La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

II. Aspectos Legales sobre PKI Managua, 1ro Diciembre 2010.

Presentaciones similares


Presentación del tema: "II. Aspectos Legales sobre PKI Managua, 1ro Diciembre 2010."— Transcripción de la presentación:

1 II. Aspectos Legales sobre PKI Managua, 1ro Diciembre 2010

2 2 ¿Cual es el marco legal ideal del PKI Código Civil Ley de Firma digital Ley de Firma digital Ley administrativa Ley administrativa Leyes Generales Código Criminal Código Criminal Ley de Protección de privacidad Ley de Protección de privacidad Ley de gobierno electrónico Leyes Especiales Ley de Comercio electrónico Ley de Comercio electrónico Regulación para los Proveedores De servicio De certificación Regulación para los Proveedores De servicio De certificación (Cubriendo los certificados Encriptados y la firma Digital

3 Aparición de los problemas de privacidad en un ambiente electrónico Los problemas registrados en la plataforma de Internet Entre 2007 y 2009 comenzaron a surgir graves problemas de fuga de datos personales en librerías en línea, e-tiendas Los problemas se produjeron en los canales de envío y suministro Feb.2008 Una librería líder de ventas online filtró alrededor de datos de carácter personal de sus clientes. La investigación policial demostró que la filtración de la protección de la privacidad estaba en su proveedor de servicio de envío y los canales de suministro. Ataque profesional Los hackers atacaron e-tiendas ( tiendas electrónicas) o sistema de banca en línea con la finalidad de remover o copiar datos de carácter personal.

4 Políticas para enfrentar los problemas de privacidad Plan de Gestión Interna de Seguridad Servicio de protección de la privacidad o una solución de seguridad Establecer un Sistema de Gestión de Protección de la Privacidad Fomentar y promover el uso de e-autenticación. Adaptar una plataforma adecuada a mecanismo de seguridad. El gobierno apoyará con soluciones para empresas privadas (tecnología, información, plataforma de consulta, y así sucesivamente)

5 Marco Legal - PKI Ley de Firma Electrónica (ESA) Estalecieron los Principios Fundamentales de los documentos y firmas electrónicas. Regulación de la Autoridad de Certificación (CA) Ley de Firma Electrónica (ESA) Estalecieron los Principios Fundamentales de los documentos y firmas electrónicas. Regulación de la Autoridad de Certificación (CA) Reglamento de la Ley de Firma Electrónica Definiciones y procedimientos para la implementación de la ESA Reglamento de Administración de permisos de proveedores extranjeros de servicios de certificación Requisitos y procedimientos para obtener el permiso para ofrecer servicio de certificación en Taiwán Reglamento de Administración de permisos de proveedores extranjeros de servicios de certificación Requisitos y procedimientos para obtener el permiso para ofrecer servicio de certificación en Taiwán Reglamento de la información requerida para la Declaración de Prácticas de Certificación (CPS)

6 Mapa de ruta de las legislación Discusión de la necesidad de una legislación. Nov.14, 2001 Promulgación de la Ley firma electrónica 01 de abril 2002 Aplicación de la ESA Discusión de la necesidad de modificar el marco jurídico vigente Promulgación de reglamentos relacionados con: Reglamentación de la Ley de Firma electrónica2002) Reglamento - Permiso de FC SP (2002) Reglamentos-Para las prácticas de certificación CPS (2004) Firmas Electrónicas Nuevo Proyecto de Enmienda (2009)

7 Estructura de Ley de Firma Electrónica de Taiwán Gestión del CA (autoridad certificadora ) Gestión del CA (autoridad certificadora ) e-Documento & e-Firma Requerimientos legales para la validez de los e-documentos Requerimientos legales para la validez de e-firma Requerimientos legales para reservar e-documentos Envio y recepción de e- documentos Excepción para aplicar ESA Deberes legales del CA Regla de gobierno CA Declaración de prácticas de Certificación (CPS) Aprobación CA extranjeras Ley de Firma Electrónica (ESA)

8 Principios de la ESA de Taiwán Ley de firma digital Ley de firma digital Neutralidad Tecnológica Equivalencia funcional Autonomía de las Partes Exclusión y excepción

9 Neutralidad Tecnológica Interpretación: La ley no favorece ni aprueba ninguna tecnología específica para la firma electrónica o documentos electrónicos. Fundamento: Cualquier tecnología desarrollada para el uso de una firma electrónica válida de los documentos electrónicos, debe cumplir con las funciones fundamentales y definiciones que figuran en la ley de firma electrónica. ? ?

