You are on page 1of 14

PKI* y firmas digitales: aplicaciones reales

PKI and digital signatures: True-to-life applications

Armando Carvajal
Master en Seguridad Informtica Universidad Oberta de Catalua. Especialista en
construccin de software para redes - Uniandes. Ingeniero de Sistemas Universidad
Incca de Colombia. Gerente de Consultoria Globalteksecurity.
armando.carvajal@globalteksecurity.com 13

Resumen Abstract

El uso de las claves pblicas es la base para que The use of public keys is the basis of electronic
se d el comercio electrnico. Este documento commerce. This paper aims to support the admi-
busca sustentar que la administracin de la in- nistration of public key infrastructures (PKI) as a
fraestructura de llaves pblicas o PKI es la solu- solution to secure data in electronic businesses.
cin para conseguir seguridad de la informacin The digital world cannot be conceived without
en los negocios electrnicos, pues no se puede these notaries of the analogous world which gua-

Revista Inventum
concebir el mundo digital sin los notarios del rantee peoples identity. The article descrives the
mundo anlogo que garantizan la identidad de las basic elements that electronic commerce must
personas. El artculo describe las caractersticas have, it demonstrates, in a philosophical way,
mnimas que debe tener el comercio electrnico, the differences between symmetric and asymme-
luego muestra filosficamente las diferencias en- tric cryptography. A detailed description of digi-
tre la criptografa simtrica y la asimtrica, des- tal certificates is provided; however, it does not
cribe en detalle los certificados digitales pero no describe the mathematics of cryptography requi-
hace una descripcin matemtica de la cripto- red for its operation. It also defines PKI as the
grafa necesaria para su funcionamiento. Define merger of the two cryptographies (symmetric and
PKI como la fusin de las dos criptografas si- asymmetric), showing its more common applica-
mtrica y asimtrica mostrando sus aplicaciones tions of the actual world. Finally, it summarizes
ms comunes del mundo real. Finalmente, hace the legislation and regulations on this topic in
un resumen de las leyes que al respecto se han Colombia.
dado en Colombia.
Keywords. Certification Authority CA, public
Palabras clave. Autoridad Certificadora CA, Cla- keys, symmetric and asymmetric keys, digital
ves pblicas, Claves simtricas, Claves asim- certification, cryptography, OpenCA, PKI
tricas, Certificado digital, Criptografa, OpenCA,
PKI.

*Public Key Infraestructure (Infraestructura de Clave Pblica)

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
Introduccin A. Identificacin
Es el proceso de reconocer a una entidad o a un
Hace algunos aos la preocupacin se centraba individuo dentro de un grupo.
en el permetro pero, hoy el comercio electrnico
est cambiando nuestra forma de pensar, y esto Por ejemplo, cuando los empleados de ventas de
se debe a que el permetro ahora est distribuido una empresa viajan generalmente necesitan ac-
geogrficamente, pues muchas organizaciones ceder a Internet, entonces lo hacen con la misma
tienen por lo menos su portal web y el servicio de cuenta y contrasea compartida.
correo electrnico en hosting, es decir fuera de
su permetro local. B. Autenticacin
Es el proceso mediante el cual se comprueba y
Hoy, no se pueden concebir los negocios electr- verifica que algo no ha cambiado y que es el ori-
nicos sin las claves pblicas, pero las claves p- ginal.
blicas generan otro problema, El como asociar
Por ejemplo, un usuario puede firmar un docu-
14 una clave pblica de forma unvoca a una per-
sona, servidor o cosa, es aqu donde la Infraes- mento antes de enviarlo y tener la certeza de
tructura de llaves pblicas o PKI interviene para que el documento original no ha sido modifica-
resolver esta problemtica. do puesto que ha sido firmado. Si se alterara el
mensaje la firma no sera vlida y se puede cons-
Como en la vida real respecto de los directorios tatar o verificar que el mensaje ha sido firmado
telefnicos las claves publicas tambin cambian, por una determinada persona.
existen varios proveedores de certificados digita-
les como de directorios telefnicos, por qu con- C. Autorizacin
fiar en un proveedor de certificados de propsito Es el proceso de determinar lo que puede hacer
especfico? Qu pasara si un certificado es re- una entidad o persona.
vocado? Cmo se le informa a los proveedores y
clientes que ese certificado ya no es vlido? Es Por ejemplo, un usuario que tiene una cuenta
vlido el certificado pblico del cliente, con el corriente en un banco no debera tener acceso a
que estoy haciendo transacciones? Este captulo cuentas de ahorros, ttulos valores, prstamos,
busca analizar estas preguntas y las aplicaciones banca, seguros, etc
reales de PKI en forma prctica, mostrando un
ejemplo de la vida real. En el mundo electrnico la autorizacin depende
de la autenticacin que en conjunto de las reglas
del negocio determinan si el usuario o entidad
Antecedentes
tiene acceso al servicio electrnico.

