La Normalización de la Firma Electrónica en Europa Manel ...recerca.ac.upc.edu/canet/presentations/Secur2002_MMedina_v1-2.pdf · Desarrollado por un equipo formado por técnicos

La Normalización de la Firma Electrónica en Europa

Manel MedinaMarta CruellasJuan Carlos [email protected].: 934015795

mailto:[email protected]

Equipo de Seguridad y Coordinación de Emergencias en Redes TelemáticasSecurmática 2002 2

Actividades

EESSIETSI (W3C)EEMA pki-CBridge CAEsquemas de Acreditación


Otras Actividades

eEurope and eEurope SmartCardsePSO – e-Payment Systems ObservatoryIDA – Interchange of Data between AdministrationsForums:

ECAF – European Certification Authority ForumPKI ForumILPF - Internet Law and Policy Forum

PKI World Radicchio m-sign


Vinculaciones EESSI SG


Programa de ImplantaciónEESSI

Fase 2 y 3 completadas (2000-2001) resultados publicados entre finales del 2001 y principios del 2002

Grupo de Trabajo ETSI ESI

20+ Participantes fundaron un equipo de Trabajo especializado

Resultado: Especificaciones Técnicas (TS) ETSI

CEN/ISSS E-SIGN Workshop

30+ participantes formaron equipos de expertos

Resultado: Acuerdos CEN Workshop (CWA)


Promover Buenas PrácticasAnálisis extensivo de proyectos desde un punto de vista intersectorial e internacional

Precisar más la definición del rol de los entregables de EESSI y de los estándares aplicables

Aclarar la relación entre EESSI y los organismos de normalizaciónAclarar el objetivo tecnológico de los estándares

Definir Interoperabilidad en:Programas de firmaEsquemas de Acreditación

Más información sobre:Privacidad, consumidores, Responsabilidad

Objetivos de EESSI


Proveedor de Servicios de Certificación

Anexo II: Políticas de Certificados CualificadosETSI TS 101 486

II f) Sistema de confianza para el manejo de certificados: CEN CWA 14167-1

Módulos Criptográficos para CSPsBorrador CEN CWA 14167-2

Anexo I:Certificados Cualificados

ETSI TS 101 862

Algoritmos y Parámetros

Anexo III:Dispositivo

para la creación de una firma

segura:CWA 14168/9

Sistemas parala creaciónde firmas:

CWA 14170

Anexo IV: Proceso de

validación dela firma y del entorno:

CEN CWA 14171

Formato de firma y sintaxis

(Firma-e Avanzada)ETSI TS 101733

CWA 14172-2Org. Independ.

CWA 14174-3Auditoria IT

CWA 14172-4Manuf.decl

Usuario/ Firmante Parte confiable

CWA 14172-5Design.Organismos

Evaluación de la Conformidad


Requisitos de la Política de la AC


Requisitos de Políticas de PSC Reconocidos: ETSI TS 101 456

Apunta a los Requisitos del anexo II de la Directiva

También a los requisitos del Anexo I (Certificados Reconocidos) y opcionalmente requisitos del Anexo III

Define los requisitos sobre prácticas de gestión y política

Basado en los principios del BS 7799

Puede realizarse con PKIX RFC 2527

Dos políticas de Certificados Cualificados (QCP):Certificados Reconocidos

Certificados Reconocidos que requieran SSCD


Política de Certificado Reconocido: Modelo Comercial


Especificacionesde sistemas de confianza

Acuerdo CEN Workshop CWA 14167-1. Requisitos de Seguridad para los sistemas de gestión de certificados

Requisitos de seguridad (control de acceso, etc)

Mejora los requisitos de QCP

No cuenta con un Perfil de Protección, pero “PP-inspired”

Acuerdo CEN Workshop CWA 14167-2 (borrador). Requisitos de Seguridad para los módulos criptográficosPerfil de Protección para el dispositivo de firma de la CA

Basado en Common Criteria

Alternativa de la Unión Europea a FIPS 140-2


Usuarios finales

Aplicación clientecon un sistema PSC Fiable

Servicios TOE

TOEInterfaz

Funciones

Datos delos usuarios

Atributos de seguridady Datos TSF

Recursos criptográficos

Pistas para auditoría

Pistas para auditoría

Modelo para la evaluación del sistema


EESSI - Perfil del cert. ReconocidoETSI TS 101 862

Cumple los requisitos del Anexo I de la Directiva

Los perfiles usan el formato de Certificado X.509

Define cómo cumplir los exigencias marcadas porla Directiva

Indicar que el certificado es Reconocido

Limitar el valor de la transacción


SSCD y su entorno


HIAutenticación

de datos

SCADTBS-representación

SDO

CGASVD dentro de cert

Canalfiable

Personalización AtenticaciónUsuario

Creación- Firma

SCDimportación

Caminofiable

SSCD Tipo 2

Canalfiable

SVD exportación SVD exportación

SCD/SVD Generación

SSCD tipo 1

HIAutenticación

de datosCaminofiable

SSCD Tipo 3

Personalización AtenticaciónUsuario

Creación- Firma

SVD exportación

SCD/SVD Generación

Canalfiable

CGASVD dentro de cert

Canalfiable

SCADTBS-representación

SDOCanalfiable

CGASVD dentro de cert Canal

fiable

Tipo 1: SCD GeneraciónTipo 2: SCD uso (para firmar)

