Desde la irrupción de los dispositivos móviles y el uso de los certificados digitales de empresa, se ha generado una necesidad de mejorar la gestión de los certificados digitales en las empresas y organismos públicos. El uso de un almacén central mejora la productividad, la seguridad y la usabilidad de los certificados para realizar todo tipo de tramites y operaciones.
1. El almacén central de certificados digitales
y su uso desde dispositivos móviles para firma y/o autenticación
Rames Sarwat
General Manager – SmartAccess
Twitter: @ramessarwat
2. El certificado digital
Es un documento electrónico que asocia un par de números
aleatorios (también llamados claves) a una persona u
organización y que permite firmar documentos, demostrar
nuestra identidad en la red o cifrar información
CERTIFICADO DIGITAL
Nombre: SARAH
Apellidos : JANE BLOGGS
Número ID: 4545676-4555554
Nacionalidad: BRITANICA
Valido desde: 1-1-2010
Valido hasta: 31-12-2012
Clave pública
3648963846823470892347098273487203948720398470
2389740982374087230432424234234234234..
Clave privada :
8798327498270384823740827394872384702387408273
40897238478092374098723094872038472347..
Clave pública
36489638468234708923470982734872039487203984702
389740982374087230432424234234234234
Clave privada :
87983274982703848237408273948723847023874082734
0897238478092374098723094872038472347
3. La seguridad del certificado digital
A una de las claves se
denomina clave pública y
puede ser compartida con
terceros con el objetivo de
que puedan verificar
nuestra identidad o los
documentos que firmamos
La clave privada
no debe compartirse. El
uso de esta clave nos
vincula y, por tanto, es
importante asegurar que
la clave esta siempre bajo
nuestro exclusivo control
4. Principales usos de
los certificados digitales
Demostrar la identidad
de una persona, empresa
o equipo
Asegurar la integridad
(no modificación) de la
información
•Acceso a tramites con las
Administraciones Públicas
y organismos reguladores
•Conexión segura a redes
privadas (VPN)
•Acceso seguro a puestos
de trabajo, servidores o
aplicaciones
•Autenticar servidores en
Internet (SSL)
•Autenticar equipos para el
acceso a la red (NAC)
•Firmar documentos como
contratos, facturas,
albaranes, etc.
•Firma de correos
electrónicos y otros
mensajes (SMS…)
•Firma de ficheros de
registro como logs o
BBDD (evidencias
electrónicas)
•Firma de documentos
escaneados (digitalización
certificada)
•Firma de aplicaciones
(code signing)
Proteger el acceso no
autorizado a información
•Cifrado de correos
electrónicos
•Cifrado de ficheros y/o
documentos
•Cifrado de discos y/o
BBDD
•Gestión de derechos
digitales
•Cifrado de
comunicaciones (SSL,
IPSec, etc.)
5. Custodia del certificado digital
Podemos guardar un certificado digital en:
El disco duro un
ordenador o servidor
(certificado software)
Una tarjeta con chip
o smart card
Un dispositivo seguro de
almacenamiento de claves
(HSM)
6. Lo que los usuarios nos demandan:
“poder firmar documentos y conectarse de forma segura desde cualquier
dispositivo, lugar y momento”
Dispositivos
móviles
Certificados
de
empresa
Movilidad de
los usuarios
El uso ubicuo de los certificados digitales
7. Beneficios de la centralización
Facilita la movilidad de los usuarios
• Entre diferentes equipos y dispositivos autorizados, manteniendo siempre los certificados accesibles
Mayor usabilidad
• Diferentes métodos para autorizar el acceso a las aplicaciones a nuestra clave privada (PIN, OTP,
biometría) hacen que se faciliten las operaciones con certificados digitales
• Mayores facilidades para integración de aplicaciones y sistemas con los certificados
Facilita la gestión corporativa de los certificados digitales
• Permite inventariar y facilita la renovación de los certificados que se utilizan en la organización
• Integrado con Autoridades de Registro de Prestadores de Servicio de Certificación simplifica la gestión
Mejora la seguridad
• Custodia centralizada la claves privadas de los certificados en dispositivos certificados
• Seguridad integrada con el resto de Sistemas de Información (Directorio Activo y/o LDAP)
• Limita el uso de los certificados digitales
• Trazabilidad completa del uso de cada certificado
