La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

II. Aspectos Legales sobre PKI

Publicada porCarmencita Lucero Modificado hace 11 años

Presentaciones similares

Presentación del tema: "II. Aspectos Legales sobre PKI"— Transcripción de la presentación:

1 II. Aspectos Legales sobre PKI
Managua, 1ro Diciembre 2010

2 ¿Cual es el marco legal ideal del PKI?
Leyes Generales Código Criminal Código Civil Ley de Firma digital Ley administrativa Ley de Protección de privacidad Regulación para los Proveedores De servicio De certificación Leyes Especiales Ley de Comercio electrónico Ley de gobierno electrónico (Cubriendo los certificados Encriptados y la firma Digital

3 Aparición de los problemas de privacidad en un ambiente electrónico
Los problemas registrados en la plataforma de Internet Entre 2007 y 2009 comenzaron a surgir graves problemas de fuga de datos personales en librerías en línea, e-tiendas Los problemas se produjeron en los canales de envío y suministro Feb.2008 Una librería líder de ventas online filtró alrededor de datos de carácter personal de sus clientes. La investigación policial demostró que la filtración de la protección de la privacidad estaba en su proveedor de servicio de envío y los canales de suministro. Ataque profesional Los hackers atacaron e-tiendas ( tiendas electrónicas) o sistema de banca en línea con la finalidad de remover o copiar datos de carácter personal.

4 Políticas para enfrentar los problemas de privacidad
Establecer un Sistema de Gestión de Protección de la Privacidad Plan de Gestión Interna de Seguridad Fomentar y promover el uso de e-autenticación.  Adaptar una plataforma adecuada a mecanismo de seguridad.  El gobierno apoyará con soluciones para empresas privadas (tecnología, información, plataforma de consulta, y así sucesivamente) Servicio de protección de la privacidad o una solución de seguridad

5 Ley de Firma Electrónica (ESA)
Estalecieron los Principios Fundamentales de los documentos y firmas electrónicas. Regulación de la Autoridad de Certificación (CA) Marco Legal - PKI Reglamento de la Ley de Firma Electrónica Definiciones y procedimientos para la implementación de la ESA Reglamento de Administración de permisos de proveedores extranjeros de servicios de certificación Requisitos y procedimientos para obtener el permiso para ofrecer servicio de certificación en Taiwán Reglamento de la información requerida para la Declaración de Prácticas de Certificación (CPS)

6 Mapa de ruta de las legislación
Nuevo Proyecto de Enmienda (2009) Promulgación de reglamentos relacionados con: Reglamentación de la Ley de Firma electrónica2002) Reglamento - Permiso de FC SP (2002) Reglamentos-Para las prácticas de certificación CPS (2004) Firmas Electrónicas Discusión de la necesidad de modificar el marco jurídico vigente 01 de abril 2002 Aplicación de la ESA Nov.14, 2001 Promulgación de la Ley firma electrónica 1997  Discusión de la necesidad de una legislación. 1996   

7 Estructura de Ley de Firma Electrónica de Taiwán
Ley de Firma Electrónica (ESA) e-Documento & e-Firma Gestión del CA (autoridad certificadora ) Requerimientos legales para la validez de los e-documentos Deberes legales del CA Requerimientos legales para la validez de e-firma Regla de gobierno CA Requerimientos legales para reservar e-documentos Declaración de prácticas de Certificación (CPS) Envio y recepción de e-documentos Aprobación CA extranjeras Excepción para aplicar ESA

8 Principios de la ESA de Taiwán
Equivalencia funcional Ley de firma digital Neutralidad Tecnológica Autonomía de las Partes Exclusión y excepción

9 Neutralidad Tecnológica
Interpretación: La ley no favorece ni aprueba ninguna tecnología específica para la firma electrónica o documentos electrónicos. Fundamento: Cualquier tecnología desarrollada para el uso de una firma electrónica válida de los documentos electrónicos, debe cumplir con las funciones fundamentales y definiciones que figuran en la ley de firma electrónica . ? ?

10 Autonomía de las partes
Interpretación: Las partes que participan en el comercio electrónico se les permite decidir entre utilizar o no utilizar métodos electrónicos para llegar a sus acuerdos y elegir el método tecnológico para redactar y firmar sus documentos. Los propósitos: El respeto de la libre voluntad de cada una de las partes. Proteger a las partes de la brecha digital.

11 Equivalencia funcional
Interpretación: El reconocimiento de documentos electrónicos y firmas electrónicas con la misma eficacia jurídica de los documentos y firmas tradicionales en papel. Características: El reconocimiento a todos los documentos electrónicos y firmas electrónicas. Requisitos específicos para “instrumentos legales / Firmas”.