No se debera pensar mucho en el permetro lo-


D. Integridad
cal, pues la seguridad debe estar implcita en los
Es el proceso de garantizar que la informacin no
servicios fundamentales del comercio electrni-
ha cambiado en la transaccin electrnica.
co, los servicios digitales deberan incluir las si-
guientes caractersticas para ser equivalentes al
En el ejemplo de la firma electrnica de docu-
mundo anlogo:
mentos antes mencionada, se debe tener la par-
Las caractersticas mnimas para hacer comercio
ticularidad de que dependa no slo de la identi-
electrnico son:
dad del remitente sino tambin del contenido del
mensaje, por lo que si este es alterado, la firma
ya no ser vlida.

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
E. Confidencialidad G. Criptografa Simtrica
Es el proceso de mantener la informacin en se- La criptografa simtrica es la mas conocida pues
creto. La confidencialidad genera privacidad, de fue utilizada por los egipcios hasta los romanos
hecho se consideran sinnimos. pasando hoy por las aplicaciones comerciales de
telefona mvil, cifrado de documentos en ofim-
El ejemplo de la firma electrnica de documen- tica, cifrado de canales de red y cifrado de datos
tos, antes mencionada, permite a un usuario me- en aplicaciones de bases de datos. Algunos ejem-
diante cifrado garantizar que solamente el des- plos muy conocidos son DES, 3DES y AES.
tinatario podr leer el mensaje. La criptografa
ayuda a que las personas no autorizadas vean el Sus caractersticas principales se podran enun-
contenido de sus mensajes cifrados, es la carac- ciar como:
terstica mas conocida en criptografa. Utiliza la misma clave para cifrar y desci-
frar documentos
F. No repudio El cifrado simtrico es muy rpido y seguro
Es el proceso que garantiza que el emisor no pue- El texto cifrado es compacto. 15
da negar lo que hizo. No repudio equivale al tr- Tiene el problema de que la clave simtrica
mino de Aceptacin y es una de las caracters- puede ser interceptada cuando el transmi-
ticas ms difciles de garantizar. En el ejemplo de sor enva al receptor la clave secreta.
la firma electrnica de documentos antes men- Las claves no son escalables para grandes
cionada, el emisor no podr negar que l firm o poblaciones.
cifr el documento enviado. Las claves requieren una administracin
compleja.
Criptografa, la base de los certificados La criptografa simtrica no cumple con el
digitales requerimiento de aceptacin o no repudio.

Revista Inventum
La criptografa es la ciencia que estudia la es- H. Criptografa asimtrica
critura secreta, una cifra o criptosistema es un La criptografa asimtrica es la mas moderna y
mtodo secreto de escritura mediante el cual un es el futuro del comercio electrnico; los ejemplos
texto en claro se transforma en texto cifrado o mas conocidos son RSA y ECC.
criptograma. Se le llama cifrado al proceso de
transformar texto claro en texto cifrado, median- A diferencia de las claves simtricas donde emi-
te claves criptogrficas. sor y receptor usan la misma clave o contrasea,
en las claves pblicas asimtricas el emisor (E) y
La criptografa se ocupa del anlisis y diseo de el receptor (R) crean un par de claves que consis-
algoritmos para cifrar y el criptoanlisis se en- ten en una clave privada y una pblica.
carga de romper esos algoritmos.
Se debe hacer un requerimiento de certificado
Cuando se hacen escuchas pasivas o eavesdrop- digital por cada elemento que interviene en la
ping se esta atacando el secreto, esto se hace me- transmisin de datos electrnicos seguros
diante herramientas denominadas sniffers, pero
cuando se hace escucha activa o tampering se Emisor y receptor guardan su clave privada con
ataca la autenticidad de la comunicacin. recelo y hasta con una contrasea (autentica-
cin) para evitar que sea legible a personas no
autorizadas

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
Emisor y receptor ahora tienen su clave pblica, adems de los certificados digitales
esta la puede y la debe tener cualquier persona No exige una relacin entre emisor y receptor
que desee enviar documentos seguros a sus due- para hacer intercambio de claves pblicas
os, los directorios de los proveedores contienen Tiene la desventaja de que expande el texto
esas claves pblicas. cifrado cada vez que se cifra.

La Figura 1 muestra las fases de firmar y cifrar, I. Criptografa asimtrica + Criptografa si-
y qu claves se requieren para cada paso en el mtrica
proceso. Esta es la solucin, usar lo mejor de cada tec-
nologa. Hoy la mayora de servicios como el co-
rreo electrnico seguro, las VPN que interconec-
tan oficinas remotas, las sesiones seguras entre
cliente y servidor web, etc.

