Seguridad informática en entornos PKI y Smartcard

Anuncio
270
Perspectiva Empresarial
Seguridad informática en
entornos PKI y Smartcard
ESTOS SISTEMAS PERMITEN ASEGURAR QUE NADIE PUEDA INTERCEPTAR Y MANIPULAR UNA
COMUNICACIÓN AL CONSEGUIR UNA CLAVE
La seguridad engloba muchos
Alberto
Sierra Fernández
RESPONSABLE
DESARROLLO SOFTWARE
C3PO
factores, aunque sus tres grandes
pilares son confidencialidad,
integridad y disponibilidad de la
información.
La confidencialidad hace referencia
a la privacidad de los datos y
documentos, siendo su finalidad
proteger el acceso a la información
sensible por parte de los usuarios no
D
esde los años 70, nuestra
autorizados.
convirtiéndose la información
en aspecto fundamental de las
actividades culturales y económicas de
la misma. Es, lo que hoy en día
conocemos como Sociedad de la
Información.
Los medios de creación de riqueza
poco a poco se han ido trasladando
desde los sectores industriales a los
sectores de servicios. Es decir, en las
sociedades modernas, la mayor parte
de generación de riqueza ya no está
vinculada a la fabricación de
confidencialidad están fuertemente
relacionadas y normalmente son
sociedad ha evolucionado,
Existe un sentimiento
generalizado de que
nuestros sistemas son
seguros y de que nadie
puede atacarlos ni acceder
a entornos confidenciales
restringidos
productos tangibles, sino a la
aspectos contrarios. La búsqueda de
la disponibilidad implica que la
información sea más accesible
mientras que la confidencialidad
pretende reducir el acceso a la
misma.
Existe un sentimiento generalizado
de que nuestros sistemas son seguros
y de que nadie puede atacarlos ni
acceder a entornos confidenciales
restringidos. Este pensamiento se
debe principalmente a la falta de
información y al supuesto de que
nadie está interesado en nuestra
generación, almacenamiento y
información. Un ejemplo práctico y
procesado de todo tipo de
La integridad es el valor que
conocido por todos, que demuestra la
información.
permite comprobar que la información
importancia que tiene la seguridad de
ha permanecido inalterada y que por
la información, es la creación de una
tecnologías de la información y la
lo tanto es válida y confiable.
Ley Orgánica de Protección de Datos
comunicación (TIC), desempeñan un
La disponibilidad, persigue
(LOPD).
papel esencial dentro de este
conseguir el mayor nivel posible de
esquema. Uno de los puntos básicos
acceso a la información sin disminuir
completa no existe, aunque hay
en todo tipo de organizaciones,
los criterios de seguridad, así como
sistemas que gozan de una amplia
públicas o privadas, es la seguridad
posibilitar el uso de tecnologías de
extensión y reputación. El más claro
de la información.
movilidad. La disponibilidad y la
ejemplo son los sistemas PKI (Public
Los sectores relacionados con las
nº 28 ESPECIAL AGE 2008-2009
La realidad es que la seguridad
271
Perspectiva Empresarial
Key Infrastructure o Infraestructura de
clave pública).
La seguridad en entornos PKI se
basa en el uso de certificados
electrónicos con criptografía
asimétrica de clave pública. Este es el
sistema más extendido en cuestión de
identificación telemática y es el pilar
fundamental de la firma electrónica.
Un certificado electrónico es un
documento digital que permite
identificar a su titular de forma
telemática. Se utiliza para que un
usuario se autentique en: páginas
web, canales TDT, aplicaciones
informáticas o cualquier otro sistema
electrónico.
La seguridad recae en el uso de
será usada para verificar la validez de
El principal punto débil de la
dos claves: una pública y otra privada.
la firma y por tanto la integridad del
seguridad PKI, es el soporte que se
La clave privada es la que utilizaremos
contenido del documento.
utilice para ello, ya que toda la
para identificarnos, cifrar o firmar
El conjunto de la autenticación con
seguridad se basa en que la clave
documentos, mientras que la clave
certificados y la firma electrónica,
privada jamás será accesible por
pública se entrega a las personas con
hacen que sea posible realizar todo
nadie más que el titular del
las que queremos tener una
certificado. Esto implica que la clave
comunicación segura. Todo lo cifrado
privada debe ser almacenada de
mediante una clave privada, sólo
forma segura durante todo su ciclo de
puede ser descifrado por su clave
pública y viceversa, todo lo cifrado por
una clave pública tan sólo puede ser
descifrado por su clave privada. Este
sistema permite asegurar que nadie
pueda interceptar y manipular una
comunicación al conseguir una clave.
Lo que ciframos con la clave pública
tan sólo podrá ser descifrado por el
propietario de la clave privada a la
que nunca nadie ha tenido acceso.
