el almacen central de certificados digitales
Post on 12-Jun-2015
430 Views
Preview:
DESCRIPTION
TRANSCRIPT
El almacén central de certificados digitales y su uso desde dispositivos móviles para firma y/o autenticación
Rames Sarwat
General Manager – SmartAccess
Twitter: @ramessarwat
El certificado digital
CERTIFICADO DIGITAL Nombre: SARAH Apellidos : JANE BLOGGS Número ID: 4545676-4555554 Nacionalidad: BRITANICA Valido desde: 1-1-2010 Valido hasta: 31-12-2012 Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234 Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347
Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234.. Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347..
Es un documento electrónico que asocia un par de números
aleatorios (también llamados claves) a una persona u
organización y que permite firmar documentos, demostrar
nuestra identidad en la red o cifrar información
La seguridad del certificado digital
A una de las claves se denomina clave pública y puede ser compartida con terceros con el objetivo de
que puedan verificar nuestra identidad o los
documentos que firmamos
La clave privada no debe compartirse. El
uso de esta clave nos vincula y, por tanto, es
importante asegurar que la clave esta siempre bajo nuestro exclusivo control
Principales usos de
los certificados digitales
Demostrar la identidad de una persona, empresa
o equipo
•Acceso a tramites con las Administraciones Públicas y organismos reguladores
•Conexión segura a redes privadas (VPN)
•Acceso seguro a puestos de trabajo, servidores o aplicaciones
•Autenticar servidores en Internet (SSL)
•Autenticar equipos para el acceso a la red (NAC)
Asegurar la integridad (no modificación) de la
información
•Firmar documentos como contratos, facturas, albaranes, etc.
•Firma de correos electrónicos y otros mensajes (SMS…)
•Firma de ficheros de registro como logs o BBDD (evidencias electrónicas)
•Firma de documentos escaneados (digitalización certificada)
•Firma de aplicaciones (code signing)
Proteger el acceso no autorizado a información
•Cifrado de correos electrónicos
•Cifrado de ficheros y/o documentos
•Cifrado de discos y/o BBDD
•Gestión de derechos digitales
•Cifrado de comunicaciones (SSL, IPSec, etc.)
Podemos guardar un certificado digital en:
El disco duro un
ordenador o servidor
(certificado software)
Una tarjeta con chip
o smart card
Un dispositivo seguro de
almacenamiento de claves
(HSM)
Custodia del certificado digital
Lo que los usuarios nos demandan: “poder firmar documentos y conectarse de forma segura desde cualquier
dispositivo, lugar y momento”
Dispositivos
móviles
Movilidad de
los usuarios
Certificados
de
empresa
El uso ubicuo de los certificados digitales
Beneficios de la centralización
Facilita la movilidad de los usuarios
• Entre diferentes equipos y dispositivos autorizados, manteniendo siempre los certificados accesibles
Mayor usabilidad
• Diferentes métodos para autorizar el acceso a las aplicaciones a nuestra clave privada (PIN, OTP, biometría) hacen que se faciliten las operaciones con certificados digitales
• Mayores facilidades para integración de aplicaciones y sistemas con los certificados
Facilita la gestión corporativa de los certificados digitales
• Permite inventariar y facilita la renovación de los certificados que se utilizan en la organización
• Integrado con Autoridades de Registro de Prestadores de Servicio de Certificación simplifica la gestión
Mejora la seguridad
• Custodia centralizada la claves privadas de los certificados en dispositivos certificados
• Seguridad integrada con el resto de Sistemas de Información (Directorio Activo y/o LDAP)
• Limita el uso de los certificados digitales
• Trazabilidad completa del uso de cada certificado
Tipos de firma electrónica (según Ley de firma electrónica 59/2003)
Firma electrónica Firma electrónica avanzada Firma electrónica reconocida
Conjunto de datos, en forma
electrónica, consignados junto a
otros o asociados con ellos que
pueden ser utilizados como
