PKI (Public Key Infrastructure) by NzZbGAab

VIEWS: 134 PAGES: 15

									                PKI:
Claves para entenderla.




  “Tu secreto es tu prisionero; si lo sueltas, tú eres su prisionero.”
                                Simon Singh, Los códigos secretos.


                                         David Navarro Arnao
Índice:
     Prologo
     Introducción
     ¿Qué es la Infraestructura de Clave Pública?
          o Definición.
          o Elementos que la componen.
          o Objetivos.
          o Marco de la PKI en la seguridad informática.
          o Estándares y protocolos.
     Situación en el mundo
     Situación en España
          o Marco legislativo español.
          o Proveedores de certificación digital. Comparativa.
          o Problemas comunes en las empresas que usan PKI
     Ejemplo: Incorporar una PDA en una PKI
     Apéndice 1
     Bibliografía consultada
     Agradecimientos
PRÓLOGO

Estamos viviendo un momento histórico en lo que a criptografía se refiere. El hecho de
que exista un mecanismo de cifrado público, para la gente corriente y moliente, es algo
que sería impensable hace 30 años, hasta que se hizo público un sistema de distribución
de claves en el Congreso Nacional de Informática de EE.UU. en Junio de 1976 por
Diffie-Hellman-Merkel. Este avance está considerado el mayor logro criptográfico
desde la invención de la cifra monoalfabética, hace más de 2000 años!!.

Y aunque fueron matemáticos del departamento del servicio secreto británico GCHQ
(James Ellis, Clifford Cocks y Malcolm Williamson) los que lo desarrollaron primero,
no lo hemos sabido hasta mucho después debido al secretismo del que fue rodeado.
Estos británicos se mordieron la lengua mientras otros hacían público algo que ellos
habían descubierto antes y mientras Rivest, Shamir y Addelman se embolsaban 200
millones de dólares al venderse RSA Data Security Inc.

Hoy en día comienza a ser habitual el uso del cifrado para el envío de emails o para todo
tipo de transacciones digitales, y el hecho de que podamos usar una cifra tan potente
como la basada en clave pública o asimétrica es lo que le da el nombre de “revolución”
a este momento en la historia de la criptografía.

Durante miles de años, la cifra que poseía una reina o general era considerado un arma
(y lo sigue siendo), y se usaron grandes recursos para descifrar el arma del enemigo
mientras rezaban porque su cifra siguiese siendo invencible. Muchas veces esta fe en el
método de cifrado ha sido la perdición de jefes de estado como Maria Estuardo o Adolf
Hitler.

Para hacernos a la idea de que forma era un secreto de estado la cifra usada, podría
poner muchos ejemplos, pero me he inclinado por uno que nos atañe a los españoles, los
cuales hemos estado en la cola de la criptografía durante toda la historia.

“Hacia el final del siglo XVI, los franceses consolidaron su habilidad descifradora con
la llegada de François Viète, que obtenía un placer especial descifrando cifras
españolas. Los criptógrafos españoles, eran más ingenuos que sus rivales en el resto de
Europa, no podían creerlo cuando descubrieron que sus mensajes eran transparentes
para los franceses. El rey Felipe II llegó a presentar una petición ante el Vaticano,
afirmando que la única explicación posible del criptoanálisis de Viète era que éste
fuera un enemigo jurado confabulado con el diablo. Felipe alegó que Viète debía ser
juzgado ante el tribunal de un cardenal por sus actos diabólicos; pero el Papa, que
sabía que sus propios criptoanalistas habían estado leyendo las cifras españolas
durante años, rechazó la petición española. Las noticias sobre la petición se
extendieron a los expertos en cifras de varios países y los criptógrafos españoles se
convirtieron en el hazmerreír de Europa.” [Los códigos secretos, Simon Singh]
El hecho de que el uso del cifrado esté al alcance de cualquiera conlleva varios
problemas:

El primero que surgió tiene que ver con la delincuencia. Ahora no se puede espiar a los
delincuentes que cifran sus cuentas o sus comunicaciones, lo que supone un problema
ético: ¿Deberíamos aceptar un método de cifrado mermado para poder ser controlados a
cambio de obtener mayor seguridad contra el crimen?. La opinión sobre esto de la NSA
se ve claramente con la persecución a la que fue sometido Phil Zimmermann por las
autoridades de su país (EE.UU.) por crear, publicar y regalar un programa de fácil uso
para encriptar emails: PGP.

