Que tan segura es la fir­ma elec­tro­ni­ca?

Las me­di­das de se­gu­ri­dad de es­ta he­rra­mien­ta cuen­tan con una eje­cu­ción ro­bus­to, sin em­bar­go la ca­pa ocho pue­de ser el prin­ci­pal enemi­go.

IT Now El Salvador - - Sumario - Ge­ral­di­ne Va­re­la

Las me­di­das de se­gu­ri­dad de es­ta he­rra­mien­ta cuen­tan con una eje­cu­ción ro­bus­to, sin em­bar­go la ca­pa ocho pue­de ser el prin­ci­pal enemi­go.

En la ac­tua­li­dad, to­do do­cu­men­to e in­for­ma­ción que es­té en la \eb pue­de ser ob­je­to de ata­que, ya sea por ro­bo de in­for­ma­ción, de bie­nes o su­plan­ta­ción de iden­ti­dad. La fir­ma electrónica no es aje­na a es­to. Pe­se a que es una he­rra­mien­ta bas­tan­te segura y con­fia­ble, hay cier­tos con­cep­tos que de­ben te­ner­se cla­ros y pre­sen­tes a la ho­ra de ob­te­ner un cer­ti­fi­ca­do de fir­ma electrónica y al usar la mis­ma. Clau­dia de Cas­tro, ge­ren­te ge­ne­ral de Re­gis­tro Di­gi­tal Pris­ma, S. A. au­to­ri­dad cer­ti­fi­ca­do­ra, ex­pli­có que las fir­mas elec­tró­ni­cas ba­san su se­gu­ri­dad en tres ele­men­tos cla­ves del pro­ce­so tan­to ope­ra­ti­vo co­mo tecnológico: un es­que­ma ope­ra­ti­vo pa­ra asig­na­ción del cer­ti­fi­ca­do, un es­que­ma de crip­to­gra­fía y un es­que­ma de pro­tec­ción de la cla­ve y el cer­ti­fi­ca­do.

El pri­mer ele­men­to se ba­sa en el pro­ce­so ope­ra­ti­vo me­dian­te el cual se emi­te y se en­tre­ga un cer­ti­fi­ca­do de fir­ma electrónica.

Si bien un cer­ti­fi­ca­do pa­ra fir­ma electrónica es un ar­chi­vo, tam­bién es un do­cu­men­to le­gal que per­mi­te la iden­ti­fi­ca­ción de una per­so­na co­mo lo pue­de ha­cer al­gún otro do­cu­men­to de iden­ti­dad ofi­cial co­mo un pa­sa­por­te o una cre­den­cial de iden­ti­dad`, de­ta­lló.

Es­to sig­ni­fi­ca que pa­ra emi­tir un cer­ti­fi­ca­do de fir­ma electrónica, la or­ga­ni­za­ción emi­so­ra (Au­to­ri­dad de Cer­ti­fi­ca­ción egis­tro Di­gi­tal Pris­ma) de­fi­ne un pro­ce­so en el que es­ta­ble­ce con­tro­les pa­ra ga­ran­ti­zar que só­lo se en­tre­ga un cer­ti­fi­ca­do a la per­so­na co­rrec­ta (quién di­ce ser) y que acre­di­ta su iden­ti­dad de for­ma con­fia­ble. El se­gun­do ele­men­to se re­fie­re al mo­de­lo de crip­to­gra­fía so­bre el cual se ba­san los cer­ti­fi­ca­dos y las fir­mas elec­tró­ni­cas: Crip­to­gra­fía Asi­mé­tri­ca. La crip­to­gra­fía asi­mé­tri­ca se ba­sa en dos cla­ves ma­te­má­ti­ca­men­te re­la­cio­na­das, de tal for­ma que lo que se en­crip­taƒci­fra con una, se des„en­crip­ta ƒdes­ci­fra con la otra. Es­te mo­de­lo ha per­mi­ti­do re­sol­ver una de las prin­ci­pa­les di­fi­cul­ta­des de la crip­to­gra­fía si­mé­tri­ca (la que usa una so­la cla­ve): la dis­tri­bu­ción y pro­tec­ción de la lla­ve o cla­ve de ci­fra­do.