8. Tipos de firma electrónica
(según Ley de firma electrónica 59/2003)
Firma electrónica
Firma electrónica avanzada
Firma electrónica reconocida
Conjunto de datos, en forma
electrónica, consignados junto a
otros o asociados con ellos que
pueden ser utilizados como
medio de identificación del
firmante
Vinculada al firmante de
manera única y a los datos a
que se refiere
Ha sido creada por medios que
el firmante puede mantener
bajo su exclusivo control
Se considera firma electrónica
reconocida la firma electrónica
avanzada basada en un
certificado reconocido y
generada mediante un
dispositivo seguro de creación
de firma
80%
0,1%
20%
CEN CWA 14169
CC EAL 4+
9. Sobre la legalidad de la solución…
La firma con almacén central de certificados digitales tiene hoy la
consideración de firma electrónica avanzada pero incorpora
mecanismos de seguridad equivalentes a los existentes en la firma
electrónica reconocida
La norma CEN CWA 14169 se encuentra actualmente en revisión
para, entre otros cambios, incorporar la posibilidad de certificar los
dispositivos HSM
El nuevo borrador de reglamento de la UE relativo a la identificación
electrónica y los servicios de confianza para las transacciones
electrónicas en el mercado interior, sustituirá probablemente en 2014
a la directiva europea de firma electrónica (1999/93/CE) y reconocerá
con probabilidad la firma centralizada con dispositivos HSM
certificados como firma cualificada
10. Virtual Smart Card
•
•
Un agente se encarga de hacer accesibles los
certificados digitales de un usuario a las
aplicaciones sin cambios ni configuraciones
complejas
El acceso a la clave privada se autoriza
mediante:
–
–
–
–
•
Transparente para el usuario y sin
necesidad de cambiar las aplicaciones
actuales
Un PIN
Una contraseña de un solo uso (One Time
Password u OTP)
Un reconocimiento biométrico (p.e. huella
dactilar o reconocimiento de patrón de firma
manuscrita)
Combinaciones de los anteriores
Cada usuario puede gestionar su partición
privada o virtual smart card mediante un
interfaz web para realizar las operaciones de:
–
–
–
–
Cambio de PIN
Importación y borrado de certificados
Delegación a otros usuarios
Disponible también un asistente para la
importación de certificados a su VSC
11. Integración con
emisores de certificados digitales
• La integración con la autoridad de registro
de un Prestador de Servicios de
Certificación permite:
– Que los certificados sean emitidos de forma
segura en el dispositivo HSM sin posibilidad
de clonación y manipulación por parte de
los operadores
– Reducir el tiempo y esfuerzo en la emisión
de los certificados, al automatizar su
asignación a su propietario y la
comunicación del PIN inicial por canales
online o presenciales
– Mejorar la gestión de dichos certificados
permitiendo la renovación semi-automática
de los certificados
12. Políticas o reglas de uso
• Establecer las restricciones de uso a cada
certificado mediante un conjunto de reglas o
condiciones de acceso
• Estas condiciones de acceso pueden incluir
combinaciones de:
– Usuarios autorizados (bien locales o
pertenecientes al Directorio Activo de la
organización)
– Equipos o dispositivos desde los que se
permite el acceso
– Aplicaciones
– URLs autorizadas (solo en Internet Explorer)
– Rangos o periodos de tiempo
14. Auditoría e informes
• El módulo de auditoría registra cualquier
uso de los certificados digitales almacenados
en el almacén.
• Un motor de informes integrado permite:
– Informes predefinidos (usuarios, certificado,
equipos,..)
– Posibilidad de definición de nuevos informes
– Generación automática y/o manual de
informes
– Exportación a PDF, Excel o texto y envío
automatizado a usuarios por e-mail
15. Conclusiones
• La firma electrónica con almacén de certificados tiene
hoy validez legal y se verá probablemente reforzada
por el nuevo reglamento de la Unión Europeo
• Para la empresa supone:
– mayor productividad
– menor esfuerzo de administración y
– mayor seguridad en la custodia de certificados
• Su uso no tiene impacto en los usuarios ni requiere
cambios en la infraestructura existente
• Empresas y organismos públicos han implantado, con
éxito, soluciones de almacén central de certificados