10 Autonomía de las partes Interpretación: Las partes que participan en el comercio electrónico se les permite decidir entre utilizar o no utilizar métodos electrónicos para llegar a sus acuerdos y elegir el método tecnológico para redactar y firmar sus documentos. Los propósitos: El respeto de la libre voluntad de cada una de las partes. Proteger a las partes de la brecha digital.

11 Equivalencia funcional Interpretación: El reconocimiento de documentos electrónicos y firmas electrónicas con la misma eficacia jurídica de los documentos y firmas tradicionales en papel. Características: El reconocimiento a todos los documentos electrónicos y firmas electrónicas. Requisitos específicos para instrumentos legales / Firmas.

12 Exclusión y excepción Interpretación: Reglamento de la ESA se aplican a todos los estatutos y reglamentos de Taiwán. Sin embargo, cada autoridad competente puede excluir conductas específicas de la aplicación de la ESA. Propósitos: Conservación de las pruebas Balance para el desarrollo de tecnologías

13 Principios para regular CA ( autoridad de certificación) Interpretación: La ley adopta una política de bajo perfil permitiendo que el mercado lidere el desarrollo de servicios de certificación. Propósitos: Para fomentar el desarrollo de las industrias de Certificación. A través de la competencia mejorar la calidad del servicio. Respeto del mecanismo de mercado

14 Principios Fundamentales CA Gestión CA Gestión Divulgación de la Información Divulgación de la Información Esquema de Seguridad Protección de Privacidad Protección de Privacidad Protección del derecho Del titular Protección del derecho Del titular

15 Divulgación de la Información Obligación de divulgar información a los demás participantes. Propósitos: Que todos los participantes tomen conciencia de los riesgos y responsabilidades asociados al servicio de certificación. Puntos clave Disponibilidad de la Información Cambio de estado

16 Divulgación de la Información Objetos Política de Certificación (CP) Declaración de Prácticas de Certificación (CPS) – Incluidas todas las materias requeridas en un CPS – ejemplos: información de auditoría. Obligación legal de todos los participantes Gestión de la seguridad Situación financiera Condiciones para revocar el certificado Protección de información de los datos personales. Modificación de los estados de la CPS Certificado Modificación de los estados del Certificado

17 Protección de la Privacidad Protección de los datos personales de la recolección, divulgación y su uso ilegal o inadecuado. Requisitos legales: 1. CPS requiere información: – Categorización de la información confidencial. – Asuntos relacionadas con la protección de datos personales. 2. Procesamiento computarizado de la Ley de Protección de Datos Personales. – Recoger en el ámbito de la necesidad. – Consentimiento y el alcance de uso.

18 Esquema de Seguridad Mitigar los riesgos inherentes al servicio de autenticación Control no técnico de Seguridad Control de Seguridad Técnico Personas, documentos, ambiente Claves, medidas de seguridad etc.

19 Esquema de Seguridad Control de Seguridad No-Técnica Personas Registro de Servicio Período de Presentación Protección Copias Tiempos Frecuencia de Gestión Documentos Compromiso y recuperación ante desastres Procedimientos de terminación de servicios Sustitución de claves Ambiente Calificación del Staff Control de Acceso Deber de Confidencialidad Entrenamiento Trabajos de ajuste Disciplina

20 Esquema de Seguridad Software Seguridad de la Red Control de Seguridad Técnico Claves Medidas de Seguridad Generación e instalación del par de claves Quién las generó Son las claves proporcionadas seguras Longitud, parametros, proposito de uso de las claves Protección de Clave Privada Modulo de estandares y criptografía Control de claves privadas entre varias personas Archivo de soporte Activación-desactivación y destrucción de claves

21 Protección del derecho del Titular Derechos de los titulares: Suscriptores de Certificados Partes de Confianza Recupera Daños – Objetos: – Cualquier daño causado por sus operaciones o cualquier otro proceso de certificación relacionado. – Responsabilidad por negligencia Carga de la prueba: Proveedor de Servicios de Certificación Limitación de responsabilidad De resolución de litigios y política de devolución

22 Procedimiento legal para proveer un servicio de certificación (CA) CPS Approved Cualquier entidad pública o privada puede aplicar para prestar el servicio de certificación. Incluyendo cambio de estado del servicio existente.