De acuer­do a Car­los de …icen­te, Di­rec­tor Desa­rro­llo de †ego­cio REALSEC La­ti­noa­mé­ri­ca, son pre­ci­sa­men­te es­tas cla­ves que se em­plean pa­ra fir­mar las que com­po­nen la se­gu­ri­dad de las fir­mas

“La mi­gra­ción no ha si­do trau­má­ti­ca, ade­más las con­sul­tas con res­pec­to al le­gacy an­te­rior no han si­do mu­chas. Es­toy con­ven­ci­do que el de­par­ta­men­to de tec­no­lo­gía siem­pre se man­ten­drá li­dian­do con los sis­te­mas le­gacy”. Da­niel Díaz, Em­pre­sa Pa­na­me­ña de Ali­men­tos (EPA).

di­gi­ta­les. Es­pe­cial­men­te, la cla­ve pri­va­da, que ja­más de­be ser ce­di­da y de­be cus­to­diar­se ce­lo­sa­men­te.

Pa­ra que la ge­ne­ra­ción de esas cla­ves sea co­rrec­ta y segura, de­be cum­plir con unas pre­mi­sas muy im­por­tan­tes: la ab­so­lu­ta alea­to­rie­dad, con ge­ne­ra­ción ba­sa­da en va­ria­bles en­tró­pi­cas y la to­tal pri­ma­li­dad en­tre los com­po­nen­tes ma­te­má­ti­cos de cons­truc­ción de cla­ve`, ase­gu­ró el ex­per­to.

Sin es­tas dos con­di­cio­nes, las cla­ves pri­va­das (con las que se fir­ma) pue­den re­sul­tar dé­bi­les fren­te a ata­ques ma­te­má­ti­cos y no se cum­plen cuan­do son ge­ne­ra­das por un or­de­na­dor de pro­pó­si­to ge­ne­ral. Si cum­plen cuan­do es­tas cla­ves son ge­ne­ra­das por un dis­po­si­ti­vo crip­to­grá­fi­co co­mo es por ejem­plo un ‡S!, ‡ard\are Security Mo­du­le.

Los cer­ti­fi­ca­dos y las lla­ves pri­va­das de­ben ser res­guar­da­dos de for­ma segura, con me­ca­nis­mos adi­cio­na­les, ya que al caer en ma­las ma­nos re­pre­sen­tan un ries­go de iden­ti­dad pa­ra el due­ño ver­da­de­ro de esos ac­ti­vos. Los cer­ti­fi­ca­dos y lla­ves pri­va­das que iden­ti­fi­can a or­ga­ni­za­cio­nes guar­dan es­te ti­po de ac­ti­vos en equi­pos es­pe­cia­li­za­dos de al­ta se­gu­ri­dad co­no­ci­dos co­mo ‡S!ˆs (‡ard\are Security Mo­du­le) que re­quie­ren de una gran can­do­cu­men­to. ti­dad de con­tro­les pa­ra ac­ce­der a es­tos ar­chi­vos y no per­mi­ten su ex­trac­ción de for­ma no au­to­ri­za­da.

Se co­no­ce que son el SHA1 y el SHA2 los pro­ce­sos que ga­ran­ti­zar la se­gu­ri­dad de la fir­ma, pe­ro de acuer­do al ex­per­to de

eal­sec, los hash` (di­gest o re­su­men) ac­túan más co­mo da­to a ve­ri­fi­car que co­mo ele­men­to de se­gu­ri­dad en su sen­ti­do más pu­ro.

Ob­via­men­te, es el da­to que se en­crip­ta con la cla­ve pri­va­da, cons­ti­tu­yen­do un com­pro­ban­te de la in­te­gri­dad y no al­te­ra­ción del do­cu­men­to fir­ma­do. Es un re­su­men irre­pe­ti­ble cal­cu­la­do so­bre el con­jun­to de by­tes que cons­ti­tu­yen el La al­te­ra­ción de un so­lo bit en el ar­chi­vo, con­lle­va la ob­ten­ción de un hash dis­tin­to. Gra­cias a ello, se pue­de cal­cu­lar el hash (y, por tan­to, fir­mar) cual­quier ti­po de ar­chi­vo di­gi­tal; in­clui­dos grá­fi­cos, vi­deo y voz`, de­ta­lló Car­los de …icen­te, de E|LSEC La­ti­noa­mé­ri­ca.

Se­gún de …icen­te, des­de ha­ce un tiem­po, el S‡|„Š es­tá fue­ra de to­da cer­ti­fi­ca­ción de Se­gu­ri­dad. Es­to fue de­bi­do a que, por mé­to­dos em­pí­ri­cos es­ta­dís­ti­cos, se de­mos­tró que ha­bía un cier­to (aun­que mí­ni­mo) ries­go de que se lle­ga­se a pro­du­cir una co­li­sión` (mis­mo re­sul­ta­do hash pro­ce­den­te de dos do­cu­men­tos dis­tin­tos)

‹am­bién Eli Œas@ha, CEO de So­lu­cio­nes

Se­gu­ras, con­fir­mó que S‡|Š, uno de los al­go­rit­mos más co­mu­nes, de­mos­tró que es fac­ti­ble ge­ne­rar un men­sa­je con la mis­ma fir­ma di­gi­tal que un men­sa­je ori­gi­nal. Por es­ta ra­zón se re­co­mien­da des­con­ti­nuar el uso de SHA1 y usar SHA2 u otra ver­sión superior.

ué de­be te­ner en cuen­ta el CIO?

