II. Aspectos Legales sobre PKI Managua, 1ro Diciembre 2010.
36
II. Aspectos Legales sobre PKI Managua, 1ro Diciembre 2010
-
Upload
carmencita-lucero -
Category
Documents
-
view
36 -
download
2
Transcript of II. Aspectos Legales sobre PKI Managua, 1ro Diciembre 2010.
II. Aspectos Legales sobre PKI
Managua, 1ro Diciembre 2010
2
¿Cual es el marco legal ideal del PKI?
Código Civil
Ley deFirma digital
Leyadministrativa
LeyesGenerales Código
Criminal
Ley deProtección de
privacidad
Ley de gobierno electrónico
LeyesEspeciales Ley de
Comercioelectrónico
Regulación para los Proveedores De servicio
De certificación
(Cubriendo los certificadosEncriptados y la firma
Digital
Aparición de los problemas de privacidad en un ambiente electrónico
• Los problemas registrados en la plataforma de InternetEntre 2007 y 2009 comenzaron a surgir graves problemas de fuga de datos personales en librerías en línea, e-tiendas
• Los problemas se produjeron en los canales de envío y suministroFeb.2008 Una librería líder de ventas online filtró alrededor de 6.000 datos de carácter personal de sus clientes. La investigación policial demostró que la filtración de la protección de la privacidad estaba en su proveedor de servicio de envío y los canales de suministro.
• Ataque profesionalLos hackers atacaron e-tiendas ( tiendas electrónicas) o sistema de banca en línea con la finalidad de remover o copiar datos de carácter personal.
Políticas para enfrentar los problemas de privacidad
Plan de Gestión Interna de Seguridad
Servicio de protección de la privacidad o una solución de
seguridad
Establecer un Sistema de Gestión de Protección de la
Privacidad
Fomentar y promover el uso dee-autenticación. Adaptar una plataforma adecuada a mecanismo de seguridad. El gobierno apoyará con soluciones para empresas privadas (tecnología, información, plataforma de consulta, y así sucesivamente)
Marco Legal - PKI
Ley de Firma Electrónica (ESA)Estalecieron los Principios Fundamentales de los documentos y firmas electrónicas.
Regulación de la Autoridad de Certificación (CA)
Ley de Firma Electrónica (ESA)Estalecieron los Principios Fundamentales de los documentos y firmas electrónicas.
Regulación de la Autoridad de Certificación (CA)
Reglamento de la Ley de Firma ElectrónicaDefiniciones y procedimientos para la implementación de la ESA
Reglamento de la Ley de Firma ElectrónicaDefiniciones y procedimientos para la implementación de la ESA
Reglamento de Administración de permisos de proveedores extranjeros de servicios de certificación
Requisitos y procedimientos para obtener el permiso para ofrecer servicio de certificación en Taiwán
Reglamento de Administración de permisos de proveedores extranjeros de servicios de certificación
Requisitos y procedimientos para obtener el permiso para ofrecer servicio de certificación en Taiwán
Reglamento de la información requerida para la Declaración de Prácticas de Certificación (CPS)
Reglamento de la información requerida para la Declaración de Prácticas de Certificación (CPS)
Mapa de ruta de las legislación
1996 1997 2001 2002 2003 2004 2005 2006 2009
1997 Discusión de la necesidad de una legislación.
Nov.14, 2001Promulgación de la Ley firma electrónica
01 de abril 2002Aplicación de la ESA
Discusión de la necesidad de modificar el marco jurídico vigente
Promulgación de reglamentos relacionados con:Reglamentación de la Ley de Firma electrónica2002)Reglamento - Permiso de FC SP (2002)Reglamentos-Para las prácticas de certificación CPS (2004)
Firmas Electrónicas
Nuevo Proyecto de Enmienda(2009)
Estructura de Ley de Firma Electrónica de Taiwán
Gestión del CA (autoridad certificadora )
Gestión del CA (autoridad certificadora )
e-Documento & e-Firmae-Documento & e-Firma
Requerimientos legales para la validez de los e-documentos
Requerimientos legales para la validez de los e-documentos
Requerimientos legales para la validez de e-firma
Requerimientos legales para la validez de e-firma
Requerimientos legales para reservar e-documentos
Requerimientos legales para reservar e-documentos
Envio y recepción de e-documentos
Envio y recepción de e-documentos
Excepción para aplicar ESAExcepción para aplicar ESA
Deberes legales del CADeberes legales del CA
Regla de gobierno CA Regla de gobierno CA
Declaración de prácticas de Certificación (CPS)
Declaración de prácticas de Certificación (CPS)
Aprobación CA extranjeras Aprobación CA extranjeras
Ley de Firma Electrónica (ESA)Ley de Firma Electrónica (ESA)
Principios de la ESA de Taiwán
Ley de firma digital
Ley de firma digital
Neutralidad Tecnológica
Equivalencia funcional
Autonomía de las Partes
Exclusión y excepción
Neutralidad Tecnológica
• Interpretación:La ley no favorece ni aprueba ninguna tecnología específica para la firma electrónica o documentos electrónicos.
