1 / 36

II. Aspectos Legales sobre PKI

II. Aspectos Legales sobre PKI. Managua, 1ro Diciembre 2010. ¿ Cual es el marco legal ideal del PKI ?. Leyes Generales. Código Criminal. Código Civil. Ley de Firma digital. Ley administrativa. Ley de Protección de privacidad. Regulación para los Proveedores De servicio

sahkyo
Télécharger la présentation

II. Aspectos Legales sobre PKI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. II.AspectosLegales sobre PKI Managua, 1ro Diciembre 2010

  2. ¿Cuales el marco legal ideal del PKI? Leyes Generales Código Criminal Código Civil Ley de Firma digital Ley administrativa Ley de Protección de privacidad Regulaciónpara los Proveedores De servicio De certificación Leyes Especiales Ley de Comercio electrónico Ley de gobiernoelectrónico (Cubriendo los certificados Encriptados y la firma Digital

  3. Aparición de los problemas de privacidad en un ambiente electrónico • Los problemas registrados en la plataforma de InternetEntre 2007 y 2009 comenzaron a surgir graves problemas de fuga de datos personales en librerías en línea, e-tiendas • Los problemas se produjeron en los canales de envío y suministroFeb.2008 Una librería líder de ventas online filtró alrededor de 6.000 datos de carácter personal de sus clientes. La investigación policial demostró que la filtración de la protección de la privacidad estaba en su proveedor de servicio de envío y los canales de suministro. • Ataque profesionalLos hackers atacaron e-tiendas ( tiendas electrónicas) o sistema de banca en línea con la finalidad de remover o copiar datos de carácter personal.

  4. Políticas para enfrentar los problemas de privacidad Establecer un Sistema de Gestión de Protección de la Privacidad Plan de Gestión Interna de Seguridad Fomentar y promover el uso dee-autenticación. Adaptar una plataforma adecuada a mecanismo de seguridad. El gobierno apoyará con soluciones para empresas privadas (tecnología, información, plataforma de consulta, y así sucesivamente) Servicio de protección de la privacidad o una solución de seguridad

  5. Ley de Firma Electrónica (ESA) • Estalecieron los Principios Fundamentales de los documentos y firmas electrónicas. • Regulación de la Autoridad de Certificación (CA) Marco Legal - PKI Reglamento de la Ley de Firma ElectrónicaDefiniciones y procedimientos para la implementación de la ESA Reglamento de Administración de permisos de proveedores extranjeros de servicios de certificación Requisitos y procedimientos para obtener el permiso para ofrecer servicio de certificación en Taiwán Reglamento de la información requerida para la Declaración de Prácticas de Certificación (CPS)

  6. Mapa de ruta de las legislación Nuevo Proyecto de Enmienda(2009) Promulgación de reglamentos relacionados con:Reglamentación de la Ley de Firma electrónica2002)Reglamento - Permiso de FC SP (2002)Reglamentos-Para las prácticas de certificación CPS (2004) FirmasElectrónicas Discusión de la necesidad de modificar el marco jurídico vigente 01 de abril 2002Aplicación de la ESA Nov.14, 2001Promulgación de la Ley firma electrónica 1997 Discusión de la necesidad de una legislación. 19961997 2001 2002 2003 2004 2005 2006 2009

  7. Estructura de Ley de Firma Electrónica de Taiwán Ley de Firma Electrónica (ESA) e-Documento & e-Firma Gestión del CA (autoridadcertificadora ) Requerimientoslegalespara la validez de los e-documentos Debereslegales del CA Requerimientoslegalespara la validezde e-firma Regla de gobierno CA Requerimientoslegalesparareservar e-documentos Declaración de prácticas de Certificación(CPS) Envioy recepción de e-documentos Aprobación CA extranjeras Excepciónparaaplicar ESA

  8. Principios de la ESA de Taiwán Equivalencia funcional Ley de firma digital Autonomía de las Partes Neutralidad Tecnológica Exclusión y excepción

  9. Neutralidad Tecnológica • Interpretación:La ley no favorece ni aprueba ninguna tecnología específica para la firma electrónica o documentos electrónicos. • Fundamento:Cualquier tecnología desarrollada para el uso de una firma electrónica válida de los documentos electrónicos, debe cumplir con las funciones fundamentales y definiciones que figuran en la ley de firma electrónica . ? ?