Los Pres­ta­do­res de Ser­vi­cios de Cer­ti­fi­ca­ción (CSPs) de­ben es­tar re­co­no­ci­dos y su­per­vi­sa­dos por la Au­to­ri­dad com­pe­ten­te en ca­da País don­de se ubi­can.

Se­gún la ti­tu­lar de Pris­ma, es im­por­tan­te ve­ri­fi­car que apa­rez­can en la TSL (Lista de Pro­vee­do­res Con­fia­bles) que ca­da país pu­bli­ca en In­ter­net, en esa ‹SL tam­bién de­be es­tar des­cri­ta la mo­da­li­dad, ti­po o cla­se

de cer­ti­fi­ca­do que nos ofre­ce (al­gu­nos cer­ti­fi­ca­do­res tie­nen ti­pos de cer­ti­fi­ca­dos acre­di­ta­dos y otros que no lo es­tán) y en el ca­so de que el país no ten­ga aún una ‹SL, la acre­di­ta­ción Zeb ‹rust, pue­de, por de­fec­to, ser­vir co­mo apo­yo a la con­fian­za.

La ob­ten­ción de cla­ves nue­vas (en teo­ría de­bie­ra ha­cer­lo el ti­tu­lar y no el cer­ti­fi­ca­dor) es siem­pre una me­di­da de pru­den­cia con el fin de evi­tar ries­gos de ata­ques a la cla­ve por fuer­za bru­ta` (ite­ra­cio­nes has­ta en­con­trar­la). Se de­be ha­cer siem­pre tras un pe­río­do de exis­ten­cia de la cla­ve sen­si­ble­men­te in­fe­rior al tiem­po de compu­tación es­ti­ma­do co­mo ne­ce­sa­rio pa­ra apo­de­rar­se de ella.

Pa­ra la Œirma„E Cá­ma­ra de Co­mer­cio de Qua­te­ma­la, la va­li­dez de una fir­ma electrónica avan­za­da es de un año, pos­te­rior­men­te se de­be re­no­var la mis­ma. En el ca­so de las re­vo­ca­cio­nes se de­be rea­li­zar si se com­pro­me­ta la con­fi­den­cia­li­dad la cla­ve pri­va­da, por pér­di­da del to@en (dis­po­si­ti­vo crip­to­grá­fi­co que al­ma­ce­na el cer­ti­fi­ca­do di­gi­tal y su par de lla­ves) o por pér­di­da de la cla­ve pri­va­da

La re­vo­ca­ción no tie­ne cos­to por las ra­zo­nes an­te­rior­men­te des­cri­tas, la im­pli­ca­ción de cos­to ra­di­ca en la emi­sión de un nue­vo cer­ti­fi­ca­do di­gi­tal y se ma­ne­ja co­mo una re­no­va­ción. Car­los de …icen­te, de eal­sec, sos­tu­vo que los fac­to­res que po­nen en ries­go la se­gu­ri­dad son, bá­si­ca­men­te, dos: la de­bi­li­dad ma­te­má­ti­ca de la cla­ve que pue­de re ejar­se en la pre­dic­ti­bi­li­dad del pseu­do„alea­to­rio, en la no pri­ma­li­dad de com­po­nen­tes de cla­ve y en la elec­ción inade­cua­da del ex­po­nen­te de cla­ve pú­bli­ca.

El otro fac­tor de ries­go es el uso inade­cua­do de es­ta he­rra­mien­ta que se da cuan­do el al­ma­ce­na­mien­to de la cla­ve pri­va­da es­tá en un dis­po­si­ti­vo no crip­to­grá­fi­co, cuan­do se pro­por­cio­na el ac­ce­so a la cla­ve a ter­ce­ros o por de­fec­tos de cus­to­dia del dis­po­si­ti­vo o del P=† de ac­ce­so, etc.

Por par­te del usua­rio, po­dría de­cir­se que son las mis­mas re­co­men­da­cio­nes que se ha­cen pa­ra las tar­je­tas ban­ca­rias o si­mi­la­res: no pres­tar­lo o ce­der­lo ja­más, guar­dar­lo de for­ma segura y en dis­po­si­ti­vo crip­to­grá­fi­co, cui­dar de no ser es­pia­do cuan­do se te­clea el P=†, en­tre otras.