Los criterios deseables:


16
1. Una solucin segura.
2. Un cifrado rpido.
3. Un texto cifrado muy compacto.
4. Una solucin escalable a grandes poblacio-
nes.
5. No permite la interceptacin de claves.
6. No requiere relacin entre emisor y trans-
Figura 1. Diagrama de claves pblicas
misor.
7. Soporta firmas digitales.
Ejemplos de implementaciones de llaves asim- 8. Soporta el no repudio = aceptacin.
tricas son Open SSL y Gnu PG (PGP) que funcio-
nan como un algoritmo del tipo de clave pblica Pasos del proceso como ocurren en los servicios
asimtrica. que se utilizan hoy:
Caractersticas principales de la criptografa asi-
mtrica: Transmisor:
No utiliza la misma clave para cifrar y des- 1. El texto en claro de gran volumen se cifra
cifrar documentos. con criptografa simtrica mediante una
El cifrado asimtrico es ms lento pero se- clave simtrica aleatoria, generalmente de
guro. 128/256 bits
No tiene el problema de que la clave pueda 2. Se consigue la clave pblica del receptor en
ser interceptada pues el transmisor nunca un directorio, generalmente, la clave pbli-
enva al receptor la clave secreta o privada ca tiene 1024bits.
Las claves son escalables para grandes po- 3. Se cifra la clave simtrica con la clave p-
blaciones pues las claves pblicas que se blica del receptor: Operacin de clave em-
deben distribuir son iguales al nmero de paquetada.
claves pblicas de los participantes. 4. Se crea un sobre digital que contiene la cla-
Las claves no requieren una administra- ve simtrica cifrada + el texto cifrado con la
cin compleja. clave simtrica
La criptografa asimtrica cumple con el 5. Se enva el sobre digital
requerimiento de aceptacin o no repudio,

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
Receptor: La posesin de una pareja de claves pblica/pri-
6. El receptor abre el sobre: encuentra el tex- vada no es suficiente para establecer la identi-
to cifrado y la clave empaquetada. dad confiable de una persona o cosa, se requie-
7. El receptor con su clave privada descifra la ren relaciones de confianza como en el mundo
clave empaquetada. anlogo respecto de los notarios, los notarios son
8. Ahora, el receptor descifra el archivo cifra- al mundo anlogo como las CA o entidades certi-
do y lo convierte a texto en claro con la cla- ficadoras son al mundo digital.
ve simtrica.
Importante:
Problemas: La CA es la entidad certificadora.
Qu pasara si un pirata consigue mi clave p- La CA tiene su propia clave privada y su
blica y se hace pasar por un transmisor conocido clave pblica diferentes a los usuarios, que
que me enva informacin falsa? tienen sus propias claves privadas y pbli-
Respuesta. Se debe firmar el hash de tipo sha1 cas.
(160 bits) del texto con la clave privada del trans- La CA firma el requerimiento de un usua- 17
misor, esto garantizara el requerimiento nmero rio con su clave privada para crear la cla-
7: soporte de firmas digitales ve pblica que le solicitaron (se la vende al
Qu pasara si el pirata cambia en el directorio usuario, ese es el negocio de las CA).
pblico la llave pblica del transmisor?
Respuesta. Se deben utilizar los certificados di- PKI logra establecer identidades digitales as: la
gitales X.509, esto garantizara el requerimiento CA hace un hash de la clave pblica y la firma
nmero 8: soporte al no repudio con su clave privada (de la CA), ahora empaqueta
en un solo archivo los datos de la persona o cosa,
Entonces, definamos qu es un certificado digi- la clave pblica de la persona o cosa, el hash fir-

Revista Inventum
tal y por qu se necesitan entidades de confianza mado con la clave privada de la CA y la clave
para que las criptografas simtricas y asimtri- pblica de la CA.
cas sean aceptadas por las leyes locales de cada
pas, cuando se hagan transacciones de comer- Qu es un certificado digital?
cio electrnico.
Es un mecanismo que se basa en la criptogra-
PKI fa de claves pblicas o asimtricas para permi-
tir comunicaciones seguras entre origen y/o el
Wikipedia define PKI como Una infraestructura destino utilizando medios de comunicaciones in-
de clave pblica (o, en ingls, PKI, Public Key In- seguros como Internet, adems permiten que la
frastructure) es una combinacin de hardware y comunicacin est certificada por un tercero de
software, polticas y procedimientos de seguridad confianza denominado CA Certificate Authority
que permiten la ejecucin con garantas de opera- que garantiza la confidencialidad y el no repudio
ciones criptogrficas como el cifrado, la firma digi- de la comunicacin. Ver Figura 2.
tal o el no repudio de transacciones electrnicas.
Importante:
El objetivo fundamental de PKI es establecer Tcnicamente, un Certificado digital es
identidades digitales, es decir asociar a una en- el hash de la clave pblica firmada con la
tidad (personas, organizaciones) o cosas (router, clave privada de la CA, mas la informacin
firewall) una unicidad con su par de llaves pbli- de la persona o cosa, mas la clave publi-
ca/privada. ca de la CA, mas la clave pblica de la CA

