. Se mantendrá un registro con el inicio y término de las sesiones. Se deberán registrar los cambios hechos a las configuraciones; la fecha y hora, así como el personal que autoriza y realiza los cambios.
TABLA #1 – Tipo de Eventos Registrados
5.6.2.
Frecuencia de procesamiento del log
Toda la plataforma de certificación instalada por CARP está diseñada de tal forma poder obtener en cualquier momento información relativa a sus operaciones tales como: • Detección de situaciones anómalas o no deseadas. • Intentos de intrusiones. • Mal uso de los certificados. • Otros. CARP, cuenta con una serie de herramientas de Seguridad que permiten monitorear y administrar lo siguiente: • Intentos de ataques. • Intento de extracción de información. • Accesos indebidos o no autorizados a las instalaciones. • Otros. Toda la información recopilada que reflejen los eventos ocurridos se mantendrá disponible en todo momento de tal forma facilitar cualquier proceso de auditoria e investigación. Esta información se mantiene en forma segura y fuera del alcance toda persona que no esté autorizada para su
Jorge Bernardo
27 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación revisión. El acceso a esta información sólo es permitido a través de firmas digitales autorizadas. Los procedimientos y políticas de respaldos se han establecidos de acuerdo a los siguientes: TIPO PERIODICIDAD RESGUARDO Incremental Diario Oficina de CARP Total
Semanal
Total
Mensual
Oficina de CARP
Empresa especializada en custodia con los niveles de seguridad exigidos por contrato. Información es almacenada con procedimientos criptográficos y sólo accesible con firmas digitales por personal autorizado. TABLA #2 – Procedimientos de Respaldo
5.6.3.
OBSERVACIONES Ciclo mensual de los cartridges Renovación de los cartridges cada 3 meses. Se mantendrán por un tiempo mínimo de 10 años.
Notificación de eventos
Todos los eventos que sean activados por operaciones relacionadas con los suscriptores tales como aceptación de solicitud de revocación, firma de contrato, expiración de certificados y otros, serán activados al momento de la ocurrencia notificando al suscriptor dicho evento.
5.7. Políticas para archivo de registros 5.7.1.
Documentos archivados
Toda la información recopilada en el proceso de certificación, será almacenada en un lugar seguro y de acceso restringido sólo a personal autorizado. En las Políticas de Certificados específicos se detalla el proceso de documentos archivados. Estas se encuentran publicadas en www.carp.com .
5.8. Planes de contingencia y recuperación 5.8.1.
Corrupción de recursos computacionales
En presencia de una contingencia mayor que implique la perdida parcial o total de información de las bases de datos que impacte negativamente el normal funcionamiento de las operaciones y servicio de certificación, se deberá ejecutar el siguiente procedimiento:
Jorge Bernardo
28 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación • • •
Publicar el eventual corte de servicio por el tiempo estimado. Restaurar la información o reparación de los recursos computacionales afectados. Dar inicio a la etapa de recuperación del servicio.
5.8.2. Llave privada no comprometida y en respaldo seguro CARP evaluará el compromiso de su llave privada. Si el resultado de la evaluación de riesgo de compromiso no existe, se procederá se dará inicio a la restauración del servicio a la brevedad posible utilizando los procedimientos establecidos de recuperación, sean estos de restauración de la información o reemplazo de las piezas y partes comprometidas. Como primera prioridad se reestablecen las funciones de revocación y suspensión de los certificados y la publicación de las listas de revocación (CRLs)5. A continuación se debe reestablecer la llave privada de CARP y para esto se debe notificar al personal con autoridad y responsable asignado para estas labores de recuperación. El representante legal y el Gerente del Área de Tecnologías y Seguridad. Para mantener una máxima seguridad y confiabilidad de las operaciones, la llave se mantiene en un lugar seguro al cual sólo pueden acceder las personas indicadas y asignadas placas de aluminio. Las personas responsables de esta labor deberán dirigirse al lugar de custodia para retirar las llaves y dar inicio a la recuperación de las llaves iniciando los módulos criptográficos. Estos módulos tienen la labor de recibir y revisar toda la secuencia total de las llaves para su posterior activación quedando completamente operativa. El personal responsable y asignado para esta tarea deberá digitar la clave en los módulos criptográficos recuperación de llaves. Ya verificada la llave privada raíz de CARP e procede a su activación y generación de todas las llaves correspondientes a los distintos tipos de certificados emitidos por CARP. Ante la imposibilidad de reestablecer las funcionalidades de revocación y suspensión de certificados en tiempo de 24 horas, se procederá a regenerar las llaves públicas y privadas de CARP y de los suscriptores vigentes. Todas las entidades involucradas serán notificadas indicando la necesidad de re-emitir los nuevos certificados.
5.8.3.
Revocación de llaves públicas
En el evento de compromiso de la llave privada de CARP, se deberán revocar todos los certificados emitidos vigentes y re-emitirlos con sus nuevas claves.
5
CRL: Certificate Revocation List
Jorge Bernardo
29 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
5.9. Término de las actividades de CARP como autoridad certificadora En el evento que CARP vaya a discontinuar sus operaciones como Autoridad Certificadora, procederá a notificar por escrito y con la debida antelación a todas las partes involucradas con sus servicios de certificación: suscriptores, autoridades de registro y certificadoras acreditadas. El procedimiento a seguir para el término de actividades, así como las medidas a tomar para el archivo de los registros y documentación necesarias, estará en conformidad con la ley en vigencia.
Jorge Bernardo
30 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
6. Seguridad A modo de asegurar en todo momento la seguridad de operación así como de las instalaciones y el personal que opera y administra la Autoridad de Certificación existen diversos procedimientos, políticas y controles de seguridad, que operan para todos los tipos de certificados emitidos por la AC de CARP, al mismo tiempo estos sistemas, procedimientos, políticas y controles permiten recuperar la operación normal de la AC en caso desastre.
6.1. Políticas y prácticas de seguridad CARP emplea controles de seguridad interrelacionados en Serie como se describen a continuación. Estas prácticas y procedimientos de seguridad son regularmente revisadas y modificadas como parte del curso normal de CARP para administrar sus sistemas de certificados usados para emitir, revocar, renovar y administrar los Certificados. Serie 1- Políticas y procedimientos operativos de seguridad Administración de empleados con revisión de sus antecedentes personales y comerciales, tanto antes de ser contratados como periódicamente mientras trabajan en la AC. Política de acceso a habitaciones seguras acompañados y no en solitario. Auditoria de actividades realizadas por cada empleado que ingresa a la AC. Entrenamiento de personal para implementación de políticas y procedimientos de seguridad, desde el momento de ser contratados y durante su permanencia en la AC. Serie 2 - Edificio donde se ubican las Instalaciones Vigilancia 7x24 Estación Central de control que administra la seguridad de la AC Distintivos de acceso con fotografía y plazo de vencimiento definido. Sistema de detección de intrusos con alarma Circuito cerrado de televisión en todos los accesos al edificio Serie 3 - Facilidades de AC segura Protección estructural antisísmica Sistemas de control de acceso con puertas de seguridad Sistema de detección de intrusos con alarmas Sistema de UPS verificado periódicamente Sistema de generadores de partida automática Serie 4 – Habitaciones seguras de la AC Protección estructural antisísmica Control de acceso con uso de parámetros biométricos Circuito cerrado de Televisión dentro de la sala y en los accesos Alarmas de Movimiento Serie 5 – Tecnología Criptografía basada en Hardware Existencia de Cortafuegos (Firewalls) Protocolos seguros de WEB
Jorge Bernardo
31 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación Respaldos múltiples de software y datos Back up de sistemas y claves en CARP ROOT Auditorias Tecnológicas Serie 6 – Contingencia Recuperación de respaldos en caso de caídas de sistema Operación remota desde CARP ROOT en caso de problemas de fuerza mayor
6.2. Confidencialidad en el uso de la información CARP no podrá vender o publicar información provista por un usuario de certificados, sin embargo existe cierta información como: nombre, dirección, nombre del dominio y el número de serie del certificado que se encuentra contenido en el certificado del servidor, el cual puede ser visto en el servidor o a través de una búsqueda en el Índice del sitio seguro, el que se puede acceder en línea.