Œirma„E Cá­ma­ra de Co­mer­cio de Qua­te­ma­la, tam­bién ase­gu­ró que la se­gu­ri­dad pue­de ser vul­ne­ra­da si el sus­crip­tor po­ne a dis­po­si­ción su cer­ti­fi­ca­do di­gi­tal a un ter­ce­ro y pro­por­cio­na su lla­ve pri­va­da de ma­ne­ra vo­lun­ta­ria, el uso del cer­ti­fi­ca­do di­gi­tal es per­so­nal e in­trans­fe­ri­ble por lo cual se de­be te­ner las con­si­de­ra­cio­nes de se­gu­ri­dad ade­cua­das y uti­li­zar­lo res­pon­sa­ble­men­te, re­cor­de­mos que el mal uso al fir­mar un do­cu­men­to elec­tró­ni­co ten­drá las mis­mas im­pli­ca­cio­nes le­ga­les que un do­cu­men­to fir­ma­do de for­ma ma­nus­cri­ta.

Otro ries­go es uti­li­zar un cer­ti­fi­ca­do PŠ’ ins­ta­la- do en la compu­tado­ra ya que con es­te se ins­ta­la la lla­ve pri­va­da pa­ra po­der fir­mar, por lo cual si un ter­ce­ro tie­ne ac­ce­so a ese equi­po po­dría fir­mar por el ti­tu­lar del cer­ti­fi­ca­do, es re­co­men­da­ble uti­li­zar un dis­po­si­ti­vo crip­to­grá­fi­co

“La se­gu­ri­dad del cer­ti­fi­ca­do di­gi­tal se ba­sa en el es­tán­dar ISO IEC/ 9594-8, X509 V.3. y de en­tre­ga en un dis­po­si­ti­vo crip­to­grá­fi­co se­gu­ro con cer­ti­fi­ca­ción FIPS PUB 140-1 y 140-2 en sus ni­ve­les dos y tres”. Skar­let­te Ant­ho­ne, Mi­nis­te­rio de Eco­no­mía.

(to@en) con cer­ti­fi­ca­cio­nes Œ=PS P“” Š•–„’ †ivel —, que res­guar­de el cer­ti­fi­ca­do di­gi­tal y su par de lla­ves.

Se­gún de­ta­lló S@arlette

Ant­ho­ne, Di­rec­to­ra Eje­cu­ti­va en RPSC el Mi­nis­te­rio de Eco­no­mía, la se­gu­ri­dad del cer­ti­fi­ca­do di­gi­tal se ba­sa en el es­tán­dar ISO IEC/ 9594-8, X509 V.3. y de en­tre­ga en un dis­po­si­ti­vo crip­to­grá­fi­co se­gu­ro con cer­ti­fi­ca­ción FIPS PUB 140-1 y 140-2 en sus ni­ve­les dos y tres.

Ade­más de cum­plir el al­go­rit­mo con el ape­go ETSI TS 102 023 con uso del al­go­rit­mo de hash SHA-2 y su­pe­rio­res con RSA y lar­gos de lla­ve de al me­nos 2048 bits, se so­li­ci­ta que se cum­pla con la ISO IEC/27001:2013 y la ISO 9001:2015 am­bas nor­mas re­cien­tes pa­ra ga­ran­ti­zar la se­gu­ri­dad de los pro­ce­sos y la ope­ra­ción re­la­cio­na­da al uso de la ge­ne­ra­ción de las fir­mas elec­tró­ni­cas avan­za­das

Allan Alon­so Cu­la­jay Co­ro­na, Di­rec­tor de Tec­no­lo­gías de In­for­ma­ción de la Cor­te de Cons­ti­tu­cio­na­li­dad de Gua­te­ma­la, ex­pli­có las me­di­das de va­li­da­ción que po­seen los usu­sa­rios de fir­ma electrónica en di­cha ins­ti­tu­ción, en don­de ya des­de ha­ce un tiem­po uti­li­zan la fir­ma electrónica avan­za­da em­plean­do al­go­rit­mos elec­tró­ni­cos pa­ra en­crip­tar la in­for­ma­ción con­te­ni­da en un to­ken. Di­cho cer­ti­fi­ca­do elec­tró­ni­co es ge­ne­ra­do por un pres­ta­dor de ser­vi­cios de fir­ma electrónica au­to­ri­za­do por el mi­nis­te­rio de eco­no­mía que en­tre uno de los re­qui­si­tos tie­nen que de­ben cum­plir con un es­tán­dar in­ter­na­cio­nal de se­gu­ri­dad de la in­for­ma­ción en es­te ca­so ISO 27001.