Otro problema viene a la hora de implantar un estándar para el uso público de la cifra en
usos generales, como DNIs digitales, Tarjetas de crédito, implementación de protocolos
para la PKI, etc... Todo esto necesita un marco jurídico que aclare las responsabilidades
y un marco de estandarización que permita un compatibilidad y calidad de los productos
usados.
INTRODUCCIÓN

El crecimiento de Internet ha cambiado dramáticamente la forma en que las
organizaciones y las personas se comunican y realizan transacciones de negocios. Para
potenciar el efecto de este cambio, las empresas están desarrollando rápidamente redes
privadas de comunicación con sus proveedores, aplicaciones de comercio electrónico,
redes internas utilizando tecnología compatible con Internet (Intranet), redes privadas
virtuales (VPN), comunicaciones seguras y firma digital de documentación.

Una infraestructura de Clave Pública (PKI) le permite a una compañía contar con
sistemas de autenticación, controles de acceso, confidencialidad y no repudiabilidad
para sus aplicaciones en redes, usando tecnología avanzada, tal como firmas digitales,
criptografía y certificados digitales.

Este tipo de infraestructura se basa, como su nombre indica, en el cifrado de clave
pública, sobre todo en la cifra RSA, por dos razones: Porque fue la primera en
patentarse y porque sus inventores crearon escuela al formar la empresa que hoy es más
importante en el desarrollo e implantación de Infraestructuras de Clave Pública: RSA
Data Security Inc y su filial certificadora Verisign.

Este trabajo describe las claves para entender la Infraestructura de Clave Pública
(definición, tecnologías usadas, objetivos que busca), algunas herramientas usadas para
su implantación y los problemas que se pueden encontrar al hacerlo. Además muestra la
situación en el mundo de este tipo de infraestructuras señalando que países tienen
desarrollado un marco adecuado y al llegar a España hacer una revisión de que
compañías se han establecido y que productos se están preparando desde la
administración pública.

Para terminar se plantea un ejemplo de implantación de una PKI utilizando una PDA
como soporte final del certificado digital.


¿Qué es la Infraestructura de Clave Pública (PKI)?
Definición:

        Hay muchas maneras de definirla: Podría decirse de forma abstracta que es un
protocolo para el intercambio seguro de información. O decir que es una infraestructura
de red formada por servidores y servicios [apuntes de Redes]. O de forma más parca
podría decirse que es una tecnología basada en clave pública [Ciberpaís]. Todas son
ciertas y se complementan.

       La PKI es un protocolo que trata de describir los procesos organizativos
necesarios para la gestión de certificados digitales de claves públicas para el
intercambio seguro de información, que permite firmar digitalmente un documento
electrónico (un email, el código de un programa, una transacción bancaria, unos análisis
médicos, etc, etc, etc...), o permite identificar a una persona o empresa en Internet, o
permite acceder a un recinto o servicio restringido. Los usos son innumerables.
Las PKIs, son sistemas mixtos hardware/software, basados en diferentes agentes que
permiten dotar a máquinas y usuarios de Certificados Digitales de Identidad
(certificados X509v3).


