Download Infraestructura Actual de Firma Electrónica en
Document related concepts
no text concepts found
Transcript
MAESTRÍA EN GERENCIA DE REDES DE TELECOMUNICACIONES Análisis Técnico para Brindar el Servicio de Firma Electrónica por la Dirección General Registro Civil, Identificación y Cedulación P I LA R PA C H A C AMA C U EVA CONTENIDO Planteamiento del Problema Hipótesis y Objetivos Marco Teórico y Conceptual (Firma Digital /Electrónica, PKI) Infraestructura tecnológica DIGERCIC, Cédula electrónica Resultados de Evaluación de los Requisitos Técnicos para PKI FODA para la implementación del servicio de firma electrónica por la DIGERCIC Infraestructura Actual de Firma Electrónica en Ecuador Propuesta Infraestructura de Firma Electrónica Ecuador y DIGERCIC Conclusiones y Recomendaciones P LANTEAMIENTO DEL PROBLEMA Firma digital MINTEL Ejecución el Proyecto de Modernización del Sistema Nacional de Registro Civil Identificación y Cedulación $ 70M 2009 2010 2011 2012 2013 reestructuración y modernización 2014 2015 Implementación nuevos servicios Aplicaciones: Sistema Nacional de Identificación Electrónica Sistema Magna DNI Tarjeta de Identificación Electrónica • • • • Match on card Firma digital Epicrisis Monedero electrónico HIPÓTESIS La Dirección General de Registro Civil Identificación y Cedulación dispone los elementos y recursos técnicos necesarios para brindar el servicio de firma electrónica en el Ecuador. O BJETIVO G ENERAL Realizar un análisis técnico para verificar sí la Dirección General de Registro Civil identificación y Cedulación puede implementar el servicio de firma electrónica en el Ecuador. Objetivos Específicos Analizar los sistemas e infraestructura actual de la DIGERCIC Realizar pruebas técnicas en los sistemas de la DIGERCIC sobre los cuales se apoyará el servicio de firma electrónica. Evaluar las seguridades de la información de las tarjetas de identificación utilizadas para la implementación del servicio de firma electrónica. Elaborar una propuesta técnica para la DIGERCIC. C RIPTOGRAFÍA La criptografía es el estudio de los sistemas que hacen posible el proceso de encripción. La encripción es el proceso que se utiliza para hacer que una cierta información sea indescifrable para todo el mundo, excepto para las personas que conozcan la clave que le permitirá desencriptar la información . F IRMA D IGITAL Un conjunto de datos, adjuntos a un documento electrónico, que garantizan: Integridad Autenticidad No repudio - - Información no ha sido modificada. Se sabe quien es el autor. Autor del mensaje firmado no puede argumentar que no lo es. NO es la imagen de una firma hológrafa Variable según el documento firmado C OMO SE FIRMA UN DOCUMENTO ELECTRÓNICO Remitente Datos firmados Destinatario Verificación de firma I NFRAESTRUCTURA DE C LAVE P ÚBLICA (PKI) Certificados Electrónicos CONFIANZA!!! HW,SW, RH Expide, Publica Almacena certificados de llave pública Cuando una AC expide un certificado, está asegurando que el sujeto (la entidad nombrada en el certificado) posee la llave privada que corresponde a la llave pública contenida en el certificado electrónico C REACIÓN DE UN C ERTIFICADO X.509 C OMPLETO F IRMA ELECTRÓNICA Firma electrónica que además requiere: Identificación unívoca del firmante Control exclusivo del dispositivo de creación de firma Ser verificable por terceros Basada en un certificado reconocido válido Ventajas de la Firma Electrónica Marco jurídico que lo ampara Fomenta la interoperabilidad Reconocimiento internacional Confianza, transparencia y respaldo I NFRAESTRUCTURA TECNOLÓGICA DIGERCIC Aplicaciones Utilidades Común UIO GYE WEB SERVICES EXTERNO AFIS MAGNA AS400 WEB SERVICES Agencia 1 WEB SERVICES EXTERNO WEB SERVICES Agencia 2 MAGNA AS400 Agencia N Arquitectura Magna Esquema Red DIGERCIC Registro de la población basada en la Web y la producción, emisión de documentos de identificación nacional DNI C RIPTOGRAFÍA - MAGNA El sistema Magna utiliza criptografía en tres áreas principales: Para proteger los ordenadores y bases de datos y los datos en el sistema. AES-256 VPN Web SSL No modificación en tránsito. Evita robo de información Para proteger el documento que se está creando contra la falsificación. Datos con estándares para tarjetas de identidad electrónicos Autenticación pasiva, Autenticación activa, Control de acceso básico y extendido En el marco de la utilización del documento durante su vigencia. Utiliza certificados y criptografía C ÉDULA ELECTRÓNICA Información Encriptada Permitirá eliminar muchos papeles y copias A pesar de que el DIN ecuatoriano contiene un Chip no puede considerárselo como un eDNI hasta que el Certificado Electrónico que contiene sea autorizado por el ente regulador. C ÉDULA ELECTRÓNICA E SPECIFICACIONES ICAO 9303, para documentos de viaje. ISO 14443B, para tarjetas de identificación con circuito integrado libre de contacto (Contact Less). Identificación por Radiofrecuencia (RFID), alcance hasta 5 cms. Frecuencia de operación 13.56 MHz Capacidad disponible de almacenamiento de información 66 Kbyte Sistema operativo propietario Hércules (OTI) Cifrado DES/3DES de alta seguridad, requiere de chip Secure Access Module (SAM) Norma ISO 7816 para el SAM (Modulo de acceso seguro) Código de fábrica Chip Serial Number (CSN) de 8 bytes 64 bits ICAO- Organización de Aviación Civil Internacional EVALUACIÒN DE LOS REQUISITOS TECNICOS Análisis del Cumplimiento de la Norma ISO 27001:2005 Sistema de Información de Gestión de la Seguridad. Pruebas de Seguridad en los Sistemas de la DIGERCIC. Pruebas de lectura y seguridades de la tarjeta de identificación. Evaluación de Requisitos para Entidades de certificación / Infraestructura de Clave Pública – PKI Evaluación de las seguridades de la información de las tarjetas de identificación. RESULTADO DEL C UMPLIMIENTO DE LA N ORMA ISO 27001:2005 S ISTEMA DE I NFORMACIÓN DE G ESTIÓN DE LA S EGURIDAD A.5 Política de Seguridad La DIGERCIC no cuenta con una política de seguridad de la información aprobada por la Dirección General sin embargo cuenta con procesos y procedimientos establecidos que aseguran parcialmente las políticas de seguridad. A.7 Gestión de Activos La gestión de activos es un área crítica para la implementación del servicio de firma electrónica en razón que esta debe cumplir con el atributo de Integridad, el documento no puede ser alterado de forma alguna. R ESULTADOS N ORMA ISO 27001:2005 A.13 Gestión de Incidentes de Seguridad de la Información La DIGERCIC no garantiza que se aplique un enfoque adecuado y efectivo a la gestión de los incidentes de seguridad de la información. Se debe establecer mecanismos que permitan cuantificar y supervisar los tipos, volúmenes y coste de los incidentes de seguridad de la información. R ESULTADOS N ORMA ISO 27001:2005 A.14 Gestión de la Continuidad del Negocio La DIGERCIC respecto a la continuidad del negocio y evaluación de riesgos no identifica los eventos que puedan causar interrupciones en los procesos de negocio, así como la probabilidad que se produzcan tales interrupciones, sus efectos y sus consecuencias para la seguridad de la información. R ESULTADOS P RUEBAS DE S EGURIDAD EN LOS S ISTEMAS DE LA DIGERCIC Se realizó un test de penetración, una evaluación activa de las medidas de seguridad de la información de la DIGERCIC. Vulnerabilidades servidor magna: 10.20.20.4 Vulnerabilidades servidor web: 200.107.60.56 Critical High Medium Low Info Total 0 0 0 1 25 26 Critical High Medium Low Info Total 0 0 0 1 32 33 Vulnerabilidades servidor de correo: 190.152.146.147 Critical High Medium Low Info Total 0 0 0 2 34 36 De acuerdo con los resultados de las pruebas de seguridad en los sistemas de la DIGERCIC, los servidores web, de correo electrónico y Magna presentan solo una vulnerabilidad de bajo factor de riesgo. P RUEBAS DE LECTURA Y SEGURIDADES DE LA TARJETA