1

C/Casanova 27, 5º2ª08011 BarcelonaT. 93 238 71 08

Herramientas de gestión del ciclo de vida de las evidencias electrónicas

Un enfoque detallado

Chema LópezSocio Director

chemalogo@isigma.es

URL: https://app.portasigma.com/csv/view.html?csv=WOGLS5s8x5RaWfklYlOQ

2

Agenda

Identificación y definiciones

Ciclo de vida y servicios asociados

Sobre los soportes

Soluciones

3

Identificación y definiciones

Ciclo de vida ... ... del certificado

... de la CA

... de la EE

... del par de claves ... de la CA

... de la EE

... del soporte de las claves ... de la CA

... de la EE

... de la firma

¿Cuál tiene mayor

duración?

4

Identificación y definiciones

CV de certificados según AEAT: Obtención del certificado

Instalación del certificado

Importación/exportación del certificado

Renovación, revocación y elminiación

Punto de vista práctico para el usuario Muy particular de los certificados en “software” => ¿FE

reconocida?

¿Quién puede solicitar la

revocación?

5

Identificación y definiciones

CV de certificados según ETSI 101 456 Subject registration

Certificate renewal, rekey and update

Certificate generation

Dissemination of Terms and Conditions

¿Diferencias entre renwal,

rekey y update?

¿Qué se hace habitualmente?

6

Identificación y definiciones

CV de certificados según ETSI 101 456 Certificate dissemination

Certificate revocation and suspension

Punto de vista del PSC

¿Cómo puedo

consultar el estado de

un certificado?

¿Mejor CRL o OCSP?

7

Identificación y definiciones

CV de claves según CEN 14167.Part 1. Key Generation

Key Distribution

Key Usage

Key Change

Key Destruction

Key Storage, Backup & Recovery

Key Archival

Los requisitos varían si clave de CA o de EE

8

Identificación y definiciones

¿De qué depende el ciclo de vida de ... ... los certificados y claves de EE?

Legislación

Usos

... los soportes? Tecnología

Legislación

Grandes players del mercado

... los certificados y claves de CA? Usos

Grandes players del mercado

Avances en computación

Avances en criptografía

9

Ciclo de vida y servicios

Registro Generación de certificado Diseminación de certificados Gestión de revocación Estado de revocación

Provisión del dispositivo

10

Ciclo de vida y servicios

Registro Generación Diseminación Gestión revocación

Estado revocación

CV certificados

Subject reg.Certificate renewal, rekey & update

Certificate generation

Certificate dissemination

Certificate revocation & suspension

Certificate revocation & suspension

CV claves Key changeKey destructionKey storage, backup & recoveryKey Archival

Key generationKey usage

Key distribution

Key change

11

Ciclo de vida y servicios

12

Soportes

Tipos de soportes Con capacidad criptográfica

Tarjeta

Token

HSM

Sin capacidad criptográfica HDD

pen

13

Comparativa soportes

Soporte Pros Cons

Tarjeta Genera clavesOperaciones en tarjetaHerramienta Mktg

Logística asociadaNecesario lectorUsabilidad

token Genera clavesOperaciones en tarjetaPortabilidad

Logística asociadaUsabilidad

HSM Gestión centralizadaUniversalidad

Procedimientos nuevos¿FE reconocida?

HDD Rapidez y faciidad de usoPortabilidadPrecio

No FE reconocida (¿AEAT?)Baja seguridad

pen PortabilidadPrecio

No FE reconocida

14

Comparación soportes firma móvil

Firma móvil Soporte: SIM, SD memoria, SD cripto, terminal, centralizado

Soporte Pros Cons

SIM Tecnología probadaPrecio

Dependencia del operador

SD memoria “Portabilidad” No FE reconocidaNo iPhone

SD cripto “Portabilidad” No iPhone

Terminal Precio ¿FE reconocida?

Centralizado Universalidad ¿FE reconocida?

15

Condicionantes del soporte

¿Qué determina el uso de un soporte? El propósito de la firma (p.e. autenticación vs declaración de voluntad)

La legislación (p.e., facturación electrónica)

La tipología de colectivo: movilidad, homogeneidad, conocimientos, entorno de uso (fuerza de ventas, público en general, ...)

La oferta del mercado"La gente puede tener su modelo T en cualquier color. Siempre que ese color sea negro."Henry Ford

¡Firma aquí!

16

FE reconocida

Sobrevive al terminal

Sobrevive al operador

“Siempre conmigo”

FE reconocida

Sobrevive al terminal

Sobrevive al operador

“Siempre conmigo”

En el país de las maravillas

Mi solución ideal Centralizada (cloud?)

Implantación no estandarizada

No economías de escala

Incertidumbre legal

Solución seudo-óptima MicroSD cripto.

No iPhone

Necesario desarrollo para firmar desde PC

17

Enfoques de implantación de firma centralizada

Garantista HSM

Datos de activación de un solo uso o mediante uso de otro certificado

¿Proceso de registro y generación de claves?

¿Algún PSC lo soporta?

“Asegurarse de que el firmante está en posesión de los datos de creación de firma correspondientes a los de verificación que constan en el certificado.”

Pragmático Basado en PKCS#12

Prácticamente todos los PSC emiten alguna política en software

Usuario y contraseña para activar los datos de creación de firma

No es firma electrónica reconocida

Útil sólo para determinados casos

18

Software de gestión de vida de los certificados

KeyOne, de Safelayer

EJBCA

OpenXPKI

Entrust Authority

...