La seguridad engloba
muchos factores, aunque
sus tres grandes pilares
son confidencialidad,
integridad y disponibilidad
de la información
vida, desde su creación hasta que
caduque y quede inservible. El uso de
smartcards nos permite solucionar
este punto débil de la seguridad de la
clave privada.
Una smartcard, o tarjeta
inteligente, es una tarjeta con un
conjunto de circuitos integrados que
permiten la ejecución de cierta lógica
programada. Según la complejidad y
potencia de estos circuitos integrados
(chips) se pueden llegar a realizar
La Firma electrónica es un conjunto
de datos que, añadidos a un
cálculos matemáticos e incluso
documento electrónico, permiten
criptográficos de elevada complejidad.
identificar al firmante y detectar si se
tipo de trámites electrónicos
ha realizado alguna modificación
telemáticos evitando la presencia
PKI son las tarjetas denominadas
posterior a la firma. En función de
física, horarios, desplazamientos y
criptográficas, que son la percepción
cómo se haya realizado dicha firma,
todo ello de una forma mucho más
estándar de una smartcard. Estas
puede tener la misma validez legal
eficiente. En conclusión, hace posible
tarjetas tienen la capacidad de
que una firma manuscrita.
la e-Administración referida en la Ley
almacenar y generar certificados y
11/2007 de acceso electrónico de los
claves. La gran ventaja en el uso de
electrónica se basa en el principio de
ciudadanos a los Servicios Públicos y a
smartcard es que la generación de la
criptografía de clave pública. Se utiliza
su homóloga para la empresa privada
clave privada se realiza directamente
la clave privada, que jamás ha estado
LISI o Ley 56/2007 Ley para el
dentro de la tarjeta y jamás sale de
en disposición de ajenos, para realizar
Impulso de la Sociedad de la
allí. La clave privada nunca se cede a
la firma mientras que la clave pública
Información.
ningún dispositivo externo, de forma
La seguridad de la Firma
Las tarjetas utilizadas en entornos
nº 28 ESPECIAL AGE 2008-2009
272
Perspectiva Empresarial
que es imposible capturarla, copiarla o
modificarla haciendo un mal uso de
ella. Usando una smartcard podemos
estar seguros de que nadie puede
suplantarnos. Para realizar una
autenticación o una firma electrónica,
es necesario disponer tanto de una
smartcard como del PIN que protege
sus claves contenidas.
El más claro exponente en este
campo es el nuevo DNI electrónico
(DNIe). El DNIe, que desde hace más
La implantación del sistema, viene
La implantación de
seguridad en entornos PKI
pasa por tres puntos:
consultoría y desarrollo,
hardware necesario y
formación
de 2 años está sustituyendo al DNI
y/o componentes necesarios, tales como
librerías criptográficas, aplicaciones de
firma electrónica y validación, módulos
de autenticación, etc.
Es muy posible que la implantación
del sistema requiera de componentes
hardware además de software. En el
ejemplo descrito anteriormente,
sistemas PKI seguros con smartcard, se
hace patente esta necesidad en la
adquisición de las propias smartcards en
convencional, es el nuevo carnet de
identidad convertido en una
asociado al desarrollo de aplicaciones
conjunto con los indispensables lectores
Tanto desde la Administración
de tarjeta chip para poder utilizarlas.
smartcard. Como tarjeta de
Pública como desde el sector privado
identificación, es el documento oficial
cada vez son más las gestiones y
implantado, es indispensable una
para identificar físicamente al
trámites telemáticos que pueden
formación tanto a nivel de usuario del
ciudadano, pero gracias al chip que
realizarse.
sistema como del personal que se
incorpora permite además la
La implantación de seguridad en
Finalmente, con todo el sistema
encargue de su mantenimiento.
autenticación telemática y la firma
entornos PKI pasa por tres puntos:
electrónica. El nuevo DNIe nos
consultoría y desarrollo, hardware
perteneciente al sector de las
permite acceder a servicios que ya
necesario y formación.
Tecnologías de la Información y de la
estaban disponibles telemáticamente,
En la fase de consultoría de un
C3PO S.A. es una empresa
Comunicación, dedicada, desde 1994,
como por ejemplo realizar la
proyecto, se han de definir las
al diseño y fabricación de lectores de
declaración de la renta, consultar los
necesidades concretas y especificas
tarjeta chip, así como al desarrollo,
puntos del carné de conducir, acceder
del mismo. El análisis realizado ha de
formación y consultoría en el entorno
a nuestro informe de vida laboral,
servir para plantear las soluciones que
de la firma electrónica y la
abrir cuentas corrientes, etc.
garanticen la viabilidad del proyecto.
certificación digital.
nº 28 ESPECIAL AGE 2008-2009
Descargar