Resultados de Safelayer Secure Communications durante el proyecto CENIT “Segur@ - Seguridad y confianza en la Sociedad de la Información”, parcialmente subvencionado por el Centro para el Desarrollo Tecnológico Industrial (CDTI), con referencia CENIT-2007 2004.
2. Safelayer: actividades en el proyecto Segur@
• Las actividades de investigación de Safelayer en el proyecto Segur@ han
tenido los siguientes focos:
‒ Pasaporte electrónico
‒ Gestión de la identidad centrada en el usuario
‒ Mecanismos de autenticación innovadores
‒ Tecnologías semánticas para la mejora de la confianza
‒ Gestión de evidencias electrónicas
• Entre los resultados conseguidos destacan:
‒ La implementación de prototipos de aplicaciones innovadoras,
disponibles en sandbox.safelayer.com
‒ La integración de tecnologías de distintos campos
‒ La contribución directa a estándares internacionales, incluyendo pruebas de
interoperabilidad con otros fabricantes
• Durante las cuatro anualidades ha contado con la colaboración de la
Universitat Politècnica de Catalunya
I+D / Junio 2011 WWW.SAFELAYER.COM 2
3. Pasaporte electrónico
• Safelayer ha tenido una participación activa en la definición de la
arquitectura de la PKI que permitirá el despliegue del pasaporte
electrónico de segunda generación
‒ Ha participado en la especificación del protocolo de comunicación que permite
el intercambio de claves entre Estados
‒ Ha implementado y probado la infraestructura de PKI para los certificados
verificables por tarjeta incluidos en el pasaporte
‒ Ha estudiado las implicaciones del despliegue de los directorios de claves
públicas nacionales, gestionados por los gobiernos, en los que se encuentra
el material necesario para validar las cadenas de certificación de los
pasaportes
‒ Ha diseñado un prototipo de sistema de inspección
‒ Ha implementado un prototipo de directorio centralizado para la distribución
de material criptográfico a los sistemas de inspección
• El trabajo ha tenido un carácter internacional, como continuación de la
labor del Brussels Interoperability Group
I+D / Junio 2011 WWW.SAFELAYER.COM 3
4. Gestión de la identidad centrada en el usuario
• Safelayer ha desarrollado un proveedor de identidad experimental que
integra varias tecnologías para la gestión de identidad centradas en el
usuario:
‒ Autenticación mediante tarjetas de información administradas
‒ Importación de datos desde certificados digitales (DNIe), documentos RDF y
proveedores OpenID, con verificación del origen: se reconoce y valora la
información procedente de fuentes de confianza
‒ Obtención dinámica de atributos de identidad
• También ha diseñado e implementado un editor de documentos FOAF,
con agregación inteligente de perfiles de identidad procedentes de
distintas redes sociales
• Para simplificar el tratamiento de documentos FOAF y minimizar la
necesidad de usar herramientas específicas de la comunidad RDF,
Safelayer ha publicado la API foaf4j bajo licencia GPL
• Todas las aplicaciones experimentales están disponibles en
sandbox.safelayer.com
I+D / Junio 2011 WWW.SAFELAYER.COM 4
5. Mecanismos de autenticación innovadores
• Con el fin de mejorar los procesos de autenticación, se han ideado
mecanismos innovadores que aportan una seguridad proporcional al
riesgo, a la vez que mantienen un uso simple
‒ Contraseñas de un solo uso, más seguras
‒ Contraseñas gráficas, más fáciles de recordar
‒ Autenticación mutua de cliente y servidor
• Se han diseñado y validado dos sistemas experimentales de
autenticación fuerte multifactor, innovadores y ergonómicos:
‒ gOTP generator para iPhone, disponible en App Store
‒ QR-Scan OTP para Android, disponible en Android Market
‒ Ambas aplicaciones pueden probarse como mecanismo de autenticación para
acceder a sandbox.safelayer.com
• Safelayer ha aplicado los conocimientos adquiridos en los estándares de
ISO/IEC para la gestión de la identidad, la autenticación y el control de
acceso
I+D / Junio 2011 WWW.SAFELAYER.COM 5
6. Tecnologías semánticas para la mejora de la
confianza
• Se ha trabajado con lenguajes y herramientas semánticos con los siguientes
objetivos:
‒ Integrar información de identidad y de seguridad
‒ Inferir nueva información que no esté registrada de forma explícita en las bases de
conocimiento
‒ Facilitar la interoperabilidad de aplicaciones y el descubrimiento de servicios
• Se han propuesto ontologías y soluciones que mejoran las aplicaciones de
seguridad y confianza, abordando y validando los siguientes casos de uso:
‒ Gestión de derechos digitales (DRM): Prototipo de autorizador semántico para la
protección de recursos
‒ Firma digital semántica: Aporta integridad y autenticidad a fragmentos de
información avalada por distintas fuentes de confianza sin comprometer documentos
completos, como ocurre con los formatos de firma estándares
‒ Mecanismos de autenticación: Obtención de su nivel de seguridad (level of
assurance) de forma dinámica
‒ Confianza: Evaluación de los factores de influencia en el ciclo de vida de las claves
PKI y los entornos de uso de los certificados
‒ Control de acceso: Validación de políticas XACML y propuesta de esquema
semántico para un mejor aprovechamiento de la información
I+D / Junio 2011 WWW.SAFELAYER.COM 6
7. Gestión de evidencias electrónicas
• Para complementar los sistemas de gestión de la información de
seguridad, Safelayer ha trabajado en la creación y la gestión de
evidencias electrónicas
• Se ha propuesto y probado un sistema que dota de validez técnica y
legal a información de seguridad recopilada y procesada por el sistema
de gestión cooperativa de la seguridad
‒ El sistema permite crear, conservar y acceder a registros de evidencias
electrónicas asociadas a los eventos del sistema que deben ser almacenados
a largo plazo
• Se ha diseñado y validado un servicio de garantía de participación en
transacciones electrónicas, que fortalece la seguridad del sistema de
gestión cooperativa de la seguridad mediante evidencias electrónicas de
los intercambios de información
• En cuanto al manejo de información que puede ser requerida a largo
plazo:
‒ Se han estudiado las implicaciones del almacenamiento longevo de
información, en cuanto a su acceso, su interpretación y su confianza
‒ Se ha estudiado la viabilidad de usar ontologías para estructurar la
información relativa a eventos de seguridad
I+D / Junio 2011 WWW.SAFELAYER.COM 7