Elementos que la componen:

Como ya introduje, la PKI se basa en el cifrado de clave pública y está formada por:
   Certificados Digitales, por ejemplo X509.
   Una estructura jerárquica para la generación y verificado de estos certificados
      formada por las Agencias de Certificación (CA) y las Autoridades de Registro
      (RA) (que cumplen la función de sucursales de las primeras). Donde la CA es
      una organización independiente y confiable.
   Directorios de certificados, que son el soporte software adecuado (bases de
      datos) para el almacenamiento de los certificados. Por ejemplo directorios X.500
      o LDAP (simplificación del primero). Aunque no tienen porque estar localizados
      en un servidor central (modelo de Tercera Parte Confiable) y estar distribuidos
      entre los usuarios como hace PGP (modelo de Confianza Directa).
   Un sistema de administración de certificados, que es el programa que utiliza la
      Agencia de Certificación o la empresa donde se ha instalado la PKI para que
      realice la comprobación, la generación, la revocación de certificados, etc.... Y
      este es el producto que cada compañía intenta vender en el mercado. Mercado al
      que se le augura un prometedor crecimiento


Objetivos:

Los objetivos que persigue una PKI, se consigue gracias a la propiedades de la
criptografía de clave pública, y son los siguientes:
     Autentificación de usuarios: Asegurar la identidad de un usuario, bien como
        signatario de documentos o para garantizar el acceso a servicios distribuidos en
        red, ya que sólo él puede conocer su clave privada, evitando así la suplantación.
     No repudio: Impedir que una vez firmado un documento el signatario se
        retracte o niegue haberlo redactado.
     Integridad de la información: Prevenir la modificación deliberada o accidental
        de los datos firmados, durante su transporte, almacenamiento o manipulación.
     Auditabilidad: Identificar y rastrear las operaciones, especialmente cuando se
        incorporan marcas de tiempo.
     Acuerdo de claves secretas: para garantizar la confidencialidad de la
        información intercambiada, esté firmada o no.



Marco de la PKI dentro de la seguridad informática

Para tener una idea clara de la función de la PKI es conveniente enmarcarla dentro de su
ambiente: la seguridad informática.
La seguridad informática se divide en tres segmentos conocidos como 3A. Es un
mercado que engloba las herramientas de autentificación, autorización y
administración. La autentificación engloba las soluciones PKI y en menor medida los
token, dispositivos de hardware que generan claves de un solo uso; en el segmento de
autorización figuran los cortafuegos, redes privadas virtuales, detección de intrusos,
filtros de contenido, mecanismos de control para acceder a una sede web, tarjetas
inteligentes (smartcards) y dispositivos biométricos. Por último la administración abarca
los sistemas de gestión de perfiles y aplicaciones de control centralizado.



Estándares y protocolos.

El listado de links a éstos es muy amplio y se puede ver en el Apéndice 1. Pero me
parece conveniente resaltar alguno en este punto: PKIX (IETF), PKCS (RSA),
SSL(Netscape), TLS, S/MIME (IETF), SET (Visa y Mastercard), X.509, X.500.




Situación en el mundo

Existen sólo diecisiete países en el mundo con un marco legal establecido por sus
respectivos gobiernos en el desarrollo de tecnología PKI. Esto nos da una idea de en que
situación se encuentra la utilización de las Infraestructuras de Clave Pública: en pañales,
aunque hay que tener en cuenta que el RSA se publicó en 1997. Como anécdota
“patriótica” comentar que España fue uno de los primeros países que se subió al carro.
En concreto en 1999, pero esto se comenta en el siguiente punto.

La situación en Europa es muy distinta de la estadounidense. En Estados Unidos reina
una mayor libertad de mercado, porque las reglas no siempre son claras. Por el
contrario, en Europa la Directiva de Firma Electrónica y las correspondientes leyes
nacionales sobre la materia han restringido el ámbito en el que se pueden mover los
prestadores de servicios de certificación y los proveedores de estas tecnologías. Esto es,
en Europa los gobiernos deciden qué dispositivos de certificación son seguros y quién
puede convertirse en prestador de servicios de certificación. Además, en los países de la
Unión Europea suele haber una autoridad auspiciada por el gobierno con vocación de
establecerse como prestador de servicios genérico para facilitar el acceso a la firma
electrónica por parte de los ciudadanos, como Ceres en España o las fábricas de moneda
y timbre de cada país.