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
Raz, esto es crtico pues permite verificar Aplicaciones de PKI
la jerarqua de confianza leyendo un solo
archivo digital.
Soluciones internas:
En Colombia, la nica entidad certificadora
Gestin de certificado de servidor (web, co-
a la fecha es Certicmara, esto se debe por
rreo, y otros)
la poca demanda de certificados digitales.
Gestin de certificados de usuario para
Por ley, en Colombia, slo son vlidas las
empleados que permitan la autenticacin
firmas digitales hechas con los certificados
contra un determinado servicio
digitales expedidos por Certicmara.
Gestin de certificados de atributos para
Si una investigacin forense se firma con
empleados que permitan la autenticacin y
un certificado digital expedido por una CA
autorizacin contra una determinada apli-
que no est en Colombia, esta investigacin
cacin/datos
no tendr fuerza ante un juez.

Soluciones externas:
18 Certificados de usuario para los empleados
que permitan firmar correos entre entida-
des/empresas de confianza.
Certificados de usuario para los empleados
que permitan cifrar correos entre entida-
des/empresas de confianza.
Proveer certificados de servidor a terceros
(Prestador de Servicios de Certificacin).
En resumen, las organizaciones requieren de
una infraestructura de claves pblicas por los si-
guientes requerimientos:
Figura 2. Representacin de una firma digital Generacin segura de buenas claves.
Validacin de identidad.
Manejo del ciclo de vida de los certificados.
Expedicin, renovacin y terminacin de
Para que sirve un certificado digital?
certificados.
Validacin de los certificados.
Garantizan la confidencialidad, autenticidad,
Distribucin de certificados.
integridad y no repudio en el envo de mensa-
Suministro de la informacin asociada a
jes seguros al transmitirlos por medios insegu-
un certificado digital.
ros, permiten firmar y cifrar (esto se hereda de la
Almacenamiento seguro.
criptografa asimtrica), se entiende por gestin
Recuperacin segura de claves.
de certificados la emisin, renovacin y revoca-
Generacin de firmas y registro de tiempos.
cin de certificados digitales. Una lista parcial de
Administracin de relaciones de confianza.
soluciones o aplicaciones de tipo PKI sera:
Integracin con las aplicaciones de la orga-
nizacin.
Integracin con el sistema de seguridad de
la organizacin.

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
es transparente para el usuario final, ex-
cepto Astaro que en forma transparente
cifra y descifra los correos seguros. Astaro
fue la nica opcin que inclua appliance y
lo haca transparentemente para el usuario
final pero no tena la opcin de certificados
de tipo servidor; es decir, no cumple con la
totalidad de los requerimientos de la solu-
cin
No hay precios homogneos por solucin,
pues unos proveedores lo hacen por nme-
ro de usuarios, otros por servidor y otros
hacen combinaciones haciendo ms com-
pleja la tarea de comparar precios
Se encuentran muy pocos proveedores lo- 19
cales expertos de servicios profesionales de
OpenCA.

Seleccin de la alternativa propuesta por este do-


cumento:
Se selecciona la alternativa OpenCA por las si-
guientes razones:
Posee un API que puede ser utilizado desde
Tabla 1. Soluciones PKI
los lenguajes de desarrollo de software para

Revista Inventum
que el programador pueda mejorar sus pro-
pias interfaces de gestin, el resto de pro-
Diferentes soluciones PKI veedores evaluados no muestran la existen-
cia de un API, para que el implementador
Anlisis de alternativas: mejore las caractersticas de cada opcin
Todos los proveedores consultados, en ge- En general, las opciones evaluadas no po-
neral cumplen con los dos tipos de certifi- seen soporte local lo que generara depen-
cados digitales requeridos, excepto el fabri- dencia tecnolgica de estos proveedores
cante de UTM (administracin centralizada que, en la mayora de los casos, estn en
de amenazas) Astaro, que es una solucin otros continentes, en cambio OpenCA por
europea especializada en PKI nicamente ser de tipo OpenSource permite que local-
para la gestin de correos seguros respecto mente se mejore la documentacin y se
del negocio de las PKI. Su verdadero nego- hagan cambios especficos para la regin,
cio son los cortafuegos de tipo UTM. esto la hace una opcin altamente desea-
ble, segn los requerimientos anteriormen-
Para el caso de Colombia y Sur Amrica no te enunciados
existe soporte local excepto Astaro, que s Por ser OpenCA de licencia OpenSource no
cuenta con un distribuidor local. tiene costo de adquisicin, s hay costos
de implementacin y capacitacin interna
En todas las soluciones se requiere un alto para aprender a manejar la herramienta.
grado de conocimiento de PKI, es decir no Con OpenCA la curva de aprendizaje es