  10. Autonomía de las partes • Interpretación:Las partes que participan en el comercio electrónico se les permite decidir entre utilizar o no utilizar métodos electrónicos para llegar a sus acuerdos y elegir el método tecnológico para redactar y firmar sus documentos. • Los propósitos:El respeto de la libre voluntad de cada una de las partes.Proteger a las partes de la brecha digital.

  11. Equivalencia funcional • Interpretación:El reconocimiento de documentos electrónicos y firmas electrónicas con la misma eficacia jurídica de los documentos y firmas tradicionales en papel. • Características:El reconocimiento a todos los documentos electrónicos y firmas electrónicas.Requisitos específicos para “instrumentos legales / Firmas”.

  12. Exclusión y excepción • Interpretación:Reglamento de la ESA se aplican a todos los estatutos y reglamentos de Taiwán.Sin embargo, cada autoridad competente puede excluir conductas específicas de la aplicación de la ESA. • Propósitos:Conservación de las pruebasBalance para el desarrollo de tecnologías

  13. Principios para regular CA ( autoridad de certificación) • Interpretación:La ley adopta una política de bajo perfil permitiendo que el mercado lidere el desarrollo de servicios de certificación. • Propósitos:Para fomentar el desarrollo de las industrias de Certificación.A través de la competencia mejorar la calidad del servicio. Respeto del mecanismo de mercado

  14. Principios Fundamentales Divulgación de la Información Protección de Privacidad Esquemade Seguridad CA Gestión Protección del derecho Del titular

  15. Divulgación de la Información • Obligación de divulgar información a los demás participantes. • Propósitos:Que todos los participantes tomen conciencia de los riesgos y responsabilidades asociados al servicio de certificación. • Puntos claveDisponibilidad de la InformaciónCambio de estado

  16. Divulgación de la Información • ObjetosPolítica de Certificación (CP)Declaración de Prácticas de Certificación (CPS) • Incluidas todas las materias requeridas en un CPS • ejemplos: información de auditoría.Obligación legal de todos los participantesGestión de la seguridadSituación financieraCondiciones para revocar el certificadoProtección de información de los datos personales. Modificación de los estados de la CPSCertificadoModificación de los estados del Certificado

  17. Protección de la Privacidad • Protección de los datos personales de la recolección, divulgación y su uso ilegal o inadecuado. • Requisitos legales:1. CPS requiere información: • Categorización de la información confidencial. • Asuntos relacionadas con la protección de datos personales. 2. Procesamiento computarizado de la Ley de Protección de Datos Personales. • Recoger en el ámbito de la necesidad. • Consentimiento y el alcance de uso.

  18. Esquema de Seguridad Mitigar los riesgos inherentes al servicio de autenticación Control no técnicode Seguridad :Personas, documentos, ambiente Control de Seguridad Técnico :Claves, medidas de seguridad etc.

  19. Esquema de Seguridad Control de Seguridad No-Técnica Personas Ambiente Documentos • Compromiso y recuperación ante desastres • Procedimientos de terminación de servicios • Sustitución de claves • Calificación del Staff • Control de Acceso • Deber de Confidencialidad • Entrenamiento • Trabajos de ajuste • Disciplina • Registro de Servicio • Período de Presentación • Protección • Copias • Tiempos • Frecuencia de Gestión

  20. Esquema de Seguridad Control de Seguridad Técnico • Generación e instalación del par de claves • Quiénlasgeneró? • Son las claves proporcionadasseguras? • Longitud, parametros, proposito de uso de las claves • Protección de Clave Privada • Modulo de estandares y criptografía • Control de claves privadas entre varias personas • Archivo de soporte • Activación-desactivación y destrucción de claves Claves Medidas de Seguridad • Software • Seguridad de la Red