Evidentemente la situación de las administraciones públicas no tienen nada que ver con
el entorno privado y estas se han desarrollado de forma mucho más rápida, espoleadas
por el boom de las empresas punto com y por la rápida implantación de productos de
distribución de claves y comunicaciones seguras en grandes empresas (como los bancos
por ejemplo). Aunque esta implantación no se produjo de cara al cliente final.

Los fabricantes de tecnología PKI que se crearon confiando en el boom de final del
siglo pasado se han dado un buen porrazo debido a varios factores entre los que se
encuentran el famoso 11-S o la ralentización de la adopción masiva del comercio
electrónico. Sólo aquellos que se han diversificado en otros campos (como las otras
necesidades de las 3A) son las que se han mantenido y confían en un futuro muy
prometedor.

En general, el mercado mundial de software y servicios de securización en 2001 fue de
12.045 millones de euros, en 2002 será de 15.455 millones de euros, y para el año 2005
alcanzará 34.432 millones de euros. También de acuerdo con la misma consultora, el
mercado mundial de PKI en 2001 supuso 738 millones de euros, en 2002 alcanzará los
1.106 millones, y para 2005 será de 2.955 millones. Fuente: Datamonitor.

En lo que se refiere a los gobiernos esta es la lista de los que tienen iniciativas en este
campo:

      Argentina: www.pki.arg.gov
      Australia: Government Public Key Infrastructure
      Austria: Supervisory Authority for Electronic Signatures
      Bélgica: Service public fédéral Technologie de l'Information et de la
       Communication (FEDICT)
            o Centre d'Information sur la Signature Electronique
      Brasil: ICP-Brasil - Infra-estrutura de Chaves Públicas Brasileira
      Canadá: GOC Public Key Infrastructure
      EEUU: Federal Public Key Infrastructure Steering Committee
            o NIST PKI Program
            o Department Of Defense PKI
      España: Fábrica Nacional de Moneda y Timbre - Proyecto CERES
      Francia: Le site du programme d'action gouvernemental pour la société de
       l'information
            o Agence pour les Technologies de l'Information et de la Communication
                dans l'Administration
      Holanda: Dutch government PKI Task Force
      Hong Kong: Digital Certificate and Public Key Infrastructure
      Italia: Autorità per l'informatica nella Pubblica Amministrazione
      Nueva Zelanda: Secure Electronic Environment PKI
      Panamá: Proyecto Firma Digital y Comercio Electrónico (SENACYT)
      Reino Unido: HMG Public Key Infrastructure (PKI)
            o Government Gateway
      República de Corea: Korea Certification Authority Central
      Singapur: Controller of Certification Authorities

Fuente: www.pki.gov.ar
Situación en España


Marco legislativo español

La legislación española vigente sobre certificación digital está compuesta por el Real
Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica, y por la Orden
Ministerial de 21 de febrero de 2000, por la que se aprueba el Reglamento de
acreditación de prestadores de servicios de certificación y de certificación de
determinados productos de firma.

En general esta normativa tiene eufórica a la Administración y confía en proyectos
como el DNI digital, pero hay muchas opiniones en contra, de organizaciones y
empresas, que la tachan de ambigua y hecha con demasiadas prisas. Y no les falta razón
porque este Decreto-Ley salió antes que la Unión Europea se pronunciase al respecto
sacando la Directiva Europea de 13 de diciembre de 1999, que armoniza la regulación
de la firma electrónica. Así que se esperan cambios a corto plazo en este marco
legislativo. De momento el Ministerio ya se ha puesto manos a la obra para elaborar una
nueva ley. En enero pasado se conocía el primer borrador de anteproyecto, que, además
de modificar ciertos aspectos del Real Decreto-Ley, también introduce novedades. Las
dos principales son la creación del DNI electrónico y la regulación de los certificados de
personas jurídicas. Muy probablemente, la nueva Ley de Firma Electrónica será
publicada este mismo año. También se espera la futura Ley de Facturas Telemáticas.