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
ms larga que la de los productos ya es- Legislacin sobre comercio electrnico,
tablecidos en otros pases que ya tienen
en Colombia
documentacin y soporte probado en sus
pases de origen
J. Resumen de leyes colombianas
Este es un resumen de las leyes expedidas, en
Definitivamente los precios de los certifica-
Colombia, relacionadas con la regulacin sobre
dos individuales y la poca integracin con
las PKI:
las aplicaciones es lo que ha hecho difcil
Ley 527, de agosto de 1999, define y reglamenta
la implementacin de PKI pues, finalmen-
el acceso y uso de mensajes de datos (MD), del
te, es el usuario quien paga estos costos.
comercio electrnico, firmas digitales y entidades
Es una oportunidad nica para aportar so-
de certificacin (EC)
luciones a la regin en el tema especfico de
Decreto 1747 de 2000, reglamenta parcialmen-
PKI con OpenCA.
te la Ley 527 de 1999, en lo relacionado con las
entidades de certificacin, los certificados y las
Costos de la solucin
20 firmas digitales. Las entidades de certificacin
Ver tabla 2.
requieren de permiso expreso de la Superinten-
dencia de Industria y Comercio de Colombia para
actuar como tal. El decreto 1747 decreta dos ti-
pos de entidades de certificacin:

Entidad de certificacin cerrada. Para el


intercambio de mensajes de datos entre la
entidad y el suscriptor, no tiene remunera-
cin directa
Entidad de certificacin abierta. Su uso no
se limita al intercambio de mensajes entre
la entidad y el suscriptor, la entidad certi-
ficadora recibe remuneracin por los servi-
cios prestados

La Circular 011 de 2003, de Supervalores, que


exige el uso de firmas digitales certificadas para
el envo de reportes por los vigilados de esa en-
tidad.

La Circular 643 de 2004, posibilita y fija las condi-


ciones para la remisin de documentos de origen
notarial, desde las notaras colombianas a las c-
maras de comercio, utilizando firmas digitales.

La Circular 011 de 2004, de Supersalud, que


exige el uso de firmas digitales certificadas para
el envo de reportes de informacin financiera y
general por parte de las IPS (Instituciones Pres-
Tabla 2. Relacin de costos de la solucin
tadoras de Servicios privadas).

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
La Circular 012 de 2004, de Supersalud, que gar todos los reportes e informes por esta va, con
exige el uso de firmas digitales certificadas para el uso de certificados digitales.
el envo de reportes de informacin financiera y
general por parte de las ESE (Empresas Sociales El Sistema Integrado de Informacin Financiera
del Estado). SIIF - NACIN, en su labor misional de centrali-
zar e integrar la operacin financiera en lnea de
La Circular 013 de 2004, de Supersalud, que la mayor parte de las entidades que conforman el
exige el uso de firmas digitales certificadas para Presupuesto General de la Nacin, con el fin de
el envo de reportes de informacin sobre el IVA garantizar un sistema robusto de autenticacin
(Impuesto de Valor Agregado) cedido al sector sa- y gozar de garantas de autenticidad, no repu-
lud por parte de las gobernaciones, secretarias diacin e integridad, ha incorporado a sus tran-
de hacienda, secretarias de salud y productores sacciones y reportes el uso de la Firma Digital,
de licores entre otros. que ofrece un esquema de seguridad tecnolgica
y jurdica a las transacciones realizadas por las
La ley 794 de 2003, que se requiri para conva- diferentes entidades dentro del sistema SIIF NA- 21
lidar expresamente el uso de medios electrnicos CIN. En la actualidad, mas de 145 entidades
y firmas digitales certificadas en el procedimiento del Estado firman las transacciones del presu-
civil. (En espera reglamentacin) puesto general de la nacin.

La circular 27 del 26 de julio de 2004 de la Su- Resoluciones DIAN. Las resoluciones que, hoy
perintendencia Bancaria (hoy superfinanciera) da, hacen posible la utilizacin de firmas digi-
que da paso a pruebas de comunicacin, entre tales y/o electrnicas respaldadas con certifica-
sus empresas vigiladas y la superintendencia, cin digital, en la presentacin de informacin
utilizando firmas digitales. tributaria por parte de diversos contribuyentes,