Jorge Bernardo
32 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
7. Controles de Seguridad Técnicos 7.1. Generación e instalación del par de llaves 7.1.1. Generación de llaves de los suscriptores de certificados Estipulado en las Políticas de Certificado correspondientes a cada clase de certificado. Documento disponible en www.carp.com.
7.1.2. Generación del par de llaves de CARP o de las AC acreditadas Para la generación de la llave privada, se realizan los siguientes pasos: • Para generar las llaves privadas de CARP, el Administrador de Operaciones del sitio de CARP deberá notificar de una manera segura (out-the-band) a los directores de la empresa, respecto a la necesidad de generación de la llave privada, para proceder con el “acto de creación de llave privada” de CARP. • Para dar inicio a dicho acto, previamente el Administrador de Operaciones deberá preparar el software y hardware requeridos para el inicio del módulo criptográfico de generación de llaves, el cual se encargará de crear el par de llaves pública y privadas, así como todas las siguientes en la jerarquía de CARP explicada en la sección “Infraestructura de certificados digitales de clave pública”. • Para comenzar con el proceso de generación de llaves se requerirá digitar una clave de activación sólo conocida por los directores de la empresa. • Posteriormente los directores de CARP se reúnen para proceder con el inicio del módulo criptográfico de generación en una habitación herméticamente cerrada en donde se encuentra el servidor con dicho módulo criptográfico, y alguno de los directores procede a digitar la clave de activación para que el módulo de creación de llaves se inicie. Acto seguido, luego que el módulo hubiese generado el par de llaves pública y privada de CARP, éstas son mostradas en formato hexadecimal en la pantalla del servidor, para que los directores procedan a su respaldo. Esta consiste en una secuencia de 512 caracteres por cada llave. Dicho respaldo consiste en el grabado de la secuencia de caracteres mostrados en la pantalla en sendas placas de aluminio, generándose 2 placas por secuencia (es decir, por llave). Dicho grabado es realizado en forma manual. Dichas placas son guardadas en cajas metálicas con llave. • Luego de finalizado el grabado de las placas, el módulo criptográfico procede a activar dichas llaves y de manera de continuar con el proceso de inicialización de todos los servicios de firma y generación de certificados. Se mantiene una copia cifrada de las llaves privadas en los servidores de firma, para efectos de
Jorge Bernardo
33 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación recuperación posterior. Dichas llaves son cifradas con una contraseña definida en el “acto de generación de la llave”, y conocida sólo por los directores de CARP. En este capítulo se describen una serie de controles de carácter técnico que permiten mantener un ambiente de operación seguro, tanto en la generación y administración de los certificados y llaves asociadas.
7.1.3.
Entrega de llaves pública y privada a suscriptor
Estipulado en las Políticas de Certificado correspondientes a cada clase de certificado. Documento disponible en www.carp.com.
7.1.4.
Entrega de la llave publica de CARP a usuarios
Estipulado en las Políticas de Certificado correspondientes a cada clase de certificado. Documento disponible en www.carp.com.
7.1.5.
Tamaño de las claves
Las llaves para firma de certificados usados por CARP y sus AC acreditadas son de un tamaño de 2048 bits, las llaves de los suscriptores de 1024 bits.
7.1.6. Parámetros de generación de llaves públicas de CARP La llave pública de CARP es creada de manera tal que la llave resultante tenga muy pocos unos (1) en la serie de bits obtenida. Esto permite que la verificación de dicho certificado sea mucho más rápida y sin comprometer la seguridad. También los números p y q usados por el algoritmo RSA son generados de manera que el módulo de la diferencia entre ambos números sea grande, haciendo más difícil la posibilidad de un ataque exitoso para descubrir la llave privada asociada a la llave pública.
7.1.7.
Hardware / software para generación de llaves
Para la generación de las llaves de CARP, y de las AC acreditadas, se utilizan módulos criptográficos, acorde a las recomendaciones del estándar FIPS140-1. La generación de las claves de los usuarios o suscriptores es realizada por mecanismos que utilicen módulos criptográficos en conformidad con el estándar FIPS 140-1 nivel 1. El detalle está estipulado en las Políticas de Certificado correspondientes a cada clase de certificado. Documento disponible en www.carp.com.
7.1.8.
Propósitos para el uso de las llaves
Todos los certificados emitidos por CARP o por alguna de sus AC acreditadas, incluyen la extensión KeyUsage, para establecer el propósito de uso de los certificados y las llaves asociadas. Opcionalmente se puede incluir en los certificados la extensión ExtendedKeyUsage para definir restricciones adicionales.
Jorge Bernardo
34 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
7.1.9.
Protección de las llaves privadas
La llave privada de CARP se encuentra protegida internamente en los módulos criptográficos que la requieran. Además, como se utiliza un sistema de firma distribuido, no existe un único servidor que almacene la llave completa durante un proceso de firma de datos. Además, dicha llave es respaldada en sendas placas de aluminio, durante la “ceremonia de creación de llave privada” de CARP descrita anteriormente.
7.1.10.
Estándares para el módulo criptográfico
CARP y sus autoridades certificadoras acreditadas sólo utilizan en todas sus operaciones módulos criptográficos que sigan la normativa requerida por el estándar FIPS 140-1. Todos los pares de llaves de CARP y sus AC acreditadas son generadas y mantenidas en dispositivos físicos. Nunca son almacenadas – aunque sea temporalmente – en texto plano.
7.1.11.