• Fundamento:Cualquier tecnología desarrollada para el uso de una firma electrónica válida de los documentos electrónicos, debe cumplir con las funciones fundamentales y definiciones que figuran en la ley de firma electrónica .
? ?
Autonomía de las partes
• Interpretación:Las partes que participan en el comercio electrónico se les permite decidir entre utilizar o no utilizar métodos electrónicos para llegar a sus acuerdos y elegir el método tecnológico para redactar y firmar sus documentos.
• Los propósitos:El respeto de la libre voluntad de cada una de las partes.Proteger a las partes de la brecha digital.
Equivalencia funcional
• Interpretación:El reconocimiento de documentos electrónicos y firmas electrónicas con la misma eficacia jurídica de los documentos y firmas tradicionales en papel.
• Características:El reconocimiento a todos los documentos electrónicos y firmas electrónicas.Requisitos específicos para “instrumentos legales / Firmas”.
Exclusión y excepción
• Interpretación:Reglamento de la ESA se aplican a todos los estatutos y reglamentos de Taiwán.Sin embargo, cada autoridad competente puede excluir conductas específicas de la aplicación de la ESA.
• Propósitos:Conservación de las pruebasBalance para el desarrollo de tecnologías
Principios para regular CA ( autoridad de certificación)
• Interpretación:La ley adopta una política de bajo perfil permitiendo que el mercado lidere el desarrollo de servicios de certificación.
• Propósitos:Para fomentar el desarrollo de las industrias de Certificación.A través de la competencia mejorar la calidad del servicio.
Respeto del mecanismo de mercado
Principios Fundamentales
CA Gestión
CA Gestión
Divulgación de
la Información
Divulgación de
la Información
Esquema de SeguridadEsquema de Seguridad
Protección de Privacidad
Protección de Privacidad
Protección del derecho
Del titular
Protección del derecho
Del titular
Divulgación de la Información
• Obligación de divulgar información a los demás participantes.
• Propósitos:Que todos los participantes tomen conciencia de los riesgos y responsabilidades asociados al servicio de certificación.
• Puntos claveDisponibilidad de la InformaciónCambio de estado
Divulgación de la Información• Objetos
Política de Certificación (CP)Declaración de Prácticas de Certificación (CPS)– Incluidas todas las materias requeridas en un CPS– ejemplos:
información de auditoría.Obligación legal de todos los participantesGestión de la seguridadSituación financieraCondiciones para revocar el certificadoProtección de información de los datos personales.
Modificación de los estados de la CPSCertificadoModificación de los estados del Certificado
Protección de la Privacidad
• Protección de los datos personales de la recolección, divulgación y su uso ilegal o inadecuado.
• Requisitos legales:1. CPS requiere información:
– Categorización de la información confidencial.– Asuntos relacionadas con la protección de datos
personales.
2. Procesamiento computarizado de la Ley de Protección de Datos Personales.
– Recoger en el ámbito de la necesidad.– Consentimiento y el alcance de uso.
Esquema de Seguridad
Mitigar los riesgos inherentes al servicio de autenticación
Control no técnico de Seguridad
Control de Seguridad Técnico
: Personas, documentos, ambiente
: Claves, medidas de seguridad etc.