El cer­ti­fi­ca­do se des­car­ga en el to­ken con la in­for­ma­ción, en es­te ca­so, del fun­cio­na­rio pú­bli­co, y a es­te se le en­tre­ga una con­tra­se­ña que no pue­de ser al­te­ra­da ni ma­ni­pu­la­da por otro sis­te­ma, úni­ca­men­te por el usua­rio pro­pie­ta­rio del cer­ti­fi­ca­do elec­tró­ni­co. Den­tro del sis­te­ma pro­pio de la Cor­te de Cons­ti­tu­cio­na­li­dad en es­te ca­so va­li­da el usua­rio de do­mi­nio más el to­ken con el cer­ti­fi­ca­do elec­tró­ni­co pa­ra po­der fir­mar al­gún do­cu­men­to. Con es­to se tie­nen dos fac­to­res de va­li­da­ción y ac­tual­men­te se es­tá tra­ba­jan­do en agre­gar un ter­cer fac­tor de va­li­da­ción que es el uso de una va­li­da­ción $io­mé­tri­ca, que es­ta­rá in­te­gra­do al Sis­te­ma de Ex­pe­dien­tes Elec­tró­ni­cos&, de­ta­lló Cu­la­jay.

El fun­cio­na­rio co­men­tó que es­te pro­ce­so de im­ple­men­ta­ción se ini­ció en el año 2015 y tu­vo tres pro­ce­sos. El pri­mer pro­ce­so fue la re­cep­ción di­gi­ta­li­za­ción de ex­pe­dien­tes y se in­te­gró la fir­ma electrónica en las re­so­lu­cio­nes de trá­mi­tes que se rea­li­za­ban a dia­rio, ca­da do­cu­men­to se fir­ma elec­tró­ni­ca­men­te por la má­xi­ma au­to­ri­dad y el se­cre­ta­rio ge­ne­ral.

El se­gun­do pro­ce­so fue la ges­tión y tra­mi­te del ex­pe­dien­te. Formando así los pri­me­ros ex­pe­dien­te elec­tró­ni­cos y el ter­cer pro­ce­so fue la no­ti­fi­ca­ción electrónica. Es­to per­mi­tió que las ins­ti­tu­cio­nes que ac­tual­men­te re­ci­bían to­das las no­ti­fi­ca­cio­nes por me­dio es­cri­to tu­vie­ran la op­ción de po­der re­ci­bir es­tas por me­dio de un Ca­si­lle­ro Elec­tró­ni­co, en don­de el usua­rio(abo­ga­do o Ins­ti­tu­ción) se sus­cri­be a la Cor­te de Cons­ti­tu­cio­na­li­dad por me­dio de un con­ve­nio o for­mu­la­rio don­de ha­ce cons­tar su in­te­rés y com­pro­mi­so por uti­li­zar los ser­vi­cios elec­tró­ni­cos, con es­to se le en­tre­ga un usua­rio y con­tra­se­ña pa­ra po­der con­sul­tar las no­ti­fi­ca­cio­nes que le llegan a su ca­si­lle­ro elec­tró­ni­co , es­tas no­ti­fi­ca­cio­nes le lle­van vía co­rreo elec­tró­ni­co a la cuen­ta que se in­di­que en el for­mu­la­rio.

Cu­la­jay ex­pli­có que las cla­ves de los cer­ti­fi­ca­dos elec­tró­ni­cos se al­ma­ce­nan úni­ca­men­te en los To­kens (dis­po­si­ti­vos) que con­tie­nen el cer­ti­fi­ca­do y no en un ser­vi­dor, es­to por se­gu­ri­dad del fun­cio­na­rio pú­bli­co, pa­ra que no sean ma­ni­pu­la­dos por nin­gu­na per­so­na aje­na al pro­pie­ta­rio de la fir­ma.

“Es­to es par­te de la se­gu­ri­dad del cer­ti­fi­ca­do elec­tró­ni­co y así es co­mo es­tá es­ta­ble­ci­do por el Re­gis­tro de Pres­ta­do­res de Ser­vi­cios de Fir­ma Electrónica del ;inis­te­rio de Eco­no­mía. In­clu­so en es­te ca­so si el usua­rio per­die­ra el cer­ti­fi­ca­do u ol­vi­da­ra la cla­ve es­te de­be ser re­vo­ca­do in­me­dia­ta­men­te por el en­te emi­sor de fir­ma, ya que la cla­ve no pue­de ser re­cu­pe­ra­da o al­te­ra­da&, di­jo.

Newspapers in Spanish

Newspapers from El Salvador

© PressReader. All rights reserved.