Infraestructura detrás de la Firma Digital – PKI.

Infraestructura Clave Publica – PKI

En un mundo donde cada vez más  los activos de información cobran real importancia y valor. Las arquitecturas de seguridad de informática deben proporcionar cuatro servicios básicos de seguridad:

Integridad.

Confidencialidad.

Identificacion y autenticacion.

No repudio.

Lograrlo en  organizaciones que mantengan suficientes garantías de seguridad , confianza, mecanismos fáciles de distribución de claves y escalables no es tarea sencilla. Cuanto más cuando esa organización es un país y los usuarios son ciudadanos.

Cuando hablamos de conceptos de Firma Digital, esas firmas que tienen una validez jurídica, que otorgan a un documento electrónico autoría, integridad y no repudio. Estamos hablando implícitamente también de una Infraestructura de Clave Pública o PKI por sus siglas en inglés. Es la infraestructura que posibilita la creación uso validación y revocación de una firma que también puede utilizarse para cifrar información o procesos de autenticación e identificación.

De muy resumida manera lo que tenemos que saber es que la infraestructura de clave pública es una infraestructura con una arquitectura jerárquica  basada en un sistema de dos claves criptográficas vinculadas entre sí. Una clave pública (relacionada con la identidad del propietario que la conoce los que validan su firma) y una clave privada (protegida por el propietario y se usa al momento de aplicar una firma)  y que  aplicados en algoritmos matemáticos criptográficos logran una firma digital  prácticamente imposible de falsificar. Esta firma digital garantiza integridad y autoría a ese documento.

Los Estados donde está regulada la firma digital adoptan este modelo estándar para sus infraestructuras nacionales de certificación. Ya que uno de los puntos más fuertes de PKI  es que cuando se realiza una firma utilizando determinados algoritmos, no existe capacidad de procesamiento que pueda “romper” o falsificar ese documento firmado en un tiempo prudente determinado. Otra de las ventajas sin dudas es su facilidad para distribuir claves de forma  segura y escalable lo cual hace una solución óptima en cualquier escenario empresarial pero sobre todo cuando el número de usuarios es elevado como por ejemplo  para uso de la ciudadanía en gobiernos digitales.

El punto más débile es la identificación del firmante , de forma de asegurarnos que esa persona es quien dice ser.  Para ello un componente clave de la infraestructura son las Autoridades de Certificación que son entidades (empresas, organismos) acreditadas para certificar la identidad de una persona,  para la  cual se le emitirá un  certificado digital que vincula  su identidad con su clave pública.

Se podría definir PKI como un conjunto software, hardware y procedimientos de seguridad pero es mucho más que eso.

Veamos cuáles son las principales partes de la infraestructura

 

Suscriptor

 

Es la persona o empresa que solicita un certificado de firma.

 

Certificado Digital

 

Es un documento electrónico emitido por la autoridad certificadora que asocia los datos del Suscriptor con su clave pública. El certificado digital es firmado digitalmente  por la autoridad que lo emite.

 

Autoridad de Certificación

 

Es la entidad encargada de emitir y revocar certificados digitales asociados con la identidad del Suscriptor. Las CA tienen su propio certificado digital  y par de llaves pública y privada. Usa esta última para firmar los certificados solicitados.

Autoridad de Registro

 

Es la entidad que registra los datos del  Suscriptor, verifica la identidad del mismo y tramita la solicitud del certificado con la CA.  La autoridad de registro puede pertenecer a una misma organización o incluso al mismo sistema informático. Aunque por lo general son entidades independientes.. La solicitud de emisión del certificado incluye la clave pública del suscriptor y un fragmento firmado con su clave privada.   Es el punto más susceptible a fraude, ya que si los datos registrados son falsos se podría emitir un certificado digital a nombre de la persona incorrecta. Es por esto que las autoridades de registro se contactan con el sujeto para verificar la identidad  del suscriptor, en la mayoría de casos de forma presencial verificando por parte de un agente la documentación identificatoria presentada.

Actualmente para la emisión de certificados de firma electrónica ( y más en la coyuntura actual) hay Estados que están comenzando a aceptar el uso de tecnología para realizar el registro de forma 100% remota, ameritando este punto un post específico sobre el análisis de las tecnologías, los pros y contras.

Autoridad de Validación

 

Es la entidad encargada de validar mediante distintas técnicas informáticas  (ej OCSP, CRL) si un Certificado Digital es válido o si está revocado.

La revocación es esencial para acortar la vida del certificado por causas como por ejemplo extravío, hurto o defunción.

 

Servicios

 

Nada de la infraestructura tiene sentido si no existiesen herramientas y servicios que integren la posibilidad de firmar digitalmente de forma fácil y confiable por parte del usuario.

Como también terceras partes que acepten el uso del mismo.

Ejemplo: Trámites gubernamentales, servicios bancarios, sistemas de salud.