Revista Inventum
permiten el uso de firma electrnica con certi-
La circular externa 50 de 2003 del Ministerio de ficacin digital para ciertos grupos de usuarios
Industria y Comercio, establece la posibilidad del delimitados por las siguientes resoluciones:
registro de importacin a travs de Internet. Este
trmite puede hacerse de forma remota firmado Resolucin No 10141 (28 Oct. 2005) Art.
digitalmente y de ese modo reducir el trmite que 10. Entidades vigiladas por la Superin-
se piensa racionalizar por este medio. tendencia Bancaria
Resolucin No 10142 (28 Oct. 2005) Art.
Certificacin digital Ley 962. Ley Antitrmite 6. Artculo 624 del Estatuto Tributario,
como: Medios tecnolgicos en la Administracin que debe ser presentada por las cmaras
Pblica, Derecho de Turno, Factura electrnica, de comercio
Racionalizacin de la conservacin de los libros Resolucin No 10143 (28 Oct. 2005) Art.
del comerciante, Solicitud oficiosa por parte de 5. Bolsas de valores y comisionistas de
las entidades pblicas bolsa.
Resolucin No 10144 (28 Oct. 2005) Art.
Circular de Supersociedades. Dirigida a todas las 4. Registradura Nacional del Estado Ci-
sociedades mercantiles vigiladas y controladas vil.
por la superintendencia para el envo de infor- Resolucin No 10145 (28 Oct. 2005) Art.
macin financiera y contable a travs del sistema 5. Notarios
SIREM, el Sistema de Informacin y Riesgo Em- Resolucin No 10146 (28 Oct. 2005) Art.
presarial un sistema va web que permite entre- 4. Personas o entidades que elaboren fac-

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
turas o documentos equivalentes. cin de la informacin digital.
Resolucin No 10147 (28 Oct. 2005) Art. Certicmara cumple con los ms altos estnda-
19. Grupo de personas naturales, perso- res internacionales exigidos por el American Ins-
nas jurdicas y dems entidades titute of Certified Public Accountants (AICPA) y
Resolucin No 10148 (28 Oct. 2005) Art. el Canadian Institute of Chartered Accountants
6. Grupos econmicos y/o empresariales (CISA), es auditada por la firma internacional De-
Resolucin No 10149 (28 Oct. 2005) Art. loitte y obtuvo el sello WEB TRUST, que la califica
3. Suministrar mensualmente las enti- como una entidad de certificacin digital de clase
dades pblicas o privadas que celebren mundial, as como el reconocimiento de Micro-
convenios de cooperacin y asistencia soft a sus productos y servicios a nivel mundial.
tcnica para el apoyo y ejecucin de sus
programas o proyectos, con organismos Productos y Servicios prestados por
internacionales Certicmara
Prximamente, se establecern las comunica-
22 Certicmara, cuenta con un portafolio integrado
ciones oficiales pertinentes para el registro sa- de productos y servicios que permiten satisfacer
nitario, en lnea del INVIMA, la presentacin de las diferentes necesidades de seguridad jurdica
reportes e informes de los vigilados de la Super- y tecnolgica que surgen a partir de los procesos
intendencia Solidaria, SEC Sistema Estadstico de administracin de la informacin digital:
Cambiario del Banco de la Repblica.

Certificados digitales de firma:


Consejo Superior de la Judicatura Acuerdo No.
PSAA06-3334 de 2006 (marzo 2). Por el cual se
Certificado para representante legal
reglamentan la utilizacin de medios electrnicos
Certificado de pertenencia empresa
e informticos en el cumplimiento de las funcio-
Certificado de funcionario pblico
nes de administracin de justicia.
Certificado de profesional titulado
Certificado de persona natural
LA SALA ADMINISTRATIVA DEL Certificado de firma de componentes de
CONSEJO SUPERIOR DE LA software (firma de cdigo)
JUDICATURA
Certificados para seguridad en redes
K. Qu es Certicmara? 1

Certicmara S.A, es una empresa filial de las C- Certificado de servidor seguro (Certificado
maras de Comercio y Confecmaras, fue creada SSL) para el aseguramiento de sitios y apli-
en el ao de 2001 y es la nica entidad de cer- caciones Web
tificacin digital abierta en el pas, autorizada y Certificado de VPN para el aseguramiento
vigilada por la Superintendencia de Industria y de redes privadas virtuales
Comercio. Certicmara es el tercero de confianza Certificado de servidor seguro con firma
que garantiza la seguridad jurdica y tecnolgica automatizada, para el aseguramiento de
a las transacciones, comunicaciones, aplicacio- aplicaciones que requieren la autentica-
nes y en general a todo proceso de administra- cin e integridad de mensajes de datos

1
Nota: El autor en forma expresa agradece a Marcela Bello, directora
Soluciones de certificacin
comercial de Certicmara por los excelentes aportes realizados para
este artculo sobre PKI (marcela.bello@certicamara.com).
Sistema Administrador de Firmas Digitales