DE IDENTIFICACIÓN Se efectúa pruebas exitosas de lectura de parámetros encriptados de la cédula de ciudadanía mediante el uso de una herramienta personalizada de prueba para desarrollo de software (Software Development Kit o SDK) y un chip Secured Access Module (SAM) suministrado por el RC. E VALUACIÓN DE R EQUISITOS PARA E NTIDADES DE CERTIFICACIÓN / I NFRAESTRUCTURA DE C LAVE P ÚBLICA – PKI El Sistema Magna y la DIGERCIC cumplen con 38 de 47 requisitos técnicos para entidades de certificación de acuerdo con la “Guía de Acreditación de Entidades de Certificación EC Versión 3.3”. De acuerdo con los resultados se determina que el sistema Magna y la DIGERCIC están en capacidad técnica de soportar el servicio de firma electrónica. Los requisitos que con cumple no son relevantes debido a que la DIGERCIC actualmente no es una entidad de certificación. E VALUACIÓN DE LAS SEGURIDADES DE LA INFORMACIÓN DE LAS TARJETAS DE IDENTIFICACIÓN El chip cumple con el nivel EAL 5+ EAL 4+ de Evaluación de la Garantía de Seguridad de acuerdo con la norma ISO/IEC 15408 Common Criteria. El sistema operativo cumple con el Nivel EAL 4+ de la evaluación de la garantía de seguridad. El hardware que soporta la infraestructura de los algoritmos de clave pública/privada permite : • Todas las recomendaciones de los tamaños mínimos de clave para firma de Entidades de Certificación (CA), claves de autenticación para autenticación activa. • Utilización 3DES y AES. • La estructura de los grupos de LDS de datos siguen la norma de OACI 9303, y contiene hash y firma digital. E VALUACIÓN DE LAS SEGURIDADES DE LA INFORMACIÓN DE LAS TARJETAS DE IDENTIFICACIÓN El sistema operativo del chip esta en la capacidad de respaldar futuros segmentos de memoria que no sean de la OACI para fines especiales como: • • • • • • Aplicaciones de ePKI, X.509 RSA(PKCS#1) Perfil (PKCS#15) Soporte a CWA 14890 -1, -2 Autenticación (interna y externa) conforme a ISO 17816 -4 y -8 Estándar de Firma Digital (DSS) FIPS 186-2 PKCS: Public-Key Cryptography Standards Estándar de Criptografía de Clave Pública RSA (Rivest, Shamir y Adleman) es un sistema criptográfico de clave pública A NÁLISIS FODA PARA LA IMPLEMENTACIÓN DEL SERVICIO DE FIRMA ELECTRÓNICA POR LA DIGERCIC FORTALEZAS DEBILIDADES F1 Agencias con cobertura a nivel nacional con presencia en las 24 provincias y a nivel cantonal. D1 Personal técnico y operativo no capacitado para brindar el servicio de firma electrónica. F2 Infraestructura tecnológica modernizada. D2 La DIGERCIC no posee certificación ISO 27001. F3 La DIGERCIC dispone de una cantidad suficiente de Tarjetas de Identificación con capacidad para D3 soportar el servicio de firma electrónica. F4 La DIGERCIC dispone del Sistema MAGNA con capacidad para soportar base de datos a nivel nacional. D4 F5 Talento Humano renovado – joven. D5 F6 Autoridades comprometidas. D6 No cuenta con recursos suficiente para la inversión en el proyecto de firma electrónica. Usuarios de firma electrónica requieren un lector RFID con SAM para lectura del chip de la cédula de identidad. Retraso en los procesos de adquisición de insumos y consumibles. Dependencia de proveedor del sistema MAGNA para la implementación y desarrollo de los sistemas para la integración del servicio de firma electrónica. Estrategia: Reingeniería de la DIGERCIC que permita desarrollar nuevos servicios electrónicos (servicios e goverment) agregadores de valor como el servicio de firma electrónica con el apoyo de una unidad de investigación y desarrollo de las TIC y la obtención de la Certificación ISO 27001. A NÁLISIS FODA PARA LA IMPLEMENTACIÓN DEL SERVICIO DE FIRMA ELECTRÓNICA POR LA DIGERCIC. OPORTUNIDADES O1 Nuevos Servicios que usan firma electrónica en el Ecuador (Quipux, Ecuapass, Factura Electrónica). O2 Políticas Gubernamentales que incentivan la investigación, desarrollo e innovación I+D+I en TIC O3 O4 Demanda del servicio de firma