parte_47.txt

Javier Laguna Galindo 14 TEMARIO OPOSICIONES COIICV | TEMA 40 de certificados extinguidos o suspendidos, con las personas en la que se deleguen funciones para la prestación, así como cláusulas abusivas. Por último, se limitará la responsabilidad de los p restadores de servicios de certificación por buena fe, si el firmante no ha suministrado información v eraz y completa de sus datos, falta de comunicación, negligencia en la conservación de sus datos, no solicitar suspensión o revocación al ser comprometido, usarse una vez ha expirado o supe rar los límites del certificado. Todo ello también es aplicable al solicitante del certificado , en el caso de ser una empresa jurídica. Tampoco será responsable el prestador ante casos de neglige ncia fehaciente del firmante e inexactitud de los datos que consten en el certificado siempre que hayan sido acreditados por documento público. 2.2. Prestadores de servicios electrónicos de confi anza Tal y como se especifica en el artículo 30 de la Le y 59/2003, el Ministerio de Industria, Energía y Turismo ha de publicar en su web ( http://www.minetur.gob.es/telecomunicaciones/es- es/servicios/firmaelectronica/paginas/prestadores.a spx ) la información remitida por los prestadores de servicios de confianza, con la finalidad de otor garles la máxima difusión y reconocimiento. En ella también está disponible el listado de prestado res no cualificados o que han cesado su actividad. El ministerio agrupa a los prestadores de servicios , tanto públicos como privados, según los servicios que ofrece, por supuesto, no siendo exclu yentes entre ellos. De esta forma, las categorías empleadas son las siguientes: • Servicio de expedición de certificados electrónicos cualificados de firma electrónica. • Servicio de expedición de certificados electrónicos cualificados de sello electrónico. • Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web. • Servicio de expedición de sellos electrónicos cuali ficados de tiempo. • Servicio cualificado de entrega electrónica certifi cada. • Servicio cualificado de validación de firmas electr ónicas cualificadas. • Servicio cualificado de validación de sellos electr ónicos cualificados. • Servicio cualificado de conservación de firmas elec trónicas cualificadas. • Servicio cualificado de conservación de sellos elec trónicos cualificados. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Infraestructura de clave pública (PKI) TEMARIO OPOSICIONES COIICV | TEMA 40 15 3. Autoridades de certificación Una autoridad de certificación (CA), suele tener un ámbito relativamente local, como podría ser una empresa, una universidad o un país entero. Para ver ificar un certificado digital de un certificador ajeno, del cual se desconoce su fiabilidad, existe la posibilidad de que la clave pública del propio certificador esté a su vez firmada por otra autorid ad certificadora, la cual si ofrece fiabilidad, por lo tanto, la confianza hacia la primera CA viene propa gada desde nuestra CA de confianza. Esta circunstancia puede ser aprovechada de forma jerárq uica como en las PKI, o de la forma distribuida, como hace PGP. 3.1. Definición Una autoridad de certificados (Certificate Authorit ym, CA) es una entidad o servicio que emite certificados. El sistema de autoridades de certific ación es la base de confianza de una PKI al encargarse de gestionar los certificados de clave p ública durante toda su vida. El problema viene al plantearse la siguiente cuesti ón: si la autoridad certificadora avala los datos de los certificados, ¿Quién avala a la autoridad ce rtificadora? Para solucionar este problema, existen las denominadas entidades autorizadas a emi tir certificados, que a su vez son avaladas por otras de mayor confianza. O bien mediantes un siste ma distribuido de validación. 3.2. Jerarquía de autoridades de certificados En una infraestructura de autoridades certificadora s jerárquica, como es el caso de PKI, las entidades certificadoras se organizan en forma de á rbol por niveles, de tal manera que las entidades certificadoras de un nivel poseen certifi cados digitales emitidos por autoridades de niveles superiores. Se puede verificar satisfactori amente cualquier certificado digital, si se dispone de la clave pública de un certificador de primer ni vel, los cuales son muy pocos y se encuentran internacionalmente reconocidos. Las entidades certificadoras finales, es decir, las que generan certificados finales a usuarios, tendrán la responsabilidad de comprobar de manera f ehaciente que cada clave pública pertenece a su propietario. Debido a la estructura jerárquica, aquellas entidades que certifiquen a otras entidades, deberán garantizar que estas últimas emp lean los procedimientos adecuados para identificar inequívocamente a sus usuarios. Si esto no se cumple, existiría el riesgo de la emisión de certificados digitales falsos por parte de esta última. Cada certificado emitido por una CA debe estar firm ado por una CA de grado superior en el esquema jerárquico, creándose así una cadena de cer tificados en las que unos avalan a otros hasta llegar a la parte superior. La jerarquía de f irmas y la cadena con ella formada están contempladas en el estándar X.509 v3, que indica la forma correcta de realizar estas cadenas de certificaciones. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Javier Laguna Galindo 16 TEMARIO OPOSICIONES COIICV | TEMA 40 Tal y como puede observarse en la Figura 4, si un u suario que dispone un certificado emitido por la CA 3.1 , quiere comprobar la identidad de uno emitido por la CA 3.3 , empleará la clave pública de CA 1 , que es la primera rama común de la estructura, pa ra verificar el certificado digital. Una vez realizada esta comprobación, podrá confiar en CA 3.3 , y en consecuencia en CA 2.2 , como certificador de la clave pública del usuario de CA 3.3 . Figura 4: Esquema jerárquico de certificación La estructura jerárquica es un esquema sencillo y e fectivo, pero en ella existe siempre un riesgo a tener en cuenta: si una certificadora es comprometi da, todos sus descendientes también se verán comprometidos. Para mitigar este riesgo, el cual no puede desaparecer, las autoridades de certificación están obligadas a actuar con gran tra nsparencia y a mantener al día las listas de revocación de certificados. Frente a la estructura jerárquica empleada en los P KI, se puede construir un esquema distribuido de certificación de claves o anillo de confianza, e n el que todos los usuarios actúan como autoridades de certificación. Cada usuario actuará según el grado de confianza, por lo que pueden existir varios grados de confianza. Como puede vers e, es un sistema mucho más complejo que el jerárquico, e incluso podría llegar a ser menos con fiable. 3.3. Principales autoridades de certificación El Portal de Administración Electrónica del Gobiern o de España http://firmaelectronica.gob.es , identifica las principales autoridades de certifica ción españolas que emiten certificados electrónicos para particulares y de empresa. En él, comparten re levancia tanto para particulares como para empresas las siguientes autoridades certificadoras: Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Infraestructura de clave pública (PKI) TEMARIO OPOSICIONES COIICV | TEMA 40 17 • Fábrica Nacional de Moneda y Timbre (FNMT), http://www.cert.fnmt.es/ • Agència Catalana de Certificació (CATCert), http://www.catcert.net/ • Autoritat de Certificació de la Comunitat Valencian a (ACCV), http://www.accv.es/ • IZENPE, http://www.izenpe.com/s15-12010/es/ Además de las anteriores, a nivel de autoridades re levantes a nivel de emisión de certificados para empresa, se listan las siguientes: • Agencia Notarial de Certificación (ANCERT), http://www.ancert.com • ANF Autoridad de Certificación (ANF AC), https://www.anf.es • Autoridad de Certificación de la Abogacía (ACA), http://www.acabogacia.org • Camerfirma, http://www.camerfirma.com • EDICOM, http://acedicom.edicomgroup.com • Firma Profesional, https://www.firmaprofesional.com 3.4. Fábrica Nacional de Moneda y Timbre (FNMT) La FNMT-RCM emite distintos tipos de certificados e lectrónicos, en función del destinatario, pudiendo incluso solicitarse a través de su sede el ectrónica. Los posibles destinatarios son: Persona física, el cual se emite de forma gratuita a todos los ciudadanos en posesión de DNI o NIE, permitiendo identificación, firma y cifrado de documentos electrónicos. Certificado de Representante se dividen en 3 tipos: • Representante para Administradores únicos y solidar ios, permite la verificación de firma y la confirmación de identidad, el cual a su vez pued e emitirse a administradores únicos y solidarios debidamente inscritos en el Registro Mer cantil. • Representante de Persona Jurídica, principalmente d estinado a las relaciones con las Administraciones Públicas. • Representante de entidad sin personalidad jurídica, destinado principalmente para trámites tributarios. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Javier Laguna Galindo 18 TEMARIO OPOSICIONES COIICV | TEMA 40 Administración Pública, recibe certificados para lo s organismos públicos certificados de Empleado público, certificados de Sede Electrónica y Sellos Electrónicos para la actuación automatizada de la Administración Pública Certificados de componente, para la identificación de servidores o aplicaciones informáticas, incluyendo certificados de servidor SSL/TLS, certif icados SAN, certificados wildcard, certificados para componentes informáticos genéricos o de firma de código. 