Control múltiple de la llave privada
Las llaves privadas de CARP y sus AC acreditadas están sujetas a un control multi-personal y de multi-servidor. Cuando se genera la llave privada por primera vez, se divide en múltiples fragmentos que son distribuidos cifrados con una clave de activación, y almacenados en varios servidores distintos, o en un mismo servidor diferentes partes del mismo. Estos servidores ejercen en conjunto la funcionalidad de firma distribuida, operando en secuencia. Es decir, para proceder a firmar cualquier conjunto de datos, se le pasa el requerimiento a uno de estos servidores, los cuales van firmando consecutivamente los datos, hasta llegar al último servidor quien completa la firma. En ningún momento un servidor único mantuvo la llave privada de manera completa. Cabe señalar que el fragmento de la llave se mantiene cifrada en cada servidor, y para proceder a activarla dentro de un proceso de firma, se requiere la clave de activación. En ningún momento la llave privada es revelada ni almacenada en texto plano bajo ningún medio. Además, dicha clave de activación es mantenida y manejada sólo por personal autorizado. Por otro lado, dicha clave de activación se utiliza sólo para activar los módulos para utilizar la llave privada en un proceso de firma. Para activar los módulos que generan una nueva llave se utiliza una clave de activación distinta, la cual es sólo manejada por los directores de la compañía. Respaldo y archivo de la llave privada. La llave privada de CARP o de alguna de sus AC acreditadas, éstas se respaldan en placas de aluminio, dejadas en custodia segura, según como se detalla en la sección correspondiente. El respaldo de las llaves privadas de los suscriptores esta detallado en las Políticas de Certificado correspondientes a la clase de certificado, y lo que está disponible en www.carp.com.
Jorge Bernardo
35 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
7.1.12. Métodos para activación de la llave privada de CARP La llave privada es activada utilizando las claves de activación mantenidas por personal autorizado, según se menciona en la sección respectiva.
7.1.13.
Métodos para destrucción de la clave privada
En el eventual caso de necesidad de destrucción de la llave privada, se utilizara los comandos establecidos para tales efectos que tienen disponibles los módulos criptográficos..
7.2. Otros aspectos de gestión de claves 7.2.1.
Archivo de llaves públicas
Las llaves públicas son archivadas según el formato estándar PKCS#7.
7.2.2.
Periodos de uso de las llaves
El periodo de uso de las llaves es descrito en otra sección del presente documento.
7.3. Datos de activación 7.3.1.
Generación y activación de datos de activación
Para el caso de CARP o una de sus AC acreditadas, los módulos criptográficos que manejan las llaves privadas, tanto para su generación como eventual recuperación posterior, son activados usando claves de activación, las cuales son administradas sólo por personal autorizado. Los procedimientos aplicables para el caso de certificado de entidades finales se detallan en las Políticas de Certificado correspondiente, disponibles en www.carp.com.
7.3.2.
Protección de datos de activación
Los datos de activación requeridos para el manejo de la llave privada de los suscriptores son definidos por éstos mismos, y mantenidos pajo su exclusivo control. Asimismo, para el caso de los datos de activación de CARP o sus AC acreditadas, ésta información es mantenida sólo por personal autorizado que ocupa posiciones de confianza dentro de la compañía. Para iniciar el proceso de generación de la llave privada de CARP, se requiere una clave de activación la cual es sólo conocida por los directores de CARP. Lo mismo sucede para recuperar la llave privada desde un respaldo físico.
7.4. Controles de seguridad computacionales 7.4.1.
Requerimientos técnicos específicos
Con el objeto de mantener los resguardos adecuados de seguridad de la infraestructura, CARP ha implementado una serie de procedimientos y
Jorge Bernardo
36 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación herramientas para soportar los servicios en forma segura, confiable y de alta disponibilidad. El acceso a los sistemas ha sido cuidadosamente definido y estructurados considerando la delimitación de las responsabilidades por servicios, de tal forma no exista una atribución global, para un usuario de administración y operación de los sistemas. Para la autenticación de los administradores y operadores se utiliza herramientas criptográficas para acceder a los distintos sistemas de certificación adicionalmente a las herramientas nativas de seguridad provistas por los distintos sistemas operativos.
7.4.2.
Niveles de seguridad computacional
CARP utiliza plataformas mixtas con sistemas en Windows NT Server 4.0 y Solaris 2.6. o superiores.
7.5. Controles técnicos de ciclo de vida CARP ha definido claramente y en detalle cada uno de los procesos involucrados para la emisión de certificados, especificando la duración de cada uno de ellos y sus puntos críticos a controlar. Cada uno de estos procesos son auditados permanentemente por personal de CARP y periódicamente por instituciones externas de alto prestigio en el ámbito de la auditoria computacional. Tanto las revisiones internas como externas tienen como objetivo la verificación del cumplimiento de los estándares universales de seguridad tales como ISO / IEC 15408.
Jorge Bernardo
37 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
7.6. Controles de seguridad de redes En la siguiente figura se muestra la arquitectura de red de CARP:
CA
FIREWALL
DB
INTERNET
OAC / OAR
DB
Servicio Directorio GATEWAY
RA
DB
La arquitectura de red de CARP esta diseñada de tal forma evitar posibles intentos de intrusiones y ataques a los servicios de certificación. Cortafuegos (Firewalls): estudian y analizan todos los paquetes de entradas y salidas de la plataforma de certificación. Gateway (G): es la parte pública para registrarse en la PKI. Además, están configurados de tal forma que todos los puertos que no estén en uso están deshabilitados. Asimismo. Sólo los servicios de red requeridos están habilitados.
Jorge Bernardo
38 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
8. Respecto de los Certificados utilizados por CARP Uno de los componentes principales de una PKI es el certificado. En tal sentido, es recomendable que la longitud del par de claves de CARP sea igual o superior a 2048 bits utilizando algún algoritmo de encripción asimétrico o de clave pública, como ser RSA. CARP deberá utilizar certificados del tipo X.509 versión 3 tal como se indica en el estándar ITU - T X.509. Este estándar pertenece a un grupo de estándares definidos en ITU-T X.500 Directory Service Standards. Tipos de Certificados CARP podrá emitir distintos tipos de certificados. Estos deberán ser diferenciados por el grado de compromiso empleado en la verificación de cada uno de los datos que contienen, y por los datos contenidos. Datos Básicos Los certificados emitidos por CARP deberán poseer como mínimo los campos que se describen a continuación: Versión Número de Serie Firma (Signature) Emisor (Issuer) Validez (Validity)
Titular (Subject) Información de clave pública Titular
Extensiones Firma del Emisor
Jorge Bernardo
Número de versión del formato X.509 (Serial Number) Único número identificador del certificado generado por el emisor del mismo. ID del Algoritmo usado para firmar el Algoritmo certificado Nombre del emisor del certificado (en formato X.500) No antes de Fecha de inicio de validez (Not Before) No después Fecha de finalización de (Not After) Nombre del titular del certificado (en formato X.500) la ID del Algoritmo de firma del titular del Algoritmo Parámetros Parámetros aplicables a la clave pública Clave Clave Pública del titular Pública (Opcional) Extensiones agregadas a los certificados tal como lo indica el estándar. ID del Algoritmo usado para esta firma Algoritmo 39 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación Cifrado de resultado de la función de Hash sobre el certificado TABLA #3 – Datos Básicos de un Certificado Digital Extensiones Es recomendable que los certificados emitidos por CARP puedan incorporar aquellas extensiones (si son versión 3) que imponen restricciones en el uso de los certificados (key usage, basic constraints) y aquellas que informan sobre la política de certificación correspondiente (certificate policies, policy identifier), etc. Formatos Los certificados emitidos por CARP deberán ser entregados en formato PEM o DER para poder ser incorporados a las aplicaciones que requieran su uso. PKCS#12 para certificados de personas. Identificación única Es necesario que cada certificado sea distinguido unívocamente. Esto es que cada cliente cuente con un simple DN – Distinguished Name, compatible con el estándar X.500.