Proveedores de certificación. Comparativa.

   CERES:
      o Iniciativa de la Fabrica Nacional de Moneda y Timbre. Es la iniciativa del
        gobierno español por acercar el servicio de la firma electrónica a los
        ciudadanos y a la administración. Entre sus proyectos de certificación están
        algunos en ayuntamientos (Catarroja, Alboraya, Madrid, Laredo, Totana), en
        Gobiernos de comunidades autónomas (Canarias, Navarra, La Rioja,
        Madrid, Galicia), Ministerio de Economía, Seguridad Social, Tesoro
        Público, algunas empresas y otras instituciones.
      o Servicios:
             Los servicios esenciales están relacionados con el funcionamiento de
                las PKI y la realización de firmas electrónicas.
             Ofrece servicios complementarios relativos a la fabricación y
                distribución de dispositivos seguros, a la atención a los usuarios, a la
                verificación de firma digital y a la replicación del contenido del
                directorio de acceso público.
             En tercer lugar, archivado y recuperación de claves, el fechado
                digital, la emisión de certificados de atributos y los servicios de
                confirmación de envío, entrega y recepción de los mensajes
                intercambiados entre dos partes.
   Camerfirma:
       o Iniciativa del Consejo Superior de Cámaras de Comercio que certifica a
          empresas medianas a través de la red de cámaras de comercio.
       o Servicios:
               Certificados sin poderes -que se limitan a asegurar que un empleado
                  pertenece a una empresa determinada y que es quien dice ser.
               Los certificados con poderes, que además certifican que esa persona
                  tiene poder notarial vigente y firma en esa empresa.
   FESTE (Fundación para el Estudio de la Seguridad de las Telecomunicaciones):
       o Creado por el Consejo General del Notariado, el Consejo General de la
          Abogacía y la Universidad de Zaragoza. Su objetivo es desarrollar
          mecanismos e instrumentos de seguridad jurídica y tecnológica de las
          comunicaciones electrónicas.
       o Servicios:
               Certificado notarial: puede ser personal o corporativo. Se emite sólo
                  a personas físicas y se utiliza para realizar cualquier tipo de
                  transacción o comunicación electrónica segura mediante firma
                  digital, con una validez de dos años. Para emitir el certificado el
                  interesado debe personarse ante un notario habilitado por FESTE.
               Certificado de web seguro: útil para asegurar la identidad del
                  servidor web ante el usuario que accede a él, y para establecer un
                  canal de comunicación cifrado entre clientes y servidor, asegurando
                  la confidencialidad de la información transmitida. Estos certificados
                  son los únicos dotados de eficacia jurídica de la fe pública notarial.
                  Son válidos durante dos años.
               Certificados corporativos: permiten crear un entorno transaccional y
                  de comunicaciones seguro, utilizando como base la firma electrónica
                  y la certificación digital en el entorno cerrado de una corporación
                  privada o bien en el desempeño del ejercicio de la profesión por
                  medios telemáticos en una corporación de derecho público.
   ACE (Agencia Española de Certificación):
       o Creada por el grupo Telefónica. Sus accionistas son Telefónica Data, 4B,
          Sermepa y CECA. Su actividad se centra en la distribución y
          comercialización de los servicios de certificación de Verisign en España y
          Latinoamérica. Se dedican al outsourcing de autoridades de certificación.
          Sus principales clientes proceden del sector financiero, del Grupo Telefónica
          y de las grandes corporaciones.
       o Servicios:
               La securización de sitios web y la de transacciones de comercio
                  electrónico para grandes y pequeñas corporaciones.
               Productos OnSite, orientada a los paquetes de certificados para
                  distribución de usuarios. Para la securización de teletrabajo, intranet
                  y extranet en la relación de los empleados y la empresa, así como la
                  securización de transacciones entre empleados y clientes.
               Consultoría de seguridad e integración (asesoramiento legal,
                  consultoría total sobre PKI).
   Entrust:
       o Servicios:
               Entrust/Authority, que es el software de gestión de infraestructuras
                  de clave pública.
                  Además cuentan con el servicio de certificados Entrust.net para
                   servidores web o WAP.
                  GetAccess es la solución de gestión de privilegios para Internet que
                   aporta seguridad y confianza en los sitios de comercio electrónico al
                   implantar autenticación, autorización y gestión de privilegios.
                  Entrust TruePass, basado en tecnología PKI, permite firmar sin
                   cargar nada en el PC local y tampoco necesita tarjeta criptográfica.
   Safelayer:
       o Inversores: Indra, Bull, Fundación Retevisión, Amena, Setproject, Adepa y
           Euskaltel.
       o Servicios:
                Desktop: aplicación que permite firmas simples o múltiples, la
                   verificación y cifrado de cualquier archivo, y hacer peticiones de
                   sellos de tiempo o de validaciones en tiempo real.
                Toolkits de generación y verificación de firma para integrar en
                   aplicaciones.
   IPSCA:
       o Su tecnología utiliza el protocolo de seguridad IPSec. Entre sus clientes se
           encuentra la empresa de trabajo temporal Vedior, que las utiliza para agilizar
           los procesos de contratación en su portal de recursos humanos.
       o Servicios:
                Parquet de Firma: incluye Herramientas de Firma y Verificación,
                   WebMail Seguro, Caja Fuerte Virtual, Almacén Seguro de
                   Documentos y Time Stamping.
                Formación.
                Actúan como 'tercera parte de confianza' para los servicios de
                   certificación, "time stamping" y almacén seguro de documentos.
   Unicom:
       o Participada por la Corporación Financiera de Caixa Galicia. Entre sus
           clientes están algunas entidades financieras y portales de subastas.
       o Servicios:
                Gestionar la emisión y control de certificados digitales en entornos
                   privados.
                Proporcionar soluciones y servicios de PKI.
                Soluciones de firma electrónica integrada en sistemas informáticos,
                   nuevos o preexistentes.
                Tarjetas inteligentes criptográficas para crear firma electrónica.