Esquema de Seguridad
Control de Seguridad No-Técnica
Personas
Registro de Servicio Período de
Presentación Protección Copias Tiempos Frecuencia de
Gestión
Documentos
Compromiso y recuperación ante desastres
Procedimientos de terminación de servicios
Sustitución de claves
Ambiente
• Calificación del Staff• Control de Acceso• Deber de
Confidencialidad• Entrenamiento• Trabajos de ajuste• Disciplina
Esquema de Seguridad
• Software• Seguridad de la Red
Control de Seguridad Técnico
Claves
Medidas de Seguridad
Generación e instalación del par de claves Quién las generó? Son las claves proporcionadas seguras? Longitud, parametros, proposito de uso de las claves
Protección de Clave Privada Modulo de estandares y criptografía Control de claves privadas entre varias personas Archivo de soporte Activación-desactivación y destrucción de claves
Protección del derecho del Titular
• Derechos de los titulares:• Suscriptores de Certificados• Partes de Confianza
• Recupera Daños– Objetos:
– Cualquier daño causado por sus operaciones o cualquier otro proceso de certificación relacionado.
– Responsabilidad por negligenciaCarga de la prueba: Proveedor de Servicios de Certificación
• Limitación de responsabilidad• De resolución de litigios y política de devolución
Procedimiento legal para proveer un servicio de certificación (CA)
CPSCPSApproved
• Cualquier entidad pública o privada puede aplicar para prestar el servicio de certificación.
• Incluyendo cambio de estado del servicio existente.
Procedimiento legal para proveer un servicio de certificación
• Cumplir con el requisito del Reglamento• Pasar revisión por el Comité de Revisión de
CPS• Obligación de publicar el CPS Aprobado en
sitio web oficial del:1. CA2. Ministerio de Economía
• Después de la divulgación del servicios CPS - Aprobado … iniciar la operación del servicio
CPSCPS
Procedimiento para terminación del servicio de certificación
• Encontrar otra agencia para llevar a cabo el servicio– A elección de CA– Nombrada por el gobierno
• Informar a los clientes• Transferencia de archivos y
registros
30 días preaviso
Preparación para terminar el servicio
Plan de terminación (TP)
apro
bad
o
Comité revisión
Despues de completada la
implementación de TP
Esquema de la Práctica actualAutoridad Competente de la regulación de CA:Ministerio de Asuntos Económicos (MOEA)
• examen preliminar del CPS• Examen del Plan de terminación CA• Sugerencia de Comité de Revisión• Sugerencia de Reformas Legales• Redacción de la Ley y el Reglamento• Q & A de la aplicación de la ley para
CA
MOEAMOEA
Departamento de comercioDepartamento de comercio
Privado CAPrivado CA Público CAPúblico CA
STLCSTLC
Componen CPS
Componen CPS
Envíe el CPS para el examenEnviar un Aviso de Plan de Terminación
Revisióncomité
Revisióncomité
Ejemplo 2: e-Gobierno
CA PÚBLICA
Gobierno PKI Estructura No Gob. PKI Estructura
GRCA- Gobierno Root CA
GCA- Gobierno CA
MOEACA-Ministerio de Economía CA
MOICA-Ministerio del Interior CA
XCA-Mix de varias organizaciones CA
HCA- Cuidado de la salud CA
LYCA- Legislativo Yuan CA
Taichung Harbor Bureau CA
Futuro seguimiento• Legislación - Siguiente Nivel
Después de la certificación, las industrias están creciendo y madurando, la Ley de Firma Electrónica está pasando a otra etapa.
• Legislación Siguiente Nivel:
– Fortalecer la regulación de la gestión de CA – Fomentar y ampliar el campo de aplicación del certificado
• 2009 Proyecto de la Enmienda• CA requerida para obtener permiso del gobierno antes de ofrecer servicio
al público.• Fortalecer el poder de la Autoridad Competente.• En sentido estricto de la obligación de CA para poner fin a su servicio• Nueva política para admitir proveedor de servicios extranjeros CA
GRACIAS
• CPS es un documento en el que se detallan los procedimientos operativos sobre cómo ejecutar la política de seguridad y cómo aplicarla en la práctica. Por lo general, incluye definiciones sobre cómo se construyen y operan las Autoridades de Certificación, cómo se emiten, aceptan y revocan certificados, y cómo se generan, registran y certifican las claves, dónde se almacenan y cómo se ponen a disposición de los usuarios.
• una política de certificado (CP) y una declaración de práctica de certificación (CPS) son clave en la determinación del nivel de confianza que puede depositarse en un certificado digital.La política de certificado es el conjunto de requerimientos y aspectos que gobiernan y controlan la creación y el uso de certificados digitales basados en clave pública. Mientras que la declaración de práctica de certificación hace referencia al conjunto de actividades llevadas a cabo por la Autoridad de Certificación en la actividad de emisión de certificados digitales.