8.1. Características 8.1.1.
Extensiones
CARP y sus AC acreditadas emiten certificados los cuales contemplan un número de extensiones para mejorar la aplicabilidad, y uso de los certificados. Las extensiones se pueden clasificar en 2 tipos: • Extensiones de Restricciones: Restringen o clarifican el uso de los certificados y las correspondientes claves. Pretenden establecer los limites de uso, políticas aplicables y restricciones adicionales. • Extensiones de Información: Proporciona información adicional a los usuarios de los certificados, pero no limita en cualquier forma el uso de los certificados. Principalmente pretenden brindar información adicional respecto al contenido de los certificados o del sujeto o titular del mismo. A su vez, éstas pueden ser extensiones estándar o extensiones privadas. Las primeras corresponden a aquellas definidas en el estándar X.509, y las segundas corresponden tanto a extensiones de uso privado definidas por CARP, o a extensiones definidas por diferentes organismos y las cuales se soportan para efectos de compatibilidad. En ese sentido, se soportan un conjunto de extensiones privadas recomendadas por Microsoft, Netscape y las sugeridas por la IETF. A continuación se detallan las extensiones incluidas en el certificado raíz de CARP y sus AC acreditadas. Primero se detallan las extensiones estándar, luego las extensiones privadas. Para cada una, se muestra el número identificador asociada para la extensión (OID: Object Identifier). El Jorge Bernardo
40 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación OID es un número que permite identificar de manera única y global a través de Internet a cada extensión u objeto al que hace referencia. Además se muestra si es una extensión de carácter informativo (INF) o restrictivo (RES). Las extensiones pertinentes a las distintas clases de certificados se detallan en el documento con las Políticas de Certificado correspondiente, disponibles en www.carp.com. RES BasicConstrains
Establece que es un certificado de AC RES AuthorityKeyIdentifier Medio para identificar la llave pública de CARP
RES SubjectKeyIdentifier
RES KeyUsage
RES ExtendedKeyUsage
Jorge Bernardo
Subject Type=CA Path Length Constraint=None KeyID= 8B50 7988 00E1 6A80 FABE 673B E6AC 86E6 24A9 312A Certificate Issuer: Directory Address: C= AR O= CARP S.A. OU= CARP S.A. autoridad certificadora CN= CARP S.A. autoridad certificadora raíz Certificate Serial Number=00 8B50 7988 00E1 6A80 FABE 673B E6AC 86E6 24A9 312A
Identificador único de la llave pública de la AC, conteniendo el hash de 160bit de la llave pública Esta extensión 2.5.29.15 Certificate Signing , Off-line CRL define el Signing , CRL Signing(06) propósito para el cual deben ser usadas las claves correspondientes al certificado. El certificado debe ser utilizado sólo para firma de certificados y firma de CRL (incluido offline). Esta extensión 2.5.29.37 Code Signing(1.3.6.1.5.5.7.3.3) define una serie Server
41 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
RES CertificatePolicy INF CrlDistributionPoint
de propósitos respecto al uso del certificado, adicionalmente a las definidas en KeyUsage. Ver sección 7.1.6 En este campo 2.5.29.31 se establece la localización del CRL correspondiente para consultar sobre revocaciones. Contiene la siguiente estructura: DistribuitonPoint: Un URI para identificar el CRL
Authentication(1.3.6.1.5.5.7.3.1) Client Authentication(1.3.6.1.5.5.7.3.2) Secure Email(1.3.6.1.5.5.7.3.4)
URL=http://crl.CARP/
TABLA #4 – EXTENSIONES DE CERTIFICADO SEGÚN ESTÁNDAR X.509.V3 TIPO NOMBRE DESCRIPCIÓN OID INF AuthorityInfoAccess En esta 13.6.1.5.5 Syntax extensión se .7.1.1 establece información de acceso a servicios de información de la autoridad certificadora. En este momento, establece el acceso para consultas de revocaciones on-line. Contiene la siguiente estructura: AccessMethod: OID
Jorge Bernardo
42 de 61
VALOR Access Method: On-line Certificate Status Protocol(1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.CARP/
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación identificando el método de acceso vía OCSP AccessLocation: Ubicación del servicio de consulta. vía OCSP TABLA #5 – EXTENSIONES DE CERTIFICADO SUGERIDAS POR EL IEFT Y SU GRUPO DE TRABAJO PKIX TIPO NOMBRE INF NetscapeCAPolicies Url
INF
Netscape-base-url
INF
Netscaperevocation-url
8.1.2.
DESCRIPCIÓN URL a página Web donde encontrar información de las CPS de CARP Define un URL base para ser usado por Netscape-urlrevocation. Es una URL relativa que especifica la ubicación de un servicio de consulta por revocaciones de certificados. Tiene el valor ‘asp/checkrev.asp?’
OID
CRITICA http://www.carp.com/C PS/
2.16.840.1.1137 http://www.carp.com/ 30.1.2
2.16.840.1.1137 asp/check_rev.asp? 30.1.3
Objetos identificadores de algoritmos
Bajo la arquitectura definida por estas CPS, todos los certificados emitidos utilizan los siguientes algoritmos y sus correspondientes identificadores (OIDs): NOMBRE SHA-1 RSA RSAWithSHA-1.
Jorge Bernardo
DESCRIPCIÓN Algoritmo de generación de hash Algoritmo de cifrado de datos Algoritmo para firma de certificados. Se usa algoritmo Sha-1 como función hash,
43 de 61
OID 1 3 14 2 26 5 1 3 14 3 2 1 1 1 3 14 3 2 15
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación y algoritmo RSA para generar la firma TABLA #6 – OBJETOS IDENTIFICADORES DE ALGORITMOS
8.1.3.
Nombres
Ver sección correspondiente.
8.1.4.
Restricciones para los nombres
Ver sección correspondiente.
8.1.5.
Objeto identificador de las políticas de certificados
Cada tipo de certificado tiene asociada una “política de certificado”, que son las normas que rigen la utilización y aplicabilidad de ese certificado en particular, y las cuales pueden ser consultadas públicamente en www.carp.com. Las CPS detallan como la AC implementa y soporta las políticas definidas. Estas políticas se denotan por referencia en todos los certificados emitidos. Para ello, se utiliza la extensión estándar CertificatePolicy, la cual tiene el OID de 2.5.29.32. Además, se utilizan calificadores, que son información adicional asociado a cada política. Se utilizan calificadores para denotar por referencias estas propias CPS, así como para hacer mención a una notificación al usuario. CARP tiene el identificador (OID) N.N.N.N.N.N.NNNN el cual está registrado en la Internet Assigned Number Authority (IANA). Este identificador la identifica únicamente a CARP en un contexto global. Para cada tipo de certificado emitido, existe una política de certificado asociada. La lista de OIDs asociados a cada política es la mostrada en la siguiente página. Los documentos asociados a cada política se encuentran disponibles en www.carp.com.