Problemas comunes en las empresas que usan PKI

Las empresas que incorporan soluciones PKI, se suelen encontrar con unos problemas
que muchas veces no esperan. Por ejemplo, ocurre que aunque dos certificados digitales
que se ciñen al estándar X509.v3 y que son de empresas distintas pueden ser
incompatibles. Además, existen problemas de confianza entre AC de distintas
organizaciones, que puede imposibilitar la verificación con éxito de cadenas de
certificación cuya AC raíz sea desconocida o no confiable, invalidándose todo el
esquema de PKI.
Otro problema es el coste que supone la inversión. Dado que aún no está extendido el
mercado de la PKI los precios pueden ser algo elevados, impidiendo que pequeñas
empresas puedan acceder a dicha tecnología.

El tercer problema que se presenta es que una PKI termina presentando problemas de
escalabilidad, cuando el número de certificados emitidos a los usuarios va creciendo,
debido a que las listas de revocación deben ser consultadas en cada operación que
involucre certificados y firmas digitales, si se desea una implantación seria y robusta de
PKI.

El último se basa en que el usuario final (el cliente de la empresa de comercio
electrónico por ejemplo) es reacio a adoptar nuevos métodos, acostumbrado al básico
login y password. Esto se espera que comience a mejorar cuando aparezca el DNI
digital, que ayudará a popularizar el uso de la firma.




Ejemplo: Incorporar una PDA en una PKI.

Una PDA es el soporte perfecto para un certificado digital. Es un objeto tan personal y
cómodo como una smartcard, que se está extendiendo a un buen ritmo, y puede ofrecer
la misma seguridad que ésta en el almacenamiento de los datos, los cuales podríamos
cifrarlos con 3DES o IDEA, por ejemplo. De esta forma estaríamos usando una clave
privada que sólo tenemos que conocer nosotros (y nuestra PDA :-).