Tipo 3: Ambos (1&2)

Tres tipos de SSCDs


Especificaciones de requisitos de seguridad para SSCDs

CEN CWA 14168, CWA 14169

Perfiles de Protección del Common Criteria

EAL 4 / EAL 4+

Perfiles evaluados por Tüv-IT

Certificados por BSI


Trabajo adicional en el área de SCCDs

Nuevo CEN CWA (área de trabajo AA):Directrices para la implantación de SSCDs

– Material explicativo adicional

– Interpretación de la Directiva

– Guía para plataformas y entornos específicas

Tarjetas Inteligentes

Teléfono móvil

PDA

PC


TS 101 733Cumple los requisitos para la Firma Electrónica Avanzada

Define los procesos necesarios para mantener su validez a largo plazo

TS 101 861Protocolo para time-stamping (sellado de tiempo)

EESSI - Formato de Firma Digital


Guía para la creación y verificación de firmas

Define los requisitos para:

Sistemas de Creación de firmas (CWA 14170)

–Presentación de documento

–Creación de funciones hash

–PIN input

Verificación de Firmas (CWA 14171)


Criterio de Confianza en la CA: supervisada vs. acreditada


dirigido a:

• industria

• implantadores de SSCD

• desarrolladores de ST

Solución: Información normalizadadel estado


Estándar para Firma Avanzada de larga duración en sintaxis XML: ETS 101 903 XAdES

Define una serie de cualificadores (nuevos tipos XML).

Estos se añaden a la estructura básica definida por el W3C en su recomendación XMLDSIG.Es una firma avanzada, de larga duración y con incorporación de información relevante requerida en un número elevado de casos de uso de firmas electrónicas.

Desarrollado por un equipo formado por técnicos de UPC, IAK, Security and Standards y Bull.


ETS 101 903 XAdESXML Advanced Electronic Signatures

Incorpora las ideas de ETS 101 733 al entorno XML a la vez que añade prestaciones que no aparecían en ésta.Prestaciones:

Permite cualificar individualmente cada documento firmado:⌧Formato, compromiso adquirido al firmarlo, sello temporal, etc.

Permite cualificar la firma en sí:⌧Política de firma , lugar de generación, instante de generación,

sello temporal, rol del firmante.


Material criptográfico necesario para poder reproducir el proceso de validación tiempo después de la primera validación (caminos de certificación, CRLs o respuestas de OCSP, etc).

Sucesivos sellos temporales sobre una firma y el material critpográfico usado para validarla la protejen contra la evolución tecnológica que haga débiles algoritmos o materiales criptográficos.

ETS 101 903 XAdES (XML Advanced Electronic Signatures).


PKI Challenge (I). ObjetivosObjetivo: Probar la interoperabilidad y la total funcionalidad lograda con la infraestructura de PKISe intentará conectar componentes NITS PKI con PKI de otras agencias El PKI resultante incluirá 12 CA’s y 4 servidores de Directorio X.500Actualmente se trabaja sobre Bridges-CA realizando pruebas sobre el FBCA (Federal Bridge Certification Authority)

Pruebas CMS


Entorno de pruebas pki-C


PKI Challenge (III). Participantes

Los colaborados que participan en el desarrollo de este proyecto son:

Baltimore Technologies, Biodata, Certicom, Compaq, CRYPTOMAThIC, Cylink, Datum, DigiNotar, EntegrityEntegrityEntegrity, Entrust , Entrust , Entrust TechnologiesTechnologiesTechnologies, Gemplus, ISABEL, iT_Security, NetSet, Privador, RSA Security, Safelayer, Secude, Secure Communications, ShymTechnology, SmartTrust, SPYRUS, SSE, SSH Communications, Tarmin Solutions/Lane Technologies, UTI Systems, Utimaco Safeware, ValiCert, VeriSign, Viacode, WISeKey.


European Bridge-CA

ACs relacionadas entre si por el hecho de haber sido certificadas por una entidad común. De esta forma se integran en la red Bridge-CA


European Bridge-CA• Bridge-CA realiza la función de lugar de confianza para todas

las entidades

• Administra y firma digitalmente los certificados de los participantes (que son accesibles por todos ellos)

• Iniciativa independiente, No lucrativa.Respaldada por más de 20 importantes organizaciones privadas y públicas.