8.1.6. Calificadores de política de certificados, sintaxis y semántica Para el caso del certificado raíz de CARP, se representa la siguiente información: • PolicyIdentifier: identificador de la política de certificados correspondiente al tipo de certificado asociado. Esta corresponde a las CPS de CARP. • PolicyQualifiers: Calificadores de la política. CARP utiliza los siguientes calificadores: • CPS Pointer: indica la ubicación de las Prácticas de Certificación (CPS) para ser consultada por los usuarios. Es un URL a un documento con las CPS, y es el siguiente www.carp.com/CPS.
Jorge Bernardo
44 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación •
UserNotice: Indica ubicación de información textual para ser presentada a los usuarios de certificados. El texto explícito se describe en las políticas de certificado correspondiente.
8.2. Composición de la lista de revocación (CRL) 8.2.1.
Número de versión(s)
Las listas de revocación manejadas por CARP y sus AC acreditadas es la versión 2 según el estándar X.509.
8.2.2.
Extensiones
CARP y sus AC acreditadas usan las siguientes extensiones: Nombre AuthorityKeyIdentifier CRLNumber
Descripción Identificador de la clave autoridad certificadora Número del CRL emitido
de
la
TABLA #7 – EXTENSIONES SOPORTADAS PARA LA LISTA DE REVOCACIÓN
Jorge Bernardo
45 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
9. Mantenimiento de estas CPS 9.1. Procedimientos para cambios en las CPS Todos y cada uno de los procesos, prácticas y políticas contenidas en este documento han sido preparadas por profesionales expertos en la tecnología de certificación digital.
9.2. Publicación y notificación En caso de existir un cambio en las políticas de certificación de CARP, estas serán publicadas en el sitio WEB de CARP, cuya URL es http://www.carp.com
9.3. Procedimientos de aprobación de las CPS Estas CPS y las subsecuentes versiones futuras de éste documento están sujetas a la aprobación del directorio de CARP.
Jorge Bernardo
46 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
10. Referencias En la redacción del presente documento se han tenido en cuenta los siguientes documentos: •
Legislación Argentina: • Se consideró como marco normativo lo enunciado por el Decreto N° 427/98 del PEN, el cual regula los aspectos adoptados en el uso de una infraestructura de claves públicas por parte de la Administración Pública Nacional. • Ley de Firma Digital Argentina: http://www.baltimoredecidir.com/menu/homepage.asp?opcion=noticias • PKI de Argentina: http://www.pki.gov.ar/
•
Legislación Internacional: Australia:
Government Public Key Infrastructure
Bélgica:
Service public fédéral Technologie de l'Information et de la Communication (FEDICT) Centre d'Information sur la Signature Electronique
Canadá:
GOC Public Key Infrastructure
EEUU:
Federal Public Key Infrastructure Steering Committee NIST PKI Program Department Of Defense PKI
España:
Fábrica Nacional de Moneda y Timbre - Proyecto CERES
Francia:
Le site du programme d'action gouvernemental pour la société de l'information Agence pour les Technologies de l'Information et de la Communication dans l'Administration
Hong Kong:
Digital Certificate and Public Key Infrastructure
Italia:
Autorità per l'informatica nella Pubblica Amministrazione
Nueva Zelanda:
Secure Electronic Environment PKI
Reino Unido:
HMG public key infrastructure (PKI) Government Gateway
Singapur:
Jorge Bernardo
Controller of Certification Authorities
47 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación Panamá: Brasil:
Proyecto Firma Digital y Comercio Electrónico (SENACYT)
ICP-Brasil - Infra-estrutura de Chaves Públicas Brasileira
•
PKI International Scan – April 2002, emitido por el Gobierno de Canadá: http://www.cio-dpi.gc.ca/pki-icp/pki-in-practice/efforts/2002-04/scananalyse06_e.asp
•
The PKI Page: http://www.pki-page.org/
•
The World Wide Web Consortium: http://www.w3.org/
•
E.C. Glossary: http://www.neotericsolutions.com/resources.glossary.html
•
E. Commerce Guide: http://search.internet.com/ecommerce.internet.com
•
Baltimore-Decidir: http://www.baltimore-decidir.com/
Jorge Bernardo
48 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
11. Glosario •
AC: Autoridad Certificadora
•
AR: Autoridad Registradora
•
CARP: Nombre de nuestra AC
•
Cartridge: Cinta para resguardo
•
CPS: Certification Practice Statement
•
CRL: Certificate Revocation List
•
Hash: digesto, resumen
•
IANA: Internet Assigned Number Authority
•
IEFT: Internet Engineering Task Force
•
LDAP: Light Directory Access Protocol
•
Ley de Habeas Data: Ley de Protección de Datos Personales
•
OAC: Operador de Autoridad Certificadora
•
OAR: Operador de Autoridad Registradora
•
OCSP: Online Certificate Status Protocol
•
OID: Object Identifier
•
Password: Palabra Clave
•
PKI: Public Key Infraestructure, Infraestructura de Clave Pública
•
RSA: Algoritmo de Cifrado de Datos
•
RSAWithSHA-1: Algoritmo para firma de certificados. Se usa algoritmo Sha-1 como función hash, y algoritmo RSA para generar la firma
•
SHA-1: Algoritmo de generación de hash
•
X509: Estándar de Certificados Digitales
Jorge Bernardo
49 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
12. Anexo I - Autoridad Certificadora Como se dijo anteriormente, una Autoridad Certificadora es aquella entidad encargada de emitir los certificados para los clientes a fin de que estos puedan operar dentro de una Infraestructura de Claves Pública - PKI. En tal sentido, y a modo de recomendaciones, en la presente sección del documento se enunciarán aquellos aspectos que debería tener en cuenta AC si actuara como Autoridad Certificadora.
12.1. Respecto de las Responsabilidades y Obligaciones de AC Será responsabilidad de la AC mantener el grado más alto de seguridad en los procedimientos de accesos y acreditación de certificados, ya que de encontrarse comprometida su clave privada, se vería afectada toda la infraestructura de clave pública. Deberá cumplir con todas las obligaciones en lo que respecta a la verificación de los datos de los certificados que emite, la revocación de los mismos y demás situaciones que tengan lugar en el ciclo de vida de un certificado.
12.2. Respecto de la Generación del par de claves Las etapas de generación del par de claves, almacenamiento de la clave privada cifrada y generación del pedido de certificado deberán ser llevadas a cabo por el titular de dicho par de claves. Dicho par de claves deberá corresponder a un algoritmo aceptable dentro de las actuales especificaciones técnicas, y deberá ser de una longitud adecuada para el tipo de certificado que se solicite. La AC podrá rechazar la solicitud de un certificado si considera que el par de claves no ha sido generado utilizando un mecanismo seguro, o si no cumple con algunos de los requisitos indicados en los manuales de procedimientos o en la política de certificación correspondiente.
