Transcript Construyendo una Infraestructura de Certificación Electrónica PKI El

Construyendo una Infraestructura Nacional
de Certificación Electrónica
PKI El Salvador
Mauro Flores – [email protected]
Emilio Sandoval - [email protected]
Agenda
• Introducción y Contexto
• Definiendo una estrategia de certificación
•
•
•
•
•
Actores del sistema
Perfiles y usos de los certificados
Políticas de Certificación y Declaración de Prácticas
Autoridad de Certificación Raíz y Subordinadas
Marco regulatorio y de control
• Implementando la Autoridad de Certificación Raíz (Root-CA)
• Definición de políticas y procesos
• Arquitectura tecnológica
• Procedimientos operativos
• Sistema de Gestión de Seguridad de la Información
• Ceremonia de claves
• Lecciones aprendidas
2
Deloitte
© 2012 Deloitte S.C.
Introducción y
Contexto
Introducción y Contexto
¿Qué es una PKI?
Personas
Procesos
Control
Estrategia
Tecnología
Documentos
Entender e integrar la naturaleza variada
de estos componentes.
© 2012 Deloitte S.C.
Introducción y Contexto
¿Qué brinda una PKI?
Confianza.
© 2012 Deloitte S.C.
Introducción y Contexto
PKI: ventana de oportunidades…
Documento
de Identidad
Electrónico
Plataforma
de Gobierno
Electrónico
Firma de
Documentos
Autenticación
PKI
© 2012 Deloitte S.C.
Introducción y Contexto
Roadmap
Objetivos
Gobierno
Implementación
de Autoridad
Raíz
Estrategia
de
Certificación
Declaración
de Prácticas
de
Certificación
Procesos
operativos y
de SGSI
Políticas de
Certificación
Ceremonia
de Claves
Proceso de Auditoría y Control
© 2012 Deloitte S.C.
Definiendo una Estrategia
de Certificación
Actores del Sistema
Regula, Controla,
Audita
Autoridad de Certificación
Autoridad de Control
2.3.Solicita
Emite
1.Emisión
Solicita
Certificado
Certificado
Suscriptor
4. Entrega
Certificado
5. Firma
6. Verifica
Firm a
Documento
y Confía
Autoridad de Registro
9
Deloitte
Tercero Aceptante
Documento
© 2012 Deloitte S.C.
Perfiles y Usos de los Certificados
Documentos
XMLDSig
Persona Física
Comercio Electrónico
Autenticación
Persona Jurídica
Expedientes
TLS/SSL
Sitio Web o Email
10
Deloitte
Email
© 2012 Deloitte S.C.
Políticas de Certificación
Una Política de Certificación describe:
• La aplicabilidad y garantías de un certificado a un grupo de
interés (Suscriptores);
• El uso habilitado para el certificado, y las garantías que
brinda (Terceros);
• La información contenida en el certificado;
• Los requerimientos técnicos de seguridad y administrativos
desarrollados durante el ciclo de vida del certificado:
emisión, renovación, revocación, etc.
11
Deloitte
© 2012 Deloitte S.C.
Políticas de Certificación
Prestadores de
Servicios de
Certificación
CP PSC
12
Deloitte
Personas
Físicas
CP
Persona
Física
Personas
Jurídicas
CP
Persona
Jurídica
Timestamping
CP TSA
© 2012 Deloitte S.C.
Declaración de Prácticas de Certificación
Una Declaración de Prácticas de Certificación describe:
Cómo la Autoridad de Certificación
cumple las Políticas de Certificación
(bajo las cuales emite certificados).
• Requerimientos específicos.
• Implementación de los procesos: procedimientos.
• Reglas particulares del negocio.
13
Deloitte
© 2012 Deloitte S.C.
Autoridad de Certificación Raíz y Subordinadas
CP Raíz
Autoridad Raíz
Subordinada A
CP Persona
Física
14
Deloitte
Subordinada B
Persona
Física
•
Raíz de la Cadena de
Confianza
•
Emite certificados solo a
Autoridades Subordinadas
Subordinada C
Persona
Jurídica
CP Persona
Jurídica
© 2012 Deloitte S.C.
Marco Regulatorio y de Control
•
Definir una Estrategia de Certificación.
• Perfiles y usos de certificados.
• Requerimientos para acreditación de Prestadores.
• Garantías y Responsabilidades para Prestadores.
• Procesos y normativa de funcionamiento.
•
Definir y/o Validar Políticas de Certificación.
•
Validar Declaración de Prácticas de Certificación.