• Puesta en marcha por Deutsche Bank y Deutsche Telekom


European Bridge-CA• Miembros:

• Deutsche Telekom Deutsche Bank • DaimlerChrysler TeleTrusT • Sparkassenorganisation (SIZ)• German Information Security Agency (BSI) –representa a varios ministerios y autoridades-

• Colaboradores:• Socios industriales: Consultoras:

TeleTrusT y BITKOM Secorvo, Secunet, mtg media transfer• Pruebas de interoperabilidad realizadas con éxito con las siguientes empresas y

organizaciones:Arthur Andersen, TC TrustCenter, TeleSec, Siemens, The German Armed Forces, BMW, DresdnerBank, Secartis AG (Giesecke & Devrient)


Esquema en Red -> esta firma no implica que la AC certificada asuma la Política de Certificación de la entidad firmante (contrariamente a lo estipulado en esquemas Jerárquicos) -> Las estructuras de seguridad interna de cada organización permanecen inalteradasForma la base para la confianza recíproca entre organizacionesAgiliza los procesos de negocio basados en las comunicaciones externas entre socios

European Bridge-CA


Generalización de la Acreditación:

¿Qué es? Un marco para determinar:la adecuación y efectividad de los controles aplicados por los PSCs contra criterios predefinidos.

Objetivo:Evaluación actividad PSCs, principalmente la operación de los PSCs como organizaciones seguras y de calidad.

¿Qué debería ser? (art. 3 Directiva 99/93):⌧Objetiva⌧Transparente⌧Proporcionada⌧No discriminatoria


Características de los Esquemas Nacionales en Europa

Países Bajos Reino Unido Italia Austria Dinamarca

Requisitos Técnicos

* formato ETSI QCP. * Perdurable en el tiempo* Interoperabilidad cuestionable: Directrices Tecnológicas limitadas.

* formato ETSI QCP.* Exige requisitos BS7799.

* A PSC, partes en confianza y suscriptores

* Exigen cumplir el Art. 6 de la Directiva 99/93/EC

* Muchos requisitos organizativos de la AC

* Flexible* Sector Privado.

* Rígidos* Plan de Negocio

A quién regula

•PSC, partes en confianza y suscriptores •No aplicaciones Cliente.•Sólo acredita para grado Q

* Aproximación prescriptiva, orientada a proteger al consumidor

* Fuertes requisitos tecnológicos: HW* Mercado PKI bajo una Top Root nacional* Aplicaciones clientes

* Caro: 1M €* Más estrictos que Art. 6 de la Directiva

* Mayor parte de Obligaciones son de PSCs

Responsabilidad PSCs

* Exigen cumplir el Art. 6 de la Directiva 99/93/EC

* Aproximándose más a la Directiva

* Cobertura aseguradora obligatoria del PSC

Procedimiento de Auditoría

* Flexible Parcialmente controlado por el gobierno * Rígido.

•Flexible •* Cuerpo de Acreditación Público. Agrupa PSCsprivados.Asegura interoperabilidad con AIPA.


Algunos son Reactivos (Ej/ Inglaterra)Algunos por Notificación (Ej/ Francia, Noruega)La mayoría por Notificación + Verificación de Documentación

En algunos casos se acepta que las Pruebas documentadas pueden surgir tando de una auto-declaración como de una auditoría externa (Ej/ Dinamarca)

Otros Supervisión y Aprobación previas (Ej/ Italia)

Cómo supervisan?


Los Esquemas nacionales: caminantes solitariosNo hay un método universalmente aceptado para reconocer la suficiencia y adecuación de un desarrollo PKI. Cada esquema nacional sigue su propio (y solitario) camino

El marco legal todavía mantiene algunos peligros:Desarrollando reglas generales para proveedores de serviciosPlanes de garantía /seguroCapacidades de firma (Ej/ certificados emitidos a personas legales)

AcreditaciónAhora es de interés para las autoridades supervisoras y PSCPronto lo será también para los consumidoresMeta: usar Certs. Reconocidos para transacciones dentro de toda la UE

La harmonización es la meta

Desafíos de los Esquemas Nacionales


Sólo la ofrecen los siguientes países:Esquemas de acreditación Privados:

Inglaterra (t-Scheme)Paises Bajos (TIP, NL)EI (NAB)NO (NA)

Esquemas de acreditación Públicos:DE (RegTP)AustriaFrancia (mezcla de Supervisión y Acreditación)

Acreditación/Certificación voluntaria en Estados Miembros


Conclusiones

Se está dando el paso del ámbito de la normalización al industrial:

InteroperabilidadIntegración

Se están definiendo las bases para el paso al ámbito jurídico/administrativo:

Esquemas de acreditaciónTrasposiciones nacionales de la directiva

Documents

La Normalización de la Firma Electrónica en Europa Manel ...recerca.ac.upc.edu/canet/presentations/Secur2002_MMedina_v1-2.pdf · Desarrollado por un equipo formado por técnicos