electrónica en zonas geográficas donde no tiene presencia las actuales entidades certificadoras. Nuevas competencias para la DIGERIC (la emisión de pasaporte electrónico requiere el uso de firma electrónica). O5 Políticas Gubernamentales para el desarrollo del gobierno electrónico en el Ecuador. O6 Alianzas estratégicas con entidades de Estado tales como el Banco Central, Municipios, DINARDAP. AMENAZAS. A1 Altos costos de insumos y consumibles requeridos para la implementación del servicio de firma electrónica. A2 Intereses de otros sectores tales como el Banco Central para mantener el control de la firma electrónica. A3 Competencia desleal de Entidades de Certificación Acreditadas, ANF, Security Data y Banco Central. A4 Ingreso de nuevas entidades de certificación (como el Concejo de la Judicatura) Estrategias. • Establecer sinergias con entidades vinculadas con la reforma del Estado para impulsar la reforma a la Ley de Comercio Electrónico y Mensajes de Datos, Firma Electrónica creando un modelo jerárquico de Autoridades de Certificación a nivel nacional. • Impulsar y fortalecer las relaciones interinstitucionales con organismos del estado y similares internacionales para gestionar servicios. I NFRAESTRUCTURA A CTUAL DE F IRMA E LECTRÓNICA EN E CUADOR AUTORIZA Y CONTROLA ARCOTEL Entidades de Certificación de Información y Servicios Relacionados Banco Central ECIBCE Concejo de la Judicatura ANF Autoridad de Certificación DPC DPC DPC AC Raiz AC Raiz AC AC Security Data DPC AC Raiz AC Raiz España EMITEN CERTIFICADOS AR AR -DIGERCIC AR AC AR AR USUARIOS AC AR AR AR AUTORIZA Y CONTROLA P ROPUESTA I NFRAESTRUCTURA DE F IRMA E LECTRÓNICA PARA LA R EPÚBLICA DEL E CUADOR EACCE - ARCOTEL ACREC AC Raíz EMITE CERTIFICADOS Entidades de Certificación EMITE CERTIFICADOS Usuarios Entidades de Certificación de Información y Servicios Relacionados DIGERCIC Banco Central AC AC C.Judicatura ANF Security Data AC AC AC AC Privada AC Privada AR AR DPC AR AR AR AR Sector público USUARIOS AR Sector privado M ODELO PKI DIGERCIC I NFRAESTRUCTURA DE C LAVE P ÚBLICA DIGERCIC Autoridad de Certificación Firma Electrónica Autoridad de Sellado de Tiempo - TSA Base de datos de la TSA HSM Conexión segura HSM en red HTTP/HTTPS IETF TSP AC - DIGERCIC LDAP CRLs y/o OCSP Fuente de tiempo TSA DIGERCIC AV -DIGERCIC AR - DIGERCIC Publicación del estado de los certificados Sistemas de Registro Publicación de sellos de tiempo PKI A UTORIDAD DE C ERTIFICACIÓN AC • Emitir certificados que cumplan con los estándares X.509 v.3. • Generar y procesar solicitudes de certificados en formato PKCS#10. • Generación de certificados y CRLs conformes al RFC 5280. • Puntos de distribución de la CRL. • Debe especificar un OCSP para responder en la extensión: Authority Information Access. • Algoritmos para firmar digitalmente los certificados y CRLs: RSA, DSA (Algoritmo de Firma digital). • Soporte para conexión con dispositivos criptográficos cumpliendo con RSA PKCS#11. • Generar CRLs, las que deben cumplir con el estándar X.509 v.2 • Manejar CDPs (CRL Distribution Point), para publicar periódicamente la CRL. • ITU-T X.509v2 CRL simple y múltiples puntos de distribución. Online Certificate Status Protocol (OCSP): para obtener el estado de un certificado en línea A UTORIDAD DE C ERTIFICACIÓN E STÁNDARES Algoritmos y Funciones Hash: RSA soportado con longitud de clave de hasta 4.096 bits. MD5 Message-Digest Algorithm 5 - Algoritmo de Resumen del Mensaje 5. SHA-1, SHA-2 hasta SHA-512. Secure Hash Algorithm, Algoritmo de Hash Seguro. RIPEMD en 128 y 160 bit. Cumplimiento de Estándares: RSA PKCS#1_v1.5 RSA X509v3 RFC 3280. NTP v3.0, PKCS#1, PKCS#8, PKCS#10, PKCS#12, PKCS#15, SHA, X.509v3 CRLv2 rfc3280, http, https (RFC 2818 HTTP sobre TLS (HTTPS) Certificaciones de seguridad: FIPS 140-2 Nivel 3 para los dispositivos criptográficos (HSMs) Common Criteria EAL4+ para los dispositivos criptográficos (HSMs). S ERVIDOR A