23 Procedimiento legal para proveer un servicio de certificación Cumplir con el requisito del Reglamento Pasar revisión por el Comité de Revisión de CPS Obligación de publicar el CPS Aprobado en sitio web oficial del: 1. CA 2. Ministerio de Economía Después de la divulgación del servicios CPS - Aprobado … iniciar la operación del servicio CPS

24 Procedimiento para terminación del servicio de certificación Encontrar otra agencia para llevar a cabo el servicio – A elección de CA – Nombrada por el gobierno Informar a los clientes Transferencia de archivos y registros 30 días preaviso Preparación para terminar el servicio Plan de terminación (TP) aprobado Comité revisión Despues de completada la implementación de TP

25 Esquema de la Práctica actual Autoridad Competente de la regulación de CA: Ministerio de Asuntos Económicos (MOEA) examen preliminar del CPS Examen del Plan de terminación CA Sugerencia de Comité de Revisión Sugerencia de Reformas Legales Redacción de la Ley y el Reglamento Q & A de la aplicación de la ley para CA MOEA Departamento de comercio Privado CA Público CA STLC Componen CPS Envíe el CPS para el examen Enviar un Aviso de Plan de Terminación Revisión comité Revisión comité

26 Ejemplo 2: e-Gobierno CA PÚBLICA Gobierno PKI EstructuraNo Gob. PKI Estructura GRCA Gobierno Root CA GCA Gobierno CA MOEACA Ministerio de Economía CA MOICA Ministerio del Interior CA XCA Mix de varias organizaciones CA HCA Cuidado de la salud CA LYCA Legislativo Yuan CA Taichung Harbor Bureau CA

27 Futuro seguimiento Legislación - Siguiente Nivel Después de la certificación, las industrias están creciendo y madurando, la Ley de Firma Electrónica está pasando a otra etapa. Legislación Siguiente Nivel: – Fortalecer la regulación de la gestión de CA – Fomentar y ampliar el campo de aplicación del certificado 2009 Proyecto de la Enmienda CA requerida para obtener permiso del gobierno antes de ofrecer servicio al público. Fortalecer el poder de la Autoridad Competente. En sentido estricto de la obligación de CA para poner fin a su servicio Nueva política para admitir proveedor de servicios extranjeros CA

28 GRACIAS

29 CPS es un documento en el que se detallan los procedimientos operativos sobre cómo ejecutar la política de seguridad y cómo aplicarla en la práctica. Por lo general, incluye definiciones sobre cómo se construyen y operan las Autoridades de Certificación, cómo se emiten, aceptan y revocan certificados, y cómo se generan, registran y certifican las claves, dónde se almacenan y cómo se ponen a disposición de los usuarios. una política de certificado (CP) y una declaración de práctica de certificación (CPS) son clave en la determinación del nivel de confianza que puede depositarse en un certificado digital. La política de certificado es el conjunto de requerimientos y aspectos que gobiernan y controlan la creación y el uso de certificados digitales basados en clave pública. Mientras que la declaración de práctica de certificación hace referencia al conjunto de actividades llevadas a cabo por la Autoridad de Certificación en la actividad de emisión de certificados digitales.