  21. Protección del derecho del Titular • Derechos de los titulares: • Suscriptores de Certificados • Partes de Confianza • Recupera Daños • Objetos: • Cualquier daño causado por sus operaciones o cualquier otro proceso de certificación relacionado. • Responsabilidad por negligenciaCarga de la prueba: Proveedor de Servicios de Certificación • Limitación de responsabilidad • De resolución de litigios y política de devolución

  22. Procedimiento legal para proveer un servicio de certificación (CA) • Cualquierentidadpública o privadapuedeaplicarparaprestar el servicio de certificación. • Incluyendocambio de estado del servicioexistente. CPS Approved

  23. Procedimiento legal para proveer un servicio de certificación • Cumplir con el requisito del Reglamento • Pasar revisión por el Comité de Revisión de CPS • Obligación de publicar el CPS Aprobado en sitio web oficial del:1. CA2. Ministerio de Economía • Después de la divulgación del servicios CPS - Aprobado … iniciar la operación del servicio CPS

  24. Preparación para terminar el servicio Comité revisión Plan de terminación (TP) Procedimiento para terminación del servicio de certificación 30 días preaviso • Encontrarotraagenciaparallevar a cabo el servicio • A elección de CA • Nombradapor el gobierno • Informar a los clientes • Transferencia de archivos y registros aprobado Despues de completada la implementación de TP

  25. Esquema de la Práctica actual Autoridad Competente de la regulación de CA:Ministerio de Asuntos Económicos (MOEA) • examen preliminar del CPS • Examen del Plan de terminación CA • Sugerencia de Comité de Revisión • Sugerencia de Reformas Legales • Redacción de la Ley y el Reglamento • Q & A de la aplicación de la ley para CA MOEA Departamento de comercio Envíe el CPS para el examenEnviar un Aviso de Plan de Terminación Revisión comité STLC Componen CPS Componen CPS Privado CA Público CA

  26. Ejemplo 2: e-Gobierno CA PÚBLICA Gobierno PKI Estructura No Gob. PKI Estructura GRCA-Gobierno Root CA LYCA-Legislativo Yuan CA GCA-Gobierno CA Taichung Harbor Bureau CA MOEACA-Ministerio de Economía CA MOICA-Ministerio del Interior CA XCA-Mix de varias organizaciones CA HCA-Cuidado de la salud CA

  27. Futuro seguimiento • Legislación - Siguiente NivelDespués de la certificación, las industrias están creciendo y madurando, la Ley de Firma Electrónica está pasando a otra etapa. • Legislación Siguiente Nivel: • Fortalecer la regulación de la gestión de CA • Fomentar y ampliar el campo de aplicación del certificado • 2009 Proyecto de la Enmienda • CA requerida para obtener permiso del gobierno antes de ofrecer servicio al público. • Fortalecer el poder de la Autoridad Competente. • En sentido estricto de la obligación de CA para poner fin a su servicio • Nueva política para admitir proveedor de servicios extranjeros CA

  28. GRACIAS

  29. CPS es un documento en el que se detallan los procedimientos operativos sobre cómo ejecutar la política de seguridad y cómo aplicarla en la práctica. Por lo general, incluye definiciones sobre cómo se construyen y operan las Autoridades de Certificación, cómo se emiten, aceptan y revocan certificados, y cómo se generan, registran y certifican las claves, dónde se almacenan y cómo se ponen a disposición de los usuarios. • una política de certificado (CP) y una declaración de práctica de certificación (CPS) son clave en la determinación del nivel de confianza que puede depositarse en un certificado digital.La política de certificado es el conjunto de requerimientos y aspectos que gobiernan y controlan la creación y el uso de certificados digitales basados en clave pública. Mientras que la declaración de práctica de certificación hace referencia al conjunto de actividades llevadas a cabo por la Autoridad de Certificación en la actividad de emisión de certificados digitales.