El acceso a los datos (al certificado digital en este caso) se podría hacer uniendo la
facilidad de un password y la fiabilidad de la biometría. Se puede hacer que la PDA
solicite un password al encenderla y que después solicitase nuestra firma manuscrita. La
característica del trazado y la velocidad pueden ser parámetros biométricos para el
reconocimiento de la firma. Incluso se le puede añadir el reconocimiento de voz como
tercera barrera de seguridad. [Fuente: Paul A. Strassmann, U.S. Department of Defense].

Pero la idea sigue centrándose en la posesión de mi certificado digital y poder
transmitirlo a través de los medios que incorpore nuestra PDA: IrDA, 802.11,
Bluetooth, GSM, GPRS. Esto nos da un inmenso abanico de posibilidades: de momento
todas las que se pueden obtener con un PC (firmar digitalmente, navegación segura,
compras online, etc...) además de añadir la funcionalidad de una smartcard para acceder
a sitios restringidos como cajas fuertes, edificios o departamentos, o incluso para poder
acceder a la utilización de un portátil por infrarrojos que solicitase nuestro certificado
digital como clave de acceso.

Pero estamos hablando de manejar certificados y esto normalmente requiere que se
compruebe mediante una agencia de certificación, lo que aumenta la complejidad. Pero
si no somos tan exigentes podríamos usar la PDA como soporte de una clave pública,
que bien mirado da una seguridad enorme y más que suficiente para muchos de los
ejemplos arriba comentados como identificación personal.
Apéndice 1: Estándares.
  1. IPSec
        1. HSC IPSec Links
  2. MIME Security
        1. S/MIME FAQ (RSA)
        2. S/MIME Working Group (IMC)
        3. RSA's S/MIME Interoperability Center
        4. S/MIME and OpenPGP
        5. S/MIME Freeware Library
        6. S/MIME Mail Security (IETF)
        7. S/MIME Utility (+ SMIMEUtil:: perl module)
  3. PKIX
        1. Certificate profiles (RFC 2459 and successors, qualified
            certificates)
        2. Management protocols (RFC 2510 and successor, RFC 2511, and
            the CMC RFC)
        3. Operational protocols (OCSP, etc.)
        4. Time-stamping, DCS, etc.
  4. Secure Socket Layer (SSL) & Transport Layer Security (TLS)
        1. BSAFE patches for SSLeay
        2. Enabling Network Security with SSLeay
        3. Introducing SSL and Certificates using SSLeay (F. J. Hirsch)
        4. Introduction to SSL
        5. OpenSSL PKCS#12 Program FAQ (Stephen Henson)
        6. OpenSSL web site
        7. OpenSSL: The Open Source toolkit for SSL/TLS
        8. pilotSSLeay: port of SSLeay-0.8.1 to the Pilot
        9. PureTLS
        10. Secude Digital ID Center
        11. Slush - SSL Shell
        12. SSL 3.0 SPECIFICATION (Draft)
        13. SSLeay Documentation
        14. SSLeay and SSLapps FAQ
        15. SSLeay Certificate Cookbook (F. J. Hirsch)
        16. SSL-Talk FAQ
        17. SSL Encryption Check
        18. The TLS Protocol Version 1.0 (RFC 2246)