UTORIDAD DE S ELLADO DE T IEMPO Algoritmos y Funciones Hash: RSA soportado con longitud de clave de hasta 4.096 bit. MD5. SHA-1, SHA-2 hasta SHA-512. RIPEMD en 128 y 160 bit. RIPEMD-160 RACE Integrity Primitives Evaluation Message Digest, primitivas de integridad del resumen del mensaje, algoritmo del resumen del mensaje de 160 bits. Cumplimiento de Estándares: Certificados X.509 v3 PKIX Time stamp protocol (RFC3161) ETSI TS 102 023 y ETSI TS 101 861 SISTEMAS OPERATIVOS Y ESTÁNDARES PARA ACCESO AL CHIP DE LA TARJETA ELECTRÓNICA CSP (Cryptographic Service Provider, Microsoft) Módulo criptográfico PKCS#11 Tarjeta electrónica Lector API PC/SC (Personal Computer/Smart Card) Inicio 1 Inicio 3 Solicitud de Emisión de Certificación Digital Persona Natural Dirección de Identificación y Cedulación Dirección de Servicios Electrónicos Fin Entrega de Certificado Digital Solicitud de Modificación / Revocación / Suspensión de Certificado Digital Verificación de Capacidad Generación de Certificado Digital Inicio 2 Dirección de infraestructura Tecnológica Macro Proceso: Certificación Digital Oficina Registral F LUJOGRAMA DEL PROCESO DE C ERTIFICACIÓN D IGITAL DIGERCIC Solicitud de Emisión de Certificado Digital Persona Jurídica Inicio 4 Solicitud de Modificación / Revocación / Suspensión de Certificado Digital Inicio 5 Notificación de Vencimiento al Ciudadano o Persona Jurídica Autenticación de Identidad (AFIS) Modificación / Revocación / Suspensión de Certificado Digital Entrega de Certificado Digital Re emisión de Certificado Digital Mantenimiento de Servicios de Certificación Digital CONCLUSIONES La infraestructura actual de la DIGERCIC no es suficiente para brindar el servicio de firma electrónica, requiere implementar una infraestructura de clave pública en base a las normas y estándares actuales, sin embargo el sistema MAGNA permite implementar los procedimientos y criterios para Entidades de Certificación. Con la evaluación del cumplimiento de los requisitos técnicos del Sistema Magna y de la DIGERCIC para entidades de certificación, evaluación de la Norma ISO 27001, evaluación de las seguridades de las tarjetas de identificación se determina que el sistema Magna y la DIGERCIC están en capacidad técnica de soportar el servicio de firma electrónica. CONCLUSIONES Como resultado del análisis del nivel de cumplimiento de la Norma ISO 27001:2005 Sistema de Información de Gestión de la Seguridad por parte de la DIGERCIC se ha determinado que las áreas de control de la norma que presentan un menor nivel de cumplimiento son: A.5 Políticas de Seguridad, A.7 Gestión de Activos, A.13 Gestión de Incidentes de Seguridad de la Información, A.14 Gestión de la Continuidad del Negocio. Normativa y regulaciones de Firma Electrónica en el Ecuador desactualizada. RECOMENDACIONES Se recomienda crear un modelo jerárquico de Infraestructura de Firma Electrónica para la República del Ecuador siendo de aplicación para las Entidades de Certificación de Información y Servicios Relacionados tanto por el sector público como el privado. Reforma de la normativa sobre comercio electrónico y firma electrónica con el fin de reordenar y racionalizar los recursos en materia de infraestructura de firma electrónica a nivel nacional donde sea considerada la ARCOTEL como Entidad de Acreditación y Control de Certificación Electrónica (EACCE) y la reacción de una Autoridad de Certificación Raíz del Ecuador (ACREC). RECOMENDACIONES La DIGERCIC para brindar el servicio de firma electrónica debe desarrollar e implantar un plan a largo plazo para una infraestructura de clave pública (PKI) en el que se debe considerar lo siguiente: Implantar de un sistema de gestión de calidad para los servicios de firma electrónica. Implantar un sistema de gestión de la seguridad de la información basada en la norma ISO 27001. Fomentar el desarrollo de APIs para acceso a datos del chip de la cédula para nuevas aplicaciones.