II. Aspectos Legales sobre PKI Managua, 1ro Diciembre 2010

¿Cual es el marco legal ideal del PKI？ Leyes Generales Código Criminal Código Civil Ley de Firma digital Ley administrativa Ley de Protección de privacidad Regulación para los Proveedores De servicio De certificación Leyes Especiales Ley de Comercio electrónico Ley de gobierno electrónico (Cubriendo los certificados Encriptados y la firma Digital

Aparición de los problemas de privacidad en un ambiente electrónico Los problemas registrados en la plataforma de Internet Entre 2007 y 2009 comenzaron a surgir graves problemas de fuga de datos personales en librerías en línea, e-tiendas Los problemas se produjeron en los canales de envío y suministro Feb.2008 Una librería líder de ventas online filtró alrededor de 6.000 datos de carácter personal de sus clientes. La investigación policial demostró que la filtración de la protección de la privacidad estaba en su proveedor de servicio de envío y los canales de suministro. Ataque profesional Los hackers atacaron e-tiendas ( tiendas electrónicas) o sistema de banca en línea con la finalidad de remover o copiar datos de carácter personal.

Políticas para enfrentar los problemas de privacidad Establecer un Sistema de Gestión de Protección de la Privacidad Plan de Gestión Interna de Seguridad Fomentar y promover el uso de e-autenticación.  Adaptar una plataforma adecuada a mecanismo de seguridad.  El gobierno apoyará con soluciones para empresas privadas (tecnología, información, plataforma de consulta, y así sucesivamente) Servicio de protección de la privacidad o una solución de seguridad

Ley de Firma Electrónica (ESA) Estalecieron los Principios Fundamentales de los documentos y firmas electrónicas. Regulación de la Autoridad de Certificación (CA) Marco Legal - PKI Reglamento de la Ley de Firma Electrónica Definiciones y procedimientos para la implementación de la ESA Reglamento de Administración de permisos de proveedores extranjeros de servicios de certificación Requisitos y procedimientos para obtener el permiso para ofrecer servicio de certificación en Taiwán Reglamento de la información requerida para la Declaración de Prácticas de Certificación (CPS)

Mapa de ruta de las legislación Nuevo Proyecto de Enmienda (2009) Promulgación de reglamentos relacionados con: Reglamentación de la Ley de Firma electrónica2002) Reglamento - Permiso de FC SP (2002) Reglamentos-Para las prácticas de certificación CPS (2004) Firmas Electrónicas Discusión de la necesidad de modificar el marco jurídico vigente 01 de abril 2002 Aplicación de la ESA Nov.14, 2001 Promulgación de la Ley firma electrónica 1997  Discusión de la necesidad de una legislación. 1996　 　1997 2001 2002 2003 2004 2005 2006 2009

Estructura de Ley de Firma Electrónica de Taiwán Ley de Firma Electrónica (ESA) e-Documento & e-Firma Gestión del CA (autoridad certificadora ) Requerimientos legales para la validez de los e-documentos Deberes legales del CA Requerimientos legales para la validez de e-firma Regla de gobierno CA Requerimientos legales para reservar e-documentos Declaración de prácticas de Certificación (CPS) Envio y recepción de e-documentos Aprobación CA extranjeras Excepción para aplicar ESA

Principios de la ESA de Taiwán Equivalencia funcional Ley de firma digital Neutralidad Tecnológica Autonomía de las Partes Exclusión y excepción

Neutralidad Tecnológica Interpretación: La ley no favorece ni aprueba ninguna tecnología específica para la firma electrónica o documentos electrónicos. Fundamento: Cualquier tecnología desarrollada para el uso de una firma electrónica válida de los documentos electrónicos, debe cumplir con las funciones fundamentales y definiciones que figuran en la ley de firma electrónica . ? ?