     Top of the page

  5. Secure Electronic Transactions (SET)
        1. SET Specification by MasterCard and Visa
  6. Security Standards Documents: Formal, De Facto, Proposed etc.
        1. A Survey of Public Key Infrastructures (Marc Branchaud)
        2. ANSI Home Page
        3. CEN/ISSS Electronic Signatures (E-SIGN) Workshop
        4. Certificate Authority Interoperability Pilot (Internet Council)
        5. Certified Electronic Mail (CEM)
        6. Digital Signatures: The Law and High-fidelity IP Pipes (David G.
            Masse)
        7. Draft Internet PKIX Standards
        8. Economic modelling and risk management in Public Key
            Infrastructures (David G. Masse)
      9. ESCA: Electronic Signatures and Certification Authorities (ITU)
      10. ETSI Electronic Signatures and Infrastructures
      11. European Certification Authority Forum (ECAF)
      12. IEEE Standards Home Page
      13. IEEE P1363 standard for RSA, Diffie Hellman and Related Public-
          Key Cryptography (Elliptic Curves)
      14. Internet Engineering Task Force (IETF)
              1. SPKI WG
              2. PKIX WG
              3. IPSEC WG
              4. S/MIME WG
              5. SPKI: Simple Public Key Infrastructure (Carl Ellison)
              6. TLS WG
      15. ISO/IEC JTC1/SC27
      16. IMC Pointers to Email Related Standards
      17. Index of RSA PKCS documents
      18. Information Security Links
      19. Internet RFCs
      20. ISETO: The International Secure Electronic Transactions
          Organisation
      21. ITU Recommendations
      22. PKI-related activities at NIST
      23. PKI Standardization Home Page -- Center for Standards (DISA)
      24. PKIX: Public Key Infrastructure (X.509)
      25. Publications on Java Security et al. (SIP)
      26. Simple PKI Draft
      27. Secure E-mail (Presentation given by Harald T. Alvestrand)
      28. Security and Encryption Links (Peter Gutmann)
      29. Sirene Publications
      30. X.509 Style Guide (Peter Gutmann)
      31. X.509, 1997 version, prepublication draft (Word format)
      32. X.500 Directory Related standards drafts (Word format)
      33. X9 Home Page; X9F1 develops cryptographic standards
      34. W3: Electronic Payment Schemes (Phillip Hallam-Baker)
7. Wireless and Mobile Technology
      1. Digital Paths: Your gateway for Handhled access to the Internet
          (Palm VII, Smartphones etc.)
      2. Mobile Insights
      3. WAP Forum
Bibliografía consultada:
      Ciberp@ís mensual nº 24 Julio / año 2002
      The Internet Protocol Journal: “Code Signing”
      Proveedores de certificación: www.ipsCA.com; www.ace.com;
       www.entrust.com; www.certisur.com; www.feste.com; www.verisign.com;
       www.cert.fnmt.es
      http://home.xcert.com/~marcnarc//PKI/thesis/PKI-Thesis.pdf : Tesis de la
       universidad de McGill, Montreal
      http://www.qmw.ac.uk/~tl6345/#TTPs%20and%20CAs : Pagina web
       completísima de Juan A. Abellán, profesor de la Universidad de London.
       (durante el desarrollo del trabajo fue propuesta por el autor de este trabajo y
       aceptada por Kriptopolis como link de interés).
      www.kriptopolis.com : Tiene unos foros que son un magnifico punto de partida.
      www.piensaenpalm.com, www.gentepalm.com, www.programaenpalm.com,
       donde busqué información sobre la idea que expuesto.
      www.securytymanagement.com : Empresa desarrolladora de soluciones PKI.
      www.judiciary.senate.gov/privacy.htm : Conozca las Reglas, Use las reglas.
       Documento del Senado de los EE.UU. para difundir el cifrado y los conceptos
       de seguridad en Internet así como algunas aplicaciones.
      Networking Tips & Newsletters- searchNetworking: Revista electrónica sobre
       redes. De aquí cogí alguna idea para el último ejemplo. No pongo el link porque
       no lo encuentro.
      www.pki.gov.ar: Página de la administración Argentina sobre PKI.
      “Los códigos secretos”. Simon Singh




Agradecimientos:
A Oscar Tamarit Ortega por la idea; a los foros de PiensaenPalm, GentePalm y
Kriptoplis por las pistas que me dieron; a Cristina Fernández de la Agencia de
Certificación Española por la información enviada; a Amparo Plasencia por devolverme
el The Protocol Journal a tiempo; a Antonio Valls , José Miguel Pardo, Manuel Linares
y Oscar Tamarit, por hacer que el ir a la deriva sea un placer y que este año me haya
convertido en un empollón. Y a Nuria Dolz por prestarme su conexión a Internet y
mucho más.

								
To top