medio de identificación del
firmante
Vinculada al firmante de
manera única y a los datos a
que se refiere
Ha sido creada por medios que
el firmante puede mantener
bajo su exclusivo control
Se considera firma electrónica
reconocida la firma electrónica
avanzada basada en un
certificado reconocido y
generada mediante un
dispositivo seguro de creación
de firma
80% 20% 0,1%
CEN CWA 14169
CC EAL 4+
Sobre la legalidad de la solución…
La firma con almacén central de certificados digitales tiene hoy la consideración de firma electrónica avanzada pero incorpora
mecanismos de seguridad equivalentes a los existentes en la firma electrónica reconocida
La norma CEN CWA 14169 se encuentra actualmente en revisión para, entre otros cambios, incorporar la posibilidad de certificar los
dispositivos HSM
El nuevo borrador de reglamento de la UE relativo a la identificación electrónica y los servicios de confianza para las transacciones
electrónicas en el mercado interior, sustituirá probablemente en 2014 a la directiva europea de firma electrónica (1999/93/CE) y reconocerá
con probabilidad la firma centralizada con dispositivos HSM certificados como firma cualificada
Virtual Smart Card
• Un agente se encarga de hacer accesibles los certificados digitales de un usuario a las aplicaciones sin cambios ni configuraciones complejas
• El acceso a la clave privada se autoriza mediante: – Un PIN
– Una contraseña de un solo uso (One Time Password u OTP)
– Un reconocimiento biométrico (p.e. huella dactilar o reconocimiento de patrón de firma manuscrita)
– Combinaciones de los anteriores
• Cada usuario puede gestionar su partición privada o virtual smart card mediante un interfaz web para realizar las operaciones de: – Cambio de PIN
– Importación y borrado de certificados
– Delegación a otros usuarios
– Disponible también un asistente para la importación de certificados a su VSC
Transparente para el usuario y sin
necesidad de cambiar las aplicaciones
actuales
Integración con
emisores de certificados digitales • La integración con la autoridad de registro
de un Prestador de Servicios de Certificación permite: – Que los certificados sean emitidos de forma
segura en el dispositivo HSM sin posibilidad de clonación y manipulación por parte de los operadores
– Reducir el tiempo y esfuerzo en la emisión de los certificados, al automatizar su asignación a su propietario y la comunicación del PIN inicial por canales online o presenciales
– Mejorar la gestión de dichos certificados permitiendo la renovación semi-automática de los certificados
Políticas o reglas de uso
• Establecer las restricciones de uso a cada certificado mediante un conjunto de reglas o condiciones de acceso
• Estas condiciones de acceso pueden incluir combinaciones de: – Usuarios autorizados (bien locales o
pertenecientes al Directorio Activo de la organización)
– Equipos o dispositivos desde los que se permite el acceso
– Aplicaciones
– URLs autorizadas (solo en Internet Explorer)
– Rangos o periodos de tiempo
Arquitectura
Auditoría e informes
• El módulo de auditoría registra cualquier uso de los certificados digitales almacenados en el almacén.
• Un motor de informes integrado permite: – Informes predefinidos (usuarios, certificado,
equipos,..)
– Posibilidad de definición de nuevos informes
– Generación automática y/o manual de informes
– Exportación a PDF, Excel o texto y envío automatizado a usuarios por e-mail
Conclusiones
• La firma electrónica con almacén de certificados tiene hoy validez legal y se verá probablemente reforzada por el nuevo reglamento de la Unión Europeo
• Para la empresa supone:
– mayor productividad
– menor esfuerzo de administración y
– mayor seguridad en la custodia de certificados
• Su uso no tiene impacto en los usuarios ni requiere cambios en la infraestructura existente
• Empresas y organismos públicos han implantado, con éxito, soluciones de almacén central de certificados
Preguntas
Muchas gracias Twitter: @ramessarwat
top related