 

También podemos encontrar la figura de:

 

Regulador que entre otras cosas otorga acreditaciones a las Autoridades Certificadoras,  definen Políticas de Certificación (CP)  que son documentos estandarizados donde se especifica todos los aspectos técnicos que deben cumplir las mismas para su acreditación (ejemplo: seguridad física, software utilizado, planes de contingencia, respaldos, seguridad de la información en general)

De forma de que las autoridades certificadoras mantengan vigente su licencia. Es cometido del regulador exigir  auditorías periódicas donde se valida el cumplimiento de las Prácticas de Certificación declaradas por la Autoridad Certificadora.

¿Cómo se articula y  funciona todas las partes en la práctica?

 

img

  1. El Suscriptor en este caso “Juan” se presenta ante un agente en la Autoridad de Registro. Entrega documentación para su  identificación. En algunos casos puede exigirse adicionalmente comprobación con sistema biométrico.

  2. El Agente de Registro valida su identidad, registra sus datos y envía una petición de emisión de certificado a la CA.

  3. La CA emite un Certificado Digital a nombre de la persona. El mismo contiene la información identificatoria de la persona, su clave pública y la firma de la entidad emisora entre otras cosas.

  4. Para evitar el uso fraudulento, Se entrega al usuario el certificado y par de claves  en un medio seguro con exclusivo control. La clave privada debe estar custodiada por el suscriptor ya que es la que se utiliza para generar firmas. Es en este sentido que para acceder a ella se necesita ingresar  un PIN que solo el Suscriptor conoce.

 

Ejemplo: En el Estado Uruguayo, la cédula de identidad digital  contiene un chip criptográfico donde se encuentra almacenado el certificado digital de la persona y su clave privada protegida por un pin que es ingresado al momento del registro en la Dirección General de Identifiación Civil.

.

5. Al momento de validar el estado de revocación de un certificado digital se hace una consulta a los sistemas de la Autoridad de Validación. La correcta validación de una firma completa será tema del próximo post.

Pero… si mi certificado es generado y  firmado por la Autoridad Certificadora , ¿Quién genera el certificado digital de la CA?

 

Existe una jerarquía entre las Autoridades Certificadoras (CA). Esto quiere decir que existen distintos tipos de CAs con distintos roles y propósitos.

Una de ellas es la que está más alto en la jerarquía, y es la encargada de habilitar técnicamente a otras intermedias o subordinadas para que puedan operar. La autoridad certificadora que está más alto en la jerarquía se llama Autoridad Certificadora Raíz.

Ejemplo.  En el caso del estado Uruguayo  existe la Autoridad Certificadora Raíz Nacional. Que es operada por la AGESIC.

Para que una CA pueda operar tienen que poseer una clave privada y una certificado  con su clave pública firmado por la CA de nivel superior.  De este modo se genera una cadena de confianza.

Ejemplo:  Los certificados digitales contenidos en la Cédula de Identidad uruguaya, están firmados por la autoridad certificadora del Ministerio del Interior.  El certificado de la autoridad Ministerio del Interior fue firmado por la autoridad certificadora raíz nacional.

 

¿Qué Autoridad Certificadora genera el certificado raíz?

 

Es autogenerado por la propia autoridad certificadora raíz bajo estrictos protocolos y medidas de seguridad, especificadas por el regulador en las Políticas de Certificación (CP).

 

Ejemplo:  En el caso de Uruguay la UCE regula la infraestructura de certificación electrónica, y especifica las condiciones en sus política de certificación y es la AGESIC quien esta acreditada para operar la Autoridad Certificadora Raiz Nacional declarando su practicas de certifiación.

 

Cuando se pone operativa una CA Raíz se hace una ceremonia donde participan, auditores, oficiales de seguridad, técnicos operadores, incluso pueden participar notarios y filmar todo el procedimiento. De esta forma se mantiene  garantías de seguridad en todos los procedimientos y que se ejecute todo tal cual lo especificado en las políticas de certificación.

 

El elemento central sobre el cual gira PKI es la confianza.

 

Confianza en la CA que emitió el certificado. Para ello la evaluación de la declaración de prácticas de certificación por parte de auditoras externas de forma periódica es fundamental.

Confianza en los procesos de registro. Los mismos pueden variar no siempre otorgando las mismas garantías. (remoto, presencial).

Confianza en los Soportes empleados para almacenar las claves. (tarjeta criptográfica, token, nube).

Confianza en el respaldo legal, quien se hace cargo ante fallos. Normativas que le dan valor a las firmas empleadas.

Confianza en el entorno del firmante. El usuario es por lo general el eslabon mas debil de la cadena de seguridad. Proveer un entorno adecuado donde pueda firmar y validar correctamente es otro punto clave.

La confianza es una percepción subjetiva de las personas. Ante las mismas medidas de seguridad pueden haber distintos grados de confianza dependiendo de cada personas, pero los sistemas siempre se deberían asegurar empleando las mejores prácticas y estándares internacionales en materia de seguridad de la información.

Como vimos la PKI es mucho más que software.

 

y Vos… ¿Ya usaste firmas digitales? ¡Contanos tu experiencia!.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *