Información jurídica inteligente
 España | 900 649 672

Productos y servicios

Document Citado por Relacionados
Vincent
AutorJosé Luis Ferrer Gomila
CargoDoctor en Informática. Ingeniero de Telecomunicaciones Profesor de Ingeniería Telemática de la Universitat de les Illes
Páginas99-118

SOFTWARE PARA LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN:

UNICERT DE BALTIMORE TECHNOLOGIES

Los prestadores de servicios de certificación (PSCs) deben disponer, entre otros elementos, del hardware y software necesario para poder ofrecer sus servicios. Nos centraremos en un producto software que permite emitir certificados de clave pública, tarea fundamental, pero no única, que deberá llevar a cabo cualquier PSC. El producto que describiremos es UniCERT de la compañía Baltimore Technologies1.

Baltimore Technologies es una compañía de origen irlandés, especializada en el desarrollo de productos y servicios para dar seguridad en los negocios realizados por medios telemáticos. Es una de las empresas más importantes en el sector de la tecnología para la infraestructura de clave pública (PKI, por Public Key Infrastructure) . Entre sus más de 500 clientes queremos destacar a la Comisión Europea, la red interbancaria S. W. I. F. T. y VISA Internacional. Promueve de forma activa estándares abiertos en el ámbito de la PKI, como lo demuestra su participación en foros como el PKI Technology Alliance Program2. Esta alianza tiene por objeto promover la cooperación de los distintos proveedores de soluciones en el ámbito de la PKI, con el fin de garantizar la interoperabilidad (y por lo tanto la viabilidad) de los productos ofertados por las distintas compañías.

UniCERT es un producto que proporciona distintas funcionalidades en relación a la gestión de una autoridad de certificación, entendida ésta como una entidad que puede (y debe) proporcionar distintos servicios en el ámbito de la firma digital (no siendo una mera entidad emisora de certificados) . Para dotar de mayor flexibilidad al sistema, Baltimore ha realizado un diseño del producto siguiendo una estructura modular. El diseño modular permite que, en función de las necesidades del PSC, se puedan añadir, modificar, actualizar o eliminar componentes de forma individual, dentro del producto global. A continuación se realizará un descripción somera de los componentes en que se divide el producto PKI de Baltimore Technologies.

  1. - Certification Authority (CA) El módulo CA es el núcleo de la infraestructura de clave pública (PKI) . Toda la seguridad del sistema reside en las firmas digitales realizadas por este módulo. La CA funciona de acuerdo con su propia política de seguridad, que se controla con el módulo Certificate Authority Operator (CAO) , que será descrito en el siguiente apartado.

    El módulo CA es el módulo que recibe las peticiones de certificados y de revocación que le han sido remitidas, una vez aprobadas, por parte de las Autoridades de Registro (RAs, por Registration Authorities) y de los Operadores de CA (CAOs, por Certification Authority Operators) . Como respuesta a estas peticiones debe generar los certificados, en el primer tipo de peticiones, y mensajes de confirmación, en ambos casos. Es responsabilidad suya la firma de los certificados de infraestructura y de los de usuarios finales. También debe firmar los certificados de las CAs subordinadas y de otras CAs en el caso de que sea necesaria la certificación cruzada3; así como toda la información de revocación en forma de listas de certificados revocados (CRLs, por Certificate Revocation Lists) y de listas de revocación de autoridades (ARL, por Authority Revocation Lists) . De forma opcional la CA verifica que todos los certificados que ella expide tengan un DN4 (Distinguished Name) único, y que la clave pública certificada sea única.

    Si bien en España no es especialmente relevante, al menos de momento, en Estados Unidos existe una fuerte controversia respecto del uso de tecnología criptográfica que permita el cifrado seguro de mensajes. Es por ello que una de las tareas de alguna o todas las autoridades de certificación es la de almacenar las claves privadas de cifrado con un doble objetivo. Por una parte permitir la intervención de las comunicaciones en el caso de que así se estime necesario. Por otra parte permitir realizar tareas de recuperación en el caso de usuarios que pierdan su clave privada5. A tal efecto, UniCERT proporciona un módulo (Archive Server, AS) para el almacenamiento de estas claves. La CA debe enviar las claves de cifrado privadas de los usuarios que estén marcadas con la indicación de que deben ser archivadas en el AS, si así está definido en la política de seguridad que rige el comportamiento de la CA.

    Todos los mensajes que envía la CA a otros módulos van firmados digitalmente (la CA genera su propio par de claves, y también el par del primer CAO) . A su vez, la CA verifica las firmas anejas de todos los mensajes que recibe, a efectos de garantizar la integridad y la autenticidad de los datos contenidos en los mensajes. Todos los registros de datos y auditoría son archivados en una base de datos de la CA; toda la información archivada será firmada digitalmente por la CA. Cada entrada en la base de datos tiene un número único de seguimiento.

    Por lo que hace referencia a la publicación de certificados e informaciones de revocación, UniCERT permite distintas posibilidades, todas ellas opcionales. La CA puede publicar los certificados, las CRLs y ARLs en un directorio LDAP6 o X. 5007. Si así lo define la política de seguridad, la CA es responsable de publicar las variaciones de status de los certificados en servidores de OCSP8 (Online Certification Service Protocol) .

    El módulo CA puede ejecutarse sobre plataformas con los sistemas operativos Windows NT y Solaris. Permite el uso de tarjetas inteligentes y de módulos de seguridad hardware (HSM, por Hardware Security Modules) . UniCERT da soporte a los estándares de directorio LDAP y DAP. También permite la integración de ValiCert9 para proporcionar los servicios OCSP. El tiempo de publicación de las CRLs es variable (definible en la política de seguridad) .

    Opcionalmente la CA puede tener pares de claves diferenciados para sus distintas funciones: firma de certificados, firma de CRLs, cifrado de datos, cifrado de claves, firma digital y no repudio; el uso de las claves se puede agrupar y combinar como se desee. Los algoritmos que permite abarcan los más utilizados en el mercado: RSA, DSA y DSA de curvas elípticas (EC DSA, por Elliptic Curve DSA) .

  2. - Certification Authority Operator (CAO) El módulo CAO es el elemento con el que interactúa el máximo responsable de la PKI. Controla todas las funciones de administración y de concesión de privilegios a otros módulos y operadores de UniCERT. Si se considera necesario puede haber varios CAOs.

    El CAO comunica las peticiones de certificados aprobadas directamente a la CA. Las peticiones de revocación se ponen en la base de datos de la CA. El CAO puede revocar cualquier certificado (que pertenezca a su jerarquía) .

    El CAO es el responsable de la creación y mantenimiento de la política de seguridad para la expedición de certificados. También mantiene las políticas de operación de la CA y de todas las RAs. De forma dinámica remite las políticas (vía la CA y las RAs) a los RAOs (Registration Authority Operators) individuales para permitirles que expidan certificados siguiendo esa política.

    Puede añadir módulos nuevos a la PKI y concederles los privilegios que considere oportunos. A la vez, es el responsable de generar los pares de claves para estos nuevos módulos.

    Todos los mensajes que envía el CAO a otros módulos van firmados digitalmente. A su vez, el CAO verifica las firmas anejas de todos los mensajes que recibe, a efectos de garantizar la integridad y la autenticidad de los datos contenidos en los mensajes. Todos los registros de datos y auditoría son archivados en una base de datos de la CA; toda la información archivada será firmada digitalmente por el CAO. Cada entrada en la base de datos tiene un número único de seguimiento.

    El módulo CAO puede ejecutarse sobre plataformas con los sistemas operativos Windows NT y Windows95. Incorpora una interfaz gráfica de usuario muy fácil de utilizar, y una interfaz de seguimiento de logs y certificados. Permite la fácil recuperación de certificados y de CRLs, y el seguimiento de las peticiones procesadas. Soporta el uso de tarjetas inteligentes y de módulos de seguridad hardware (HSMs) .

    Un usuario CAO particular puede tener privilegios...

Para continuar leyendo

Solicita tu prueba

Búsquedas relacionadas:

Otros documentos interesantes:

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR