Buscar
  • CertiNet

Firmas en la Nube: Firmas Digitales PKI fácilmente

Actualizado: 23 may 2019


Posted por Liaquat Khan de Ascertia Limited



Las Firmas Electrónicas Avanzadas de acuerdo a la Unión Europea requieren que cada usuario tenga su propio set de llaves únicas. La seguridad del sistema se basa en el hecho de que las llaves de firma privadas no son accesibles a nadie excepto a su dueño. Si se implementan correctamente, permitirán a un juez independiente determinar que cualquier firma digital producida con la clave privada del usuario fue creada por el propietario y por nadie más, entregándole la propiedad de "no repudio" dado que los firmantes no podrán negar de manera razonable que no fueron ellos los que firmaron.


En el pasado, el tema de la tecnología de las firmas digitales, ha sido su costo y la complejidad de la emisión segura para cada usuario de las llaves de firma privada. En la actualidad con el advenimiento de la computación en la Nube, en particular con los Módulos de Seguridad por Hardware (HSMs) en la Nube, la situación ha cambiado dramáticamente- hoy la tecnología para la firma digital avanzada puede ser de bajo costo, fácil de usar y segura, de manera que puede ser usada en casi cualquier caso de negocio e incluso a una escala masiva.

Requerimientos de las Firmas Electrónicas Avanzadas (UE)

Existe mucha confusión entre las firmas electrónicas y las firmas digitales PKI. Sólo por brindar un resumen breve, existen firmas básicas, que sólo agregan una marca del usuario en el documento y nada para proteger la integridad del documento firmado o para probar que el usuario fue quien hizo realmente dicha marca.


Con las firmas digitales PKI, códigos criptográficos son creados usando llaves privadas del usuario, de su uso exclusivo y control único, lo que asegura la integridad de los datos y la autenticación robusta del usuario- vinculando de manera criptográfica la identidad del usuario (autenticada) con los documentos firmados por él.


Existe un sinnúmero de proveedores de firmas digitales en la nube que han implementado firmas muy básicas que hacen posible poner una mosca en los documentos sin que exista evidencia criptográfica embebida en el documento firmado para probar de manera independiente que fue el usuario quien realizó la marca.


La mayoría de los esquemas de confianza sin embargo, requieren el uso de firmas digitales basadas en PKI en la cual cada usuario cuenta con sus propias llaves privadas.


Como un ejemplo de lo anterior es posible mencionar:


Firmas Calificadas de la Unión Europea - Este tipo de firmas son reconocidas como equivalentes a firmas realizadas a mano en un tribunal de justicia y requieren el uso de llaves únicas que son mantenidas en un hardware criptográfico seguro.


Firmas Adobe AATL - Este es un esquema de confianza llevado adelante por Adobe para sus productos del ámbito de Reader/Actobat. Aquí también se requiere nuevamente llaves únicas y protección de ellas en un hardware criptográfico seguro.El software de Adobe marcará automáticamente como firmas “confiables” sus firmas en el caso que las llaves de firma estén certificadas por una entidad reconocida como una CA (Entidad Certificadora) y en cumplimiento de AATL (Adobe Aproved Trust List).


Tradicionalmente las llaves de firma del usuario se protegían por la vía de almacenarlas en un dispositivo de hardware criptográfico resistente a la violación de seguridad, del tipo de tarjetas inteligentes y/o tokens USB seguros, que se encuentran protegidos a través de un PIN y bajo el control exclusivo de los usuarios.

Problemas con las tarjetas inteligentes y los tokens y la opción de llaves de firma mantenidas en servidores


Aunque existen muchos ejemplos de esquemas de confianza que se basan en el uso de tarjetas inteligentes/tokens, en particular para la emisión electrónica de tarjetas de ID (eID) de parte de muchos gobiernos, el propósito general de uso de estos dispositivos ha sido limitado. Esto se debe principalmente a las siguientes razones:


· Complejidad de Uso – En el caso de las tarjetas inteligentes el usuario necesita un dispositivo lector especial, que puede no estar siempre disponible. El uso de estos dispositivos en los teléfonos móviles es aún más difícil.

· Tokens Olvidados – A menudo los usuarios se olvidan de llevar consigo los tokens cuando los necesitan o los pierden o dejan olvidados. En ocasiones el uso de este tipo de tokens en espacios públicos es bloqueado o no existen lectores disponibles.

· Costos de despliegue – El costo de proveer de dispositivos seguros (o lectores) a cada usuario final a menudo es costoso para la mayoría de las aplicaciones de negocios donde un gran número de usuarios se encuentran involucrados.