12 Exclusión y excepción Interpretación: Reglamento de la ESA se aplican a todos los estatutos y reglamentos de Taiwán. Sin embargo, cada autoridad competente puede excluir conductas específicas de la aplicación de la ESA. Propósitos: Conservación de las pruebas Balance para el desarrollo de tecnologías

13 Principios para regular CA ( autoridad de certificación)
Respeto del mecanismo de mercado Interpretación: La ley adopta una política de bajo perfil permitiendo que el mercado lidere el desarrollo de servicios de certificación. Propósitos: Para fomentar el desarrollo de las industrias de Certificación. A través de la competencia mejorar la calidad del servicio.

14 Principios Fundamentales
Divulgación de la Información Esquema de Seguridad CA Gestión Protección de Privacidad Protección del derecho Del titular

15 Divulgación de la Información
Obligación de divulgar información a los demás participantes. Propósitos: Que todos los participantes tomen conciencia de los riesgos y responsabilidades asociados al servicio de certificación. Puntos clave Disponibilidad de la Información Cambio de estado

16 Divulgación de la Información
Objetos Política de Certificación (CP) Declaración de Prácticas de Certificación (CPS) Incluidas todas las materias requeridas en un CPS ejemplos: información de auditoría. Obligación legal de todos los participantes Gestión de la seguridad Situación financiera Condiciones para revocar el certificado Protección de información de los datos personales. Modificación de los estados de la CPS Certificado Modificación de los estados del Certificado

17 Protección de la Privacidad
Protección de los datos personales de la recolección, divulgación y su uso ilegal o inadecuado. Requisitos legales: 1. CPS requiere información: Categorización de la información confidencial. Asuntos relacionadas con la protección de datos personales. 2. Procesamiento computarizado de la Ley de Protección de Datos Personales. Recoger en el ámbito de la necesidad. Consentimiento y el alcance de uso.

18 Control no técnico de Seguridad Control de Seguridad Técnico
Esquema de Seguridad Mitigar los riesgos inherentes al servicio de autenticación Control no técnico de Seguridad :Personas, documentos, ambiente Control de Seguridad Técnico :Claves, medidas de seguridad etc.

19 Control de Seguridad No-Técnica
Esquema de Seguridad Control de Seguridad No-Técnica Personas Documentos Ambiente Calificación del Staff Control de Acceso Deber de Confidencialidad Entrenamiento Trabajos de ajuste Disciplina Registro de Servicio Período de Presentación Protección Copias Tiempos Frecuencia de Gestión Compromiso y recuperación ante desastres Procedimientos de terminación de servicios Sustitución de claves

20 Control de Seguridad Técnico
Esquema de Seguridad Control de Seguridad Técnico Generación e instalación del par de claves Quién las generó? Son las claves proporcionadas seguras? Longitud, parametros, proposito de uso de las claves Protección de Clave Privada Modulo de estandares y criptografía Control de claves privadas entre varias personas Archivo de soporte Activación-desactivación y destrucción de claves Claves Medidas de Seguridad Software Seguridad de la Red

21 Protección del derecho del Titular
Derechos de los titulares: Suscriptores de Certificados Partes de Confianza Recupera Daños Objetos: Cualquier daño causado por sus operaciones o cualquier otro proceso de certificación relacionado. Responsabilidad por negligencia Carga de la prueba: Proveedor de Servicios de Certificación Limitación de responsabilidad De resolución de litigios y política de devolución

22 Procedimiento legal para proveer un servicio de certificación (CA)
CPS Approved Cualquier entidad pública o privada puede aplicar para prestar el servicio de certificación. Incluyendo cambio de estado del servicio existente.

23 Procedimiento legal para proveer un servicio de certificación
Cumplir con el requisito del Reglamento Pasar revisión por el Comité de Revisión de CPS Obligación de publicar el CPS Aprobado en sitio web oficial del: 1. CA 2. Ministerio de Economía Después de la divulgación del servicios CPS - Aprobado … iniciar la operación del servicio CPS

24 Procedimiento para terminación del servicio de certificación
Preparación para terminar el servicio Plan de terminación (TP) 30 días preaviso Encontrar otra agencia para llevar a cabo el servicio A elección de CA Nombrada por el gobierno Informar a los clientes Transferencia de archivos y registros Comité revisión aprobado Despues de completada la implementación de TP

25 Esquema de la Práctica actual
Autoridad Competente de la regulación de CA: Ministerio de Asuntos Económicos (MOEA) examen preliminar del CPS Examen del Plan de terminación CA Sugerencia de Comité de Revisión Sugerencia de Reformas Legales Redacción de la Ley y el Reglamento Q & A de la aplicación de la ley para CA MOEA Departamento de comercio Envíe el CPS para el examen Enviar un Aviso de Plan de Terminación Revisión comité STLC Componen CPS Componen CPS Privado CA Público CA