12.3. Respecto del Certificado propio de la AC AC posee un par de claves y un certificado auto - firmado. Dicho certificado deberá ser público y encontrarse accesible en todo momento. La clave privada de AC será entregada al responsable o responsables de cumplir con la función de Oficial Certificador y sólo deberá ser empleada para firmar los certificados emitidos y actualizar las Listas de Certificados Revocados. Los responsables de la clave privada serán los encargados de proteger la misma de accesos no autorizados utilizando los medios sugeridos en el presente documento.
Jorge Bernardo
50 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
12.4. Respecto de la Emisión de Certificados a clientes de AC AC deberá redactar un manual de procedimientos detallando los pasos que deben ser seguidos para la emisión de un certificado y las responsabilidades, derechos y demás aspectos relativos a la emisión de estos. En dicho documento se contemplan aspectos como los siguientes: • Procedimiento y política de certificación para cada uno de los tipos de certificados que emita. • Características del certificado a emitir, es decir, los atributos a ser incluidos, periodo de validez, longitud mínima de la clave a ser utilizada, algoritmos permitidos, etc. • Procedimiento de verificación de identidad del titular y de los atributos incluidos en el certificado. • Mecanismos de solicitud de certificados. • Procedimiento para la revocación del certificado, así como personas legalmente autorizadas a solicitar dicha revocación, etc. • Procedimientos de renovación de certificados. • Mecanismo de consulta de las Listas de Certificados Revocados emitidas y Directorio de Certificados y frecuencia de actualización de las mismas, etc. Una vez aprobada la solicitud de certificados, AC deberá generar un certificado, informarle al cliente y publicarlo en un repositorio de certificados emitidos.
12.5. Respecto Servidores
de
la
emisión
de
Certificados
para
AC podrá emitir certificados para servidores que se encuentren dentro de su ámbito de aplicación. Deberá nombrarse un responsable de la clave privada correspondiente al certificado emitido al servidor correspondiente.
12.6. Respecto certificados
del
Almacenamiento
de
claves
y
La clave privada de AC deberá ser almacenada en algún tipo de dispositivo que garantice su confidencialidad, integridad y disponibilidad. Es de suma importancia emplear todos los medios necesarios para asegurar que dichas claves no se vean comprometidas en ningún momento y circunstancia. Asimismo, los certificados de AC que sean utilizados para la verificación de una firma deberán mantener el esquema similar señalado anteriormente. También deberá prevenirse toda posibilidad de sustituir el certificado de AC por un certificado falso. AC será responsable de "Mantener el control de su propia CLAVE PRIVADA e impedir su divulgación" según lo detallado en la legislación en vigencia. Debe tenerse en cuenta que si la clave comprometida es la de AC, entonces todos los certificados emitidos por éste se verán comprometidos. Es natural, entonces, que deberán emplearse mayores y mejores recursos para mantener segura la clave privada de AC. Jorge Bernardo
51 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación La clave privada de AC y la de los clientes deberán encontrarse siempre cifradas por un mecanismo criptográfico simétrico que las proteja. Dependiendo del formato de almacenamiento de la clave privada, en caso de ser necesaria su extracción del dispositivo, es necesario que el formato utilizado corresponda a alguno de los estándares enunciados. Sin embargo, es recomendable utilizar dispositivos que no requieran su extracción y que realicen las operaciones criptográficas dentro de los mismos. AC deberá garantizar un almacenamiento confiable de toda la información relativa a los certificados emitidos y de la información que garantiza que se han seguido los procedimientos de autenticación para la emisión de cada uno de los certificados. En tal sentido deberá existir un plan de contingencias y de seguridad que contemple los pasos a seguir para evitar la pérdida de dicha información.
12.7. Respecto de la Revocación de Certificados y Listas de Certificados Revocados (CRLs) AC deberá proveer los medios técnicos necesarios para permitir que los responsables de los certificados completen una solicitud de revocación. Asimismo, deberá garantizar la verificación de la identidad del solicitante del requerimiento de revocación para impedir que se produzcan fraudes. Los plazos que median entre la recepción de una solicitud de revocación y su efectivización deberán ser lo más breves posibles, debiendo estos, encontrarse expresados en función del tipo de certificado que se trate. Los pedidos de revocación que estén firmados digitalmente con la clave privada correspondiente al certificado a revocar deben ser aceptados de inmediato. La revocación de un certificado deberá ser seguida de la emisión de una nueva Lista de Certificados Revocados que incluya el número del certificado revocado. Deberá quedar expresamente indicado, la periodicidad con que deben actualizarse las CRLs. AC deberá mantener una copia de cada una de las CRLs emitidas, así como también de los certificados emitidos.
12.8. Respecto de la renovación de un Certificado a clientes de AC AC deberá proveer los medios técnicos necesarios para permitir que los responsables de los certificados completen una solicitud de renovación de certificados. No se deberán renovar certificados en forma automática a su vencimiento.
12.9. Respecto del Servicio de Directorio AC deberá ofrecer un servicio de directorio que permita el acceso a la lista de certificados emitidos y a la lista de certificados revocados. Junto al Servicio de Directorio se deberá ofrecer como servicio de consulta en línea del estado de los certificados.
Jorge Bernardo
52 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación La integridad del Directorio de Certificados y la Lista de Certificados Revocados deberá estar permanentemente protegida a fin de garantizar la disponibilidad de este servicio y la calidad de los datos suministrados por éste. AC deberá garantizar el acceso permanente a los mismos, proponiendo una solución alternativa frente a una eventual contingencia, en tal sentido, deberá contar con un plan de emergencia que permita la continuidad de los servicios el cual deberá encontrarse debidamente probado y aprobado.
12.10. Respecto de las responsabilidades de los Usuarios El procedimiento y los mecanismos empleados para que un usuario opere con su clave privada, ya sean para firmar o para autenticarse, son elementos fundamentales para la seguridad del esquema de Firma Digital. El usuario será responsable por todas las operaciones realizadas con su clave, no debiendo compartir la misma. Asimismo, será responsable de solicitar la revocación de su certificado si tomara conocimiento o sospechara que su clave privada o clave secreta de acceso ha sido comprometida.
Jorge Bernardo
53 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
13. Anexo II – Modelo de Seguridad La presente sección del documento enuncia los distintos aspectos vinculados al modelo de seguridad que deberían ser tenidos en cuenta al momento de implementar dicha tecnología.
13.1. Respecto de los Niveles de Seguridad El esquema de seguridad a aplicar dentro de la infraestructura de clave pública de AC deberá abarcar distintos niveles o capas. Ellos son:
13.1.1.
Seguridad de los equipos utilizados en la operatoria
Las computadoras o servidores involucrados en el procesamiento, autenticación, verificación y emisión de los certificados deberán cumplir con las especificaciones del "Libro Rojo" (Red Book) del Centro Nacional de Seguridad de Computación de los Estados Unidos (US National Computer Security Center), clase C2. Los equipos de computación empleados en el procesamiento, autenticación, verificación y emisión de los certificados deberán encontrarse físicamente protegidos del acceso por parte del personal no autorizado. Los medios aplicados para restringir dichos accesos, lógicos o físicos, podrán ser complementados por otros mecanismos de seguridad que garanticen un nivel apropiado de seguridad acordes a las características de la información con la que se esté tratando.