30 Una autoridad de certificación es esa tercera parte fiable que acredita la ligazón entre una determinada clave y su propietario real Autoridades de certificación (CA o certification authorities): que vinculan la clave pública a la entidad registrada proporcionando un servicio de identificación. Una CA es a su vez identificada por otra CA creándose una jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad común que directa o transitivamente les avala. Autoridades de registro (RA o registration authorities): que ligan entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA. Autoridades de fechado digital (TSA o time stamping authorities): que vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado (resolverían el problema de la exactitud temporal de los documentos electrónicos

31 ¿Qué son los certificados digitales? Son unos documentos, electrónicos, que incorporarían las dos claves citadas antes (la pública y la privada), permitiendo su uso firmar documentos en formato electrónico, pudiéndose de este modo acreditar la identidad del firmante, la integridad del contenido (que no ha sido modificado), así como la fecha de su firma. De cualquier modo, para la facturación electrónica se requería además que quede debida constancia en cuanto al momento de la emisión de la misma, así como del momento de su recepción por el destinatario. Esta última cualidad – acreditación y constancia del aspecto temporal – es lo que se llama sellado de tiempo o time stamping. El sello de tiempo asegura que tanto los datos originales del documento como la información del estado de los certificados, se generaron antes de una determinada fecha. AUTORIDAD DE REGISTRO: Tienen por misión realizar las funciones de asistencia a la Autoridad de Certificación en los procedimiento y trámites relacionados con los ciudadanos para su identificación, registro y autenticación y de esta forma garantizar la asignación de las claves al solicitante. Función hash: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Función hash. Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar una función hash a un mensaje y que cumple la propiedad de estar asociado unívocamente a los datos iniciales.

32 LDAP: Lightweight Directory Access Protocol (Protocolo de acceso a servicios de directorio) Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados. En una lista de revocación de certificados (CRL, del inglés, Certificate Revocation List) se incluyen todos aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida dentro del mismo certificado. OCSP (del inglés, Online Certificate Status Protocol). La autoridad de validación (VA): es la encargada de comprobar el estado de revocación del certificado digital en el momento en el que se quiere utilizar. Firma electrónica básica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal. Firma electrónica avanzada: es aquella firma electrónica que permite comprobar la identidad personal del firmante respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control. Firma electrónica reconocida: es aquella firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma, lo que le otorga validez legal equiparable a la firma manuscrita.

33 POLITICAS Y PRÁCTICAS DE CERTIFICACION CPS Y CP: Declaración de Practicas de Certificación (CPS): describe las prácticas empleadas en la emisión y gestión de certificados. Gobierna la gestión de la infraestructura de llaves publicas y podría también incluir las descripciones de los servicios ofrecidos. Provee de un marco legal que describe las obligaciones y márgenes de responsabilidad que asume la Autoridad de certificación, así como sus derechos con los titulares de los certificados emitidos por esta. Política de Certificación (CP): consiste en un conjunto de reglas que indican la aplicabilidad de un certificado a una particular comunidad y lo de aplicaciones con requerimientos de seguridad comunes CLR: Certificate Revocation List Issuers Los emisores de listas de revocación de certificado actúan en nombre de la autoridad de certificación, siendo de carácter opcional aunque sumamente convenientes. Son listas de los certificados que han dejado de ser validos y por tanto en los que NO se pueden confiar. Estos son revocados en caso como; la llave privada se vea comprometida o hayan cambiado los atributos del certificado

34 Autoridades de Certificación (CA) : Representan la fuente de credibilidad de la infrastructura de llave pública. Quienes emiten los certificados, firmándolos digitalmente con su llave privada. Certifican que la llave pública asignada en un certificado a una entidad final, corresponde realmente a dicha entidad final. Ver: CA Trust.pdf en Verisign es el representante más conocido.www.pkiforum.org 3º Autoridad de Registro, o Registration Authority (RA) :Realiza el proceso de registro de las entidades finales por encargo de la autoridad de certificación. Valida los atributos del sujeto que solicita el certificado, Verifica que el sujeto posee la llave privada a registrar, Genera los secretos compartidos que permiten el proceso de inicialización y certificación. Genera el par de llaves público/privada, ver ANSI X.9 estándares. Valida los parámetros de las llaves públicas presentadas para su registro.

35

36


Descargar ppt "II. Aspectos Legales sobre PKI Managua, 1ro Diciembre 2010."

Presentaciones similares


Anuncios Google