26 Ejemplo 2: e-Gobierno CA PÚBLICA Gobierno PKI Estructura
No Gob. PKI Estructura GRCA-Gobierno Root CA LYCA-Legislativo Yuan CA GCA-Gobierno CA Taichung Harbor Bureau CA MOEACA-Ministerio de Economía CA MOICA-Ministerio del Interior CA XCA-Mix de varias organizaciones CA HCA-Cuidado de la salud CA

27 Futuro seguimiento Legislación - Siguiente Nivel Después de la certificación, las industrias están creciendo y madurando, la Ley de Firma Electrónica está pasando a otra etapa. Legislación Siguiente Nivel: Fortalecer la regulación de la gestión de CA Fomentar y ampliar el campo de aplicación del certificado 2009 Proyecto de la Enmienda CA requerida para obtener permiso del gobierno antes de ofrecer servicio al público. Fortalecer el poder de la Autoridad Competente. En sentido estricto de la obligación de CA para poner fin a su servicio Nueva política para admitir proveedor de servicios extranjeros CA

28 GRACIAS

29 CPS es un documento en el que se detallan los procedimientos operativos sobre cómo ejecutar la política de seguridad y cómo aplicarla en la práctica. Por lo general, incluye definiciones sobre cómo se construyen y operan las Autoridades de Certificación, cómo se emiten, aceptan y revocan certificados, y cómo se generan, registran y certifican las claves, dónde se almacenan y cómo se ponen a disposición de los usuarios. una política de certificado (CP) y una declaración de práctica de certificación (CPS) son clave en la determinación del nivel de confianza que puede depositarse en un certificado digital. La política de certificado es el conjunto de requerimientos y aspectos que gobiernan y controlan la creación y el uso de certificados digitales basados en clave pública. Mientras que la declaración de práctica de certificación hace referencia al conjunto de actividades llevadas a cabo por la Autoridad de Certificación en la actividad de emisión de certificados digitales.

30 Una autoridad de certificación es esa tercera parte fiable que acredita la ligazón entre una determinada clave y su propietario real Autoridades de certificación (CA o certification authorities): que vinculan la clave pública a la entidad registrada proporcionando un servicio de identificación. Una CA es a su vez identificada por otra CA creándose una jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad común que directa o transitivamente les avala. Autoridades de registro (RA o registration authorities): que ligan entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA. Autoridades de fechado digital (TSA o time stamping authorities): que vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado (resolverían el problema de la exactitud temporal de los documentos electrónicos

31 AUTORIDAD DE REGISTRO:
¿Qué son los certificados digitales? Son unos documentos, electrónicos, que incorporarían las dos claves citadas antes (la pública y la privada), permitiendo su uso firmar documentos en formato electrónico, pudiéndose de este modo acreditar la identidad del firmante, la integridad del contenido (que no ha sido modificado), así como la fecha de su firma. De cualquier modo, para la facturación electrónica se requería además que quede debida constancia en cuanto al momento de la emisión de la misma, así como del momento de su recepción por el destinatario. Esta última cualidad – acreditación y constancia del aspecto temporal – es lo que se llama sellado de tiempo o time stamping. El sello de tiempo asegura que tanto los datos originales del documento como la información del estado de los certificados, se generaron antes de una determinada fecha. AUTORIDAD DE REGISTRO: Tienen por misión realizar las funciones de asistencia a la Autoridad de Certificación en los procedimiento y trámites relacionados con los ciudadanos para su identificación, registro y autenticación y de esta forma garantizar la asignación de las claves al solicitante. Función hash: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Función hash. Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar una función hash a un mensaje y que cumple la propiedad de estar asociado unívocamente a los datos iniciales.

32 OCSP (del inglés, Online Certificate Status Protocol).
LDAP: Lightweight Directory Access Protocol (Protocolo de acceso a servicios de directorio) Los repositorios: son las estructuras encargadas de almacenar la información relativa a la PKI. Los dos repositorios más importantes son el repositorio de certificados y el repositorio de listas de revocación de certificados. En una lista de revocación de certificados (CRL, del inglés, Certificate Revocation List) se incluyen todos aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida dentro del mismo certificado. OCSP (del inglés, Online Certificate Status Protocol). La autoridad de validación (VA): es la encargada de comprobar el estado de revocación del certificado digital en el momento en el que se quiere utilizar. Firma electrónica básica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal. Firma electrónica avanzada: es aquella firma electrónica que permite comprobar la identidad personal del firmante respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control. Firma electrónica reconocida: es aquella firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma, lo que le otorga validez legal equiparable a la firma manuscrita.