• Una autoridad de certificación es esa tercera parte fiable que acredita la ligazón entre una determinada clave y su propietario real
• Autoridades de certificación (CA o certification authorities): que vinculan la clave pública a la entidad registrada proporcionando un servicio de identificación. Una CA es a su vez identificada por otra CA creándose una jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad común que directa o transitivamente les avala.
Autoridades de registro (RA o registration authorities): que ligan entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA.
Autoridades de fechado digital (TSA o time stamping authorities): que vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado (resolverían el problema de la exactitud temporal de los documentos electrónicos
• ¿Qué son los certificados digitales?Son unos documentos, electrónicos, que incorporarían las dos claves citadas antes (la pública y la privada), permitiendo su uso firmar documentos en formato electrónico, pudiéndose de este modo acreditar la identidad del firmante, la integridad del contenido (que no ha sido modificado), así como la fecha de su firma. De cualquier modo, para la facturación electrónica se requería además que quede debida constancia en cuanto al momento de la emisión de la misma, así como del momento de su recepción por el destinatario. Esta última cualidad – acreditación y constancia del aspecto temporal – es lo que se llama sellado de tiempo o time stamping. El sello de tiempo asegura que tanto los datos originales del documento como la información del estado de los certificados, se generaron antes de una determinada fecha.
• AUTORIDAD DE REGISTRO: • Tienen por misión realizar las funciones de asistencia a la Autoridad de Certificación en los
procedimiento y trámites relacionados con los ciudadanos para su identificación, registro y autenticación y de esta forma garantizar la asignación de las claves al solicitante.Función hash: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Función hash.
• Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar una función hash a un mensaje y que cumple la propiedad de estar asociado unívocamente a los datos iniciales.
• LDAP: Lightweight Directory Access Protocol (Protocolo de acceso a servicios de directorio)• Los repositorios: son las estructuras encargadas de almacenar la información
relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados. En una lista de revocación de certificados (CRL, del inglés, Certificate Revocation List) se incluyen todos aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida dentro del mismo certificado.
• OCSP (del inglés, Online Certificate Status Protocol).• La autoridad de validación (VA): es la encargada de comprobar el estado de
revocación del certificado digital en el momento en el que se quiere utilizar.• Firma electrónica básica: es el conjunto de datos en forma electrónica,
consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal.
• Firma electrónica avanzada: es aquella firma electrónica que permite comprobar la identidad personal del firmante respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control.
• Firma electrónica reconocida: es aquella firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma, lo que le otorga validez legal equiparable a la firma manuscrita.
• POLITICAS Y PRÁCTICAS DE CERTIFICACION CPS Y CP: • Declaración de Practicas de Certificación (CPS): describe las prácticas empleadas
en la emisión y gestión de certificados. Gobierna la gestión de la infraestructura de llaves publicas y podría también incluir las descripciones de los servicios ofrecidos. Provee de un marco legal que describe las obligaciones y márgenes de responsabilidad que asume la Autoridad de certificación, así como sus derechoscon los titulares de los certificados emitidos por esta.
• Política de Certificación (CP): consiste en un conjunto de reglas que indican la aplicabilidad de un certificado a una particular comunidad y lo de aplicaciones con requerimientos de seguridad comunes
• CLR: Certificate Revocation List IssuersLos emisores de listas de revocación de certificado actúan en nombre de la
autoridad de certificación, siendo de carácter opcional aunque sumamenteconvenientes. Son listas de los certificados que han dejado de ser validos y portanto en los que NO se pueden confiar. Estos son revocados en caso como; la llaveprivada se vea comprometida o hayan cambiado los atributos del certificado
• Autoridades de Certificación (CA) : Representan la fuente de credibilidad de la infrastructura de llave pública. Quienes emiten los certificados, firmándolos digitalmente con su llave privada. Certifican que la llave pública asignada en un certificado a una entidad final, corresponde realmente a dicha entidad final. Ver: “CA Trust.pdf” en www.pkiforum.org. Verisign es el representante más conocido.
• 3º Autoridad de Registro, o Registration Authority (RA) :Realiza el proceso de registro de las entidades finales por encargo de la autoridad de certificación. Valida los atributos del sujeto que solicita el certificado, Verifica que el sujeto posee la llave privada a registrar, Genera los secretos compartidos que permiten el proceso de inicialización y certificación. Genera el par de llaves público/privada, ver ANSI X.9 estándares. Valida los parámetros de las llaves públicas presentadas para su registro.