3.5. Autoritat de Certificació de la Comunitat Vale nciana (ACCV) El IVF (Instituto Valenciano de Finanzas) es el act ual Prestador de Servicios de Certificación, encargado de hacerse cumplir tanto derechos como ob ligaciones de todas las competencias y funciones de la Autoritat de Certificació de la Com unitat Valenciana (ACCV). La ACCV presta servicios tanto a ciudadanos, empres as, como administración pública. Los tipos de certificados emitidos son los visibles en la tab la: Tabla I: Tipos de certificados de la ACCV.C se corr esponde a ciudadanos, E a empresas y AP a Administración Pública Tipos de certificados Funciones C E AP Soporte Software Firma, cifrado e identificación en Administración P ública y entidades privadas X Tarjeta Criptográfica Identificación en servicios telemáticos, firma elec trónica y cifrado de documentos y mails X Sello electrónico de Entidad Identificación en servicios telemáticos, firma elec trónica y cifrado de documentos y mails X X Pertenencia a empresa Identificación X X Empleado Público Identificación X Sede Electrónica Administrativa Identificación de portal web y establecer comunicac iones seguras X Sello Electrónico de Órgano Identificación y firma de actos administrativos sin intervención de la persona física competente X Servidor con soporte SSL Identificación de portal web y establecer comunicac iones seguras X X Servidor con soporte VPN Identificación de servidores y establecer comunicac iones seguras vía VPN X X Firma de Código Firmar el código desarrollado X X Aplicación Firmar aplicaciones X X Inicio de Sesión Inicio de sesión en Windows X X Los puntos de registro están ubicados principalment e en entidades públicas como Ayuntamientos, Universidades o Colegios Profesionales a lo largo d e toda la Comunidad Valenciana, con presencia en todas las comarcas. Además se dispone de más pun tos como Murcia, Madrid o Bruselas. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Infraestructura de clave pública (PKI) TEMARIO OPOSICIONES COIICV | TEMA 40 19 4. El DNI electrónico 4.1. Definición Tal y como declara el Art. 6 Declaración Universal de Derechos Humanos, “Todo ser humano tiene derecho, en todas partes, al reconocimiento de su p ersonalidad jurídica”. Por tanto la identidad personal es un derecho de todo ciudadano y los Esta dos tienen la obligación de establecer los mecanismos adecuados para facilitársela. Según la d efinición de la Real Academia Española de la Lengua, “La identidad es el conjunto de rasgos prop ios de un individuo o de una colectividad que los caracterizan frente a los demás”, y también “Co nciencia que una persona tiene de ser ella misma y distinta a las demás”. Tradicionalmente, los estados han otorgado identida d a sus ciudadanos mediante elementos físicos, con denominaciones varias como carta de id entidad, pasaporte o similares; pero en la actualidad es necesario establecer mecanismos y pro cedimientos electrónicos que permitan verificar la identidad de las personas. A partir de esa necesidad, y teniendo en cuenta la implantación del DNI (Documento Nacional de Identidad) tanto en la administración pública como en el sector privado, como método de identificación único, se crea el denominado DNI ele ctrónico. Éste, conserva la funcionalidad tradicional, además de incorporar las nuevas tecnol ogías para permitir la identificación digital entre otras tareas. Todo ello viene establecido en el art ículo 2 del RD 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento na cional de identidad y sus certificados de firma electrónica, “Dicho Documento tiene suficiente valo r, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consign en, así como la nacionalidad española del mismo”. Por supuesto, las funcionalidades increment adas se rigen por los términos previstos en la ya mencionada Ley 59/2003, de 19 de diciembre, de f irma electrónica. Figura 5. DNI 3.0, anverso y reverso Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Javier Laguna Galindo 20 TEMARIO OPOSICIONES COIICV | TEMA 40 4.2. Funcionalidad Tradicionalmente, el DNI ha sido reconocido por per mitir la identificación de las personas. Hoy en día incorpora nuevas funcionalidades electrónicas, en el DNI electrónico. Desde el año 2006 todos los Documentos Nacionales de Identidad que se expid en en España son documentos electrónicos, coexistiendo actualmente dos versiones: DNIe y DNI 3.0. El primer DNIe, expedido desde 2006 hasta finales d e 2015 incorporaba, a diferencia de su predecesor, un chip en el anverso con información d igital y se presentaba por primera vez en una tarjeta de policarbonato con las mismas medidas que una tarjeta de crédito convencional. Los continuos cambios en la sociedad de la informac ión, han provocado que fuera actualizado a su versión DNI 3.0, en el cual se incrementa la seguri dad y se mejora la usabilidad del mismo al incorporar la comunicación de forma inalámbrica a t ravés de la tecnología NFC. Por lo tanto, se trata de un dispositivo con Dual Interface, al perm itir la lectura mediante un lector de tarjetas inteligentes o interfaz sin contactos (contactless) para dispositivos con tecnología NFC. El mencionado chip, contiene un certificado X509v3 de ciudadano, el cual permite autenticación y firma, y las claves asociadas que se generaran dura nte el proceso de expedición y siguiendo la legislación vigente. 