13.1.2.
Seguridad en las comunicaciones
Las redes de comunicación empleadas para el procesamiento, autenticación, verificación y emisión de los certificados deben ser protegidas de accesos externos por medio de controles físicos y lógicos apropiados, permitiendo solamente la prestación de aquellos servicios relativos a las tareas de AC. Este aspecto contempla la implementación de servidores proxys, firewalls, etc. Asimismo, deberá contarse con una política de seguridad tendiente a proteger dicho equipamiento de accesos no autorizados.
13.1.3.
Seguridad a nivel Aplicativo
En este nivel es donde deberán considerarse todos aquellos aspectos relacionados a garantizar confidencialidad, integridad y autenticidad de la información que es enviada o recibida. También deberán contemplarse controles que permitan realizar el seguimiento de las operaciones realizadas.
13.2. Respecto de los Algoritmos criptográficos Un aspecto de primordial importancia relacionado con la tecnología de firma digital y la seguridad es la selección de los algoritmos criptográficos empleados, tanto aquellos utilizados para firmar un documento como para Jorge Bernardo
54 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación mantener protegida la clave privada. En tal sentido, AC deberá definir un conjunto de estándares referidos a los métodos de encripción adoptados.
13.3. Respecto de los Controles de Seguridad y Auditorias 13.3.1.
Auditorias
Todos los procedimientos generados por AC deberán estar sujetos a auditorias periódicas tal como lo indican las leyes correspondientes. Las recomendaciones surgidas de las auditorias sobre problemas vinculados a temas de seguridad u operatoria deberán ser atendidos en el menor plazo posible y con relación a la complejidad del problema detectado.
13.3.2.
Acceso a la información
AC deberá implementar controles apropiados que restrinjan el acceso a los programas y datos utilizados para proveer el servicio de certificación solamente a aquellas personas debidamente autorizadas.
13.3.3.
Definición de Roles
AC deberá implementar controles apropiados que permitan asegurar una adecuada segregación de funciones según las necesidades de saber o conocer.
13.3.4.
Control de las operaciones
Todas las actividades que tengan ingerencia sobre el servicio de certificación deberán ser almacenadas en un log de seguridad. Asimismo toda otra información – archivos de papel – vinculada con esta operatoria deberá ser almacenada y protegida físicamente.
13.3.5.
Plan de contingencia
AC deberá implementar un plan de recuperación ante desastres. Este deberá garantizar el mantenimiento mínimo de la operatoria y restablecer sus operaciones en un plazo considerable de tiempo.
13.3.6.
Respecto del Personal vinculado con la operatoria
AC deberá ofrecer un alto grado de seguridad con relación al personal empleado para operar todos los aspectos vinculados al tema de certificados, a los responsables de operar la clave privada y a los procedimientos utilizados para la autenticación de los datos a ser incluidos en los certificados.
Jorge Bernardo
55 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
14. Anexo II – Estándares Tecnológicos En la presente sección del documento se enunciarán una serie de recomendaciones respecto de los estándares tecnológicos que deberán seguir los productos, instalaciones y protocolos que utilice AC. Las presentes especificaciones se basan en estándares tales como ITU-T X.509 y en los documentos de trabajo sobre PKIX del Internet Engineering Task Force (IETF). Con respecto a las características criptográficas utilizadas en esta tecnología y debido a la gran cantidad de algoritmos disponibles, es necesario seleccionar estándares que garanticen la interoperabilidad con otros tipos de tecnologías. Los algoritmos y protocolos sobre los cuales se requiere establecer un estándar son: • Manejo de claves • Firmas Digitales • Algoritmos de cifrado • Certificados La seguridad aportada a los clientes de AC está vinculada con la elección de algoritmos robustos y con la longitud de sus claves. Por lo tanto, los siguientes aspectos fueron tenidos en cuenta para la selección de los algoritmos a utilizar por AC: • Aceptabilidad internacional del Algoritmo • Disponibilidad de aplicaciones o bibliotecas que faciliten su uso • Reconocimiento internacional de su aceptación en medios especializados
14.1. Respecto del manejo de claves La generación del par de claves mediante alguno de los algoritmos autorizados es una etapa crucial en el mecanismo de obtención de un certificado. El producto utilizado para esta tarea deberá ser altamente confiable, no sólo por su origen (es decir, el proveedor de dicho software) sino también por su capacidad técnica. Un usuario no debe confiar en cualquier software para generar su par de claves, y menos aún utilizar intencionalmente un par de claves ya generado por otro usuario. En todo momento la clave privada del par de claves deberá ser protegida pudiéndose lograr esto mediante la utilización de medios físicos que prevengan de un acceso indebido y cifrando su contenido por medio de un algoritmo simétrico. El par de claves generado deberá pertenecer a alguno de los algoritmos que se enuncian en el punto siguiente.
14.1.1.
Firmas Digitales
El conjunto de algoritmos - hash - preferidos para firma digital podrá ser md5WithRSAEncryption con una longitud de clave igual a superior a 1024 bits o sha1WithDSAEncryption con la misma longitud de clave. Jorge Bernardo
56 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
14.1.2.
Algoritmos de Cifrado
Es necesario en todo momento mantener cifrada mediante un algoritmo simétrico o de clave secreta la clave privada del AC y la del titular. Para realizar esta tarea se deberá utilizar algoritmos tales como DES 6, Triple DES. Otro algoritmo aceptado para este fin es IDEA con bloques de 128 bits. Se podrán incorporar otros algoritmos al presente estándar siempre y cuando cumplan con las premisas enunciadas en este documento.
14.2. Respecto de los Certificados utilizados por AC Uno de los componentes principales de una PKI es el certificado. En tal sentido, es recomendable que la longitud del par de claves de AC sea igual o superior a 1024 bits utilizando algún algoritmo de encripción asimétrico o de clave pública, como ser RSA. AC deberá utilizar certificados del tipo X.509 ver. 3 tal como se indica en el estándar ITU - T X.509 Este estándar pertenece a un grupo de estándares definidos en ITU-T X.500 Directory Service Standards.
14.2.1.
Tipos de Certificados
AC podrá emitir distintos tipos de certificados. Estos deberán ser diferenciados por el grado de compromiso empleado en la verificación de cada uno de los datos que contienen, y por los datos contenidos.
14.2.2.