•
Realizar auditorías a los Prestadores que operen en el marco de la
PKI.
•
Atender situaciones de malfuncionamiento y oportunidades de mejora.
•
Promover y garantizar un uso seguro del sistema.
La falla de un componente puede afectar a la totalidad
del Sistema debido al impacto en la confianza.
15
Deloitte
© 2012 Deloitte S.C.
Implementando la
Autoridad de Certificación
Raíz (Root-CA)
Definición de Políticas y Procesos
•
Definición de una Política de Certificación y una
Declaración de Prácticas para emitir a Autoridades de
Subordinadas.
•
Proceso de acreditación y validación de identidad de
Prestadores en Autoridad de Registro.
•
Proceso de Generación de Claves de Autoridad Raíz y para
Autoridades Subordinadas.
•
Proceso de publicación de información (repositorio):
• Políticas;
• Requerimientos para Prestadores;
• Lista de Prestadores acreditados;
• Lista de Certificados Revocados.
• Proceso de renovación, re-key y revocación de certificados de
Prestadores (ciclo de vida).
17
Deloitte
© 2012 Deloitte S.C.
Arquitectura Tecnológica
• Autoridad Raíz offline.
• Dimensionar adecuadamente el hardware.
• No es esperable una alta demanda de operaciones en la
Autoridad Raíz.
• Dispositivos de tipo HSM (Hardware Security Module).
• Nivel de seguridad FIPS-140 nivel 3.
• Claves de 4096 bits.
• Doble factor de autenticación (token y PIN).
• Esquema de activación por claves partidas.
•
Esquema de contingencia en un Centro de Procesamiento de Datos
alternativo.
• Sincronización de información: no se pueden emitir Listas de Certificados
Revocados sin asegurarse de tener la base de datos actualizada.
• Software para la gestión de certificados.
18
Deloitte
© 2012 Deloitte S.C.
Procedimientos Operativos
• Procedimientos para validación de identidad de Prestadores en
Autoridad de Registro.
• Procedimientos para el Ciclo de Vida de los Certificados.
•
Emisión de certificados.
•
Renovación de certificados.
•
Revocación de certificados.
• Procedimiento para la emisión periódica de la Lista de Certificados
Revocados.
• Procedimiento para la sincronización de la información con el sitio de
contingencia.
• Procedimientos para la publicación de información en el repositorio.
• Procedimientos para la revisión de las Políticas y Declaración de
Prácticas de Certificación.
19
Deloitte
© 2012 Deloitte S.C.
Sistema de Gestión de Seguridad de la Información
•
Política de Seguridad de la Información.
•
Gestión de riesgos de seguridad.
•
Clasificación de activos de información.
•
Requerimientos de seguridad para adquisición de software
y hardware.
•
Seguridad ligada al personal.
•
Seguridad física y del ambiente.
•
Controles de acceso lógico a los sistemas.
•
Seguridad en las comunicaciones (repositorio público de información).
•
Configuración segura de aplicaciones en servidores y ambiente de
usuario.
•
Respuesta a incidentes de seguridad y revisión de registros de auditoría.
•
Continuidad de las operaciones.
20
Deloitte
© 2012 Deloitte S.C.
Ceremonia de Claves
• Procedimiento detallado para la generación de claves
de la Autoridad Raíz.
• Etapas del procedimiento:
•
Acreditación de los participantes.
•
Revisión de los insumos (hardware, tokens, formularios, etc.).
•
Instalación y configuración de los componentes de hardware.
•
Instalación del sistema operativo.
•
Formateo del HSM.
•
Generación de claves en el HSM.
•
Instalación del software para gestión de certificados.
•
Configuración del software para gestión de certificados.
•
Generación del Certificado Autofirmado de la Autoridad Raíz.
•
Replicación de las etapas para el esquema de contingencia.
• Procedimiento auditado y filmado.
21
Deloitte
© 2012 Deloitte S.C.
Lecciones Aprendidas
Lecciones Aprendidas
•
Los mayores desafíos no son los tecnológicos sino
estratégicos y de coordinación entre los diversos
actores.
•
Si bien es necesario adaptar la PKI a los objetivos,
necesidades y realidad en la que operará, deben atenderse los
criterios internacionales de interoperabilidad.
•
Hay una sola oportunidad de ser confiables.
•
La falla de un componente de la PKI puede tener un impacto negativo
sobre todo el sistema.
•
El eslabón más débil de la cadena de confianza son las personas.
© 2012 Deloitte S.C.
© 2012 Deloitte S.C.