33 POLITICAS Y PRÁCTICAS DE CERTIFICACION CPS Y CP:
Declaración de Practicas de Certificación (CPS): describe las prácticas empleadas en la emisión y gestión de certificados. Gobierna la gestión de la infraestructura de llaves publicas y podría también incluir las descripciones de los servicios ofrecidos. Provee de un marco legal que describe las obligaciones y márgenes de responsabilidad que asume la Autoridad de certificación, así como sus derechos con los titulares de los certificados emitidos por esta. Política de Certificación (CP): consiste en un conjunto de reglas que indican la aplicabilidad de un certificado a una particular comunidad y lo de aplicaciones con requerimientos de seguridad comunes CLR: Certificate Revocation List Issuers Los emisores de listas de revocación de certificado actúan en nombre de la autoridad de certificación, siendo de carácter opcional aunque sumamente convenientes. Son listas de los certificados que han dejado de ser validos y por tanto en los que NO se pueden confiar. Estos son revocados en caso como; la llave privada se vea comprometida o hayan cambiado los atributos del certificado

34 Autoridades de Certificación (CA) : Representan la fuente de credibilidad de la infrastructura de llave pública. Quienes emiten los certificados, firmándolos digitalmente con su llave privada. Certifican que la llave pública asignada en un certificado a una entidad final, corresponde realmente a dicha entidad final. Ver: “CA Trust.pdf” en Verisign es el representante más conocido. 3º Autoridad de Registro, o Registration Authority (RA) :Realiza el proceso de registro de las entidades finales por encargo de la autoridad de certificación. Valida los atributos del sujeto que solicita el certificado, Verifica que el sujeto posee la llave privada a registrar, Genera los secretos compartidos que permiten el proceso de inicialización y certificación. Genera el par de llaves público/privada, ver ANSI X.9 estándares. Valida los parámetros de las llaves públicas presentadas para su registro.

35

36

Descargar ppt "II. Aspectos Legales sobre PKI"

Presentaciones similares

Seguridad técnica y jurídica con certificados digitales

Seguridad técnica y jurídica con certificados digitales
Certificados X.509 Federico García

Certificados X.509 Federico García
Firma electrónica ASPECTOS TEÓRICOS Y PRÁCTICOS Seminario ATI

Firma electrónica ASPECTOS TEÓRICOS Y PRÁCTICOS Seminario ATI
Aclaraciones de la Realización del Producto

Aclaraciones de la Realización del Producto
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Conceptos sobre firma y certificados digitales

Conceptos sobre firma y certificados digitales
INFRAESTRUCTURA DE CLAVE PÚBLICA

INFRAESTRUCTURA DE CLAVE PÚBLICA
Hacia un sistema institucional de costos 04 / 12 / 09 Sitio Web para descarga de productos SC Dirección General de Planeación y Desarrollo en Salud.

Hacia un sistema institucional de costos 04 / 12 / 09 Sitio Web para descarga de productos SC Dirección General de Planeación y Desarrollo en Salud.
Sellos de confianza en línea

Sellos de confianza en línea
ADMINISTRACIÓN ELECTRÓNICA.

ADMINISTRACIÓN ELECTRÓNICA.
Firma Digital en el Ecuador

Firma Digital en el Ecuador
Firma digital en el ecuador

Firma digital en el ecuador
Las 10 cosas más importantes de Windows Aviso legal La información incluida en este documento representa la perspectiva actual de Microsoft Corporation.

Las 10 cosas más importantes de Windows Aviso legal La información incluida en este documento representa la perspectiva actual de Microsoft Corporation.
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
Administración de Certificados Digitales

Administración de Certificados Digitales
Firma y Certificado Digital Angel Lanza Carlos Garcia.

Firma y Certificado Digital Angel Lanza Carlos Garcia.
1 RG 1361AFIP TITULO I: EMISIÓN Y ALMACENAMIENTO ELECTRONICO DE COMPROBANTES TITULO II: ALMACENAMIENTO ELECTRONICO DE REGISTRACIONES DE COMPRO- BANTES.

1 RG 1361AFIP TITULO I: EMISIÓN Y ALMACENAMIENTO ELECTRONICO DE COMPROBANTES TITULO II: ALMACENAMIENTO ELECTRONICO DE REGISTRACIONES DE COMPRO- BANTES.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
3er Seminario Internacional

3er Seminario Internacional
Certificados e Infraestructura de Llave Pública

Certificados e Infraestructura de Llave Pública

Presentaciones similares

Anuncios Google