marta cruellas
DESCRIPTION
TRANSCRIPT
Ús de certificats en dispositiusen dispositius
criptogràfics centralitzats: noves possibilitats inoves possibilitats i
limitacions
M t C llMarta Cruellas28 d’octubre de 2010
Índex
– Nous perfils de certificats: situació– Requisits tecnològics per a una implantació adequada.
NOUS PERFILS DE CERTIFICATS. Situació
– Especificació tècnica dels perfils: feta per CertiCA– Seu-e (nivell mig i nivell alt)– Segell-e (nivell mig i nivell alt)– Empleat públic (nivell mig i nivell alt)
– Casos d’ús de cada tipus de certificat: emmarcats per La normativa jurídica: LAECSP Llei 26/2010 Llei 29/2010 etc– La normativa jurídica: LAECSP, Llei 26/2010, Llei 29/2010, etc
– Determinació del nivell de seguretat aplicable: segons l’anàlisi de risc preceptiu (Esquema Nacional de Seguridad)p p ( q g )
– Requisits tecnològics per a una implantació adequada– Hi ha certes indefinicions, al voltant de les quals no hi ha
consens.
Nivell de seguretat adequat segons risc
Risc alt:Nivell de seguretat adequat segons risc
sc a tCert. nivell alt
Ri i
en dispositiu certificat
Risc mig:Cert. nivell mig
Risc baix:
Cert. nivell migen mitjà equivalent
Risc baix:Cert. nivell mig“a l’ús”
Requisits tecnològics
Risc baixSeu-e En servidor web “a l’ús”
Segell-e En servidor “a l’ús”
Empleat públic Instal·lat a: PC, en mòbil (SIM, microSD no certificada), etc
Requisits tecnològics
Risc altSeu-e En HSM accelerador SSL certificat FIPS 140-2 Nivell 2
Segell-e En HSM certificat FIPS 140-2 Nivell 3
Empleat públic En dispositiu criptogràfic certificat Common CriteriaEAL4+ amb perfil de protecció CEN CWA 14169+ Aplicació d’accés al dispositiu certificada Commonp pCriteria EAL3.Ex/ smartcards, smartcards custodiades en “targeters centralitzats”, microSD certificades.
Requisits tecnològics
Risc migSeu-e En sistema securitzat (hardened): arquitectura, web
server SO ?server, SO,…?
Segell-e En sistema securitzat (hardened)Ex/ repositoris de claus amb logs segurs, HSM no certificat, …?
Empleat públic Repositori de certificats securitzat, HSM no certificat?, HSM certificat FIPS 140-2 Nivell 3?, …?
P òRequisits tecnològicsPerò…– “Mitjà equivalent”
E t i t t i di– Es presta a interpretacions diverses.– Indefinició del que és acceptable. >> Ri>> Risc
– Certs de Nivell mig quan Risc baix / Risc mig: Confiança: el– Certs de Nivell mig quan Risc baix / Risc mig: Confiança: el ciutadà que accedeix a la seu-e no percep la millora en la seguretat de la implementació pel Risc mig respecte a la del Risc baixbaix– El perfil de certificat emprat és el mateix en els dos casos;– La millora en la seguretat ve donada per mesures tècniques del sistema que
no són perceptibles pels usuaris.
Requisits tecnològics
Certs de Nivell alt: Provisió dels certificats:– Requeriments no definits– Complexa. L’ens sol·licitant ha d’acreditar:
– La certificació del dispositiu,– Que la configuració del dispositiu és adequadaQue la configuració del dispositiu és adequada, – Que l’operació del dispositiu és adequada,– Que les claus s’han generat al dispositiu de manera segura– Etc.
ConclusionsEl fil d tifi t b ibilit t– Els nous perfils de certificats obren noves possibilitats– Automatització
Mobilitat– Mobilitat– Signatura (personal) remota / centralitzadalegitimades per les normatives jurídiqueslegitimades per les normatives jurídiques
– Poden resoldre algunes de les tensions entre seguretat vs usabilitat– Cal anàlisi de riscos!!
– Però encara queden zones d’ombra sobre les què no hi ha consens:– Requisits tecnològics per a una implantació adequada: mitjà
equivalent certs d’empleat públic en dispositiusequivalent, certs d empleat públic en dispositius centralitzats,...
Moltes gràcies.
Marta [email protected]
Aquesta obra està subjecta a una llicència Reconeixement No comercial Sense obres derivades 2 5 Espanya de Creative CommonsAquesta obra està subjecta a una llicència Reconeixement-No comercial-Sense obres derivades 2.5 Espanya de Creative Commons. Per veure'n una còpia, visiteu http://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.ca o envieu una carta a Creative Commons, 171 SecondStreet, Suite 300, San Francisco, California 94105, USA."