Autonomía de las partes Interpretación: Las partes que participan en el comercio electrónico se les permite decidir entre utilizar o no utilizar métodos electrónicos para llegar a sus acuerdos y elegir el método tecnológico para redactar y firmar sus documentos. Los propósitos: El respeto de la libre voluntad de cada una de las partes. Proteger a las partes de la brecha digital.

Equivalencia funcional Interpretación: El reconocimiento de documentos electrónicos y firmas electrónicas con la misma eficacia jurídica de los documentos y firmas tradicionales en papel. Características: El reconocimiento a todos los documentos electrónicos y firmas electrónicas. Requisitos específicos para “instrumentos legales / Firmas”.

Exclusión y excepción Interpretación: Reglamento de la ESA se aplican a todos los estatutos y reglamentos de Taiwán. Sin embargo, cada autoridad competente puede excluir conductas específicas de la aplicación de la ESA. Propósitos: Conservación de las pruebas Balance para el desarrollo de tecnologías

Principios para regular CA ( autoridad de certificación) Respeto del mecanismo de mercado Interpretación: La ley adopta una política de bajo perfil permitiendo que el mercado lidere el desarrollo de servicios de certificación. Propósitos: Para fomentar el desarrollo de las industrias de Certificación. A través de la competencia mejorar la calidad del servicio.

Principios Fundamentales Divulgación de la Información Esquema de Seguridad CA Gestión Protección de Privacidad Protección del derecho Del titular

Divulgación de la Información Obligación de divulgar información a los demás participantes. Propósitos: Que todos los participantes tomen conciencia de los riesgos y responsabilidades asociados al servicio de certificación. Puntos clave Disponibilidad de la Información Cambio de estado

Divulgación de la Información Objetos Política de Certificación (CP) Declaración de Prácticas de Certificación (CPS) Incluidas todas las materias requeridas en un CPS ejemplos: información de auditoría. Obligación legal de todos los participantes Gestión de la seguridad Situación financiera Condiciones para revocar el certificado Protección de información de los datos personales. Modificación de los estados de la CPS Certificado Modificación de los estados del Certificado

Protección de la Privacidad Protección de los datos personales de la recolección, divulgación y su uso ilegal o inadecuado. Requisitos legales: 1. CPS requiere información: Categorización de la información confidencial. Asuntos relacionadas con la protección de datos personales. 2. Procesamiento computarizado de la Ley de Protección de Datos Personales. Recoger en el ámbito de la necesidad. Consentimiento y el alcance de uso.

Control no técnico de Seguridad Control de Seguridad Técnico Esquema de Seguridad Mitigar los riesgos inherentes al servicio de autenticación Control no técnico de Seguridad ：Personas, documentos, ambiente Control de Seguridad Técnico ：Claves, medidas de seguridad etc.

Control de Seguridad No-Técnica Esquema de Seguridad Control de Seguridad No-Técnica Personas Documentos Ambiente Calificación del Staff Control de Acceso Deber de Confidencialidad Entrenamiento Trabajos de ajuste Disciplina Registro de Servicio Período de Presentación Protección Copias Tiempos Frecuencia de Gestión Compromiso y recuperación ante desastres Procedimientos de terminación de servicios Sustitución de claves

Control de Seguridad Técnico Esquema de Seguridad Control de Seguridad Técnico Generación e instalación del par de claves Quién las generó？ Son las claves proporcionadas seguras？ Longitud, parametros, proposito de uso de las claves Protección de Clave Privada Modulo de estandares y criptografía Control de claves privadas entre varias personas Archivo de soporte Activación-desactivación y destrucción de claves Claves Medidas de Seguridad Software Seguridad de la Red

Protección del derecho del Titular Derechos de los titulares: Suscriptores de Certificados Partes de Confianza Recupera Daños Objetos: Cualquier daño causado por sus operaciones o cualquier otro proceso de certificación relacionado. Responsabilidad por negligencia Carga de la prueba: Proveedor de Servicios de Certificación Limitación de responsabilidad De resolución de litigios y política de devolución

Procedimiento legal para proveer un servicio de certificación (CA) CPS Approved Cualquier entidad pública o privada puede aplicar para prestar el servicio de certificación. Incluyendo cambio de estado del servicio existente.