Datos Básicos
Los certificados emitidos por AC deberán poseer como mínimo los campos que se describen a continuación: Versión Número de Number) Firma (Signature) Emisor (Issuer) Validez (Validity)
6
Serie
(Serial ID del Algoritm o
No antes de (Not Before) No después de (Not
Número de versión del formato X.509 Único número identificador del certificado generado por el emisor del mismo. Algoritmo usado para firmar el certificado Nombre del emisor del certificado (en formato X.500) Fecha de inicio de validez
Fecha de finalización
DES: Data Encryption System
Jorge Bernardo
57 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación After) Titular (Subject) Información de la clave pública del Titular
Extensiones Firma Emisor
ID del Algoritm o Parámet ros Clave Pública (Opcion al)
Parámetros aplicables a la clave pública Clave Pública del titular Extensiones agregadas a los certificados tal como lo indica el estándar. Algoritmo usado para esta firma
ID del Algoritm o Cifrado de resultado de la función de Hash sobre el certificado TABLA #8 – DATOS BÁSICOS DE UN CERTIFICADO DIGITAL
14.2.3.
del
Nombre del titular del certificado (en formato X.500) Algoritmo de firma del titular
Extensiones
Es recomendable que los certificados emitidos por AC puedan incorporar aquellas extensiones que imponen restricciones en el uso de los certificados (key usage, basic constraints) y aquellas que informan sobre la política de certificación correspondiente (certificate policies, policy identifier), etc.
14.2.4.
Formatos
Los certificados emitidos por AC deberán ser entregados en formato PEM o DER para poder ser incorporados a las aplicaciones que requieran su uso.
14.2.5.
Identificación única
Es necesario que cada certificado sea distinguido unívocamente. Esto es que cada cliente cuente con un simple DN – Distinguished Name, compatible con el estándar X.500. Sería recomendable incluir en cada DN de usuario los siguientes datos como mínimo: • Nombre y apellido completo, según figure en su Documento Nacional de Identidad, libreta de enrolamiento o libreta cívica, o en su caso, Cédula de Identidad o Pasaporte. • Empresa donde desempeña sus funciones, u organismo emisor del certificado en caso de tratarse de un usuario externo a la Administración Pública Nacional. • Localidad, Provincia y País de residencia habitual. • Un identificador único utilizado por AC para evitar conflictos con otros certificados emitidos.
Jorge Bernardo
58 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
14.2.6.
Número de Serie
El número de serie deberá ser un número entero único asignado por AC a cada certificado emitido. Estos números deberán ser correlativos y deberán incluirse en las Listas de Certificados habilitados.
14.2.7.
Periodos de Validez
Los campos que indican el periodo de validez ("no antes de" y "no después de") detallan fecha y hora. Los valores incluidos en estos campos deberán encontrarse expresados en Coordinated Universal Time - UTC. El período de validez recomendado para un certificado de un cliente final es de un año. En particular el período de validez para el certificado de AC será de diez años.
14.2.8.
Titular
Es un identificador del titular del certificado en formato X.500 y el mismo deberá ser único dentro de AC. Los atributos que lo componen son aquellos indicados en la Política de Certificación correspondiente a este tipo de certificados.
14.2.9.
Emisor
Es un identificador, o DN, del emisor del certificado en formato X.500, que se encuentra en el certificado que posee dicho emisor.
14.2.10. Solicitudes de Certificados Para emitir un certificado AC deberá contar con una solicitud, la cual estará contará con la clave pública de quien solicita dicho certificado junto al resto de los datos del mismo. Dicha solicitud deberá encontrarse firmada utilizando la clave privada correspondiente a la clave pública incluida en la solicitud. Siguiendo los pasos indicados en el Manual de Procedimientos para el tipo de certificado solicitado, AC procederá a emitir el certificado correspondiente.
14.2.11. Solicitud de un cliente de AC Las solicitudes de los usuarios hacia AC deberán ser remitidas en formato PKCS#10. Asimismo, también podrán utilizarse otros formatos o mecanismos, principalmente aquellos desarrollados para ser solicitados utilizando los Navegadores de Internet, siempre y cuando se pueda garantizar que el solicitante posee la clave privada correspondiente a la clave pública incluida en la solicitud.
14.2.12. Servicios de Directorio AC deberá ofrecer un servicio de directorio compatible con el protocolo LDAP y permitir que las aplicaciones accedan a los certificados emitidos y a las listas de certificados revocados.
Jorge Bernardo
59 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación La frecuencia de publicación respecto de la inclusión de información en el repositorio deberá ser un plazo no superior a las 24hs una vez que AC se encuentre en poder de la información requerida. En caso de tratarse de una revocación la misma deberá realizarse inmediatamente después de validar la información del solicitante. El repositorio deberá encontrarse disponible para uso público durante las 24hs del día, todos los días del año – teniendo en cuenta los tiempos de mantenimiento.
14.2.13. Lista de Certificados Revocados (CRL) AC deberá utilizar Lista de Certificados Revocados X.509 versión 2 tal como se indica en el estándar ITU X.509. Este estándar pertenece a un grupo de estándares definidos en ITU-T X.500 Directory Service Standards.
14.2.14. Tipos de dispositivos utilizados para almacenar las claves privadas de los Clientes Tal como se indica en nuestra legislación, es responsabilidad de la Autoridad Certificadora (en nuestro caso AC) dar a conocer a los usuarios las responsabilidades y obligaciones que contrae por el hecho de ser titular de un certificado correspondiente a su clave privada. De la misma manera debe instruir a dichos usuarios sobre la mejor manera de proteger dicha clave de accesos indebidos. Es recomendable que las claves privadas sean almacenadas en Smart Cards (Tarjetas Inteligentes) u otros dispositivos removibles de manera tal de garantizar su seguridad física. Es posible hacer uso de otro tipo de dispositivos para aplicaciones o funciones, garantizando siempre la integridad y seguridad de la clave privada. Es recomendable que las Smart Cards que se incorporen en AC soporten PKCS#11 ya que permite un nivel de seguridad apropiado y asegura interoperabilidad. Sin embargo, es posible utilizar el estándar definido como CryptoAPI si la plataforma operativa es un entorno Windows. En ambos casos el proveedor de Smart Cards debe ofrecer una o ambas interfaces cumpliendo los estándares sobre algoritmos, longitud de clave y cifrado de claves indicados.
14.3. Respecto de las Comunicaciones 14.3.1.
Comunicación segura en línea
Se recomienda utilizar el protocolo Transport Layer Security (TLS) para establecer una comunicación segura entre aplicaciones o bien SSL versión 3. TLS es el estándar resultante del protocolo Secure Socket Layer (SSL). Permite autenticar tanto al servidor como al cliente de una aplicación utilizando certificados X.509.
Jorge Bernardo
60 de 61
05/01/2013
Trabajo Final: Implementación de una PKI y sus Políticas de Certificación
14.3.2. Formato de transferencia de Correo Electrónico (Email). Es recomendable que las aplicaciones de correo electrónico que utilicen esta tecnología cumplan con el estándar S/MIME para la transmisión de mensajes. S/MIME es una iniciativa de RSA Data Security Inc. que actualmente es un estándar de internet definido en [SMIME]. Especifica una mensajería electrónica segura.
14.3.3.
Respecto de los Navegadores
Si bien en la actualidad las claves generadas por la mayoría de los navegadores de Internet son de una longitud de 512 bits (RSA) se recomienda incorporar algún módulo de software que permita generar claves de una longitud de 1024 bits (RSA).
Jorge Bernardo
61 de 61
05/01/2013