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
(SAFD). Es un aplicativo que permite la gestin, - SIIF Nacin, Programa de las Naciones Unidas
recepcin, verificacin, clasificacin, archivo y PNUD, Instituto Nacional de Vas INVIAS, Pro-
consulta de grandes volmenes de documentos curadura General de la Nacin Sistema SIRI,
firmados digitalmente. Aeronutica Civil, Ministerio de Comercio, Indus-
tria y Turismo Ventanilla nica de Comercio
Estampado cronolgico Exterior (VUCE), Instituto Nacional de Vigilancia
de Medicamentos y Alimentos - INVIMA - Regis-
El estampado cronolgico es un servicio median- tro Sanitario en Lnea, Wackenhut, Corporacin
te el cual se puede garantizar la existencia de un Financiera Colombiana - Corficolombiana ,
documento (o mensaje de datos en general) en Cmaras de Comercio y Confecmaras Re-
un determinado instante de tiempo. Mediante la gistro nico Empresarial (RUE), ACH Colom-
emisin de una estampa de tiempo es posible ga- bia S.A. Botn nico de Pagos (PSE) y Gi-
rantizar el instante de creacin, modificacin, re- ros y Finanzas S.A.
cepcin, etc., de un determinado mensaje de da-
tos impidiendo su posterior alteracin, haciendo En la actualidad, Certicmara cuenta con un vo- 23
uso de la hora legal colombiana suministrada por lumen importante de suscriptores, entre los cua-
la Superintendencia de Industria y Comercio. les figuran: representantes legales, suplentes de
representante legal, revisores fiscales, contado-
Las soluciones de Certificacin Digital ofrecidas res, coordinadores de recaudo, oficiales de cum-
por Certicmara brindan garantas de seguridad plimiento, directores jurdicos, coordinadores
jurdica y tcnica basadas en la aplicacin de la logsticos y tesoreros, entre otros. La mayora
tecnologa PKI, dentro del marco legal y tcnico de portales web colombianos han incorporado
para el uso de firmas y certificados digitales en Certificados Digitales de Servidor Seguro para
el envo, recepcin, archivo y procesamiento de brindar a sus usuarios seguridad en sus tran-

Revista Inventum
mensajes de datos a partir de la Ley 527 de 1999, sacciones. Igualmente, todos los comercios y
conocida como Ley de Comercio Electrnico y su entidades financieras que hacen parte de la red
decreto reglamentario 1747 de 2000, as como la del Proveedor de Servicios Electrnicos (PSE) de
Circular nica nmero 10, de la Superintenden- ACH Colombia, incorporan certificados digitales
cia de Industria y Comercio. de Certicmara al sistema de pagos electrnicos
seguros.
En la actualidad, entidades financieras, estata-
les y privadas han implementado soluciones de Conclusiones
certificacin digital y habilitando el uso de firmas
digitales al interior de sus sistemas y procedi- En general, las soluciones PKI siguen siendo cos-
mientos, incorporando estrategias de seguridad tosas por la poca demanda de certificados digi-
jurdica y tecnolgica en la administracin de la tales, se espera que al aumentar la demanda de
informacin digital. certificados digitales, por fuerza natural aumente
la oferta, es decir aumente el nmero de provee-
Estos son algunas organizaciones que ya cuen- dores CA locales
tan con certificados pblicos emitidos por la en-
tidad certificadora colombiana: Una forma de disminuirlos es combinar las PKI
pblicas con las PKI cerradas donde las empre-
Superintendencia Financiera, Superintendencia sas slo compren un certificado a la CA raz y en
de Sociedades, Superintendencia Nacional de forma cerrada ese certificado garantice que los
Salud, Ministerio de Hacienda y Crdito Pblico certificados que emita la entidad cerrada sean

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
vlidos cuando los clientes lo usen contra la enti- Para revisar la existencia de los menciona-
dad cerrada para sus transacciones comerciales. dos paquetes se debe digitar:
Un ejemplo, sera un banco o entidad financie- # rpm q openldap2 openssl apache2 na-
ra que acta como entidad cerrada y genera los med perl
certificados digitales a sus clientes con el objeto Adems, se deben configurar los dominios
de que estos interacten con el banco en forma virtuales de Apache pues en un mismo ser-
segura pero avalada por la CA raz local. vidor existirn los tres servicios: CA, RA-
server y public
Es de mal gusto ver un mensaje en el explorador El directorio de trabajo ser /tmp para co-
del usuario final indicando que el certificado digi- piar y descomprimir los programas
tal no es confiable al no estar avalado por una CA Cuando se instalen los paquetes, estos se
raz en la memoria cache del explorador, pues in- instalaran por defecto en /usr/local/Open-
dica que debemos desconfiar de la transaccin. CA
Descargue de www.openca.org todos los
En general, se puede concluir que se requieren co- mdulos de openca con sus servicios adi-
24
nocer muchas temticas variadas como Openssl, cionales como openca-ocspd.
Openldap, Apache, Linux, Tokens, Smart Cards
y lenguajes de programacin que deben ser inte- Objetivo:
grados para que la solucin sea funcional y se-
gura. Esto hace que las PKI no sean fciles de Configurar openCA como servicio de gestin para
integrar a las aplicaciones la empresa ficticia GPS, de Colombia.