Procedimiento legal para proveer un servicio de certificación Cumplir con el requisito del Reglamento Pasar revisión por el Comité de Revisión de CPS Obligación de publicar el CPS Aprobado en sitio web oficial del: 1. CA 2. Ministerio de Economía Después de la divulgación del servicios CPS - Aprobado … iniciar la operación del servicio CPS

Procedimiento para terminación del servicio de certificación Preparación para terminar el servicio Plan de terminación (TP) 30 días preaviso Encontrar otra agencia para llevar a cabo el servicio A elección de CA Nombrada por el gobierno Informar a los clientes Transferencia de archivos y registros Comité revisión aprobado Despues de completada la implementación de TP

Esquema de la Práctica actual Autoridad Competente de la regulación de CA: Ministerio de Asuntos Económicos (MOEA) examen preliminar del CPS Examen del Plan de terminación CA Sugerencia de Comité de Revisión Sugerencia de Reformas Legales Redacción de la Ley y el Reglamento Q & A de la aplicación de la ley para CA MOEA Departamento de comercio Envíe el CPS para el examen Enviar un Aviso de Plan de Terminación Revisión comité STLC Componen CPS Componen CPS Privado CA Público CA

Ejemplo 2: e-Gobierno CA PÚBLICA Gobierno PKI Estructura No Gob. PKI Estructura GRCA－Gobierno Root CA LYCA－Legislativo Yuan CA GCA－Gobierno CA Taichung Harbor Bureau CA MOEACA－Ministerio de Economía CA MOICA－Ministerio del Interior CA XCA－Mix de varias organizaciones CA HCA－Cuidado de la salud CA

Futuro seguimiento Legislación - Siguiente Nivel Después de la certificación, las industrias están creciendo y madurando, la Ley de Firma Electrónica está pasando a otra etapa. Legislación Siguiente Nivel: Fortalecer la regulación de la gestión de CA Fomentar y ampliar el campo de aplicación del certificado 2009 Proyecto de la Enmienda CA requerida para obtener permiso del gobierno antes de ofrecer servicio al público. Fortalecer el poder de la Autoridad Competente. En sentido estricto de la obligación de CA para poner fin a su servicio Nueva política para admitir proveedor de servicios extranjeros CA

GRACIAS

CPS es un documento en el que se detallan los procedimientos operativos sobre cómo ejecutar la política de seguridad y cómo aplicarla en la práctica. Por lo general, incluye definiciones sobre cómo se construyen y operan las Autoridades de Certificación, cómo se emiten, aceptan y revocan certificados, y cómo se generan, registran y certifican las claves, dónde se almacenan y cómo se ponen a disposición de los usuarios. una política de certificado (CP) y una declaración de práctica de certificación (CPS) son clave en la determinación del nivel de confianza que puede depositarse en un certificado digital. La política de certificado es el conjunto de requerimientos y aspectos que gobiernan y controlan la creación y el uso de certificados digitales basados en clave pública. Mientras que la declaración de práctica de certificación hace referencia al conjunto de actividades llevadas a cabo por la Autoridad de Certificación en la actividad de emisión de certificados digitales.