· Compatibilidad del Navegador - Para usar este tipo de smartcards/USB tokens se requiere de aplicaciones web y del despliegue de Java applets, y las últimas versiones de navegadores (por.ej. Google Chrome) están bloqueando esta tecnología por temas de seguridad. Aún en los casos en que los navegadores permiten Java, los pop-up frecuentes de mensajes de alerta o peligro pone a los usuarios que no son técnicos muy nerviosos.


Para hacerse cargo de esta realidad la industria está mutando hacia la gestión segura de llaves de firma gestionadas en servidores, por ej. Cada llave de firma del usuario es gestionada a través de un Módulo Seguro de Hardware (HSM) y mantenida de manera centralizada. Como ejemplo las nuevas Regulaciones de la Unión Europea eIDAS permiten que las Firmas Calificadas de la UE sean creadas usando llaves de firma mantenidas en servidores de manera segura. De manera similar las firmas de Adobe AATL pueden ser creadas también usando llaves que se gestionan en servidores de manera segura.


Antes de contar con Módulos de Hardware Seguro en la Nube la situación era bastante compleja. Si se quería desplegar una solución de firma desde el lado servidor, se necesitaba comprar un appliance HSM e instalarlo, configurarlo, mantenerlo y parcharlo, de acuerdo a los requerimientos de un dispositivo de seguridad como éste. De manera que aunque la complejidad de los dispositivos de firma a través de smartcards/tokens USB fuese “escondida” para los usuarios finales a través del uso de HSMs, los departamentos TI mantenían la complejidad de manejar este tipo de dispositivos.


Hoy, las Plataformas de Nube tanto de Azure como de Amazon ofrecen HSM como parte de su servicio. Esto significa que es posible desplegar una solución de firma digital avanzada usando solamente las llaves de firma de los usuarios, con una protección robusta basada en hardware, a una fracción del costo y de la complejidad que significaría tener una solución HSM on premise, y al mismo tiempo cumpliendo con las necesidades de los esquemas de alta confianza como Adobe AATL o las regulaciones de la Unión Europea.

Firma en la Nube con SigningHub

SigningHub cuenta con un amplio y seguro soporte para firmas digitales basadas en la Nube que incluyen:

  • Soporte Azure Key Vault HSMs – para la generación y gestión de llaves de firma del usuario de uso exclusivo y la creación de certificados avanzados de la UE para firmas Calificadas y Adobe AATL. SigningHub es la primera plataforma de firma global en integrarse con Azure Key Vault, para más detalles vea el blog de Microsoft aquí (here).

  • Soporte Amazon Web Services (AWS) HSMs – lo mismo que lo indicado más arriba pero usando el HSMs de Amazon Cloud.

  • Capacidad de interoperar con un número importante de proveedores de servicios PKI, partners de AATL, Certificados digitales Calificados de alta confianza de la Unión Europea, incluyendo:

  • LawTrust

  • DigitalSign

  • GlobalSign

  • Entrust Datacard

  • Commfides

  • · Capacidad para albergar los componentes de su infraestructura privada de PKI como servidores para Entidades Certificadoras (CAs) privadas, Autoridades Validadoras de Certificados OCSP y Autoridad de Sello de Tiempo (TSA) a través de ADSS Server de Ascertia en las plataformas de nube arriba mencionadas (Azure y Amazon).

Resumen

La Firma Digital en la Nube usando llaves de firma únicas, basadas en PKI, para cada usuario tiene muchos beneficios:

  • Fácil de usar para los usuarios: no se requiere lectores de token/tarjetas, software de escritorio especializado que deba instalarse o entornos Java.

  • Capacidad para firmar en cualquier lugar a cualquier hora evitando los tokens perdidos u olvidados.

  • Fácil administración: No se requiere comprar, instalar, configurar, mantener, ni parchar módulos de hardware seguros (HSMs) on premise.

  • Despliegue inmediato: emisión de llaves y creación de firmas digitales avanzadas usando PKI en minutos

  • Mejora la protección y el cumplimiento normativo: usando llaves únicas robustas criptográficas para cada usuario protegidas en módulos de HSMs certificados FIPS 140-2 Nivel 2

  • Reduzca la latencia y logre redundancia global: Los servicios HSMs en la nube pueden escalar de manera rápida para lograr las necesidades de sus aplicaciones de negocio para proveer de más llaves durante los peaks de demanda, pero sin las complejidades de HSMs on premise dedicados. También puede implementar redundancia global usando HSMs en la nube en múltiples Data Centers.

  • Reduzca Costos: En términos de hardware el uso de HSMs en la nube es dramáticamente menor que el de un HSM on premise dedicado, y no mencionemos los overheads de la gestión de administración que pueden ser incluso mucho más altos.

Para conversar de qué manera la firma en la nube puede ayudar a transformar tu negocio Contáctanos.

10 visualizaciones0 comentarios