Falta an que las aplicaciones hagan uso de los Paso 1. Configurar el motor de base de datos
API, que permiten PKI entre aplicaciones. # su postgres
# createuser A d W openca
Se han desarrollado programas en PHP sobre # createdb U openca W openca
Apache y Linux para manejar un directorio de
usuarios basados en OpenLDAP (single Sign El usuario administrador es openca y la base de
On) y para este proyecto se ha preferido mejorar datos principal se llamar openca.
OpenCA o integrarse a su API, para generar las
consultas y reportes que pasen datos al sistema Paso 2. Copiar el esquema de base de datos
de gestin de seguridad de la informacin. LDAP
# cp /tmp/openca-0.9*/contrib/openldap/open-
Se disminuyen costos de adquisicin de las he- ca.squema /etc/openldap/schema
rramientas licenciadas.
Paso 3. Editar slapd.conf y registrar el nuevo es-
Apndice quema ldap
# vi /etc/openldap/slapd.conf
Laboratorio: Configuracin de OpenCA Paso 4. Descomprimir los paquetes
Prerrequisitos: # cd /tmp
Se debe tener instalado el Suse Linux En- # gunzip *
terprise Server 10 con los siguientes com-
ponentes: Paso 5. Instalar openca-tools antes de instalar
Openssl, Openldap, Apache, DNS, Perl. Ver openca
anexos respectivos. # cd /tmp

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
# tar xvmf openca-tool* Paso 10. Instale servicios de openca, como open-
# cd openca-tool* ca-ocspd para informar en lnea el estado del cer-
# ./configure tificado
# make # cd /tmp
# make install # tar xvmf openca-ocspd*
# cd openca-ocspd*
Paso 6. Instalar openca-0.9.x despus de insta- # ./configure
lar openca-tools # make
# cd /tmp # make install
# tar xvmf openca-0.9*
# cd openca-0.9* Paso 11. Instale mas servicios de openca como
# ./configure libpki*:
# make # cd /tmp
# make install-offline # tar xvmf libpki*
# make install-online # cd libpki* 25
# ./configure
Paso 7. Configurar openca segn plantillas de # make
tipo xml # make install
# vi /usr/local/openca/etc/config.xml
En este archivo existen secciones para la interfa- Paso 12. Instale ms servicios de openca como
ce con LDAP, Apache y PosgresQL libprq*:
# cd /tmp
Paso 8. Propagar los cambios desde las plantillas # tar xvmf libprq*
de tipo xml para la RA # cd libprq*

Revista Inventum
# . /usr/local/openca/etc/configure_etc.sh # ./configure
Para subir el servicio digite: # make
# . /usr/local/openca/etc/openca_rc start # make install.
Para bajar el servicio digite:
# . /usr/local/openca/etc/openca_rc stop
No olvide subir los servicios apache, dns, ldap y Referencias
posgresql
[1] PKI Infraestructura de claves pblicas, An-
Paso 9. Probar las interfaces web de usuario. drew Nash, Osborne McGraw-Hill, Enero
En un explorador digite: 2002, ISBN: 958-41-0283-4
https://localhost/ca, para ver si la CA esta fun- [2] Windows Server 2003 PKI and Certificate
cionando Security, Brian Komar, Microsoft, Julio 2004.
https://localhost/ra, para ver si la RA esta fun-
cionando RFCs y estndares:
https://localhost/pub, para ver si la interface
pblica esta funcionando [3] PKIX Charter del IETF http://www.ietf.org/
https://localhost/ldap, para ver si la interface html.charters/pkix-charter.html
contra ldap esta funcionando [4] PKCSs http://www.rsasecurity.com/rsala-
https://localhost/batch, para evaluar si funcio- bs/pkcs
na el procesamiento en lotes.

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520
Proveedores tecnolgicos Software
PKI:

[5] OpenCA http://www.openca.org


[6] RSA http://www.rsa.com
[7] Nexus http://www.nexus-secured.com
[8] IDX-PKI http://idx-pki.idealx.org/faq.
en.html
[9] SafeLayer http://www.safelayer.com

Proveedores tecnolgicos Tokens


criptogrficos:

[10] Rainbow http://www.rainbow.com


26 [11] Aladdin http://www.ealaddin.com
[12] Setec http://www.setec.fi
[13] nCipher http://www.ncipher.com

Revista Inventum No. 3 Facultad de Ingeniera Uniminuto Noviembre de 2007 ISSN 1909-2520