Una autoridad de certificación es esa tercera parte fiable que acredita la ligazón entre una determinada clave y su propietario real Autoridades de certificación (CA o certification authorities): que vinculan la clave pública a la entidad registrada proporcionando un servicio de identificación. Una CA es a su vez identificada por otra CA creándose una jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad común que directa o transitivamente les avala. Autoridades de registro (RA o registration authorities): que ligan entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA. Autoridades de fechado digital (TSA o time stamping authorities): que vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado (resolverían el problema de la exactitud temporal de los documentos electrónicos

AUTORIDAD DE REGISTRO: ¿Qué son los certificados digitales? Son unos documentos, electrónicos, que incorporarían las dos claves citadas antes (la pública y la privada), permitiendo su uso firmar documentos en formato electrónico, pudiéndose de este modo acreditar la identidad del firmante, la integridad del contenido (que no ha sido modificado), así como la fecha de su firma. De cualquier modo, para la facturación electrónica se requería además que quede debida constancia en cuanto al momento de la emisión de la misma, así como del momento de su recepción por el destinatario. Esta última cualidad – acreditación y constancia del aspecto temporal – es lo que se llama sellado de tiempo o time stamping. El sello de tiempo asegura que tanto los datos originales del documento como la información del estado de los certificados, se generaron antes de una determinada fecha. AUTORIDAD DE REGISTRO: Tienen por misión realizar las funciones de asistencia a la Autoridad de Certificación en los procedimiento y trámites relacionados con los ciudadanos para su identificación, registro y autenticación y de esta forma garantizar la asignación de las claves al solicitante. Función hash: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Función hash. Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar una función hash a un mensaje y que cumple la propiedad de estar asociado unívocamente a los datos iniciales.

OCSP (del inglés, Online Certificate Status Protocol). LDAP: Lightweight Directory Access Protocol (Protocolo de acceso a servicios de directorio) Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados. En una lista de revocación de certificados (CRL, del inglés, Certificate Revocation List) se incluyen todos aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida dentro del mismo certificado. OCSP (del inglés, Online Certificate Status Protocol). La autoridad de validación (VA): es la encargada de comprobar el estado de revocación del certificado digital en el momento en el que se quiere utilizar. Firma electrónica básica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal. Firma electrónica avanzada: es aquella firma electrónica que permite comprobar la identidad personal del firmante respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control. Firma electrónica reconocida: es aquella firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma, lo que le otorga validez legal equiparable a la firma manuscrita.

POLITICAS Y PRÁCTICAS DE CERTIFICACION CPS Y CP: Declaración de Practicas de Certificación (CPS): describe las prácticas empleadas en la emisión y gestión de certificados. Gobierna la gestión de la infraestructura de llaves publicas y podría también incluir las descripciones de los servicios ofrecidos. Provee de un marco legal que describe las obligaciones y márgenes de responsabilidad que asume la Autoridad de certificación, así como sus derechos con los titulares de los certificados emitidos por esta. Política de Certificación (CP): consiste en un conjunto de reglas que indican la aplicabilidad de un certificado a una particular comunidad y lo de aplicaciones con requerimientos de seguridad comunes CLR: Certificate Revocation List Issuers Los emisores de listas de revocación de certificado actúan en nombre de la autoridad de certificación, siendo de carácter opcional aunque sumamente convenientes. Son listas de los certificados que han dejado de ser validos y por tanto en los que NO se pueden confiar. Estos son revocados en caso como; la llave privada se vea comprometida o hayan cambiado los atributos del certificado

Autoridades de Certificación (CA) : Representan la fuente de credibilidad de la infrastructura de llave pública. Quienes emiten los certificados, firmándolos digitalmente con su llave privada. Certifican que la llave pública asignada en un certificado a una entidad final, corresponde realmente a dicha entidad final. Ver: “CA Trust.pdf” en www.pkiforum.org. Verisign es el representante más conocido. 3º Autoridad de Registro, o Registration Authority (RA) :Realiza el proceso de registro de las entidades finales por encargo de la autoridad de certificación. Valida los atributos del sujeto que solicita el certificado, Verifica que el sujeto posee la llave privada a registrar, Genera los secretos compartidos que permiten el proceso de inicialización y certificación. Genera el par de llaves público/privada, ver ANSI X.9 estándares. Valida los parámetros de las llaves públicas presentadas para su registro.