4.3. Características técnicas Dejando aparte las características propias de mater iales de la tarjeta física y datos impresos, contiene una antena NFC (Near Field Communication) para permitir la comunicación inalámbrica. El chip del DNI electrónico está distribuido en dos zonas con diferentes niveles y condiciones de acceso: • Zona pública: accesible en lectura sin restricciones contiene en certificado de la CA intermedia emisora, claves Diffie-Hellman, certific ado x509 de componente, certificado de Firma (No Repudio) y certificado de Autenticación ( Digital Signature). • Zona de seguridad: accesible en lectura por el ciudadano, en los punt os de actualización del DNI 3.0. Contiene los datos de filiación del ci udadano (los mismo que impresos), imagen de la fotografía, imagen de la firma manuscr ita. A continuación se detallan los 3 certificados inclu idos en el DNI electrónico: • Certificado de Componente: Permite la autenticación del DNI electrónico media nte el protocolo de autenticación mutua definido en CWA 14 890, creando un canal cifrado y autenticado entre la tarjeta y los drivers, y no si endo accesible por los interfaces estándar PKCS11 o similares. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Infraestructura de clave pública (PKI) TEMARIO OPOSICIONES COIICV | TEMA 40 21 • Certificado de Autenticación: Permite acreditar la identidad del ciudadano frent e a cualquiera al disponer del certificado de identidad y de la clave privada del mismo. No habilitado en operaciones que requieran no repudio de origen, por lo que terceras personas no tendrán garantía del compromiso. Su principal us o será generar mensajes de autenticación y acceso seguro a sistemas informátic os. • Certificado de Firma: Permite firmar documentos garantizando la integrid ad del Documento y el No repudio de Origen. Es un certific ado X509v3 estándar que tiene activo el bit de no repudio y asociado a una par de claves pública y privada, generadas en el interior del chip para aumentar la seguridad. Al se r expedido como certificado reconocido, su firma tiene la misma validez legal que la manusc rita. 4.4. Seguridad Para hacer uso del DNI electrónico, este provee de una serie de medidas de seguridad que garantizan la integridad y evitan el robo de la inf ormación contenida en su interior. La tarjeta dispone de distintos métodos de autentic ación para demostrar la identidad de la persona: • Autenticación de usuario: Código PIN con 3 reintentos antes de ser bloqueado . Posible su desbloqueo mediante huella dactilar del usuario. Permite cambiar el PIN introduciendo el PIN actual o mediante huella dactilar. • Autenticación de usuarios mediante datos biométrico s: Sólo está disponible en puntos de acceso controlados. Si la evaluación de la huell a indicada supera el umbral, la verificación será correcta, y en caso contrario, de volverá el número de reintentos posibles. • Autenticación de aplicación: La entidad externa demuestra tener conocimiento de l nombre y valor de un código secreto mediante un pro tocolo desafío-respuesta. El mismo desafío es ejecutado por los dos extremos y en caso de coincidir, se considerará correcta. • Autenticación mutua: Permite que cada una de las partes (tarjeta y apli cación externa) confíe en la otra mediante la presentación mutua de certificados y su verificación. La tarjeta DNI 3.0 permite la posibilidad de establ ecer un canal seguro entre el terminal y la tarjeta que securice los mensajes transmitidos. Para ello e s necesaria la autenticación previa del terminal y la tarjeta mediante el uso de certificados. Respecto a su funcionalidad a nivel criptográfico, es capaz de generar y gestionar claves RSA, hash de datos con el algoritmo SHA-256 en la tarjet a o externamente, y capacidad de realización de firmas electrónicas. También es posible la operación de intercambio de c laves es usada para compartir claves simétricas o de sesión entre dos entidades. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019

Document Details

Related

Full Transcript