  30. Una autoridad de certificación es esa tercera parte fiable que acredita la ligazón entre una determinada clave y su propietario real • Autoridades de certificación (CA o certificationauthorities): que vinculan la clave pública a la entidad registrada proporcionando un servicio de identificación. Una CA es a su vez identificada por otra CA creándose una jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad común que directa o transitivamente les avala.Autoridades de registro (RA o registrationauthorities): que ligan entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA.Autoridades de fechado digital (TSA o time stampingauthorities): que vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado (resolverían el problema de la exactitud temporal de los documentos electrónicos

  31. ¿Qué son los certificados digitales?Son unos documentos, electrónicos, que incorporarían las dos claves citadas antes (la pública y la privada), permitiendo su uso firmar documentos en formato electrónico, pudiéndose de este modo acreditar la identidad del firmante, la integridad del contenido (que no ha sido modificado), así como la fecha de su firma. De cualquier modo, para la facturación electrónica se requería además que quede debida constancia en cuanto al momento de la emisión de la misma, así como del momento de su recepción por el destinatario. Esta última cualidad – acreditación y constancia del aspecto temporal – es lo que se llama sellado de tiempo o time stamping. El sello de tiempo asegura que tanto los datos originales del documento como la información del estado de los certificados, se generaron antes de una determinada fecha. • AUTORIDAD DE REGISTRO: • Tienen por misión realizar las funciones de asistencia a la Autoridad de Certificación en los procedimiento y trámites relacionados con los ciudadanos para su identificación, registro y autenticación y de esta forma garantizar la asignación de las claves al solicitante.Función hash: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Función hash. • Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar una función hash a un mensaje y que cumple la propiedad de estar asociado unívocamente a los datosiniciales.

  32. LDAP: Lightweight Directory Access Protocol (Protocolo de acceso a servicios de directorio) • Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados. En una lista de revocación de certificados (CRL, del inglés, CertificateRevocationList) se incluyen todos aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida dentro del mismo certificado. • OCSP (del inglés, Online Certificate Status Protocol). • La autoridad de validación (VA): es la encargada de comprobar el estado de revocación del certificado digital en el momento en el que se quiere utilizar. • Firma electrónica básica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal. • Firma electrónica avanzada: es aquella firma electrónica que permite comprobar la identidad personal del firmante respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control. • Firma electrónica reconocida: es aquella firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma, lo que le otorga validez legal equiparable a la firma manuscrita.

  33. POLITICAS Y PRÁCTICAS DE CERTIFICACION CPS Y CP: • Declaración de Practicas de Certificación (CPS): describe las prácticas empleadas en la emisión y gestión de certificados. Gobierna la gestión de la infraestructura de llaves publicas y podría también incluir las descripciones de los servicios ofrecidos. Provee de un marco legal que describe las obligaciones y márgenes de responsabilidad que asume la Autoridad de certificación, así como sus derechoscon los titulares de los certificados emitidos por esta. • Política de Certificación (CP): consiste en un conjunto de reglas que indican la aplicabilidad de un certificado a una particular comunidad y lo de aplicaciones con requerimientos de seguridad comunes • CLR: CertificateRevocationListIssuers Los emisores de listas de revocación de certificado actúan en nombre de laautoridad de certificación, siendo de carácter opcional aunque sumamenteconvenientes. Son listas de los certificados que han dejado de ser validos y portanto en los que NO se pueden confiar. Estos son revocados en caso como; la llaveprivada se vea comprometida o hayan cambiado los atributos del certificado

  34. Autoridades de Certificación (CA) : Representan la fuente de credibilidad de la infrastructura de llave pública. Quienes emiten los certificados, firmándolos digitalmente con su llave privada. Certifican que la llave pública asignada en un certificado a una entidad final, corresponde realmente a dicha entidad final. Ver: “CA Trust.pdf” en www.pkiforum.org. Verisign es el representante más conocido. • 3º Autoridad de Registro, o RegistrationAuthority (RA) :Realiza el proceso de registro de las entidades finales por encargo de la autoridad de certificación. Valida los atributos del sujeto que solicita el certificado, Verifica que el sujeto posee la llave privada a registrar, Genera los secretos compartidos que permiten el proceso de inicialización y certificación. Genera el par de llaves público/privada, ver ANSI X.9 estándares. Valida los parámetros de las llaves públicas presentadas para su registro.

More Related